Szkocki komisarz ds. biometrii Brian Plastow apeluje do brytyjskiego organu nadzorującego dane o formalne zbadanie, czy oparta na chmurze funkcja Digital Evidence Sharing Capability (DESC) policji Szkocji jest zgodna z przepisami o ochronie danych. Stało się tak po tym, jak firma Microsoft ujawniła, iż nie może zagwarantować suwerenności danych policyjnych Wielkiej Brytanii przechowywanych w publicznej chmurze Azure.
Plastow powiedział magazynowi Computer Weekly, iż Ujawnienie firmy Microsoftw połączeniu z niedawna krytyka długo oczekiwanych wytycznych Biura Komisarza ds. Informacji (ICO) dotyczących chmury policyjnejwywołało niepewność wokół wdrażania chmury obliczeniowej dla policji i wymagałoby formalnego dochodzenia.
„Chciałbym, aby ICO przeprowadziło dochodzenie w celu ustalenia, czy konkretne ustalenia dotyczące przetwarzania danych przez organy ścigania w ramach DESC przez policję w Szkocji i partnerów DESC w Szkocji, obejmujące dane biometryczne, są w pełni zgodne z brytyjskim prawem o ochronie danych” – powiedział.
Komentarze Plastowa następują po rewelacjach, które ujawniono już w ciągu roku, począwszy od kwietnia 2023 r., kiedy to Computer Weekly pierwszy zgłoszony iż usługa DESC szkockiego rządu – zakontraktowana do realizacji przez dostawcę kamer noszonych na ciele, firmę Axon, i hostowana na platformie Microsoft Azure – była testowana przez szkocką policję, mimo iż organ nadzorujący policję wyraził obawy, iż korzystanie z platformy Azure „nie będzie zgodne z prawem”.
W szczególności organ nadzorujący policję stwierdził, iż istnieje szereg innych nierozwiązanych kwestii wysokiego ryzyka dla podmiotów danych, takich jak dostęp rządu USA za pośrednictwem ustawy o chmurze, która w praktyce daje rządowi USA dostęp do wszelkich danych przechowywanych w chmurze przez amerykańskie korporacje w dowolnym miejscu; stosowanie przez firmę Microsoft ogólnych, a nie szczegółowych umów; oraz niezdolność firmy Axon do przestrzegania klauzul umownych dotyczących suwerenność danych.
Computer Weekly ujawnił również, iż Microsoft, Axon i ICO były świadome tych problemów przed rozpoczęciem przetwarzania w DESC. Zidentyfikowane ryzyka dotyczą każdego systemu chmurowego wykorzystywanego do celów egzekwowania prawa w Wielkiej Brytanii, ponieważ podlegają tym samym zasadom ochrony danych.
W ślad za tymi doniesieniami Plastow wydał policji w Szkocji formalne zawiadomienie informacyjne w sprawie DESC w kwietniu 2023 r., ale zauważył w październiku 2023 r., iż reakcja sił „nie złagodziła” jego obaw dotyczące przesyłania wrażliwych danych biometrycznych do DESC.
W czerwcu 2024 r. Computer Weekly ujawnił, iż Firma Microsoft przyznała szkockim organom policyjnym, iż nie może zagwarantować suwerenności danych policji brytyjskiej hostowane w jego hiperskalowalnej infrastrukturze chmury publicznej.
Przyjęcia Microsoftu również stanowią problem dla całego sektora publicznegoponieważ poprzednie rządowe programy klasyfikacji informacji wyraźnie zabraniały offshoringu niektórych danych, podczas gdy nowe ramy G-Cloud 14 wprowadził wymóg hostingu danych wyłącznie na terenie Wielkiej Brytanii.
Ten sam miesiąc, Computer Weekly ujawnił także treść długo oczekiwanych wytycznych ICO dotyczących chmury policyjnejktóry został skrytykowany przez ekspertów ds. ochrony danych za to, iż jest zbyt „ogólny”; przerzucając cały ciężar na siły, które muszą zasadniczo ustalić, w jaki sposób ich wdrożenia w chmurze mogą być zgodne z prawem; i nie biorąc pod uwagę przyznania się Microsoftu, iż nie może zagwarantować suwerenności danych policyjnych w Wielkiej Brytanii.
Po ujawnieniu przyznania się Microsoftu i opinii ICO – które to dokumenty zawarto w korespondencji udostępnionej na podstawie przepisów o dostępie do informacji publicznej – Plastow nieco szerzej omówił powody, dla których potrzebne jest formalne dochodzenie.
„Zasada 10 Kodeksu postępowania Szkockiego Komisarza ds. Biometrii, zatwierdzonego przez szkocki parlament w listopadzie 2022 r., nakłada również na policję w Szkocji obowiązek zapewnienia ochrony danych biometrycznych przed nieautoryzowanym dostępem i nieautoryzowanym ujawnieniem zgodnie z brytyjskim rozporządzeniem RODO i ustawą o ochronie danych z 2018 r.”, powiedział Plastow.
„Dlatego zgodność z wymogami ICO jest kluczową cechą zgodności Szkockiego Kodeksu Praktyk. Jednak tylko ICO ma ustawowe uprawnienia do określania zgodności (lub jej braku) z brytyjskim prawem ochrony danych, a wydaje się, iż obecny poziom niepewności wokół DESC jest taki, iż skorzystałoby to na szczegółowym dochodzeniu przeprowadzonym przez ICO”.
Część niepewności wynika z dalsze ujawnienia FOI co pokazało, iż Policja Szkocji zdecydowała się nie przeprowadzać formalnych konsultacji z organem regulacyjnym, pomimo iż organ ten i inne organy policyjne zidentyfikowały szereg „wysokich ryzyk” związanych z przetwarzaniem danych, podczas gdy samo ICO nie podjęło żadnych działań w celu wyjaśnienia ryzyka lub braku konsultacji przez prawie trzy miesiące po początkowym wdrożeniu pilotażowym z wykorzystaniem rzeczywistych danych osobowych.
Stało się tak pomimo tego, iż ICO zostało poinformowane o tych problemach podczas wcześniejszych spotkań z innymi partnerami DESC.
W styczniu 2024 r. w odpowiedzi na pytania Computer Weekly dotyczące tego, czy firma korzysta również z amerykańskich usług chmury publicznej o dużej skali do własnych funkcji przetwarzania danych w ramach egzekwowania prawa, ICO przesłało pakiet dokumentów szczegółowo opisujący szereg systemów wykorzystywanych przez ICO.
Zgodnie z tymi dokumentami ICO wyraźnie stwierdza, iż korzysta z szeregu usług, które znajdują się w infrastrukturze chmury Microsoft Azure do celów przetwarzania w celu egzekwowania prawa. Jednak odmówiło udzielenia komentarza na temat podstawy prawnej takiego przetwarzania lub sposobu rozwiązania części 3 Ustawa o ochronie danych (DPA) 2018 wielokrotnie miała problemy.
Komentując apel Plastowa do ICO o formalne zbadanie wdrożenia DESC, niezależny konsultant ds. bezpieczeństwa Owen Sayers stwierdził, iż powinien to być całkowicie niezależny proces, a organ regulacyjny powinien zostać wyłączony z jakiegokolwiek zaangażowania ze względu na jego „nieuczciwe porady i wyraźne ryzyko w interesie własnym”, twierdząc, iż „moim zdaniem potrzebna jest kontrola sądowa lub publiczne dochodzenie”.
W styczniu 2024 r. Plastow zakończył kontrolę zgodności przetwarzania danych biometrycznych przez policję w Szkocji, w wyniku której oszacowano, iż chociaż policja w Szkocji z pewnością posiada ponad trzy miliony zdjęć, łączna liczba przechowywanych zdjęć jest po prostu nieznana.
„Pojawiają się obawy co do konieczności i proporcjonalności zasad przechowywania obrazów” – napisał.
„Policja Szkocji i SPA [Scottish Police Authority] ustanowiliśmy procedurę selekcji i zatrzymywania osób skazanych, która jest zgodna z CHS [Criminal History System] okresy przechowywania wyroków skazujących. Oznacza to, iż istnieje ryzyko, iż obrazy mogą być przechowywane dłużej niż jest to konieczne.
„Wszystkie organy poddane przeglądowi są świadome tego problemu. Prace policji w Szkocji nad usuwaniem obrazów niezwiązanych z żywym oskarżeniem lub wyrokiem skazującym są w toku. SPA FS [Forensic Services] wprowadził manualne obejście, aby zapewnić zgodność odchwaszczania z ustawą z 1995 r. i kodeksem postępowania SBC.”
W przeglądzie DESC zauważono, iż w czasie prowadzenia prac terenowych policja szkocka wciąż czekała na opinię prawną od ICO dotyczącą zgodności wdrożenia z brytyjskim prawem o ochronie danych.
ICO wcześniej prowadziło dochodzenie w sprawie policji w Szkocji w związku z brakiem należytej staranności w zakresie ekstrakcji danych z telefonów komórkowych. Działanie to zostało przeprowadzone bez przeprowadzenia oceny skutków dla ochrony danych (DPIA), co jest wymogiem prawnym.
W przypadku ekstrakcji telefonu komórkowego, ICO przeprowadziło dochodzenie i przedstawiło sześć rekomendacji w celu poprawy sytuacji w Policji Szkocji.
Odpowiadając na prośbę Computer Weekly o komentarz na temat wezwania Plastowa do wszczęcia dochodzenia, rzecznik ICO powiedział: „Starannie rozważyliśmy, czy adekwatne organy mogą korzystać z platform opartych na chmurze zgodnie z prawem o ochronie danych. Naszym zdaniem mogą to robić, jeżeli istnieją odpowiednie zabezpieczenia.
„Zapewniliśmy, iż partnerzy DESC otrzymali wskazówki w tej sprawie i zostali poproszeni o wdrożenie tego. jeżeli będziemy mieli jakiekolwiek obawy, iż DESC nie zostało wdrożone w sposób zgodny z przepisami, jak można się spodziewać, zostanie to rozważone i podjęte zgodnie z naszą polityką działań regulacyjnych”.
English (US) · 
Polish (PL) · 
Russian (RU) ·