英国警方非法处理超过365百万人的数据
在英国的警察部队被指控非法处理人们在微软365云生产力平台内的个人数据,在部署技术之前未能进行所需的数据保护检查,已经找到了计算机每周调查。
30警察部队涉及全国援助365(M365)的国家推出,作为国家有利计划(NEP)的一部分,该计划于2017年由国家警察委员会“理事会(NPCC)和警察协会和警察协会”犯罪委员(APCC)向Spearhead提供支持的新云的方式为警方工作。
根据从NPCC获得的PS,基于Microsoft云的平台将存储和处理超过100万英国公民的个人数据,其中许多易受伤害或面临风险。
本办事处批准并通过其警方转型基金支持,该计划是履行政策愿景2025战略的核心要素,并涉及NEP团队与警察ICT公司合作开发国家技术投资和数据标准的国家方法。
自2017年9月以来,NEP的M365推出已经进行,但计算机每周提交的信息(FOI)请求的自由显示国家推出涉及国家推出的各种武力,除了肯特之外,还尚未进行数据保护在部署之前法律要求的影响评估(DPIA)发生。
此外,该倡议的30名警察部队中的29条证实,他们在微软的合同或条款和条件上持有“无信息”。
尽管如此,根据NEP Blogpost的说法,英国近三分之一的警察部队已经实现了全面推出M365的要求,并且英格兰和威尔士的所有力量现在签署了该计划。
NEP每周告诉计算机,一旦M365达到了推出阶段,预计所有力量都会完成DPIA,但立法很清楚,必须在实施之前进行评估。
未能完成DPIA将警察部队造成任何发现其个人数据已被非法处理的人员发起的百分比罚款的风险。数据保护专家甚至表明风险缺乏DPIA可用于破坏法院提出的证据。
在引入2018年数据保护法案(DPA)之前,警察部队的数据处理受到1998年的1998年版DPA(DPA 98)的管辖,这为公民提供了更有限的个人数据权限,并允许执法数据,尽管它的敏感性,但基本上与其他形式的数据相同的方式处理和处理。
警察IT和DPA 2018之前的数据共享
2004年,Bichard Quisiry得出结论,英国的43项政策部队需要一种统一的方法,以便他们使用的IT系统。
从2007年4月开始,新警察技术的国家发展,实施和标准化是国家警务改善机构(NPIA)的责任,建立了首席警务人员协会(ACPO)的建议。NPIA集中创建并维持了大约35个国家系统,以促进部队与数十个外部合作伙伴组织之间的数据分享。
这些独特的警察系统通常在英国数据中心(由沃达丰和徽标等IT提供者,或由特定力量和NPIA本身)托管,这意味着通过封闭网络完成的任何数据都是由英国定义的访问警方作为一个社区。
然而,当NPIA于2012年卷起来时,其大部分IT职能和责任被转移到本办公室,该办公室现在监督大多数国家警察的交付和承包。
它还将项目和倡议分配给警察部队的资金,负责制定和衡量国家监管政策,以获取信息保证和安全。
然而,到2015年11月,本办事处在其对政府2013年云首次任务的解释的结果中,采取了一致的努力,通过解释政府的2013年云首次任务,这只是需要云解决方案以前进行考虑和评估采购过程中的其他替代方案。迁移到基于云的服务也被视为更便宜的托管选择。
旨在减少托管成本的愿望最终导致了采购“现货”商业技术的转变,这是由涉及NEP计划中涉及的许多组织和辛勤化的方法。
到2020年2月,这个职位进入了2020 - 2013年的国家警务数字战略,呼吁下一个十年的“技术蓝图”,避免“创造定制解决方案,支持商业现货应用” 。
然而,由于DPA 2018年5月在2018年5月生效,执法实体首次拥有各部门的数据保护规则,提出质疑高级警察的假设,如达伦·斯库纳州的LinkedIn Post所示,遇见警察技术官员,“有关于警察使用数据的真正新的或独特问题很少”。
然而,根据DPA 2018的条款,警察部队有义务进行数据保护影响评估,并确保处理人员在将国际上转移到第三国之前寻求许可。
它们还必须确保服务提供商维护其处理活动的日志,以及咨询日志,以建立用户已查看特定数据的原因。
DPA进一步决定,每个警察队都必须遵守何种尽职调查,以确保其个人数据处理符合该法,而且他们还必须能够展示这一遵守情况。
为此,每个力必须确保以书面形式和Microsoft(数据处理器)之间的书面合同列出了处理的详细信息,包括其持续时间,它的性质以及所涉及的个人数据的类型和类别。有效,合同或服务条款必须明确于如何满足DPA要求。
通过在采用这些公共云服务之前未正确进行他们的尽职调查,实施M365的警察部队本可以将这些数据受试者敞开了许多风险。
这些包括将数据转移到具有较低数据保护的司法管辖区,例如,将个人信息暴露于微软员工,美国政府或其他第三方的风险,以及无法行使其纠正,擦除和不受自动化决策。
什么计算机在烟草中问道
计算机每周要求警察部队参与了NEP的M365滚动了一些问题,以确定他们是否确实进行了法律要求的必要尽职调查。
具体而言,计算机每周问:
部队是否进行了自己的DPIAS;是否具有Microsoft的合同和/或条款和条件(T&CS)确保服务提供商维护了许多处理操作的日志 - 包括收集,更改,咨询,披露(包括转移),组合和擦除;以及这些合同或T&CS是否明确服务提供商有咨询日志,为用户查看特定数据的原因来建立理由。计算机每周还询问他们是否要求处理器在将数据转移到第三个国家之前寻求和接收许可,以便进行每个特定的转移,以及他们要求在英国存储和处理数据。
虽然最后一个问题没有提到正式的法律要求,但它反映了操作流程现实,因为除非满足四条转移条件,否则数据不应转移到另一个管辖权。
在审查计算机每周代表计算机时,熟悉政策的数据保护专家和律师表示,他们已经提出了通过基于云的Microsoft Businessive Suite运行人们个人数据的警察部队的合法性。
具体而言,他们质疑所涉及的警察部队是否正在提前确保他们的部署符合DPA 2018的第三部分 - 其中首先是通过执法实体处理个人数据的具体法定规则。
独立隐私顾问欧文讲话者在交付国家警务系统中有超过20年的经验,表示,尽管两年前生效,但这种政策特定的数据保护立法的复杂性意味着仍然相对较少目前与之合作的律师和专家。
“乍一看,它类似于更常见的一般数据保护规则[GDPR],但在实践中有明显达成不同的义务,”他说。
“许多关于该计划工作的技术证书,承诺和运营经验并不是问题,也不是Microsoft技术的内在能力,也不是它被认为带来警务的内在能力。
“相反,似乎已经存在近乎总共失败的人,以完全理解,并考虑在他们签约的方式中使用这些技术的法律影响,或者进行合法要求的勤奋。”
叫声的人补充说,“无所事事”将迫在眉睫的力量将继续违反法律,而公众成员可能不接受“秉承一些法律,警方正在选择蔑视保护他们的个人数据的人”。
信息专员办公室(ICO)最初会寻求咨询非兼容组织的问题,并建议他们如何解决它,可以发布两层货币惩罚,未能遵守DPA 2018的第三部分 - a “标准最大”大约为900万英镑或2%的年度营业额,或年营业额1800万英镑或4%的“最高最大值”。在这两种情况下,违规组织将被罚款,无论金额更高。
但要达到这个阶段,ico需要从认为他们的数据被非法处理的人那里得到投诉。这是他们只能知道是否已经造成了伤害的东西,或者他们否则提交了一个主题访问请求(SAR),以了解警察部队持有的数据。
如果一个人相信他们的数据权利被违反,其他公寓就是法院,这与ICO不同,如果起诉成功,将能够奖励赔偿。
为了回应计算机每周的问题,尼泊尔发言人表示:“英国警务需要在我们拥抱新技术的方式中更聪明,与更广泛的公共部门和符合政府的战略 - 我们正在采用”云首先“的方法。
“部队与合作伙伴之间的快速,安全和比例分享对调查犯罪并使人们免受伤害至关重要。保护公众是我们的优先事项,云技术为在曾经复杂的威胁中的历史上提供最有效的警务解决方案。
“已经评估了所有潜在的提供商,微软被选为我们的首选供应商。
“我们接受有与云存储相关的风险,就像在辛勤警察场所的服务器上拿着数据一样。任何潜在的风险都与机会均衡,以更好地保护公众。而且,与所有风险一样,他们通过在国家和地方层面的适当和适应的保障方面不断评估和管理。
“我们一直在举行法律咨询和磋商,并在该计划的整个生命中与ICO进行磋商,以确保我们在所有现行立法中工作。
“我们已经开发出一个国家DPIA模板,在他们的组织中推出Microsoft 365产品后,部队将在本地方便。滚出始于10月,并将在明年的过程中运行。
“随着这项技术不断发展,NEP通过许多工作组通过各种力量和微软之间的持续对话和学习。”
与隐私影响评估(PIAS)不同,这是在以前的立法下,DPIA现在是强制性的,并因此需要更广泛地评估对公民的权利和利益的不利影响潜力,涉及确定和减轻的额外措施风险。
由于从PIA到DPIA的变化,如果该活动的上下文或性质显着变化,则必须根据新的过程重新评估所有先前评估的系统。
警方,作为数据控制器,也有义务在任何新的个人数据处理开始之前进行DPIA,其中一系列处理可能会导致杀人的权利和自由的风险。这包括系统尚未生活的位置,但仍在使用真实的个人数据。
在这一点上,许多部队已经开始使用M365的在线协作服务Microsoft团队在内部和外部与其他部队在内部和外部分享个人数据,尽管没有进行DPIA,但在内部和外部。
例如,北约克郡警方已确认它正在将国家枪支许可系统汇放到团队中,以及从利基,其自己的事件管理系统绘制的信息,其中包含与家庭暴力和其他令人担忧的行为有关的数据。
这意味着关于刑事和所谓的刑事犯罪的细节,以及与逃避枪支的唯一适用性相关的其他智慧,并可能持有他们持有的枪支以及在何处在M365中共享。
南威尔士州和Gwent警方还确认他们已经使用团队进行联合“严重有组织犯罪伙伴关系会议”,其中幻灯片是共享和录制的音频 - 所有敏感数据都可以无限期地在云中持有。
CUMBRIA也是使用M365应用程序的“保护中心”,这意味着关于弱势群体的高度敏感的信息 - 包括儿童和高风险罪犯 - 正在与团队合作伙伴机构共享。
但是,尽管执法实体处理的数据的高度敏感性,但上面列出的任何力量都没有为M365完成自己的DPIAS。相反,这些力量 - 以及大多数其他力量的作出 - 表示他们仅仅依靠了由Nep本身进行的国家DPIA。
通过表示将“本地修改”添加到NEP DPIA的九部队,其中至少有五个已确认已经使用M365;四个表示他们正在完成自己的过程;三个表示他们没有自己开展一个,并没有提到国家版本;只有一个人说过一个特定的力量DPIA。
其余12名受访者表示,他们已接受国家DPIA。只有达勒姆才能回应2020年7月发出的原始FOI请求。
警察对DPIA问题的反应
Bedfordshire,Cambridgeshire和Hertfordshire警察(BCH)共同对FOI作出回应,表示他们将更新国家DPIA,因为它是“包括当地需要审查/修订的要素”。
六个其他力量 - 北威尔士,克利夫兰,格洛斯特郡,德文郡和康沃尔郡,多塞特和大都会警察局(MPS) - 也表示他们正在加入“本地修改”的过程中。
例如,MPS说:“全国开发了DPIA文件,旨在支持势力管理隐私风险。MPS正在启动工作以构建。随着我们使用能力扩展的经验,我们将相应地更新文档。“
然而,Met的首席技术官Darren Scals于2019年12月表示,45,000名用户已经将其邮箱迁移到M365上。这意味着尽管使用M365近一年,但MPS尚未完成全部DPIA。
此外,在BCH的集体进步概述中,NEP类似地概述了已经有3,573名用户在这次服务中分享超过154,000条消息,尽管BCH每周识别计算机,但DPIA仍然需要在本地修改。
只有肯特警方说它已经完成了自己的DPIA,而泰晤士河谷警察,兰开夏郡警察,艾塞克斯警察和汉普郡概况是唯一一个回应他们目前正在进行自己的DPIA的四个。
在BCH概述页面中,NEP表示Kent和Essex是实现完整M365推出的第一个力量,尽管后者的FOI响应表明没有完成DPIA尚未完成。
北安普顿郡最初表示已经开展了自己的DPIA,但是每周的计算机要求促使武力承认它没有进行。
三部队 - 德比郡,威尔特郡和北南普尔斯郡 - 回答他们没有进行DPIA,并没有进一步参考NEP的国家文件。
即便如此,NEP网站确认,德比郡的人员通过给予“反应督察概述的场景/平坦的概述,更重要的是,在死者周围的药物的概述,使得德比郡的军官突然死亡。知情和及时的决定“,并单独使用它来开展入室嫌疑人的房子的搜索。
当被问到在一个独立的FOI中为国家DPIA的副本,这将迅速证明国家M365推出的合法性,最初拒绝向执法和国家安全理由披露。
但是,在要求内部审查决策后,计算机每周被授予对最终文件的重编辑版本的访问权限。此版本已上传到Nep网站。
DPIA还由熟悉政策的数据保护专家和律师审查,他确定了一些进一步提出了警察部队在M365中处理人民个人数据的合法性的关键问题。
值得注意的是,英国警察部队在以前创造了足够的DPIA。例如,南威尔士州警方吸引了ICO和法官在上诉案例中使用自动面部认可的批评,法院裁定:“DPIA无法正常,以评估数据科目的权利和自由的风险,未能解决设想的措施,以解决我们所发现的不足所产生的风险。”
具有国家DPIA确定的专家的主要问题是评估数据保护风险的实质性不一致。
例如,尽管识别出“存在增加的风险,但分享和组合的风险导致创建额外的个人数据然后不容易纠正”,它表示代表了“可能的”和“显着的”伤害对逃避来说“纠正的权利,DPIA总结了整体风险是“中等”。
在下次评估的风险中,与数据擦除权有关,DPIA同样地发现了“可能的”和“显着的”伤害对辛辛来说,但总结总体风险是“低”。
在DPIA的这一部分中重复这种模式,因为整体风险水平似乎并不匹配所表明的危害的似然和严重程度。
当被问及这些不一致时 - 以及如何结论这些结论以及该过程中使用的风险矩阵 - NEP发言人表示,该计划已经开展了“强大且详细的安全风险管理评估”的蓝图设计。
发言人补充说:“蓝图设计提供要应用的配置的详细信息,以及在安全模型中定义的残余风险位置。这包括与ICO和领先且高度尊重的数据保护专家以及向警方信息保证委员会报告的国家警察风险管理团队的重大磋商。“
对于Shaun Beresford,Clearcomm的高级数据保护官,几十年的信息管理和数据保护经验,在监管背景下,在DPIA内的风险和缓解的识别通常“黯然失色”,“本可以用蜡笔完成“。
“他们已经将其剥夺了基础知识,而没有真正探索风险并提出适当的缓解,”他说,并补充说,为展出的所有12个风险提出的唯一解决方案是员工培训和严格的访问控制,这是“符合呈现的风险无关“。
BERESFORD表示,鉴于IT仅提到第三部分处理 - 在一段中,鉴于其第三部分处理 - 在一个段落中,贝雷斯福德在区分警方的单独GDPR和DPA义务方面不够远。
“它似乎与员工数据合并了刑事侦查信息 - 其中一个坐在DPA的第二部分,这是GDPR [转换为英语法律],另一个坐在第三部分中,”他说,补充说GDPR确实适用于某些数据处理活动的警察部队 - 例如人际关系管理或业务支持 - 只有DPA适用于业务执法数据和相关的处理活动。
因此,确保与GDPR的遵守并不意味着警察武力避免遵守DPA中规定的规则,反之亦然。
BERESFORD补充说,应酌情专门评估和和解每项风险,特别是针对GDPR或DPA第三部分。
“他们只是把它整合在一起,但风险取决于你正在处理的业务的哪一方,”他说,指出该文件也没有确定用于处理的法律基础一块立法。
虽然DPIA确实说“通过NEP解决方案的合法基础,实际上与当前承担的加工的合法基础没有什么不同”,它不努力解释这些基础以及它们如何适用于不同的加工活动。
Beresford说:“就第三部分处理而言,您需要在附表8条件下获得合法的基础,但附表8甚至在这里提到。”
DPA 18的时间表8列出了九条条件,在可能发生敏感数据之前需要满足其中的至少一个。
他补充说,他还将有望了解关于数据主体“提到的权利,这些权利在不同的立法下的不同加工活动的权利。
当被要求确定依赖于处理的时间条件时,NEP发言人表示:“此详细信息将包含在特定于力的DPIA中,因为所使用的条件将取决于每种情况下的处理的目的。”
对于Chris Pounder,数据保护培训公司Amberhawk主任,DPIA中的两个数据保护制度的混合不一定是“致命”,但可能导致法定实践守则对警察信息的管理(MOPI)不存在跟着。
MOPI规则旨在帮助执法实体正确管理和分享用于警务目的的运营信息,虽然它没有完全对齐DPA第三部分中的执法处理的定义,但它非常接近。
“如果部队必须确保MOPI规则遵循一些个人数据而不是其他人,则可能存在一个问题,”磅尔表示,加入它可以在警察和警察之间的执法相关信息分享“非官方的后门”。职员。
“问题是如果这个新的,更容易使用的系统中的个人数据与成熟的警察系统的个人数据远离了一步 - 风险是在有执法处理时不遵循MOPI规则新系统,“他说。
Pounder进一步评论说,DPIA支持维持系统使用的活动和咨询日志(DPA下的一个要求),“这是基本上基于警察在起诉中使用的证据的真实性”,因为它显示了谁已访问数据,以获取目的,以及何时。
“如果在法庭上使用信息,则防御的律师会出现风险将开始使用争论,使其粗暴地说,如果它是令人满意的记录安排,我们如何知道他们会满足它们?”他说。
在尝试并排考虑GDPR和DPA的影响,专家建议DPIA已混淆两种制度,反过来不清楚数据保护风险是否实际被减少。
NEP发言人证实,在GDPR和适当或适用的DPA“2018年下方的风险是不同的,但不再提供详细信息。
虽然NEP发言人声称该计划已经改进了其风险和缓解方法,但随着进一步的信息已经从各种利益攸关方获得了进一步的反馈“,在内的情况下,包括ICO,没有证据表明这一点地方。
例如,发言人声称,在最新版本的DPIA(即将在NEP网站上发布“),上述描述风险水平的方法已被修改为”与其他国家警务所采取的方法对齐“对齐项目,并反映了案件法,监管指导和隐私和实践的进一步发展“。
Nep Spokesperson添加:“ICO有一份DPIA的完整副本,并就该文件提供了详细的评论和反馈,这些意见已在DPIA的后期迭代中得到解决。
“与任何DPIA一样,它是一个生活文件,因此自那个日期以来,DPIA有各种各样的更新,以反映法律和监管指导的变化。”
但是,现在在NEP网站上发布的版本与每周公开的版本相同,这两个版本都说文档尚未更新,因为自2019年5月2日标记为“最终”。因此,虽然NEP声称将ICO指导纳入DPIA的后续版本,但这些文件未对计算机每周披露,这也没有建议在FOI披露期间较新版本的潜在存在。
在此之上,当每周被计算机询问时,如果它确实在国家DPIA上咨询,ICO发言人直接与NEP的索赔相矛盾,称:“我们提供了关于国家支持计划的非正式数据保护建议,但数据保护影响评估并未正式提交与专员协商。”
NEP发言人表示,当进一步询问它是否会承诺发布DPIA的未更新版本,说:“最新版本的DPIA也将在新的一年发布在同一地点(需要在类似原则下重新加工以保护国家基础设施免受犯罪或恐怖主义行为)。”
但是Sayers说:“如果服务无法遵守关键领域的法律,那么创建另一个DPIA就不会解决。如果新的DPIA说它实际上是合规的,或者可以遵守,那么DPIA是可疑的,可能不值得浪费的像素才能显示它。如果DPIA是诚实的和事实,那么警方将需要停止使用该服务。
“它是M365服务以及它如何运行,以及需要修复的Microsoft服务条款,而不是DPIA。”
在Microsoft的DPIA中也没有提及数据处理器,尽管文件列出了12 M365应用程序,但将弥补警察生产力套件。
相反,虽然很明显,在Microsoft云服务中将大部分加工活动将在Microsoft Cloud Services上进行,但它是BT和Deloitte,它被识别为“NEP解决方案生态系统中的关键数据处理器”。
然而,当被问及为什么DPIA没有提及微软作为一个处理器时,NEP发言人说:“国家DPIA在一些细节中解释了Microsoft组件和工具的详细信息,其中包含在NEP产品集中,以及每个项目的描述以及它将用于它的描述。”
但是说参赛者说,NEP评估了风险的方式不一致。
“他们没有考虑数据保护法案,他们完全没有,他们也没有遵守第三部分要求,以证明您如何满足所有义务。本身意味着它不是一个有效的DPIA,即使其他一切都是正确的,“他说。
“然后省略微软作为处理器 - 这对我来说毫无意义。所以我可以说没有任何预约,这不是一个有效的DPIA,并且任何依赖于DPIA的人都将自己变成一个非常危险的法律地位。“
尽管有12部队对计算机每周的福利表示,但是他们依靠国家DPIA依赖,但文件本身明确表示这不是一种选择。
“每个警察部队将是它自己的数据控制器,用于将其收集和使用NEP解决方案收集和流程的数据控制器,”它说。因此,每个警察部队是它自己的数据控制器,用于使用NEP解决方案的目的。这种DPIA不会取代每个辛勤力量必须承担的具体风险评估。“
该文件补充说,只有强势才能根据自己的情况评估自己的特定数据保护风险。
这在DPIA的数据保护官摘要部分中进一步证实。
“虽然本文件将与部队分享,但每次武力都需要考虑自己账户的隐私影响,风险和缓解,”它表示,补充说:“作为力量和其他租户正在过渡到现场环境中使用NEP解决方案,它们(作为数据控制器)将需要进行自己的影响评估。”
NEP还确定它“本身并不是数据控制器”,“没有能力进入合同”。
磅尔表示,虽然可能合理地认为,但是每个审查控制员都不必为类似的加工活动进行自己的独立DPIA - 因为英格兰和威尔士有43军队 - 他们确实需要审查他们以确认他们有效和他们同意他们的看法。
“显然,他们可以协调他们的努力,但在一天结束时,他们必须满足他们名称所做的实际上是他们想要发生的事情,”他说,并补充说每个力量都有自己的高级信息危险所有者(Siro)最终责任签署与其部队数据处理活动相关的风险。
这意味着即使是国家Siro - 在这种情况下是伦敦警察专员Ian Dyson - 他们代表国家DPIA的风险,“如果任何损害后来造成的任何损害造成的损害杀戮的权利和利益。
“如果我是一个西罗,我认为我不认为我不实际看看透过文档的情况下拍摄另一个Siro的话,”磅尔。
因此,虽然国家DPIA明确表明它已与警察部队分享,但目前尚不清楚依赖于它的12部队是否实际审查了该文件,然后在接受其有效期之前审查了该文件。
塞尔斯说:“从这些调查结果似乎清楚地看出,在这项评估的基础上已经消耗了M365服务的力量使自己对非常严重的法律和财务风险遗憾,这当然是Microsoft作为数据处理器的份额。由于受影响的力量对此进行了普遍的责任,因此他们应该迅速,直接聘请解决问题所需的资源。“
当被要求为依靠单一国家DPIA而不是进行自己的部队而不是开展自己的武力,一个NEP发言人表示,“部队将为自己进行”,并补充说中央DPIA将“修改并在当地势力所必需的当他们来访问并利用NEP解决方案来处理个人数据“。
发言人补充说:“在审查这一DPIA并完成自己的验证检查时,”部队“将有机会考虑任何其他,不同或本地隐私风险。再次,协助全国各地的部队,纳皮斯试图规范DPIA的格式,并在附录A中包含了融资的空间,以反思任何其他或不同的当地风险和缓解策略。“
Nep Spokesperson表示,它只是因为力量实现了“完全推出阶段”,它们将开发本地文档,添加:“尼普最近刚刚达到了全面推出的舞台,这是12个部队的第一个队伍,他于10月底推出或11月初推出。
“完全推出阶段意味着允许它们允许他们从大约250名用户的飞行员进展实施的技术标准,以使M365工具可用于更广泛的使用,包括在阶段过程中使用敏感数据整个劳动力。
“然后,每个力量决定使用M365套件内的哪些服务,由世卫组织以及它们的实施方式使用。”
然而,仅在“完全滚出”后进行DPIA不镜像在开始任何数据处理活动之前进行的法律要求。
第一次批评的力量包括坎布里亚警察,达尔姆·康明尔,德比郡警察,肯特&埃塞克斯警察,诺福克&萨福克·警察,北约克郡警察,西约克郡警察和BCH。
然而,在这些中,只有肯定确认它已完成DPIA,而且只有BCH - 这与FOI共同响应 - 表示正在加入“本地修改”的过程中。
虽然DPIA确实包含了增加势力的附录,但在他们这样做的FOI反应中只有九分之九所证实了。
两个叫声和Beresford都表达了进一步的担忧,附录是一个单一页面推入五个标题的附录,这太重量轻,以强调空间考虑M365的关键方面及其从其本地观点的实现。
“我认为它被起草了试图鼓励人们,给他们一个感觉,如果他们刚刚覆盖这五个区域,那就送回了,就是这样,生活就会继续下去,”Beresford说。
“如果我是一名力量数据保护官(DPO),我会看看提供并走去的那个,”无处可去覆盖一切'。它提到了第三部分处理[曾经],但我认为人们真的了解第三部分和GDR之间的差异和细微差别。在第三部分下有一个要求识别其数据正在处理的人为执法目的的人数,要求包括日志 - 这些都是在更高级别的所有事情,都应该给予保证。
“当您开始查看DPIA的内容时,实际上他们没有任何深入的任何深度。”
代表计算机审查DPIA的专家还注意到了一些较小的差异,进一步破坏其有效性。
例如,尽管标志着“最终”和“最终分享的”与部队分享“,但在文件中没有证据表明,它已被适当的警察或工作人员签署,因为”签署和录制成果“一节已完全留空。
在文件中的其他地方,与个人信息和执法豁免相关的重量明确标明,表明它不是被编辑,而不是完成。
DPIA磋商的范围也被呼吁讨论,因为它仅限于Nep邮政持有人,高级警察ICT公司的工作人员和当地力量代表来自肯特,埃塞克斯和苏塞克斯。拜访,“这主要是一个回声室,而不是咨询练习,”注意到需要“关键朋友”,从进一步的野地中涉及。
DPIA还声称,NPCC“已经设定了英国警察愿景2025,以便在英国数码启用和云准备中拥有所有48个警察部队,但该文件在11页中没有提及”云“一词。
如前所述,每个力量还必须确保在自己和Microsoft之间存在以书面形式的合同,包括数据处理的详细信息,包括其持续时间,它的性质以及所涉及的个人数据的类型和类别。有效,合同或服务条款必须明确于如何满足DPA要求。
尽管这些要求,29台警察计算机每周联系无法向其与微软提供有关其合同的所要求的信息,声称其义务“是提供我们持有的信息,该信息不会延长合同文件的分析或解释“。
然而,这些力量中的15个“以透明度的利益”为数据保护附录提供了额外的链接,以与微软持有的NEP持有,以及他们声称的在线服务条款“包含部分所需的所有必需条款2018年数据保护法案59“。
本节主要奠定了要求控制器必须仅使用在书面合同中提供某些担保的处理器,但是,由于绝大多数力量不符合这些信息,但说:“不可能看到力量,作为控制器,可以履行其法律义务“。
被引用的部分也不会涵盖计算机每周专门询问的活动和咨询记录要求或国际转移限制,并且在DPA的完全不同的部分中发现。
当被问到NEP是否可以指向Microsoft-Nep数据保护附录中的特定文本,涵盖DPA 2018条款所提出的关于,Nep Spokesperson表示:“我们不能确定您所指的文件,因为您尚未提供有关数据保护附录的链接。”
Thesphoksson补充说:“因此,我们无法提供对数据保护附录的所有第59节的全面的逐行映射。但是,我们确认这已在DPIA中已解决,并且在DPIA中也描述了服务员风险(和相应的缓解策略)。“
NEP网站上只有一个数据保护附录,15个势力(受访者的一半)对当时将计算机连接到文档的近似相同的响应。
Sayers表示,警察部队在他们的FOI响应中涉及的实际术语只对处理的关键方面进行“简单的通用陈述” - 例如,包括所涉及的个人数据的类型和类别 - 必须包含在书面合同中,文件本身没有参考DPA的第三部分。
然而,他们经常参考GDPR,在2018年5月底与DPA一起生效。
“我认为DPOS本身不了解立法,或者在GDP和DPA第三部分之间的关键是什么,DPOS本身就是一个根本的问题。”
这是由Beresford提供的,他说,他在2019年在第三部分处理警察部队提供培训课程时表示共识,这是“培训是他们第三部分收到的”,因为它于2018年5月生效以来。
他补充说,他在这些会议期间对警察和工作人员的看法 - 在为数据保护培训和管理公司工作时交付,是“这都是GDPR”。
为了响应关于缺乏合同和强制特定DPIA的问题,纳伯发言人表示:“我们正致力于建议并使每一款当地的力量为他们提供适当的信息,以便完成当地DPIAS。这将包括提供他们在此阶段无法持有其合同和微软服务条款的信息。“
两台计算机每周与国际数据转让有关的FOI问题,在执法范围内必须符合DPA中所载的严格门槛,被视为合法。
其中一个问题是,与微软的合同或T&CS是否具体要求处理器在将数据转移到第三国之前寻求和接受许可,以便进行每个特定的转移。通常声称,NEP的数据保护附录与Microsoft中涵盖了这一点。
Sayers表示,虽然该法案的第59条规定了处理器只能将数据传输到第三国的资料,但是:“Microsoft服务条款不提供此类担保,也不包括所建议的条款包括子句。事实上,相反 - 标准术语授权微软在接受服务条款时,根据其日常服务的一部分,以自行决定将数据转移。“
DPA还包含四个需要满足执法实体的进一步标准,以便能够在本措施中向“无关当局”进行国际上的数据,这在其管辖范围内没有执行法定执法职能。
这些条件包括规定,转移被认为是“严格必要”,这是一个重要的法律,这是一个说法。“这意味着您无法以任何其他方式进行业务,”他说。“假设您必须处理一张数字照片以获取法医证据的数字照片,也可以在世界上存在的唯一软件在美国,那么您可以证明它是严格必要的。
“但是,如果您可以在Huddersfield中处理那种材料,则不会严格送到海外,这可能是您的偏好,或者可能是在美国处理它的数量级,但它不再是必要的。”
他加了:“由于服务已经存在于英国和EEA中,可以满足警察部队处理此数据的要求 - 他们已经使用它们多年 - 它遵循的是,势力将此数据在离岸时作为权宜之计选择这样做。他们不需要这样做。“
当询问NEP是否考虑了这些服务,专门主权云提供商能够在发言人回答的情况下开展英国内部的所有存储和加工活动:“所有选项都被考虑并与跨国政策的引线讨论过。”
他们说,选择微软的理由是基于许多因素,包括:当地力量已经在他们的辛勤行动365行动;正在删除皇冠商业服务框架内部许可的框架折扣并应用于M365;在某些情况下,微软产品的持续开发是为了完全是现有功能,要求在某些情况下减少和弃用,需要不同的方法来维持可操作性和过渡到云;以及现有的投资已经在全国政策中融入了微软产品。
TheSpoksperson表示谷歌被认为,但在部队决定的时候没有基于英国的服务,补充说:“我们正在不断地展望部队选择其他云解决方案提供商,其服务与技术要求(蓝图)方法对齐。”
当在计算机每周被问到合同或T&CS是否特别需要在英国储存和处理数据的合同或T&CS,其中一些警察应答:“选择存储数据的区域是英国。”
虽然没有正式的法律要求,以确保在英国仍然存在数据,但提出的问题反映了运营过程现实 - 除非满足四条转移条件,否则不应将数据转移到另一个管辖范围内。
然而,虽然力量声明数据正在存储在Microsoft的英国地区,但该公司在其网站上表示,云服务有例外情况,“无论部署如何,它备份了向美国的Web和Worker-yoro软件部署软件包地区”。
NEP发言人证实,该集团“一直都意识到这一点,并详细考虑了”,再次重申了NEP已经开展了“强大且详细的安全风险管理评估”。
TheSpoksperson补充说,NEP“继续遵循英国政府的云首屈一指的策略,同时平衡了对技术方法提供的机会的广泛风险 - 这种风险也在DPIA中与随访缓释战略一起解决。
计算机每周和咨询的专家无法识别DPIA的区域,这种风险得到解决和减轻。
塞尔斯说:“使用M365服务要求[数据]控制器接受该数据可以接受,并且应在国际转移以满足Microsoft自行决定的服务,而无需进一步寻求权力。因此,力量不能证据他们在此基础上达到了要求。“
他补充说,由于Microsoft和NEP之间的数据保护附录只有GDPR,其传输承诺“在任何可预见的情况下,其转移承诺将对DPA第三部分进行重量”。
关于英国司法部颁布的数据主权指南指出,组织应考虑数据所在的位置,无论是否可以从正在管理服务的第三国远程访问(以及修改,复制或删除)这些实体在法律上实例化或找到。
“例如,Microsoft Azure的数据中心位于英国,但系统管理员可以位于巴西,新西兰,美国等,”它表示,给出了具有英国数据中心的亚马逊Web服务的示例,但它是然而,一家拥有全球支持人员的美国公司。
“处理”数据的“答案”是上述问题的答案的组合,不仅仅是服务器和硬盘驱动器物理位置(数据托管)的位置,“它添加了。
因此,来自国家DPIA的遗漏意味着与其成为美国公司相关的风险,这些公司受到广泛的美国政府监督权,尚未明确解决。
当被问及这种风险如何减轻时,尼泊尔发言人说:“自从2020年7月20日的Schrems II判决发表以来,这个问题变得更加提高。因此,它在最新版本的DPIA中详细介绍了。“
根据NEP发言人,虽然NEP发言人,但随后将计算机每周获得的DPIA上传到NEP网站,虽然另一个版本在2019年5月2日上次修订。
Beresford说:“我一直参与Blackbaud Raiser的边缘数据漏洞,这是一个赎金软件攻击,现在正在新兴,现在[在其云平台]被送回美国,一些客户甚至没有了解它。”他补充说,DPIA没有详细讨论警方如何接近这个问题。
“当DPIA谈论BT和Deloitte时,它确实参考了没有国际数据转移的事实,但这只是他们在那里放入的东西,我们的意思是相信它?” Beresford说。“它是如何探索的,这是怎么一致的?”
当在FOIS中被要求提供可能表现出进一步的合规性的其他文件 - 包括来自本地办事处的两份官方风险评估文件以及NEP和Microsoft之间商定的谅解备忘录 - 计算机每周收到的非披露反应。
虽然国家DPIA没有提及微软作为处理器,但在与国际转移有关的文本中单独更不用说,它确实使得断言没有数据将在欧盟以外转移。
当被问到它是否可以保证警察部队将始终确定在M365上的数据存储和处理的位置,那么NEP发言人的超级全球云服务表示:“我们有管理层的保证性,M365中的大部分产品,包括持有敏感数据,将在英国举行。与灾难恢复有关的例外,一些产品专门针对这种情况进行了专门的风险,并均衡在这些情况下损失数据的潜力。“
TheSpoksperson补充说,微软是一个“核心警察技术提供商”,因此,已经给出了NEP获取了关于其M365软件结构的详细工程和技术信息作为服务。“此信息已成为NEP所开展的安全风险管理过程的一部分。因此,蓝图考虑了全球供应商提供的支持服务的管理和划分。“
NEP发言人还认为,在DPIA中考虑了在DPIA中考虑了存储和处理的数据的究竟存在数据的风险以及可以采取减轻风险的步骤。但是,计算机每周在DPIA中发现了这一点,即考虑这一点或提出缓解步骤。
当通过计算机每周单独询问其服务条款涵盖DPA 2018的第三部分下的数据处理,以及澄清是否存储数据是存储和处理的,并且来自英国的系统支持的系统,微软表示目前没有任何信息分享。
关于计算机对计算机数据分享的影响 - 施莱姆斯II决策后的影响 - 这是一种无效的隐私盾牌作为欧洲和美国 - 菲尔·李之间分享数据的机制,律师事实上的私人菲律券的私密,安全和信息集团的合伙人表示简单地在英国存储或托管数据的情况下,不够,其自身不够,以减轻与服务提供商的远程访问相关的风险。
李说:“围绕这一点围绕这一点常见的争论是由基于心理观点或情绪地位的职位驱动。”“在商业上,在我的经验中,如果他们的数据在EEA或英国托管时,很多客户会感觉更好。
“即使仍然存在远程访问[来自海外],即使仍然存在法律问题,因为仍然可能是一个技术出口,所以它在这里托管的事实只是让人们感觉更好。”
Lee表示,在英国留在英国留在英国仍然无法完全消除风险的任何额外保障措施将无法完全消除风险。
“卖方可以同意他们不会向政府披露数据,但如果他们被迫交出数据,因为他们收到法院命令,他们仍然必须这样做,”他说。“供应商可以同意在EEA或英国托管数据,但是,如果您查看像美国云法的立法,政府无论如何都可以达到海外数据区。
“我们采取的措施都不是安全 - 唯一一个真正解决这个问题的措施是一个政治解决方案。”
尽管向美国政府监督制度的美国公司向美国公司发送敏感的个人数据的明显风险,但从DPIA遗漏了微软意味着这种风险尚未得到适当考虑。
根据公开的信息,在NEP下向英国政策引入了一小组高级警务人员,主要来自前部队首席信息官员。
由于国民高级信息风险所有者(NSIRO)和NPCC领导信息管理,伦敦市敦促委员会局长警方负责管理与任何国家警务能力相关的信息风险,包括通过NEP实施M365。
唐宋旁边,关键举办者包括尼普导演Wayne Parkes,West Mercia and Warwickshire的前ICT头部,警察ICT公司首席执行官Ian Bell,是剑桥郡的ICT前任主任主任,他是纳普的第一个董事2016年11月。
两者都经常在NEP和Microsoft文章中展示了该计划的价值和警方M365技术的适用性,但没有回复计算机每周对已确定的法律问题评论的要求。相反,NEP发言人提供对他们的问题以及Dyson的回应,并直接镜像上面给出的问题。
通过警方转型基金支持的NEP在APCC和NPCC的信息管理和运营需求协调委员会的合并业务治理下,由Nsiro Dyson主持并建立帮助首席官员解释警察中的数据保护环境,监督信息自由,信息保障和代表警方的记录管理等领域。
在通过计算机每周获得的国家DPIA的DPO咨询部分中,建议的行动之一是与ICO分享草案,因此可以审查和评论该文件。
但是,由于签名部分留空,目前尚不清楚该DPO建议是否被接受或过分推翻。在DPA下,当个人数据的处理提出无法减轻的风险时,必须向ICO发送DPIA。
但是,当计算机每周联系时,ICO最初拒绝确认它是否已收到DPIA的副本。
在尼泊尔新闻办公室的单独回应中,它说:“我们通过ico等专家采取了独立建议。”
DPIA本身还表明,NEP计划在“不迟于2019年4月30日之后”,但是当此信息被提交给ICO时,发言人回应:“我们提供了关于国家支持计划的非正式数据保护建议,但数据保护影响评估并未正式提交与专员协商。”
到该计划的三年内,它并不明确结算NEP和力量可以从计算机每周和其他人确定的法律缺陷中恢复。
塞尔斯说:“力量肯定在Catch-22中,有服务于不存在的服务,几乎肯定不能,使他们能够满足他们的法律义务,而是拥有大量的公共资金已经花费了更多的公共资金。做什么都不做的诱惑可能很高。“
为了回应迄今为止在项目上花了多少钱的问题,NEP发言人回应了:“总方案预算为4年来57.7米。”
叫声添加:“无论如何都没有做任何有效的选择,因为部队将继续违反法律行动,公众的信心将被永久损坏,罚款或民事诉讼的风险只会随着时间的推移而增长。”
然而,他确实认为存在的选择,其中一些可能使力量利用他们已经采用的内部工作,并仍然保留他们认为符合现代警务挑战所需的新能力。
“在英国内有一个健康的国内云和安全的托管景观,可以合法地拥有这些服务,以及许多专家提供者,他们拥有这一部门的技能和渴望创新,”Sayers说。“如果部队行动积极行动并妥善尊重立法,他们可能可能相当容易地向这些服务枢转。如果他们这样做,大多数数字警务策略仍然最终才能实现。“
计算机每周联系了许多英国云和托管提供商,提供了在交付警察和刑事司法部门服务的经验,表示他们对与警方合作的想法,以发展英国主权云能力,如果当然,部队确实决定探索这些机会。
