ICO توبخ مدرسة في إسيكس لاستخدامها غير القانوني لتقنية التعرف على الوجه
أصدرت هيئة تنظيم البيانات في المملكة المتحدة توبيخًا لمدرسة ثانوية في إسيكس لاستخدامها بشكل غير قانوني تقنية التعرف على الوجه لتلقي مدفوعات المقصف غير النقدية من الطلاب.
بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة (GDPR)، يتمتع مكتب مفوض المعلومات (ICO) بسلطة إصدار توبيخات رسمية، بالإضافة إلى غرامات وإشعارات إنفاذ أخرى، عندما تنتهك المنظمات القانون.
نظرًا لمخاطر حماية البيانات العالية المرتبطة بمعالجة البيانات الحساسة البيانات البيومتريةيتعين على المنظمات التي تسعى إلى نشر التعرف على الوجه لمعالجة معلومات الأطفال إجراء تقييمات تأثير حماية البيانات (DPIAs) لتحديد المخاطر وإدارتها مع النظام.
وعلى الرغم من هذا المطلب القانوني، وجدت هيئة مفوض المعلومات أن مدرسة تشيلمر فالي الثانوية في تشيلمسفورد بدأت في استخدام نظام التعرف على الوجه – الذي قدمته شركة CRB Cunninghams – في مارس 2023 دون أن تستكمل تقييم تأثير حماية البيانات. وقالت إن هذا يعني عدم إجراء تقييم مسبق للمخاطر التي تهدد معلومات 1200 طفل يلتحقون بالمدرسة.
قالت لين كوري، رئيسة قسم ابتكار الخصوصية في مكتب مفوض المعلومات: “إن تقييم تأثير حماية البيانات مطلوب بموجب القانون – فهو ليس مجرد تمرين روتيني. إنه أداة حيوية تحمي حقوق المستخدمين وتوفر المساءلة وتشجع المؤسسات على التفكير في حماية البيانات في بداية أي مشروع”.
“إن التعامل الصحيح مع معلومات الأشخاص في بيئة المقصف المدرسي أمر مهم بقدر أهمية التعامل مع الطعام نفسه. نتوقع من جميع المؤسسات إجراء التقييمات اللازمة عند نشر تقنية جديدة للتخفيف من أي مخاطر تتعلق بحماية البيانات وضمان امتثالها لقوانين حماية البيانات.
“لقد اتخذنا إجراءات ضد هذه المدرسة لإظهار أن تقديم تدابير مثل FRT لا ينبغي أن يتم باستخفاف، وخاصة عندما يتعلق الأمر بالأطفال.”
وأضاف كوري أنه في حين أن مكتب مفوض المعلومات لا يريد ردع المدارس عن تبني التقنيات الجديدة، فإن حماية خصوصية الأطفال وحقوق البيانات يجب أن تظل في المقدمة.
ووجدت الهيئة التنظيمية أيضًا أن المدرسة لم تحصل على موافقة واضحة لمعالجة المعلومات البيومترية للطلاب، وفشلت في التشاور معهم أو مع أولياء أمورهم قبل تنفيذ التكنولوجيا.
بحسب ال شجبفي حين تم إرسال خطاب إلى أولياء الأمور في مارس 2023 مع إشعار لهم بإرجاعه إذا كانوا لا يريدون مشاركة أطفالهم، لم يكن هناك أيضًا خيار للموافقة على المخطط، مما يعني أن المدرسة كانت تعتمد بشكل خاطئ على الموافقة المفترضة حتى نوفمبر 2023.
وأضافت منظمة مفوض المعلومات أنه نظرًا لأن معظم الطلاب كانوا في سن كافية لتقديم موافقتهم الخاصة (وفقًا لقانون حماية البيانات في المملكة المتحدة، فإن سن الموافقة على معالجة البيانات الشخصية للطفل هو 13 عامًا)، فإن “اختيار الوالدين عدم المشاركة حرم الطلاب من القدرة على ممارسة حقوقهم وحرياتهم”.
كما فشلت المدرسة في التشاور مع مسؤول حماية البيانات الخاص بها، والذي قالت ICO إنها تعتقد أنه كان من شأنه أن يساعد في توضيح أي مشكلات تتعلق بالامتثال قبل بدء المعالجة.
ولعلاج هذه المشكلات، قالت ICO إن Chelmer Valley يجب أن تستكمل تقييم تأثير حماية البيانات وتدمج النتائج مرة أخرى في خطط المشروع قبل أي معالجة جديدة، مشيرة إلى أن التقييم يجب أن “يأخذ في الاعتبار تمامًا ضرورة وتناسب تقديم الطعام بدون نقد، والتخفيف من المخاطر الإضافية المحددة مثل التحيز والتمييز”.
وأضافت أن المدرسة أكملت منذ ذلك الحين تقييم تأثير حماية البيانات لنظام التعرف على الوجه في نوفمبر 2023، والذي تم تقديمه بعد ذلك إلى مكتب مفوض المعلومات من قبل مسؤول حماية البيانات، بالإضافة إلى اتخاذ خطوات علاجية للحصول على موافقة صريحة من الطلاب الذين بلغوا السن الكافية لتقديمها.
ومع ذلك، أشارت أيضًا إلى أن التوبيخ ليس ملزمًا قانونًا وأن اتباع هذه التوصيات أمر طوعي بالنسبة للمدرسة.
“إذا كان لدى مكتب مفوض المعلومات في المستقبل أسباب للاشتباه في أن مدرسة تشيلمر فالي الثانوية لا تمتثل لقانون حماية البيانات، فإن أي فشل من جانب مدرسة تشيلمر فالي الثانوية في تصحيح الانتهاكات المنصوص عليها في هذا التوبيخ (والذي يمكن القيام به باتباع توصيات المفوض أو اتخاذ خطوات بديلة مناسبة) قد يؤخذ في الاعتبار كعامل مشدد في اتخاذ قرار بشأن اتخاذ إجراءات إنفاذ”.
وقالت الهيئة التنظيمية في وقت سابق في عام 2021 إن المدارس التي تستخدم أنظمة التعرف على الوجه يجب أن تفكر في طرق أقل تدخلاً للسماح للتلاميذ بدفع ثمن الوجبات، في حين زعمت مجموعات حملات مختلفة – بما في ذلك Liberty وDefend Digital Me – منذ فترة طويلة أن التعرف على الوجه وتقنيات التعريف البيومترية الأخرى ليس لها مكان في المدارس.
كما أشار فريزر سامبسون، المفوض السابق للقياسات الحيوية في إنجلترا وويلز، سابقًا وقال إن هناك مخاطر واضحة في استخدام البيانات والتكنولوجيا الحيوية في البيئة المدرسية، مما قد يؤدي إلى تطبيع المراقبة على الأطفال.
اتصلت مجلة Computer Weekly بشركة Chelmer Valley، لكنها لم تتلق أي رد بحلول وقت النشر.