Afghanistan Data Breach: what legal action can be taken against the Ministry of Defence?

The UK Government has this week come clean on a shocking data breach by the Ministry of Defence (MOD) which potentially put thousands of lives at risk.

“Afghan Commandos practice infiltration techniques with Afghan National Army Air Corps." by NATO Training Mission-Afghanistan is licensed under CC BY-SA 2.0. To view a copy of this license, visit https://creativecommons.org/licenses/by-sa/2.0/?ref=openverse

How did the breach happen?

When the Taliban regained control of Afghanistan in 2021 there were grave concerns that Afghans who worked for/assisted the UK Government would face punishment including torture and death.  Those concerns were so serious that the UK Government set up the Afghan Relocation and Assistance Policy (ARAP) to offer assistance to affected individuals, which in many cases included an offer to relocate those individuals in the UK.

It is now understood that in February 2022 an MOD serviceman accidentally shared a database of individuals who had applied for the ARAP scheme whilst trying to verify whether they were eligible for relocation.  The details of some 18,000 individuals were unwittingly disclosed, creating a risk of their identities being revealed to the Taliban regime, placing their lives (and the lives of their families) in serious jeopardy.

How and why was it kept a secret?

The Government did not become aware of any of this until August 2023 when an individual revealed that they had access to the details on a facebook group.

A number of journalists became aware of what had happened.  The Government could not at the time be sure whether the Taliban had already accessed the data,  but quickly realised that something had to be done, noting that if news of the leak got out it could risk thousands of lives.  In September 2023 they went to Court. The result was a contra mundum super injunction (that is, an injunction which applies to the whole world which forbids not just the reporting of a legal dispute but also the existence of the injunction itself.)

MOD lawyers claimed this would be a temporary measure whilst they put in place further measures to ensure the safety of the Afghan nationals who had been included in the database (i.e. by relocating them to the UK under a further scheme, set up in secret, known as the Afghanistan Response Route (ARR)).  However the super-injunction remained in place for almost two years.  In that time, the Government has had to relocate thousands more Afghan nationals than it originally intended, but has been unable to explain – to the public or even to Parliament – the true reason for doing so.

Yesterday on 15 July 2025 the super-injunction was lifted and Defence Secretary John Healey revealed its existence for the first time in parliament.  Mr Healey offered an apology on behalf of the British government, and acknowledged “the duty we owe to those who worked and fought alongside our troops in Afghanistan.”

• It is understood that 23,900 Afghans linked to the breach have been offered relocation to the UK, and the MOD estimates that 6,900 of those would not otherwise have been relocated under the ARAP scheme.
• It is also understood that at least 17 Afghans who appeared on the database have been killed by the Taliban.
• The UK government anticipated that the costs of relocating everyone implicated in the incident would be around £7 billion.

This episode raises questions about many aspects of the law including the treatment of foreign nationals, freedom of the press, and how the government was able to use the law to avoid public and parliamentary scrutiny for so long.  But what is most striking is the failure to adhere to very basic data protection obligations.  This breach has been genuinely catastrophic.  The Independent reports that at least 17 Afghans named in the database have been killed by the Taliban, 14 after the breach occurred (though it is not known whether any were a result of this incident specifically).  The Afghans identified have now had to have their entire lives uprooted by relocating to the UK.  The public will also want to know how such a basic mistake which led to such costly consequences was allowed to happen.

Has anything like this happened before?

The super-injunction put in place to cover the Government’s tracks appears to be legally unprecedented.  However as for the data breach itself, this is certainly not the first time an incident like this has occurred.

Concerningly Mr Healey’s statement to Parliament explicitly admits this, stating “it was one of many data losses relating to the ARAP scheme during this period”.

In December 2023 the Information Commissioner’s Office (ICO) fined the MOD £350,000 for a data breach involving the very same relocation scheme.  The breach was caused by MOD staff sending an email to some 265 recipients using the “to” field, mistakenly revealing the identities of all recipients.

In 2013 the Home Office were responsible for an inadvertent leak of a spreadsheet containing the names and personal data of a number of asylum seekers.  It risked alerting the authorities in their respective home countries of their whereabouts, and placed them and their families at risk of persecution.  A number of the affected individuals sued the Home Office, resulting in the High Court awarding compensation.

This unfortunately indicates an ongoing pattern of disregard for data protection rights within government departments and a failure to appreciate the very grave consequences when information gets into the wrong hands.

What are the legal routes for those affected?

Legal action against the MOD now seems inevitable.  This could take one or more forms:

Public Inquiry

The Defence Secretary has so far been reluctant to suggest a public inquiry is required but there is likely to be pressure for one to take place in order to answer questions surrounding what happened, how the breach occurred and the steps taken following the breach. There may also be important questions to be addressed relating to the deaths of individuals on the list following the breach.

Civil claims

Individuals involved are very likely to be able to bring their own civil claims against the MOD.  It is understood that a group of 650 individuals have already started compensation claims and it appearsmany more will have potential claims.  It is likely that many of the people involved will have suffered untold damage and distress as a result of their data being leaked, at the risk of falling into the hands of the Taliban, and then having to uproot their lives and relocate to the UK to escape harm.

The law provides a right to compensation where an individual’s data protection rights are breached and that leads to damage and/or distress.  It is also likely that the MOD has breached its obligations under the Human Rights Act, including not only the Article 8 right to privacy, but also Articles 2 and 3 which impose an obligation to protect individuals when they are at risk of death or torture.

Compensation scheme

It is very much early days but after an incident of this magnitude it is possible the government will establish a statutory compensation scheme for affected victims, potentially offering a streamlined route to obtaining compensation.

Saunders Law are recognised in Chambers & Partners and the Legal 500 for data protection matters, high-profile group claims such as the Hillsborough misfeasance litigation and Grenfell civil claims, and public inquiries such as Grenfell and Covid-19.

Contact us to make an enquiry.  We have a Pashto speaking solicitor.

 

 

افغانستان د معلوماتو سرغړونه: د دفاع وزارت پر ضد کوم قانوني اقدام اخیستل کیدی شي؟

 

د بریتانیا حکومت په دې اوونۍ کې د دفاع وزارت (MOD) لخوا د یو حیرانونکې معلوماتو د سرغړونې په اړه روښانه معلومات ورکړي چې ممکن زرګونه ژوندونه په خطر کې واچوي.

 

سرغړونه څنګه ترسره شوه؟

کله چې طالبان په ۲۰۲۱ کال کې بیا د افغانستان واک ته ورسېدل، نو دا جدي اندېښنې موجودې وې چې هغه افغانان چې د برېتانیې له حکومت سره یې کار کړی یا مرسته کړې وه، ښایي له سزا، شکنجې او حتی مرګ سره مخ شي.  دا اندېښنې دومره جدي وې چې د برېتانیې حکومت د افغان کډوالۍ او مرستې تګلاره (ARAP) رامنځته کړه، ترڅو اغېزمنو کسانو ته مرسته وړاندې کړي، چې په ډېرو مواردو کې پکې دغه کسانو ته په برېتانیه کې د استوګنې وړاندیز هم شامل و.

اوس دا خبره روښانه شوې چې د ۲۰۲۲ کال د فبرورۍ په میاشت کې د دفاع وزارت یوه کارکوونکي په ناپامۍ سره د هغو کسانو یوه ډیټابیس (Database) شریک کړی و، چې د ARAP پروګرام لپاره یې درخواست ورکړی و، دا هر څه هغه وخت وشول کله چې نوموړی هڅه کوله دا معلومه کړي چې دغه کسان د انتقال لپاره مستحق دي که نه.  د شاوخوا ۱۸,۰۰۰ کسانو معلومات په ناپامه توګه افشا شول، چې له امله یې دا خطر رامنځته شو چې د هغوی پېژندګلوي د طالبانو رژیم ته څرګنده شي، چې دا چاره د هغوی او (د هغوی د کورنیو د ژوند لپاره) جدي ګواښ ګڼل کېږي.

دا څنګه او ولې پټ ساتل شوی و؟

حکومت تر اوسه پورې د دې ټولو څخه خبر نه و تر هغه چې په اګست ۲۰۲۳ کې یوه فرد څرګنده کړه چې دوی د فېسبوک په یوه ګروپ کې د معلوماتو ته لاسرسی لري.

یو شمېر خبریالانو د هغه څه په اړه خبر شول چې پیښ شوي وو.  په هغه وخت کې حکومت ډاډه نه و چې آیا طالبانو له دې معلوماتو څخه لا دمخه لاسرسی موندلی که نه، خو ژر یې دا درک کړه چې باید فوری اقدام وشي، ځکه که د دې افشاء خبر خپور شي، نو دا به د زرګونو خلکو ژوند له جدي خطر سره مخ کړي.  په سپتمبر ۲۰۲۳ کې هغوی محکمې ته لاړل. پایله یې یوه (کانټرا منډم سوپر انجنکشن) وه، یعنې داسې یو قضایي حکم چې په ټولې نړۍ تطبیقېږي، او نه یوازې د قانوني شخړې د راپور ورکولو اجازه نه ورکوي، بلکې د دغه انجنکشن د موجودیت افشا کول هم منع کوي.)

د MOD وکیلان ادعا وکړه چې دا به یوه موقتي تدبیر وي په داسې حال کې چې دوی نور تدابیر په ځای کوي ترڅو د هغو افغان ملیتونو خوندیتوب یقیني کړي چې د معلوماتو په ډیټابیس کې شامل شوي دي (یعنې د دوی د نورو پروګرام له لارې، چې په پټه جوړ شوی دی، د افغانستان ځواب لاره (ARR) په لاندې بریتانیا ته لیږدول).  خو دا سوپر انجنکشن نږدې دوه کاله پر خپل ځای پاتې شو.  په هغه وخت کې، حکومت اړ شوی چې د هغو افغان ملیتوالو د زرګونو نورو ځای پر ځای کولو ته اړتیا ولري چې دا یې په اصل کې پلان کړی و، مګر نه یې توانېدلی چې د دې کار حقیقي دلیل عامه خلکو یا حتی پارلمان ته تشریح کړي.

تېره ورځ، د ۱۵ جولای ۲۰۲۵ نېټه، سوپر-انجکشن لغوه شو او د دفاع وزیر جان هیلي په پارلمان کې د دې شتون لومړی ځل څرګند کړ.  ښاغلي هیلي د بریتانیا حکومت په استازیتوب بخښنه وړاندې کړه او ومنله چې "موږ د هغو کسانو په وړاندې دنده لرو چې د افغانستان په جګړه کې زموږ د ځواکونو سره کار کړی او جنګیدلی."

• دا پوهیدل کیږي چې ۲۳،۹۰۰ افغانان چې د دې سرغړونې سره تړاو لري، د بریتانیا ته د انتقال وړاندیز شوی دی، او د MOD اټکل کوي چې ۶،۹۰۰ یې به د ARAP پروګرام لاندې بله لاره نه وي درلوده.
• دا هم پوهېدلی دی چې لږ تر لږه ۱۷ افغانان چې په دې ډیټابیس کې څرګند شوي، د طالبانو لخوا وژل شوي دي.
• د بریتانیا حکومت تمه درلوده چې د پېښې سره تړلو ټولو کسانو د کډوالۍ لګښتونه به شاوخوا ۷ میلیارده پونډه وي.

دا قسط د قانون په ډیرو اړخونو کې پوښتنې راپورته کوي چې پکې د بهرنیو اتباعو چلند، د مطبوعاتو آزادۍ، او دا چې حکومت څنګه وتوانید چې د قانون څخه ګټه واخلي ترڅو د دې لپاره د خلکو او پارلماني څارنې څخه تر دې دمه مخنیوی وکړي.  خو تر ټولو د پام وړ خبره دا ده چې د ډېټا د خوندي ساتلو تر ټولو بنسټیزو مسؤولیتونو ته هم پاملرنه نه ده شوې.  دا سرغړونه رښتیني ډول سره یوه فاجعه‌باره وه.  د انډیپندینټ راپورونه ورکوي چې په ډیټابیس کې لږ تر لږه ۱۷ افغانان چې نومونه یې شامل دي، د طالبانو لخوا وژل شوي، ۱۴ یې د دې پیښې وروسته وژل شوي (که څه هم دا نه ده معلومه چې آیا کوم یې په ځانګړې توګه د دې پیښې نتیجه ده)  هغه افغانان چې پېژندل شوي دي، اوس اړ شوي چې خپل ټول ژوند پرېږدي او برېتانیا ته کډه وکړي.  عامه خلک به هم غواړي پوه شي چې څنګه داسې یو بنسټیز تېروتنه چې دې ته دومره قیمتي پایلې ورسېدې، رامنځته شوې ده.

آیا مخکې داسې څه پیښ شوي دي؟

د حکومت د پښو پټولو لپاره وضع شوی سوپر-انجکشن قانوني لحاظه بې ساري ښکاري.  خو د معلوماتو د سرغړونې په اړه، دا یقیناً لومړی ځل ندی چې داسې پېښه رامنځته کیږي.

د اندېښنې وړ خبره دا ده چې د ښاغلي هیلي وینا پارلمان ته دا خبره په ښکاره ډول منلې ده، نوموړي ویلي: "دا د ARAP پروګرام سره تړلو ګڼو د معلوماتو د له‌منځه تلو پېښو څخه یوه وه چې په دې موده کې رامنځته شوې."

په دسمبر ۲۰۲۳ کې د معلوماتو کمیشنر دفتر (ICO) د MOD په خلاف د ۳۵۰,۰۰۰ پونډو جرمانه ولګوله د هغه معلوماتو د سرغړونې لپاره چې د همدغه انتقال سکیم سره تړاو لري.  د دې سرغړونې لامل د MOD کارکوونکو لخوا د ۲۶۵ کسانو ته د "ته" په برخه کې ایمیل لیږل و، چې په غلطۍ سره د ټولو ترلاسه کونکو پیژندنې افشا شوې.

په ۲۰۱۳ کال کې د کورنیو چارو وزارت د یوه جدول د ناسم افشا کولو مسؤل و چې د څو پناه غوښتونکو نومونه او شخصي معلومات پکې شامل وو.  دا د دې خطره درلوده چې په خپلو هېوادونو کې چارواکو ته د دوی د شتون خبر ورکړي، او دوی او د دوی کورنۍ د تعقیب په خطر کې واچوي.  یو شمیر متاثره افراد د کورنیو چارو وزارت پر وړاندې دعوه وکړه، چې په پایله کې لوړ محکمې تاوان ورکړ.

دا بدبختانه توګه دا ښيي چې د حکومت په ادارو کې د معلوماتو د خونديتوب له حقونو سره یو دوامداره بې‌پروایي روانه ده، او دا هم څرګندوي چې کله معلومات ناسم لاسونو ته ولویږي، د هغه ډېر خطرناک پایلو جدي درک نه لري.

د هغو کسانو لپاره کوم قانوني لارې شتون لري چې متاثر شوي دي؟

د MOD پر وړاندې قانوني اقدام اوس ناڅرګند ښکاري.  دا کولی شي یوه یا څو بڼې ولري:

عامه تحقیق

د دفاع وزیر تر دې دمه دا وړاندیز کولو ته چمتو نه دی چې یوه عامه پلټنه ضروري ده، خو ډېر امکان شته چې د یوې پلټنې لپاره فشار زیات شي، ترڅو دا پوښتنې ځواب شي چې څه پېښه وشوه، دا معلوماتي سرغړونه څنګه رامنځته شوه، او له هغې وروسته کوم ګامونه پورته شول. کېدای شي د لیست کې د کسانو د مړینې سره تړلې مهمې پوښتنې هم وي چې باید حل شي.

مدني ادعاوې

شخصونه چې په دې کې شامل دي، ډېر امکان لري چې د MOD پر وړاندې خپلې مدني دعوې وړاندې کړي.  دا څرګنده ده چې د ۶۵۰ کسانو یوه ډله لا دمخه د تاوان غوښتنې پیل کړې دي او داسې ښکاري چې نور ډیر کسان به د احتمالي غوښتنو سره مخ شي.  دا احتمال شته چې ډیری خلک چې پکې شامل دي د خپلو معلوماتو د افشا کیدو له امله نه بیانیدونکي زیان او اندیښنې تجربه کړي وي، د دې خطر سره چې د طالبانو لاس ته ولګیږي، او بیا مجبور شي چې خپل ژوندونه له سره جوړ کړي او د زیان نه د بچ کیدو لپاره بریتانیا ته لاړ شي.

قانون د تعویض حق برابروي چیرې چې د یوه فرد د معلوماتو د ساتنې حقونه سرغړونه کیږي او دا زیان او/یا خپګان ته لاره هواروي.  دا هم ممکنه ده چې د دفاع وزارت د بشري حقونو د قانون لاندې خپلې ژمنې ماتې کړې وي، چې پکې نه یوازې د ۸مې مادې د محرمیت حق شامل دی، بلکې د ۲مې او ۳مې مادې هم شاملې دي چې پر افرادو د مرګ یا شکنجې په حالت کې د ساتنې ژمنه لګوي.

 

د تاوان سکیم

 دا ډېر وخت مخکې دی، مګر د دې کچې پیښې وروسته، ممکن حکومت د متاثره قربانیانو لپاره یو قانوني تعویض سکیم جوړ کړي، چې په احتمالي توګه د تعویض ترلاسه کولو لپاره یو ساده لاره وړاندې کوي.

ساونډرز قانون د چیمبرز او همکارانو او قانوني 500 لخوا د معلوماتو د خوندیتوب مسایلو، لوړ پروفایل ډلې ادعاوو لکه د هیلزبره د غلط چلند قضیه او د ګرینفل مدني ادعاوې، او عامه تحقیقونو لکه ګرینفل او کوویډ-19 لپاره پیژندل شوي دي.

موږ سره اړیکه ونیسئ ترڅو پوښتنه وکړئ.  موږ یوه پښتو ویونکې وکیل لرو.