İngiltere’nin veri düzenleyicisi, Essex’teki bir ortaokulu, öğrencilerden nakitsiz kantin ödemeleri almak için yasadışı olarak yüz tanıma teknolojisi kullandığı gerekçesiyle uyardı.
Birleşik Krallık Genel Veri Koruma Yönetmeliği (GDPR) uyarınca, Bilgi Komiserliği Ofisi (ICO), kuruluşlar yasayı ihlal ettiğinde resmi uyarıların yanı sıra para cezaları ve diğer yaptırım bildirimlerini tebliğ etme yetkisine sahiptir.
Hassas biyometrik verilerin işlenmesiyle ilişkili yüksek veri koruma riskleri nedeniyle, çocuklara ait bilgilerin işlenmesinde yüz tanıma teknolojisini kullanmayı düşünen kuruluşlar, sistemdeki riskleri belirlemek ve yönetmek için veri koruma etki değerlendirmeleri (DPIA) yapmak zorundadır.
Bu yasal gerekliliğe rağmen, ICO, Chelmsford’daki Chelmer Valley Lisesi’nin CRB Cunninghams tarafından sağlanan yüz tanıma sistemini Mart 2023’te, hiçbir zaman bir DPIA tamamlamadan kullanmaya başladığını tespit etti. Bunun, okula devam eden 1.200 çocuğun bilgilerine yönelik risklerin önceden değerlendirilmediği anlamına geldiğini söyledi.
“Bir DPIA yasa gereği zorunludur – bu bir kutucuk işaretleme egzersizi değildir. Kullanıcıların haklarını koruyan, hesap verebilirlik sağlayan ve kuruluşları bir projenin başlangıcında veri korumasını düşünmeye teşvik eden hayati bir araçtır,” dedi ICO’nun gizlilik inovasyonu başkanı Lynne Currie.
“Okul kantin ortamında insanların bilgilerini doğru şekilde işlemek, yiyeceklerin kendisinin işlenmesi kadar önemlidir. Tüm kuruluşların yeni bir teknolojiyi devreye alırken, veri koruma risklerini azaltmak ve veri koruma yasalarına uyumlarını sağlamak için gerekli değerlendirmeleri yapmasını bekliyoruz.
“Bu okula karşı, FRT gibi önlemlerin özellikle çocukları ilgilendirdiğinde hafife alınmaması gerektiğini göstermek için harekete geçtik.”
Currie, ICO’nun okulları yeni teknolojileri benimsemekten alıkoymak istemediğini ancak çocukların mahremiyetinin ve veri haklarının korunmasının ön planda tutulması gerektiğini sözlerine ekledi.
Düzenleyici kurum ayrıca okulun öğrencilerin biyometrik bilgilerini işlemek için açık bir onay almadığını ve teknolojiyi uygulamadan önce öğrencilere veya velilerine danışmadığını tespit etti.
Kınamada, Mart 2023’te velilere, çocuklarının katılmasını istememeleri halinde geri göndermeleri yönünde bir fiş içeren bir mektup gönderilirken, ayrıca plana onay verme seçeneği de bulunmadığından, okul Kasım 2023’e kadar yanlış bir şekilde varsayılan onaya güvenmiş oldu.
ICO, öğrencilerin çoğunun kendi rızalarını verebilecek yaşta olması nedeniyle (İngiltere veri koruma yasasına göre, bir çocuğun kişisel verilerinin işlenmesi için rıza yaşı 13’tür) “ebeveynlerin muafiyetinin öğrencileri haklarını ve özgürlüklerini kullanma yeteneğinden mahrum bıraktığını” da sözlerine ekledi.
Okul ayrıca, ICO’nun işleme başlamadan önce uyumluluk sorunlarının çözülmesine yardımcı olacağına inandığı kendi veri koruma görevlisine danışmayı da başaramadı.
ICO, sorunları gidermek için Chelmer Vadisi’nin bir DPIA tamamlaması ve herhangi bir yeni işlemden önce sonuçları proje planlarına entegre etmesi gerektiğini belirterek, değerlendirmenin “nakitsiz ikramın gerekliliği ve orantılılığı ile önyargı ve ayrımcılık gibi belirli ek riskleri azaltmayı kapsamlı bir şekilde dikkate alması” gerektiğini belirtti.
Okulun, Kasım 2023’te yüz tanıma sistemi için bir DPIA’yı tamamladığı, ardından bunun Veri Koruma Görevlisi tarafından ICO’ya sunulduğu ve bunu verebilecek yaştaki öğrencilerden açık onay almak için düzeltici adımlar attığı da eklendi.
Ancak uyarının hukuken bağlayıcı olmadığı, okulun bu tavsiyeleri izlemesinin gönüllülük esasına dayandığı da belirtildi.
“Eğer gelecekte ICO, Chelmer Valley Lisesi’nin veri koruma yasasına uymadığından şüphelenmek için gerekçelere sahip olursa, Chelmer Valley Lisesi’nin bu uyarıda belirtilen ihlalleri düzeltmemesi (komiserin önerilerini izleyerek veya alternatif uygun adımlar atarak yapılabilir) yaptırım eylemi yapılıp yapılmayacağına karar verirken ağırlaştırıcı bir faktör olarak dikkate alınabilir” denildi.
Düzenleyici kuruluş, 2021 yılında yüz tanıma sistemleri kullanan okulların öğrencilerin yemek parasını ödemelerine olanak sağlamak için daha az müdahaleci yollar düşünmeleri gerektiğini söylemişti. Liberty ve Defend Digital Me gibi çeşitli kampanya grupları ise uzun süredir yüz tanıma ve diğer biyometrik tanımlama teknolojilerinin okullarda yeri olmadığını savunuyor.
İngiltere ve Galler’in eski biyometrik komiseri Fraser Sampson da daha önce yaptığı açıklamada, okul ortamlarında biyometrik veri ve teknoloji kullanımının, gözetimin çocuklar için normal hale gelmesine yol açabileceği gibi bariz riskler taşıdığını belirtmişti.
Computer Weekly, Chelmer Valley ile iletişime geçti ancak yayımlanma zamanına kadar bir yanıt alamadı.