Στις αρχές Μαΐου 2024, το Ευρωπαϊκό Κοινοβούλιο ενημέρωσε το προσωπικό του για μια μαζική παραβίαση δεδομένων στην πλατφόρμα προσλήψεων του ιδρύματος (που ονομάζεται «PEOPLE»). Η παραβίαση επηρέασε τα προσωπικά δεδομένα περισσότερων από 8.000 υπαλλήλων. Αυτό περιελάμβανε δελτία ταυτότητας και διαβατήρια, αποσπάσματα ποινικού μητρώου, έγγραφα διαμονής και ακόμη και ευαίσθητα δεδομένα, όπως πιστοποιητικά γάμου που αποκαλύπτουν τον σεξουαλικό προσανατολισμό ενός ατόμου. Το Κοινοβούλιο έμαθε για την παραβίαση μόνο μήνες μετά τη συνέβη, και ακόμα δεν φαίνεται να γνωρίζει την αιτία. Αυτό είναι ιδιαίτερα ανησυχητικό καθώς το Κοινοβούλιο έχει επί μακρόν επίγνωση των τρωτών σημείων στο σύστημα κυβερνοασφάλειάς του. Τα θεσμικά όργανα της ΕΕ βρίσκονται φυσικά ψηλά στη λίστα των χάκερ και των ξένων αντιπάλων. Η noyb έχει τώρα υποβάλει δύο καταγγελίες στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων για λογαριασμό τεσσάρων υπαλλήλων του κοινοβουλίου.
Τα στοιχεία όλων των αιτούντων σε ένα μέρος. Για να μπορέσετε να υποβάλετε αίτηση για δουλειά στο Ευρωπαϊκό Κοινοβούλιο, πρέπει να εγγραφείτε στην πλατφόρμα προσλήψεων PEOPLE. Εκεί, οι αιτούντες παρέχουν στο ίδρυμα σωρούς προσωπικών δεδομένων. Αυτό περιλαμβάνει ταυτότητες και διαβατήρια, έγγραφα διαμονής και εκπαίδευσης, καθώς και ευαίσθητα δεδομένα, όπως αποσπάσματα ποινικού μητρώου και πιστοποιητικά γάμου που μπορούν να αποκαλύψουν τον σεξουαλικό σας προσανατολισμό. Αυτό καθιστά ακόμη πιο σημαντικό το γεγονός ότι το Ευρωπαϊκό Κοινοβούλιο λαμβάνει τις κατάλληλες προφυλάξεις ασφαλείας για την προστασία αυτών των δεδομένων από την πρόσβαση τρίτων.
Χιλιάδες επηρεάζονται από παραβίαση δεδομένων. Στις 26 Απριλίου 2024, το Ευρωπαϊκό Κοινοβούλιο ενημέρωσε τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) για μια μαζική παραβίαση δεδομένων στο PEOPLE, που επηρέασε περισσότερους από 8.000 νυν και πρώην υπαλλήλους. Δεν είναι ακόμη σαφές πότε και πώς συνέβη στην πραγματικότητα η παραβίαση δεδομένων, αλλά σε όσους επηρεάστηκαν έχουν ενημερωθεί ότι κάθε έγγραφο που ανέβασαν στο PEOPLE έχει παραβιαστεί. Στις 31 Μαΐου, το Κοινοβούλιο συμβούλεψε τους ενδιαφερόμενους να αντικαταστήσουν τις ταυτότητες και τα διαβατήριά τους ως προληπτικό μέτρο και προσφέρθηκε να τους επιστρέψει το κόστος. Κατά τη στιγμή της υποβολής αυτής της καταγγελίας, δεν είναι ακόμη σαφές πόσο καιρό οι δράστες είχαν πρόσβαση στα προσωπικά δεδομένα των αιτούντων.
Lorea Mendiguren, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Αυτή η παραβίαση έρχεται μετά από επανειλημμένα περιστατικά κυβερνοασφάλειας στα θεσμικά όργανα της ΕΕ κατά το περασμένο έτος. Το Κοινοβούλιο έχει υποχρέωση να διασφαλίσει τα κατάλληλα μέτρα ασφαλείας, δεδομένου ότι οι υπάλληλοί του είναι πιθανώς στόχοι κακών παραγόντων».
Γνωστά τρωτά σημεία στον κυβερνοχώρο. Αυτό το περιστατικό είναι ιδιαίτερα ανησυχητικό, επειδή το Κοινοβούλιο έχει επί μακρόν ενήμερο για τα τρωτά σημεία στον κυβερνοχώρο: Τον Νοέμβριο του 2023, το τμήμα πληροφορικής του Κοινοβουλίου διεξήγαγε μια ανασκόπηση της κυβερνοασφάλειας – και κατέληξε στο συμπέρασμα ότι η κυβερνοασφάλεια του ιδρύματος «δεν πληροί ακόμη τα πρότυπα του κλάδου» και ότι τα υπάρχοντα μέτρα ήταν « δεν είναι πλήρως εναρμονισμένο με το επίπεδο απειλής» που τίθεται από κρατικά χορηγούς χάκερ. Όχι μόνο αυτό, αλλά η παραβίαση του PEOPLE συνέβη παράλληλα με μια σειρά από άλλες κυβερνοεπιθέσεις σε θεσμικά όργανα της ΕΕ. Ρωσικές ομάδες χάκερ επιτέθηκαν στον ιστότοπο του Κοινοβουλίου τον Νοέμβριο του 2022 και σε πολλές ευρωπαϊκές κυβερνήσεις το φθινόπωρο του 2023. Τον Φεβρουάριο του 2024, το Κοινοβούλιο υπέστη μια διαφορετική παραβίαση στην υποεπιτροπή ασφάλειας και άμυνας, όταν δύο ευρωβουλευτές και ένα μέλος του προσωπικού βρήκαν ισραηλινό spyware στις συσκευές τους.
Max Schrems, Πρόεδρος του noyb : «Ως πολίτης της ΕΕ, είναι ανησυχητικό το γεγονός ότι τα θεσμικά όργανα της ΕΕ εξακολουθούν να είναι τόσο ευάλωτα σε επιθέσεις. Το να κυκλοφορούν τέτοιες πληροφορίες δεν είναι μόνο τρομακτικό για τα άτομα που επηρεάζονται, αλλά μπορεί επίσης να χρησιμοποιηθεί για να επηρεάσει δημοκρατικές αποφάσεις».
Πολύ περισσότερα δεδομένα από όσα χρειάζονται. Η παραβίαση δεδομένων αποκαλύπτει επίσης ότι το Κοινοβούλιο δεν συμμορφώνεται με τις απαιτήσεις ελαχιστοποίησης και διατήρησης δεδομένων του GDPR. Το άρθρο 4 παράγραφος 1 στοιχείο γ) του GDPR της ΕΕ απαιτεί από τα θεσμικά όργανα της ΕΕ να επεξεργάζονται μόνο δεδομένα που είναι «επαρκή, συναφή και περιορισμένα σε ό,τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία» . Ωστόσο, η περίοδος διατήρησης του Ευρωπαϊκού Κοινοβουλίου για τους φακέλους προσλήψεων είναι 10 χρόνια. Αυτό είναι ακόμη πιο ανησυχητικό αν σκεφτεί κανείς ότι αυτά τα αρχεία περιέχουν επίσης ειδικά προστατευμένα ευαίσθητα δεδομένα σύμφωνα με το άρθρο 9, τα οποία μπορούν να αποκαλύψουν την εθνικότητα, τις πολιτικές απόψεις, τις θρησκευτικές πεποιθήσεις ή τον σεξουαλικό προσανατολισμό των ανθρώπων. Σε αυτήν την περίπτωση, μια καταγγέλλουσα ανέβασε ένα αντίγραφο του πιστοποιητικού γάμου της στην πύλη. Αυτό κατέστησε δυνατό τον προσδιορισμό του σεξουαλικού της προσανατολισμού.
Max Schrems, Πρόεδρος της noyb : «Η παραβίαση δείχνει επίσης ότι η έγκαιρη απαλλαγή από προσωπικά δεδομένα θα μπορούσε πιθανότατα να έχει περιορίσει τον αντίκτυπο της παραβίασης».
Δύο καταγγελίες στον ΕΕΠΔ. Η noyb έχει τώρα υποβάλει δύο καταγγελίες στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS) για λογαριασμό εργαζομένων. Ο ΕΕΠΔ είναι η αρμόδια αρχή για τις παραβιάσεις της προστασίας δεδομένων από τα θεσμικά όργανα της ΕΕ. Το Ευρωπαϊκό Κοινοβούλιο φαίνεται να έχει παραβιάσει το άρθρο 4 παράγραφος 1 στοιχεία γ) και στ) και το άρθρο 33 παράγραφος 1 του GDPR της ΕΕ. Επιπλέον, στην περίπτωση ενός καταγγέλλοντος, το Κοινοβούλιο απέρριψε αίτημα διαγραφής που υποβλήθηκε μετά την παραβίαση, επικαλούμενο τη 10ετή περίοδο διατήρησης, παρά τις ανησυχίες του καταγγέλλοντος δεδομένης της παραβίασης και του γεγονότος ότι δεν είχαν εργαστεί εκεί για αρκετά χρόνια. Η noyb ζητά από τον ΕΕΠΔ να χρησιμοποιήσει τις διορθωτικές του εξουσίες για να διατάξει το Κοινοβούλιο να συμμορφώσει την επεξεργασία του. Επιπλέον, η noyb προτείνει στον ΕΕΠΔ να επιβάλει κατάλληλο διοικητικό πρόστιμο για την αποτροπή παρόμοιων παραβιάσεων στο μέλλον.