Poljsko nadzorno tijelo izreklo je kaznu u iznosu od 4.389 EUR osnovnoj školi zbog primjene sustava identifikacije učenika otiscima prstiju u školskoj kantini radi provjere jesu li platili školsku prehranu.
Iako su prikupljanje i primjenu otisaka prstiju kao biometrijskih podataka u svrhe identifikacije temeljili na privolama roditelja, nadzorno tijelo je smatralo takvo postupanje neusklađenim s GDPR-om.
Štoviše, škola je uvela pravilo da učenici, čiji roditelji nisu dali privolu za obradu otisaka prstiju, moraju propustiti ispred sebe učenike za koje je dana privola.
Apsolutno se slažemo sa stajalištem poljskog nadzornog tijela, jer se škola ogriješila o više temeljnih odrednica primjene privola i biometrijskih podataka.
Prvo su morali iscrpiti sve moguće opcije primjene drugih manje invazivnih metoda za identifikaciju učenika u kantini, npr. RFID karticama, a što su propustili učiniti.
Drugo, kad se radi o osnovnim školama, govorimo o posebno ranjivoj skupini - malodobnoj djeci, na kojima se ovakvi "eksperimenti s privatnošću" ne smiju raditi.
Također su pogriješili jer nisu osigurali da su privole slobodne, odnosno, da djeca, čiji roditelji ne daju privolu, ne trpe nikakvu štetu.
Ni važeći propisi u Poljskoj ne omogućavaju primjenu biometrije u školama, nekako slično kao što je i kod nas u Zakonu o provedbi Opće uredbe o zaštiti podataka.
No, stvari su se, nakon što je sve bilo jasno i čisto u rješenju nadzornog tijela, iz temelja izvrnule presudom suda u Poljskoj.
Sud je presudio da stajalište nadzornog tijela nije ispravno i poništilo je kaznu školi.
Možemo se složiti da je razborito ne kažnjavati škole, ali se ne možemo oteti dojmu da poljski sud jednostavno nema dovoljno znanja ni iskustva o primjeni GDPR-a u stvarnoj okolini.
Više o poljskom slučaju:
https://gdprhub.eu/index.php?title=WSA_w_Warszawie_-_II_SA/Wa_809/20&mtc=today