Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Piotr Borowiecki (spr.), Sędzia WSA Łukasz Krzycki, Sędzia WSA Joanna Kube, , Adrianna Siniarska, Protokolant referent stażysta, po rozpoznaniu na rozprawie w dniu 29 lipca 2020 r. sprawy ze skargi Szkoły Podstawowej nr [...] z oddziałami [...] im. [...] w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r., nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej Szkoły Podstawowej nr [...] z oddziałami sportowymi im. [...] w G. kwotę 400 (słownie: czterysta) złotych, tytułem zwrotu kosztów postępowania sądowego.

Zaskarżoną decyzją z dnia [...] lutego 2020 r., nr [...], Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2018 r., poz. 2096 ze zm.; obecnie: tekst jednolity Dz. U. z 2020 r., poz. 256 ze zm. - dalej: "k.p.a.") oraz art. 7 ust. 1 i 2, art. 60 i art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.; obecnie: tekst jednolity Dz. U. z 2019 r., poz. 1781 - dalej także: "u.o.d.o.") w związku z art. 5 ust. 1 lit c, art. 9 ust. 1, art. 58 ust. 2 lit. f, lit. g i lit. i, a także art. 83 ust. 2, ust. 3, ust. 5 lit. a oraz ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r. str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z dnia 23 maja 2018 r., str. 2 - zwane dalej także: "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie gromadzenia odcisków palców dzieci w celu ich identyfikacji biometrycznej podczas korzystania przez nie z usług stołówki szkolnej przez Szkołę Podstawową nr [...] z oddziałami [...] im. [...] w [...] przy ul. [...] (dalej także: "skarżąca Szkoła" lub "strona skarżąca"), dla której organem prowadzącym jest Miasto [...], Prezes UODO, stwierdzając naruszenie przez skarżącą Szkołę przepisów art. 5 ust. 1 lit. c oraz art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), polegające na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej:

1) nakazał skarżącej Szkole usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,

2) nakazał skarżącej Szkole zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,

3) nałożył na skarżącą Szkołę, za naruszenie stwierdzone w tej decyzji, karę pieniężną w wysokości 20.000,00 (słownie: dwadzieścia tysięcy) złotych.

Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.

Urząd Ochrony Danych Osobowych powziął informację o nieprawidłowościach w procesie przetwarzania danych osobowych uczniów Szkoły Podstawowej nr [...] z Oddziałami [...] im. [...] przy ul. [...] w [...] polegających na gromadzeniu odcisków palców dzieci korzystających z usług stołówki szkolnej.

W związku z powyższym, organ nadzorczy wszczął z urzędu postępowanie wyjaśniające w sprawie nieprawidłowości przetwarzania danych osobowych przez wspomnianą wyżej Szkołę.

Prezes Urzędu Ochrony Danych Osobowych, przeprowadzając stosowne postępowanie wyjaśniające, podjął czynności zmierzające do zgromadzenia odpowiedniego materiału dowodowego, ustalając stan faktyczny konieczny do wydania rozstrzygnięcia.

Organ nadzorczy zwrócił się przede wszystkim do Szkoły Podstawowej nr [...] z Oddziałami [...] im. [...] z żądaniem przedstawienia wyjaśnień.

Ustosunkowując się do powyższego wezwania, skarżąca Szkoła w piśmie z dnia [...] grudnia 2018 r. wyjaśniła, że korzysta z czytnika biometrycznego o nazwie Kontroler Papilarno-Transponderowy KPT, który umieszczony jest przy wejściu do stołówki szkolnej, a który identyfikuje dzieci pobierające posiłki w stołówce szkolnej w celu weryfikacji uiszczenia opłaty za posiłek w danym dniu. Skarżąca szkoła wskazała, że pozyskuje dane biometryczne swoich uczniów na podstawie pisemnej zgody rodzica (opiekuna prawnego). W przedmiotowych wyjaśnieniach z dnia [...] grudnia 2018 r. skarżąca Szkoła wskazała również, iż nie posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci. Strona skarżąca poinformowała organ nadzorczy, że dane związane z czytnikiem na odcisk palca gromadzone są tylko w samym czytniku, w postaci zapisu ciągu bajtów. Skarżąca Szkoła podniosła, że w trakcie odczytu czytnik porównuje, czy istnieje odpowiedni ciąg bajtów, a jeśli tak, to wysyła do programu tylko numer pozycji, który przypisany jest do konkretnego dziecka. Strona skarżąca podkreśliła jednocześnie, że dostęp do danych znajdujących się w czytniku posiadają dwie osoby: administrator systemu i intendent - upoważnieni pracownicy skarżącej Szkoły. Zgodnie z wyjaśnieniami skarżącej Szkoły z dnia [...] grudnia 2018 r., rodzic w umowie o korzystanie z posiłków w stołówce szkolnej ma możliwość wyboru: wyrażenia zgody lub niewyrażenia zgody na korzystanie z czytnika na odcisk palca. Szkoła zapewniła jednocześnie, że rodzice są informowani o tej możliwości na stronie internetowej stołówki szkolnej. Strona skarżąca poinformowała ponadto, że po rozwiązaniu umowy o korzystanie z obiadów w stołówce szkolnej dane potrzebne do identyfikacji na odcisk palca, czyli ciąg bajtów zapisany w czytniku zostaje usunięty. Po usunięciu, jak podniosła skarżąca Szkoła, na nowo zostaje robiona kopia archiwizacyjna na karcie micro SD, która przechowywana jest w zabezpieczonym pomieszczeniu. W ocenie skarżącej Szkoły, w systemie nie są zapisywane żadne dane, które byłyby danymi biometrycznymi. Ponadto, w wyjaśnieniach z dnia [...] grudnia 2018 r. strona skarżąca podkreśliła, że Program SEWiP (system ewidencji wpłat i posiłków) zainstalowany jest na serwerze szkolnym, który jest chroniony przed nieuprawnionym dostępem za pomocą hasła. Ponadto, jak zapewniła strona skarżąca, serwer posiada również ochronę antywirusową z firewallem. Według zapewnień strony skarżącej, dostęp do serwera posiada jedynie upoważniony pracownik skarżącej Szkoły.

Z kolei, w piśmie z dnia [...] września 2019 r. skarżąca Szkoła, ustosunkowując się do dalszych wezwań organu nadzorczego - wyjaśniła, że korzysta z czytnika biometrycznego od dnia 1 września 2015 r. Strona skarżąca poinformowała ponadto, że w roku szkolnym 2018/2019 do Szkoły uczęszczało 1247 uczniów, z czego 603 korzystało z czytnika biometrycznego, a 2 uczniów z alternatywnego systemu identyfikacji. Strona skarżąca podniosła również, że w roku szkolnym 2019/2020 do szkoły uczęszcza 1121 uczniów, z czego 680 uczniów korzysta z czytnika biometrycznego, a 4 uczniów z alternatywnego systemu identyfikacji. Ponadto, skarżąca Szkoła wyjaśniła w treści pisma z dnia [...] września 2019 r., że w sytuacji, gdy rodzic danego dziecka nie wycofa zgody na korzystanie przez nie z czytnika biometrycznego, a dziecko przestanie korzystać z usług stołówki szkolnej (bez rozwiązania umowy o korzystanie z obiadów w stołówce szkolnej), wzorzec biometryczny zapisany w czytniku przechowywany jest do czasu rozwiązania lub do zakończenia roku szkolnego. Według zapewnień strony skarżącej, wzorzec biometryczny zapisany na czytniku i na karcie SD pozostaje na czas wakacji. W przypadku nieprzedłużenia umowy o korzystanie z obiadów w stołówce szkolnej na nowy rok szkolny ww. dane usuwane są najpóźniej do dnia 30 września każdego roku. W przedmiotowych wyjaśnieniach pisemnych z dnia [...] września 2019 r. skarżąca Szkoła zauważyła jednocześnie, że po podpisaniu umowy i wyrażeniu zgody przez rodzica na korzystanie z czytnika biometrycznego dziecko rejestrowane jest w systemie ewidencji wpłat i posiłków (SEWiP) poprzez wprowadzenie jego imienia, nazwiska, klasy oraz imienia, nazwiska, adresu e-mail, telefonu kontaktowego rodzica. Następnie, jeśli rodzic wyraził zgodę, dochodzi do rejestracji wzorca odcisku palca dziecka w czytniku. Skarżąca Szkoła podniosła, że od tego momentu wzorzec identyfikowany jest przez ww. system za pomocą liczby porządkowej w czytniku, który w momencie znalezienia wzorca biometrycznego, odpowiadającego w danym momencie przyłożonemu odciskowi palca wysyła do systemu numer, który w systemie przypisany jest danej osobie i następie odczytuje status obiadu (opłacony/nieopłacony).

Prezes UODO ustalił ponadto, że zgodnie z zasadami wydawania obiadów umieszczonymi na stronie internetowej stołówki prowadzonej przez skarżącą Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki (pkt 3), oraz gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej (pkt 9) (dowód: wydruk strony internetowej stołówki szkolnej załączony do notatki służbowej pracownika UODO z dnia [...] października 2018 r.).

Przed wydaniem decyzji, organ nadzorczy poinformował stronę skarżącą o tym, że został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej, pouczając jednocześnie skarżącą Szkołę o prawach strony wynikających zarówno z przepisu art. 10 § 1 k.p.a., jak i art. 73 § 1 k.p.a.

W wyniku analizy zgromadzonego materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych - działając na podstawie art. 104 § 1 k.p.a. oraz art. 7 ust. 1 i 2, art. 60 i art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych w związku z art. 5 ust. 1 lit. c, art. 9 ust. 1, art. 58 ust. 2 lit. f, lit. g i lit. i oraz z art. 83 ust. 2 i 3, art. 83 ust. 5 lit. a, art. 83 ust. 7 RODO - nakazał skarżącej Szkole usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej (pkt 1), nakazał skarżącej Szkole zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej (pkt 2), a także nałożył na skarżącą Szkołę karę pieniężną w wysokości 20.000,00 złotych za naruszenie stwierdzone w tej decyzji (pkt 3).

W uzasadnieniu wydanej decyzji Prezes UODO zauważył na wstępie, że zgodnie z art. 9 ust. 1 RODO, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Z kolei wskazując na art. 4 pkt 14 RODO, Prezes UODO zauważył, że dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Jednocześnie, organ nadzorczy podkreślił, że szczególnej ochrony danych osobowych wymagają dzieci, ponieważ mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych (motyw 38 preambuły RODO).

Powołując się ponadto na brzmienie motywu 10 i 45 RODO, organ nadzorczy wskazał, że dane biometryczne z racji swej charakterystyki są szczególnie wrażliwe w świetle podstawowych praw i wolności, dlatego też wymagają szczególnej ochrony. Zdaniem organu nadzorczego, kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności, co do zasady zatem takich dany nie powinno się przetwarzać, a wyjątkiem są przesłanki legalizujące ten proces znajdujące się w RODO.

Prezes UODO stwierdził, że system biometryczny identyfikuje te cechy, które są co do zasady niezmienne i niejednokrotnie, jak w przypadku danych daktyloskopijnych, niemożliwe do zmiany. W tej sytuacji, organ nadzorczy wskazał, że z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się ze szczególną ostrożnością i rozwagą. Należy zatem, jak wskazał Prezes UODO, wziąć pod uwagę to, że ewentualny wyciek danych biometrycznych skutkował będzie dużym ryzykiem naruszenia praw i wolności osób fizycznych. Zdaniem organu nadzorczego, odnosi się to w sposób szczególny do danych biometrycznych dzieci, bowiem podjęcie decyzji o udostępnieniu tego rodzaju danych dziecka przez opiekunów prawnych oraz ich ewentualny wyciek nie będzie możliwy do odwrócenia w czasie, nawet po osiągnięciu przez dziecko pełnoletności.

Prezes UODO podniósł, że na podstawie zgromadzonego materiału dowodowego ustalono, iż od dzieci, których rodzice zgodzili się na ich identyfikację oraz identyfikację ich uprawnienia do odbioru posiłku (w danym dniu) metodą wykorzystującą odcisk linii papilarnych pozyskiwany jest obraz linii papilarnych. Z tego obrazu kontroler Papilarno-Transponderowy KPT automatycznie typuje wybrane cechy odcisku palca i przetwarza je na zapis cyfrowy (wzorzec biometryczny), który przechowuje w swojej pamięci. Organ nadzorczy zauważył, że do zapisu cyfrowego przypisywany jest numer pozycji (od 1 do 3000) po przyłożeniu palca do czytnika, system porównuje go z wzorcami biometrycznym znajdującymi się w pamięci czytnika. Później łączy numer pozycji z tym samym numerem w SEWiP, do którego przypisane jest jego imię, nazwisko, klasa, uprawnienie do pobrania posiłku w danym dniu oraz imię, nazwisko, adres e-mail, telefon kontaktowy rodzica.

Mając powyższe na względzie, Prezes UODO stwierdził, że - wbrew wyjaśnieniom strony skarżącej - pozyskane przez skarżącą Szkołę dane uczniów obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego, stanowią dane biometryczne, w rozumieniu przepisu art. 4 pkt 14 RODO). Organ nadzorczy zauważył bowiem, że w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniniem do odebrania obiadu) możliwa jest jego identyfikacja.

Prezesa UODO stwierdził, że przetwarzanie szczególnej kategorii danych osobowych, do której należą dane biometryczne, regulowane jest w art. 9 ust. 1 RODO, zgodnie z którym, przetwarzanie danych osobowych ujawniających dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej jest zabronione. Organ nadzorczy wskazał, że katalog wymieniony w art. 9 ust. 2 RODO jest zamknięty, zaś każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, zdaniem organu, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych.

Dodatkowo, organ odwoławczy zauważył, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, w tym m.in. z zasadą minimalizacji danych (art. 5 ust. lit. c RODO), która wymaga, by proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.

Ustosunkowując się do wyjaśnień skarżącej Szkoły, która wskazała, że przetwarzanie danych biometrycznych znajduje oparcie w dobrowolnej zgodzie rodziców uczniów (opiekunów prawnych), Prezes UODO - powołując się na definicję zgody wyrażoną w art. 4 ust. 11 RODO, a także na motyw 43 Preambuły RODO - stwierdził, że aby jednak można było mówić o dobrowolności wyrażenia zgody, nie powinna stanowić ona ważnej podstawy prawnej przetwarzania danych osobowych w szczególności w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą a administratorem. W tym miejscu, organ nadzorczy zauważył, przywołując brzmienie art. 106 ustawy z dnia 14 grudnia 2016 r. - Prawo oświatowe (tekst jednolity Dz. U. z 2019 r., poz. 1148), że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją zadania szkoły polegającego na prowadzeniu stołówki nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO. W ocenie organu nadzorczego, uznać należy w konsekwencji, że realizując usługę polegającą na prowadzeniu stołówki, skarżąca Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Tymczasem, jak podniósł organ nadzorczy, przepisy prawa powszechnie obowiązującego wskazują rodzaj danych, jakie skarżąca Szkoła może pozyskiwać od swoich uczniów, lecz żaden z nich nie zezwala tej placówce na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych uczniów, których przetwarzanie jest co do zasady zakazane na podstawie art. 9 ust. 1 RODO, w celu realizacji świadczenia w postaci usług stołówki szkolnej.

W takiej sytuacji, zdaniem Prezesa UODO, zgoda rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie. Zdaniem organu nadzorczego, uznanie faktu wyrażenia zgody przez rodziców dzieci, jako okoliczności legalizującej pobranie od dzieci innych danych, niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów.

Na marginesie, Prezes UODO podkreślił jednocześnie, że zasady wydawania obiadów umieszczone na stronie internetowej stołówki prowadzonej przez skarżącą Szkołę wprowadzają nierówne traktowanie uczniów, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną.

Mając powyższe na względzie, organ nadzorczy uznał w konsekwencji, że skarżąca Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej.

W tej sytuacji, organ nadzorczy stwierdził, że z uwagi na to, że skarżąca Szkoła nie legitymuje się żadną z przesłanek określonych w art. 9 ust. 2 RODO, uznać należy, że jej działanie narusza art. 9 ust. 1 RODO oraz zasadę minimalizacji danych ustanowioną w RODO, zgodnie z którą skarżąca Szkoła, jako administrator danych, nie powinna pozyskiwać danych ponad miarę, lecz jedynie te, które są niezbędne dla zrealizowania celów.

Tymczasem, jak uznał organ nadzorczy, przetwarzanie danych biometrycznych uczniów nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Zdaniem organu nadzorczego, wyżej wymienioną identyfikację ucznia skarżąca Szkoła może bowiem przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej. Tym bardziej, że - jak zauważył organ nadzorczy - z zebranego materiału dowodowego wynika, że skarżąca Szkoła umożliwia korzystanie z usług stołówki szkolnej za pomocą odcisku linii papilarnych, karty elektronicznej lub na podstawie nazwiska i numeru umowy, co oznacza zatem, w Szkole istnieją alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu.

Prezes UODO podkreślił ponadto, że dane biometryczne mogą być wykorzystywane m.in. w celach zapewnienia bezpieczeństwa osobowego, przemysłowego, ochrony informacji w celu weryfikacji osób podejrzanych i ocenie ich udziału w przestępstwach, wydawaniu dokumentów identyfikacyjnych (paszportów), kontroli dostępu do określonych stref bezpieczeństwa. Zdaniem organu nadzorczego, w przypadkach tych procesy te mogą być rozważane, jako uzasadnione z uwagi na przedmiot ochrony lub powagę realizowanego celu, a zakres wykorzystywanych danych za adekwatny. Tymczasem, według Prezesa UODO, weryfikacja tego, kto zamierza skorzystać z usług stołówki szkolnej i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów dane biometryczne, stanowi zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych stwierdził, że korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. f i lit. g RODO, zaszła podstawa do nakazania skarżącej Szkole usunięcia danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej oraz nakazania zaprzestania zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej.

Ponadto, Prezes UODO zauważył, że zgodnie z art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 tego RODO, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy. W tej sytuacji, Prezes UODO stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na skarżącą Szkołę administracyjnej kary pieniężnej.

Prezes UODO stwierdził, że decydując się na nałożenie na skarżącą Szkołę administracyjnej kary pieniężnej oraz ustalając jej wysokość, zgodnie z art. 83 ust. 2 lit. a-k RODO, wziął pod uwagę szereg istotnych okoliczności tej sprawy.

Oceniając charakter, wagę oraz czas trwania naruszenia, Prezes UODO zauważył, że dane biometryczne dzieci były przetwarzane bez podstawy prawnej z naruszeniem zasady minimalizacji, zaś stan ten trwa od [...] maja 2018 r. do chwili obecnej. Organ nadzorczy wskazał, że nie posiada wprawdzie dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie zasady minimalizacji danych szczególnej kategorii stanowić może szkodę niemajątkową. Jednocześnie, organ nadzorczy uznał, że działanie skarżącej Szkoły może prowadzić do bezpodstawnego różnicowania sytuacji uczniów korzystających z usług stołówki szkolnej

Oceniając charakter, wagę i czas trwania naruszenia, Prezes UODO wskazał, że stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, albowiem dotyczy przetwarzania danych szczególnej kategorii, które są ponadto danymi osobowymi dzieci. Ponadto, sporne przetwarzanie odbywa się bez podstawy prawnej i narusza podstawową w odniesieniu do przetwarzania danych osobowych zasadę minimalizacji (art. 5 ust. 1 lit. c RODO). Ponadto, organ nadzorczy wskazał, że stwierdzone naruszenie trwa do chwili obecnej.

Oceniając z kolei charakter naruszenia (umyślny lub nieumyślny), organ nadzorczy podniósł, że skarżąca Szkoła podjęła świadomą decyzję, motywowaną chęcią sprawnej identyfikacji dzieci pobierających posiłki w stołówce szkolnej w celu weryfikacji uiszczenia opłaty za posiłek w danym dniu, co oznacza, że należy przypisać jej umyślność działania, które naruszyło art. 5 ust. 1 lit. c oraz art. 9 ust. 1 RODO.

Analizując działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, organ nadzorczy wskazał, że administrator nie podjął działań w celu zminimalizowania potencjalnej szkody niemajątkowej, ponieważ nie kwalifikował swojego działania jako niezgodnego z prawem.

Oceniając stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych, organ nadzorczy uznał, że stwierdzone naruszenie nie ma związku z wdrożeniem i jakością stosowanych przez skarżąca Szkołę - na mocy art. 25 i art. 32 RODO - środków organizacyjnych i technicznych, dlatego też nie istnieje konieczność ustalania w tym kontekście stopnia odpowiedzialności strony skarżącej.

Oceniając natomiast wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego, Prezes UODO zauważył, że nie zostało stwierdzone, aby skarżąca Szkoła uprzednio dopuściła się naruszenia przepisów RODO, które miałoby istotne znaczenie dla niniejszego postępowania.

Biorąc z kolei pod uwagę kategorie danych osobowych, których dotyczy naruszenie, Prezes UODO uznał, że stwierdzone naruszenie dotyczyło danych biometrycznych, czyli kategorii danych podlegających szczególnej ochronie.

Analizując sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, Prezes UODO zauważył, że pozyskał informację o bezprawnym przetwarzaniu ww. danych osobowych przez skarżącą Szkołę z urzędu.

Organ nadzorczy wziął ponadto pod uwagę fakt, iż w tej samej sprawie nie zostały wcześniej zastosowane wobec skarżącej Szkoły środki, o których mowa w art. 58 ust. 2 RODO.

Jednocześnie, organ nadzorczy zauważył, że skarżąca Szkoła nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO.

Prezes Urzędu Ochrony Danych Osobowych wskazał również, które z powyższych okoliczności uznał za obciążające i mające wpływ na wymiar kary.

W konsekwencji, Prezes UODO stwierdził, że zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Organ nadzorczy podkreślił jednocześnie, że zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że skarżąca Szkoła całkowicie zignorowała fakt przetwarzania danych biometryczny dzieci poprzez stwierdzenie, że nie przetwarza danych w powyższym zakresie.

Prezes UODO uznał ponadto, administracyjna kara pieniężna spełni funkcję represyjną, albowiem stanowić będzie odpowiedź na naruszenie przez skarżącą Szkołę przepisów RODO, a także spełni funkcję prewencyjną, albowiem będzie skutecznie zniechęcać skarżącą Szkołę do naruszania w taki sposób przepisów ochrony danych osobowych w przyszłości.

W ustalonych okolicznościach niniejszej sprawy, Prezes UODO stwierdził również, że zgodnie z art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, mógł nałożyć, w drodze decyzji, administracyjną karę pieniężną w wysokości do 100.000 złotych, albowiem strona skarżąca jest jednostką sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jednolity Dz. U. z 2019 r. poz. 869).

W związku z powyższym, organ nadzorczy wskazał, że kara pieniężna w wysokości 20.000 złotych spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa wart. 83 ust. 1 RODO ze względu na powagę stwierdzonego naruszenia w kontekście podstawowej zasady RODO - zasady minimalizacji danych.

W piśmie z dnia [...] marca 2020 r. skarżąca Szkoła, działając za pośrednictwem organu nadzorczego, wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r.

Wnosząc o uchylenie zaskarżonej decyzji Prezesa UODO, a także o zasądzenie od organu nadzorczego na rzecz strony skarżącej zwrotu kosztów postępowania według norm przepisanych, skarżąca Szkoła zarzuciła naruszenie przepisów prawa materialnego - poprzez błędną ich interpretację przez organ nadzorczy.

W uzasadnieniu skargi strona skarżąca wskazała na wstępie, że jeśli chodzi o kwestię zarzutu dotyczącego rzekomego naruszenia art. 9 ust. 1 RODO, to należy zauważyć, iż rodzic (opiekun prawny) w sposób dobrowolny wyrażał pisemnie zgodę na korzystanie z czytnika biometrycznego na odcisk palca lub nie wyrażał zgody na korzystanie z czytnika biometrycznego na odcisk palca. W przypadku niewyrażenia zgody uczeń mógł korzystać ze stołówki szkolnej, a weryfikacja odbywała się "ręcznie" na podstawie numeru umowy i nazwiska. Ponadto, skarżąca Szkoła zauważyła, że przetwarzała dane biometryczne w zakresie przetworzonym do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palca dziecka korzystającego z usług stołówki szkolnej za wiedzą i zgodą rodzica (opiekuna prawnego).

Strona skarżąca wskazała, że zgoda rodzica była dobrowolna, konkretna, świadoma i jednoznaczna w formie oświadczenia.

Skarżąca Szkoła podniosła jednocześnie, że bardzo odpowiedzialnie podchodziła do danych biometrycznych i rodzice mieli zaufanie do skarżącej Szkoły w tej kwestii.

Strona skarżąca uznała za niezrozumiałe dla niej stwierdzenie Prezesa UODO, jakoby "Uznanie faktu wyrażenia zgody przez rodziców dzieci jako okoliczności legalizującej pobranie od dzieci innych danych niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów". Skarżąca Szkoła stwierdziła bowiem, że nigdy nie miała i nie ma zamiaru na jakiekolwiek obejście przepisów, a ponadto dodała, że to rodzice wystąpili z inicjatywą zastosowania czytnika biometrycznego na odcisk palca. Strona skarżąca dodała ponadto, że każdy rodzic indywidualnie podejmował decyzją co do chęci skorzystania lub nieskorzystania z czytnika biometrycznego na odcisk palca.

W konsekwencji, skarżąca Szkoły uznała, że zgoda rodzica (opiekuna prawnego) może być przesłanką legalizującą przetwarzanie danych biometrycznych.

Z kolei, jeśli chodzi o kwestię zarzutu dotyczącego rzekomego naruszenia art. 5 ust. 1 lit. c RODO, skarżąca Szkoła zauważyła, iż przed wprowadzeniem czytnika na odcisk palca, stosowała czytnik na elektroniczną kartę, lecz system ten nie spełniał do końca założonego celu weryfikacji uiszczenia opłaty za posiłek w danym dniu, ponieważ dzieci zbyt często gubiły lub zapominały zabrać z domu kartę, zaś - w przypadku braku karty - pozostawała weryfikacja za pomocą nazwiska i numeru karty, która powodowała różne opisane przez stronę skarżącą problemy. W tej sytuacji, jak zauważyła strona skarżąca, Rada Rodziców, widząc tę sytuację, sama zawnioskowała o wprowadzenie systemu na odcisk palca, co miało spowodować likwidację problemów związanych ze gubieniem lub zapominaniem przez dziecko karty obiadowej, czy też z problemem użycia cudzej karty. Strona skarżąca stwierdziła więc, że wychodząc naprzeciw oczekiwaniom rodziców, od dnia 1 września 2015 r. zastosował czytnik biometryczny na odcisk palca, przy czym - co ważne - każdy z rodziców decydował indywidualnie, czy wyraża zgodę, czy też nie na korzystanie z czytnika biometrycznego na odcisk palca swojego dziecka.

W tej sytuacji, strona skarżąca podniosła, że wszystkie alternatywne sposoby weryfikacji nie spełniały w pełni założonego celu weryfikacji uiszczenia odpłatności za posiłek w określonym czasie, tj. szkolnej przerwy.

Niemniej jednak, skarżąca Szkoła wyraźnie zauważyła, że wprowadzała wcześniej inne sposoby weryfikacji odpłatności za posiłek, a dopiero widząc problemy, na wniosek Rady Rodziców i za pisemną zgodą rodzica, zdecydowała się na wprowadzenie czytnika biometrycznego na odcisk palca.

Strona skarżąca podniosła, że stara się stosować zasadę przyjaznej szkoły dla ucznia i rodzica, dbając jednocześnie o poszanowanie zasady minimalizacji danych osobowych.

Strona skarżąca zarzuciła ponadto, że nieprawdą jest, iż rzekomo "(...) całkowicie zignorowała fakt przetwarzania danych biometrycznych dzieci przez stwierdzenie, że nie przetwarza danych w ww. zakresie". Skarżąca Szkoła stwierdziła, że nie użyła takiego sformułowania, a jedynie w piśmie z dnia [...] grudnia 2018 r. wskazała, że "(...) W samym systemie są zapisywane tylko dane osobowe dzieci i rodzica (opiekuna prawnego) oraz informacje o płatności za posiłek. W systemie nie są zapisywane żadne dane, które byłyby danymi biometrycznymi". Skarżąca Szkoła wskazała, że przez system rozumie program System Ewidencji Wpłat i Posiłków (SEWiP), który jest zainstalowany na serwerze. Tym samym, jak stwierdziła strona skarżąca, na serwerze nie są zapisywane dane biometryczne, gdyż dane biometryczne zapisywane są tylko w pamięci samego czytnika biometrycznego na odcisk palca. Skarżąca Szkoła stwierdziła jednocześnie, że miała świadomość, iż przetwarza dane biometryczne, czego dowodem może być użyte w jej piśmie z dnia [...] września 2019 r. sformułowanie, iż "(...) W przypadku rozwiązania umowy dane biometryczne są usuwane" z czytnika, w którym były przechowywane.

Mając powyższe na względzie, skarżąca Szkoła stwierdziła, że choć sporna decyzji Prezesa UODO wydaje się być kontrowersyjną zwłaszcza w stwierdzeniu, że zgoda rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, natychmiast tj. w dniu [...] lutego 2020 r. strona skarżąca usunęła dane osobowe w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej oraz zaprzestała zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej.

Niezależnie od powyższego, strona skarżąca zauważyła jednak, że nie zgadza się z zawartym w spornej decyzji stwierdzeniem organu nadzorczego, jakoby pozyskane przez skarżącą Szkołę dane uczniów obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego, stanowią dane biometryczne w rozumieniu przepisu art. 4 pkt 14 RODO.

W tym miejscu strona skarżąca podniosła, że załączyła do skargi opinię specjalisty systemów automatycznej identyfikacji, w której stwierdzono, że sporne dane osobowe pobierane przez skarżącą Szkołę nie są danymi biometrycznymi. W tej sytuacji, skarżąca Szkoła stwierdziła, że w świetle wspomnianej opinii ma poważne wątpliwości, czy dane zapisywane w czytniku biometrycznym stanowią dane biometryczne, w rozumieniu art. 4 pkt 14 RODO.

W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Odnosząc do zarzutów skarżącej Szkoły dotyczących naruszenia prawa materialnego, Prezes UODO - powołując się na brzemiennie art. 9 ust. 1 RODO oraz art. 4 pkt 14 RODO - wskazał, że szczególnej ochrony danych osobowych wymagają dzieci, ponieważ mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych (motyw 38 preambuły RODO).

Ponadto, organ nadzorczy uznał, że - wbrew stanowisku strony skarżącej - pozyskane przez skarżącą Szkołę dane uczniów obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego stanowią dane biometryczne, w rozumieniu art. 4 pkt 14 RODO. Organ nadzorczy zauważył bowiem, że w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniniem do odebrania obiadu) możliwa jest identyfikacja dziecka.

Biorąc pod uwagę powyższe, Prezes UODO stwierdził, że nie podziela stanowiska zawartego w załączonej do skargi opinii, zgodnie z którą przetwarzane do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców nie umożliwiają jednoznacznej identyfikacji osoby i nie są zatem danymi biometrycznymi.

Ponadto organ wskazał, że Prezes UODO, jako organ nadzorczy, jest na terytorium Polski organem właściwym w sprawach dotyczących ochrony danych osobowych. Tym samym, jak uznał, wyłącznie Prezes UODO posiada kompetencję do dokonywania kwalifikacji prawnej i oceny legalności działań administratorów i podmiotów przetwarzających w zakresie przetwarzania przez te podmioty danych osobowych. W związku z tym, organ nadzorczy stwierdził, że opinia, na którą powołuje się skarżąca Szkoła w zakresie dotyczącym kwalifikacji prawnej i oceny legalności dokonywanego przez stronę skarżącą procesu przetwarzania danych osobowych dzieci, nie jest wiążąca i nie ma znaczenia w niniejszej sprawie. Ponadto, organ nadzorczy podniósł, że w toku postępowania dokonuje oceny stanu faktycznego w oparciu o zgromadzony materiał dowodowy, natomiast dowodem w postępowaniu nie może być przedstawiona przez stronę skarżącą opinia dokonująca kwalifikacji prawnej.

Odnosząc się jedynie z ostrożności procesowej do opinii załączonej do skargi, Prezes UODO wskazał, że gdyby przyjąć interpretację, która przytoczona została w przedmiotowej opinii, to należałoby uznać, iż sam odcisk palca także nie stanowiłby danych biometrycznych, ani danych osobowych w ogólne, gdyż bez zestawienia go z innymi danymi nie można byłoby zidentyfikować osoby, której odcisk ten dotyczy. Zdaniem organu nadzorczego, interpretacja wynikająca ze wspomnianej opinii prowadzi również do wniosku, że w przypadku identyfikacji osoby za pomocą linii papilarnych, czy nawet obrazu tęczówki oka nie mamy do czynienia z danymi biometrycznymi, ponieważ nie umożliwiają one jednoznacznej identyfikacji osób. Organ nadzorczy stwierdził, że z taką interpretacją Prezes UODO stanowczo nie może się zgodzić, albowiem - w ocenie Prezesa UODO - wystarczy, aby możliwa była choćby pośrednia identyfikacja osoby, aby dane jej dotyczące stanowiły jej dane osobowe, co jednoznacznie wynika z definicji zawartej w art. 4 pkt. 1 RODO.

Ponadto, organ nadzorczy stwierdził, że z uwagi na charakter przetwarzania (specjalne przetwarzanie techniczne), a także charakter samych danych, które dotyczą cech fizjologicznych i fizycznych, wskazać należy, że przetwarzane do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców dzieci stanowią dane biometryczne, albowiem służą do zautomatyzowanej weryfikacji uprawnienia konkretnej osoby fizycznej.

Biorąc powyższe pod uwagę, Prezes UODO stwierdził, że niezasadne jest stanowisko skarżącej Szkoły, jakoby nie przetwarzała ona danych biometrycznych.

Organ nadzorczy wskazał, że istnieje sprzeczność pomiędzy wnioskami zawartymi w załączonej przez stronę skarżącą opinii, a treścią samej skargi wniesionej na sporną decyzję.

Ponadto, organ nadzorczy uznał, że skarżąca Szkoła w skardze skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie wychodzi z błędnego założenia, że brak podstawy przetwarzania danych biometrycznych w przesłankach znajdujących się w literach b-j art. 9 ust. 2 RODO automatycznie uprawnia do skorzystania ze zgody, jako podstawy legalizującej sporne przetwarzanie danych osobowych uczniów.

Organ nadzorczy wskazał jednocześnie, że proces przetwarzania danych osobowych przez skarżącą Szkołę musi być zgodny z ustanowionymi w art. 5 ust. 1 RODO zasadami przetwarzania danych osobowych (w tym z zasadą minimalizacji) niezależnie od zgody rodziców, która - w ocenie Prezesa UODO - jest nieskuteczna.

Organ nadzorczy uznał, że w przypadku niespełnienia przez administratora obowiązków określonych w art. 5 ust. 1 RODO, nie ma on podstaw prawnych do przetwarzania danych osobowych, co czyni ten proces nielegalnym.

Organ nadzorczy wskazał, że w takiej sytuacji zgoda rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie.

Zdaniem Prezesa UODO, uznanie faktu wyrażenia zgody przez rodziców dzieci, jako okoliczności legalizującej pobranie od dzieci innych danych, niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów.

Wobec powyższego, organ nadzorczy uznał, że skarżąca Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej.

W związku z tym, z uwagi na to, że skarżąca Szkoła nie legitymuje się żadną z przesłanek określonych w art. 9 ust. 2 RODO, organ nadzorczy uznał, że takie postępowanie prowadzi do naruszenia art. 9 ust. 1 RODO oraz zasady minimalizacji danych ustanowionej w RODO.

Organ nadzorczy zauważył, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu, albowiem wyżej wymienioną identyfikację skarżąca Szkoła może przeprowadzić za pomocą innych środków mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej, czego dowodem jest chociażby to, że w skarżącej Szkole istnieją alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu.

Organ nadzorczy podtrzymał swoje stanowisko, iż weryfikacja tego, kto zamierza skorzystać z usług stołówki szkolnej i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów dane biometryczne, stanowi zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane.

W związku z powyższym, organ nadzorczy uznał, że przetwarzanie przez skarżącą Szkołę danych biometrycznych uczniów jest niezgodne z zasadą minimalizacji.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na skarżącą Szkołę administracyjnej kary pieniężnej. Organ nadzorczy zauważył jednocześnie, że decydując o jej nałożeniu i ustalając jej wysokość, kierował się treścią art. 83 ust. 2 RODO, biorąc pod uwagę szczegółowo określone w zaskarżonym rozstrzygnięciu okoliczności indywidualne dotyczące przedmiotowej sprawy.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2019 r., poz. 2167 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2019 r., poz. 2325, dalej także: "P.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

Należy zauważyć, że zgodnie z zasadą pierwszeństwa, prawo Unii Europejskiej ma wartość nadrzędną nad prawem krajowym państw członkowskich Unii Europejskiej. Nie ulega wątpliwości, że zasada pierwszeństwa dotyczy wszystkich aktów wspólnotowych, które mają moc wiążącą. W konsekwencji, państwa członkowskie UE nie mogą więc stosować przepisu krajowego, który jest niezgodny z prawem UE, gdyż zasada pierwszeństwa gwarantuje jednolitą ochronę prawną obywateli na całym terytorium Unii Europejskiej. Jednocześnie, nie ulega wątpliwości, że sądy krajowe muszą czuwać nad przestrzeganiem zasady pierwszeństwa.

Warto również zwrócić uwagę na zasadę bezpośredniego skutku prawa UE, która umożliwia podmiotom indywidualnym powoływanie się bezpośrednio na prawo unijne przed sądami i to niezależnie od tego, czy w prawie krajowym istnieją podobne regulacje prawne. W ten sposób zasada bezpośredniego skutku gwarantuje stosowanie i skuteczność prawa unijnego w krajach UE.

Zasada bezpośredniego skutku dotyczy nie tylko prawa pierwotnego zawartego w Traktatach UE, ale także aktów prawa wtórnego, a więc aktów przyjętych przez instytucje UE na podstawie wspomnianego prawa traktatowego. W tym miejscu, należy jednak wyraźnie zauważyć, że zakres bezpośredniego skutku zależy od rodzaju danego aktu. W świetle zarówno przepisów traktatowych, jak i dotychczasowego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, pełny skutek bezpośredni mają przepisy rozporządzeń, które są bezpośrednio stosowane w państwach członkowskich UE.

W tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r., zobowiązany był zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO").

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga Szkoły Podstawowej nr [...] z oddziałami [...] im. [...] w [...] zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 r. wydana w przedmiocie nakazania skarżącej Szkole podjęcie określonego działania w zakresie przetwarzania danych osobowych oraz nałożenia kary pieniężnej za stwierdzone naruszenie przepisów o ochronie danych osobowych - narusza w sposób istotny obowiązujące przepisy prawa.

Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję z dnia [...] lutego 2020 r., dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej decyzji administracyjnej.

Analizując niniejszą sprawę, Sąd doszedł do wniosku, że organ nadzorczy, wydając przedmiotową decyzję, dopuścił się przede wszystkim istotnego naruszenia przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., w szczególności art. 5 ust. 1 lit. c oraz art. 9 ust. 1 i ust. 2 lit. a RODO - poprzez ich niewłaściwą wykładnię i zastosowanie, a w konsekwencji wadliwe uznanie, że skarżąca Szkoła, przetwarzając dane biometryczne swoich uczniów podczas korzystania przez nich z usług stołówki szkolnej, dopuściła się zarówno naruszenia zasady "minimalizacji danych", o której mowa w art. 5 ust. 1 lit. c RODO, jak również naruszenia polegającego na przetwarzaniu wspomnianych wyżej danych wrażliwych (sensytywnych) ze złamaniem zakazu przetwarzania takich danych, o którym mowa w art. 9 ust. 1 RODO, z uwagi na niespełnienie - zdaniem organu nadzorczego - jednej z przesłanek uchylających ów zakaz, na którą powoływała się strona skarżąca, a która polegać miała na wyrażeniu wyraźnej zgody przez osobę, której dane dotyczą (art. 9 ust. 2 lit. a RODO).

W konsekwencji istotnego naruszenia wskazanych wyżej przepisów RODO, Prezes UODO w sposób nieuzasadniony zastosował uprawienia wynikające z przepisów art. 58 ust. 2 lit. f i lit. g RODO, nakazując skarżącej Szkole usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej, a także w sposób nieuprawniony nakazując stronie skarżącej zaprzestanie zbierania wspomnianych danych biometrycznych uczniów.

Jednocześnie, w ocenie Sądu, organ nadzorczy w sposób nieuzasadniony zastosował wobec skarżącej Szkoły uprawienie wynikające z przepisów art. 58 ust. 2 lit. i w związku z art. 83 RODO, nakładając na stronę skarżącą karę pieniężną w wysokości 20.000,00 złotych.

Tym samym, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję administracyjną - dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Przechodząc do oceny legalności zaskarżonej decyzji, należy zauważyć na wstępie, iż przedmiotem sporu była zarówno kwestia prawidłowości ustaleń organu nadzorczego w zakresie samego zakwalifikowania przetwarzanych przez skarżącą Szkołę danych osobowych, jako danych biometrycznych, jak również - w dalszej konsekwencji - kwestia prawidłowości stawianych stronie skarżącej zarzutów opartych na regulacjach prawnych zawartych w przepisach art. 5 ust. 1 lit. c oraz art. 9 ust. 1 RODO.

W tej sytuacji, uznać należy w pierwszej kolejności, że - wbrew zarzutom strony skarżącej - Prezes UODO, wydając zaskarżoną decyzję, w sposób właściwy przyjął, iż pozyskane przez skarżącą Szkołę dane uczniów obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego, stanowią dane biometryczne, w rozumieniu przepisu art. 4 pkt 14 RODO.

Wskazać należy, że zgodnie z art. 4 pkt 14 RODO "dane biometryczne" oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

W tej sytuacji uznać należy, że dane, aby uzyskały zgodny z definicją status "danych biometrycznych", muszą łącznie spełniać wskazane w przywołanym wyżej przepisie warunki, tj. być danymi osobowymi, które odnoszą się do określonych cech, na podstawie których - przy użyciu specjalnych metod technicznych - jest możliwa jednoznaczna identyfikacja osoby fizycznej lub potwierdzenie jej tożsamości.

Wymienione w definicji cechy fizyczne i fizjologiczne obejmować mogą m.in. linie papilarne, wygląd siatkówki lub tęczówki oka, owal twarzy, kształt małżowiny usznej, geometrię ręki, układ naczyń krwionośnych dłoni, głos i jego barwę.

Przyjmuje się, że aby określone cechy stały się danymi biometrycznymi charakteryzującymi się wysoką skutecznością w procesach ustalania oraz weryfikowania tożsamości, niezbędne jest ich przetworzenie specjalnymi metodami technicznymi. Za specjalne metody techniczne należy przyjąć techniki, na których oparte są systemy identyfikacji. Za pomocą odpowiednich technik system identyfikacji w sposób zautomatyzowany zestawia szablony cech (właściwości), a następnie przetwarza je na reprezentację cyfrową, którą porównuje z wzorcowymi profilami w poszukiwaniu najlepszego dopasowania. Przy czym, jak wskazuje się w literaturze, kluczowe funkcje spełniane przez systemy identyfikacyjne to umożliwienie jednoznacznej identyfikacji poprzez porównanie konkretnego wzoru biometrycznego z wieloma profilami porównawczymi w bazie danych (one-to-many) albo jednoznacznego potwierdzenia - weryfikacji, autoryzacji (one-to-one) (por. Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. M. Sakowskiej-Baryły, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2018, komentarz do art. 4 pkt 14 RODO).

W tej sytuacji, Sąd uznał, że - wbrew złożonym przez stronę skarżącą wyjaśnieniom - w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka (ucznia szkoły korzystającego z usług stołówki szkolnej) przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniniem do odebrania obiadu) możliwa jest identyfikacja dziecka.

W ocenie Sądu, należy zgodzić się jednocześnie z organem nadzorczym, iż wystarczy, aby możliwa była choćby pośrednia identyfikacja osoby, aby dane jej dotyczące stanowiły jej dane osobowe, co jednoznacznie wynika z definicji zawartej w art. 4 pkt 1 RODO. Ponadto, z uwagi na charakter przetwarzania (specjalne przetwarzanie techniczne), a także charakter samych danych, które dotyczą cech fizjologicznych i fizycznych, stwierdzić należy, że przetwarzane do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców dzieci stanowią dane biometryczne, służą bowiem do zautomatyzowanej weryfikacji uprawnienia konkretnej osoby fizycznej.

Biorąc powyższe pod uwagę, Sąd podzielił stanowisko Prezesa UODO, iż niezasadne są zarzuty skarżącej Szkoły, jakoby nie przetwarzała ona danych biometrycznych swoich uczniów, co rzekomo potwierdzić miała załączona do skargi opinia.

Przechodząc do pozostałych zarzutów wskazać należy, że dane biometryczne zostały zakwalifikowane do tzw. szczególnych kategorii danych osobowych (danych sensytywnych, danych wrażliwych), których przetwarzanie musi być oparte na wskazanych w RODO odpowiednich dla tej kategorii przesłankach (podstawach prawnych).

Co do zasady, w świetle RODO, przetwarzanie szczególnej kategorii danych osobowych ujawniających dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej jest zabronione.

Stanowi o tym przepis art. 9 ust. 1 RODO, który ustanawia generalny zakaz przetwarzania danych osobowych, które mogą być uznane za dane wrażliwe, czyli dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, a więc wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności (por. motyw 51 Preambuły do RODO).

Z kolei, art. 9 ust. 2 RODO określa sytuacje, w których powyższy zakaz przetwarzania danych osobowych wrażliwych został uchylony. Wskazać należy przy tym, iż każda z przesłanek wskazanych w tym przepisie ma charakter autonomiczny i niezależny, a zastosowana przez prawodawcę europejskiego konstrukcja tego przepisu przesądza o zakazie prowadzenia ich wykładni rozszerzającej. Oznacza to, że przesłanki wskazane w art. 9 ust. 2 RODO - co do zasady - są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych wrażliwych (sensytywnych).

Przesłanki określone w art. 9 ust. 2 RODO mają charakter samoistny, niezależny i równoważny, co oznacza w konsekwencji, że dla dopuszczalności przetwarzania wystarczy spełnienie jednej z nich, a prawodawca zasadniczo nie różnicuje przesłanek pod kątem ich doniosłości prawnej.

Podstawową przesłanką, uchylającą zakaz przetwarzania danych wrażliwych, jest zgoda osoby, której dane dotyczą.

Należy zauważyć, że pojęcie "zgody" zostało zdefiniowane w art. 4 pkt 11 RODO i oznacza "dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych".

Na gruncie tego przepisu zgoda na przetwarzanie danych osobowych to okazanie woli przez osobę, której dane dotyczą, którego treścią jest przyzwolenie na przetwarzanie danych osobowych. Okazanie woli może mieć przy tym postać oświadczenia lub wyraźnego działania potwierdzającego, a także charakteryzować się następującymi cechami: być dobrowolne, konkretne, świadome i jednoznaczne (por. m.in. Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. dr. Pawła Litwińskiego, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2018).

Niemniej, należy podkreślić, że zgodnie z treścią art. 9 ust. 2 lit. a RODO dopuszczalne jest przetwarzanie danych sensytywnych, jeśli podmiot danych wyraził w sposób wyraźny zgodę na przetwarzanie danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo UE lub prawo państwa członkowskiego przewiduje, iż podmiot danych nie może uchylić przedmiotowego zakazu. W tej sytuacji, uznać należy, że właściwością charakteryzującą zgodę na przetwarzanie danych sensytywnych jest jej wyraźność.

Cecha wyraźności nie została wprawdzie bliżej określona w przepisach RODO, jednakże można stwierdzić, że jej konsekwencją będzie wymaganie złożenia oświadczenia dotyczącego zgody, jednak bez szczególnego wskazania formy. Z pewnością za niespełniającą warunku wyraźności można uznać zgodę wyrażoną konkludentnie. Nie ulega natomiast wątpliwości, że pisemne oświadczenie, w którym osoba, której dane sensytywne dotyczą, w sposób jednoznaczny i niebudzący jakichkolwiek wątpliwości wskazuje, że wyraża zgodę na ich przetwarzanie w określonym celu (lub kilku konkretnych celach) jest zgodą, o której mowa w art. 9 ust. 2 lit. a RODO.

Mając powyższe na względzie, należy zauważyć, że skarżąca Szkoła w złożonych w toku postępowania wyjaśnieniach wskazała, że przetwarzanie danych biometrycznych jej uczniów znajduje oparcie w dobrowolnej pisemnej zgodzie rodziców (opiekunów prawnych) uczniów korzystających z usług stołówki szkolnej.

Należy zauważyć, iż wspomniana wyżej zgoda została udzielona przez rodziców (opiekunów prawnych) uczniów na piśmie, w treści którego wyraźnie wskazany został określony cel przetwarzania danych osobowych.

W tej sytuacji, Sąd uznał, że pisemne oświadczenia rodziców, na które powoływała się strona skarżąca, w których rodzice uczniów, których dane biometryczne dotyczyły, w sposób jednoznaczny i niebudzący wątpliwości wyrazili zgodę na ich przetwarzanie w określonym celu - świadczą o spełnieniu przesłanki, o której mowa w art. 9 ust. 2 lit. a RODO.

Zdaniem Sądu, nie można zgodzić się ze stanowiskiem zaprezentowanym przez organ nadzorczy, jakoby wspomniana wyżej pisemna zgoda przez skarżącą Szkołę nie świadczyła o spełnieniu przez administratora spornych danych przesłanki, o której mowa w art. 9 ust. 2 lit. a RODO.

W tej sytuacji, Sąd uznał, że - wbrew stanowisku organu nadzorczego - skarżąca Szkoła nie naruszyła generalnego zakazu przetwarzania danych osobowych ustanowionego w przepisie art. 9 ust. 1 RODO, albowiem legitymowała się wyraźną zgodą na przetwarzanie danych biometrycznych uczniów udzieloną przez ich rodziców.

Natomiast, zgodzić się należy z Prezesem UODO, który stwierdził w uzasadnieniu zaskarżonej decyzji, iż niezależnie od spełnienia jednej z przesłanek legalizujących proces przetwarzania danych osobowych sensytywnych, o których mowa w art. 9 ust. 2 RODO, proces przetwarzania danych osobowych musi być dodatkowo zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, które - co należy wyraźnie podkreślić - odgrywają szczególną rolę wśród norm prawnych dotyczących ochrony danych osobowych zawartych w RODO. Przyjmuje się bowiem, że zasady te nie są jedynie postulatami odczytywanymi z całokształtu przepisów o ochronie danych osobowych, ale mają wręcz charakter normatywny - są wiążącymi normami prawa, wyznaczającymi określony sposób postępowania, mając szczególne znaczenie dla stosowania i interpretacji przepisów o ochronie danych osobowych (por. P. Fajgielski /w:/ Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, WKP 2018).

Organ nadzorczy zasadnie uznał zatem, że przetwarzanie spornych danych biometrycznych uczniów przez skarżącą Szkołę powinno być zgodne m.in. z zasadą minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO. Przepis ten stanowi, że dane osobowe muszą być: adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych").

Warto w tym miejscu zauważyć jednocześnie, że motyw 39 Preambuły RODO stanowi, że "(...) Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami (...)".

Zasada minimalizacji danych wprowadza kryteria limitacyjne ograniczające zbieranie i dalsze przetwarzanie danych osobowych, co prowadzi do ograniczenia zakresu przetwarzania danych opartego na kryterium niezbędności, co oznacza, by przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania.

Koresponduje to ze wspomnianym wyżej motywem 39 Preambuły RODO, który wskazuje, że dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Przyjmuje się, że w myśl omawianej zasady, dane muszą być odpowiednie i stosowne do osiągnięcia celu ich zebrania, lecz zarazem nie mogą być nadmierne. Dane mogą być więc przetwarzane tylko w takim zakresie, który jest niezbędny dla osiągnięcia celu ich zebrania. Tym samym, przetwarzanie danych w zakresie zbędnym dla osiągnięcia celu będzie oznaczało naruszenie przepisów rozporządzenia. Zasadę minimalizacji danych należy rozpatrywać łącznie z pozostałymi zasadami, w szczególności z zasadą ograniczenia celu. Realizacja proporcjonalności przetwarzania danych jest zależna od prawidłowości określenia celu przetwarzania, który wyznacza zakres zbieranych danych niezbędnych dla osiągnięcia tego celu. Przetwarzanie danych w sposób proporcjonalny oznacza bowiem obowiązek zagwarantowania, aby dane osobowe zebrane przez administratora były odpowiednie do celów przetwarzania oraz odpowiadające im pod względem ilościowym, treściowym i zakresowym (por. Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. dr. Marleny Sakowskiej-Baryła, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2018, t. 6 komentarza do art. 5 RODO i cyt. tam literatura).

W konsekwencji, przyjmuje się, że aby ustalić, czy przetwarzana ilość danych lub ich zakres wykraczają poza zakres adekwatnych danych, należy najpierw zdefiniować cel przetwarzania, ponieważ odpowiednio określony cel będzie determinował, jakie dane są niezbędne do jego osiągniecia (por. D. Lubasz /w:/ MERITUM. Ochrona danych osobowych, pod red. dr. D. Lubasza, wyd. 1, Wydawnictwo Wolters Kluwer, Warszawa 2020, s. 114).

Powołując się na zasadę minimalizacji danych, Prezes UODO uznał, że przetwarzanie danych biometrycznych uczniów nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Organ nadzorczy uznał bowiem, że wyżej wymienioną identyfikację skarżąca Szkoła może przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej. Organ nadzorczy zauważył, że skoro z zebranego materiału dowodowego wynika, że skarżąca Szkoła umożliwia korzystanie z usług stołówki szkolnej za pomocą odcisku linii papilarnych, karty elektronicznej lub na podstawie nazwiska i numeru umowy, to uznać należy zatem, że w Szkole istnieją alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu.

Prezes UODO podkreślił jednocześnie, że dane biometryczne mogą być wykorzystywane m.in. w celach zapewnienia bezpieczeństwa osobowego, przemysłowego, ochrony informacji w celu weryfikacji osób podejrzanych i ocenie ich udziału w przestępstwach, czy też w celu wydawania dokumentów identyfikacyjnych (paszportów) lub kontroli dostępu do określonych sfer bezpieczeństwa. Zdaniem organu nadzorczego, w przypadkach tych procesy te mogą być rozważane jako uzasadnione z uwagi na przedmiot ochrony lub powagę realizowanego celu, a zakres wykorzystywanych danych za adekwatny.

W tej sytuacji, Prezes UODO uznał, że weryfikacja tego, kto zamierza skorzystać z usług stołówki szkolnej i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów danych biometrycznych, stanowi zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane. W konsekwencji, organ nadzorczy stwierdził, że przetwarzanie przez skarżącą Szkołę danych biometrycznych uczniów jest niezgodne z zasadą minimalizacji, o której mowa w art. 5 ust. 1 lit. c RODO.

Z kolei, skarżąca Szkoła podkreślała w toku postępowania, że wszystkie alternatywne sposoby weryfikacji nie spełniały w pełni założonego celu weryfikacji uiszczenia odpłatności za posiłek w określonym czasie, tj. szkolnej przerwy. Szkoła podkreślała w wyjaśnieniach przedstawionych organowi nadzorczemu, że wprowadzała wcześniej inne sposoby weryfikacji odpłatności za posiłek i dopiero widząc problemy, na wniosek Rady Rodziców i za pisemną zgodą rodzica, zdecydowała się na wprowadzenie czytnika biometrycznego na odcisk palca. Szkoła wskazała w konsekwencji, że dbając o poszanowanie zasady minimalizacji danych osobowych, najpierw stosowała system weryfikacji odpłatności za obiad na kartę obiadową, zaś czytnik na odcisk palca nie został wprowadzony jako pierwszy, ale w następstwie czytnika na kartę obiadową i dopiero wówczas, gdy poprzednio stosowane metody weryfikacji danych okazały się nie spełniać pokładanych oczekiwań.

W ocenie Sądu, zaprezentowana przez organ nadzorczy wykładnia art. 5 ust. 1 lit. c RODO i wyrażonej w nim zasady minimalizacji danych jest błędna, gdyż w sposób nieuprawniony pomija w ramach jej oceny istotny aspekt adekwatności i stosowności, co prowadzi w konsekwencji do zbyt rygorystycznego postrzegania tej zasady.

Otóż, należy zauważyć, że użyte w przepisie art. 5 ust. 1 lit. c RODO określenie "adekwatne" oznacza "odpowiednie, zgodne, proporcjonalne, nienadmierne" i może być traktowane jako synonim słowa "stosowne". Adekwatność i stosowność rozumieć można jako konieczność zachowania odpowiednich proporcji zakresu danych do celów przetwarzania i przetwarzanie tylko takich danych, które są potrzebne dla realizacji określonych celów.

Dalsza część przepisu art. 5 ust. 1 lit. c RODO zawiera wymóg, aby dane były ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Według Sądu, uznać należy wprawdzie, że dane osobowe, które są zbędne do realizacji celu, nie powinny być przetwarzane. Niemniej jednak, co trzeba wyraźnie podkreślić, odczytywanie z analizowanego przepisu normy nakazującej ograniczenie danych jedynie do niezbędnego minimum i przetwarzanie tylko takich danych, bez których nie da się osiągnąć celu (taka właśnie wykładnia została zaprezentowana przez Prezesa UODO), uznać należy za interpretacją zbyt daleko idącą.

Zdaniem Sądu, wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.

W tym miejscu zauważyć należy, iż w praktyce często zdarza się, że cel można osiągnąć łatwiej, szybciej i taniej, wykorzystując dane, bez których osiągnięcie podstawowego celu jest możliwe. Niemniej jednak, w ocenie Sądu, przyjęcie tak restrykcyjnej wykładni, jaką zaprezentował w niniejszej sprawie organ nadzorczy, uniemożliwiałoby w praktyce przetwarzanie jakichkolwiek innych danych, niż tylko te, bez których cel nie może zostać osiągnięty.

Również w literaturze zwraca się uwagę, że zasada wyrażona w art. 5 ust. 1 lit. c RODO została skrótowo określona jako "minimalizacja danych", co nie do końca odpowiada jej istocie i może być powodem restrykcyjnej interpretacji, prowadzącej do różnorodnych wątpliwości i problemów (problem ten zauważył m.in. prof. P. Fajgielski /w:/ Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, WKP 2018).

W doktrynie przyjmuje się, że wspomniana zasada odnoszona do ustalenia zależności między celem a zakresem przetwarzania danych, oznacza dwa wymogi: 1) ograniczenie zbierania danych jedynie do tych, które są niezbędne do osiągnięcia celu, oraz 2) konieczność usunięcia danych, gdy staną się one zbędne do osiągnięcia celu przetwarzania (por. M. Jagielski, Prawo do ochrony danych osobowych. Standardy europejskie, Warszawa 2010, s. 87).

W tej sytuacji, starając się literalnie odczytać wymogi adekwatności i minimalizacji, można dojść do wniosku, że w praktyce nie jest łatwo je ze sobą pogodzić, albowiem adekwatność zakłada dokonanie oceny przydatności określonego rodzaju danych do realizacji celu, natomiast minimalizacja prowadzi do uznania, że jeśli cel można osiągnąć bez przetwarzania określonego rodzaju danych, to nie należy takich danych przetwarzać.

Wojewódzki Sąd Administracyjny w Warszawie, rozstrzygając w niniejszej sprawie, stwierdził jednak, podzielając w pełni stanowisko prof. P. Fajgielskiego zaprezentowane we wskazanej powyżej publikacji, że można pogodzić ze sobą te dwa nie do końca spójne wymogi, uznając, że ich spełnienie należy oceniać łącznie, co w konsekwencji oznacza, że nie powinno się przyznawać prymatu minimalizacji kosztem adekwatności. W tej sytuacji, Sąd stwierdził, że za dopuszczalne uznać należy przetwarzanie danych w nieco szerszym zakresie, niż tylko - jak przyjął Prezes UODO - konieczne minimum, pod warunkiem, że przetwarzane dane mają ścisły związek z realizacją celu (np. ułatwiają jego osiągnięcie).

W konsekwencji, Sąd uznał, że nie można zgodzić się z organem nadzorczym, iż przetwarzanie przez skarżącą Szkołę danych biometrycznych uczniów jest niezgodne z zasadą minimalizacji, o której mowa w art. 5 ust. 1 lit. c RODO.

Ponadto, warto zauważyć, że w doktrynie wskazuje się, że administrator powinien być w stanie wykazać i uzasadnić istnienie uzasadnionego związku między celem przetwarzania a ustalonym przez niego zakresem danych, które planuje przetwarzać (por. D. Lubasz /w:/ MERITUM. Ochrona danych osobowych, pod red. dr. D. Lubasza, wyd. 1, Wydawnictwo Wolters Kluwer, Warszawa 2020, s. 114).

Zdaniem Sądu, nie ulega wątpliwości, że skarżąca Szkoła, jako administrator spornych danych biometrycznych, uzasadniła w toku postępowania wyjaśniającego istnienie uzasadnionego związku między celem przetwarzania a ustalonym przez nią zakresem danych, które planuje przetwarzać, a także wyjaśniła w sposób precyzyjny, dlaczego poprzednio stosowane metody weryfikacji danych okazały się nie spełniać pokładanych oczekiwań.

Mając powyższe na względzie, Sąd uznał, że w konsekwencji istotnego naruszenia wskazanych wyżej przepisów art. 5 ust. 1 lit. c oraz art. 9 ust. 2 lit. a RODO, Prezes UODO w sposób nieuzasadniony zastosował uprawienia wynikające z przepisów art. 58 ust. 2 lit. f i lit. g RODO, nakazując skarżącej Szkole usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej, a także w sposób nieuprawniony nakazując stronie skarżącej zaprzestanie zbierania wspomnianych danych biometrycznych uczniów.

Jednocześnie, w ocenie Sądu, organ nadzorczy w sposób nieuzasadniony zastosował wobec skarżącej Szkoły uprawienie wynikające z przepisów art. 58 ust. 2 lit. i w związku z art. 83 RODO, nakładając na stronę skarżącą karę pieniężną w wysokości 20.000,00 złotych.

Tym samym, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję administracyjną - dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Analizowane działanie Prezesa UODO w sposób istotny naruszało także zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażonej w art. 8 k.p.a. Nie ulega bowiem wątpliwości, że zasada zaufania wyrażona w przepisie art. 8 k.p.a. ma kontekst konstytucyjny i unijny, zaś organy administracji publicznej są obowiązane, w ramach wykładni zgodnej z prawem UE i Konstytucją RP, uwzględniać, że zasada zaufania, również w aspekcie procesowym, jest zasadniczym elementem zasady demokratycznego państwa prawa i jako taka ma swoje umocowanie i źródło w art. 2 Konstytucji RP.

W tej sytuacji, skoro działanie organu nadzorczego nie spełniało w sposób ewidentny powyższych warunków, stanowiło to podstawę do wyeliminowania z obrotu prawnego zaskarżonej decyzji Prezesa UODO z dnia [...] lutego 2020 r.

Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie - działając na podstawie art. 145 § 1 pkt 1 lit. a i c P.p.s.a. - orzekł, jak w pkt. 1 sentencji wyroku.

Zasądzając jednocześnie od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej Szkoły kwotę 400 złotych tytułem zwrotu kosztów postępowania sądowego, Sąd działał na podstawie przepisów art. 200 P.p.s.a. w związku z art. 209 P.p.s.a.

[pic][pic]