Bírság a tanulók ujjlenyomatának kezelés miatt
A lengyel Adatvédelmi Hivatal (UODO) 20 000 lengyel zloty (kb. 1,5 millió Ft) bírságot szabott ki egy iskolára, jogsértő adatkezelés miatt, mivel összesen 680 gyermek ujjlenyomatait kezelték jogellenesen az iskolai étkezde használatához. Az adatkezelést elsősorban amiatt nyilvánították jogellenesnek, mert a diákok azonosítása enyhébb eszközökkel is történhetett volna, tehát sérült az adattakarékosság és az arányosság és szükségesség. Az UODO elrendelte egyben a gyermekek ujjlenyomatainak törlését, valamint a további adatkezelés beszüntetését.
Az eljárás során fény derült arra, hogy az iskola a szülők vagy a törvényes képviselők írásos hozzájárulása alapján 2015. áprilisa óta kezelte az ujjlenyomatokat. Ez az eset is tökéletesen mutatja azt, hogy attól, hogy az egyébként alapelvi szinten jogellenes adatkezeléshez hozzájárulást kér az adatkezelő, még ez nem fogja az adatkezelést jogszerűvé tenni.
Az ügy kapcsán a hatóság arra is rámutatott, hogy a biometrikus adatok kezelése nem nélkülözhetetlen a gyerekek étkezésre való jogosultságának ellenőrzéséhez. Az iskola más azonosítási módszert is igénybe vehetett volna, amellyel nem sértették volna ilyen mértékben a tanulók magánéletét. Az sem sokat javított az adatkezelés hatósági megítélésén, hogy az iskola egyébként lehetővé tette, hogy az étkezőt ne csak ujjlenyomattal, de akár elektronikus kártyával vagy a név és a szerződésszám megadásával is igénybe lehessen venni.
Azoknak a diákoknak, akiknek nem volt biometrikus azonosítója, ki kellett várniuk a sor végét, amíg a biometrikus azonosítást engedélyező diákok bejutnak az étkezőbe. A hatóság elnöke szerint a jogellenes adatkezelésen felül az egyenlő bánásmód követelménye is sérülhetett a tanulók indokolatlan megkülönböztetése által. Az indoklásban kiemelik, hogy elvárják a gyerekek adatainak kezelése során a speciális védelmet, különösképpen, ha biometrikus adatok kezeléséről van szó.
A biometrikus adatok egyedi és állandó vonása miatt (ami azt jelenti, hogy nem változnak az idő elteltével) ezeket különös gondossággal kell kezelni. Indokolatlan kezelésük a kompromittálásuk esélyét is lényegesen növeli, hiszen minél több adatkezelőnél, minél több adatbázisban léteznek ezek az adatok, annál nagyobb a veszély is.
