“Uzgodniona” podstawa i tryb przetwarzania danych – wyrok NSA

Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 21 grudnia 2024

21

gru
2024

O bezpieczeństwie danych osobowych należy pomyśleć już na etapie projektowania procesu (w tym podstawy i trybu) ich przetwarzania. Uwagę na to zwraca Prezes UODO w wydanych decyzjach. Nie zawsze jednak są one trafne i bywają uchylane przez sąd rozpoznający skargę na decyzję. Miało to miejsce również w przypadku Szkoły Podstawowej nr 2 w Gdańsku. Sprawa wzbudziła od początku wiele kontrowersji i w końcu doczekała się swojego finału – orzeczenia NSA.

DECYZJA PREZESA UODO

Prezes UODO decyzją z dnia 18 lutego 2020 roku nałożył administracyjną karę pieniężną w wysokości 20 tys. zł na Szkołę Podstawową nr 2 w Gdańsku. Była to pierwsza kara za naruszenie przepisów RODO nałożona na placówkę oświatową. Powodem ukarania podmiotu było przetwarzanie danych biometrycznych uczniów (wyjaśnienie definicji danych biometrycznych można znaleźć w Komunikacie IOD-y). Celem przetwarzania było potwierdzanie uiszczenia opłaty za posiłek, a to z kolei miało usprawnić proces ich wydawania. Weryfikacja uczniów odbywała się dzięki umieszczeniu przy wejściu na stołówkę czytnika linii papilarnych. Identyfikował on dzieci, których rodzice wyrazili pisemną zgodę na przetwarzanie danych w tym celu. Uczniowie ci mieli pierwszeństwo w kolejce do wydania posiłku.

W ocenie organu nadzorczego Szkoła naruszyła tym przepisy RODO, ponieważ nie posiadała podstawy prawnej do przetwarzania danych szczególnej kategorii. Prezes UODO w decyzji podkreślił, że „(…)  zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie. Uznanie faktu wyrażenia zgody przez rodziców dzieci jako okoliczności legalizującej pobranie od dzieci innych danych niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów”. W związku z tym w ocenie organu nadzorczego Szkoła przetwarzała dane bez podstawy prawnej. Organ nadzorczy stwierdził również naruszenie zasady minimalizacji danych przez administratora, ponieważ „przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu”.

ZGODA JAKO PODSTAWA PRZETWARZANIA DANYCH

Zgoda jest jedną z sześciu podstaw przetwarzania danych (więcej informacji o zgodzie jako przesłance legalizującej przetwarzanie danych można znaleźć tutaj). Umiejscowienie jej w art. 6 ust. 1 RODO jako pierwszej może prowadzić do błędnego mniemania, że ma ona pierwszeństwo przed pozostałymi przesłankami. Jest to nieprawidłowe stwierdzenie. Administrator zawsze bowiem w pierwszej kolejności powinien sprawdzić, czy przetwarzanie danych można oprzeć na innej podstawie (np. wykonania umowy czy wypełnienia obowiązku prawnego).

W przypadku braku tak jednoznacznych przesłanek możliwe jest również oparcie przetwarzania danych na prawnie uzasadnionym interesie. Jednak aby administrator mógł je przetwarzać na podstawie art. 6 ust. 1 lit. f RODO musi najpierw przeprowadzić tzw. „test równowagi”, tj. wyważyć interesy swoje i podmiotów danych oraz wpływ przetwarzania na ich prawa i wolności.  Chociaż nie wiemy czy w  przedmiotowej sprawie Szkoła wykonała test, to negatywny wpływ na jego wynik mogłyby mieć potencjalne obawy rodziców związane z bezpieczeństwem danych biometrycznych dzieci. W takim przypadku lepiej jest „uzgodnić” proces z podmiotami danych.

Gdy inne przesłanki z art. 6 ust. 1 RODO nie mają zastosowania, przetwarzanie danych można oprzeć na zgodzie podmiotu danych (co też Szkoła uczyniła). Aby zgoda na przetwarzanie danych była ważna musi być świadoma, a w komentowanym stanie faktycznym taka była. Rodzice dzieci byli informowani o celu przetwarzanie danych (usprawnieniu procesu wydawania posiłków) oraz o skutkach niewyrażenia zgody (tj. braku pierwszeństwa w kolejce). Właściwie tylko ta ostatnia kwestia budziła wątpliwości z perspektywy rzeczywistej dobrowolności wyrażanej zgody i powinna zostać (bo nie była) podniesiona w decyzji organu, a następnie zmieniona.

WYROK WSA

Administrator nie zgodził się ze stanowiskiem Prezesa UODO i wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA). Sąd wyrokiem z dnia 7 sierpnia 2020 roku (sygn. akt II SA/Wa 809/20) uchylił decyzję organu nadzorczego. W wydanym orzeczeniu WSA stwierdził, że Prezes UODO dokonał błędnej wykładni art. 9 ust. 2 lit. a RODO oraz art. 5 ust. 1 lit. c RODO. Organ nadzorczy nieprawidłowo przyjął, że Szkoła przetwarzała dane bez podstawy prawnej, bowiem dysponowała ona wyraźną zgodą rodziców. Z kolei w kontekście naruszenia przez Szkołę zasady minimalizacji danych WSA wskazał, że nie może być ona rozumiana jako hamulec dla ulepszania procesów.

WYROK NSA

Z kolei z orzeczeniem WSA nie zgodził się Prezes UODO i wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego w Warszawie (NSA). Wyrokiem z dnia 10 października 2024 roku (sygn. akt III OSK 4804/21) NSA oddalił skargę kasacyjną Prezesa UODO. Orzeczenie to jest ostateczne i prawomocne. NSA w uzasadnieniu wyroku zwrócił uwagę na specyfikę podstawy przetwarzania danych osobowych, jaką jest zgoda. Różni się ona od pozostałych przesłanek z art. 6 ust. 1 RODO tym, że cel przetwarzania danych jest uzgadniany przez obie strony (tj. ADO oraz osobę, którą dane dotyczą). Z uwagi na to organ nadzorczy nie ma kompetencji, aby podważać ustalony w ten sposób cel przetwarzania danych.

NSA wypowiedział się również na temat rzekomego naruszenia przez placówkę oświatową zasady minimalizacji danych: „ (…) jeżeli osoba, której dotyczą dane, na mocy przyznanej jej treścią art. 6 ust. 1 lit. a bądź art. 9 ust. 2 lit a RODO autonomii, świadomie, dobrowolnie, konkretnie, jednoznacznie, a  w  odniesieniu do danych wrażliwych również wyraźnie zgodzi się na przetwarzanie jej danych osobowych, wyznaczając >>parametry<< tego przetwarzania w sposób, który w przekonaniu tej osoby realizuje zadekretowaną w art. 5 ust. 1 lit b [sic] RODO zasadę minimalizacji danych, to nie ma podstaw do formułowania odmiennych ocen w tym zakresie. W takim wypadku treść zasady minimalizacji danych >>wypełnia<< zgoda osoby, której dane osobowe będą przetwarzane”.

PODSUMOWANIE

Z roku na rok decyzji wydanych przez Prezesa UODO jest coraz więcej. Niejednokrotnie wzbudzają one kontrowersje i są szeroko komentowane w środowisku. Można również zaobserwować, że niezadowoleni z wydanych decyzji administratorzy coraz częściej składają na nie skargi do WSA, a następnie (w przypadku niekorzystnego wyroku) skargi kasacyjne do NSA. Prezes UODO nie jest nieomylny, a jego decyzje bywają uchylane w toku postępowania sądowego. I chociaż przy zbieraniu szerszego zakresu danych, w tym danych biometrycznych, wzrasta ryzyko naruszenia praw i wolności podmiotów danych w przypadku wycieku tych informacji, należy uszanować wolność informacyjną jednostki i zgodę na ich wykorzystanie w ustalonym celu.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.