Na začátku května 2024 informoval Evropský parlament své zaměstnance o rozsáhlém narušení dat v náborové platformě instituce (zvané "PEOPLE"). Narušení se týkalo osobních údajů více než 8 000 zaměstnanců. Jednalo se o občanské průkazy a cestovní pasy, výpisy z rejstříku trestů, doklady o pobytu a dokonce i citlivé údaje, jako jsou oddací listy, které odhalují sexuální orientaci osoby. Parlament se o narušení dozvěděl až několik měsíců poté, co k němu došlo, a zdá se, že stále nezná příčinu. To je obzvláště znepokojivé, protože Parlament si je již dlouho vědom zranitelnosti svého systému kybernetické bezpečnosti. Instituce EU jsou přirozeně vysoko na seznamu hackerů a zahraničních protivníků. noyb nyní podal jménem čtyř zaměstnanců parlamentu dvě stížnosti k evropskému inspektorovi ochrany údajů.
Údaje všech žadatelů na jednom místě. Než se budete moci ucházet o práci v Evropském parlamentu, musíte se zaregistrovat na jeho náborové platformě PEOPLE. Tam uchazeči poskytují instituci hromadu osobních údajů. Jedná se o občanské průkazy a pasy, doklady o pobytu a vzdělání a také citlivé údaje, jako jsou výpisy z rejstříku trestů a oddací listy, které mohou odhalit vaši sexuální orientaci. O to důležitější je, aby Parlament EU přijal vhodná bezpečnostní opatření na ochranu těchto údajů před přístupem třetích stran.
Tisíce lidí postižených únikem dat. Dne 26. dubna 2024 informoval Parlament EU evropského inspektora ochrany údajů (EIOÚ) o rozsáhlém narušení bezpečnosti údajů v systému PEOPLE, které se dotklo více než 8 000 současných a bývalých zaměstnanců. Stále není jasné, kdy a jak k narušení bezpečnosti údajů vlastně došlo, ale postiženým bylo sděleno, že každý jednotlivý dokument který nahráli do systému PEOPLE, byl ohrožen. Parlament 31. května doporučil dotčeným osobám, aby si z preventivních důvodů vyměnily občanské průkazy a cestovní pasy, a nabídl jim náhradu nákladů. V době podání této stížnosti stále není jasné, jak dlouho měli útočníci přístup k osobním údajům žadatelů.
Lorea Mendigurenová, právnička zabývající se ochranou osobních údajů v advokátní kanceláři noyb: "Toto narušení přichází po opakovaných kybernetických bezpečnostních incidentech v institucích EU v uplynulém roce. Parlament má povinnost zajistit řádná bezpečnostní opatření vzhledem k tomu, že jeho zaměstnanci jsou pravděpodobným cílem zlých aktérů."
Známá zranitelná místa v oblasti kybernetické bezpečnosti. Tento incident je obzvláště znepokojivý, protože Parlament si je dlouhodobě vědom zranitelnosti v oblasti kybernetické bezpečnosti: V listopadu 2023 provedlo IT oddělení Parlamentu přezkum kybernetické bezpečnosti - a dospělo k závěru, že kybernetická bezpečnost instituce "dosud nesplňuje odvětvové standardy" a že stávající opatření jsou "plně neodpovídala úrovni ohrožení" kterou představují státem sponzorovaní hackeři. Nejen to, k narušení bezpečnosti PEOPLE došlo současně s řadou dalších kybernetických útoků na instituce EU. Ruské hackerské skupiny zaútočily na webové stránky Parlamentu v listopadu 2022 a na podzim 2023 na řadu evropských vlád. V únoru 2024 utrpěl Parlament jiné narušení ve svém podvýboru pro bezpečnost a obranu, když dva poslanci a jeden zaměstnanec našli ve svých zařízeních izraelský špionážní software.
Max Schrems, předseda noyb: "Jako občana EU mě znepokojuje, že instituce EU jsou stále tak zranitelné vůči útokům. To, že se takové informace šíří, je nejen děsivé pro postižené osoby, ale může to být také zneužito k ovlivňování demokratických rozhodnutí."
Mnohem více údajů, než je nutné. Únik dat také odhaluje, že Parlament nedodržuje požadavky GDPR na minimalizaci a uchovávání údajů. Čl. 4 odst. 1 písm. c) GDPR EU vyžaduje, aby orgány EU zpracovávaly pouze údaje, které jsou "přiměřené, relevantní a omezené na to, co je nezbytné ve vztahu k účelům, pro které jsou zpracovávány". Nicméně doba uchovávání osobních údajů v případě náborového spisu v Parlamentu EU je 10 let. To je ještě znepokojivější, když si uvědomíme, že tyto soubory obsahují také zvlášť chráněné citlivé údaje podle článku 9, které mohou odhalit etnický původ, politické názory, náboženské přesvědčení nebo sexuální orientaci lidí. V tomto případě stěžovatelka nahrála na portál kopii svého oddacího listu. To umožnilo určit její sexuální orientaci.
Max Schrems, předseda noyb: "Toto narušení také ukazuje, že pouhé včasné zbavení se osobních údajů mohlo pravděpodobně omezit dopad narušení."
Dvě stížnosti u evropského inspektora ochrany údajů. noyb nyní podal jménem zaměstnanců dvě stížnosti k evropskému inspektorovi ochrany údajů (EDPS). Evropský inspektor ochrany údajů je orgánem odpovědným za porušování ochrany údajů ze strany orgánů EU. Zdá se, že Parlament EU porušil čl. 4 odst. 1 písm. c) a f) a čl. 33 odst. 1 nařízení EU o ochraně osobních údajů. V případě jednoho stěžovatele navíc Parlament odmítl žádost o výmaz podanou po porušení s odkazem na desetiletou dobu uchovávání, a to navzdory obavám stěžovatele vzhledem k porušení a skutečnosti, že zde již několik let nepracoval. noyb žádá evropského inspektora ochrany údajů, aby využil svých nápravných pravomocí a nařídil Parlamentu uvést zpracování údajů do souladu s předpisy. Kromě toho, noyb navrhuje, aby evropský inspektor ochrany údajů uložil přiměřenou správní pokutu, která by zabránila podobným porušením v budoucnu.
