De Britse Chelmer Valley High School heeft van de Britse privacytoezichthouder ICO een berisping gekregen wegens de illegale inzet van gezichtsherkenningstechnologie in de schoolkantine. De school gebruikte de technologie vorig jaar maart om leerlingen cashloos te laten betalen voor lunches. Bij de inzet van gezichtsherkenning worden biometrische gegevens verwerkt. Organisaties in het VK die met dergelijke technologie werken zijn wettelijk verplicht een data protection impact assessment (DPIA) uit te voeren.

Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico's te verkleinen. Doordat de school had nagelaten dit te doen waren de risico's voor de gegevens van kinderen niet bekend. De school had daarnaast geen adequate toestemming om de biometrische informatie te verwerken en leerlingen kregen geen keuze om te bepalen of ze op deze manier van de technologie gebruik wilden maken.

Tevens had de Chelmer Valley High School niet om de mening van de privacyfunctionaris gevraagd. Ouders die niet wilden dat de gezichtsherkenning op hun kinderen werd toegepast moesten hier actief bezwaar tegen maken. "De wet ziet 'opt out' niet als een geldige vorm van toestemming en vereist expliciete permissie", aldus de ICO. Die stelde ook vast dat de meeste leerlingen oud genoeg waren om hun eigen keuze te maken en door die keuze bij ouders neer te leggen ontnam de school leerlingen de mogelijkheid om hun rechten en vrijheden uit te oefenen.

Volgens de ICO heeft de Britse school dan ook met de inzet van gezichtsherkenning op deze manier de privacywetgeving overtreden. De toezichthouder had de school om een verweer gevraagd, maar kreeg die niet. Naast een berisping heeft de ICO de school ook verschillende aanbevelingen gedaan. Die zijn echter niet juridisch bindend.