Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Biometria w szkolnej stołówce

02-06-2020 Autor: Katarzyna Frelak

Dzieci jako grupa osób potencjalnie mniej świadomych ryzyka, konsekwencji, zabezpieczeń i przysługujących im praw, wymagają szczególnej ochrony danych osobowych. Unijny prawodawca podkreślił to w motywie 38 preambuły rodo oraz w art. 8 rodo.

 

Decyzja ZSZZS.440.768.2018

 

Jedna z opublikowanych dotąd decyzji Prezesa UODO związana jest z przetwarzaniem danych osobowych dzieci i to danych szczególnej kategorii. Organ nałożył administracyjną karę pieniężną w wysokości 20 tys. złotych na szkołę w związku ze stwierdzeniem naruszenia, które polegało na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki.

Stan faktyczny: UODO dowiedział się o nieprawidłowościach w procesie przetwarzania danych osobowych uczniów szkoły podstawowej, które polegały na gromadzeniu odcisków palców dzieci. Celem takiego działania szkoły była identyfikacja biometryczna uczniów podczas korzystania przez nie z usług stołówki szkolnej. W wyniku pozyskanej informacji organ wszczął z urzędu postępowanie administracyjne, w ramach którego ustalono następujący stan faktyczny. Przy wejściu do stołówki szkolnej znajdował się czytnik biometryczny, dzięki któremu przeprowadzana była identyfikacja dzieci pobierających posiłki w stołówce (jej celem było ustalenie, czy w danym dniu dziecko ma opłacony obiad).

Rodzice dziecka podczas zawierania umowy na korzystanie ze szkolnych obiadów mogli wybierać, czy ich dziecko będzie weryfikowane za pomocą odcisku palca, a więc czytnika biometrycznego, czy też skorzystają z alternatywnego sposobu identyfikacji (karty elektronicznej lub na podstawie nazwiska i numeru umowy). Szkoła podczas składanych w ramach przeprowadzanego postępowania administracyjnego wyjaśnień podkreśliła, że powyższe działanie opierało się na pisemnej zgodzie rodzica. Podczas wydawania obiadów pierwszeństwo miały dzieci „biometryczne”, czyli takie, których rodzice wyrazili zgodę na przetwarzanie odcisków palca. Dzieci, które nie korzystały z weryfikacji za pomocą czytnika biometrycznego, musiały ustawić się na końcu kolejki i jako ostatnie były uprawnione do wejścia na stołówkę, a więc tym samym otrzymania posiłku.

W przypadku podpisania umowy i wyrażenia zgody na pobranie odcisku palca dziecko rejestrowane było w specjalnym systemie elektronicznym (system ewidencji wpłat i posiłków). Podczas rejestracji do systemu wprowadzane były następujące dane: imię, nazwisko, klasa dziecka oraz imię, nazwisko, numer telefonu i adres e-mail rodzica. Następnie dochodziło do rejestracji wzorca odcisku palca, a do dziecka przypisywana była liczba porządkowa. Podczas wejścia dziecka na stołówkę pozwalało to na odczytanie statusu obiadu jako: opłacony lub nieopłacony.

Warto podkreślić, że program zainstalowany był na serwerze szkoły, który był zabezpieczony hasłem oraz posiadał ochronę antywirusową z firewallem, a dostęp do niego miał tylko upoważniony pracownik. W ocenie szkoły nie posiadała ona żadnego zbioru danych biometrycznych, a jedynie dane w postaci zapisu bajtów powiązane z odciskiem palca. Szkoła, opisując działanie systemu, wskazała, że w trakcie odczytu czytnik porównuje, czy istnieje odpowiedni ciąg znaków, a jeśli tak, to wysyła do programu tylko numer pozycji przypisany do danego dziecka. Po rozwiązaniu umowy na korzystanie z usług stołówki szkolnej ciąg bajtów, a więc dane potrzebne do identyfikacji, był usuwany. Po ich usunięciu wykonywana była kopia archiwizacyjna na karcie mikro SD, którą przechowywano w odpowiednio zabezpieczonym miejscu. Jednak gdy rodzic nie wycofał zgody na korzystanie z czytnika, a dziecko przestawało korzystać z usług stołówki bez rozwiązania umowy, wzorzec zapisany na czytniku przechowywany był do czasu rozwiązania umowy lub do zakończenia roku szkolnego. Na czas wakacji wzorzec biometryczny przechowywany był na czytniku i karcie SD. W przypadku nieprzedłużenia umowy w nowym roku szkolnym wzorzec był usuwany we wrześniu.

Decyzja Prezesa UODO: Decyzja nakazująca usunięcie dotychczas zebranych i zaprzestanie zbierania danych osobowych w zakresie przetwarzanych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci, które korzystają z usług stołówki szkolnej, oraz nakładająca na szkołę karę pieniężną w wysokości 20 tys. złotych. Kara nakładana jest na administratora, w tym wypadku jest to szkoła, a nie jej dyrektor lub organ prowadzący (pojęcie administratora – art. 4 pkt 7 rodo).

 

Uzasadnienie

 

W swojej decyzji Prezes UODO powołał się na art. 9 ust. 1 rodo, tj. generalny zakaz przetwarzania danych osobowych szczególnej kategorii, zgodnie z którym zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

 

[...]

 

Autorka jest inspektorem ochrony danych, członkiem korpusu służby cywilnej.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.