Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Незаконный сбор биометрических персональных данных в Великобритании
Развлекательные центры в Великобритании незаконно обрабатывали биометрические персональные данные своих сотрудников. Персональные данные включали отпечатки пальцев и распознавание лиц.
Serco Leisure со штаб-квартирой в Лестере, управляет 38 развлекательными центрами на территории Англии и острове Джерси, принадлежит публичной транснациональной компании Serco Group.
Управление Комиссара по информации Великобритании (ICO) обнаружило, что Serco Leisure незаконно обрабатывала биометрические персональные данные для контроля посещаемости 2000 сотрудников во всех 38 развлекательных заведениях.
Использовать биометрическое распознавание Serco начала еще в 2017 году с помощью технологии, разработанной SWT Software Limited под торговой маркой ShopWorks. Опробовав ее на сотрудниках нескольких развлекательных центров, в 2019 и 2022 годах компания начала ее более широкое внедрение.
Согласно расследованию ICO, оборудование ShopWorks для распознавания лиц регистрирует сотрудника, делая три фотографии лица, и использует снимки для создания «биометрической карты», которая хранится в зашифрованном виде вместе с идентификационным номером сотрудника. Когда при входе и выходе система подтверждает личность, она не отправляет биометрические данные на сервер ShopWorks. Система отправляет только время и идентификационный номер сотрудника, фиксирующие его проверку.
Расследование по использованию Serco биометрических персональных данных было начато после получения жалобы еще в 2019 году. По запросам ICO Serco в 2020 году подготовила оценку безопасности персональных данных, в которой также утверждалось, что использование биометрии является необходимостью и отвечает законным интересам сотрудников.
К концу 2023 года, после завершения расследования, регулятор не согласился, заявив, что мнение Serco свидетельствует о «непонимании» требований страны по защите персональных данных. Также регулятор сообщил, что существуют менее навязчивые средства контроля, хотя компания не предлагала своим сотрудникам таких вариантов.
ICO сообщило, что компания поставила бизнес-интересы выше конфиденциальности данных своих сотрудников и не смогла доказать, почему использование биометрических персональных данных было необходимой мерой, и тем самым нарушила Регламент о персональных данных.
Компании не грозит штраф, если она выполнит требования уведомления ICO и прекратит обработку биометрических персональных данных сотрудников.
На прошлой неделе ICO также опубликовало новое руководство для организаций, которые рассматривают возможность использования биометрического распознавания.