Iskolai adatkezelésekkel összefüggő bírságok

I. Március 5-én az Izlandi Adatvédelmi Hatóság 8.945 euro (kb. 3 millió forint) összegű bírságot szabott ki egy helyi gimnáziumra, annak személyes adatokkal kapcsolatos jogsértéséért.

A Hatóság vizsgálata szerint akkor történt a jogsértés, amikor az intézmény tanára e-mail üzenetet küldött a tanulók, valamint a tanulók szülei, a gyermek feletti szülői felügyeletet gyakorló személyek – összesen 57 érintett – részére konzultációval kapcsolatos információkról. Azonban az e-mail üzenet csatolmánya nem a tanár által vélt konzultációval kapcsolatos információkról tájékoztatott, hanem más tanulók – összesen 18 érintett – tanulmányi teljesítményéről, egészségéről, társadalmi körülményeiről, problémáiról szóló információkat tartalmazott. Ilyen információk voltak különösen egy tanuló betegségével, egy másik tanuló mentális egészségi problémáival, valamint egy tanulót érintő gyermekvédelmi intézkedésekkel összefüggő adatok.

A Hatóság vizsgálatát követően megállapításra került, hogy a kezelt adatok védelmét biztosító adatvédelmi előírások megtartása, megfelelő technikai és szervezési intézkedések meglétének hiánya eredményezte a jogsértést, megszegve – többek között – az általános adatvédelmi rendelet (GDPR) személyes adatok kezelésére vonatkozó elvekről szóló 5. cikk (1) bekezdés f) pontjában, valamint az adatkezelés biztonságáról szóló 32. cikkben foglalt rendelkezéseket. A Hatóság a bírság kiszabásakor figyelembe vette, hogy az iskola non-profit szervezet, valamint, hogy az érintett személyes adatok a tanulók egészségügyi és egyéb problémáival kapcsolatosak.

II. A Lengyel Adatvédelmi Hatóság a tanulók ujjlenyomatának jogszerűtlen kezeléséért szabott ki bírságot Gdansk 2. számú általános iskolájára 20.000 złoty (kb. 1,5 millió forint) összegben.

A Hatóság hivatalból indított eljárását követően megállapításra került, hogy az iskolai étkező bejáratánál elhelyezett biometrikus olvasó a gyermekeket az iskolai étkezésük befizetésének ellenőrzése érdekében azonosítja. Az iskola a szülők, illetve a gyermek feletti szülői felügyeletet gyakorlók írásos hozzájárulásával gyűjtötte és kezelte a személyes adatokat, mely adatkezelés 2015. április 1. óta áll fent és a 2019/2020-as évben 680 gyermeket érintett. A Hatóság megállapította, hogy a különleges személyes adatok (biometrikus adatok) kezelése nem elengedhetetlen az adatkezelés céljának eléréshez, vagyis annak ellenőrzéséhez, hogy a gyermek jogosult-e az iskolai ebédre, hozzátéve, hogy az iskola a biometrikus adatokat megfelelő jogalap nélkül kezelte, ugyanis az iskolának lehetősége van tanulók magánéletét kevésbé zavaró módon is elérni az adatkezelés célját, mivel az iskola lehetővé teszi az ujjlenyomatos azonosításon túl, más módokon is a gyermekek étkezésre való jogosultságának ellenőrzését, így elektronikus kártyákkal, vagy egyes adatok (pl. név, szerződésszám) megadásával. A Hatóság a pénzbírságon felül elrendelte a gyermekek – ujjlenyomatainak digitális formában kezelt – személyes adatainak törlését és a személyes adatok további gyűjtésének beszüntetését.

Az iskola honlapján elérhető étkezésre vonatkozó szabályok szerint a biometrikus azonosítóval nem rendelkező tanulók a sor végén kötelesek várakozni, egészen addig, amíg valamennyi biometrikus azonosítóval rendelkező tanuló be nem lépett az étkezőbe, majd miután már minden biometrikus azonosítóval rendelkező tanuló belépett az étkezőbe, az ilyen azonosítóval nem rendelkező tanulók egyesével léphettek be az étkezőbe. A Hatóság álláspontja szerint feltűnően aránytalan a biometrikus adatok kezelése az előbb említett cél érdekében és az étkezésre vonatkozó, fent említett szabályok indokolatlanul megkülönböztető jellegűek, előnyben részesítve az azonosítóval rendelkező tanulókat az ilyen azonosítóval nem rendelkező tanulókkal szemben.

Kiemelendő, hogy a gyermekek személyes adatai különleges védelmet igényelnek, jelen esetben még hangsúlyosabban, ugyanis a vizsgált adatkezelés a személyes adatok a GDPR 9. cikk szerinti különleges kategóriáit érinti. Tekintettel a biometrikus adatok egyedi és állandó – az idő múlásával is változatlan – jellegére, a biometrikus adatok kezelése során különös körültekintéssel kell eljárnunk, az ilyen adatok különleges védelemben részesítendők, ugyanis a biometrikus adatok kiszivárgása magas kockázattal járhat a természetes személyek jogaira és szabadságaira.

Látható, hogy a kiszabott bírságok mértéke nem kirívó, azonban az is, hogy a jogszerűtlen adatkezelések egyes személyeket hátrányosan érinthetnek, tehát az adatkezelések során az adatvédelmi előírások figyelembe vétele, megfelelő intézkedések megléte nem csak a bírság elkerülése, hanem az érintett személyek magánéletét illető védelem megóvása érdekében is elengedhetetlen.

További információk:

https://edpb.europa.eu/news/national-news/2020/personal-data-breach-breidholt-upper-secondary-school-administrative-fine_en

https://edpb.europa.eu/news/national-news/2020/fine-processing-students-fingerprints-imposed-school_en

Kép: Twitter