GDPR Case 053. Fine for processing students’ fingerprints imposed on a school

日期：5 March 2020

國家：波蘭

關鍵字：生物識別資料；指紋；特種個資；兒童；學校

GDPR：§8 (conditions applicable to child's consent)、§9(1) (processing of special categories of personal data, shall be prohibited)

裁決：行政罰鍰（PLN 20,000）、命令（刪除個人資料）

摘要：

(1) 波蘭監管機關對控管者——Gdansk 市立第二小學——課處PLN 20,000罰鍰，同時命令控管者應：

• 刪除學生指紋的電子檔案；
• 日後不得再蒐集此類個人資料。

(2) 控管者自 2015 年 4 月起，就在校園食堂入口設置指紋識別裝置，用以識別特定學生是否已經繳納餐費，這樣取得及處理個人資料的過程，事前已經取得學生家長（或法定代理人）的書面同意。

(3) 截至 2020 年止，有 680 位學生使用前述指紋識別裝置進入學生食堂，但同時間，還有 4 位學生仍然使用其他識別方式進入食堂——例如使用識別卡，或是口頭告知姓名或契約號碼。

(4) 在此，必須強調的是，使用生物識別方式並不是達到控管者目的——識別學生身分以領取午餐——的唯一必要方法（…… is not essential for achieving the goal），學校大可以採取其他方式識別學生身分，而不需要採取這種強烈侵害學生隱私的手段。

(5) 根據監管機關調查，控管者規定，沒有使用指紋識別裝置的學生必須排在隊伍的最後才能入場，這樣的規定造成對學生不公平的區別待遇，足證控管者是偏好學生使用指紋辨識入場。

(6) 監管機關認為，控管者使用學生指紋識別身分，與其所欲達成的目的間，明顯欠缺比例性，監管機關強調，兒童的個人資料必須受到特別受到保護，因為指紋是兒童一輩子都不會改變的個人生物識別資料，控管者在處理此類特種資料時，必須格外謹慎。

(7) 據此，控管者處理 680 名學生的特種個人資料（指紋），欠缺法律基礎（legal basis），因為學校事實上完全可以採用其他種類的身分識別方式，因而對控管者處以如上之裁罰。