Genel Veri Koruma Yönetmeliği (GDPR), Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları
Eğlence Merkezi Operatörlerine Yüz ve Parmak İzi Tanıma Sistemini Kullanmayı Durdurma Emri
Mathew J. Schwartz (euroinfosec) •
26 Şubat 2024
Düzinelerce İngiliz toplumsal eğlence merkezini işleten özel bir şirket, çalışanları yüz tanıma ve parmak izi taraması kullanarak takip etmeyi bırakmalıdır.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyumluluk Başucu Kitabı
Birleşik Krallık Bilgi Komiserliği Ofisi, Serco Leisure ve birlikte çalıştığı yedi vakfın “devam kontrolleri ve daha sonra zamanlarının ödenmesi amacıyla 38 eğlence tesisinde 2.000’den fazla çalışanın biyometrik verilerini yasa dışı bir şekilde işlediğini” tespit etti.
Merkezi İngiltere’nin Leicester kentinde bulunan Serco Leisure, düzenleyici makamın soruşturmasının odak noktası olan İngiltere’deki 37 ve Jersey’in Channel Adası’ndaki biri de dahil olmak üzere (kabaca ABD’deki dinlenme merkezlerine benzeyen) bir dizi eğlence merkezini yönetiyor. Limited şirketin tamamı halka açık İngiliz çokuluslu Serco’ya aittir ve 2021’de 5,7 milyar dolar gelir elde etmiştir.
Şirket, bildirime uyması halinde herhangi bir cezayla karşılaşmayacak. Bir Serco sözcüsü, Information Security Media Group’a yaptığı açıklamada, “Bu konuyu ciddiye alıyoruz ve yaptırım bildirimine tam olarak uyacağımızı onaylıyoruz.” dedi.
Cuma günü ICO, biyometrik tanımayı kullanmayı düşünen herhangi bir kuruluş için yeni bir kılavuz yayınladı; bu, “birini benzersiz şekilde tanımlamak için biyometrik verilerin kullanılması” anlamına geliyor. Düzenleyici, bu rehberliğin kısmen terimin mevcut veri koruma yasalarında tanımlanmamasından kaynaklandığını söyledi.
Serco davasında ICO, Cuma günü yaptığı açıklamada, şirketin yüz tanıma teknolojisi ve parmak izi taramasının kullanılmasının neden “gerekli veya orantılı” olduğunu gösteremediğini ve bunu yaparak Birleşik Krallık Genel Veri Koruma Yönetmeliğini ihlal ettiğini söyledi.
Birleşik Krallık Bilgi Komiseri John Edwards, “Biyometrik veriler tamamen kişiye özeldir, bu nedenle yanlışlıklar veya güvenlik ihlali durumunda zarar görme riski çok daha yüksektir; bir şifreyi sıfırladığınız gibi birisinin yüzünü veya parmak izini sıfırlayamazsınız” dedi. . “Serco Leisure, personelin katılımını izlemek için biyometrik teknolojiyi uygulamaya koymadan önce riskleri tam olarak dikkate almadı ve iş çıkarlarını çalışanlarının mahremiyetine göre önceliklendirdi.”
ICO, 7 Kasım 2023’te Serco’ya konuyla ilgili bir ön icra bildirimi gönderdi.
Pandemi sırasında işverenlerin çalışanları ne ölçüde izleyebileceğine ilişkin sorular arttı. Bu sorguların çoğu, özellikle ofise bağlı şirketlerin çalışanların uzaktan çalışmasına izin vermek zorunda kaldığı bir dönemde, varlık takibine odaklanıyordu.
Serco’nun biyometri kullanımı pandemiden önceydi. Şirket, eğlence merkezi çalışanlarının giriş ve çıkış işlemleri için ShopWorks adıyla faaliyet gösteren SWT Software Limited tarafından üretilen yüz tanıma teknolojisini ilk olarak Mayıs 2017’de halihazırda kullanan bir siteyi işletmeye başladığında kullanmaya başladı. Şirket, teknolojiyi 2018 yılında diğer eğlence merkezi çalışanları için de denedi ve 2019 ve Kasım 2022’de daha yaygın bir şekilde kullanıma sundu.
Serco sözcüsü, şirketin yeni sistemi çalışanlarla birlikte incelediğini ve “girişin aynı zamanda teknolojinin kullanımına izin verildiğini söyleyen harici yasal tavsiyenin ardından geldiğini” söyledi. Şirket, “bu alanda daha fazla netlik sağlayacağını öngördüğümüz, biyometrik verilerin işlenmesine ilişkin kuruluşlar için yeni kılavuzun yayınlanmasını” memnuniyetle karşıladığını söyledi.
ICO’nun araştırmasına göre, ShopWorks yüz tanıma ekipmanı, çalışanların yüzlerinin üç fotoğrafını çekerek ve bunları “çalışanların yüz özelliklerine dayalı bir biyometrik harita oluşturmak” için kullanarak, çalışan kimlik numaralarıyla birlikte şifrelenmiş biçimde saklayarak çalışanları kaydediyor. Bir çalışan giriş veya çıkış yaptığında, sistem kimliğini doğruladıktan sonra, biyometrik verileri ShopWorks sunucusuna göndermiyor; bunun yerine yalnızca saati ve çalışan kimlik numarasını göndererek kimliğinin doğrulandığını doğruluyor.
Gizlilik gözlemcisi, bir şikayet aldıktan sonra ilk olarak 2019 yılında Serco’nun biyometri kullanımını araştırmaya başladı. ICO’nun soruşturmalarının ardından Serco, 2020’de hem veri koruma etki değerlendirmesi hem de meşru menfaat değerlendirmesi hazırladı ve biyometri kullanımının sözleşmeye bağlı bir gereklilik olduğunu ve çalışanların meşru menfaati olduğunu değerlendirdi.
Kapsamlı bir soruşturma yürüttükten sonra düzenleyici, Serco’nun vardığı sonuçların ülkenin veri koruma gerekliliklerinin “anlaşılmadığını” gösterdiğini söyleyerek bu görüşe karşı çıktı. ICO, şirketin çalışanlara böyle bir seçenek sunmamasına rağmen, “Kimlik kartları veya foblar gibi daha az müdahaleci yöntemler mevcut” dedi.
ICO, “Serco Leisure ve çalışanları arasındaki güç dengesizliği nedeniyle, biyometrik verilerinin katılım kontrolleri için toplanmasına ve kullanılmasına hayır diyememeleri pek mümkün değil” dedi.
Serco, ICO’ya, radyo frekanslı kimlik kartlarının ortak alanlarda saklanması ve uygunsuz şekilde kullanılmasının yanı sıra “sahte saat” içeren “dost delme” gibi önceki saat giriş ve çıkış yaklaşımlarının kötüye kullanılmasına karşı biyometrik kontroller getirdiğini söyledi. Kartlar”, manuel oturum açma sayfalarının hileli kullanımına atıfta bulunuyor.
ICO, “Serco, sistemi kötüye kullanan çalışanların sayısını gösteren herhangi bir rakam veya kanıt sunmadı” dedi.