Na początku maja 2024 r. Parlament Europejski poinformował swoich pracowników o poważnym naruszeniu danych na platformie rekrutacyjnej instytucji (zwanej "PEOPLE"). Naruszenie dotyczyło danych osobowych ponad 8 000 pracowników. Obejmowały one dowody osobiste i paszporty, wyciągi z rejestrów karnych, dokumenty pobytowe, a nawet dane wrażliwe, takie jak akty małżeństwa, które ujawniają orientację seksualną danej osoby. Parlament dowiedział się o naruszeniu dopiero kilka miesięcy po jego wystąpieniu i nadal nie zna jego przyczyny. Jest to szczególnie niepokojące, ponieważ Parlament od dawna był świadomy luk w swoim systemie cyberbezpieczeństwa. Instytucje UE są oczywiście wysoko na liście hakerów i zagranicznych przeciwników. noyb złożył obecnie dwie skargi do Europejskiego Inspektora Ochrony Danych w imieniu czterech pracowników Parlamentu.
Dane wszystkich kandydatów w jednym miejscu. Zanim będziesz mógł ubiegać się o pracę w Parlamencie Europejskim, musisz zarejestrować się na platformie rekrutacyjnej PEOPLE. Tam kandydaci przekazują instytucji mnóstwo danych osobowych. Obejmuje to dowody osobiste i paszporty, dokumenty pobytowe i edukacyjne, a także dane wrażliwe, takie jak wyciągi z rejestru karnego i akty małżeństwa, które mogą ujawnić Twoją orientację seksualną. Tym ważniejsze jest, aby Parlament Europejski podjął odpowiednie środki ostrożności w celu ochrony tych danych przed dostępem osób trzecich.
Tysiące osób dotkniętych naruszeniem danych. W dniu 26 kwietnia 2024 r. Parlament Europejski poinformował Europejskiego Inspektora Ochrony Danych (EIOD) o masowym naruszeniu danych w PEOPLE, które dotknęło ponad 8 000 obecnych i byłych pracowników. Nadal nie jest jasne, kiedy i w jaki sposób doszło do naruszenia danych, ale osoby, których to dotyczy, zostały poinformowane, że każdy pojedynczy dokument został naruszony. 31 maja Parlament zalecił zainteresowanym osobom wymianę dowodów osobistych i paszportów jako środek zapobiegawczy i zaoferował zwrot kosztów. W momencie składania niniejszej skargi nadal nie jest jasne, jak długo atakujący mieli dostęp do danych osobowych wnioskodawców.
Lorea Mendiguren, prawnik ds. ochrony danych w noyb: "Naruszenie to nastąpiło po wielokrotnych incydentach związanych z cyberbezpieczeństwem w instytucjach UE w ciągu ostatniego roku. Parlament ma obowiązek zapewnić odpowiednie środki bezpieczeństwa, biorąc pod uwagę, że jego pracownicy są prawdopodobnie celem złych aktorów"
Znane luki w cyberbezpieczeństwie. Incydent ten jest szczególnie niepokojący, ponieważ Parlament od dawna jest świadomy słabości cyberbezpieczeństwa: W listopadzie 2023 r. dział IT Parlamentu przeprowadził przegląd cyberbezpieczeństwa - i stwierdził, że cyberbezpieczeństwo instytucji "nie spełnia jeszcze standardów branżowych" i że istniejące środki były "nie są w pełni zgodne z poziomem zagrożenia" stwarzanego przez hakerów sponsorowanych przez państwo. Co więcej, naruszenie PEOPLE miało miejsce równolegle z szeregiem innych cyberataków na instytucje UE. Rosyjskie grupy hakerskie zaatakowały stronę internetową Parlamentu w listopadzie 2022 r., a jesienią 2023 r. wiele europejskich rządów. W lutym 2024 r. Parlament doznał innego naruszenia w swojej podkomisji bezpieczeństwa i obrony, kiedy dwóch posłów do PE i pracownik znaleźli izraelskie oprogramowanie szpiegujące na swoich urządzeniach.
Max Schrems, przewodniczący noyb: "Dla mnie, jako obywatela UE, niepokojące jest to, że instytucje UE są nadal tak podatne na ataki. Posiadanie takich informacji jest nie tylko przerażające dla osób, których one dotyczą, ale może być również wykorzystane do wpływania na demokratyczne decyzje"
Znacznie więcej danych niż to konieczne. Naruszenie danych ujawnia również, że Parlament nie przestrzega wymogów RODO dotyczących minimalizacji i przechowywania danych. Artykuł 4(1)(c) RODO UE wymaga od instytucji UE przetwarzania wyłącznie danych, które są "adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane". Niemniej jednak okres przechowywania dokumentacji rekrutacyjnej w Parlamencie Europejskim wynosi 10 lat. Jest to jeszcze bardziej niepokojące, gdy weźmie się pod uwagę, że pliki te zawierają również szczególnie chronione dane wrażliwe na mocy art. 9, które mogą ujawniać pochodzenie etniczne, poglądy polityczne, przekonania religijne lub orientację seksualną. W tym przypadku skarżąca przesłała do portalu kopię swojego aktu małżeństwa. Umożliwiło to ustalenie jej orientacji seksualnej.
Max Schrems, przewodniczący noyb: "Naruszenie pokazuje również, że samo pozbycie się danych osobowych na czas mogłoby prawdopodobnie ograniczyć wpływ naruszenia"
Dwie skargi do Inspektora. noyb złożył obecnie dwie skargi do Europejskiego Inspektora Ochrony Danych (EIOD) w imieniu pracowników. EIOD jest organem odpowiedzialnym za naruszenia ochrony danych przez instytucje UE. Wydaje się, że Parlament Europejski naruszył art. 4 ust. 1 lit. c) i f) oraz art. 33 ust. 1 RODO. Ponadto w przypadku jednego ze skarżących Parlament odrzucił wniosek o usunięcie danych złożony po naruszeniu, powołując się na 10-letni okres przechowywania, pomimo obaw skarżącego, biorąc pod uwagę naruszenie i fakt, że nie pracował tam od kilku lat. noyb zwraca się do EIOD o skorzystanie z uprawnień naprawczych w celu nakazania Parlamentowi zapewnienia zgodności przetwarzania danych. Ponadto, noyb sugeruje, aby EIOD nałożył odpowiednią grzywnę administracyjną w celu zapobieżenia podobnym naruszeniom w przyszłości.
