來自信息專員辦公室(ICO)英國數據保護局告訴北艾爾郡理事會(NAC),在九所學校中使用面部識別來使用面部識別,“可能會根據英國GDPR的以下條款侵犯了數據保護法。”
這16頁的字母(PDF)可能會警告其他學校和理事會,以為是否值得使用兒童的面部生物識別,以便他們為他們付出午餐的一種方式。
2021年10月,北艾爾郡的九所學校有2,000多名學生被註冊為午餐付費通過在Till的工作人員操作的相機前展示自己。該系統,由CRB Cunninghams,將孩子與註冊的照片相匹配,並從他們的帳戶中扣除了一天的支出。
這是短暫的:該系統還引起了關於數據保護的爭議。
ICO迅速做出了回應,理事會告訴生物識別更新ICO指出,它在2021年秋天立即刪除了所有數據。 NAC在整個過程中都具有很高的響應和合作性。由此產生的調查和通信為對此類調查的涉及的調查以及地方議會等組織如何在捕獲,處理和保留個人數據的任務方面做好準備。
因此,ICO將其寫成網站上的案例研究。情況已經在國際上學習。
透明度,同意和DPIA
ICO信件列出了可能被違反的英國GDPR條款。為了“合法,公平和透明”的要求,它發現“ NAC無法證明該處理有有效的合法依據。”為了“被告知”的權利,ICO發現,儘管NAC已經與孩子和父母進行了交流,但它可能做得還不夠,尤其是在使孩子們明確和可理解的隱私含義時。
理事會保留個人數據“一定要長時間”,並且在孩子離開學校或23歲生日(以較晚者為準)的五年後,沒有隨著ICO閱讀英國GDPR文章的“保留”文章,也許是整個問題中最令人困惑的部分。
對於數據保護影響評估(DPIA),這是不正確的,並且在開始生物識別數據處理之前,數據保護官(DPO)也沒有簽署NAC的高級成員。
ICO建議:“請注意第一次正確地解決它 - 您不應該在以後的日期交換不同的合法依據。” “特別是,您通常不能從同意換成不同的基礎。”
即使法律因蘇格蘭和北愛爾蘭到英格蘭和威爾士的略有不同,該項目涉及該項目的兒童在英國的所有國家都很重要。
信函說:“英國GDPR的Reditital 38明確指出,在處理個人數據時,兒童將獲得特定的保護,因為'他們可能不太了解有關的風險,後果和保障措施及其與個人數據處理有關的權利。”
向孩子和父母提供了不足的信息,無法同意他們。
這封信由ICO地區負責人肯·麥克唐納(Ken MacDonald)簽署,並指出,“這一信函和收到的任何回應都不會使專員執法的未來使用可能使用。”
北艾爾郡議會的發言人告訴生物識別更新在一封電子郵件中:“我們歡迎現已從信息專員辦公室收到的清晰度。在2021年10月專員辦公室的最初利益之後,我們立即停止使用面部識別系統,然後刪除所有生物識別數據。”
文章主題
生物識別支付|生物識別技術|孩子們|數據保護|面對生物識別技術|面部識別|信息專員辦公室(ICO)|學校|蘇格蘭|英國GDPR
