یک سازمان دیده بان وزارت آموزش و پرورش (DfE) را به دلیل کسب و کاری که از اطلاعات شخصی حداکثر 28 میلیون کودک استفاده می کند برای بررسی اینکه آیا افرادی که حساب های قمار آنلاین باز می کنند 18 ساله هستند، سرزنش کرده است.
دفتر کمیساریای اطلاعات (ICO) دریافت که پایگاه داده DfE از سوابق یادگیری دانش آموزان توسط Trust Systems Software UK Ltd (تجارت به عنوان Trustopia)، یک شرکت غربالگری اشتغال استفاده شده است.
DfE مسئولیت پایگاه داده خدمات سوابق یادگیری (LRS) را بر عهده دارد، که سابقه ای از مدارک تحصیلی دانش آموزان را فراهم می کند که ارائه دهندگان آموزش می توانند به آنها دسترسی داشته باشند. ICO متوجه شد که DfE به Trustopia اجازه دسترسی به پایگاه داده را می دهد، وقتی به وزارت گفت که نام تجاری جدید Edududes Ltd است که یک ارائه دهنده آموزش بوده است.
Trustopia در واقع یک شرکت غربالگری بود و از پایگاه داده برای تأیید سن استفاده میکرد، سرویسی که آنها به شرکتهایی از جمله GB Group ارائه میکردند، که به شرکتهای قمار کمک میکرد تا تأیید کنند که مشتریان بالای 18 سال دارند. در برابر قانون حفاظت از داده ها
ICO به جای جریمه به عنوان مجازات، توبیخ صادر کرد زیرا در ژوئن جان ادواردز، کمیسر اطلاعات بریتانیا اعلام کرد رویکردی جدید نسبت به بخش دولتی با هدف کاهش تأثیر جریمه ها بر مردم. ICO گفت، اگر این رویکرد آزمایشی جدید وجود نداشت، DfE با جریمه ای بیش از 10 میلیون پوند صادر می شد.
جان ادواردز گفت: «هیچکس نیازی به متقاعد کردن ندارد که پایگاه داده سوابق یادگیری دانشآموزان که برای کمک به شرکتهای قمار استفاده میشود غیرقابل قبول است. تحقیقات ما نشان داد که فرآیندهای اجرا شده توسط وزارت آموزش و پرورش تاسف بار بود. دادهها مورد سوء استفاده قرار میگرفتند، و وزارت حتی تا زمانی که یک روزنامه ملی به آنها اطلاع نداد، حتی از وجود یک مشکل آگاه نبود.
«همه ما حق مطلق داریم که انتظار داشته باشیم که ادارات دولت مرکزی ما با داده هایی که از ما در اختیار دارند با نهایت احترام و امنیت رفتار کنند. حتی وقتی صحبت از اطلاعات 28 میلیون کودک می شود.
این یک نقض جدی قانون بود و در این مورد خاص جریمه 10 میلیون پوندی را تضمین می کرد. من تصمیم گرفتهام که آن جریمه را صادر نکنم، زیرا هر پولی که به عنوان جریمه پرداخت میشود به دولت بازگردانده میشود و بنابراین تأثیر حداقلی خواهد بود. اما این نباید از میزان جدی بودن اشتباهاتی که ما برجسته کردهایم، و نه اینکه چقدر نیاز فوری به رسیدگی توسط وزارت آموزش داشتند، کم کند.»
DfE یک گزارش نقض را به ICO ارسال کرد – فقط پس از افشای یک روزنامه ملی یکشنبه. ICO دریافت که Trustopia از سپتامبر 2018 تا ژانویه 2020 به پایگاه داده LRS دسترسی داشته و 22000 یادگیرنده را برای اهداف تأیید سن جستجو کرده است. DfE تأیید کرد که Trustopia هرگز هیچ آموزش آموزشی با بودجه دولت ارائه نکرده است. DfE دسترسی به پایگاه داده LRS را از 2600 سازمان حذف کرده است.
ICO همچنین Trustopia را بررسی کرد. این شرکت تأیید کرد که دیگر به پایگاه داده دسترسی ندارد و حافظه پنهان داده های ذخیره شده در فایل های موقت حذف شده است. Trustopia قبل از پایان تحقیقات ICO منحل شد.
در همین حال، ICO موافقت کرده است که اعلامیه جریمه پولی 500,000 پوندی (MPN) را کاهش دهد، جریمه ای که در سال 2021 پس از نقض اطلاعات به دفتر کابینه تحمیل شد تا 50,000 پوند، که دفتر کابینه موافقت کرده است که پرداخت کند.
کمیسر اطلاعات بریتانیا در نوامبر 2021، پس از نقض اطلاعات در سال 2019، زمانی که دفتر کابینه پروندهای را در GOV.UK منتشر کرد، این جریمه را صادر کرد که حاوی اسامی و آدرسهای ویرایش نشده بیش از 1000 نفر اعلام شده در فهرست افتخارات سال نو بود.
منبع: https://www.professionalsecurity.co.uk/news/case-studies/data-reprimand-for-dfe/