Bilgi Komisyonu Ofisi’nin (ICO) yalnızca kamu sektörü kuruluşlarına “en ciddi durumlarda” para cezası verme yaklaşımı, düzenleyicinin iddialarını test etmek için “acil bir ihtiyaç” olduğunu söyleyen Açık Haklar Grubu’ndaki (ORG) gizlilik kampanyacıları tarafından eleştirildi. para cezaları kamu sektörü kurumları için etkili bir caydırıcılık görevi görmemektedir.
Kampanyayı yürütenler, ICO’nun cezaları yalnızca en ciddi veri koruma sorunları için kamu sektörü kurumlarına sınırlama yaklaşımının “işe yaramadığını”, çünkü sorunların genellikle daha az ciddi yaptırım önlemleri alındıktan sonra da devam ettiğini söylüyor.
“Giderek dijitalleşen dünyada, veri koruması kişisel güvenliğimiz için hayati önem taşıyor. ORG CEO’su Jim Killock, ICO’nun kamu sektörü kuruluşlarına gerektiği yerde meydan okumama politikasının yanı sıra yaptırım uygulama konusundaki isteksizliğinin de işe yaramadığını söyledi.
“Yapay zeka teknolojisinin gelişimini ve kamu sektörü kuruluşları tarafından kullanımının arttığını gördükçe, güçlü veri koruma yasalarına ve İngiliz halkının ilk savunma hattı olarak hareket edecek güçlü bir düzenleyiciye ihtiyacımız var.”
Temmuz 2022’de ICO, kamu yetkilileriyle çalışmaya yönelik “gözden geçirilmiş” iki yıllık bir deneme yaklaşımını benimsedi; komiser John Edwards, açık bir mektupta para cezalarının veri ihlali mağdurlarını dolaylı olarak cezalandırma şekli nedeniyle veri koruma uyumluluğunu sağlamada etkisiz olduğunu savundu. “hayati hizmetlere ayrılan bütçelerin azaltılması şeklinde”.
Temmuz 2024’te ICO, raporunu yayınladı. Yıllık rapor ve mali tablolar Veri düzenleyicinin söz konusu dönemdeki performansını gözden geçirdiği 2023-24 mali yılı için. ICO’nun kamu ve özel kurumları nerede araştırdığını ve bu soruşturmaların kınamalarla, yaptırım bildirimleriyle (alıcıları veri uygulamalarını değiştirmeye zorlayan) veya para cezalarıyla sonuçlanan oranını gösterir.
Veri koruma ihlalleri nedeniyle kamu sektörü kurumlarına karşı yürüttüğü eylemler açısından ICO, bir para cezası (245 Afganlının kimliğini açığa çıkaran bir veri sızıntısı nedeniyle Savunma Bakanlığı’na), iki icra bildirimi (biri çocuğun kontrolünün kaybıyla ilgili) yayınladı. Kraliyet Savcılık Servisi’ndeki suiistimal dava dosyaları ve mültecileri GPS ile etiketlemesi nedeniyle İçişleri Bakanlığı’na karşı açılan bir dava) ve 28 kınama cezası.
Bu kınamalara örnek olarak Thames Vadisi Polisi’nin, bir tanığın şüpheli suçlulara adresini açıklaması nedeniyle kişiyi evini taşımaya zorlayan kınama; Biri Derby Üniversite Hastanesi ve Burton NHS Trust’a ayakta tedavi verilerini zamanında işleyememesi nedeniyle, bazı hastaların tıbbi tedavilerini iki yıla kadar geciktirdiği için; ve veri karışıklıklarının memurların yanlış adreslere gitmesi anlamına geldiği birden fazla olay nedeniyle West Midlands Polisi için bir tane.
Diğer örnekler arasında Adalet Bakanlığı’na verilen iki kınama yer alıyor; bunlardan biri, evlat edinme ayrıntılarının mahkeme talimatlarına aykırı olarak açıklanması, diğeri ise dört torba gizli atığı hapishanenin hem mahkumların hem de personelin erişebildiği güvenliksiz bir tutma alanına bırakması nedeniyle.
Açıkça zararlı veri uygulamaları nedeniyle verilen kınamaların sayısı, cezaların ve icra bildirimlerinin düşük sayısına kıyasla göz önüne alındığında, ORG bu nedenle ICO’yu, gerektiğinde icra bildirimleri ve para cezaları da dahil olmak üzere kamu sektörü kuruluşlarına karşı tüm yetkilerini kullanmaya çağırıyor.
Computer Weekly, ORG’nin analizleri ve argümanları hakkında ICO ile temasa geçti ve Haziran 2024’ten itibaren kamu sektörü yaklaşımına ilişkin bir ICO beyanına yönlendirildi.
“Uygun olduğu durumlarda kamu kurumlarına para cezası vermeye devam ederken, aynı zamanda insanların bilgilerinin uygun şekilde kullanılmasını ve paranın en çok ihtiyaç duyulan yerden başka yere yönlendirilmemesini sağlamak için diğer düzenleyici araçlarımızı da kullanıyoruz” dedi.
“Artık sonbaharda kamu sektörü yaklaşımına ilişkin bir karara varmadan önce iki yıllık denemeyi gözden geçireceğiz. Bu arada, bu yaklaşımı kamu sektörü kuruluşlarıyla ilgili düzenleyici faaliyetlerimizde uygulamaya devam edeceğiz.”
Bilgi komiseri John Edwards, 20 Kasım 2022’de ICO’nun özel sektör uygulamasına atıfta bulunarak şunları söyledi: Times Avrupalı düzenleyiciler tarafından sıklıkla uygulanan büyük mali cezaların, düzenleyicilerin kaynaklarını tüketebilecek ve sonuçta anlamlı değişiklikleri uygulama yeteneklerini zayıflatabilecek uzun hukuki mücadelelerle sonuçlanma eğiliminde olduğu görülüyor.
“Cezaların miktarının veya hacminin etkiyi temsil ettiğine inanmıyorum” dedi. “Biliyorsunuz, pek çok manşete çıkıyorlar. Lig tablolarını derlemek kolaydır ancak aslında bu yaklaşımın mutlaka en büyük etkiyi yaratacağına inanmıyorum.”
Kendisi, ICO’nun yüz milyonlarca liralık para cezaları vermek yerine uyumu teşvik etmek için şirketlerle işbirliği yapmayı tercih ettiğini de sözlerine ekledi.
‘Kınamalar yeterli değil’
ICO’nun en son yıllık raporuna ilişkin ORG analizine göre, gerçekleştirilen yaptırım eylemleri, kamu sektörünün veri yanlış uygulamalarının ciddiyetini gösteriyor ve kınamalara artan güvene rağmen, kınamaların gerçek bir değişime yol açtığına dair çok az kanıt var.
ORG, ICO’ya yönelik tavsiyelerinden birinde, “ICO, alternatif yaklaşımların veri koruma uyumluluğunda önemli bir iyileşme sağladığını kanıtlayana kadar kamu sektöründeki uygulama yetkilerinin tamamını kullanmalıdır” dedi.
Düzenleyicinin, “kamu sektörü kuruluşlarının yalnızca son çare olarak para cezasına çarptırıldığı iki yıllık ‘kamu sektörü yaklaşımı denemesinden’ elde edilen tüm kanıtları” yayınlaması gerektiğini ve bunun, bu kararı doğrulamak için harici olarak yürütülen bağımsız bir denetim tarafından takip edilmesi gerektiğini ekledi. bulgular.
ORG ayrıca, yeni İşçi Partisi hükümetinin önerdiği Veri Kullanımı ve Erişim Yasa Tasarısı’nda (DUAB) değişiklikler yapılması gerektiğini, böylece ICO’nun bir kuruluşa birden fazla kınama cezası vermesinin yasaklanacağını da sözlerine ekledi: “Daha sonraki herhangi bir ihlal, davanın kızışmasına yol açmalıdır” – hem ilk azarlamanın önermesini zayıflatan hem de davranış üzerinde çok az etkisi olan ek ‘son kınamalar’ değil.”
DUAB ayrıca, ICO’nun, kamu sektörü kurumlarının konu erişim talebi (SAR) performansına ilişkin bir lig tablosu yayınlamasını zorunlu kılacak şekilde değiştirilmelidir; böylece, yasal süreler çerçevesinde sürekli olarak yanıt vermekte başarısız olan kuruluşlara yaptırım eylemi için öncelik verilebilir.
“SAR’lar bireylerin mahremiyetini ve güvenliğini sağlamak için önemli bir araçtır” dedi. “Ancak 2018’den bu yana ICO, üç yetkilinin SAR birikimleriyle ilgilenmesini sağlamaya çalışıyor ancak başarılı olamadı. Bu yıl, sorunun ilk kez ortaya çıkmasından altı yıl sonra, Plymouth Şehir Meclisi, Devon ve Cornwall Polisi ve Dorset Polisinin her birine ‘son bir kınama’ gönderildi.”
Bu yıl, ICO, Mishcon de Reya hukuk firmasında kıdemli bir veri koruma uzmanı olan Jon Baines’in bilgi edinme özgürlüğü talebinin ardından Aralık 2022’de yapmayı taahhüt ettiği yıllık raporda ilk kez kınama sayısını yayınladı. – düzenleyicinin Mayıs 2018 ile Kasım 2021 arasında kamu sektörü kurumlarına verdiği 42 kınamanın çoğunu açıklamadığını ortaya çıkardı.
Haziran 2022’den itibaren Baines’in bilgi talebi üzerine yapılan takip özgürlüğü, Kasım 2021’den bu yana o ana kadar kamuya açıklanmayan 15 kınama daha tespit etti.