Idency anammar ICO:s senaste riktlinjer för integritet

Blogg av Andy | (engelska) Publicerad på fredag mars 3 2023

Biometri är ett hett ämne. Vi använder alltmer biometriska data för att autentisera oss på enheter som mobiltelefoner, surfplattor och bärbara datorer. Det har börjat kännas ganska normalt i vår vardag. Vi anser att biometri är ett fantastiskt framsteg när det gäller säkerhet, autentisering och noggrannhet.

Många människor oroar sig fortfarande för den personliga integriteten. Det är förståeligt. Du har förmodligen sett otaliga berättelser, artiklar och åsikter i alla typer av medier som varnar dig för farorna med att förlora integriteten.

Och det är bara att inse att varje gång du går in på en ny webbplats ombeds du att acceptera cookies som kan spåra ditt beteende.

Det är ett val som ligger till grund för en historia som har rapporterats under vintern 2023-24. Ett framstående företag som driver fritidsanläggningar i Storbritannien har fått kritik för att ha infört system för ansiktsigenkänning för anställdas närvaro. I en dom från ICO konstaterades att de inte hade gett sin personal tillräckliga valmöjligheter när det gällde hur deras information användes och att de därmed bröt mot GDPR-lagarna.

ICO:s vägledning

ICO har uppdaterat sin vägledning så att anställda måste ha möjlighet att välja vilken metod som ska användas när de använder Time & Attendance-teknik. Enligt GDPR måste en individ ha kontroll över var, när och hur dennes personuppgifter används, och användningen av biometriska data som ansiktsigenkänning och fingeravtrycksläsare kräver samtycke.

Hur fungerar ansiktsigenkänning i våra Time & Attendance-enheter?

Det är en missuppfattning att fingeravtryck eller 3D-bilder av ansikten tas och lagras när du använder biometriska enheter. I själva verket är det en ‘mall’ av slumpmässiga datapunkter som tas. Dessa kodas och krypteras av enheten innan de lagras.

Med tanke på algoritmens arbetsflöde och principer är ansiktsmallarna inte längre data med punkter för ansiktsdrag, utan fragment eller lager av ansiktsdrag som krävs av algoritmen i den enhet som används (se bilden till höger). Detta lagras i den enheten som ansiktsmalldata och originalbilden kasseras. Följaktligen kan de lagrade uppgifterna inte användas för att reproducera originalbilden, och de kan inte heller användas av någon annan organisation. Användningen av dem klassas dock som behandling av uppgifter i en särskild kategori av ICO, och detta är grunden för förtydligandet av GDPR.

Så vad behöver jag göra för att följa GDPR?

För korrekt implementering måste organisationer ge personalen möjlighet att välja autentiseringsmetod när de använder sådana enheter. Vårt råd är att se till att erbjuda alternativ till biometrisk autentisering. Även om enheter för ansiktsigenkänning använder ansiktsdata som standard har de reservlösningar som RFID-kortläsare och ID & PIN som kan väljas i stället. Företag måste också ha mekanismer på plats för att radera alla uppgifter som samlats in via biometriska enheter som inte längre behövs eller när en individ begär det. Se till att inkludera klausuler om hanteringen av sådana uppgifter i relevanta integritetspolicyer.

Om du vill ha mer information, vänligen se ICO:s vägledning om användning av biometrisk identifiering eller kontakta oss för att diskutera alternativ för din organisation.