רשות הגנת הפרטיות באנגליה (ה-ICO) פרסמה דו"ח הסוקר את התאמת פרוייקט הזיהוי האוטומטי של נוסעים בנמל התעופה הית'רו בלונדון, במסגרתו נמל התעופה ישתמש בטכנולוגיית זיהוי פנים, ל-GDPR. הפרוייקט נבחן במסגרת תכנית "ארגז החול" (the Sandbox Project) של הרשות שהציעה לארגונים ולחברות ליווי של פרוייקטים חדשניים כך שיתוכננו מראש תוך התאמה לדרישות הגנת הפרטיות.
הנוסעים יצולמו כאשר הם נכנסים לנמל התעופה, התמונה שתצולם תושווה לתמונה במסמך הזיהוי של הנוסע שנמסר לחברת התעופה בעת הזמנת כרטיס הטיסה וכך יימנע הצורך באימות על ידי איש ביטחון. זהות הנוסע תאושר שוב ושוב לאורך מסלולו בשדה כאשר יחלוף על פני נקודות אימות שיוצבו בנמל התעופה. כך יוכל הנוסע להפקיד כבודה ולעלות למטוס מבלי להציג אמצעי זיהוי פיזי ובלא צורך באימות של זהותו על ידי אנשי ביטחון בנמל התעופה.
בחוות דעת של רשות הגנת הפרטיות באנגליה, נקבע שנמל התעופה יחשב כבעלים במשותף של המידע האישי יחד עם חברת התעופה הרלוונטית (joint controllers), זאת מאחר ונמל התעופה קובע את המטרות והאמצעים לעיבוד המידע. בכל מקרה, על נמל התעופה לגבש הסכם עם חברות התעופה המגדיר את האחריות והחובות של כל אחד מהצדדים בהתאם לתפקידו כבעלים במשותף של המידע.
הרשות קבעה כי נמל התעופה לא יוכל להתבסס על חוק ההגירה באנגליה הדורש מנמלי התעופה לוודא את זהות הנכנסים והיוצאים מהמדינה כבסיס חוקי לעיבוד המידע - וזאת מפני שעיבוד המידע במסגרת הפרויקט הוא רחב יותר מהנדרש על-פי ההחוק. לאור זאת קובעת הרשות כי הבסיס החוקי הרלוונטי הוא הסכמה מפורשת של נושאי המידע שתינתן בהצהרה כי הוא מסכים לעיבוד המידע הביומטרי שלו.
ביחס להעברת מידע לארצות-הברית קבע רגולטור הפרטיות הבריטי כי ככל שתינתן לנושאי המידע הזכות לבקש שלא יועבר מידע שלהם לארה"ב כשהם עדיין באנגליה (opt-out) אפשר יהיה להעביר את המידע לארצות-הברית על-פי הראות ה-GDPR.