Inns of Court College of Advocacy’nin (ICCA) eski bir öğrencisi, öğrencilerle ilgili hassas bilgilerin açığa çıkmasına neden olan bir güvenlik hatasını bildirirken sorumlu ve “dürüstlükle” hareket ettiği için üniversite tarafından eleştiriye maruz kaldığını söyledi.
Bartek Wytrzyszczewski, yüzlerce geçmiş ve mevcut ICCA öğrencisine ilişkin hassas bilgilerin açığa çıktığı bir veri ihlali konusunda üniversiteyi uyardıktan sonra suiistimal davasıyla karşı karşıya kaldı.
32 yaşındaki Wytrzyszczewski, bu deneyimin ICCA kursundan kaydının silinmesine ve eğitimine başka bir sağlayıcıda yeniden başlamasına neden olduğunu söyledi.
Gelecekteki avukatlara eğitim sunan ICCA, Wytrzyszczewski’nin üniversiteyi yaklaşık 800 öğrenciye ait hassas dosyalara diğer üniversite kullanıcılarının erişimine açık olduğu konusunda uyarmasının ardından Ağustos 2023’te “tecrübe edilen” bir ihlal hakkında veri koruma düzenleyicisi Bilgi Komiserliği Ofisi’ni (ICO) bilgilendirdi. ICCA’nın web portalı.
İhlal sonucunda e-posta adresleri, telefon numaraları ve akademik bilgiler (sınav notları ve daha önce gidilen kurumlar dahil) gibi kişisel verilere üniversitedeki öğrencilerin erişimi sağlandı. ICCA’nın web portalını kullanan öğrenciler, kimlik fotoğraflarının yanı sıra öğrenci kimlik numaralarına, sağlık kayıtları, vize durumları ve hamile olup olmadıklarına veya çocuk sahibi olup olmadıklarına ilişkin bilgilere de erişebildi.
Üniversite, Computer Weekly’ye yaptığı açıklamada, veri ihlalinin o zamanki önemini küçümsemeye çalıştı ve bunu “teknik bir sorun” olarak tanımladı. ICCA’nın operasyon direktörü Andy Russell şunları söyledi: “Teknik bir sorun nedeniyle, bazı kayıtlı öğrenciler kendi [email protected] e-posta hesaplarına, ICCA’nın yalnızca personelin erişebildiği SharePoint sitesinden bazı dosyaları içeren sonuçlar döndürüldü.”
Disiplin soruşturması
Üniversite, Wytrzyszczewski’den, keşfettiği bilgilerin hiçbirini ifşa etmeyeceğine dair yazılı bir taahhüt aldıktan sonra ona karşı suiistimal davası başlattı. Dosyalara yanlışlıkla rastladığını ve içeriklerini doğru bir şekilde bildirebilmesini sağlamak için önemli sayıda dosyayı görüntülediğini söyledi.
Stajyer avukat, Kasım 2023’te yapılacak bir sonraki panel duruşmasında kendisine temsil hakkı verilmediğini söyledi. Wytrzyszczewski, Computer Weekly’ye olay nedeniyle disiplin soruşturmasıyla karşı karşıya kalmanın üzücü olduğunu söyledi. Üniversitenin, ihlalin yanlış ele alındığına dikkat çektiği için onu “susturmak” ve “cezalandırmak” istediğini hissettiğini söyledi.
Herhangi bir usulsüzlük yaptığımı düşünmüyorum dedi. “Onları bu soruna karşı uyararak dürüstlük gösterdim. Ve bunu hemen yaptım. Beni susturmak ve cezalandırmak istedikleri için böyle tepki verdiklerini düşünüyorum. Davranışlarının tamamen dürüstlükten yoksun olduğunu düşünüyorum. Bunun etik olduğunu düşünmüyorum.”
“Hiçbir şekilde suiistimal yaptığımı düşünmüyorum. Uyarı yaparak bütünlüğü gösterdim [the college] bu soruna. Ve bunu hemen yaptım. Beni susturmak ve cezalandırmak istediklerini hissediyorum. Davranışlarının tamamen dürüstlükten yoksun olduğunu düşünüyorum. Etik olduğunu düşünmüyorum”
Bartek Wytrzyszczewski, hukuk öğrencisi
Wytrzyszczewski, bunun bir hukuk uzmanı olmaya olan inancını ve motivasyonunu sarstığını ve halka açılmanın, bir avukatın baro eğitiminin önemli bir parçası olan öğrencilik için son başvuruları etkilediğini söyledi.
Şu anda Leeds Üniversitesi’nin Ocak 2024’te başladığı baro kursunda okuyor.
“Hukuk dünyasına girme motivasyonumu gerçekten kaybettim çünkü ne kadar çok şeyden kaçabileceklerini ve bu davranışın bireyler için ne kadar yıkıcı olabileceğini fark ettim” dedi.
“Eğer bu davalar onaylansaydı, tüm kariyerim darmadağın olabilirdi. Bu konuda bir şey yapmak benim için gerçekten zor olurdu çünkü suiistimal panelinin sonucu ne kadar mantıksız olursa olsun, onu gerçekten tersine çeviremezsiniz. Aleyhinize bir suiistimal tespiti olarak var ve ömür boyu yanınızda kalıyor” diye ekledi.
“Hukuk mesleğinde itibarınız gerçekten önemlidir. Her öğrencilik başvurusunda bulunduğunuzda, bunu açıklamanız gerekir ve kimse bunu gerçekten araştırmaz. Bu tamamen ruhu yok eden bir şeydi.”
ICCA anlattı Özel dedektif Kurul, Wytrzyszczewski’yi temize çıkardıktan ve konuyu dinleme yetkisine sahip olmadığını tespit ettikten sonra, “gerektiğinde kendi iç suiistimal prosedürlerini izledi”.
Computer Weekly, üniversiteye, Wytrzyszczewski’nin kendisine karşı dava başlatıldığında öğrenci davranış politikasındaki hangi gerekçelerin potansiyel olarak ihlal edildiğinin değerlendirildiğini sordu. Yayınlandığı sırada ICCA yanıt vermemişti.
Doğal adaletten vazgeçmek mi?
Veri avukatı Dai Davis, Computer Weekly’ye ICCA’nın Wytrzyszczewski’ye karşı görevi kötüye kullanma davası açarken doğal adalet ilkelerinden vazgeçtiğini söyledi.
“Doğal adalet [a recognised concept in English Law] Herhangi bir disiplin soruşturmasında davalının, ihlal etmekle suçlandığı kuralın niteliği konusunda bilgilendirilmesi gerekir” dedi.
“Açıkçası… kolej Bay Wytrzyszczewski’nin ihlal etmesi gereken bir kuralı belirleyemediğinden, mahkemenin onu görevden almaktan başka seçeneği yoktu.”
ICCA, üniversitenin Wytrzyszczewski’nin işaretlediği Ağustos 2023 veri ihlali olayının ayrıntılarını “kendi kendine bildirmesi” sonrasında ICO’nun başka bir işlem yapmamayı seçtiğini söyledi.
Üniversitenin operasyon müdürü Andy Russell, Computer Weekly’ye şunları söyledi: “ICO, ICCA’nın bağlantılı bir konu erişim talebine yasal zaman çizelgeleri içinde yanıt vermediğini tespit etse de, bununla ilgili başka bir işlem yapma niyetinde olmadığını doğruladı.” konu.”
Avukat Davis, Birleşik Krallık’ın Genel Veri Koruma Yönetmeliği’nin (GDPR) Avrupa mevzuatı olması nedeniyle ICCA’nın kendisini bir AB düzenleyicisine yönlendirmek zorunda olduğunu ekledi.
“Üniversitenin kendisini ICO’ya bildirmesi önemli değil çünkü bunu yapmak zorundaydı” dedi. “İlginç bir şekilde, kendisini en az bir AB düzenleyicisine de bildirmesi gerekiyordu, ancak bunu yapıp yapmadığını merak ediyorum.”
Computer Weekly, ICCA’ya herhangi bir AB düzenleyicisine bildirimde bulunup bulunmadığını sordu. Yayınlandığı sırada üniversiteden herhangi bir yanıt gelmemişti.
Olağanüstü şikayetler
Wytrzyszczewski, Ağustos 2023 veri ihlaliyle ilgili yayınladığı açıklamalar nedeniyle üniversiteye itiraz etti ve ICO ile daha fazla şikayette bulunmaya devam ediyor.
Geçtiğimiz yıl ICCA, Ağustos 2023’teki ihlali kontrol altına aldığına dair güvence vermişti.
Ancak Wytrzyszczewski, kolejin, tuttuğu veri denetim kayıtlarında 90 günlük bir sınır olması ve sızdırılan verilerin 2022’den bu yana web portalında görüntülenebilmesi nedeniyle bunu sürdüremeyeceğini söyledi.
Bunun, üniversitenin “yalnızca 18 Mayıs 2023 ile 16 Ağustos 2023 arasındaki dönem için” yapılan dosya erişim girişimlerini arayabileceği anlamına geldiğini söyledi. Bu günlükler, dosyalara en az yedi kişinin eriştiğini gösterdi.
ICO, Wytrzyszczewski’nin ICCA ile ilgili yaptığı diğer birkaç şikayeti araştırıyor. Bunlar arasında kişisel sağlık verilerinin kitap yayıncısı Thompson Reuters ile paylaşılması; ICCA kursuna başvuran yaklaşık 350 adayın ayrıntılarını Wytrzyszczewski ile paylaşıyor; o zamanlar eski bir öğrenci olan Wytrzyszczewski’den, Ağustos 2023’teki veri ihlalini bildirdikten sonraki 72 saat içinde kendisine gönderilmiş olabilecek tüm belgeleri tanımlamak yerine tanımlamasını istemek; Wytrzyszczewski’ye başka bir öğrenciye yönelik hassas bilgiler içeren bir e-posta göndermek.
ICO, Wytrzyszczewski’nin sunduğu veri sahibi erişim talebine geç yanıt verilmesiyle ilgili olarak yapılan ayrı bir şikayeti onayladı.
Wytrzyszczewski Computer Weekly’ye, ICO’nun Ağustos 2023 veri ihlali nedeniyle üniversiteyi daha fazla araştırmama kararından hayal kırıklığına uğradığını söyledi.
“ICO’nun ICCA’nın ilk veri ihlaline ilişkin bulgusundan rahatsızlık duyuyorum, çünkü bunun ICCA’nın davranışının tüm bağlamını dikkate alıp almadığından emin değilim” dedi.
“Ancak ICO’nun, ilk veri ihlali sonrasındaki diğer GDPR şikayetlerimden bazılarını onaylamasından memnunum ve bu noktada diğer GDPR ihlallerinden bazılarını hala araştırdıklarını anlıyorum. Bu ihlallerin hiçbiri ICCA tarafından bizzat rapor edilmedi.
“Yüzlerce öğrenci hassas bilgilerini ICCA’ya emanet etti ve ICO’nun onlardan hesap sorması doğru” dedi.
Yorum almak için ICO ile temasa geçildi.