Bilgi Komiserliği Ofisi (ICO), memurların 200.000’den fazla telefon görüşmesini gizlice kaydetmek için bir cep telefonu uygulamasını yasa dışı bir şekilde kullandıklarını tespit ettikten sonra Surrey Polisi ve Sussex Polisine kınama cezası verdi.
Polis güçleri, kamu kurumlarını para cezaları kamu hizmetlerini kesintiye uğratabileceği zaman veri koruma ihlalleri için büyük ödemeler yapmak zorunda kalmaktan korumayı amaçlayan ICO’nun geçen yıl yaptığı bir politika değişikliğinin ardından olası 1 milyon sterlinlik para cezalarından kurtuldu.
Bilgi komiseri, 1.015’ten fazla personelin, şüpheli suçların mağdurları, tanıkları ve failleriyle yapılan konuşmaları yasa dışı bir şekilde kaydetmek için kullanılan Google Play Store’dan ücretsiz bir uygulama indirdiğini tespit etti.
Üç yılı aşkın bir süredir devam eden uygulama, polis memurlarının, 1966 tarihli Ceza Usulleri ve Soruşturma Yasası (CPIA) kapsamında sanıklarla yasal olarak paylaşılması gereken kayıtları belirleme ve ifşa etme becerileri hakkında soru işaretleri yarattı.
Veri koruma gözlemcisi, polis güçlerinin Veri Koruma Yasası 2018’i ihlal ettiğini ve uygulamalarını veri koruma yasasına uygun hale getirmek için birçok fırsatı kaçırdığını tespit etti. Polis güçleri ihlali Mart 2020’de bildirdi.
ICO komiser yardımcısı Stephen Bonner, veri koruma gözlemcisinin polis güçlerine para cezası verilmesini, suçla mücadele yeteneklerine zarar vereceği için reddettiğini söyledi.
“Kınama, ICO’nun daha geniş yetkilerinin kamu sektörüne yönelik olarak kullanıldığını yansıtıyor çünkü büyük para cezaları, hayati hizmetlerin sağlanması için ayrılan bütçelerin azalmasına neden olabilir. Surrey Polisi ve Sussex Polisi’ne para cezası verilmesi, bölgedeki suç kurbanlarını bir kez daha etkileme riski taşıdığından, bu vaka, ICO’nun neden farklı bir yaklaşım izlediğini ortaya koyuyor” dedi.
Computer Weekly, Ocak ayında, Surrey ve Sussex polis güçlerinin, 2017’de adam kaçıranlarla ve kriz müzakereleriyle uğraşırken rehine müzakerecileri için Another Call Recorder (ACR) adlı kayıt uygulamasına izin verdiğini açıkladı.
Uygulama, polis tarafından verilen cep telefonlarında ve mobil veri terminallerinde yapılan tüm gelen ve giden aramaları kaydetti ve sakladı.
Stephen Bonner, ICO’da
ICO, Surrey Polisinin uygulamayı sınırlı sayıda uzman memura atamasının teknik olarak mümkün olmasına rağmen, bunu yapmayı seçmediğini ve pratikte polis teşkilatındaki personelin indirebileceğini tespit etti.
Bonner, Surrey ve Sussex polis güçlerinin, insanların kişisel verilerini, bilgisi olmadan yüzbinlerce telefon görüşmesini kaydederek yasal olarak kullanmadıklarını söyledi.
“İnsanlar, bir polis memuruyla konuştuklarında, ifşa ettikleri bilgilerin sorumlu bir şekilde ele alınmasını bekleme hakkına sahiptir. Şüpheli suçlarla ilgili son derece hassas bilgiler de dahil olmak üzere, bu görüşmeler sırasında toplanan çok büyük miktarda kişisel veriyi yalnızca tahmin edebiliyoruz” dedi.
Kanıtları açıklamama riski
ICO’nun kınaması, polis memurlarının ceza davalarıyla ilgili telefon görüşmelerini ifşa etme yasal görevlerini yerine getirip getiremeyeceği konusunda soru işaretleri uyandırıyor.
ICO’ya göre, güçler tarafından sağlanan kanıtlar, uygulamayı indiren polis memurlarının çoğunun tüm aramaların kaydedildiğinden haberdar olmadığını gösteriyor.
Kuvvetlerin, telefon görüşmelerinin kayıtlarını otomatik olarak yedekleyecek veya telefonların kaybolması veya zarar görmesi durumunda kayıtları tutacak bir mekanizması yoktu.
ICO kınamada, “Bu, uygulamanın kullanımda olduğu süre boyunca işlenen tüm kişisel bilgilerin delil malzemesi olarak uygun bir şekilde ifşa edilip edilmediğini sorgulamaktadır.”
ICO, kaydedilen telefon görüşmelerinde yer alan bilgilerin ceza davalarında kararı değiştireceğine dair hiçbir kanıt sunulmadığını söyledi.
Telefon uygulamasının yaygın kullanımı
Computer Weekly daha önce, her iki kuvvetteki memurların, uygulamayı indirebilecekleri Google Play Store’a eriştiklerini bildirmişti.
ICO, Kasım 2017’de yeni bir teknoloji platformu kullanıma sunulduğunda, kuvvetlerin polis memurlarının kayıt uygulamasını kullanımını inceleme fırsatlarını kaçırdığını tespit etti.
Kuvvetler ayrıca, Veri Koruma Yasası 2018 yürürlüğe girdiğinde uygulamanın kullanımını ve kişisel verilerin işlenmesini incelemedi. ICO, “Yeni mevzuat kapsamında veri sahiplerine sağlanan gelişmiş haklar göz önüne alındığında, bu özellikle endişe vericidir” dedi.
Polis güçlerinin, personelin uygulamanın nasıl çalıştığına dair bilgi vermediği veya memurların, uygulamanın kullanımının veri koruma mevzuatı kapsamında kişisel verilerin işlenmesi anlamına geldiğinin farkında olmalarını sağlamadığı belirtildi.
Polis, uygulamayı “notları veya diğer soruşturma ayrıntılarını kaydetmek” için kullanarak güçlerin elektronik cihaz politikasını da ihlal etti.
ICO, insanların polis memurlarıyla yaptıkları telefon görüşmelerinin kaydedildiği konusunda bilgilendirilmediğini tespit etti, bu da onları kayda itiraz etme veya transkript veya kopya alma hakkından mahrum etti.
ICO, uygulamanın Veri Koruma Yasası 2018’i ihlal ederek çok çeşitli konulardaki hassas kişisel veriler de dahil olmak üzere çeşitli verileri yakalamasının “yüksek olasılıkla” olduğu sonucuna vardı.
Polis, şifrelemeyle korunan polis cep telefonlarından kayıtları çıkarılabilir ortama manuel olarak aktardı ve bu, kişisel ve özel kategorideki verilerin, veri koruma yasasına aykırı olarak güvenli bir şekilde saklanıp saklanmadığına dair endişeleri artırdı.
Kendinden bildirilen ihlali zorunlu kılar
Surrey Polisi ve Sussex Polisi ortak bir açıklamada, Mart 2020’de hatayı fark ettiklerinde uygulamayı kaldırarak, kanıtları güvence altına alarak ve ihlali Soruşturma Yetkileri Komiserliği’ne (IPCO) ve bilgi komiseri ile ilişkilendirerek derhal harekete geçtiklerini söyledi.
Bir iç denetim, 1.024 memur ve personelin uygulamayı indirdiğini ve uygulamanın ses dosyalarını tutan 432 telefonda kullanıldığını tespit etti. Dört uygulama kullanıcısı, bir suçun kanıtını içeren kayıtları belirledi.
Açıklamaya göre, dava mahkemeye taşınsaydı, kayıtlardan yalnızca birinin potansiyel etkisi olabilirdi.
Yetkililer, tüm yeni uygulamaların yayınlanmadan önce yasalara uygun olmasını ve personele veri koruma tavsiyelerine erişim verilmesini sağlamak için yeni süreçler uygulamaya koyduklarını söyledi.
Geçici emniyet müdür yardımcısı Fiona McPherson şunları söyledi: “Dava, bu dijital uygulamanın kullanımıyla ilgili bir yönetim eksikliğini ortaya çıkardı ve bu üzücü. Hata bildirilir bildirilmez bunun tekrarlanmaması için acil önlem aldık.”
Bindmans hukuk firmasında suç dolandırıcılığı ve düzenleme ekibi başkanı Katie Wheatley, Sussex ve Surrey polisinin cezai soruşturmalar için materyalleri saklamak ve ifşa etmek için yasal gereklilikleri dikkate almamasının şaşırtıcı olduğunu söyledi.
Computer Weekly’ye verdiği demeçte, “Bu kayıtların, ilgili güçler veya bireysel kullanıcılar tarafından soruşturmalarla ilgili materyalin saklanması ve ifşa edilmesi için yasal gereklilik dikkate alınmadan yıllarca yapılıyor olmasını hala şaşırtıcı buluyorum” dedi.
“Bu gereksinimlerin olması gerektiği gibi akıllarının başında olmadığını gösteriyor. Açıklama, ceza adaleti sisteminin mihenk taşı olduğundan ve adalet hatalarını önlemeye yardımcı olduğundan, bu endişe vericidir” diye ekledi Wheatley.
Bir veri koruma avukatı olan Dai Davis, Computer Weekly’ye kamu sektörü kuruluşlarına para cezası yerine kınama cezası vermenin, veri koruma mevzuatına daha iyi uyum sağlaması durumunda mantıklı olacağını söyledi.
“Bilgi komiseri ne yaptıysa yapmaya yetkilidir. ICO’nun sınırlı bir bütçesi var, yetersiz personel var, düşük maaş alıyor. Kaynakları güvenilir yerlere koyması gerekiyor” dedi.
Davis, 1000 polis kullanıcısı arasından neden ceza gerektiren suçlarla ilgili yalnızca dört kaydın bulunduğunu anlamanın zor olduğunu söyledi.
ICO, Surrey Polisi ve Sussex Polisinden, veri koruma yasasına uymalarını sağlamak için ICO tarafından önerilen önlemleri uygulamak için yaptıkları eylemlerin ayrıntılarını üç ay içinde vermelerini istedi.