Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'DPIA for Facial Recognition Technology for Prison Visitors'.


Data Protection Impact Assessment – report template 
Introduction
Whenever personal data is being processed, the processing should be compliant with data protection legislation. Completing a data protection 
impact assessment (DPIA) before you start the data processing wil  help you to identify and minimise risks as wel  as demonstrate compliance 
with data protection legislation. It is mandatory to complete a DPIA for proposals that have a high risk of causing individuals harm.
The legislation consists of the Data Protection Act (DPA) 2018 and Regulation (EU) 2016/679: the General Data Protection Regulation (GDPR).
HMG security policy also requires that an initial assessment of the privacy risks to individuals in the col ection, use and disclosure of information
is made for all new policies or projects that include the use of personal information. 
Any planned policy, project or initiative should be assessed to identify potential privacy risks, it’l  be easier to make changes at the start than 
later on. If you have any questions or comments in relation to this assessment please contact the Information Governance and Data Protection 
team mailbox in the first instance at xxxx.xxxxxxxxxx@xxxxxxx.xxx.xx. 
Who is responsible for the DPIA?
The Senior Responsible Owner for the project or programme or the Information Asset Owner for the personal data that will be processed is 
responsible for ensuring the DPIA takes place. They are also responsible for approving the finalised DPIA. A DPIA is a col aborative exercise 
and cannot be completed by one individual on their own. Contributions will be required from all those involved in the policy change, project or 
proposal. Those who will be affected by the proposal should be consulted whenever possible and also other teams that may be required to 
deliver the proposal such as commercial or technology. 
On completion, the DPIA report should be approved by your Information Asset Owner (IAO), Business Owner or Project Senior Responsible 
Owner (PSRO). Proposals that involve the processing of a significant amount of personal data or are high risk should be signed off by your 
Senior Information Risk Owner (SIRO). 


A DPIA should be a living process and the assessment should be reviewed regularly, preferably annually and certainly if any changes to the 
project are proposed. The completed DPIA must be submitted to the Data Protection Officer for review at xxxx.xxxxxxxxxx@xxxxxxx.xxx.xx. 
Key individuals
Role
Name
Email
Tel:
Senior Information Risk
Owner (SIRO)
Information Asset 
Owner
Business IA Lead
Digital Assurer
(if relevant)
Product Manager
(if relevant)
Section 1: Outline of the proposal and personal data to be processed
What kind of processing and data does this proposal involve?
1.1 Explain broadly what the 
In   conjunction   with   the   Home   Office’s   Joint   Security  and   Resilience   Centre   (JSARC),   HMPPS   have
proposal aims to achieve.
embarked on the Visitors Verification Project. The aim of the project is to trial biometric solutions that
enables Prisons to verify who a person is. 
In December 2018 three separate biometric suppliers wil  test their technology in three prisons in the
Yorkshire region. 
 Technology A: Is an identity document verification solution that wil  be tested in HMP Hul . 
2


 Technology B: Is a facial recognition technology that wil  be tested in HMP Humber. 
 Technology C: Is an iris scanning technology that wil  be tested in HMP Lindholme. 
The trials wil  be testing which supplier(s) can provide an effective and efficient solution for prisons to
verify who a person is. As per 1.5, the capture and retention of biometric data by government is a high
profile issue and subject to public scrutiny. The trial will gather this data. However the participants wil  be
aware and give their consent. In addition we wil  not retain the data at the end of the trial or use it in any
operational work.
Performance metrics will be captured during the six weeks which will seek to identify quantitative data,
such as, system outputs, user feedback and visitor feedback. 
1.1 has been redacted under section 31 exemption.
Currently, there are two systems which are used for the booking and verification of visitors into Prisons
across England and Wales. 
Redacted under section 31 exemption 
1.2 Does the proposal replace 
an existing policy, process or 

The trial wil  run paral el to the existing visitor verification process that the three prisons have in place.
system?
The initial enrolment process with each supplier varies, it can take up to approximately one minute per
visitor. Once the initial enrolment has been completed when the visitor next attends the establishment the
verification process should take up to ten seconds. With how visits sessions are currently delivered it is
not expected that with running two processes running parallel to one another wil  hinder visiting times. Al
visitors wil  have the right to refuse partaking in the trial.  
The processing of biometric data will al ow HMPPS to better identify and verify who visitors are. 
Visits is an area that is exploited for the conveyance of illicit items, therefore biometric technology wil  
1.3 How will data processing 
support prisons with the detection and prevention of crime.  
support this objective? 
Redacted under section 31 exemption 
3


There are several potential benefits to improving on how HMPPS verify who visitors are: 
Redacted under section 31 exemption 
1.4 What are the benefits of the 
 By   using   biometrics,   such   as,   facial   recognition   HMPPS   can   confirm   who   is   entering   the
data processing to MoJ and 
establishment. Also enabling an efficient and secure service to visitors.  
more broadly?
 Facial recognition wil  support the detection and prevention of crime in prisons across England
and Wales. Where necessary, HMPPS will work with Law Enforcement Agencies.   
Yes. The capture and retention of biometric data by government is a high profile issue and subject to 
1.5 Are the any current issues of
public scrutiny. The trial wil  gather this data. However the participants wil  be aware and give their 
public concern that should be 
consent. In the event they don’t give consent they will still be able to continue the visit using the current 
factored in?
processes in place. In addition we wil  not retain the data at the end of the trial or use it in any operational 
work.
1.6 Will the processing be under
the GDPR or part 3 of the Data 

Part 3 of DPA
Protection Act?
Part 3 of the DPA (2018) covers personal data processing for the prevention, investigation, detection or prosecution of criminal offences
or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.

Currently prisons in England and Wales record the fol owing pieces of data for each visitor: 
 Ful  name. 
 Date of Birth 
1.7 What personal data will be 
 Address 
processed as part of the 
proposal?

In addition to this, the fol owing data wil  be recorded by each of the suppliers:
 Technology A: Facial imagery and documentation, such as, passport or drivers licence
 Technology B: Facial imagery 
 Technology C: Iris imagery 
4


Personal data means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is 
one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location 
data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of 
that natural person. Personal data includes opinions expressed about an individual.

1.8 Does the proposal involve 
As per 1.5. The capture and retention of biometric data by government is a high profile issue and subject 
information about individuals of  to public scrutiny. The facial recognition trial will natural y gather data on someone’s gender and race. 
a kind particularly likely to raise 
However the participants will be aware and give their consent. . In the event they don’t give consent they 
privacy concerns or 
will stil  be able to continue the visit using the current processes in place. In addition we wil  not retain the 
expectations?
data at the end of the trial or use it in any operational work.
The data protection laws identify a number of categories of personal data that require special care. These include racial and ethnic origin, 
political opinions, religious beliefs, trade union membership, health conditions, sexual life, offences and court proceedings. You should also flag
other sensitive personal data use, including financial data, data about vulnerable individuals and data which can enable identity theft.  

The  trial   wil   be   running   for  approx.   six  weeks   in  three  prisons,   HMP  Hull,   HMP  Humber  and  HMP
Lindholme. We are unable to provide exact numbers for how many individual’s data wil  be processed,
the information below can be used as a guide. 
 HMP Hull: They currently run ten social visits sessions across six days. 
 HMP Humber: They currently run nine social visits sessions across seven days. 
 HMP Lindholme: They currently run five social visits sessions across five days. 
1.9 How many individuals’ 
personal data will be 

It should be noted that during the six week trial it is likely that each prison will receive visits from the same
processed?
individuals as some visit on a weekly basis. 
One of the anonymised performance metrics will be to measure how many visitors pass through the
systems. These wil  be quantitative measures that will seek to identify the accuracy and efficiency of the
system.    
In addition to this, each prison will run visit sessions for professional and legal visitors. These are either
held on separate days or concurrent to social visit sessions. 
Redacted under section 31 exemption 
5


1.10 What is the proposal’s 
relationship with the 

The visitors to the prison are data subjects
individuals?
The information that wil  be recorded wil  be personal biometric and identity data, such as, name and date
of birth, official documentation imagery and facial imagery. 
1.11 What is the source of the 
information?

This data will be checked against the images and data contained within the system in order to verify who 
the visitor is, and the documentation provided is accurate.  
1.12 Does the proposal involve 
HMPPS currently holds personal bio data of all social visitors which is recorded on either PNOMIS or 
the use of personal data MoJ 
standalone biometric systems. The verification of visitors and the recording of information is managed in 
currently processes for new 
accordance with PSI 15/2011 Management and Security at Visits. 
purposes?
As per question 1.9. 
We   are   unable   to   provide   exact   numbers   for   how   many   individual’s   data   wil   be   processed,   the
information below can be used as a guide. 
1.13 How frequently will data be 
 HMP Hull: They currently run ten social visits sessions across six days. 
collected?
 HMP Humber: They currently run nine social visits sessions across seven days. 
 HMP Lindholme: They currently run five social visits sessions across five days. 
Redacted under section 31 exemption 
The trial is going to run across HMP Hull, HMP Humber and HMP Lindholme. These three prisons all
form part of the Yorkshire Prison Group. 
1.14 What geographical area will
data be collected from?

These prisons have been selected for the trial as they have been identified as a priority prison through
the Ministerial commissioned drugs works.  
Data wil  be col ected from all individuals (except children under the age of 18 years of age) during the
1.15 Will it be collected directly 
trial period who give their consent to be involved in the trial. Individuals under the age of 18 cannot visit
from the individuals?
without an adult. 
6


1.16 Does the proposal require 
individuals to be contacted in 
ways which they might find 

 No
intrusive? If so, justify this 
approach.

The data wil  be col ected by the three providers Technology A, Technology B and Technology C on the 
1.17 Will it be collected by 
behalf of HMPPS. Fol owing the completion of the trial, al  the data col ected wil  be deleted. 
another organisation on behalf 
of MoJ?

Redacted under section 31 exemption 
1.18 If so, what is the 
relationship and 

These are three private companies but we will have an MoU with each for the trials
authority/control the MoJ has 
over the organisation?
1.19 Which organisation is the 

HMPPS – Data Controller
data controller, which is a data 
Private Companies – Data Processor
processor?
The project involves the trial ing of three pieces of commercial technology that capture certain biometric 
1.20 How will the 
information about an individual, specifical y a visitor to a prison. The biometric information includes 
project/policy/initiative use 
images of faces, fingerprints or Iris. This biometric information wil  be used to verify whether a visitor is 
personal data?
who they say they are. This is just a trial so while in the long term it could be used in concert with existing 
facial images and other databases, for now it wil  just be used to capture the images themselves. 
The trial is to test facial recognition technology on visitors to prisons. Capturing facial images of visitors is
1.21 Does the proposal involve 
something that already occurs in some prisons across England and Wales. An exception to this, will be
using new technology which 
Technology  C   which   col ects  facial   and   iris   data.  This   may  be   something   that   some  individuals   find
might be perceived as being 
intrusive.
privacy intrusive? If so, justify 
the approach.

The collection of this data is essential for the visitor verification project in order to establish which solution
is the most effective and suited to a prison environment. 
Examples include, but are not limited to: radio frequency identification (RFID) tags, biometrics, facial recognition, locator technologies (including 
mobile phone location), applications of global positioning systems (GPS) and intel igent transportation systems), visual surveil ance, digital image 
and video recording, profiling, data mining, and logging of electronic traffic.

7


1.22 Are there any prior 
concerns of this type of 

Yes. Facial recognition has not been used in HMPPS before. The trials wil  be conducted to verify the 
processing or security flaws? If 
accuracy of this technology
so, justify why you are using 
this approach.

Section 2: Consultation
You should consult individuals whose data you are processing in some form. This process can reassure individuals that you are protecting their 
interests and have reduced any negative impact on them as much as you can. In some cases, the consultation process for a DPIA gives them a
chance to have some say in the way their information is used.
You should also consult other stakeholders, including data processors (if applicable), legal, digital and/or information security experts.
You may also need to consult the ICO if the proposal is particularly high-risk. Any approach must be agreed with the Data Protection Officer, 
whom you can contact at xxxx.xxxxxxxxxx@xxxxxxx.xxx.xx. 
Consultation with relevant stakeholders
2.1 When and how will other 
We will assess the outcomes of the project by identifying by identifying specific performance metrics which 
individuals’ views be sought?
considers data such as, time for processing visitors, how many visitors passed through, etc… as well as 
the views of both prisoner (user) staff and visitors. 
If you are not consulting, 
explain why.
During the trial period, literature wil  be displayed and available for visitors which wil  detail what the project 
is about. The first wil  be an open letter to visitors which will detail why the trial is taking place, and the 
second wil  be posters to be displayed in the visitor’s areas.
2.2 Who else within MoJ 
The Visitor Verification Project is a joint initiative between the Joint Security and Resilience Centre 
(including its Executive 
(JSARC) of the Home Office and the Security, Order and Counter Terrorism Directorate of HMPPS. 
Agencies and ALBs) wil  be 
involved in the 
MoJ Digital & Technology and Data Science teams wil  also be involved in the trials.   
project/policy/initiative?
8


2.3 Wil  you have a data 
processor for the 
policy/programme/initiative. If 
Yes this will be the private companies
so, wil  you consult 
accordingly? 
2.4 Wil  information or other 
Yes, MoJ Information Assurance are engaged, as wel  as HMPPS Information Security.
security experts be consulted?
9


Section 3: Data Flow Analysis
Set out in a diagram or table the data flows. You should include details of where the data comes from; how it moves within the MOJ and how it 
moves to and from other organisations.

You should also include details of the col ection, use storage and deletion of the data; and the mechanisms used to move the data (e.g. 
internet, courier, email).
Data Flow 
Redacted under section 31 exemption
 
10


Section 4: Legislative requirements 
This wil  assess the compliance of your proposal against the requirements various privacy legislation and policies.
Section 4.1 relates to the requirements of the GDPR and DPA (2018) for the processing of personal data.
Section 4.2 relates to the requirements of Part 3 of the DPA (2018), which has some different requirements to the GDPR and Parts 1 and 2 of 
the DPA (2018) 
Section 4.3 relates to the requirements of other privacy legislation and policies. This section is compulsory.
If you are processing data under Part 3 of the DPA (2018) you should complete:
 Most of Section 4.1: requirements of the GDPR and DPA (2018) – you don’t need to complete question 4.1.11;
 Section 4.2: requirements of Part 3 of the DPA (2018); and
 Section 4.3: other privacy legislation and policies.
If you are not processing data under Part 3 of the DPA (2018), you should complete:
 Section 4.1 in full: requirements of the GDPR and DPA (2018); and
 Section 4.3: other privacy legislation and policies.
11


Section 4.1: Requirements of the GDPR and DPA 2018 Part 2
Requirement
Comments
Data
4.1.1 Data Protection Impact Assessment (DPIA):
No. We have been directed by MoJ Data 
Protection
 Has a DPIA screening process for the proposal/project/system been Protection Team to complete the ful  assessment.
Impact
Assessment
completed? If yes, please attach the DPIA screen form.
 Has a DPIA/PIA that relates to the proposal/project/system been 
GDPR Article
completed?  If yes, please attach the assessment.
35
or
The Act
Section 64
The Principles
Lawful: complete separate section below 
GDPR Articles
5, 6
4.1.2 Specific: complete Q1.1
or
The Act
4.1.3 Adequate:
Section 34
The trafficking of il icit items through visits halls is a
 What assessment has been made on the adequacy of the data 
significant threat to prison security. The col ection 
 Lawful
being processed in relation to the purpose?
of biometric data is considered an adequate 
response to this
 Specific
4.1.4 Limited: 
Biometric data wil  help us verify the identity of a 
 Limited
 What assessment has been made on the relevance of the data 
visitor and better identify those who are potential y 
 Accurate
being processed to the purpose? 
visiting to commit crime. For the purposes of these 
 Time-
trials the data will be limited to the time of the trial 
Bound
An important aspect of privacy protection is not to col ect excessive 
and deleted afterwards. It will not be used for other
 Secure
personal data. There must be clear justification for the necessity of al  
purposes during the trial
data processing.
12


 Wil  the data be used for any other purpose? 
Data controllers must be clear and specific about the purposes for 
which personal data is to be used and not use it for purposes 
incompatible with those for which it was initially col ected

4.1.5 Accurate:
 How will the accuracy of the data be checked?
Part of the trial will be to test the accuracy of the 
 How will inaccurate data be corrected?
data col ected by the equipment. Any inaccuracies 
will be flagged and deleted during the trial
 How will it be kept up to date?
 What processes wil  be in place to manage requests for 
rectification?
4.1.6 Time-Bound:
 How will the data be stored?
 How long wil  the data be stored? 
The data wil  be secured within the equipment’s 
 Is the data covered by an existing retention and deletion schedule?  own memory and also within HMPPS data 
If not, will one be agreed with the Departmental Records Officer?
systems. The data will be retained during the trial 
 Wil  you be able to delete the data when you no longer need it? 
and deleted at its conclusion. This wil  be overseen
by an HMPPS member of staff and written 
 If you can’t delete it, can you anonymise it partly or wholly? 
confirmation received of the destruction to agreed 
 What processes wil  be in place to ensure the data is securely 
HMG defined standards. 
destroyed/deleted?
 Wil  an audit be put in place of the retention and disposal activity?
Secure: complete question 4.1.18 below
13


4.1.6 Transparent / Duty to Inform:
Yes. Each visitor wil  be informed of what we are 
Transparent
 Wil  you have a privacy notice for data subjects when you col ect 
data from them? If not, explain why.
col ecting and for what purpose during the trial. It 
GDPR Article
 How will data subjects (e.g. customers, staff) be made aware of 
will only be collected from the data subject. No 
12, 13, 14
operational watch lists wil  be used during the trial
what is happening to their data if you have received it from another 
or
source i.e. not col ected it from the data subjects themselves? 
Visitors will be given the right to refuse to take part 
 Do individuals have an opportunity and/or right to decline to 
The Act
in the process. This will be clearly stated in the 
disclose or share their information?
Section 44, 45
letter issued to each visitor when they arrive on 
site.
Provide a copy or link to any privacy notices.
Subject
Access
GDPR Article
4.1.7 Subject Access Requests:
15
 Wil  the personal data be extracted and provided to the data subject Yes
through usual business processes? 
or
 If not, how wil  subject access requests be managed?
The Act
Section 45
Data
Transfers
4.1.8 Data Transfers:
GDPR Article
 Wil  the data be held or transferred outside the UK? If yes, where 
44, 45
wil  it be held or transferred to?
 Wil  the data be held or transferred outside the EEA? If yes, where 
No, it will be retained in the UK
or
wil  it be held or transferred to? 
The Act
 What processes wil  be in place to ensure it any data stored outside
Section 72 to
the EEA is adequately protected?
78
Lawfulness
4.1.9 Lawfulness:
Performance of a public task. 
GDPR
What lawful basis will apply to how the data is processed? 
Article.6
The bases are:
or
14


The Act
 Consent (which is clear, informed and feely given).
Health interests of serving prisoners.
Section 35, 36  Contract (which stipulates the data processing is required).
 Legal obligation (Act of Parliament, SI, common law).
Visitors will have to give consent to taking part in 
 Vital (health) Interests (of data subject or another). 
the trial. An open letter will be given to each visitor 
 Performance of a public task, (including administration of justice, 
detailing that the trial is taking place. Should a 
exercise of a function of either House of Parliament, exercise of a 
visitor decline to take part, their visit will not be 
function conferred on a person by an enactment or rule of law, or 
hindered in any way.
exercise of a function of the Crown, a Minister of the Crown or a 
government department).
Required to process for the prevention, 
investigation, detection or prosecution of crime, 
Does this legal basis require you to process the data or simply gives 
and for security of the prison. 
you coverage to process it?
Consent
4.1.10 Consent:
Data wil  be recorded and retained for the duration 
of the trial only unless an individual refuses after 
GDPR Article
 If you will be relying on consent, will it be given by a confirmation or  being informed of the trial and its purposes. The 
7
action by the individual? How wil  this be recorded? 
letter informing them of col ection wil  be in plain 
 Wil  plain language be used?
or
English.
 What processes wil  be in place to manage withdrawal of consent? 
The Act
In the event of a visitor withdrawing their consent, 
Section 35, 42
their data will be removed from the database and 
confirmed as such by an HMPPS employee.  
Special
4.1.11 Special categories:
N/A
categories of
Personal Data For completion if processing under GDPR not Part 3 of the DPA 
(2018).
GDPR Article
9, Schedule 1
Wil  you process any of the fol owing special categories of personal 
data:
 Race;
 Ethnicity;
 Health; 
 Religion, 
15


 Sex life;
 Sexual orientation;
 Political views;
 Trade union membership; or
 Genetic or biometric data? 
If you are processing sensitive personal data under the GDPR (rather 
than Part 3 of the DPA (2018)), you need to establish a specific lawful 
basis to do so, which are: 

a) Explicit Consent;
b) Necessary in compliance with legal obligation;
c) Vital (health) Interests;
d) By a legitimate, not-for profit body with a political, philosophical, 
religious or trade union aim;
e) Data which has manifestly been made public by the data 
subject;
f) Establishing / defending a legal claim or Courts acting in a 
judicial capacity;
g) Substantial public interest;
h) Preventative occupational medicine, or occupational health;
i) Public interest in the public health (serious); and
j) Archiving in the public interest or for historical/scientific 
research.
Indicate which basis you wil  use to process any special categories of 
personal data. 
If you are processing sensitive data under Part 3 of the DPA (2018), 
this processing is called ‘sensitive processing’ and requires different 
lawful bases. Please respond to the question about this processing at 
the end of this section.

16


Criminal
4.1.12 Criminal Convictions:
No. 
Convictions & The GDPR sets out requirements for processing criminal conviction 
Offences
data outside the context of Part 3 of the DPA (2018) i.e. not for the 
prevention, investigation, detection or prosecution of criminal offences 

GDPR Article
or the execution of criminal penalties, including the safeguarding 
10
against and the prevention of threats to public security.
or 
 Wil  you process personal data about offences/convictions?
The Act
 Do you have a legal basis to hold and process it i.e. are you an 
Section 11
official body or required by law to process criminal conviction data?
The processing wil  also need to meet a condition in Part 1, 2 or 3 of 
Schedule 1 of the DPA 2018.
Right to
4.1.13 Erasure:
At the end of the trial al  data will be deleted from 
Erasure
 What processes wil  be in place to manage requests for erasure? 
al  systems used. If an individual requests their 
data to be deleted before the end we wil  make this
GDPR Article
happen and it will be confirmed by onsite HMPPS 
17
staff. 
or
The open letter to visits wil  contain the contact 
The Act
details for MoJ Data Protection Officer. 
Section 47
and 48
Right to
4.1.14 Restriction:
Refusal by the visitor to take part in the trial. This 
Restriction
 What processes wil  be in place to manage requests to restrict 
will have no detrimental impact on their visit.  If 
processing? 
they withdraw their consent their data wil  be 
GDPR Article
removed as soon as possible and confirmed by an 
18
onsite HMPPS employee. 
or
The Act
Section 47
and 48
17


Data
4.1.15 Portability:
Yes. The data will remain within the environment of
Portability*
the trial
 Wil  the data be extractable in a machine-readable format? 
GDPR Article
 What processes wil  be in place to manage requests to port the 
20
data?
*NB: This does not apply to data processed on the legal basis of legal 
obligation (e.g. an enactment or legislation).
Automated
4.1.16 Automated Decision Making:
No, while facial recognition wil  use machine 
Decision
 Wil  the processing involve automated decision making affecting a 
learning to match faces it wil  not decide whether 
Making
the person has access to the prison. No 
person? If yes, please explain the circumstances of the processing 
operational decisions wil  be taken from this data 
GDPR Article
and the impact of it on the individual. 
during the trial
22
 What processes wil  be in place to manage objections to automated
decision-making? 
or
The Act
Section 49
and 50
Joint
4.1.17 Data Sharing / Contracts:
Controllers &
 Wil  the data be shared with other business units/teams/parts of the 
Processors
Data wil  be processed and shared with the three 
Department? If yes, how will the data be shared/disclosed?
trial ists companies but only on the machine based 
GDPR Articles 
Wil  the personal data be shared with an external organisation? 
locally. An MOU has been agreed with each of 
26 to 30
Please list and identify whether it is another government 
these.
department or agency, a supplier or third party. 
or
 
 What kind of arrangement wil  be in place to covers this? 
The Act
-
Contract?
Section 58 to
-
Data Sharing Agreement?
61
-
Memorandum of Understanding?
-
Other?
 How will the data be shared/disclosed with the other organisations?
Security
4.1.18 Security:
Information wil  be retained on trial equipment 
 How will the data be secured and kept safe? What technical / 
which has appropriate security accreditation or in 
GDPR Article
operational security features and/or policies protect it? Consider risk accredited third party cloud storage.
18


32
of data loss, corruption and confidentiality breaches.
 What is the state of technology in this area?
Biometric technology is new to HMPPS however all
or
 Wil  the data encrypted at rest and in transit? If not, explain why. 
three technologies chosen are already in use in 
The Act
 How and when wil  the data be pseudonymised? If not, explain why.
HMG settings (policing) or in secure locations 
Section 66
 Wil  back-ups be taken? 
(airports)
 What processes wil  be in place to determine who will have access 
to the data/system?
Al  data is encrypted both at rest and in transit for 
 What level of security clearance will be required to access the 
al  three trial machines. 
system/data?
Security certification (including cyber essentials) 
 What data protection/security training will users of the data/system 
has been provided to MoJ accreditors.
be required to have?
 Wil  the security of the system be required to have any formal 
Access to the data wil  be restricted to those 
accreditation or independent certification (e.g. ISO27001)?
HMPPS staff who have been trained to operate the
 Are the organisations processing the data signed up to any 
machines being trial ed. These staff have the 
approved codes of connection or certificate schemes?
vetting to work in a prison and access other 
 Wil  the security of the system/premises be tested regularly? 
personal data we retain.
 What information asset register and/or risk register will the data be 
recorded on? 
As this is a 4-6 week trial there wil  be no ongoing 
testing and as the equipment is on loan there will 
be no information asset register. 
Redacted under section 31 exemption 
19


Section 4.2: Part 3 of the DPA (2018)
You should only complete this section if your proposal will process data under Part 3 of the DPA (2018).
Requirement
Comments
Sensitive
4.2.1 Sensitive processing:
Biometric Data. 
processing
Are you processing sensitive data under 
Legal basis is preventing fraud
The Act
Part 3 of the DPA (2018): 
Sections 35
 Race;
Also explicit consent for the trial
(3) – (5), (8)
 Ethnicity;
42, Schedule
 Health; 
Protecting individual’s vital interests
8
 Religion, 
 Sex life;
Archiving research and statistics
 Sexual orientation;
 Political views;
 Trade union membership; or
 Genetic or biometric data? 
If so, have you identified your legal basis 
for doing so:
 Explicit consent:
 Additional schedule 8 conditions:
a) Judicial and statutory purposes.
b) Protecting the individual’s vital 
interests.
c) Personal data already in the public
domain.
d) Legal claims and judicial acts.
e) Preventing fraud.
f) Archiving, research and statistics.
20


Auditable
4.2.2 Logging:
Al  systems are ful y auditable
Logging
 Wil  the system / process have a 
The Act
logging function to track changes and 
Section 62
access to the data so that a record (or
log) is created each time a user does 
something with the data, such as;
(a) adding / col ecting it;
(b) altering or amending it;
(c) viewing or reviewing it;
(d) sharing, disclosing or 
transferring it (including to 
whom)
(e) combining it with other data 
(e.g. to identify / prove 
something)
(f) deleting or archiving it.
Data
4.2.3 Distinction (of data subjects):
During the trial the systems will only be col ecting the data from the participants. 
Distinction
 Wil  the system / process make a 
Redacted under section 31 exemption 
The Act
clear distinction between personal 
Section 38(3)
data relating to different types of data 
subject, and why it is being processed
for criminal law enforcement 
purposes? This should include:
(a) persons suspected of 
committing a criminal offence;
(b) persons convicted of a criminal
offence;
(c) persons who are or may be 
victims of a criminal offence;
(d) witnesses or other persons 
with information about offences
The distinction should prevent the 
confusion of the above individual’s data.
21


Section 4.3: Other privacy legislation and policies
Requirement

Response If yes, provide details
Privacy &
4.3.1 Technology
Electronic
Does the project/policy/initiative involve new or 
 Yes
Communication
inherently privacy-invasive electronic 
s Regulations
communications technologies?
 No
2003
For the avoidance of any doubt, ‘communication’ 
means any information exchanged or conveyed 
between finite parties by means of a public 
electronic communications service, but does not 
include information conveyed as part of a 
programme service, except to the extent that such 
information can be related to the identifiable 
subscriber or user receiving the information.
4.3.2 Communication providers
Does the project/policy/initiative involve new or 

 Yes
existing communication providers?
 No
For the avoidance of doubt, ‘communication 
providers’ means a person or organisation that 
provides an electronic communications network or 
an electronic communications service.
4.3.3 Communication subscribers / users

Does the project/policy/initiative involve new or 
 Yes
existing communication subscribers / users?
 No
For the avoidance of doubt, ‘communication 
subscriber’ means a person who is a party to a 
contract with a provider of public electronic 
communication services for the supply of such 
services. ‘User’ means an individual using a public

22


electronic communications service.
Human Rights
4.3.4 Article 2: Right to Life
Act 1998
Does the project/policy/initiative involve new or 
 Yes
existing data processing that adversely impacts an
individual’s right to life, subject to any limitations 

 No
as may be defined in Article 2(2)?
For the avoidance of any doubt, the limited 
circumstances are that in peacetime, a public 
authority may not cause death unless the death 
results from force used as fol ows:

 Self defence or defence of another person 
from unlawful violence;
 Arresting of someone or the prevention of 
escape from lawful detention; and
 A lawful act to quell a riot or insurrection
4.3.5 Article 3: Prohibition of Torture
Does the project/policy/initiative involve new or 

 Yes
existing data processing that adversely impacts an
individual’s right to be not subjected to torture or 

 No
inhuman or degrading treatment?
For the avoidance of doubt, this is an absolute 
right.
4.3.6Article 4: Prohibition of Slavery or Forced 
Labour

 Yes
Does the project/policy/initiative involve new or 
existing data processing that adversely impacts an

 No
individual’s right to be not held in servitude or 
23


forced to perform compulsory labour?
For the avoidance of doubt, this is an absolute 
right; the following are excluded from being 
defined as forced or compulsory labour:

 Work done in ordinary course of a prison or 
community sentence;
 Military service;
 Community service in a public emergency; and
 Normal civic obligations.
4.3.6 Article 5: Right to Liberty and Security
Does the project/policy/initiative involve new or 

 Yes
existing data processing that adversely impacts an
individual’s right to be not deprived of their liberty 

 No
subject to certain limitations?
For the avoidance of doubt, the fol owing 
limitations apply when a person is:

 Held in lawful detention after conviction by a 
competent court;
 Lawfully arrested or detained for non-
compliance with a lawful court order or the 
fulfilment of any lawful obligation;

 Lawfully arrested or detained to effect the 
appearance of the person before a competent 
legal authority;

 Lawfully detained to prevent the spreading of 
infectious diseases;
 Lawfully detained for personal safety (applies 
to persons of unsound mind, drug addicts etc); 
and

 Lawfully detained to prevent unlawful entry into
the country or lawful deportation from the 
country.

24


4.3.7 Article 6: Right to a Fair Trial
Does the project/policy/initiative involve new or 

 Yes
existing data processing that adversely impacts an
individual’s right to have a public hearing within a 

 No
reasonable time by an independent and impartial 
tribunal established by law?

For the avoidance of doubt, the hearings included 
are both civil and criminal proceedings that are not
specifical y classified as hearings that must be 
heard ‘in camera’, i.e. closed to the public.
4.3.8 Article 7: Right to no Punishment without 
Law

 Yes
Does the project/policy/initiative involve new or 
existing data processing that adversely impacts an

 No
individual’s right to not be prosecuted for a crime 
that was not, at the al eged time of commission, 
constitute a criminal offence under national or 
international law?

For the avoidance of doubt, this is an absolute 
right.
4.3.9 Article 8: Right to Respect for Private and
Family Life

 Yes
Does the project/policy/initiative involve new or 
existing data processing that adversely impacts an

 No
individual’s right to respect for privacy in terms of 
their private and family life subject to certain 
qualifications?

For the avoidance of doubt, the qualifications are:
 Legal compliance;
 National security;
 Public safety;
25


 National economy;
 Prevention of crime and disorder;
 Protection of public health and morals;
 Protection of rights and freedom of others.
4.3.10 Article 9: Right to Freedom of Thought, 
Conscience & Religion

 Yes
Does the project/policy/initiative involve new or 
existing data processing that adversely impacts an

 No
individual’s right to freedom of thought, conscience
and religion subject to certain qualifications?

For the avoidance of doubt, the qualifications are:
 Unless prescribed by law;
 In interest of public safety;
 Protection of public order, rights or morals;
 Protection of rights and freedoms of others.
4.3.11 Article 10: Right to Free Expression

Does the project/policy/initiative involve new or 
 Yes
existing data processing that adversely impacts an
individual’s right to hold opinions and express their

 No
views singly or in dialogue subject to certain 
qualifications?

For the avoidance of doubt, the qualifications are 
as set out in Article 9 above.

26


4.3.12 Article 11: Right to Freedom of 
Assembly & Association

 Yes
Does the project/policy/initiative involve new or 
existing data processing that adversely impacts an

 No
individual’s right to freedom of peaceful assembly 
and association with others subject to certain 
qualifications.

For the avoidance of doubt, the qualifications are 
as set out in Article 9 above.

4.3.13 Article 12: Right to Marry
Does the project/policy/initiative involve new or 

 Yes
existing data processing that adversely impacts an
individual’s right to marry and found a family 

 No
subject to certain restrictions?
For the avoidance of doubt, the restrictions are 
regulated by law so long as they do not effectively 
take away the right, e.g. age restrictions apply.

4.3.14 Article 14: Right to Freedom from 
Discrimination

 Yes
 No
Does the project/policy/initiative involve new or 
existing data processing that adversely impacts an
individual’s right to be treated in a manner that 
does not discriminate the individual from others 
subject to certain restrictions?

For the avoidance of doubt, this right is restricted 
to the conventions as set out in the European 
Convention of Human Rights 1950; the grounds 
for discrimination can be based on:

27


 Sex
 Race
 Colour
 Language
 Religion
 Political persuasion
 Nationality or social origin
 Birth
 Other status.
Articles: 16 / 17 / 18
Not relevant for the purpose of this questionnaire
Regulation of
4.3.15 Does the project/policy/initiative involve 
Investigatory
new or inherently privacy invasive electronic 
 Yes
Powers Act
technologies to intercept communications? For the
(RIPA) 2000
avoidance of doubt, ‘communications’ is defined in
 No
RIPA Part V, section 81(1).
Does the proposal involve new or inherently 
privacy invasive electronic technologies pertaining 
to the acquisition and disclosure of data relating to
communications?

Does the proposal involve new or inherently 
privacy invasive electronic technologies pertaining 
to the carrying out of surveil ance?

Does the proposal involve new or inherently 
privacy invasive electronic technologies pertaining 
to the provision of the means by which electronic 
data protected by encryption or passwords may be
decrypted or accessed?

Does the proposal undertake any of the functions 
of the Security Service, the Secret Intel igence 
Service or the Government Communications 

28


Headquarters?
29


Section 5: Risk management
Risks to individuals can be categorised in different ways and it is important that al  types of risk are considered. These range from risks to 
physical safety of individuals, material impacts (such as financial loss) to less tangible impacts (for example, distress caused).
You should consider:
 Risks to individuals, e.g. inappropriate data sharing, transparency and privacy
 Corporate, e.g. sanctions, fine and reputational damage and cost to later mitigations; and
 Compliance risks with the GDPR, DPA (2018), Privacy and Electronic Communications Regulations, human rights legislation and other 
privacy legislation.
You should use the MoJ five-point risk assessment scale to calculate the risk by combining scores for impact and likelihood of the risk. For 
example, a risk with an impact of 3 and likelihood of 4 would provide a combined risk rating of 12 (medium). More information is available in the
guidance.
Risk(s) identified in the 
Solution(s)
Result: is the risk 
Evaluation: is the final impact on individuals 
d

o
assessment (for example 
eliminated, 
after implementing each solution a justified, 
act
p

o
risks to individuals, 
reduced, or 
compliant and proportionate response to the 
Im
 (IxL
g

corporate risks, compliance 
accepted? 
aims of the project/policy/initiative?
ikelih
risks)
L
atin
R

Distress to visitors from 
Visitors given option to opt out 
Reduced
Yes
3
1
4
undergoing more rigorous 
of the trials
checks
Risks that equipment, as 
Undertaking closed trials
Reduced
Yes
4
1
4
new technology wil  not be 
secure

Validation of accreditation 
30


before trials take place
31


Contributors and approvals
Stakeholders/Participants.
What organisations and individuals contributed to this assessment (include their role/function)? 
You should record the input of the Data Protection Officer, internal and external stakeholders, including any difference of opinion.
Name
Role
Organisation
Nature of Input (including any difference of opinion)
Approved by:
Date:
32


33

Document Outline