Międzypartyjna grupa posłów, zebrana przez działaczy na rzecz prywatności z Open Rights Group, rzuciła wyzwanie Biuro Rzecznika Informacji (ICO), aby wyjaśnić to, co mówią, że nie egzekwował standardów ochrony danych i pociągnąć rząd do odpowiedzialności za swój program Covid-19 Test and Trace.
Program Test and Trace działa niezgodnie z prawem od samego początku, ponieważ Departament Zdrowia i Opieki Społecznej (DHSC) nie zadał sobie trudu, aby zakończyć obowiązkowa ocena skutków dla ochrony danych (DPIA), zgodnie z zasadami ICO.
Dyrektor wykonawczy Open Rights Group Jim Killlock powiedział, że w sercu ICO jest „coś zepsutego”, co zmusza organizację do tolerowania bezprawnych zachowań rządu Wielkiej Brytanii.
„ICO jest organem publicznym, finansowanym przez podatników i odpowiedzialnym przed Parlamentem. Muszą teraz usiąść, słuchać i działać. Jako regulator, ICO musi zapewnić, że rząd przestrzega prawa. Muszą słuchać lekcji z tego, co się stało z Public Health England. Jedynym sposobem uniknięcia tego losu jest egzekwowanie prawa i właściwe wywiązywanie się z odpowiedzialności prawnej ”- powiedział Killock.
W list otwarty do ICOposłowie wezwali komisarz ds. informacji Elizabeth Denham do „właściwego działania” i zażądali od rządu wprowadzenia zmian w programie Test and Trace, aby wzbudzić zaufanie społeczne, że ich dane są przetwarzane w sposób bezpieczny i legalny.
Posłanka Partii Zielonych Caroline Lucas, jedna z 22 posłów, którzy podpisali list, powiedziała: „Przeprowadzenie oceny ryzyka w zakresie ochrony danych nie jest opcjonalną opcją. Jest to wymóg prawny i jest niezbędny, jeśli ludzie mają być pewni, że gdy przekażą swoje dane do osób kontaktowych, dane te nie zostaną niewłaściwie wykorzystane.
„Przejdziemy przez tę pandemię Covid tylko wtedy, gdy będzie zaufanie do ministrów i wprowadzonych przez nich systemów” – powiedział Lucas. „To zaufanie już się rozciąga. Jeśli ludzie mają mieć zaufanie do systemu Test and Trace, należy przeprowadzić ocenę ryzyka wycieku danych i zastosować środki zapobiegające im. ”
Współsygnatariuszka Daisy Cooper, posłanka z Liberalnych Demokratów i rzecznik partii DCMS, dodała: „Rząd najwyraźniej grał szybko i luźno, wprowadzając środki ochrony danych, które zapewniają ludziom bezpieczeństwo. Opinia publiczna potrzebuje zębatego regulatora danych: ICO musi przestać siedzieć na rękach i zacząć korzystać ze swoich uprawnień – aby ocenić, co należy zmienić i egzekwować te zmiany – aby upewnić się, że rząd wykorzystuje dane ludzi w sposób bezpieczny i legalny. ”
John Nicholson z SNP powiedział: „Słaby regulator, który nie pociąga rządu do odpowiedzialności, zagraża zdrowiu i bezpieczeństwu ludzi w Szkocji i całej Wielkiej Brytanii. Brak zajęcia się kwestiami prywatności zagraża zdrowiu publicznemu. Rząd i ICO muszą potraktować to bardzo poważnie ”.
Toni Vitale, szef ochrony danych w kancelarii JMW, powiedział, że niepowodzenie w przeprowadzeniu DPIA naruszyło NHS i rząd zarówno ogólnego rozporządzenia o ochronie danych (RODO), jak i ustawy o ochronie danych z 2018 r., oraz naraziło NHS na ryzyko podjęcia działań egzekucyjnych i wysokiej grzywny.
„Rząd powiedział, że nie ma dowodów na bezprawne wykorzystanie danych lub jakiekolwiek ryzyko dla osób fizycznych, ale nie mogą tego wiedzieć bez przeprowadzenia oceny skutków dla ochrony danych. Być może jest to kolejny przykład jedno prawo dla rządu, a drugie dla reszty z nas,” powiedział.
„Nie stanowi to dobrego przykładu, zwłaszcza że wiele organizacji przetwarza obecnie dane o swoich pracownikach – a w niektórych przypadkach o klientach – w tym nowe dane o wynikach testu Covid-19. Niektóre z tych organizacji będą musiały przeprowadzić DPIA, a rząd / NHS powinien to zrobić ”- dodał Vitale.
W odpowiedzi na pismo rzecznik ICO powiedział: „Do naszych obowiązków regulacyjnych należy także doradzanie oraz nadzorowanie pracy administratorów danych. Nasze podejście podczas pandemii polegało na udzielaniu porad dotyczących skutków dla ochrony danych szeregu inicjatyw podejmowanych przez rząd Wielkiej Brytanii, NHS, lokalne rady i organizacje sektora prywatnego w odpowiedzi na kryzys zdrowia publicznego.
„Rozumiemy i zdajemy sobie sprawę, że rząd i inne organizacje musiały działać szybko, aby poradzić sobie z sytuacją w nagłych wypadkach zdrowotnych w kraju, a my wyjaśniliśmy ich obowiązki w zakresie ochrony danych oraz zapewniliśmy im wskazówki i wiedzę fachową w odpowiednim tempie. Opublikowaliśmy wiele z tych prac, aby zachować przejrzystość, i będziemy przeprowadzać audyt i badać ustalenia, jeśli to konieczne, aby zapewnić przestrzeganie praw ludzi do informacji.
„Będziemy nadal bronić praw ludzi do informacji i będziemy działać w przypadkach, w których nie stosujemy się do naszych rad i stwierdzamy poważne, systemowe lub niedbałe zachowanie, które zagraża ochronie ludzi”.
Elizabeth Denham, obywatelka Kanady, również spotkała się z krytyką i wzywa do rezygnacji po tym, jak stwierdzono, że pracuje ze swojego domu w Kolumbii Brytyjskiej na zachodnim wybrzeżu Kanady, osiem godzin drogi od Wielkiej Brytanii.
To odkrycie spotkało się ze złością wśród działaczy na rzecz ochrony danych, z których wielu oskarżyło ją o porzucenie swojego stanowiska w kluczowym momencie, chociaż ICO powiedziała, że Denham utrzymuje godziny pracy w Wielkiej Brytanii i ściśle współpracuje ze swoim zespołem. Ma wrócić do Wielkiej Brytanii we wrześniu.
