2024. május elején az Európai Parlament tájékoztatta a személyzetét arról, hogy az intézmény toborzási platformján (PEOPLE néven) súlyos adatvédelmi incidens történt. A jogsértés több mint 8000 alkalmazott személyes adatait érintette. Ezek között voltak személyi igazolványok és útlevelek, bűnügyi nyilvántartási kivonatok, tartózkodási okmányok, sőt olyan érzékeny adatok is, mint a házassági anyakönyvi kivonatok, amelyekből kiderül az illető szexuális irányultsága. A Parlament csak hónapokkal azután szerzett tudomást a jogsértésről, hogy az megtörtént, és úgy tűnik, még mindig nem tudja az okát. Ez azért különösen aggasztó, mert a Parlament már régóta tisztában van a kiberbiztonsági rendszerének sebezhetőségével. Az uniós intézmények természetesen előkelő helyet foglalnak el a hackerek és a külföldi ellenfelek listáján. noyb most két panaszt nyújtott be az Európai Adatvédelmi Biztoshoz négy parlamenti alkalmazott nevében.
Az összes kérelmező adatai egy helyen. Mielőtt jelentkezhetne az Európai Parlamentnél, regisztrálnia kell a PEOPLE munkaerő-felvételi platformon. Ott a pályázók rengeteg személyes adatot adnak meg az intézménynek. Ezek között szerepelnek személyi igazolványok és útlevelek, tartózkodási és oktatási dokumentumok, valamint olyan érzékeny adatok is, mint a bűnügyi nyilvántartási kivonatok és a házassági anyakönyvi kivonatok, amelyekből kiderülhet a szexuális irányultság. Ezért még fontosabb, hogy az Európai Parlament megfelelő biztonsági óvintézkedéseket tegyen annak érdekében, hogy ezeket az adatokat harmadik felek ne férhessenek hozzá.
Több ezren érintettek az adatvédelmi incidensben. 2024. április 26-án az EU Parlament tájékoztatta az európai adatvédelmi biztost (EDPS) a PEOPLE-nál történt tömeges adatszegésről, amely több mint 8000 jelenlegi és korábbi alkalmazottat érintett. Egyelőre nem világos, hogy mikor és hogyan történt valójában az adatvédelmi incidens, de az érintetteket arról tájékoztatták, hogy minden egyes dokumentum pEOPLE-ba feltöltött minden egyes dokumentumuk veszélybe került. Május 31-én a Parlament azt tanácsolta az érintetteknek, hogy elővigyázatosságból cseréljék le személyi igazolványaikat és útleveleiket, és felajánlotta, hogy megtéríti a költségeket. A panasz benyújtásának időpontjában még mindig nem világos, hogy a támadók mennyi ideig férhettek hozzá a kérelmezők személyes adataihoz.
Lorea Mendiguren, adatvédelmi jogász a noyb: "Ez a jogsértés azt követően következett be, hogy az elmúlt évben többször is előfordultak kiberbiztonsági incidensek az uniós intézményekben. A Parlamentnek kötelessége megfelelő biztonsági intézkedésekről gondoskodni, mivel alkalmazottai valószínűleg a rosszfiúk célpontjai."
Ismert kiberbiztonsági sebezhetőségek. Ez az incidens azért különösen aggasztó, mert a Parlament már régóta tisztában van a kiberbiztonsági sebezhetőségekkel: A Parlament informatikai osztálya 2023 novemberében egy kiberbiztonsági felülvizsgálatot - és arra a következtetésre jutott, hogy az intézmény kiberbiztonsága "még nem felel meg az iparági szabványoknak" és hogy a meglévő intézkedések "nem felelnek meg teljes mértékben a fenyegetettségi szintnek" amelyet az államilag támogatott hackerek jelentenek. A PEOPLE megsértése ráadásul számos más, uniós intézményeket ért kibertámadással párhuzamosan történt. Orosz hackercsoportok 2022 novemberében megtámadták a Parlament honlapját, 2023 őszén pedig számos európai kormányt. 2024 februárjában a Parlament biztonsági és védelmi albizottságában egy másik betörés történt, amikor két európai parlamenti képviselő és egy munkatárs izraeli kémprogramot talált a készülékeiken.
Max Schrems, a bizottság elnöke noyb: "Uniós polgárként aggasztó, hogy az uniós intézmények még mindig ennyire sebezhetőek a támadásokkal szemben. Az, hogy ilyen információk keringenek, nemcsak az érintettek számára ijesztő, hanem a demokratikus döntések befolyásolására is felhasználható."
Sokkal több adat a szükségesnél. Az adatvédelmi incidens arra is rávilágít, hogy a Parlament nem tartja be a GDPR adatminimalizálási és adatmegőrzési követelményeit. A 4. cikk (1) bekezdésének c) pontja EU GDPR előírja, hogy az uniós intézmények csak olyan adatokat dolgozhatnak fel, amelyek "megfelelőek, relevánsak és a feldolgozás céljai szempontjából szükséges mértékre korlátozódnak". Mindazonáltal az EU Parlament a felvételi akták megőrzési ideje 10 év. Ez még aggasztóbb, ha figyelembe vesszük, hogy ezek az akták a 9. cikk értelmében különösen védett érzékeny adatokat is tartalmaznak, amelyekből kiderülhet az emberek etnikai hovatartozása, politikai véleménye, vallási meggyőződése vagy szexuális irányultsága. Ebben az esetben egy panaszos töltötte fel a portálra a házassági anyakönyvi kivonatának másolatát. Ez lehetővé tette szexuális irányultságának megállapítását.
Max Schrems, a noyb: "A jogsértés azt is mutatja, hogy a személyes adatoktól való időben történő megszabadulással valószínűleg korlátozni lehetett volna a jogsértés hatását."
Két panasz érkezett az európai adatvédelmi biztoshoz. noyb most két panaszt nyújtott be az Európai Adatvédelmi Biztoshoz (EDPS) a munkavállalók nevében. Az európai adatvédelmi biztos az uniós intézmények által elkövetett adatvédelmi jogsértésekért felelős hatóság. Úgy tűnik, hogy az EU Parlament megsértette az uniós általános adatvédelmi rendelet 4. cikke (1) bekezdésének c) és f) pontját, valamint 33. cikkének (1) bekezdését. Ezenfelül az egyik panaszos esetében a Parlament a jogsértést követően benyújtott törlési kérelmet a 10 éves megőrzési időszakra hivatkozva elutasította, annak ellenére, hogy a panaszos aggályai miatt a jogsértés miatt, valamint azért, mert már több éve nem dolgozott ott. noyb kéri az európai adatvédelmi biztost, hogy korrekciós hatáskörével élve utasítsa a Parlamentet, hogy hozza összhangba az adatfeldolgozást. Továbbá, noyb javasolja, hogy az európai adatvédelmi biztos szabjon ki megfelelő közigazgatási bírságot a hasonló jogsértések jövőbeni megelőzése érdekében.
