biometrice

Prelucrarea datelor biometrice – amendă GDPR în Polonia

/in /by

Potrivit comunicatului de presă din data de 05/03/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă în cuantum de aproximativ 4.700 euro pentru nerespectarea prelucrării datelor biometrice ale copiilor atunci când foloseau cantina școlară.

Situația de fapt

Pentru a accesa cantina școlii elevii trebuiau să fie identificați cu ajutorul unui sistem de recunoaștere a amprentelor. Conform regulamentului privind accesul la cantină (publicat pe site-ul școlii), acest sistem nu era obligatoriu pentru toți elevii însă cei care nu au dorit să-l folosească trebuiau să stea la sfârșitul cozii și să intre în cantină, unul câte unul, după ce au intrat toți elevii cu identificare biometrică.

Folosind acest sistem de identificare biometrică, școala a prelucrat nelegal datele a 680 de copii.

În urma investigației efectuate din oficiu, autoritatea a constatat următoarele:

  • scopul pentru care a fost implementat sistemul de identificare biometrică a fost acela de a identifica elevii care au plătit taxa de cantină;
  • temeiul de drept utilizat a fost consimțământul scris al părinților sau al reprezentanților legali;
  • în perioada anului școlar 2019-2020, 680 de elevi utilizau sistemul biometric și doar 4 elevi utilizau un sistem alternativ de identificare.

Încălcările legislației

Pentru analizarea situației s-au avut în vedere următoarele:

  • situația persoanelor vizate: copiii – pentru care se impune o protecție specială a datelor cu caracter personal;
  • tipul de date prelucrate – date biometrice, date speciale, care nu se schimbă în timp și necesită o protecție specială;
  • riscul în cazul unei breșe de securitate – este un risc ridicat în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate ținând cont de caracterul special al datelor.

De ce consimțământul nu a fost considerat un temei legal de prelucrare?

Conform art. 9 alin. (2) lit. a), categoriile speciale de date pot fi prelucrate pe baza consimțământului explicit al persoanei vizate. În speță este vorba despre categorii speciale de date iar consimțământul a fost obținut. Deci, din ce motiv a fost sancționată școala?

În comunicatul de presă se precizează că indiferent de obținerea consimțământului, raportat la scopul prelucrării, aceasta a fost considerată excesivă. Prelucrarea datelor biometrice nu este esențială pentru atingerea scopului prelucrării – identificarea elevilor care au achitat taxa de cantină. Acest scop putea fi atins și în alt mod care să nu implice prelucrarea categoriilor speciale de date.

Chiar dacă nu a fost precizat în mod expres, operatorul nu a respectat principiul reducerii la minimum a datelor prelucrate și nu s-a limitat la ceea ce este necesar pentru îndeplinirea scopului.

Măsurile luate de UODO:

  • aplicarea amenzii în cuantum de aproximativ 4.700 euro;
  • obligarea operatorului de a șterge toate datele prelucrate ilegal;
  • obligarea operatorului de a înceta prelucrarea de date nelegală.

Necesitatea efectuării unei evaluări a impactului asupra protecției datelor (DPIA)

În cuprinsul comunicatului de presă, nu se fac referiri la existența unei evaluări a impactului asupra protecției datelor. Ținând cont de tipul de date prelucrate (date biometrice) și conform considerentului 91 din GDPR, în speță ar fi trebuit să se efectueze o evaluare de impact. În acest sens este și lista Autorității din Polonia privind tipul de operațiuni de prelucrare care fac obiectul cerinței pentru o evaluare a impactului privind protecția datelor în conformitate cu articolul 35 alineatul (4) din GDPR, listă care la punctul 5 prevede necesitatea efectuării DPIA în cazul prelucrării datelor biometrice în scopul identificării unice a unei persoane fizice sau verificării controlului accesului în anumite zone. Lista (în limba engleză) poate fi consultată aici.

You might also like
newsletter Newsletter Start Lawyers 10/2020
activitatea Activitatea ANSPDCP - Date statistice
informații Informații juridice - Newsletter Start Lawyers
evidența Evidența activităților de prelucrare - cartografierea datelor cu caracter personal
prelucrarea, RGPD, conflict de interese, categorii speciale, activitățile principale RGPD - Cine trebuie să desemneze un responsabil cu protecția datelor? (II - Activitățile principale)
DPIA DPIA – Evaluarea impactului asupra protecției datelor: Q & A
supraveghere Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (III)
proiect Sancțiuni GDPR. Vicii privind informarea, consimțământul, supravegherea video și stocarea datelor.