Ηνωμένο Βασίλειο: Πρόστιμο 400.000 ευρώ στο Υπουργείο Εθνικής Άμυνας για τη διαρροή δεδομένων Αφγανών που θα έφευγαν μαζί με τους Βρετανούς

Πρόστιμο 350.000 λίρες (406.000 ευρώ) επέβαλε η αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου ICO στο Υπουργείο Άμυνας της χώρας για το τερατώδες λάθος της αποκάλυψης στοιχείων των προσώπων που είχαν δικαίωμα να ακολουθήσουν στην αποχώρηση των βρετανικών δυνάμεων από το Αφγανιστάν.

Το περιστατικό έλαβε χώρα τον Σεπτέμβριο του 2021, όταν το Υπουργείο Άμυνας απέστειλε μήνυμα ηλεκτρονικού ταχυδρομείου σε Αφγανούς πολίτες με δικαίωμα μετεγκατάστασης, χρησιμοποιώντας το πεδίο «προς» (Το) για την εισαγωγή των ηλεκτρονικών διευθύνσεων των παραληπτών. Αυτό είχε ως αποτέλεσμα οι διευθύνσεις των 245 παραληπτών, μεταξύ των οποίων και 55 πρόσωπα με φωτογραφίες προφίλ, να καταστούν ορατές σε όλους. Δύο εξ αυτών μάλιστα απάντησαν στο μήνυμα επιλέγοντας “reply to all”, με τον έναν να αποκαλύπτει και την τοποθεσία στην οποία βρισκόταν.

Το ηλεκτρονικό μήνυμα απεστάλη από την ομάδα που είχε αναλάβει την οργάνωση της εκκένωσης του Αφγανιστάν, μετά την είσοδο των Ταλιμπάν στην Καμπούλ (Afghan Relocations and Assistance Policy - ARAP), η οποία είχε και την ευθύνη να συνδράμει τους Αφγανούς πολίτες που εργάστηκαν για τη βρετανική κυβέρνηση, ως εκ τούτου είχαν κάθε λόγο να φοβούνται για την τύχη τους μετά την αποχώρηση της βρετανικής διπλωματικής και στρατιωτικής αποστολής. Ως εκ τούτου, τα προσωπικά δεδομένα που διέρρευσαν θα μπορούσαν να θέσουν σε κίνδυνο τη ζωή των παραληπτών, στην περίπτωση όπου αυτά θα περιέρχονταν στην κατοχή των Ταλιμπάν.

Αμέσως μετά την παραβίαση των δεδομένων, το Υπουργείο Άμυνας επικοινώνησε με τα εμπλεκόμενα πρόσωπα, ζητώντας τους να διαγράψουν το μήνυμα που έλαβαν, να αλλάξουν διεύθυνση ηλεκτρονικού ταχυδρομείου και να ενημερώσουν την ARAP για τα νέα στοιχεία επικοινωνίας τους. Περαιτέρω, το Υπουργείο διενήργησε εσωτερική έρευνα, προέβη σε δήλωση ενώπιον του Κοινοβουλίου σχετικά με την παραβίαση και επικαιροποίησε τις πολιτικές και διαδικασίες προστασίας δεδομένων της ARAP, εισάγοντας – μεταξύ άλλων – την πολιτική της «δεύτερης ματιάς» κατά την αποστολή email σε πολλαπλούς αποδέκτες. Σύμφωνα με την πολιτική αυτή, κάθε αποστολή ηλεκτρονικού μηνύματος θα ελέγχεται από δεύτερο πρόσωπο προς επιβεβαίωση της ασφαλούς διαβίβασης.

Ο ICO υπενθύμισε πως η νομοθεσία για την προστασία των προσωπικών δεδομένων υποχρεώνει τους φορείς να λαμβάνουν όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα, προκειμένου να αποτρέπουν την αποκάλυψη πληροφοριών από λάθος. Οι οδηγίες της βρετανικής αρχής καθιστούν σαφές πως οι υπεύθυνοι επεξεργασίας μπορούν να χρησιμοποιούν εφαρμογές ομαδικής αποστολής email ή υπηρεσίες ασφαλούς διαβίβασης δεδομένων, όταν αποστέλλουν ευαίσθητες προσωπικές πληροφορίες με ηλεκτρονικά μέσα. Η ομάδα της ARAP, που διέπραξε το λάθος, δεν είχε εισαγάγει σχετικά μέτρα και βασιζόταν απλώς στη χρήση του BCC (Blind Carbon Copy), το οποίο – όπως φάνηκε και στη συγκεκριμένη περίπτωση – ενέχει τον κίνδυνο του ανθρώπινου λάθους.

Το πρόστιμο των 350.000 λιρών φαίνεται ίσως μεγάλο, πρέπει όμως να επισημανθεί πως είναι σαφώς χαμηλότερο από το αρχικώς τεθέν πρόστιμο του 1 εκατομμυρίου ή το πρόστιμο των 700.000 λιρών που αποφασίστηκε στη συνέχεια λαμβανομένων υπόψιν των ιδιαίτερων συνθηκών που επικρατούσαν κατά τη χρονική συγκυρία της αποστολής του μηνύματος.

Το τελικό πρόστιμο μειώθηκε ακόμη περισσότερο, με βάση τη νέα πολιτική της βρετανικής εποπτικής αρχής για περιορισμό των προστίμων στους δημόσιους (και όχι μόνο) φορείς.

Η ανακοίνωση του ICO είναι διαθέσιμη εδώ.