İskoç biyometrik veri komiseri Brian Plastow, Microsoft’un Azure genel bulutunda barındırılan Birleşik Krallık polis verilerinin egemenliğini garanti edemeyeceğini açıklamasının ardından, Birleşik Krallık veri düzenleyicisinin İskoçya Polisi’nin bulut tabanlı Dijital Kanıt Paylaşım Yeteneği’nin (DESC) veri koruma yasalarıyla uyumlu olup olmadığını resmen soruşturması çağrısında bulundu.
Plastow, Computer Weekly’ye yaptığı açıklamada, Microsoft’un ifşasının ve Bilgi Komiserliği Ofisi’nin (ICO) uzun zamandır beklenen polis bulutu kılavuzuna yönelik son eleştirilerin, polis bulutu dağıtımları konusunda süregelen belirsizliğe yol açtığını ve resmi bir soruşturmadan faydalanacağını söyledi.
“ICO’nun, İskoçya Polisi ve İskoçya’daki DESC ortakları tarafından DESC’e yönelik biyometrik verileri de içeren özel kolluk kuvvetleri işleme düzenlemelerinin Birleşik Krallık veri koruma yasasıyla tam uyumlu olup olmadığına ilişkin bir soruşturma başlatmasını memnuniyetle karşılarım” dedi.
Plastow’un yorumları, Computer Weekly’nin ilk kez Nisan 2023’te, İskoç hükümetinin vücuda takılan video sağlayıcısı Axon ile sözleşmeli olarak Microsoft Azure’da barındırılan DESC hizmetinin, Azure kullanımının “yasal olmayacağı” yönündeki endişelerini dile getiren bir polis gözlemcisinin uyarılarına rağmen İskoçya Polisi tarafından pilot olarak uygulandığını bildirmesiyle başlayan, bir yıldan fazla süren ifşaların ardından geldi.
Polis gözlemcisi, özellikle veri sahipleri için bir dizi çözülmemiş yüksek risk bulunduğunu, bunların arasında Bulut Yasası aracılığıyla ABD hükümetinin erişiminin olduğunu, bu yasanın ABD şirketlerinin bulutta depoladığı tüm verilere ABD hükümetine etkin bir şekilde erişim sağladığını; Microsoft’un belirli sözleşmeler yerine genel sözleşmeler kullandığını ve Axon’un veri egemenliğiyle ilgili sözleşme maddelerine uymadığını söyledi.
Computer Weekly ayrıca Microsoft, Axon ve ICO’nun DESC’de işleme başlamadan önce bu sorunların farkında olduğunu ortaya koydu. Belirlenen riskler, aynı veri koruma kuralları tarafından yönetildikleri için Birleşik Krallık’ta kolluk kuvvetleri amacıyla kullanılan her bulut sistemine kadar uzanmaktadır.
Bu raporlamanın ardından Plastow, Nisan 2023’te İskoçya Polisi’ne DESC hakkında resmi bir bilgi bildirimi gönderdi, ancak Ekim 2023’te kuvvetin yanıtının hassas biyometrik verilerin DESC’e yüklenmesiyle ilgili endişelerini “gidermediğini” belirtti.
Haziran 2024’te Computer Weekly, Microsoft’un İskoç polis teşkilatlarına, hiper ölçekli genel bulut altyapısında barındırılan Birleşik Krallık polis verilerinin egemenliğini garanti edemeyeceğini itiraf ettiğini açıkladı.
Microsoft’un kabulü aynı zamanda tüm kamu sektörü için de bir sorun teşkil ediyor, zira daha önceki hükümet bilgi sınıflandırma şemaları belirli verilerin yurtdışına taşınmasını yasaklarken, yeni G-Cloud 14 çerçevesi yalnızca Birleşik Krallık’ta veri barındırma zorunluluğu getirdi.
Aynı ay Computer Weekly, veri koruma uzmanları tarafından çok “genel” olduğu, bulut dağıtımlarının yasalara uygun hale getirilmesi için tüm sorumluluğun güvenlik güçlerine yüklendiği ve Microsoft’un Birleşik Krallık polis verilerinin egemenliğini garanti edemeyeceği yönündeki itirafını dikkate almadığı gerekçesiyle eleştirilen ICO’nun uzun zamandır beklenen polis bulutu kılavuzunun içeriğini de açıkladı.
Microsoft’un itiraflarının ve ICO tavsiyelerinin açıklanmasının ardından (ikisi de bilgi edinme kuralları uyarınca yayımlanan yazışmalarda yer alıyordu) Plastow, resmi bir soruşturmanın neden gerekli olduğuna dair daha fazla açıklama yaptı.
Plastow, “İskoç Parlamentosu tarafından Kasım 2022’de onaylanan İskoç Biyometrik Veri Komiserliği Uygulama Tüzüğü’nün 10. İlkesi, İskoçya Polisi’nin biyometrik verilerin Birleşik Krallık GDPR ve Veri Koruma Yasası 2018 uyarınca yetkisiz erişime ve yetkisiz ifşaya karşı korunmasını sağlamasını da zorunlu kılıyor” dedi.
“Bu nedenle, ICO gerekliliklerine uyum, İskoç Uygulama Kodunun temel bir uyum özelliğidir. Ancak, yalnızca ICO, Birleşik Krallık veri koruma yasasına uyumu (veya uyumsuzluğu) belirleme yetkisine sahiptir ve DESC etrafındaki devam eden belirsizlik düzeyinin, ICO tarafından özel bir soruşturmadan faydalanacak düzeyde olduğu anlaşılmaktadır.”
Belirsizliğin bir kısmı, İskoçya Polisi’nin düzenleyici kurumla resmi olarak istişare etmemeyi seçtiğini gösteren daha fazla FOI ifşasından kaynaklanıyor. Bu, düzenleyici kurum ve diğer polis teşkilatlarının veri işlemeyle ilgili bir dizi “yüksek risk” tespit etmesine rağmen, ICO’nun kendisi de canlı kişisel verilerle ilk pilot uygulamadan yaklaşık üç ay sonra riskler veya istişare eksikliği konusunda açıklama yapmak için takipte bulunmadı.
Bu durum, ICO’nun daha önce DESC’in diğer ortaklarıyla yaptığı toplantılar aracılığıyla sorunlardan haberdar edilmiş olmasına rağmen gerçekleşmiştir.
Ocak 2024’te, Computer Weekly’nin kendi kolluk kuvvetleri işlem işlevleri için ABD merkezli hiper ölçekli genel bulut hizmetlerini kullanıp kullanmadığına ilişkin sorularına yanıt olarak ICO, ICO tarafından kullanılan bir dizi sistemi ayrıntılı olarak açıklayan bir belge paketi gönderdi.
Bu belgelere göre, ICO, kolluk kuvvetlerinin işleme amaçları için Microsoft Azure bulut altyapısında bulunan bir dizi hizmeti kullandığını açıkça belirtmektedir. Ancak, bu tür bir işlemeyi yürütmesinin yasal dayanağı veya Veri Koruma Yasası’nın (DPA) 2018 Bölüm 3 sorunlarını kendisi için birçok kez nasıl çözdüğü konusunda herhangi bir yorum yapmayı reddetmiştir.
Plastow’un ICO’nun DESC konuşlandırmasını resmen araştırması çağrısına ilişkin yorum yapan bağımsız güvenlik danışmanı Owen Sayers, bunun tamamen bağımsız bir süreç olması gerektiğini ve düzenleyicinin “sahte tavsiyeleri ve açık kişisel çıkar riski” nedeniyle herhangi bir müdahaleden uzak durması gerektiğini söyledi ve “dürüst görüşüme göre yargısal bir incelemeye veya kamu soruşturmasına ihtiyaç var” dedi.
Plastow, Ocak 2024’te İskoçya Polisi’nin biyometrik verileri ele alış biçimine ilişkin bir güvence incelemesi tamamladı ve İskoçya Polisi’nin kesinlikle üç milyondan fazla görüntüye sahip olduğunu, ancak toplam görüntü sayısının bilinmediğini tahmin etti.
“Görüntüler için saklama politikalarının gerekliliği ve orantılılığı konusunda endişeler var” diye yazdı.
“İskoçya Polisi ve SPA [Scottish Police Authority] Hükümlü kişiler için CHS’yi takip eden bir ayıklama ve tutma uygulaması oluşturdular [Criminal History System] mahkumiyet saklama süreleri. Bu, görüntülerin gerekenden daha uzun süre saklanma riski olduğu anlamına gelir.
“İncelenen tüm kuruluşlar bu sorunun farkındadır. İskoçya Polisi’nin canlı bir kovuşturma veya mahkumiyetle bağlantısı olmayan görüntülerin silinmesiyle ilgili çalışmaları devam etmektedir. SPA FS [Forensic Services] “1995 Yasası ve SBC Uygulama Tüzüğü ile uyumlu bir ayıklama sağlamak için manuel bir çözüm yolu getirdi.”
DESC’te yapılan incelemede, saha çalışmasının yürütüldüğü sırada İskoçya Polisi’nin, konuşlandırmanın Birleşik Krallık veri koruma yasasına uygun olup olmadığı konusunda ICO’dan hala hukuki tavsiye beklediği belirtildi.
ICO daha önce, yasa gereği gerekli olan veri koruma etki değerlendirmesi (DPIA) tamamlanmadan başlatılan cep telefonu verisi çıkarma işleminde gerekli özeni göstermemesi nedeniyle İskoçya Polisi’ni soruşturmuştu.
Cep telefonu hırsızlığı olayında ICO soruşturmayı yürüttü ve İskoçya Polisi’ne iyileştirmeye yönelik altı öneride bulundu.
Computer Weekly’nin Plastow’un soruşturma çağrısına ilişkin yorum talebine yanıt veren ICO sözcüsü şunları söyledi: “Yetkili makamların veri koruma yasasına uygun olarak bulut tabanlı platformları kullanıp kullanamayacağını dikkatlice düşündük. Görüşümüz, uygun korumaların mevcut olduğu durumlarda kullanabilecekleri yönündedir.
“DESC ortaklarına bu konuda rehberlik sağlanmasını sağladık ve bunu uygulamaları istendi. DESC’in beklendiği gibi uyumlu bir şekilde uygulanmadığı konusunda herhangi bir endişemiz olursa, bu durum düzenleyici eylem politikamız doğrultusunda değerlendirilecek ve harekete geçilecektir.”