Ο ICO έκρινε πως η χρήση τεχνολογίας αναγνώρισης προσώπου και ελέγχου δακτυλικών αποτυπωμάτων ήταν δυσανάλογη του σκοπού του ελέγχου της παρουσίας των υπαλλήλων
H αρχή προστασίας προσωπικών δεδομένων του Ηνωμένου Βασιλείου ICO έδωσε εντολή στη Serco Leisure, εταιρεία που διαχειρίζεται δημόσιους χώρους αναψυχής, καθώς και σε επτά συνδεόμενες με αυτή επιχειρήσεις, να διακόψουν τη χρήση τεχνολογιών αναγνώρισης προσώπου ή ελέγχου δακτυλικού αποτυπώματος για τον έλεγχο της παρουσίας των εργαζομένων τους.
Η έρευνα του ICO έδειξε πως η Serco Leisure και οι επτά εταιρείες επεξεργάζονταν παράνομα τα βιομετρικά δεδομένα περισσοτέρων από 2.000 προσώπων που εργάζονται σε 38 κέντρα αναψυχής, προκειμένου να ελέγχουν την παρουσία τους και βάσει αυτής να καθορίζουν την αμοιβή τους.
Οι ελεγχόμενες εταιρείες δεν κατάφεραν να αποδείξουν γιατί ήταν αναγκαίο ή αναλογικό να χρησιμοποιούν την αναγνώριση προσώπου ή τη σάρωση των δακτυλικών αποτυπωμάτων για την εξυπηρέτηση του σκοπού αυτού, τη στιγμή που υπάρχουν άλλα μέσα λιγότερα παρεμβατικά, όπως οι ID cards ή τα μαγνητικά μπρελόκ.
Οι υπάλληλοι των εταιρειών δεν είχαν στη διάθεσή τους κάποια εναλλακτική αντί της σάρωσης του προσώπου ή των δακτύλων τους κατά την είσοδο και έξοδο από τον χώρο εργασίας τους, ενώ μάλιστα η υποχρέωση αυτή τούς παρουσιαζόταν ως προϋπόθεση για να πληρωθούν. Δεδομένης της ανισορροπίας ισχύος μεταξύ της Serco Leisure και των υπαλλήλων της, είναι μάλλον αδύνατο να ήταν αυτοί σε θέση να αρνηθούν τη συλλογή και χρήση των βιομετρικών δεδομένων τους για τον έλεγχο της παρουσίας τους.
Σύμφωνα με την εντολή που εξέδωσε ο ICO, η Serco Leisure και οι υπόλοιπες εταιρείες οφείλουν να διακόψουν κάθε πράξη επεξεργασίας βιομετρικών δεδομένων για τον έλεγχο της παρουσίας των υπαλλήλων τους, καθώς και να καταστρέψουν όλα τα βιομετρικά δεδομένα που δεν είναι εκ του νόμου υποχρεωμένες να διατηρήσουν. Οι ενέργειες αυτές πρέπει να έχουν ολοκληρωθεί εντός τριών μηνών από την έκδοση της απόφασης του ICO.
Ο Επίτροπος Προστασίας Προσωπικών Δεδομένων John Edwards δήλωσε:
“Τα βιομετρικά δεδομένα είναι απολύτως μοναδικά για ένα άτομο, οπότε οι κίνδυνοι ζημίας σε περίπτωση ανακρίβειας ή παραβίασης της ασφάλειας είναι πολύ μεγαλύτεροι – δεν μπορείς να κάνεις reset στο πρόσωπο ή το δακτυλικό αποτύπωμα κάποιου, όπως κάνεις reset σε έναν κωδικό πρόσβασης.
Η Serco Leisure δεν εξέτασε πλήρως τους κινδύνους προτού εισαγάγει βιομετρική τεχνολογία για την παρακολούθηση της παρουσίας του προσωπικού, δίνοντας προτεραιότητα στα επιχειρηματικά συμφέροντά της έναντι της ιδιωτικής ζωής των υπαλλήλων της. Δεν υπάρχει σαφής τρόπος για το προσωπικό να εξαιρεθεί από το σύστημα, αυξάνοντας την ανισορροπία ισχύος στον εργασιακό χώρο και φέρνοντας τους ανθρώπους σε μια θέση όπου αισθάνονται ότι πρέπει να παραδώσουν τα βιομετρικά τους δεδομένα για να εργαστούν εκεί.
“Αυτό δεν είναι ούτε θεμιτό, ούτε αναλογικό, σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων και, ως ρυθμιστική αρχή του Ηνωμένου Βασιλείου, θα ελέγξουμε στενά τους οργανισμούς και θα δράσουμε αποφασιστικά εάν πιστεύουμε ότι τα βιομετρικά δεδομένα χρησιμοποιούνται παράνομα”.