يتعرض نهج مكتب مفوض المعلومات (ICO) المتمثل في فرض غرامات على مؤسسات القطاع العام فقط “في الحالات الأكثر خطورة” لانتقادات شديدة من نشطاء الخصوصية في مجموعة الحقوق المفتوحة (ORG)، الذين يقولون إن هناك “حاجة ملحة” لاختبار ادعاءات الهيئة التنظيمية بأن ولا تعمل الغرامات كرادع فعال لهيئات القطاع العام.
يقول الناشطون إن نهج ICO المتمثل في تقييد الغرامات على هيئات القطاع العام فقط فيما يتعلق بقضايا حماية البيانات الأكثر خطورة هو “لا يعمل”، لأن المشاكل غالبًا ما تستمر لفترة طويلة بعد اتخاذ إجراءات إنفاذ أخرى أقل خطورة.
“في عالم رقمي متزايد، تعد حماية البيانات أمرًا حيويًا لأمننا الشخصي. وقال جيم كيلوك، الرئيس التنفيذي لشركة ORG، إن إحجام ICO عن اتخاذ إجراءات إنفاذية، إلى جانب سياستها المتمثلة في عدم تحدي مؤسسات القطاع العام عند الحاجة، لا ينجح.
“بينما نرى تطور تكنولوجيا الذكاء الاصطناعي واستخدامها المتزايد من قبل مؤسسات القطاع العام، نحتاج إلى قوانين قوية لحماية البيانات وهيئة تنظيمية قوية تعمل كخط الدفاع الأول للجمهور البريطاني.”
في يوليو 2022، اعتمد ICO نهجًا تجريبيًا “منقحًا” لمدة عامين للعمل مع السلطات العامة، حيث جادل المفوض جون إدواردز في رسالة مفتوحة بأن الغرامات غير فعالة في ضمان الامتثال لحماية البيانات بسبب كيفية معاقبة ضحايا خروقات البيانات بشكل غير مباشر “في شكل ميزانيات مخفضة للخدمات الحيوية”.
في يوليو 2024، نشر الطرح الأولي للعملة (ICO) تقريره التقرير السنوي والبيانات المالية للسنة المالية 2023-24، حيث يقوم منظم البيانات بمراجعة أدائه خلال تلك الفترة. ويبين أين قامت ICO بالتحقيق مع الهيئات العامة والخاصة، ونسبة هذه التحقيقات التي أسفرت عنها التوبيخ, إشعارات التنفيذ (التي تلزم المستلمين بتغيير ممارسات البيانات الخاصة بهم)، أو الغرامات.
فيما يتعلق بالإجراءات التي اتخذها ضد هيئات القطاع العام بسبب انتهاكات حماية البيانات، أصدر مكتب المباحث الجنائية غرامة واحدة (إلى وزارة الدفاع بسبب تسرب البيانات الذي كشف هويات 245 أفغانيًا)، وإخطارين بالإنفاذ (أحدهما يتعلق بفقدان السيطرة على الأطفال) ملفات قضية إساءة الاستخدام في النيابة العامة، وأخرى ضد وزارة الداخلية بسبب وضع علامات GPS على اللاجئين)، و28 توبيخًا.
تتضمن أمثلة هذا التوبيخ واحدًا لـ شرطة وادي التايمز لكشفها عن خطاب شهود لمجرمين مشتبه بهممما اضطر الشخص إلى الانتقال من منزله؛ وواحدة لمستشفى جامعة ديربي وبورتون NHS Trust لفشلها في معالجة بيانات المرضى الخارجيين في الوقت المناسب، مما أدى إلى تأخير العلاج الطبي لبعض المرضى لمدة تصل إلى عامين؛ وواحدة لشرطة ويست ميدلاندز بسبب حوادث متعددة حيث أدى اختلاط البيانات إلى حضور الضباط للعناوين الخاطئة.
وتشمل الحالات الأخرى توبيخين لوزارة العدل، أحدهما بسبب الكشف عن تفاصيل التبني ضد تعليمات المحكمة، والآخر بسبب الكشف عن تفاصيل التبني ضد تعليمات المحكمة. ترك أربعة أكياس من النفايات السرية في منطقة احتجاز غير آمنة في السجنوالتي يمكن لكل من السجناء والموظفين الوصول إليها.
نظرًا لعدد التوبيخات التي تم إصدارها بسبب ممارسات البيانات الضارة بشكل واضح مقارنةً بالعدد المنخفض من الغرامات وإشعارات التنفيذ، فإن ORG تدعو ICO إلى استخدام صلاحياتها الكاملة ضد مؤسسات القطاع العام، بما في ذلك إشعارات التنفيذ والغرامات عند الضرورة.
اتصلت مجلة Computer Weekly بـ ICO بشأن تحليل ORG وحججها، وتم توجيهها إلى أحد بيان ICO على نهج القطاع العام اعتبارًا من يونيو 2024.
وقالت: “بينما واصلنا إصدار غرامات على الهيئات العامة عند الاقتضاء، فإننا نستخدم أيضًا أدواتنا التنظيمية الأخرى لضمان التعامل مع معلومات الأشخاص بشكل مناسب وعدم تحويل الأموال بعيدًا عن المكان الذي تشتد الحاجة إليه”.
“سنقوم الآن بمراجعة التجربة التي تستغرق عامين قبل اتخاذ قرار بشأن نهج القطاع العام في الخريف. وفي غضون ذلك، سنواصل تطبيق هذا النهج على أنشطتنا التنظيمية فيما يتعلق بمؤسسات القطاع العام.
في 20 نوفمبر 2022، في إشارة إلى إنفاذ الطرح الأولي للعملة في القطاع الخاص، قال مفوض المعلومات جون إدواردز الأوقات أن العقوبات المالية الكبيرة التي تصدرها الهيئات التنظيمية الأوروبية غالبا ما تؤدي إلى معارك قانونية مطولة، وهو ما قد يستنزف موارد الهيئات التنظيمية ويضعف في نهاية المطاف قدرتها على فرض تغييرات ذات معنى.
وقال: “لا أعتقد أن مقدار أو حجم الغرامات هو مؤشر على التأثير”. “كما تعلمون، فإنهم يحصلون على الكثير من العناوين الرئيسية. من السهل تجميع جداول الترتيب، لكنني في الواقع لا أعتقد أن هذا النهج هو بالضرورة النهج الذي له التأثير الأكبر.
وأضاف أن ICO يفضل التعامل مع الشركات لتشجيع الامتثال بدلاً من إصدار غرامات تبلغ قيمتها مئات الملايين من الجنيهات.
“التوبيخ ليس كافيا”
وفقًا لتحليل ORG للتقرير السنوي الأخير لـ ICOومع ذلك، فإن حالات إجراءات الإنفاذ التي تم اتخاذها تظهر مدى خطورة الممارسات الخاطئة في مجال البيانات في القطاع العام، وأنه لا يوجد سوى القليل من الأدلة التي تؤدي إلى التوبيخ الذي يؤدي إلى تغيير حقيقي على الرغم من الاعتماد المتزايد عليها.
قالت ORG في إحدى توصياتها لـ ICO: “يجب على ICO استخدام النطاق الكامل لسلطاتها التنفيذية في القطاع العام – حتى وما لم تتمكن من إثبات أن الأساليب البديلة تؤدي إلى تحسن كبير في الامتثال لحماية البيانات”.
وأضافت أن الهيئة التنظيمية يجب أن تنشر “جميع الأدلة الناتجة عن “تجربة نهج القطاع العام” التي استمرت عامين حيث تم تغريم مؤسسات القطاع العام فقط كملاذ أخير”، وأنه يجب متابعة ذلك من خلال تدقيق مستقل يتم إجراؤه خارجيًا للتحقق من صحة النتائج.
وأضاف ORG كذلك أنه يجب أن تكون هناك تعديلات على مقترح حكومة العمال الجديدة استخدام البيانات وفاتورة الوصول (DUAB)، بحيث يُمنع ICO من إصدار أكثر من توبيخ واحد لمنظمة ما: “يجب أن تؤدي أي انتهاكات لاحقة إلى تصعيد العمل – وليس “التوبيخ النهائي” الإضافي الذي يقوض فرضية التوبيخ الأولي وليس له سوى القليل التأثير على السلوك.”
يجب أيضًا تعديل DUAB ليطلب من ICO نشر جدول دوري لأداء طلب الوصول إلى الموضوع (SAR) الخاص بهيئات القطاع العام، حتى تتمكن المنظمات التي تفشل باستمرار في الاستجابة ضمن الإطار الزمني القانوني يمكن إعطاء الأولوية لإجراءات الإنفاذ.
وقالت: “تعتبر SARs وسيلة مهمة لضمان خصوصية الأفراد وسلامتهم”. “ومع ذلك، منذ عام 2018، يحاول ICO أيضًا إقناع ثلاث سلطات بالتعامل مع أعمال البحث والإنقاذ المتراكمة الخاصة بهم دون نجاح. هذا العام، بعد ست سنوات من ظهور المشكلة لأول مرة، تلقى كل من مجلس مدينة بليموث، وشرطة ديفون وكورنوال، وشرطة دورست، “توبيخًا نهائيًا”.
يمثل هذا العام المرة الأولى التي يتم فيها نشر عدد التوبيخات من قبل ICO في تقرير سنوي، وهو ما التزمت بالقيام به في ديسمبر 2022 بعد طلب حرية المعلومات من جون بينز – أحد كبار المتخصصين في حماية البيانات في شركة المحاماة Mishcon de Reya – مكشوف فشلت الهيئة التنظيمية في الكشف عن غالبية التوبيخات الـ 42 التي أصدرتها لهيئات القطاع العام بين مايو 2018 ونوفمبر 2021.
وجدت متابعة حرية طلب المعلومات من بينز اعتبارًا من يونيو 2022 15 توبيخًا آخر منذ نوفمبر 2021 لم يتم الكشف عنها علنًا حتى تلك اللحظة.
