VB: Kazen za Ministrstvo za obrambo
Britanski nadzorni organ za varstvo podatkov (ICO) je ministrstvu izrekel globo v višini 350.000 funtov zaradi kršenja varnosti podatkov pri evakuaciji iz Afganistana, ki bi lahko pripeljala do ogrožanja življenj.
Odločitev je bila objavljena 13. decembra 2023.
ICO je Ministrstvo za obrambo kaznoval zaradi razkritja osebnih podatkov ljudi, ki so iskali umik v Združeno kraljestvo kmalu po tem, ko so talibani prevzeli nadzor nad Afganistanom leta 2021.
Septembra 2021 je ministrstvo poslalo e-pošto s seznamom afganistanskih državljanov, upravičenih do evakuacije, z uporabo polja »Za«, pri čemer so bili nenamerno razkriti osebni podatki 245 posameznikov. Naslovi e-pošte so bili vidni vsem prejemnikom, 55 od njih je imelo tudi slike na svojih e-poštnih profilih. Dve osebi sta odgovorili vsem prejemnikom, pri čemer je ena od njih navedla svojo lokacijo.
Izvirno e-pošto je poslala ekipa, odgovorna za politiko premestitve in pomoči Afganistanu v Združenem kraljestvu (ARAP), ki je odgovorna za pomoč pri selitvi afganistanskih državljanov, ki so delali za ali sodelovali z britansko vlado v Afganistanu. Če bi prišli v roke talibanom, bi razkriti podatki lahko ogrozili življenja.
Kmalu po kršitvi varnosti podatkov je ministrstvo stopilo v stik s posamezniki, ki so bili prizadeti, jih prosilo, naj izbrišejo e-pošto, spremenijo svoj e-poštni naslov in ARAP ekipi sporočijo svoje nove kontaktne podatke prek varnega obrazca. Ministrstvo je prav tako izvedlo notranjo preiskavo, dalo izjavo o kršitvi podatkov v parlament in posodobilo e-poštne politike in postopke ARAP, vključno z izvajanjem politike "drugega para oči" za ekipo ARAP pri pošiljanju e-pošte več zunanjim prejemnikom. Tak postopek omogoča dvojno preverjanje, pri čemer en zaposleni preveri e-pošto, ki jo je pripravil drugi.
Po zakonu o varstvu podatkov morajo organizacije implementirati ustrezne tehnične in organizacijske ukrepe, da preprečijo neprimerno razkritje osebnih podatkov. Smernice ICO jasno navajajo, da bi morale organizacije uporabljati storitve masovnega pošiljanja e-pošte, združevanja e-pošte ali varne storitve prenosa podatkov pri pošiljanju občutljivih osebnih podatkov v elektronski obliki. Ekipa ARAP teh ukrepov v času incidenta ni uporabljala in se je zanašala na "slepo kopijo" (BCC), kar predstavlja veliko tveganje za človeške napake.
Podrobna preiskava je pokazala, ministrstvo za obrambo kršilo britanski zakon o varstvu podatkov (UK GDPR) med avgustom in septembrom 2021, ker ni implementiralo ustreznih tehničnih in organizacijskih ukrepov. Poleg incidenta 20. septembra 2021 je notranja preiskava ministrstva za obrambo razkrila dva podobna primera kršitve varnosti podatkov, in sicer 7. septembra 2021 z vključitvijo 13 posameznih e-poštnih naslovov ter 13. septembra 2021 z vključitvijo 55 posameznih e-poštnih naslovov - v obeh primerih z uporabo polja 'Za'. V nekaterih primerih je bil vključen isti e-poštni naslov, zato je skupno število razkritih edinstvenih e-poštnih naslovov znašalo 265.
Preiskava ICO je ugotovila, da ministrstvo za obrambo ob času kršitve ni imelo operativnih postopkov za ekipo ARAP, da bi zagotovila, da se skupinske e-pošte varno pošiljajo afganistanskim državljanom, ki iščejo selitev. Osebje, ki se je pridružilo ekipi ARAP, se je moralo zanašati na širšo e-poštno politiko ministrstva za obrambo in niso prejeli posebnih smernic o varnostnih tveganjih pošiljanja skupinskih e-poštnih sporočil pri komunikaciji z občutljivimi informacijami.
John Edwards, britanski pooblaščene je pri tem navedel: "Ta zelo obžalovanja vredna kršitev varnosti podatkov je na cedilu pustilo tiste, ki jim naša država toliko dolguje. To je bila še posebej groba kršitev obveze varnosti, ki jo dolgujemo tem ljudem, zaradi česar je finančna kazen, ki jo je moj urad danes naložil, upravičena. Čeprav je bila situacija na terenu poleti 2021 zelo zahtevna in so se odločitve sprejemale hitro, to ni izgovor za ne-zaščito osebnih podatkov tistih, ki bi lahko bili tarče maščevanja in v resnični nevarnosti. Ko se raven tveganja in nevarnosti za ljudi poveča, se mora enako povečati tudi odziv."
Predstavnik Ministrstva za obrambo je dejal: "Ministrstvo za obrambo izjemno resno jemlje svoje obveznosti varstva podatkov. Obsežno smo sodelovali nadzornim organom med njihovo preiskavo, da bi zagotovili hitro rešitev, ter priznavamo resnost dogodka. Popolnoma se strinjamo z današnjo odločitvijo in se opravičujemo prizadetim. Uvedli smo več ukrepov za izpolnitev priporočil ICO in bomo v prihodnosti delili dodatne podrobnosti o teh ukrepih."
Ob upoštevanju stališča ministrstva za obrambo, da upošteva ukrepe, ki jih je ministrstvo za obrambo sprejelo po incidentu, in priznava pomembne izzive, s katerimi se je soočala ekipa ARAP, je bila kazen zmanjšana z začetnih 1.000.000 funtov na 700.000 funtov. Z upoštevanjem ICO pravil za javni sektor je bila kazen dodatno zmanjšana na 350.000 funtov. Ta kazen služi kot odvračilni ukrep pred kršitvami varnosti podatkov, zagotavljajoč, da imajo tako ministrstvo za obrambo kot tudi druge organizacije ustrezne politike in usposabljanja, da zmanjšajo tveganje neustreznega razkritja informacij ljudi prek e-pošte.
Celoten članek je dostopen tukaj.
Vir: ICO
