Znana jako Załącznik 7 część umowy ramowej G-Cloud 14 dotycząca ochrony danych jest opisywana przez potencjalnych dostawców jako źle opracowana i bezsensowna.
Firma CCS stoi w tej chwili w obliczu pilnych wezwań do zmiany swojej treści w związku z obawami, iż Załącznik 7 w swoim obecnym stanie może doprowadzić do uznania umów w ramach G-Cloud 14 za nieważne.
Computer Weekly dysponuje kopią dokumentu zawierającego wszystkie pytania wyjaśniające, które firma CCS otrzymała od potencjalnych dostawców na temat G-Cloud 14 od czasu upublicznienia dokumentów ramowych w dniu 19 lutego 2024 r.
Kilka z przedstawionych pytań budzi obawy dotyczące tego, jak bardzo wypełniony jest błędami i trudny do odczytania Załącznik 7, przy czym jeden z potencjalnych dostawców twierdzi, iż dokumentu „nie można uzgodnić ani choćby sprawdzić” w jego obecnej formie.
„Czy mogą Państwo ponownie wystawić warunki dotyczące danych osobowych, ponieważ występują w nich różne błędy [and] kwestie redakcyjne” – napisał jeden z potencjalnych dostawców. „Masz niekompletne i niespójne zdania i/lub klauzule, które wydają się, iż próbowałeś dokonać aktualizacji, ale wygląda na to, iż coś poszło nie tak w znacznikach”.
Inny dostawca również zarzucił Załącznikowi 7, iż jest „nieprawidłowo opracowany” i pełen błędów gramatycznych.
Reprezentatywne oświadczenie
W odpowiedzi na pytania przedstawiciel CCS oświadczył, iż organizacja „w odpowiednim czasie dokona wszelkich niezbędnych poprawek do dokumentów”.
W międzyczasie zadawane są pytania, w jaki sposób i dlaczego CCS pozwoliło na publikację dokumentu w obecnym stanie.
Nicky Stewart, była szefowa działu ICT w brytyjskim biurze gabinetu, stwierdziła, iż Załącznik 7 ma „wszystkie cechy pracy wykonywanej w pośpiechu” i powiedziała Computer Weekly o swoim zdziwieniu, gdy zobaczyła dokument, który „pod każdym względem jest dziełem w toku”. ” udostępniane w ten sposób dostawcom.
„Jako proponowany prawnie wiążący dokument dostawcy nie mogą dokonać świadomej oceny zakresu swoich obowiązków wynikających z załącznika, co powinien zrobić każdy odpowiedzialny dostawca” – stwierdziła.
„Wątpię również, czy kupujący czułby się komfortowo, opierając się na harmonogramie w jego obecnej formie, biorąc pod uwagę dużą liczbę błędów i problemów z odniesieniami w nim zawartym. Skuteczne umowy są całkowicie jasne i jednoznaczne zarówno pod względem treści, jak i intencji. Załącznik 7 nie jest żadnym z nich. CCS musi poprawić Harmonogram i wystawić go ponownie tak szybko, jak to możliwe.”
Owen Sayers, starszy partner w firmie konsultingowej ds. bezpieczeństwa IT Secon Solutions, poparł pogląd Stewarta i stwierdził, iż zawartość Załącznika 7 „spada nieco poniżej standardów”, których można by się spodziewać w przypadku „tak głośnego i wewnętrznie ważnego zamówienia rządowego”.
Łączenie dokumentów
Źródła w społeczności dostawców IT sektora publicznego wskazały podobieństwa w treści Załącznika 7 i częściach Umowy Sektora Publicznego dotyczących ochrony danych, co wywołało spekulacje, iż błędy w G-Cloud 14 mogą wynikać z próby połączenia przez CCS tych dwóch dokumentów razem – szczególnie tak jak CCS wcześniej stwierdziłem, iż podjęto kroki w przypadku G-Cloud 14 dostosować jego treść do PSC, który jest standardowym szablonem stosowanym przez organizację przy sporządzaniu umów ramowych
7 marcana przykład firma CCS potwierdziła, iż obniżyła kwotę ubezpieczenia, jaką muszą posiadać uczestnicy G-Cloud 14 w następstwie ostrej reakcji dostawców.
Jak wcześniej informował Computer Weekly, firma CCS początkowo poinformowała dostawców, iż będą musieli zwiększyć o 20 mln funtów kwotę ubezpieczenia niezbędną do uczestnictwa w G-Cloud 14, aby zapewnić zgodność ram z PSC.
Jeśli chodzi o teorię dostawcy, Sayers stwierdził: „jest jasne, iż w tej wersji występują problemy związane z kopiowaniem i wklejaniem klauzul przeniesionych zarówno z poprzednich wersji G-Cloud, jak i innych ram rządowych”.
To powiedziawszy, problemy z Załącznikiem 7 wykraczają poza to, iż jest wypełnione błędami i trudne do odczytania, ale mogą również prowadzić do tego, iż niektórzy nabywcy i dostawcy IT z sektora publicznego nieświadomie łamią prawo podczas przetwarzania danych osobowych – dodał.
Dzieje się tak, ponieważ w Załączniku 7 nie ma odniesień do ustawy o ochronie danych (DPA) 2018 część 3, która zawiera rygorystyczne wymagania określające, w jaki sposób policja i organy egzekwowania prawa w Wielkiej Brytanii mają przetwarzać dane osobowe do celów egzekwowania prawa.
„Pominięcie części 3 DPA jest bardzo poważne, ponieważ wszelkie umowy zawarte bez uwzględnienia prawnie wymaganych klauzul na podstawie sekcji 59 nie będą stanowić podstawy prawnej do przetwarzania danych osobowych organów ścigania” – kontynuował Sayers.
„Chociaż ryzyko podjęcia działań egzekucyjnych przez Biuro Komisarza ds. Informacji (ICO) może być niskie, prawdziwym ryzykiem jest wyzwanie dla przyznanego zamówienia przez dostawcę, który mógłby świadczyć usługi prawne, lub roszczenia ze strony społeczeństwa, którego dane są przetwarzane nielegalnie , na co ustawa na to pozwala.”
Zaniedbanie uwzględnienia tych klauzul może również sprawić, iż uczestnictwo w G-Cloud 14 stanie się problematyczne dla organów ścigania.
Według danych sprzedażowych G-Cloud, opublikowane przez firmę konsultingową ds. zamówień publicznych Advice Cloud, sektor służb ratunkowych jest piątym co do wielkości nabywcą usług w ramach tej platformy, a jego łączne wydatki za pośrednictwem G-Cloud wyniosły dotychczas 399,81 mln GBP.
Rozkładając dane na dalszy plan, korzystając z danych dotyczących sprzedaży CCS Digital Marketplace, dziewięciu z 10 największych użytkowników G-Cloud w sektorze służb ratunkowych to organy ścigania, w tym m.in. Metropolitan Police, Thames Valley Police, Greater Manchester Policja i Służba Cyfrowa Policji.
„Pominięcie kluczowych klauzul wymaganych przez brytyjskie prawo o ochronie danych w dużej mierze neguje wartość ram dla sektora egzekwowania prawa, ponieważ każda umowa zawarta na ich podstawie może zostać uznana za nieważną” – ostrzegł Sayers. „Siły policyjne i inne podobne organy musiałyby zatem zdecydować, czy przez cały czas korzystać z G-Cloud i naruszać DPA 2018, czy też realizować zamówienia poza ramami, stosując odpowiednie warunki prawne, co spowodowałoby znaczne koszty ogólne”.
Sayers stwierdziła, iż nierzadko zdarza się, iż w umowach CCS zaniedbuje się uwzględnienie odniesień do części 3 DPA 2018, mimo iż jest to ustawodawstwo Wielkiej Brytanii mające zastosowanie do całego sektora egzekwowania prawa od prawie sześciu lat.
Nawiasem mówiąc, wcześniejsze dochodzenie „Computer Weekly”.opublikowany w grudniu 2020 r. ujawnił, iż siły policyjne w Wielkiej Brytanii bezprawnie przetwarzały dane milionów ludzi na platformie Microsoft 365, ponieważ krajowe wdrożenie tej technologii nie spełniało wymagań części 3 ustawy DPA 2018.
„Musimy w pewnym momencie uznać i zająć się faktem, iż każdy administrator organów ścigania powołujący się na te klauzule w celu nabycia i korzystania z usług G-Cloud, Cloud Compute 2 lub jakiejkolwiek innej platformy złamie prawo, jeżeli będzie przetwarzał dane osobowe w ramach tych umów w celach związanych z egzekwowaniem prawa” – powiedział Sayers. „To samo zrobią dostawcy, którzy pełnią rolę podmiotu przetwarzającego”.
Computer Weekly przesłał do CCS wszystkie twierdzenia dotyczące pośpiesznego i wypełnionego błędami Załącznika 7, wraz z obawami dotyczącymi braku zawartych w nim odniesień do części 3 DPA 2018, i otrzymał w odpowiedzi następujące oświadczenie: „G-Cloud 14 to zamówienie na żywo. Dostawcy powinni zgłaszać pytania dotyczące zamówienia bezpośrednio w ramach oficjalnego procesu wyjaśniania, podczas którego zostaną one sprawdzone i odpowiednio rozpatrzone.
