طالب قانون “منضبط بشكل غير عادل” بعد الإبلاغ عن خطأ فادح في خرق البيانات
يقول طالب سابق في Inns of Court College of Advocacy (ICCA) إنه تم إلقاء القبض عليه من قبل الكلية لأنه تصرف بمسؤولية و”بنزاهة” في الإبلاغ عن حادثة. خطأ أمني فادح أدى إلى كشف معلومات حساسة عن الطلاب.
واجه Bartek Wytrzyszczewski إجراءات سوء السلوك بعد تنبيه الكلية إلى خرق البيانات الذي كشف معلومات حساسة عن مئات من طلاب ICCA السابقين والحاليين.
وقال Wytrzyszczewski، البالغ من العمر 32 عامًا، إن التجربة دفعته إلى إلغاء التسجيل في دورة ICCA واستئناف تدريبه في مزود آخر.
أبلغت ICCA، التي تقدم التدريب للمحامين المستقبليين، منظم حماية البيانات مكتب مفوض المعلومات (ICO) بالانتهاك “الذي حدث” في أغسطس 2023 بعد أن نبه Wytrzyszczewski الكلية إلى أن الملفات الحساسة الخاصة بما يقرب من 800 طالب يمكن الوصول إليها لمستخدمي الكلية الآخرين عبر البوابة الإلكترونية للICCA.
أدى الاختراق إلى وصول البيانات الشخصية مثل عناوين البريد الإلكتروني وأرقام الهواتف والمعلومات الأكاديمية – بما في ذلك علامات الامتحانات والمؤسسات السابقة التي التحق بها – إلى الطلاب في الكلية. وتمكن الطلاب الذين يستخدمون بوابة الويب الخاصة بـ ICCA أيضًا من الوصول إلى صور الهوية، بالإضافة إلى أرقام هوية الطالب والبيانات الحساسة، مثل السجلات الصحية وحالة التأشيرة والمعلومات المتعلقة بما إذا كانوا حاملاً أو لديهم أطفال.
سعت الكلية إلى التقليل من أهمية من خرق البيانات في ذلك الوقت، واصفة إياها بأنها “مشكلة فنية” في بيان مقدم إلى Computer Weekly. وقال آندي راسل، مدير العمليات في ICCA: “بسبب مشكلة فنية، قدم بعض الطلاب المسجلين طلبات بحث في [email protected] تم إرجاع نتائج حسابات البريد الإلكتروني التي تضمنت بعض الملفات من موقع SharePoint المخصص للموظفين فقط التابع لـ ICCA.
الإجراءات التأديبية
بعد أن حصلت الكلية على تعهد كتابي من Wytrzyszczewski بعدم الكشف عن أي من المعلومات التي اكتشفها، بدأت إجراءات سوء السلوك ضده. وقال إنه عثر على الملفات عن طريق الخطأ، واطلع على عدد كبير منها للتأكد من أنه يستطيع الإبلاغ عن محتوياتها بدقة.
قال المحامي المتدرب إنه لم يُمنح أي تمثيل في جلسة الاستماع اللاحقة للجنة في نوفمبر 2023. وقال Wytrzyszczewski لـ Computer Weekly إن مواجهة الإجراءات التأديبية بشأن الحادث كانت مؤلمة. وقال إنه شعر أن الكلية تريد ببساطة “إسكاته” و”معاقبته” لأنه أشار إلى سوء تعاملها مع الانتهاك.
وقال: “لا أعتقد أنني ارتكبت أي سوء سلوك على الإطلاق”. “لقد أظهرت النزاهة من خلال تنبيههم إلى هذه المشكلة. وقد فعلت ذلك على الفور. أشعر أنهم كان رد فعلهم بهذه الطريقة لأنهم أرادوا إسكاتي وأرادوا معاقبتي. أعتقد أن الطريقة التي تصرفوا بها تفتقر تمامًا إلى النزاهة. لا أعتقد أن هذا أمر أخلاقي.”
“لا أعتقد أنني ارتكبت أي سوء سلوك على الإطلاق. لقد أظهرت النزاهة من خلال التنبيه [the college] لهذه المشكلة. وقد فعلت ذلك على الفور. أشعر أنهم يريدون إسكاتي ومعاقبتي. أعتقد أن الطريقة التي تصرفوا بها تفتقر تمامًا إلى النزاهة. لا أعتقد أن هذا أخلاقي”
بارتيك ويترزيسزيوسكي، طالب في القانون
وأضاف Wytrzyszczewski أن ذلك هز إيمانه ودوافعه في أن يصبح محترفًا قانونيًا، قائلًا إن طرحه للعامة قد أثر على الطلبات الأخيرة للتلمذة – وهو جزء مهم من تدريب المحامي في نقابة المحامين.
وهو يدرس الآن في دورة المحاماة بجامعة ليدز، والتي بدأها في يناير 2024.
وقال: “لقد فقدت بالفعل الدافع للدخول إلى عالم القانون لأنني أدركت مدى قدرتهم على الإفلات من العقاب ومدى تدمير هذا السلوك للأفراد”.
“لو تم تأييد هذه الإجراءات، لكانت مسيرتي المهنية بأكملها في حالة يرثى لها. كان من الصعب جدًا بالنسبة لي أن أفعل أي شيء حيال ذلك لأنه، مهما كانت نتيجة لجنة سوء السلوك غير عقلانية، لا يمكنك حقًا إلغاءها. وأضاف: “إنها بمثابة نتيجة سوء سلوك ضدك وتبقى معك مدى الحياة”.
“في مهنة المحاماة، سمعتك مهمة حقًا. في كل مرة تقوم فيها بتقديم طلب التلميذ، يجب عليك الكشف عنه ولن يقوم أحد بالتحقيق فيه حقًا. لذلك كان ذلك مدمرًا للروح تمامًا.
وقالت ICCA عين خاصة “لقد اتبعت إجراءات سوء السلوك الداخلي عند الضرورة”، بعد أن برأت اللجنة Wytrzyszczewski ووجدت أنه ليس لديها اختصاص للنظر في الأمر.
سألت مجلة Computer Weekly الكلية عن أي من الأسباب الواردة في سياسة سلوك الطلاب الخاصة بها والتي يعتبر Wytrzyszczewski قد تم انتهاكها عندما بدأت إجراءات ضده. وحتى وقت النشر، لم تكن ICCA قد استجابت.
هل نتخلى عن العدالة الطبيعية؟
قال محامي البيانات داي ديفيس لموقع Computer Weekly إن المحكمة الجنائية الدولية للمحكمة الجنائية الدولية قد تخلت عن مبادئ العدالة الطبيعية في الطريقة التي رفعت بها دعاوى سوء السلوك ضد Wytrzyszczewski.
“العدالة الطبيعية [a recognised concept in English Law] وقال: “سيتطلب إبلاغ المدعى عليه في أي إجراءات تأديبية بطبيعة القاعدة المتهم بخرقها”.
“من الواضح أنه بما أن… الكلية لم تكن قادرة على تحديد القاعدة التي كان من المفترض أن يخرقها السيد Wytrzyszczewski، لم يكن أمام المحكمة خيار سوى إقالته”.
قالت ICCA إن ICO اختارت عدم اتخاذ أي إجراء آخر، بعد أن “أبلغت الكلية ذاتيًا” عن تفاصيل حادثة خرق البيانات في أغسطس 2023 والتي أبلغ عنها Wytrzyszczewski معها.
قال آندي راسل، مدير العمليات بالكلية، لـ Computer Weekly: “بينما وجد ICO أن ICCA لم تستجب لطلب الوصول إلى موضوع متصل ضمن الجداول الزمنية القانونية، فقد أكدت أنها لا تنوي اتخاذ أي إجراء آخر بخصوص هذا الأمر.” موضوع.”
وأضاف المحامي ديفيس أن ICCA كانت ملزمة بإحالة نفسها إلى هيئة تنظيمية في الاتحاد الأوروبي نظرًا لأن اللائحة العامة لحماية البيانات في المملكة المتحدة (GDPR) هي تشريعات أوروبية.
وقال: “حقيقة أن الكلية أبلغت نفسها إلى ICO ليست ذات صلة، لأنها كانت ملزمة بذلك”. “ومن المثير للاهتمام أنه كان ينبغي عليها أيضًا أن تبلغ عن نفسها إلى هيئة تنظيمية واحدة على الأقل في الاتحاد الأوروبي، لكنني أتساءل عما إذا كانت قد فعلت ذلك”.
سألت مجلة Computer Weekly ICCA عما إذا كانت قد قدمت تقريرًا ذاتيًا إلى أي من الهيئات التنظيمية في الاتحاد الأوروبي. وحتى وقت النشر، لم يكن هناك أي رد من الكلية.
الشكاوى المعلقة
تحدى Wytrzyszczewski الكلية بشأن البيانات التي أصدرتها حول خرق البيانات في أغسطس 2023 وتتابع المزيد من الشكاوى مع ICO.
في العام الماضي، قدمت ICCA تأكيدات بأنها احتوت الانتهاك الذي حدث في أغسطس 2023.
ومع ذلك، قال Wytrzyszczewski إن الكلية لا يمكنها الحفاظ على هذا نظرًا لوجود حد 90 يومًا لسجلات تدقيق البيانات التي تحتفظ بها، وكانت البيانات المسربة متاحة للعرض على بوابتها الإلكترونية منذ عام 2022.
وقال إن هذا يعني أن الكلية يمكنها البحث عن محاولات الوصول إلى الملفات التي تمت “فقط للفترة بين 18 مايو 2023 و16 أغسطس 2023”. أظهرت هذه السجلات أن سبعة أشخاص على الأقل قد وصلوا إلى الملفات.
يقوم ICO بالتحقيق في العديد من الشكاوى الأخرى التي قدمها Wytrzyszczewski فيما يتعلق بـ ICCA. ومن المفهوم أن ذلك يشمل مشاركة بياناته الصحية الشخصية مع ناشر الكتب طومسون رويترز؛ مشاركة تفاصيل حوالي 350 متقدمًا لدورة ICCA مع Wytrzyszczewski؛ مطالبة Wytrzyszczewski، الذي كان طالبًا سابقًا، بتحديد جميع المستندات التي ربما أرسلتها له خلال 72 ساعة بعد إبلاغه عن خرق البيانات في أغسطس 2023، بدلاً من تحديدها بنفسه؛ إرسال بريد إلكتروني إلى Wytrzyszczewski يحتوي على معلومات حساسة مخصصة لطالب آخر.
أيد ICO شكوى منفصلة مقدمة من Wytrzyszczewski بخصوص الاستجابة المتأخرة لطلب الوصول إلى صاحب البيانات الذي قدمه.
قال Wytrzyszczewski لـ Computer Weekly إنه يشعر بخيبة أمل بسبب قرار ICO بعدم إجراء مزيد من التحقيق في الكلية بشأن خرق البيانات في أغسطس 2023.
وقال: “أشعر بعدم الارتياح إزاء النتائج التي توصلت إليها ICO فيما يتعلق بخرق البيانات الأول من جانب ICCA، لأنني لست متأكدًا مما إذا كانت قد أخذت السياق الكامل لسلوك ICCA في الاعتبار”.
“ومع ذلك، يسعدني أن ICO أيدت بعض الشكاوى الأخرى الخاصة باللائحة العامة لحماية البيانات (GDPR) بعد تاريخ خرق البيانات الأول وأدرك أنهم ما زالوا يحققون في بعض الخروقات الأخرى للقانون العام لحماية البيانات (GDPR) في هذه المرحلة. لم يتم الإبلاغ عن أي من هذه الانتهاكات من قبل ICCA.
وقال: “لقد عهد مئات الطلاب بمعلوماتهم الحساسة إلى ICCA ومن الصواب أن يحاسبهم ICO”.
تم الاتصال بـ ICO للتعليق.