Kary i upomnienia dla jednostek administracji publicznej.

Regulacje dotyczące ochrony danych osobowych zrewolucjonizowały postępowanie firm oraz jednostek administracji publicznej w obszarze zabezpieczenia przetwarzanych danych osobowych. Od ponad dwóch lat obowiązuje Rozporządzenie o ochronie danych osobowych (RODO) – jakie skutki przyniosło wprowadzenie tej regulacji? Czy dane osobowe są właściwie chronione? Czy nadal mamy problem z interpretacją tego ważnego dla nas przepisu prawnego? Kiedy zgoda jest odpowiednią podstawą prawną do przetwarzania danych osobowych?

Jednostki administracji publicznej mają w tym temacie o wiele łatwiej, do prawie każdej wykonywanej czynności dysponują stosowną podstawą prawną w postaci ustawy lub rozporządzenia. A jednak Urząd Ochrony Danych Osobowych (UODO) nałożył dwie kary finansowe oraz jedno upomnienie podmiotom z tego obszaru.

O pierwszej karze dla jednostki administracji publicznej pisaliśmy tutaj szerzej kilka miesięcy temu –  dla porządku tylko przypomnimy, iż w wyniku kontroli prowadzonej przez UODO nałożono karę w wysokości 40 tys. Zł na Urząd Miasta w Aleksandrowie Kujawskim

Żyjemy w XXI wieku w dobie bardzo szybkiego postępu technologicznego oraz co za tym idzie wykorzystywania naszych danych osobowych na potrzeby tych technologii. Zarówno danych zwykłych, np.: imienia i nazwiska, numeru telefonu, adresu e-mail, jak i danych szczególnych kategorii, które potocznie nazywamy „danymi wrażliwymi” np.: informacji o naszym stanie zdrowia, poglądach politycznych, danych genetycznych, biometrycznych. Nowe technologie i postęp pojawiają się także w jednostkach oświatowych. Generalnie ten fakt bardzo cieszy i napawa optymizmem, że nasza młodzież wchodzi w dorosłe życie bez kompleksów z powodu wykluczenia technologicznego.

Kara za przetwarzanie danych biometrycznych w stołówce szkolnej.

Niestety właśnie dane biometryczne, a dokładniej nieznajomość lub niedostosowanie do bieżących przepisów prawa, zwłaszcza do ustawy o ochronie danych osobowych oraz RODO były przyczyną kolejnej wymierzonej kary.

Prezes Urzędu Ochrony Danych Osobowych 18-02-2020 r. nałożył karę administracyjną w wysokości 20 tys zł na Szkołę Podstawową nr 2 w Gdańsku w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki. Szkoła przetwarzała dane wrażliwe 680 dzieci bez podstawy prawnej, mogąc jednocześnie zastosować inne formy identyfikacji uczniów. W tej sprawie trzeba podkreślić, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Szkoła mogła przeprowadzić identyfikację za pomocą innych środków, które nie ingerują tak dalece w prywatność dziecka. Szkoła umożliwiała korzystanie z usług stołówki nie tylko za pomocą odcisku linii papilarnych, ale i karty elektronicznej lub na podstawie nazwiska i numeru umowy.

Zatem, w szkole istniały alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu. Ponadto w ukaranej szkole, zgodnie z panującymi tam zasadami wydawania obiadów uczniowie, którzy nie posiadali identyfikacji biometrycznej musieli przepuszczać wszystkich i oczekiwać na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną weszli do stołówki, rozpoczynało się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadziły nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promowały uczniów posiadających identyfikację biometryczną. Ponadto w ocenie UODO wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim zostały one przetwarzane, było w istotny sposób nieproporcjonalne.  System biometryczny identyfikuje te cechy, które są co do zasady niezmienne i niejednokrotnie (jak w przypadku danych daktyloskopijnych), niemożliwe do zmiany.

Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się ze szczególną ostrożnością i rozwagą. Należy zatem wskazać, że ewentualny wyciek danych biometrycznych skutkował będzie dużym ryzykiem naruszenia praw i wolności osób fizycznych. Odnosi się to w sposób szczególny do danych dzieci, bowiem podjęcie decyzji o udostępnieniu tego rodzaju danych dziecka przez opiekunów prawnych oraz ich ewentualny wyciek nie będzie możliwy do odwrócenia w czasie, nawet po osiągnięciu przez dziecko pełnoletności.

Na jakiej podstawie szkoła przetwarzała dane biometryczne?

Ciekawym aspektem tej sprawy jest wyrażenie zgody jako podstawy prawnej przetwarzania danych osobowych. Szkoła w złożonych wyjaśnieniach wskazała, że przetwarzanie danych biometrycznych znajdowało oparcie w dobrowolnej zgodzie rodziców uczniów (opiekunów prawnych).

Zgodnie z art. 4 ust. 11 RODO „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Prawodawca unijny w motywie 43 RODO stwierdza jednak, że aby można było mówić o dobrowolności wyrażenia zgody, nie powinna stanowić ona ważnej podstawy prawnej przetwarzania danych osobowych w szczególności w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą a administratorem.

Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym stwierdzić należy, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e) RODO. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. W takiej sytuacji zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki przetwarzania.

Kara upomnienia dla szkoły za niewłaściwe zbieranie danych osobowych uczniów w ankietach.

Ankiety w szkołach to temat stary jak świat, ułatwiają pozyskiwanie wiedzy, pomagają w badaniu opinii, generalnie są bardzo pomocnym narzędziem. Jednak z każdego narzędzia trzeba umiejętnie korzystać, jedna ze szkół w Dęblinie przeprowadzając kontrowersyjną ankietę przekonała się o tym na własnej skórze. Sprawę naświetliła w październiku 2019 r.  gazeta regionalna gdzie opisała zdarzenie, oraz ukazała kulisy sprawy, a także przedstawiła opinię lokalnej społeczności.

Między innymi w następstwie tych działań Prezes UODO po zakończonym postępowaniu w czerwcu b.r. nałożył karę upomnienia na Zespół Szkół Ogólnokształcących w Dęblinie (woj. lubelskie) za przetwarzanie bez podstawy prawnej danych osobowych uczniów w związku z przeprowadzeniem wśród nich w roku szkolnym 2019/2020 wywiadów pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”.

W ramach przeprowadzonej ankiety doszło do przetwarzania danych osobowych uczniów, w tym także danych osób niepełnoletnich, przede wszystkim ich imion i nazwisk, oznaczenie klasy, określenia opiekunów prawnych (rodziców), informacji o stanie rodziny (pełna, niepełna), a także informacji o śmierci opiekuna prawnego (rodzica), separacji opiekunów prawnych (rodziców), ich wykształceniu i sytuacji zawodowej, liczbie osób w gospodarstwie domowym, sytuacji finansowej, stanie zdrowia oraz nałogach opiekunów prawnych (rodziców), sytuacji mieszkaniowej oraz o fakcie otrzymania pomocy finansowej.

Według UODO szkoła  przeprowadzając ankietę wśród uczniów, naruszyła zasadę, w myśl której dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Powyższa zasada została rozwinięta w treści art. 6 ust. 1 lit. c) RODO, zgodnie z którym przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy – i w takim zakresie w jakim – spełniony jest warunek, iż przetwarzanie to jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Szkoła jako podmiot publiczny może przetwarzać dane osobowe w zakresie wykonywanych przez niego zadań nałożonych ustawami. Prawo oświatowe stanowi, że szkoły przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów. W aktach prawnych regulujących zasady funkcjonowania instytucji oświatowych, nie określa się takich zadań i obowiązków szkół, które uzasadniałyby przetwarzanie danych osobowych uczniów w sposób, w jaki uczyniono to w ukaranym podmiocie, a więc w związku z przeprowadzeniem ankiety. Ankietę przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę. Cel sam sobie był jak najbardziej pozytywny, natomiast dobór narzędzia i sposób realizacji niedopuszczalny.

Po wnikliwej analizie i ustalonych okolicznościach tej sprawy Prezes UODO tym razem uznał, że wystarczającą sankcją będzie udzielenie kary upomnienia.

Kompetencje Inspektora Ochrony Danych Osobowych jako istota zabezpieczenia danych w jednostkach publicznych.

Liczba kar za naruszenia RODO w naszym kraju, jak w całej UE nie jest mała. Dotyczy to zarówno firm jak i jednostek administracji publicznej co niestety nie napawa optymizmem. Czym to może być spowodowane?

Ciągłym brakiem wiedzy, zrozumienia samego RODO? A może bardzo popularną u nas nadinterpretacją przepisów? Jest też trzecie prawdopodobieństwo: jednostki administracji publicznej mają ograniczone finanse i często korzystają z pomocy „fachowców”, firm, których jedynym atutem jest CCC czyli Cena Czyni Cuda. Podmioty te oferują najniższą cenę za świadczenie usług Inspektora Ochrony Danych lub usług doradczych, niestety na tym dobre wiadomości dla jednostek zlecających wykonanie usług się kończą. Ewentualnie same jednostki zwyczajnie powołują na te funkcje „ochotnika” z własnego personelu. Osoba, która oprócz dobrych chęci nie posiada niezbędnej wiedzy i doświadczenia nie jest w stanie skutecznie i rzetelnie sprawować funkcji IOD. Warto przypomnieć zapis z art. 37 ust 5 RODO: „Inspektor ochrony danych jest wyznaczony na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności zadań, o których mowa w art. 39”.

Patrząc z optymizmem w przyszłość można mieć nadzieję, że w konsekwencji sektor publiczny zacznie przykładać jeszcze większą uwagę do bezpiecznego przetwarzania danych osobowych i ochrony prywatności. Poziom zabezpieczeń i świadomości wzrasta, jest to dobry sygnał dla nas wszystkich, osób fizycznych które powierzają przetwarzanie danych wielu podmiotom, w tym urzędom, szkołom, itp. Zjawiskiem najbardziej piętnowanym przez sam Urząd Ochrony Danych Osobowych jest nieprzyznanie się do błędu i brak chęci poprawy – dlatego warto współpracować z organem nadzoru (UODO), dobrymi inspektorami ochrony danych osobowych, aby poprawić jakość bezpieczeństwa danych oraz uniknąć kar związanych z prowadzeniem nieprawidłowych działań.