İskoç biyometri komiseri, İskoçya Polisine, gücün bulut tabanlı bir dijital kanıt sistemi konuşlandırmasının Birleşik Krallık’ın yasa uygulayıcılarına özgü veri koruma kurallarına uygun olduğunu göstermesini gerektiren bir bilgi bildirimi gönderdi.
Nisan 2023’ün başında Computer Weekly, İskoç hükümetinin – teslimat için vücuda takılan video sağlayıcısı Axon ile sözleşmeli olan ve Microsoft Azure’da barındırılan – Dijital Kanıt Paylaşım Yeteneği (DESC) hizmetinin şu anda pilot uygulama aşamasında olduğunu ortaya çıkardı. Azure kullanımının nasıl “yasal olmayacağı” konusunda bekçiler.
Sottish Polis Kurumu (SPA) tarafından yapılan ve sistemin genetik ve biyometrik bilgileri işleyeceğini belirten bir Veri Koruma Etki Değerlendirmesine (DPIA) göre, veri konularının haklarına yönelik riskler, ABD hükümetinin Bulut Yasası yoluyla erişimini içerir. ABD hükümetinin bulutta ABD şirketleri tarafından herhangi bir yerde depolanan herhangi bir veriye erişimi; Microsoft’un belirli sözleşmeler yerine genel sözleşmeleri kullanması; ve Axon’ın veri egemenliğiyle ilgili sözleşme maddelerine uyma konusundaki yetersizliği.
Ayrıca, kişisel verilerin bariz bir şekilde daha düşük veri koruma standartlarına sahip bir yargı bölgesi olan ABD’ye aktarılmasının, insanların veri düzeltme, silme ve otomatik karar vermeye tabi olmama haklarını olumsuz yönde etkileyebileceği endişesi de var.
SPA DPIA, ABD hükümetinin Bulut Yasası yoluyla erişim riskinin “olası olmadığını … serpinti felaket olacağını” kaydetti.
Computer Weekly’nin DESC hizmetiyle ilgili raporunun ardından, İskoç biyometri komiseri Brian Plastow, 22 Nisan 2023’te İskoçya Polisine (sistemin baş veri denetleyicisi) bir bilgi bildirimi gönderdi; veri koruma uyumluluğu.
Bilgi bildiriminin kendisi doğrudan Computer Weekly’nin DESC kapsamına atıfta bulunur. “Şu anda DESC’nin potansiyel sonuçları konusunda yeterince endişeliyim ve 2020 tarihli İskoç Biyometri Komiserliği Yasası’nın 16. bölümünün hükümlerine göre, İskoçya Polisinin yasalara uyup uymadığını belirleyebilmem için İskoçya Polisinden bana bilgi vermesini talep etmem gerekiyor. yasal Uygulama Kurallarımın veri koruma unsurları ile” diye yazdı resmi bildirimde.
Plastow, biyometrik veri aktarımlarının gerçekleşip gerçekleşmediği de dahil olmak üzere almak istediği belirli bilgileri de özetledi; hangi türlerin aktarıldığı; hangi ciltlerde; ve verilerin hangi ülkede barındırıldığı.
“Biyometrik veriler DESC’nin bir parçası olarak değiş tokuş edildiyse, lütfen İskoçya Polisinin, yasa uygulama işlemleriyle ilgili Birleşik Krallık Veri Koruma Yasası 2018’in 3. Bölümüne ve İskoç Biyometri Komiserinin Uygulama Kurallarının 10. İlkesine tam olarak uyup uymadığını onaylayın.” İskoç hükümeti tarafından onaylandıktan sonra 16 Kasım 2022’de İskoçya’da yürürlüğe giren yasal bir yasaya atıfta bulunarak söyledi.
İlke 10, özel olarak gizliliği artıran teknolojilerin tanıtımıyla ilgilidir ve biyometrik verilerin elde edilmesi, saklanması, kullanılması ve imha edilmesinin, verilerin yetkisiz erişime veya ifşaya karşı korunmasını sağlaması gerektiğini belirtir.
Plastow, “Uygulama İlkelerine uyumu sağlamak için, İskoçya Polisinin biyometrik verileri içeren herhangi bir hiper ölçekli bulut altyapısı kullanımının kanun yaptırımına özel veri koruma kurallarına uygun olduğunu göstermesi gerekiyor” dedi. “Bunu başarmanın en iyi yolu, tamamen Birleşik Krallık’ta bulunan ve yasa uygulama amaçlarıyla işlemeye ilişkin 2018 Veri Koruma Yasası Bölüm 3’ün tüm gerekliliklerini karşılayan bir barındırma platformuna sahip olmaktır.
“DESC’de durum böyle değilse, o zaman halkın güveninin ve itimadının korunmasını sağlamak için İskoçya Polisinin vatandaşlara kişisel verileri için bulut kullanımının ne anlama geldiğini açıklaması gerekir. Bu, vatandaşlara verilerinin hangi ülkede saklanacağı konusunda açık olmak ve bu sorunun cevabı Birleşik Krallık değilse, bu son derece hassas verilerin adli veya kötü niyetli olarak erişilmesinin bariz risklerini açıklamak anlamına gelir.”
Bildirime yanıt veren bir Polis İskoçya sözcüsü şunları söyledi: “İskoçya Polisi veri yönetimini ve güvenliğini çok ciddiye alıyor ve DESC sisteminin gelişimini desteklemek için sağlam, etkili ve güvenli süreçlerin yürürlükte olmasını sağlamak için ceza adaleti ortaklarıyla birlikte çalışıyor.
“Dundee’deki DESC sistemindeki tüm dijital kanıtlar güvenli bir şekilde tutuluyor ve yalnızca polis memurları gibi onaylı personel tarafından erişilebilir. [Crown Office and Procurator Fiscal Service] COPFS ve savunma ajanları. Bu bilgilere erişim tamamen denetlenir ve izlenir ve herhangi bir veri riskinin hızlı bir şekilde tanımlanmasını, değerlendirilmesini ve hafifletilmesini sağlamak için süreçler mevcuttur. Dundee’deki pilot uygulama ilerledikçe, veri koruma ve güvenlikle ilgili gerekli güvenceyi sağlamak için Biyometri Komiseri ile görüşmeye devam edeceğiz.”
Düzenleyici onay eksikliği
Bildirim kapsamında, Plastow ayrıca Bilgi Komiserliği Ofisi (ICO) ile uluslararası transferler ve dijital egemenlik soruları hakkında hangi tartışmanın yapıldığı hakkında bilgi istiyor ve Polis İskoçya’nın tüm sorunların ICO’yu tatmin edecek şekilde çözülüp çözülmediğini doğrulamasını istiyor.
Computer Weekly daha önce ICO’ya Birleşik Krallık ceza adaleti sektöründe ABD bulut sağlayıcılarının yaygınlığını ve DESC sistemi kapsamının bir parçası olarak kullanımlarının Birleşik Krallık veri koruma kurallarıyla uyumlu olup olmadığını sormuştu. ICO basın ofisi yanıt veremedi ve daha fazla yanıt için Computer Weekly’nin sorularını FOI ekibine yönlendirdi.
24 Nisan’da ICO FOI ekibi, konuyla ilgili yasal tavsiye almasına rağmen konunun devam ettiğini ve konuyla ilgili henüz resmi bir pozisyona gelmediğini yanıtladı. Bununla birlikte, yasal profesyonel ayrıcalığa tabi olduğu için tavsiyenin kendisi reddedildi.
ICO ayrıca, “bu sistemlerin yasa uygulama bağlamında kullanılması için hiçbir zaman resmi düzenleyici onay vermediğini” doğruladı.
Bununla birlikte, SPA’nın ICO ile yaptığı yazışmalar – yine FOI altında ifşa edilmiştir – düzenleyicinin, ABD’den teknik desteğin veya ABD hükümetinin Bulut Yasası yoluyla erişiminin uluslararası bir veri aktarımı teşkil edeceğini belirterek, risk değerlendirmelerine büyük ölçüde katıldığını ortaya koydu.
Açıklamada, “Bu transferlerin, uyumlu bir transferin koşullarını karşılaması pek mümkün olmayacak” denildi. “Veri koruma yasasının potansiyel bir ihlalini önlemek için, Birleşik Krallık merkezli teknik destek arayarak kişisel verilerin Birleşik Krallık’ta kalmasını sağlamanızı şiddetle tavsiye ediyoruz.”
Ön danışma
İskoçya Polisi ile ayrı bir yazışmada (yine FOI kapsamında ifşa edilmiştir), ICO şunları kaydetti: “DPIA’nızda hafifletilemeyecek kalan yüksek bir risk kalıntısı varsa, DPA 2018 65. bölüm uyarınca ICO ile önceden istişare gereklidir. bize danışana kadar işleme devam edin.
Plastow, DESC’nin İskoç adalet sisteminin kanıtları yönetme biçimini dijital olarak dönüştürmeye yönelik stratejik hedeflerini memnuniyetle karşılasa da, ofisinin 29 Kasım 2022’de yapılan bir toplantıya kadar İskoç hükümeti veya İskoçya Polisi tarafından hiçbir zaman devreye girmediğini doğruladı.
Biyometrik verilerin sistem aracılığıyla paylaşılabileceğinin farkına vardıktan sonra Plastow’un kendisinin talep ettiği bu toplantıda, komiserin profesyonel danışma grubu, İskoçya Polisinden veri güvenliği ve veri egemenliği konularında güvence istedi.
Emniyetten yapılan sunumun ardından danışma grubu üyeleri DESC ile ilgili slaytların dağıtılmasını talep etti. Ancak sunumu yapan şef, bazı slaytların ticari açıdan hassas bilgiler içerebileceğinden bu talebi dikkate alması gerektiğini belirtti: “Slayt paketi hiçbir zaman teslim alınmadı.”
Birleşik Krallık çapında bir sorun
SPA DPIA’nın yayınlanması, aynı zamanda, Computer Weekly tarafından görülen bir dizi diğer DPIA’nın ABD bulut sağlayıcıları etrafında SPA tarafından özetlenen riskleri değerlendirmediğinden, İngiltere ve Galler’deki polis ve ceza adaleti kurumları tarafından bulut dağıtımlarının yasallığını da sorgulamaktadır. aynı veri koruma kurallarına tabi olmasına rağmen.
Örneğin, Aralık 2020’de bir Computer Weekly soruşturması, Birleşik Krallık polis güçlerinin, içindeki temel sözleşme ve işleme gerekliliklerine uymadıktan sonra, hiper ölçekli genel bulut hizmeti Microsoft 365’te bir milyondan fazla kişinin kişisel verilerini (biyometri dahil) yasa dışı bir şekilde işlediğini ortaya çıkardı. Uluslararası aktarımlara getirilen kısıtlamalar gibi 2018 tarihli Veri Koruma Yasası’nın Üçüncü Bölümü.
Bilhassa, Bilgi Edinme Özgürlüğü talepleri aracılığıyla Computer Weekly’ye ifşa edilen DPIA’lar, ABD hükümetinin müdahaleci gözetim rejimine tabi olan ABD merkezli bir şirkete hassas kişisel veriler gönderme risklerinin gerektiği gibi değerlendirilmediğini gösterdi.
Birleşik Krallık ceza adaleti sektöründeki ABD bulut sağlayıcılarının diğer kullanımları arasında Ident1 parmak izi veri tabanının Police Digital Services (PDS) Xchange bulut platformu altında Amazon Web Services (AWS) ile entegrasyonu; ve kısmen Azure’da barındırılan ve mahkeme işlemlerinin ses ve video kayıtları biçimindeki biyometrik bilgileri işleyen HM Mahkemeleri ve Tribunals’ın bulut video platformu.
Nisan 2023’ün ortalarında, İngiltere ve Galler’den sorumlu biyometri komiseri Fraser Sampson, Computer Weekly’ye, Birleşik Krallık polis ve adalet kurumlarının, artan genel bulut altyapısı kullanımının, kolluk kuvvetlerine özel veri koruma kurallarıyla uyumlu olduğunu kanıtlayabilmesi gerektiğini söyledi.
Hassas biyometrik verileri depolamak ve işlemek için hiper ölçekli genel bulut sağlayıcılarının kullanımı hakkında özellikle konuşan Sampson, “ispat yükü polisin üzerindedir” dedi. [data] kontrolörler, yalnızca bilgi ve güvence sağlamak için değil, aynı zamanda işlemelerinin ilgili tüm gerekliliklere uygun olduğunu göstermek için [data protection] Gereksinimler”. İspat yükünün sadece bir hukuk meselesi olmadığını, aynı zamanda yönetişim, hesap verebilirlik ve polisin yeni teknolojileri nasıl kullandığına dair kamu güvenini inşa etme meselesi olduğunu da sözlerine ekledi.
Şubat 2023’te Parlamentonun İnsan Hakları Ortak Komitesi huzuruna çıktığı sırada Sampson, iş biyometrik bilgilerin saklanmasına geldiğinde Birleşik Krallık polis teşkilatında bir “silmeme kültürü” olduğunu kaydetti.