Birleşik Krallık hükümeti veri kullanımını ve erişim faturasını (DUAB) Parlamentoya sunmuştur, ancak polis veri koruma kurallarında reformlar, Avrupa Birliği (AB) ile kolluk kuvvetlerinin yetersizliğini zayıflatabilir.
Şu anda parlamento incelemesinin komite aşamasından geçen DUAB, İngiltere’nin mevcut Veri Koruma Yasası (DPA) 2018 aracılığıyla İngiltere yasalarına aktarılan ve özellikle DPA’nın üçüncü bölümünde temsil edilen AB Kolluk Direktifi’ni (LED) uygulamasını değiştirecek.
İngiltere kolluk organlarının mevcut veri işleme uygulamalarıyla birlikte, tasarının üçüncü bölümde önerilen değişiklikleri – verilerin açık deniz bulut sağlayıcılarına rutin aktarılmasına izin vermeyi, verilere erişirken polisin gerekçelerini günlüğe kaydetme ihtiyacının kaldırılması ve polis ve istihbarat hizmetlerinin LED kurallarının dışında verileri paylaşmasına izin verilmesi – İngiltere veri maddesi için bir meydan okuma sunabilir.
Haziran 2021’de Avrupa Komisyonu, AB’den çıkışını takiben İngiltere’ye “veri yeterliliği” verdi ve bloğa ve bloğa serbest akışının devam etmesine izin verdi, ancak gelecekteki veri koruma yasaları Avrupa’dan önemli ölçüde farklı olursa kararın iptal edilebileceği konusunda uyarıldı.
Computer Weekly’nin polis hiper ölçekli bulut kullanımı hakkındaki önceki raporları, bu hizmetlerin üçüncü bölüme uyma yeteneği ile ilgili büyük sorunlar tespit etse de, hükümetin DUAB değişiklikleri, uyulmayan gereksinimleri kaldırarak sorunu çözmeye çalışıyor.
Örneğin, DPA 2018, “hukuk dışı icra alıcılarına”-yani bulut sağlayıcılarına denizaşırı transferlere izin verirken, buna sadece izin verilir Veri denetleyicisi gösterebiliyorsa, bunu yapmak kesinlikle gereklidir. Bu, bilgilerin sadece aynı hedefe ulaşmanın başka, daha az müdahaleci bir yolu olmadığında belirli, sınırlı amaçlar için duruma göre gönderilebileceği anlamına gelir.
Bununla birlikte, Haziran 2024’te Computer Weekly, Microsoft Services’e yüklenen İngiltere polis verilerinin bazı işleme biçimleri için rutin olarak açık denizde gönderildiğini, BT desteğinin ise küresel bir “Güneş Takibi” modelinde sağlandığını doğruladı.
Bu transfer gereksinimlerine uyum eksikliğini ortadan kaldırmak için hükümet onları DUAB’den düşürdü, yani polislik organlarının artık aktarımın uygunluğunu değerlendirmek veya veri düzenleyicisine rapor etmek isteymeyecek.
Lordlar Kamarası’ndaki bir DUAB tartışması sırasında transfer meselesi hakkında yorum yapan Liberal Demokrat akran Tim Clement-Jones, bulut hizmet sağlayıcılarının İngiltere dışında rutin olarak verileri nasıl işlediklerini ve üçüncü bölümün gerektirdiği şekilde polislik organlarına gerekli sözleşmeye bağlı garantiler sağlayamadıklarını vurguladı: “Sonuç olarak, kanun kuvveti veri işleme için kullanımları, kanun yürütmeleri değil,”.
“Hükümetin yasayı değiştirme girişimleri sorunu vurgulamakta ve bulut hizmet sağlayıcılarına geçmiş işlemenin İngiltere GDPR’ye uygun olmadığını öne sürmektedir. [General Data Protection Regulation] ve DPA. ”
DUAB aracılığıyla hükümet, yasal alıcıların listesini, “işleme… bölüm 59 ile uyumlu bir sözleşme tarafından yönetilen veya bunlara uygun olarak yetkilendirilmiş bir işlemciyi içerecek şekilde genişletti.
Bu, kesin veri türlerinin, veri konularının kategorilerinin ve işlemin özel amacının belirli ayrıntılarını ve işlemciden üçüncü bölümün tüm gereksinimlerine nasıl uyacağına dair açık garantileri içerir.
Bununla birlikte, emtia hiper ölçekli mimarisinde meydana gelen veri paylaşımının uluslararası niteliği göz önüne alındığında, bulut sağlayıcıları, Üçüncü Bölümün tüm yönlerini karşılayan sözleşmeye bağlı garantiler yapmak istemiyor veya istemiyorlar.
Microsoft’un İskoç Polis Otoritesi’ne (SPA) söylediği gibi, Azure ile barındırılan dijital kanıt paylaşım yeteneği ile ilgili olarak, şirket “belirli rızayı kabul edemez [to transfer data internationally] Operasyonel hale getirmek imkansız olduğu için duruma göre duruma göre. ”
Tüm bunlar etkili bir şekilde, DUAB kapsamında, verilerin, katı gereklilik etrafındaki LED koşullara bağlı kalmadan, daha düşük veri koruma standartlarına sahip yargı bölgesine rutin olarak sıkılabileceği anlamına gelir.
Benzer şekilde, LED, tüm eski polis sistemlerinin belirli bir bilgiye erişildiğine dair gerekçe günlükleri kaydedebilmesini sağlamak için beş yıllık bir lütuf dönemi sağlasa da-Mayıs 2016’dan sonra satın alınan sistemlerin bu kapasiteye en başından itibaren olması gerekiyordu-Birleşik Krallık’taki polis sistemlerinin çoğu hala bu yeteneğe sahip değil.
Bunun yerine, Birleşik Krallık hükümeti, değişimin polis zamanından tasarruf edeceğini ve verilerin çok az kanıt değeri olduğunu savunarak, bu gerekçeleri kaydetme gereksinimini kaldırdı, çünkü insanların zaten dürüst bir gerekçe kaydetme olasılığı düşüktür.
Owen Sayers’a göre-DPA Bölüm Üçündeki uzun vadeli bir yorumcu, polisliğe ve daha geniş ceza adalet sektörüne güvenli çözümler sunma konusunda 25 yıldan fazla bir süredir uyumluluk sorunları-yasayı bu şekilde değiştirmek, İngiltere yasalarını LED gerekliliklerinden kalıcı olarak farklı kılacaktır.
Yetkili, DPA’nın Mayıs 2018’de yürürlüğe girmesinden bu yana İngiltere polisinin uygulamada yasayı çiğnerken, kırıldıkları yasanın en azından Avrupa Birliği’ndeyken uyumlu olduğunu da sözlerine ekledi.
“Pratik açıdan İngiltere, LED altında gerektiği gibi kişisel verileri gerçekten korumamış olsa da, yasaları en azından bir veriye bu işlem hakkında harekete geçmesi için başvurdu (hiç kimse bunu yapmasa bile)” dedi.
“Duab yürürlüğe girdikten sonra, manzara tamamen değişti. İngiltere kolluk organları sadece AB tarafından yeterli kabul edilmeyen bir dizi ülkeye büyük miktarda kişisel veri (AB vatandaşları hakkında çok sayıda veri dahil) gönderecek, ancak İngiltere yasası bunu yapmak için yasal hale getirmek için değişecektir.
“Bu değişiklikleri DUAB kapsamında yaparak, hükümet kolluk organlarının bugün yasayı ihlal ettiği konusunda keskin bir rahatlama attı – Microsoft ve AWS’ye bu özel statüyü vermek için yasayı değiştirerek bunu tam anlamıyla doğruladılar.”
Computer Weekly, Hükümetin Hükümetin Kolluk Veri Koruma rejiminde önerilen değişiklikleri tarafından yaratılan LED yeterliliğine yönelik tehdit hakkında İçişleri Bakanlığı ile temasa geçti.
Bir sözcü, “Veri kullanımı ve erişim faturasında kamu güvenini artırmak ve mevzuatı basitleştirerek kolluk verimliliğini artırmak için bazı hedefli değişiklikler getirdik. Veri yeterliliğine bağlıyız ve bu faturayı üretirken İngiltere’nin yeterlilik kararlarını göz önünde bulundurduk” dedi. “Veri koruma rejimimizdeki herhangi bir değişiklik güvenlik pahasına olmamalı ve yüksek koruma standartları uygulanmaya devam edecektir.”
Bir ev ofisi kaynağı, Computer Weekly’ye özellikle bulut sağlayıcılarının kullanımının bir miktar karışıklığa neden olduğunu ve faturada yer alan önlemlerin kolluk kuvvetlerine bulut işlemcileri kullanma güvenini vermeyi amaçladığını söyledi. Ancak, bulut hizmetlerinin kullanımının güvenlik pahasına gelmemesi gerektiğini ve yüksek koruma standartlarının uygulanmaya devam edeceğini söylediler.