Blog prawniczy

Czy dane biometryczne to dane wrażliwe? – Analiza wyroku NSA III OSK 4984/21 z dnia 10 października 2024 r.

⟨⟨ Powrót

Jednym z ciekawszych przypadków wykorzystania danych szczególnej kategorii jest wykorzystanie danych biometrycznych uczniów, które mimo swojej efektywności, budzi istotne wątpliwości prawne. Właśnie tej problematyki dotyczy przełomowy wyrok Naczelnego Sądu Administracyjnego z 10 października 2024 r. (sygn. akt III OSK 4984), który w fundamentalny sposób wpłynął na interpretację przepisów o ochronie danych osobowych w kontekście autonomii woli wyrażonej w zgodzie na przetwarzanie danych.

Geneza sporu – innowacyjne rozwiązanie w szkolnej rzeczywistości

Historia tej sprawy rozpoczęła się od próby usprawnienia procesu wydawania posiłków w szkolnej stołówce. Szkoła, wychodząc naprzeciw oczekiwaniom rodziców wyrażonym przez Radę Rodziców, zdecydowała się na wprowadzenie systemu biometrycznej weryfikacji uprawnień uczniów do korzystania ze stołówki. Zastosowane rozwiązanie techniczne opierało się na wykorzystaniu specjalistycznego urządzenia – kontrolera papilarno-transponderowego, umieszczonego przy wejściu do stołówki.

System został zaprojektowany z uwzględnieniem zasad bezpieczeństwa danych. Warto szczegółowo przyjrzeć się jego funkcjonowaniu: odciski palców uczniów były przetwarzane do postaci cyfrowej, jednak – co istotne – same obrazy linii papilarnych nie były przechowywane w żadnej centralnej bazie danych. Zamiast tego, urządzenie generowało specjalny kod numeryczny, który następnie był kojarzony z podstawowymi danymi ucznia (imieniem, nazwiskiem i numerem umowy o posiłek) w systemie komputerowym. To rozwiązanie miało na celu zminimalizowanie ryzyka związanego z przetwarzaniem danych biometrycznych.

Procedura wdrożenia systemu i rola zgody rodziców

Szczególną uwagę należy zwrócić na sposób, w jaki szkoła podeszła do kwestii zgody rodziców na przetwarzanie danych biometrycznych ich dzieci. Proces ten został zintegrowany z zawieraniem umów o korzystanie z obiadów, gdzie zgoda stanowiła jeden z elementów dokumentacji. Co jednak kluczowe – i co później okazało się fundamentalne dla rozstrzygnięcia sprawy – szkoła zadbała o rzeczywistą dobrowolność tej zgody.

Rodzice mieli pełną swobodę wyboru: mogli wyrazić zgodę na wykorzystanie danych biometrycznych ich dziecka lub zdecydować się na tradycyjną metodę weryfikacji, opartą na sprawdzaniu nazwiska i numeru umowy. Ta alternatywa miała kluczowe znaczenie dla oceny prawnej całej sprawy, pokazując, że szkoła nie uzależniała możliwości korzystania ze stołówki od wyrażenia zgody na przetwarzanie danych biometrycznych.

Interwencja organu nadzorczego i jej uzasadnienie

Sprawa nabrała nowego wymiaru, gdy zainteresował się nią Prezes Urzędu Ochrony Danych Osobowych. W swojej decyzji z 18 lutego 2020 r. (nr ZSZZS.440.768.2018) organ nadzorczy zajął zdecydowane stanowisko przeciwko przyjętemu rozwiązaniu. PUODO nie tylko nakazał usunięcie zgromadzonych danych biometrycznych i zaprzestanie ich dalszego zbierania, ale również nałożył na szkołę karę pieniężną w wysokości 20.000 złotych.

Argumentacja organu opierała się na kilku kluczowych założeniach. Po pierwsze, PUODO uznał, że przetwarzanie danych biometrycznych uczniów narusza zasadę minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c RODO. Po drugie, organ stanął na stanowisku, że zgoda rodziców nie może stanowić wystarczającej podstawy do przetwarzania tak wrażliwych danych, szczególnie gdy istnieją inne, mniej inwazyjne metody weryfikacji uprawnień. Dodatkowo, organ zwrócił uwagę na potencjalnie dyskryminacyjny charakter przyjętych rozwiązań, sugerując, że system faworyzuje uczniów korzystających z identyfikacji biometrycznej.

Stanowisko sądów – nowe spojrzenie na autonomię zgody na przetwarzanie danych

Rozstrzygnięcie sprawy przez sądy administracyjne przyniosło interpretację przepisów o ochronie danych osobowych. Najpierw Wojewódzki Sąd Administracyjny w Warszawie, a następnie Naczelny Sąd Administracyjny, przedstawiły odmienne od PUODO rozumienie relacji między zgodą na przetwarzanie danych a zasadą minimalizacji danych.

NSA w swoim szczegółowym uzasadnieniu przedstawił kompleksową analizę prawną, która może stanowić swoisty przewodnik dla przyszłych podobnych spraw. Sąd przyjął, że prawidłowo wyrażona zgoda na przetwarzanie danych osobowych ma charakter autonomiczny i nie może być podważana przez organ nadzorczy na podstawie jego własnej oceny adekwatności przetwarzania danych do założonego celu.

Kluczowym elementem rozumowania NSA było stwierdzenie, że w przypadku przetwarzania danych na podstawie zgody, to strony procesu przetwarzania (administrator i osoba, której dane dotyczą) wspólnie określają, jakie dane są niezbędne do realizacji uzgodnionego celu. Organ nadzorczy może kwestionować takie przetwarzanie wyłącznie w sytuacji, gdy wykaże wadliwość samej zgody lub istnienie przepisów wyraźnie zakazujących przetwarzania określonych danych nawet za zgodą osoby, której dane dotyczą.

Praktyczne implikacje wyroku

Znaczenie tego orzeczenia wykracza daleko poza konkretną sprawę szkolnego systemu weryfikacji biometrycznej. Wyrok NSA ustanawia istotne standardy dla praktyki przetwarzania danych osobowych, szczególnie w kontekście danych wrażliwych.

Dla administratorów danych wyrok ten stanowi potwierdzenie, że mogą opierać przetwarzanie danych biometrycznych na zgodzie, pod warunkiem zapewnienia realnej alternatywy i prawidłowego procesu pozyskiwania zgody. Jednocześnie orzeczenie to wyznacza granice kontroli sprawowanej przez organ nadzorczy, który powinien skupić się na weryfikacji formalnych aspektów zgody, a nie na własnej ocenie adekwatności przyjętych rozwiązań.

Szczególnie istotne znaczenie wyrok ma dla praktyki szkolnej. Potwierdza on dopuszczalność stosowania systemów biometrycznych, jednocześnie podkreślając znaczenie właściwego procesu konsultacji z rodzicami i zapewnienia alternatywnych rozwiązań. Jest to szczególnie ważne w kontekście rosnącego wykorzystania nowoczesnych technologii w placówkach edukacyjnych.

Komentarz radcy prawnego

Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY | PARTNER

Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora komentarza?
e-mail: sekretariat@linkekulicki.pl
tel. +48 789 178 462

Opublikowano:

Wyrok NSA w sprawie szkolnego systemu biometrycznego stanowi ciekawe narzędzie do interpretacji przepisów o ochronie danych osobowych. Potwierdza on, że prawidłowo wyrażona zgoda może stanowić wystarczającą podstawę przetwarzania nawet szczególnie wrażliwych danych osobowych, pod warunkiem zachowania rzeczywistej dobrowolności i zapewnienia alternatywnych rozwiązań.

Sąd trafnie dostrzegł, że nadmierna regulacja i zbyt restrykcyjna interpretacja przepisów o ochronie danych osobowych może prowadzić do paradoksalnych sytuacji, w których nawet świadoma i dobrowolna decyzja zostaje zakwestionowana w imię źle pojmowanej ochrony prywatności.

Szczególnie wartościowe w tym orzeczeniu jest podkreślenie znaczenia autonomii woli wyrażonej w zgodzie na przetwarzanie danych. W sytuacji, gdy administrator danych zapewnia realną alternatywę, a zgoda jest wyrażana w sposób świadomy i dobrowolny, próba podważenia takiej decyzji przez organ nadzorczy staje się formą nadmiernego paternalizmu. Warto zauważyć, że RODO, mimo swojego kompleksowego charakteru, nie miało na celu ograniczenia autonomii decyzyjnej podmiotów danych, a raczej jej wzmocnienie poprzez zapewnienie im realnego wpływu na proces przetwarzania ich danych osobowych.

Przyjęte przez NSA stanowisko powinno stać się standardem rynkowym z kilku powodów. Po pierwsze, promuje ono odpowiedzialne podejście do przetwarzania danych – administrator musi zadbać o rzeczywistą dobrowolność zgody i zapewnić alternatywne rozwiązania, ale gdy spełni te warunki, może bezpiecznie oprzeć się na wyrażonej zgodzie.

Po drugie, interpretacja ta zachowuje właściwą równowagę między ochroną prywatności a możliwością korzystania z nowoczesnych rozwiązań technologicznych. W analizowanej sprawie system biometryczny nie tylko usprawniał proces wydawania posiłków, ale też zwiększał bezpieczeństwo poprzez eliminację ryzyka związanego z przekazywaniem karty czy identyfikatora między uczniami. Po trzecie, stanowisko sądu wspiera rozwój innowacyjnych rozwiązań w przestrzeni publicznej, jednocześnie zachowując niezbędne gwarancje dla osób, których dane są przetwarzane. Jest to szczególnie istotne w kontekście placówek edukacyjnych, które powinny mieć możliwość wdrażania nowoczesnych rozwiązań, przy jednoczesnym poszanowaniu praw i wolności uczniów oraz ich rodziców.

Warto również podkreślić, że wyrok ten może mieć pozytywny wpływ na praktykę stosowania RODO w innych obszarach. Przyjęte przez NSA rozumowanie można bowiem odnieść do wielu sytuacji, w których administrator danych, działając w dobrej wierze i z poszanowaniem praw podmiotów danych, wprowadza innowacyjne rozwiązania oparte na świadomej zgodzie.

Stanowisko NSA należy ocenić jako krok w dobrym kierunku, prowadzący do bardziej racjonalnego i praktycznego stosowania przepisów o ochronie danych osobowych. Interpretacja ta pokazuje, że możliwe jest pogodzenie wysokich standardów ochrony prywatności z potrzebami nowoczesnej administracji i oczekiwaniami użytkowników. Kluczowe jest jednak zawsze zapewnienie rzeczywistej dobrowolności zgody i realnej alternatywy dla osób, które nie chcą korzystać z rozwiązań opartych na przetwarzaniu danych wrażliwych.

Kancelaria RODO – Kancelaria Linke Kulicki

Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.