波兰学校因使用指纹验证学生的午餐付款而受到GDPR罚款

 
波兰的一所学校被发现正在处理学生的指纹数据以验证他们是否已经支付了学校午餐费用，因违反欧洲的《通用数据保护条例》(GDPR)，被罚款4,600欧元(5,200美元)。这一消息是在全球生物识别数据利用计划引发重大隐私问题时发布的。
波兰个人资料保护办公室(UODO)代表Jan Nowak表示，波兰北部城市格但斯克的这所身份不明的学校“在没有法律依据的情况下”处理了数百名儿童的指纹。 Nowak补充说，有足够的替代选择来管理学校的饭菜。根据UODO的说法，自2015年以来，小学一直在自助餐厅入口处使用生物识别读取器，以验证学生是否已支付餐费。在当前的学年中，该系统用于680名儿童，其中有四个孩子使用“替代身份识别系统”。
未使用生物识别码的学生被迫下线。
声明写道：“在UODO总裁看来，这样的规定引入了对学生的不平等待遇以及他们不合理的区分，因为它们显然有利于采用生物识别技术的学生。” “此外，根据当局的观点，考虑到处理目的，生物特征数据的使用明显不成比例。”
尽管获得了生物识别ID计划的父母同意，但UODO发现，该系统“对于实现确定儿童有权享用午餐的目标不是至关重要的。”
GDPR系数
最终决定引用了GDPR的多个方面，包括第38号独奏曲，其中提到了有关保护儿童数据的具体规定。报告指出：“应该强调的是，儿童需要对个人数据进行特殊保护，因为他们可能不太了解与处理个人数据有关的风险，后果，保障和权利，”。
根据GDPR，生物识别数据被定义为“由于与自然人的身体，生理或行为特征相关的特定技术处理而产生的个人数据，这些数据允许或确认该自然人的唯一身份。”这包括指纹，虹膜扫描，手形，语音识别和面部扫描。确实，最新的GDPR隐私问题是在瑞典学校因进行跟踪学生出勤的面部识别试验计划而被GDPR罚款20,000欧元(23,000美元)之后不久。
去年，英国信息专员办公室(ICO)发布了一项针对英国女王税务与海关总署(HMRC)的执行通知，此前该公司已实施了使用呼叫者的声音来验证其身份的系统。对于HMRC，没有施加任何罚款，但指示其删除未经语音许可而通过语音认证系统收集的所有生物识别数据。
这凸显了一个事实，那就是GDPR不仅要像对其他引人注目的案件那样处以巨额罚款。去年，英国ICO因2018年的一次安全漏洞(造成500,000名客户的个人信息泄露)而受到英国ICO创纪录的2.3亿美元罚款，而Google则因该数据泄露而从法国数据隐私机构处以5700万美元的罚款。关于其广告个性化技术的“缺乏透明度，信息不足和缺乏有效同意”。
虽然对波兰小学的罚款是相对微不足道的，但该学校还被勒令删除其通过计划收集的所有个人数据，并停止收集所有此类数据。
永久性
随着数据隐私法规在全球范围内生效，包括最近实施的《加州消费者隐私法案》(CCPA)，我们可能会看到更多有关应如何实施生物识别数据程序或是否应使用它们的辩论。
根据GDRP，生物识别数据被视为“特殊类别”，与可能通过数字平台收集的其他个人数据(例如电子邮件地址和电话号码)分开。与电子邮件地址或信用卡凭证不同，生物识别标记无法轻易更改，这就是为什么它们在GDPR下被赋予特殊地位的原因。
UODO在其声明中指出：“生物特征识别系统识别出不会改变的特征，例如在指纹[指纹]数据的情况下。” “由于生物识别数据的独特和永久性，这意味着它们不能随时间变化，因此应谨慎使用生物识别数据。根据基本权利和自由，生物识别数据是唯一的，因此需要特殊保护。 [可能的泄漏]可能对自然人的权利和自由造成高风险。”