רגולטור הפרטיות בבריטניה (Information Commissioner's Office-ICO) פרסם אתמול הנחיה חדשה לגבי מידע ביומטרי, המתייחסות לנושאי הגדרת המידע הביומטרי, עיבוד קטגוריות מיוחדות של מידע ביומטרי, השלכות השימוש במידע ביומטרי במערכות זיהוי ביומטרי וחובות הפרטיות שחברות נדרשות לציית להן בעיבוד מידע ביומטרי. ההנחיה מיועדת בעיקר לחברות המשתמשות או השוקלות להשתמש במערכות זיהוי ביומטריות, לספקים ולמפתחים של מערכות אלו.

לפי ההנחיה, מידע אישי ייחשב למידע ביומטרי רק כאשר המידע: (1) מתייחס למאפיינים הפיזיים, הפיזיולוגיים או ההתנהגותיים של נושא מידע (למשל האופן שבו מישהו מקליד, קולו, טביעות האצבע או הפנים של נושא המידע); (2) עבר עיבוד באמצעות טכנולוגיות ספציפיות (למשל, הקלטת אודיו של נושא מידע מנותחת עם תוכנה ספציפית כדי לזהות איכויות כמו טון, גובה, הדגשות והטיות של הקול); ו-(3) יכול להוביל לזיהוי ייחודי של נושא המידע הקשור אליו.

כאשר משתמשים במידע ביומטרי כדי לזהות נושא מידע באופן ייחודי, בשימוש במידע ייחשב ל-"קטגוריות מיוחדות של מידע ביומטרי", הנחשב לרגיש יותר ודורש הגנה נוספות. לא כל מידע ביומטרי ייחשב ל-"קטגוריות מיוחדות של מידע ביומטרי", והחובות הנוספות יחולו רק אם מטרת עיבוד המידע היא כדי לזהות נושא מידע באופן ייחודי, או אם המידע נופל בגדר הגדרה אחרת של "קטגוריות מיוחדות של מידע", לדוגמה כאשר משתמשים בו כדי לזהות את הגזע או את המוצא האתני, או כאשר הוא כולל מידע רפואי.

ההנחיה מתייחסת בהרחבה למערכות זיהוי ביומטריות, כמו מערכות לזיהוי פנים או טביעות אצבע במקום עבודה. לפי ההנחיה, כל מי שמשתמש במערכות זיהוי ביומטריות מעבד למעשה קטגוריות מיוחדות של מידע ביומטרי, כיוון שמטרת המערכות היא לזהות באופן ייחודי נושא מידע באמצעות מידע ביומטרי. לפיכך, חברות המשתמשות במערכות אלו יידרשו לבסס את חוקיות האיסוף על בסיס חוקי נוסף לפי ה-UK GDPR ובהתאם לסעיף 9 לחוק. law.co.il מזכיר שהנחיה זו פורסמה במקביל לפעולות אכיפה של ה-ICO נגד חברת Serco Leisure, Serco Jersey ועוד שבע חברות קשורות בשל שימוש לא חוקי בבקרות כניסה ביומטריות.