Podejście Biura Komisarza ds. Informacji (ICO), polegające na nakładaniu kar finansowych wyłącznie na organizacje sektora publicznego „w najpoważniejszych przypadkach”, spotyka się z krytyką działaczy na rzecz ochrony prywatności z Open Rights Group (ORG), którzy twierdzą, że istnieje „pilna potrzeba” sprawdzenia twierdzeń organu regulacyjnego, że kary nie stanowią skutecznego środka odstraszającego dla organów sektora publicznego.
Działacze twierdzą, że podejście ICO polegające na ograniczaniu kar finansowych dla organów sektora publicznego tylko za najpoważniejsze problemy związane z ochroną danych „nie sprawdza się”, ponieważ problemy często utrzymują się długo po podjęciu innych, mniej dotkliwych działań w zakresie egzekwowania prawa.
„W coraz bardziej cyfrowym świecie ochrona danych ma kluczowe znaczenie dla naszego bezpieczeństwa osobistego. Niechęć ICO do podejmowania działań egzekucyjnych w połączeniu z polityką nie rzucania wyzwań organizacjom sektora publicznego tam, gdzie to konieczne, nie sprawdza się” – powiedział dyrektor naczelny ORG Jim Killock.
„Widząc rozwój technologii sztucznej inteligencji i jej zwiększone wykorzystanie przez organizacje sektora publicznego, potrzebujemy surowych przepisów o ochronie danych i silnego organu regulacyjnego, który będzie pierwszą linią obrony brytyjskiego społeczeństwa”.
W lipcu 2022 r. ICO przyjęła „zmienione” dwuletnie próbne podejście do współpracy z władzami publicznymia komisarz John Edwards w liście otwartym argumentował, że kary są nieskuteczne w zapewnianiu przestrzegania ochrony danych, ponieważ pośrednio karzą ofiary naruszeń danych „w postaci zmniejszonych budżetów na najważniejsze usługi”.
Następnie w lipcu 2024 r. ICO opublikowało swoje Raport roczny i sprawozdania finansowe na rok budżetowy 2023–24w którym organ regulacyjny danych dokonuje przeglądu swoich wyników w tym okresie. Pokazuje, gdzie ICO przeprowadziła dochodzenia w organach publicznych i prywatnych oraz jaki odsetek tych dochodzeń zakończyło się nagany, zawiadomienia o wykonaniu (które zobowiązują odbiorców do zmiany praktyk dotyczących danych), lub kary.
W zakresie swoich działań przeciwko organom sektora publicznego w związku z naruszeniami ochrony danych ICO nałożyła jedną grzywnę (na Ministerstwo Obrony w związku z wyciekiem danych, w wyniku którego ujawniono tożsamość 245 Afgańczyków), dwa zawiadomienia o egzekwowaniu prawa (jedno dotyczące utraty kontroli nad dziećmi akta sprawy o nadużycia w Prokuraturze Koronnej i jedna przeciwko Ministerstwu Spraw Wewnętrznych za oznaczanie uchodźców GPS) i 28 nagan.
Przykłady takich nagan obejmują: Policja w Thames Valley za ujawnienie adresu świadka podejrzanym o popełnienie przestępstwaco zmusiło tę osobę do przeprowadzki; po jednym na rzecz Szpitala Uniwersyteckiego w Derby i Burton NHS Trust za nieterminowe przetwarzanie danych pacjentów ambulatoryjnych, co opóźniło leczenie niektórych pacjentów nawet o dwa lata; i jedno dla policji w West Midlands w związku z wieloma incydentami, w których pomyłka w danych oznaczała, że funkcjonariusze udali się pod niewłaściwe adresy.
Inne przykłady obejmują dwie nagany dla Ministra Sprawiedliwości, jedną za ujawnienie szczegółów adopcji wbrew instrukcjom sądu, a drugą za pozostawienie czterech worków poufnych odpadów w niezabezpieczonym pomieszczeniu więzieniado którego dostęp mieli zarówno więźniowie, jak i personel.
Biorąc pod uwagę liczbę nagan udzielonych za wyraźnie szkodliwe praktyki dotyczące danych w porównaniu z niewielką liczbą grzywien i zawiadomień o egzekwowaniu prawa, ORG wzywa ICO do wykorzystania swoich pełnych uprawnień wobec organizacji sektora publicznego, w tym, w razie potrzeby, nakazów egzekwowania prawa i kar pieniężnych.
„Computer Weekly” skontaktował się z ICO w sprawie analizy i argumentów ORG i został skierowany do: Oświadczenie ICO w sprawie swojego podejścia do sektora publicznego z czerwca 2024 r.
„Chociaż w stosownych przypadkach w dalszym ciągu nakładaliśmy kary na organy publiczne, korzystaliśmy również z innych naszych narzędzi regulacyjnych, aby zapewnić właściwe przetwarzanie informacji obywateli i nie odprowadzanie pieniędzy tam, gdzie są najbardziej potrzebne” – stwierdzono.
„Przeanalizujemy teraz dwuletni okres próbny, zanim jesienią podejmiemy decyzję w sprawie podejścia do sektora publicznego. W międzyczasie będziemy nadal stosować to podejście do naszych działań regulacyjnych w odniesieniu do organizacji sektora publicznego.”
W dniu 20 listopada 2022 r., w nawiązaniu do egzekwowania prawa przez ICO w sektorze prywatnym, komisarz ds. informacji John Edwards powiedział „Czasy”. że wysokie kary finansowe często nakładane przez europejskie organy regulacyjne zwykle skutkują długimi sporami prawnymi, które mogą wyczerpać zasoby organów regulacyjnych i ostatecznie osłabić ich zdolność do egzekwowania znaczących zmian.
„Nie sądzę, że ilość lub wysokość kar jest wyznacznikiem ich wpływu” – stwierdził. „Wiesz, dostają wiele nagłówków gazet. Zestawienie tabel rankingowych jest łatwe, ale tak naprawdę nie sądzę, że to podejście musi mieć największy wpływ.
Dodał, że ICO woli współpracować z firmami, aby zachęcać do przestrzegania przepisów, zamiast nakładać kary warte setki milionów funtów.
„Nagany nie są wystarczająco dobre”
Według analizy ORG najnowszego raportu rocznego ICOprzypadki działań w zakresie egzekwowania prawa, które miały miejsce, pokazują wagę nieprawidłowych praktyk w sektorze publicznym w zakresie danych oraz że niewiele jest dowodów na to, że nagany prowadzą do rzeczywistych zmian pomimo zwiększonego polegania na nich.
„ICO powinna wykorzystywać pełny zakres swoich uprawnień w zakresie egzekwowania prawa w sektorze publicznym – do czasu i chyba że będzie w stanie udowodnić, że alternatywne podejścia skutkują znaczną poprawą zgodności z przepisami w zakresie ochrony danych”, stwierdziła ORG w jednym ze swoich zaleceń dla ICO.
Dodał, że organ regulacyjny powinien opublikować „wszystkie dowody wynikające z dwuletniego „próbnego podejścia do sektora publicznego”, w ramach którego organizacje sektora publicznego zostały ukarane grzywną jedynie w ostateczności” oraz że po tym powinien nastąpić niezależny audyt przeprowadzony zewnętrznie w celu potwierdzenia ustalenia.
ORG dodał ponadto, że należy wprowadzić poprawki do propozycji nowego rządu laburzystów Ustawa o wykorzystaniu i dostępie do danych (DUAB), tak aby ICO miało zakaz wydawania więcej niż jednej nagany organizacji: „Każde kolejne naruszenia powinny skutkować eskalacją działań – a nie dodatkowymi „ostatecznymi naganami”, które podważają założenia początkowej nagany i mają niewielki wpływ wpływ na zachowanie.”
Należy ponadto zmienić dyrektywę DUAB, tak aby wymagała od ICO publikowania tabeli porównawczej wyników wniosków o dostęp podmiotowy (SAR) organów sektora publicznego, tak aby organizacje, które konsekwentnie nie odpowiada w ustawowych terminach mogą być traktowane priorytetowo w przypadku działań egzekucyjnych.
„SAR są ważnym narzędziem zapewniającym prywatność i bezpieczeństwo osób fizycznych” – stwierdzono. „Jednak od 2018 r. ICO bezskutecznie próbuje nakłonić trzy władze do uporania się z zaległościami w zakresie SAR. W tym roku, sześć lat po tym, jak problem wyszedł na jaw, Rada Miasta Plymouth, policja Devon i Kornwalii oraz policja w Dorset otrzymały „ostateczną naganę”.
W tym roku po raz pierwszy ICO opublikowało liczbę nagan w raporcie rocznym, do czego zobowiązało się w grudniu 2022 r. po wniosku o dostęp do informacji złożonym przez Jona Bainesa – starszego specjalistę ds. ochrony danych w kancelarii prawnej Mishcon de Reya – ujawnił organ regulacyjny nie ujawnił większości z 42 nagan, jakie udzielił organom sektora publicznego w okresie od maja 2018 r. do listopada 2021 r.
W następstwie wniosku Bainesa o udzielenie informacji z czerwca 2022 r. w związku z wnioskiem o udzielenie informacji, w wyniku którego od listopada 2021 r. udzielono kolejnych 15 nagan, które do tego momentu nie zostały publicznie ujawnione.