Bilgi Komiseri Ofisi (ICO), hassas kolluk kuvvetleri verilerini işlemek için ABD merkezli bulut sağlayıcılarını kullanan polis güçlerinin yasallığı konusunda kafa karışıklığı yarattı.
Computer Weekly, 2020’de düzinelerce polis gücünün bulut tabanlı Microsoft 365 yazılımını kullanarak bir milyondan fazla kişinin verilerini yasa dışı olarak işlediğini ortaya çıkardı.
Computer Weekly’nin, büyük bir İskoçya Polisi BT sisteminin, çözülmemiş büyük veri koruma sorunlarına rağmen benzer şekilde Microsoft’un Azure bulutunu kullandığını keşfetmesinin ardından, İskoç biyometrik komiseri (SBC), sistemin yasallığı konusunda ICO’dan tavsiye istedi.
Aralık 2023’ün başlarında bilgi komisyon üyesi John Edwards ile yapılan yüz yüze görüşmenin sonucunda SBC Brian Plastow, Birleşik Krallık tarafından imzalanan bir bilgi paylaşım anlaşmasına inandığı için ICO’nun tartışmalı bulut dağıtımlarına muhtemelen yeşil ışık yakacağını söyleyen bir mektup yayınladı. ve ABD hükümetleri Birleşik Krallık’ın veri koruma yasalarının yerine geçer.
“Görüşmelerimize göre, Birleşik Krallık ICO’sunun biyometrik verilerin şuraya yüklenmesi konusunda bir görüşe sahip olması pek mümkün değil… [US-based cloud infrastructure] 14 Aralık 2023 tarihli bir mektupta İskoçya Polisi’ne yazdığı mektupta, İskoçya Polisi’nin Birleşik Krallık veri koruma yasasıyla çeliştiğini yazdı.
“Bunun nedeni, ABD ile Birleşik Krallık hükümeti arasındaki ABD Bulut Yasası uyarınca elektronik verilere erişime ilişkin anlaşmanın 3. Maddesinin, anlaşmanın her bir tarafının kendi iç yasalarının anlaşmanın işleyişini engellememesini veya bozmamasını sağlamasını gerektirmesidir.”
Ancak mektup daha sonra SBC web sitesinden silindi. ICO, mektubun içeriği veya kaldırılması hakkında yorum yapmayı reddederken, SBC, Computer Weekly’ye, düzenleyicinin veri koruma yasasına ilişkin kesin tavsiyesini beklemek üzere, ICO ile karşılıklı anlaşma yoluyla mektubun çevrimdışına alındığını bildirdi.
ICO, o zamandan beri Computer Weekly’ye, Birleşik Krallık polisinin hassas kolluk kuvvetleri verilerini yurtdışına gönderen bulut hizmetlerini “uygun korumalar” ile yasal olarak kullanabileceğini açıkladı, ancak bu korumanın ne olduğunu belirtmeyi reddetti.
Uzmanlar, kabul edilmesi halinde, ICO’nun pozisyonlarının İngiltere’nin Avrupa Birliği ile yaptığı veri yeterliliği anlaşmasına tehdit oluşturabileceğini ve sonuçta ikisi arasındaki serbest veri akışının sona erebileceğini söylüyor. verileri uluslararası olarak taşındığında.
Ayrıca ICO’nun mektuptaki pozisyonunun, veri koruma yasasının kaç yönünün uygulandığını yeniden şekillendirmeyi amaçlayan Veri Koruma ve Dijital Bilgi (DPDI) Tasarısı kapsamında hükümetin aldığı seyahat yönünü yansıttığını da söylüyorlar.
Devam eden polis bulutu endişeleri
Computer Weekly’nin Aralık 2020’de düzinelerce Birleşik Krallık polisinin Microsoft 365’te bir milyondan fazla kişinin verilerini yasa dışı bir şekilde işlediğini ortaya koymasından bu yana, veri koruma uzmanları ve polis teknolojisi düzenleyicileri, hiper ölçekli genel bulut altyapısının Birleşik Krallık polisi tarafından nasıl konuşlandırıldığının çeşitli yönlerini sorguladılar. şu anda Veri Koruma Yasası (DPA) 2018’in Üçüncü Kısmında belirtilen kolluk kuvvetlerine özel katı kurallara uyamıyorlar
Nisan 2023’ün başında Computer Weekly, İskoç hükümetinin – teslimat için vücuda takılan video sağlayıcısı Axon ile sözleşme imzalanan ve Microsoft Azure’da barındırılan – Dijital Kanıt Paylaşım Yeteneği (DESC) hizmetinin, polisin gözlemci çağrısına rağmen Polis İskoçya tarafından yönetildiğini ortaya çıkardı. Azure kullanımının “yasal olmayacağına” ilişkin endişeler.
Özellikle, polis gözlemcisi, ABD hükümetinin bulutta ABD şirketleri tarafından herhangi bir yerde saklanan herhangi bir veriye etkili bir şekilde erişmesine olanak tanıyan Bulut Yasası yoluyla ABD hükümetinin erişimi gibi, veri sahiplerine yönelik bir dizi çözülmemiş yüksek riskin bulunduğunu söyledi; Microsoft’un belirli sözleşmeler yerine genel sözleşmeleri kullanması; ve Axon’un veri egemenliğine ilişkin sözleşme hükümlerine uyma konusundaki yetersizliği.
Computer Weekly ayrıca Microsoft, Axon ve ICO’nun DESC’de işlem başlamadan önce bu sorunların farkında olduğunu da ortaya çıkardı. Tanımlanan riskler, aynı veri koruma kurallarına tabi olduklarından, Birleşik Krallık’ta kolluk kuvvetleri amacıyla kullanılan her bulut sistemini kapsamaktadır.
Bu, SBC’yi aynı ayın sonlarında İskoçya Polisi’ne resmi bir bilgi bildirimi göndermeye sevk etti, ancak Ekim ayında polisin yanıtının, hassas biyometrik verilerin DESC’ye yüklenmesiyle ilgili “özel endişelerimi gidermediğini” yazdı. Daha sonra iki ay sonra Aralık 2023’te bilgi komiseri ile görüştü ve burada ICO’nun konumu hakkında bilgilendirildi.
SBC’nin mektubunun içeriği hakkında Computer Weekly’ye konuşan bir veri koruma uzmanı, durumu “tamamen tuhaf” olarak tanımladı ve yazışmaların İskoçya Polisi tarafından yapılan bir bulut konuşlandırması etrafında dönmesine rağmen, sonuçların potansiyel olarak çok büyük olduğunu, çünkü bu durumun herhangi bir yerel müdahalenin yapılmadığını öne sürdüğünü belirtti. yasalar ABD ile veri paylaşımına ilişkin anlaşmaya müdahale edebilir.
Ulusal polislik sistemleri sağlamada 20 yıldan fazla deneyime sahip bağımsız bir güvenlik danışmanı ve kurumsal mimar olan Owen Sayers, “Edwards, İskoçya Polisi’nin Birleşik Krallık DPA Üçüncü Bölüm’e aykırı olmadığını söyleyemez; açıkça öyledir” dedi. .
“Edwards’ın aslında söylediği şey, ABD-İngiltere Bulut anlaşmasının, Birleşik Krallık yasalarının açıkça çiğnenmesine rağmen bir kenara bırakılması ve göz ardı edilmesi gerektiği anlamına geldiği, çünkü hiçbir Birleşik Krallık iç yasasının ABD-İngiltere anlaşmasına müdahale edemeyeceği.”
Sayers ayrıca, ABD-İngiltere veri paylaşım anlaşmasının, ICO’nun kullanmaya çalıştığı şekilde genel kolluk kuvveti veri transferlerine “bağlamsal olarak uygulanamaz” olduğunu, çünkü bu anlaşmanın yalnızca çok spesifik veri transferi türleriyle ilgili olduğunu ve o zaman bile yalnızca hiper ölçekli genel bulut altyapısında depolanan herhangi bir bilginin değil, “ciddi suçun” araştırılmasına yöneliktir.
Computer Weekly bu iddialarla ilgili olarak ICO ile iletişime geçti ancak bu noktalara ilişkin herhangi bir yanıt alamadı.
Kendi kolluk kuvvetleri işleme işlevleri için ABD merkezli yüksek ölçekli genel bulut hizmetlerini de kullanıp kullanmadığına yanıt olarak ICO, Computer Weekly’ye ICO tarafından kullanılan bir dizi sistemin ayrıntılarını içeren 495 sayfa uzunluğunda bir DPIA paketi sağladı.
Bu belgelere göre ICO’nun, kolluk kuvvetleri işlemleri amacıyla Microsoft Azure bulut altyapısında bulunan bir dizi hizmeti kullandığı açıkça görülüyor.
Computer Weekly, ICO’ya bu tür bir işlemeyi yürütmenin yasal dayanağının olup olmadığını ve bu bulut hizmetlerini kendi kullanımının, bu hizmetlerin kullanımının Birleşik Krallık veri koruma kurallarıyla çelişip çelişmediği konusunda resmi bir pozisyona ulaşmasını ne ölçüde engellediğini sordu, ancak düzenleyici daha fazla yorum yapmaktan kaçındı.
Sayers, “Computer Weekly’de ICO’nun kolluk işlemleri için Azure’u kullandığının açıklanması göz önüne alındığında, deneyimlerini henüz DESC ortaklarına açık bir rehberlik şeklinde paylaşmamış olmaları benim için şaşırtıcı” dedi.
‘Temel koruma seviyesi’
Açık Haklar Grubu’nun (ORG) hukuk ve politika sorumlusu Mariano delli Santi, mektupta ICO’nun tutumu hakkında yorum yaparak, Birleşik Krallık’ın veri koruma yasaları uyarınca, uluslararası veri aktarımlarının ancak aktarım, Birleşik Krallık GDPR ve DPA 18 tarafından garanti edilen koruma düzeyini zayıflatmayacaktır.
Kendisi, ICO’nun bu nedenle Birleşik Krallık ile ABD arasındaki uluslararası bir anlaşmanın varlığı nedeniyle veri aktarımlarının her zaman yasal olacağı sonucuna varamayacağını ve bunun yerine Bulut Yasası Anlaşmasının Birleşik Krallık’a güvence altına alabilecek usule ilişkin ve esasa ilişkin güvenceler içerip içermediğini değerlendirmesi gerektiğini ekledi. Veriler, Birleşik Krallık yasaları kapsamında yararlandıkları kişisel verilere aynı düzeyde koruma sağlar.
ICO’nun Birleşik Krallık hükümetinin ‘Birleşik Krallık veri köprüsüne’ yeşil ışık yakma kararına ilişkin kendi değerlendirmesine göre – ki burada dışişleri bakanı yukarıdaki ABD-İngiltere anlaşmasından ayrı olarak ABD’nin veriler için yeterli düzeyde koruma sağladığı sonucuna varmıştır – burada “korumaların bir riski” [for data transfers to the US] “biyometrik, genetik, cinsel yönelim ve suç verileri” açısından uygulamada uygulanamaz”.
Ayrıca şunları kaydetti: “Cezai suç verileri açısından bazı riskler olabilir… [because] Birleşik Krallık’ın 1974 tarihli Suçluların Rehabilitasyonu Yasası’nda belirtilenlere eşdeğer korumaların bulunmadığını ve Birleşik Krallık veri köprüsünün “Birleşik Krallık GDPR’nin unutulma hakkına büyük ölçüde benzer bir haktan” yoksun olduğunu ve “birleşik Krallık GDPR’sinin unutulma hakkına” sahip olmadığını ve “birleşik Krallık veri köprüsünün bir insanın otomatik kararıdır”.
Mariano delli Santi’ye göre ICO, bu nedenle “Polis İskoçya DSEC sistemi tarafından ABD’ye yapılan veri aktarımlarıyla ilgili olarak ortaya çıkabilecek bariz riskleri belirledi”.
“Uluslararası bir anlaşma nedeniyle Birleşik Krallık veri koruma gerekliliklerinin göz ardı edilmesi, Birleşik Krallık yeterlilik kararının benimsendiği önermelerin çoğunu etkili bir şekilde baltalıyor” dedi ve ICO’nun, veri koruma yasasının uluslararası anlaşmalar tarafından üzerine yazılabileceği yönündeki yorumunun “büyük bir karar” olduğunu ekledi. Sonuç olarak Birleşik Krallık’ın yeterliliği üzerindeki potansiyel etki nedeniyle geçmemeleri gereken kırmızı çizgi”.
Şöyle ekledi: “Yeterlilik kararını kaybetmek, Birleşik Krallık’ın dijital ekonomisi için temelde felaket olur çünkü bu, kişisel verileri artık en büyük ticaret ortaklarından biri olan Avrupa Birliği’ne aktaramayacakları anlamına gelir.”
Gelecek şeyler
ORG ve diğer sivil toplum gruplarının daha önce “Birleşik Krallık veri koruma çerçevesinin toptan kuralsızlaştırılması” olarak tanımladığı, hükümetin yakında çıkacak Veri Koruma ve Dijital Bilgi (DPDI) Yasa Tasarısı hakkında yorum yapan delli Santi, ICO’nun “bir adım atmaya başladığını” söyledi. mevcut çerçeve tarafından hiçbir şekilde desteklenmeyen ancak uygulamaya konan reformlar tarafından destekleniyor gibi görünen birçok yorum”.
DPDI Tasarısı uyarınca, ilgili dışişleri bakanı ileriye dönük aktarımlarda yeterli düzeyde veri koruma olup olmadığına karar verme yetkisine sahip olacak; bu da pratikte hükümetin, üçüncü ülkelere kişisel veri aktarımına izin verebileceği anlamına geliyor. Anlamlı bir Parlamento incelemesi ile ve veriler aktarıldıktan sonra uygulanabilir hakların ve etkili çözüm yollarının muhafaza edilmesine ilişkin garantiler olmaksızın.
Del Santi, “Uluslararası transfer rejiminde yapılan değişiklikler, temel olarak, dışişleri bakanı bunun arzu edilir olduğuna ikna olduğunda, uluslararası veri transferlerine izin verme konusunda dışişleri bakanına siyasi takdir yetkisi veriyor” dedi ve bu tür izinlerin başka bir kişi tarafından onaylanması riskinin bulunduğunu da sözlerine ekledi. Birleşik Krallık ile ABD arasında şu anda yürürlükte olana benzer uluslararası anlaşmalara yerleştirilmiştir. “Bu, ICO’nun Bulut Yasası ile ilgili aldığı pozisyonla örtüşecektir.”
Delli Santi’ye göre, ICO’nun, Birleşik Krallık ile yabancı bir hükümet arasında yürürlükte olan uluslararası bir anlaşma nedeniyle polis bulutu dağıtımlarının Birleşik Krallık veri koruma yasalarıyla çelişmediği yönündeki argümanı, DPDI Tasarısı’nın yürürlüğe girmesi durumunda “işlerin pratikte nasıl sonuçlanacağının” habercisidir. kanun haline gelir.
Avrupa komiseri Didier Reynders daha önce Birleşik Krallık’ın AB veri koruma yasasına uyumluluğunu sürdürmemesi halinde AB’nin müdahale edeceğini söylemişti: “Komisyon, Birleşik Krallık sisteminin gelecekte nasıl gelişeceğini yakından izleyecek ve biz de bu konudaki görüşlerimizi güçlendirdik. buna izin verecek ve gerekirse müdahale edecek kararlar. AB, kişisel verilerin korunması konusunda en yüksek standartlara sahiptir ve kişisel veriler yurtdışına aktarılırken bu standartlardan taviz verilmemelidir.”
Komisyonun yeterlilik kararına dört yıllık bir sona erme hükmü eşlik ediyordu, bu da kararı iptal etmek için kullanılabilecek mekanizmaların halihazırda mevcut olduğu anlamına geliyor.
Computer Weekly, veri yeterliliğine ilişkin ABD-İngiltere uluslararası anlaşmasına ilişkin tutumunun sonuçları hakkında ICO ile temasa geçti ancak bu noktada herhangi bir yanıt alamadı.