Gdańsk. 20 tys. zł kary dla Szkoły Podstawowej nr 2. Na stołówce gromadzono odciski palców
Stołówka szkolna z systemem biometrycznym do ewidencji uczniów w pierwszej chwili brzmi niczym scena z filmu sci-fi, ale takie rozwiązanie faktycznie się pojawiło, i to w Gdańsku w Szkole Podstawowej nr 2. Jednak placówka złamała tym samym RODO, za co Urząd Ochrony Danych Osobowych nałożył na nią 20 tys. zł kary.
Trudno jednoznacznie stwierdzić, dlaczego szkoła postawiła na biometrię. Można się tylko domyślać, że miało to na celu ułatwienie zajęć pracownikom obsługi, którzy w efekcie nie musieli każdorazowo sprawdzać legitymacji i szukać danego nazwiska na liście uczniów zapisanych na obiady.
Wystarczyło przyłożyć palec i gotowe. Rodzice co prawda, jak czytamy w decyzji UODO, mogli nie wyrazić zgody na taką weryfikację, ale wtedy ich dziecko obsługiwane było na końcu.
Zgodnie z zasadami wydawania obiadów umieszczonymi na stronie stołówki prowadzonej przez Szkołę - uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki (pkt 3), oraz gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej (pkt 9). ~ZSZZS.440.768.2018
Z interpretacji serwisu Niebezpiecznik wynika, że władze szkoły nie zdawały sobie sprawy z faktu, iż dochodzi do jakichkolwiek uchybień. Błędnie założono bowiem, że wzorzec odcisku palca przechowywany w formie bitowej (cyfrowej), a więc nieprzedstawiający wprost układu linii papilarnych, nie jest odciskiem palca w ujęciu ustawy RODO.
Szkoła do końca obstawała przy swoim i – w opinii UODO – nie podjęła żadnych działań mających na celu zminimalizowanie szkody. I dlatego właśnie musi zapłacić karę. Tym bardziej, że doszło do naruszenia danych dzieci, czyli osób potencjalnie nieświadomych konsekwencji takiego czynu, co również wypunktowano w uzasadnieniu do decyzji.
Co w trawie piszczy?
Kontrowersyjny system został wprowadzony we wrześniu 2015 r. Składał się na niego wspomniany wielokrotnie czytnik linii papilarnych, a także oprogramowanie SEWiP (system ewidencji wpłat i posiłków) zainstalowane na szkolnym serwerze.
Każdy uczeń miał założony profil, do którego, prócz odcisku, przypisane były: imię, nazwisko, klasa, uprawnienie do odbierania posiłku, dane kontaktowe rodzica oraz numer porządkowy.
Czytnik biometryczny pobierał odcisk, który konwertował na wzorzec binarny, a następnie nadawał mu numer od 1 do 3000. Zgodny z numerem porządkowym ucznia w bazie danych. Kiedy uczeń pojawił się na stołówce i zeskanował swój palec, pracownik obsługi natychmiast otrzymywał informację, czy dane dziecko jest uprawnione do odebrania posiłku.
