Надзорный орган Великобритании по защите данных оштрафовал полицию Шотландии (Police Scotland) на 66 000 фунтов стерлингов (88 000 долларов США) за то, что ведомство назвало «серьезным упущением» при обработке конфиденциальных данных предполагаемой жертвы.
Управление комиссара по информации (ICO) заявило, что решение полиции Шотландии, второй по величине полицейской структуры в Великобритании, о полном извлечении всего содержимого мобильного телефона лица, сообщившего о преступлении, было «чрезмерным и несправедливым».
Полиции Шотландии необходимо было извлечь текстовые сообщения между заявительницей, женщиной, и предполагаемым правонарушителем, мужчиной, в рамках расследования инцидента 2021 года, в котором были замешаны двое сотрудников полиции Шотландии.
Однако, согласно уведомлению о выговоре и штрафе [PDF] ICO, старший следователь оправдал полное извлечение данных как соразмерное делу и отвечающее интересам скорейшего возврата устройства.
Это привело к получению полицией «значительного объема» крайне конфиденциальной информации от жертвы, включая набор данных особой категории, тип которых был отредактирован в официальных документах.
Данные особой категории — это широкий термин, охватывающий такие вопросы, как религия, этническое происхождение, политические взгляды, генетические и биометрические данные, состояние здоровья, половая жизнь и сексуальная ориентация.
Учитывая, что в деле фигурировали двое сотрудников полиции, вопрос был передан в отдел профессиональных стандартов (PSD) управления для рассмотрения. PSD получил все документы, касающиеся дела, включая полную выгрузку, полученную в результате полного извлечения данных с телефона.
PSD установил, что сотрудник полиции, обвиняемый в неразглашенном правонарушении, возможно, совершил грубый проступок, и направил дело на последующее слушание.
В рамках этого обвиняемому сотруднику полиции была направлена копия документов по результатам рассмотрения PSD, по ошибке включавшая полные данные с телефона предполагаемой жертвы и все сопутствующие данные особой категории.
В сентябре 2022 года предполагаемая жертва пожаловалась в ICO на инцидент и на то, что полиция Шотландии не предоставила ей сведений о том, какая информация была ошибочно передана в рамках слушания по делу о проступке.
ICO сообщило полиции Шотландии о начале расследования в мае 2023 года. Полиция Шотландии ответила, что пересмотрела свои процедуры и предприняла шаги, чтобы предотвратить повторение той же ошибки.
Комиссар по информации Джон Эдвардс в конечном итоге решил, что полиция Шотландии нарушила Закон о защите данных 2018 года, не обеспечив законность массового сбора данных и адекватность их обработки.
Эти упущения, согласно разделам 35 и 37 DPA 2018, стали двумя причинами штрафа, хотя расследование ICO выявило и множество других проблем, связанных с техническими мерами и обработкой данных.
Полиция Шотландии также не сообщила о случившемся в установленный 72-часовой срок после того, как узнала об ошибке с данными.
ICO заявило, что размер штрафа был определен после взвешивания серьезности дела и готовности избежать нанесения ущерба государственным службам.
Салли-Энн Пул, глава отдела расследований ICO, заявила: «По своей сути, защита данных касается людей, и этот инцидент является ярким примером разрушительных последствий плохой практики защиты данных для отдельных лиц.
«Полиция Шотландии не выполнила свое обязательство по защите личной информации человека, который обратился к ним за помощью. Вместо этого они подвергли этого человека дополнительному риску и стрессу, раскрыв крайне чувствительную информацию третьей стороне.
«Люди должны иметь возможность доверять тому, что организации будут обращаться с их личной информацией бережно, справедливо и с уважением. Когда организации этого не делают, они могут ожидать от нас мер принудительного воздействия».”
Алан Спирс, заместитель главного констебля, сообщил The Register: «Полиция Шотландии получила уведомление о выговоре и штрафе от Управления комиссара по информации и обдумала его выводы. Мы признаем, что организация не соответствовала ожиданиям и нормативным требованиям в отношении обработки данных по данному вопросу. Мы также принесли извинения тем, кто был вовлечен в эту ситуацию.
«Полиция Шотландии извлекла организационные уроки из этого инцидента. Уже предприняты существенные шаги для укрепления наших процедур обработки персональных данных, улучшения обучения и поддержки персонала, а также усиления надзора для снижения риска повторения подобного в будущем».”
The Register запросил у ICO и полиции Шотландии дополнительную информацию о характере уголовного расследования и случаев грубого проступка, которые легли в основу штрафа.
ICO отказалось от дальнейших комментариев.
Представитель полиции Шотландии в последующем заявлении сообщил крайне мало: «Отчет, описывающий уже проведенные расследования и запрашивающий дальнейшие указания, был представлен в Офис Короны и Прокуратуру».
Шотландское новостное издание The Courier сообщило, что внутреннее дело касалось предполагаемого изнасилования, а интимные изображения жертвы были переданы ее предполагаемому насильнику. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
