Brytyjski organ nadzoru nad danymi osobowymi udzielił nagany szkole średniej w hrabstwie Essex za nielegalne wdrożenie technologii rozpoznawania twarzy w celu przyjmowania bezgotówkowych płatności za posiłki w stołówce.
Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) obowiązującym w Wielkiej Brytanii Biuro Komisarza ds. Informacji (ICO) ma prawo do wydawania formalnych upomnień, a także nakładania grzywien i innych nakazów w przypadku naruszenia prawa przez organizację.
Ze względu na wysokie ryzyko związane z ochroną danych w związku z przetwarzaniem danych wrażliwych dane biometryczneOrganizacje, które zamierzają wdrożyć technologię rozpoznawania twarzy do przetwarzania danych dzieci, są zobowiązane do przeprowadzania oceny skutków dla ochrony danych (DPIA) w celu identyfikowania i zarządzania ryzykiem związanym z tym systemem.
Pomimo tego wymogu prawnego ICO stwierdziło, iż Chelmer Valley High School w Chelmsford zaczęła korzystać z systemu rozpoznawania twarzy – dostarczonego przez CRB Cunninghams – w marcu 2023 r. bez ukończenia DPIA. Stwierdziło, iż oznacza to, iż nie przeprowadzono wcześniejszej oceny ryzyka dla informacji 1200 dzieci uczęszczających do szkoły.
„DPIA jest wymagane przez prawo – to nie jest ćwiczenie polegające na zaznaczaniu pól wyboru. To ważne narzędzie, które chroni prawa użytkowników, zapewnia rozliczalność i zachęca organizacje do myślenia o ochronie danych na początku projektu” – powiedziała Lynne Currie, szefowa działu innowacji w zakresie prywatności w ICO.
„Prawidłowe przetwarzanie informacji o ludziach w środowisku szkolnej stołówki jest równie ważne, jak przetwarzanie samego jedzenia. Oczekujemy, iż wszystkie organizacje przeprowadzą niezbędne oceny podczas wdrażania nowej technologii, aby złagodzić wszelkie ryzyka związane z ochroną danych i zapewnić zgodność z przepisami o ochronie danych.
„Podjęliśmy działania przeciwko tej szkole, aby pokazać, iż wprowadzanie środków takich jak FRT nie powinno być traktowane lekko, szczególnie gdy dotyczą one dzieci”.
Currie dodał, iż chociaż ICO nie chce zniechęcać szkół do korzystania z nowych technologii, ochrona prywatności dzieci i praw do danych musi pozostać priorytetem.
Organ regulacyjny stwierdził również, iż szkoła nie uzyskała wyraźnej zgody na przetwarzanie danych biometrycznych uczniów i nie skonsultowała się z nimi ani z ich rodzicami przed wdrożeniem tej technologii.
Według naganaChoć w marcu 2023 r. rodzice otrzymali list z informacją, iż muszą go odesłać, jeżeli nie chcą, aby ich dziecko uczestniczyło w programie, nie było w nim również możliwości wyrażenia zgody na udział w programie, co oznacza, iż szkoła niesłusznie opierała się na domniemanej zgodzie do listopada 2023 r.
ICO dodało, iż ponieważ większość uczniów jest w wystarczającym wieku, aby samodzielnie wyrazić zgodę (zgodnie z brytyjskim prawem o ochronie danych wiek, w którym można wyrazić zgodę na przetwarzanie danych osobowych dziecka, wynosi 13 lat), „opcja rezygnacji rodziców pozbawia uczniów możliwości korzystania ze swoich praw i swobód”.
Szkoła nie skonsultowała się również z własnym inspektorem ochrony danych, co zdaniem ICO pomogłoby wyjaśnić wszelkie kwestie związane ze zgodnością z przepisami przed rozpoczęciem przetwarzania.
Aby zaradzić tym problemom, ICO stwierdziło, iż Chelmer Valley musi przeprowadzić ocenę skutków dla ochrony danych (DPIA) i zintegrować wyniki z planami projektu przed jakimkolwiek nowym przetwarzaniem, zauważając, iż ocena powinna „dokładnie uwzględniać konieczność i proporcjonalność bezgotówkowego cateringu oraz łagodzenie konkretnych dodatkowych ryzyk, takich jak stronniczość i dyskryminacja”.
Dodała, iż szkoła zakończyła już ocenę skutków dla ochrony danych (DPIA) dla systemu rozpoznawania twarzy w listopadzie 2023 r., a następnie przekazała ją do ICO za pośrednictwem swojego inspektora ochrony danych (IOD), a także podjęła kroki naprawcze w celu uzyskania wyraźnej zgody od uczniów, którzy są we właściwym wieku, aby ją wyrazić.
Jednakże zauważyła również, iż nagana nie jest prawnie wiążąca i iż stosowanie się do zaleceń jest dla szkoły dobrowolne.
„Jeśli w przyszłości ICO będzie miało podstawy podejrzewać, iż szkoła średnia Chelmer Valley High School nie przestrzega prawa o ochronie danych, wszelkie zaniedbania ze strony szkoły średniej Chelmer Valley High School w zakresie naprawienia naruszeń określonych w niniejszej naganie (co można zrobić, stosując się do zaleceń komisarza lub podejmując alternatywne odpowiednie kroki) mogą zostać wzięte pod uwagę jako okoliczność obciążająca przy podejmowaniu decyzji o podjęciu działań egzekucyjnych” – stwierdzono.
Organ regulacyjny już w 2021 r. stwierdził, iż szkoły wykorzystujące systemy rozpoznawania twarzy powinny rozważyć mniej inwazyjne sposoby umożliwiania uczniom płacenia za posiłki, podczas gdy różne grupy prowadzące kampanie – w tym Liberty i Defend Digital Me – od dawna twierdzą, iż rozpoznawanie twarzy i inne technologie identyfikacji biometrycznej nie mają miejsca w szkołach.
Były komisarz ds. biometrii w Anglii i Walii, Fraser Sampson, również poprzednio stwierdził, iż istnieją oczywiste ryzyka związane z wykorzystywaniem danych biometrycznych i technologii biometrycznych w środowisku szkolnym, co może doprowadzić do tego, iż nadzór nad dziećmi stanie się czymś normalnym.
Computer Weekly skontaktował się z Chelmer Valley, ale do czasu publikacji nie otrzymał odpowiedzi.
