Eğitim Bakanlığı, veri kötüye kullanımı nedeniyle 10 milyon sterlin para cezasından kurtuldu

Eğitim Bakanlığı’na (DfE) bir kınama verildi, ancak 28 milyon kişi hakkında tutulan kişisel bilgilerden oluşan bir veri tabanının bir üçüncü taraf kuruluş tarafından Eylül ile “uzun” bir süre boyunca kötüye kullanıldığını gören bir veri ihlali nedeniyle 10 milyon sterlinlik düzenleyici para cezasından kurtuldu. 2018 ve Ocak 2020.

Learning Records Service (LRS) veritabanı, 14 yaşından büyük 28 milyon kişinin tam adını, doğum tarihini, cinsiyetini ve öğrenim ve eğitim başarılarını, ayrıca bazı durumlarda e-posta adreslerini ve uyruğu içerir.

66 yıl boyunca saklanır – bu, ihlal sırasında 1950’lerin başında okulda olan öğrenciler hakkında veri içerebileceği anlamına gelir – ve çoğunlukla eğitim sağlayıcıları olmak üzere 12.600’den fazla kuruluş tarafından çeşitli işlevleri doğrulamak için kullanılır. aday öğrencilerin akademik nitelikleri veya finansman uygunluğu.

DfE, bir istihdam tarama şirketi olan Trustopia adıyla işlem gören LRS to Trust Systems Software UK’ye erişim sağladı ve bu veri tabanını müşterilerinin yaşını doldurduğunu doğrulamak için çevrimiçi kumar şirketlerine sunulan bir yaş doğrulama hizmeti oluşturmak için kullanmaya başladı. 18.

Veri koruma yasasına göre, veriler asıl amacı için kullanılmadığı için bu bir ihlal oluşturuyordu.

Bilgi komisyoncusu John Edwards, “Kimsenin kumar şirketlerine yardımcı olmak için kullanılan bir öğrenci öğrenme kayıtları veritabanının kabul edilemez olduğuna ikna olmasına gerek yok” dedi. “Araştırmamız, Eğitim Bakanlığı tarafından uygulamaya konulan süreçlerin üzücü olduğunu ortaya çıkardı. Veriler kötüye kullanılıyordu ve Departman, ulusal bir gazete onları bilgilendirene kadar bir sorun olduğundan bile habersizdi.

“Hepimizin merkezi hükümet dairelerimizden elimizde tuttukları verilere en üst düzeyde saygı ve güvenlikle muamele etmelerini beklemeye mutlak hakkımız var. Hatta 28 milyon çocuğun bilgisine gelince.

Bilgi Komisyonu Ofisi (ICO), bir Pazar gazetesinde yer alan bir açıklama sayesinde DfE’nin LRS veritabanına yetkisiz erişim olduğunu bildirmesinin ardından soruşturma başlattı. Soruşturma, Trustopia’nın Eylül 2018’den Ocak 2020’ye kadar verilere sınırsız erişimi olduğunu ve bu süre zarfında 22.000 öğrenci üzerinde arama yaptığını tespit etti. DfE ayrıca Trustopia’nın hiçbir zaman devlet tarafından finanse edilen herhangi bir eğitim eğitimi vermediğini doğruladı.

ICO, şirketin Edududes adlı bir eğitim sağlayıcısının yeni ticari adı olduğunu bildirdikten sonra, DfE’nin Trustopia’ya LRS veritabanına erişim izni vermeye devam ettiğini tespit ettiğini söyledi.

ICO, eylemleriyle DfE’nin çocuklara ait verileri “adil, yasal ve şeffaf bir şekilde” kullanma ve paylaşma görevini yerine getiremediğine, bu verilere yetkisiz erişimi engelleyemediğine, bu veriler üzerinde uygun bir gözetime sahip olmadığına ve bu verilerin kullanılmasını engelleyemediğine karar verdi. eğitim amaçlarıyla bağdaşmayan nedenlerle kullanılır.

Bununla birlikte, DfE’nin o zamandan beri LRS veritabanına kimlerin erişimi olduğu konusundaki prosedürlerini güçlendirdiğini, 2.600’den fazla kuruluşun erişimini iptal ettiğini ve kayıt sürecini iyileştirdiğini kabul etti. Ayrıca şimdi verilere karşı “aşırı” aramalar için kontroller yapmaya başladı ve proaktif olarak, olumsuzluk onu kullanmak. DfE’nin bir denetim sırasında ICO ile proaktif olarak ilişki kurduğunu ve genel veri koruma yaklaşımını geliştirdiğini söyledi.

Trustopia’nın eş zamanlı bir araştırması, artık veritabanına erişimi olmadığını ve geçici dosyalarda tuttuğu verilerin önbelleğini sildiğini tespit etti. Ancak örgüt Mayıs 2022’de zorunlu grevle kapatıldığı için yöneticilerine hesap sorulması mümkün olmamıştır.

DfE, özellikle kamu sektörü kuruluşlarına yönelik cezaları azaltmak için yeni bir ICO taahhüdü kapsamında 10 milyon sterlinlik bir para cezasından kurtuldu. İki yıllık bir süre içinde denenmekte olan bu yeni düzenlemenin temeli, kamu sektörüne para cezası verilmesinin hissedarları veya yöneticileri özel sektördeki gibi etkilememesi, karşılıktan para çekmesidir. kamu hizmetlerinden yararlanır ve bir veri ihlali durumunda failleri değil vergi mükelleflerini etkin bir şekilde cezalandırır.

Edwards, “Bu, yasanın ciddi bir ihlaliydi ve bu özel durumda 10 milyon sterlinlik bir para cezası verilmesini gerektirecekti” dedi.

“Para cezası olarak ödenen herhangi bir para hükümete iade edildiğinden bu cezayı vermeme kararı aldım ve bu nedenle etki minimum olurdu. Ancak bu, altını çizdiğimiz hataların ne kadar ciddi olduğunu veya Eğitim Bakanlığı tarafından ne kadar acil olarak ele alınması gerektiğini azaltmamalı.”

Geçen hafta, ICO, aynı temelde, 2019/20 Yeni Yıl Onurları veri ihlaliyle ilgili olarak Kabine Ofisine uygulanan 500.000 £ para cezasının 50.000 £ ‘a düştüğünü söyledi.

Bu olay, Gov.uk web sitesinde yayınlanan ve onur ödüllerinin 1.000’inin adlarını ve düzenlenmemiş adreslerini içeren bir dosya gördü. Yere indirilmeden önce iki saat 21 dakikalık bir süre içinde yaklaşık 4.000 kez erişildi.

Edwards, “ICO, insanların yaşamlarında bir fark yaratmaya odaklanan, pragmatik, orantılı ve etkili bir düzenleyicidir” dedi.

“İhlalden etkilenen insanlar üzerindeki potansiyel etki nedeniyle bu davanın tüm koşullarında orijinal para cezasının orantılı olduğunu düşünmekle birlikte, kamu kurumlarının karşı karşıya olduğu mevcut ekonomik baskıları ve bazı durumlarda para cezalarının uygulandığı gerçeğini kabul ediyorum. caydırıcılığa ulaşmada daha az kritik olabilir.”

Read Previous

Veriye dayalı karar verme başarısız olacak – işte nedeni

Read Next

Kamu sektörü BT projelerinin başından itibaren etik veri uygulamalarına ihtiyacı var

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -