Proste to RODO ochrona danych w medycynie

Kara RODO dla szkoły za odciski palca uczniów

Kara RODO dla szkoły za odciski palca uczniów

W komunikacie UODO z dnia 05 marca 2020r., czytamy cyt.: “(…) Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 20 tys. zł w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki (…)”.

Decyzja Z 18.02.2020R. ZSZZS.440.768.2018

W treści decyzji czytamy cyt.: “(…) Prezes Urzędu Ochrony Danych Osobowych (…) stwierdzając naruszenie przez Szkołę Podstawową w Gdańsku (…) polegające na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej:

  1. nakazuje Szkole Podstawowej w Gdańsku usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
  2. nakazuje Szkole Podstawowej w Gdańsku zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
  3. nakłada na Szkołę Podstawową w Gdańsku, za naruszenie stwierdzone w niniejszej decyzji karę pieniężną w wysokości 20 000,00 zł (słownie: dwadzieścia tysięcy złotych) (…)”.

Brak podstawy prawnej do przetwarzania danych.

Szkoła przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mogąc jednocześnie zastosować inne formy identyfikacji uczniów. Szkoła korzystała z czytnika biometrycznego przy wejściu do stołówki szkolnej, którego zadaniem było identyfikowanie dzieci w celu weryfikacji tego, czy uiszczona została opłaty za posiłek.

Pierwszeństwo dla zidentyfikowanych.

W komunikacie PUODO wskazuje, iż cyt.: “(…) w ukaranej Szkole Podstawowej, zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną. Ponadto w ocenie organu wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne (…)”.

Wyciąg z treści Decyzji PUODO

Posługujemy się definicją z Rozporządzenia RODO

cyt.: “(…) zgodnie z art. 4 pkt 14 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (…)”.

Identyfikacja osoby w oparciu o dane biometryczne wg. definicji RODO

cyt.: “(…) w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja.(…)”.

Wyścigi podstaw do przetwarzania wygrywa 6.1.e RODO

cyt.: “(…) Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym stwierdzić należy, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując te usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Wskazać należy, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych jakie Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.(…)”.

Dla zainteresowanych.

Zainteresowanych tematem daktyloskopii, odsyłam do interesującego opracowania pt. “Identyfikacja użytkownika na podstawie analizy linii papilarnych“. Autor opracowania podnosi, iż cyt.: “(…) system biometryczny popełnia dwa rodzaje błędów. Pierwszy polega na uznaniu za identyczne dwóch odcisków, które w rzeczywistości pochodzą z różnych palców. Jest to tzw. fałszywe dopasowanie. Drugi rodzaj błędu to uznanie dwóch identycznych odcisków palców za różne – tzw. fałszywe niedopasowanie (…)”.

Raz jeszcze o definicji na gruncie Rozporządzenia RODO

Uwaga pierwsza

Po lekturze ww opracowania, wskazuję raz jeszcze i podkreślam,  na gruncie analizowanej Decyzji PUODO pamiętać należy o autonomicznej definicji danych biometrycznych, jaką wprowadza art. 4 pkt 14) Rozporządzenia RODO, gdzie to „dane biometryczne” oznaczają

  • (1) dane osobowe, które wynikają ze specjalnego przetwarzania technicznego,
  • (2) dotyczą cech
    • fizycznych,
    • fizjologicznych
    • lub behawioralnych osoby fizycznej
  • (3) które
    • umożliwiają
    • lub potwierdzają jednoznaczną identyfikację tej osoby,
  • (np.) takie jak wizerunek twarzy lub dane daktyloskopijne (patrz Uwaga druga)

(1) + (2) + (3) = dane biometryczne.

Uwaga druga

Uwaga druga, aby uznać iż mamy do czynienia z danymi biometrycznymi, w rozumieniu ww. definicji na gruncie Rozporządzenia RODO, nie wystarczy, aby przetwarzać dane w postaci wizerunku twarzy (fotografia). Motyw 51 stanowi bowiem, iż cyt.: “(…) przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości (…)”.

Definicja danych biometrycznych

Lorem ipsum dolor sit amet, consectetur adipisciZa sprawą Decyzji PUODO z dnia18 lutego 2020r., ZSZZS.440.768.2018, na mocy której PUODO nałożył na szkołę karę pieniężną w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki wywołana została dyskusja nt. definicji danych biometrycznych. Czym są dane biometryczne w rozumieniu RODO? Czy dane daktyloskopijne to to samo co dane biometryczne? Czytaj więcej >>>

Procedura wewnętrzna bezpieczeństwa na terenie placówki.<br>Procedura postępowania w przypadku podejrzenia zakażenia COVID-19.

5/5

99,00 pln

Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych.
30 marca 2020 r.
Częstochowa

5/5

499,00 pln

Materiały szkoleniowe z warsztatów – Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych. Zestaw gotowych dokumentów do wykorzystania w pracy.

5/5

200,00 pln

Regulamin monitoringu wizyjnego dla szkoły. Kompletne opracowanie wraz z klauzulą i infografiką.

5/5

150,00 pln

Wzór oświadczenia woli o upoważnieniu do odbioru dziecka z przedszkola, ze świetlicy szkolnej.

5/5

29,00 pln