Ezt a bírságot egy lengyelországi iskola kapta egy olyan rendszerrel kapcsolatban, ami már 2015(!) óta, azaz jóval a GDPR hatályba lépése előtt működött. Felmerülnek a kérdések, ez hogyan lehetséges és miért is érdekes ez a számunkra: Miről is volt pontosan szó?

Arról, hogy az étkezdébe való belépéskor ujjlenyomat azonosítással ellenőrizték azt, hogy melyik gyerek fizette be az ebédet, és aki befizette, és előre is sorolták azt, aki így azonosította magát. Ehhez pedig megkérték a szülőktől az engedélyt, azaz látszólag több mint kifogástalan volt a rendszer, hiszen:

- logikus, hogy így nem lehet csalni
- gyors, praktikus megoldás arra, hogy a gyerekek ne felejtse otthon az azonosítójukat
- kényelmes
- ráadásul csak akkor alkalmazták ezt a rendszert, ha a szülő hozzájárult, mert nem volt kötelező.

Hol van tehát a hiba? Hiszen ez több mint tökéletes első látásra!

És mégsem az. Miért nem?

Vegyük górcső alá a fentieket, és máris láthatóvá válik a hiba, az, ugyanis éppen az utolsó pontban szerepel. Ott, hogy ha nem járult hozzá a szülő, akkor nem volt kötelező a rendszer alkalmazása. Sőt a vizsgálat során az is kiderült, hogy lehetett akár kártyás azonosítást is végezni, sőt, a befizetési igazolásokat is elfogadták.

Ebből következően egyértelművé vált az, hogy szükségtelen volt a Biometrikus adat kezelésbe vétele, mivel az lényegesen túlmutatott az Adatkezelés célján, sőt mi több, olyan Személyes adatokat vettek kezelésbe, amelyek az ember egész életében változatlan ergo azok illetéktelen kezekbe kerülése számottevő kockázattal járhat az érintettek számára. Tekintettel pedig arra, hogy a rendszer működése enélkül az azonosító nélkül is lehetséges, ezért annak a kezelésbe vételét a GDPR alapján már nem lehet megindokolni.

Ez eddig persze még mindig úgy tűnik, hogy butaság. Akkor folytassuk a probléma elemzését:

Mert a probléma az, hogy "a gyorsaságra" hivatkozva a sor végére azokat, akik nem így azonosították magukat, ergo, az önkéntesség fogalma sérült, hiszen hátrányt szenvedett az, aki nem adta meg ezt az azonosítóját. Ez volt tehát a büntetés elsődleges oka, a többi csak a súlyosbító tényező volt.

Ismét jól látható tehát a Rendelet következetessége:

- ha van mód a Személyiségi jogokat kevésbé korlátozó megoldás alkalmazására (kártya vs. ujjlenyomat), akkor az előbbit kell alkalmazni
- az Önkéntesség feltétele az, hogy semmiféle hátrány ne érje azt, aki a lehetőséggel nem kíván élni
- és senkit sem érdekel, hogy a hibás gyakorlatot régóta folytatták, mert ez legfeljebb a büntetés mértékét növelő tényező lehet (vö: Sziget precedens 2019, Magyarország)
- a szülői/gondviselői hozzájárulás csak akkor minősül Hozzájárulásnak, ha az valóban és bizonyítottan önkéntesen és minden negatív behatástól mentesen kerül megadásra.

Mit érdemes tehát a fentiekből megtanulni?

Azt, hogy nem az volt a baj, hogy kitalálták azt, hogy az ujjlenyomat mindig ott van a gyereknél, mert az egy remek ötlet. Éppen ezért, ha ezt úgy valósították volna meg, hogy egy magas IT biztonságú rendszert alkalmaznak, amiben az ujjlenyomat töredéke alapján azonosítanak, amihez úgy kérnek Hozzájárulást, hogy annak az elutasítása semmiféle hátrányt nem jelent, azaz azt valóban csak azért alkalmazták volna, hogy ha a szülő úgy gondolja, hogy a gyerek még túl kicsi és otthon felejtheti az azonosító kártyáját, akkor is biztosan ehessen[, akkor lett volna értelme érdekmérlegelésnek [1] és akkor akár meg is lehetett volna a rendszert valósítani.

EZÉRT fontos a GDPR fogalmait pontosan megérteni, mert azok ismeretében ennyi idő alatt válhat képessé bárki arra, hogy nagy pontossággal megítélhesse egy Adatkezelés jogszerűségét, vagy jogszerűtlenségét.

Fontos kiemelni most azt is, hogy a GDPR nem ismeri a pozitív, vagy negatív diszkrimináció fogalmát, éppen ezért csak a hátrányokat szankcionálja. Ebből következően nem tilos előnyt társítani egyes Személyes adatok megadásához, mint például "nyerhet, ha most feliratkozik a levelező listánkra", vagy "kap egy 1.000 Ft-os vouchert, ha feliratkozik a levelező listára". Ezekben az esetekben ugyanis nem éri hátrány azt, aki nem iratkozik fel, és különösen azért nem, mert aki nem akar feliratkozni, az nem ezért nem fog feliratkozni. Mindezt pedig az is megerősíti, hogy ma már a "nyeremény" átvétele és felhasználása után akár azonnal le is lehet iratkozni a listáról, mert ezért viszont már senki sem szenvedhet hátrányt. 

Forrás:

https://edpb.europa.eu/news/national-news/2020/fine-processing-students-fingerprints-imposed-school_en

Hivatkozások:

[1] Az érdekmérlegelés ezúttal sem azt támaszthatná alá, hogy "jogosan veszik kezelésbe a Biometikus adatokat", hanem azt támaszthatja alá, [b]hogy a kisebb gyermekek esetén ez az ő érdeküket szolgálhatja[/b], mert ez az ő esetükben éppen ez egészséges étkezéshez való hozzájutás lehetőségét garantálja.