В началото на май 2024 г. Европейският парламент информира служителите си за мащабен пробив в данните в платформата за набиране на персонал на институцията (наречена "PEOPLE"). Нарушението засегна личните данни на повече от 8000 служители. Те включваха лични карти и паспорти, извлечения от регистрите за съдимост, документи за пребиваване и дори чувствителни данни като брачни свидетелства, които разкриват сексуалната ориентация на дадено лице. Парламентът разбра за нарушението едва месеци след като то се случи, и изглежда все още не знае причината за него. Това е особено тревожно, тъй като Парламентът отдавна е наясно с уязвимостта на своята система за киберсигурност. Институциите на ЕС естествено са на челно място в списъка на хакерите и чуждестранните противници. noyb вече е подал две жалби до Европейския надзорен орган по защита на данните от името на четирима служители на парламента.
Данните на всички жалбоподатели на едно място. Преди да можете да кандидатствате за работа в Европейския парламент, трябва да се регистрирате в неговата платформа за набиране на персонал PEOPLE. Там кандидатите предоставят на институцията множество лични данни. Това включва лични карти и паспорти, документи за пребиваване и образование, както и чувствителни данни като извлечения от криминални досиета и брачни свидетелства, които могат да разкрият сексуалната ви ориентация. Затова е още по-важно Парламентът на ЕС да предприеме подходящи мерки за сигурност, за да защити тези данни от достъп на трети страни.
Хиляди хора са засегнати от нарушение на сигурността на данните. На 26 април 2024 г. Парламентът на ЕС информира Европейския надзорен орган по защита на данните (ЕНОЗД) за мащабно нарушение на сигурността на данните в PEOPLE, което засяга повече от 8000 настоящи и бивши служители. Все още не е ясно кога и как всъщност е станало нарушението на сигурността на данните, но на засегнатите лица е съобщено, че всеки един документ който са качили в PEOPLE, е бил компрометиран. На 31 май Парламентът посъветва засегнатите лица да подменят личните си карти и паспорти като предпазна мярка и предложи да им възстанови разходите. Към момента на подаване на настоящата жалба все още не е ясно колко време нападателите са имали достъп до личните данни на кандидатите.
Лореа Мендигурен, юрист по защита на данните в noyb: "Това нарушение идва след многократните инциденти с киберсигурността в институциите на ЕС през изминалата година. Парламентът е длъжен да осигури подходящи мерки за сигурност, като се има предвид, че служителите му са вероятни мишени за лоши актьори."
Известни уязвимости в областта на киберсигурността. Този инцидент е особено тревожен, тъй като Парламентът отдавна е наясно с уязвимостите в киберсигурността: През ноември 2023 г. ИТ отделът на Парламента проведе преглед на киберсигурността - и заключи, че киберсигурността на институцията "все още не отговаря на индустриалните стандарти" и че съществуващите мерки са "не съответстват напълно на нивото на заплаха" от страна на държавно спонсорирани хакери. Не само това, но и пробивът в PEOPLE се случи заедно с редица други кибератаки срещу институции на ЕС. През ноември 2022 г. руски хакерски групи атакуваха уебсайта на Парламента, а през есента на 2023 г. - множество европейски правителства. През февруари 2024 г. Парламентът претърпя друг пробив в своята подкомисия по сигурност и отбрана, когато двама членове на ЕП и един служител откриха на устройствата си израелски шпионски софтуер.
Макс Шремс, председател на noyb: "Като гражданин на ЕС е тревожно, че институциите на ЕС все още са толкова уязвими на атаки. Разпространението на подобна информация е не само плашещо за засегнатите лица, но и може да се използва за оказване на влияние върху демократичните решения."
Много повече данни, отколкото е необходимо. Нарушението на сигурността на данните разкрива също така, че Парламентът не спазва изискванията на ОРЗД за свеждане до минимум и запазване на данните. Член 4, параграф 1, буква в) ОРЗД НА ЕС изисква от институциите на ЕС да обработват само данни, които са "адекватни, релевантни и ограничени до това, което е необходимо във връзка с целите, за които се обработват". Въпреки това периодът на съхранение на досиетата за набиране на персонал в Парламента на ЕС е 10 години. Това е още по-притеснително, когато се има предвид, че тези досиета съдържат и специално защитени чувствителни данни съгласно член 9, които могат да разкрият етническата принадлежност, политическите възгледи, религиозните убеждения или сексуалната ориентация на хората. В този случай жалбоподателката е качила в портала копие от брачното си свидетелство. Това е дало възможност да се определи нейната сексуална ориентация.
Макс Шремс, председател на noyb: "Нарушението също така показва, че само своевременното отърваване от личните данни вероятно би могло да ограничи въздействието на нарушението."
Две жалби до ЕНОЗД. noyb вече е подал две жалби до Европейския надзорен орган по защита на данните (ЕНОЗД) от името на служители. ЕНОЗД е органът, който отговаря за нарушения на защитата на данните от страна на институциите на ЕС. Изглежда, че Парламентът на ЕС е нарушил член 4, параграф 1, букви в) и е) и член 33, параграф 1 от ОРЗД. Освен това в случая на един от жалбоподателите Парламентът е отказал искане за заличаване, направено след нарушението, като се е позовал на 10-годишния период на съхранение, въпреки опасенията на жалбоподателя предвид нарушението и факта, че не е работил там от няколко години. noyb отправя искане към ЕНОЗД да използва своите корективни правомощия, за да разпореди на Парламента да приведе обработката на данните в съответствие с изискванията. В допълнение, noyb предлага ЕНОЗД да наложи подходяща административна глоба, за да предотврати подобни нарушения в бъдеще.
