Začiatkom mája 2024 Európsky parlament informoval svojich zamestnancov o masívnom narušení bezpečnosti údajov v platforme pre nábor zamestnancov inštitúcie (s názvom "PEOPLE"). Narušenie sa týkalo osobných údajov viac ako 8 000 zamestnancov. Išlo o občianske preukazy a pasy, výpisy z registra trestov, doklady o pobyte a dokonca aj citlivé údaje, ako sú sobášne listy, ktoré odhaľujú sexuálnu orientáciu osoby. Parlament sa o narušení dozvedel až niekoľko mesiacov po tom, čo k nemu došlo, a zdá sa, že stále nepozná príčinu. Je to obzvlášť znepokojujúce, keďže Parlament si je už dlho vedomý zraniteľnosti svojho systému kybernetickej bezpečnosti. Inštitúcie EÚ sú prirodzene vysoko na zozname hackerov a zahraničných protivníkov. noyb teraz podala dve sťažnosti európskemu dozornému úradníkovi pre ochranu údajov v mene štyroch zamestnancov parlamentu.
Údaje všetkých žiadateľov na jednom mieste. Skôr ako sa budete môcť uchádzať o prácu v Európskom parlamente, musíte sa zaregistrovať na jeho náborovej platforme PEOPLE. Tam uchádzači poskytujú inštitúcii hromadu osobných údajov. Ide o občianske preukazy a pasy, doklady o pobyte a vzdelaní, ako aj citlivé údaje, napríklad výpisy z registra trestov a sobášne listy, ktoré môžu odhaliť vašu sexuálnu orientáciu. O to dôležitejšie je, aby Parlament EÚ prijal primerané bezpečnostné opatrenia na ochranu týchto údajov pred prístupom tretích strán.
Únik údajov sa dotkol tisícov ľudí. Dňa 26. apríla 2024 Parlament EÚ informoval európskeho dozorného úradníka pre ochranu údajov (EDPS) o masívnom narušení ochrany údajov v systéme PEOPLE, ktoré sa dotklo viac ako 8 000 súčasných a bývalých zamestnancov. Zatiaľ nie je jasné, kedy a ako k porušeniu ochrany údajov skutočne došlo, ale dotknutým osobám bolo oznámené, že každý jeden dokument ktorý nahrali do systému PEOPLE, bol ohrozený. Parlament 31. mája odporučil dotknutým osobám, aby si preventívne vymenili svoje občianske preukazy a pasy, a ponúkol im náhradu nákladov. V čase podania tejto sťažnosti ešte nebolo jasné, ako dlho mali útočníci prístup k osobným údajom žiadateľov.
Lorea Mendiguren, právnička v oblasti ochrany údajov noyb: "Toto porušenie prichádza po opakovaných incidentoch v oblasti kybernetickej bezpečnosti v inštitúciách EÚ za posledný rok. Parlament je povinný zabezpečiť náležité bezpečnostné opatrenia vzhľadom na to, že jeho zamestnanci sú pravdepodobným cieľom zlých aktérov."
Známe zraniteľnosti v oblasti kybernetickej bezpečnosti. Tento incident je obzvlášť znepokojujúci, pretože Parlament si je dlhodobo vedomý zraniteľnosti v oblasti kybernetickej bezpečnosti: V novembri 2023 vykonalo oddelenie IT Parlamentu preskúmanie kybernetickej bezpečnosti - a dospelo k záveru, že kybernetická bezpečnosť inštitúcie "zatiaľ nespĺňa priemyselné normy" a že existujúce opatrenia boli "nie sú plne v súlade s úrovňou ohrozenia" ktorú predstavujú štátom sponzorovaní hackeri. Nielen to, k narušeniu systému PEOPLE došlo popri viacerých ďalších kybernetických útokoch na inštitúcie EÚ. Ruské hackerské skupiny zaútočili na webové sídlo Parlamentu v novembri 2022 a na mnohé európske vlády na jeseň 2023. Vo februári 2024 utrpel Parlament iné narušenie vo svojom podvýbore pre bezpečnosť a obranu, keď dvaja poslanci EP a jeden zamestnanec našli vo svojich zariadeniach izraelský špionážny softvér.
Max Schrems, predseda noyb: "Ako občana EÚ ma znepokojuje, že inštitúcie EÚ sú stále také zraniteľné voči útokom. To, že sa takéto informácie šíria, nie je len desivé pre dotknuté osoby, ale môžu sa použiť aj na ovplyvňovanie demokratických rozhodnutí."
Oveľa viac údajov, ako je potrebné. Únik údajov tiež odhaľuje, že Parlament nedodržiava požiadavky GDPR týkajúce sa minimalizácie a uchovávania údajov. Článok 4 ods. 1 písm. c) GDPR EÚ vyžaduje, aby inštitúcie EÚ spracúvali len údaje, ktoré sú "primerané, relevantné a obmedzené na to, čo je nevyhnutné vo vzťahu k účelom, na ktoré sa spracúvajú". Napriek tomu je doba uchovávania osobných údajov v prípade náborových spisov v Parlamente EÚ 10 rokov. Je to ešte znepokojujúcejšie, keď si uvedomíme, že tieto súbory obsahujú aj osobitne chránené citlivé údaje podľa článku 9, ktoré môžu odhaliť etnický pôvod, politické názory, náboženské presvedčenie alebo sexuálnu orientáciu ľudí. V tomto prípade sťažovateľka nahrala na portál kópiu svojho sobášneho listu. To umožnilo určiť jej sexuálnu orientáciu.
Max Schrems, predseda noyb: "Toto narušenie tiež ukazuje, že len včasné zbavenie sa osobných údajov mohlo pravdepodobne obmedziť vplyv narušenia."
Dve sťažnosti u európskeho dozorného úradníka pre ochranu údajov. noyb podala v mene zamestnancov už dve sťažnosti európskemu dozornému úradníkovi pre ochranu údajov (EDPS). Európsky dozorný úradník pre ochranu údajov je orgán zodpovedný za porušovanie ochrany údajov inštitúciami EÚ. Zdá sa, že Parlament EÚ porušil článok 4 ods. 1 písm. c) a f) a článok 33 ods. 1 nariadenia EÚ o ochrane osobných údajov. Okrem toho v prípade jedného sťažovateľa Parlament zamietol žiadosť o vymazanie údajov podanú po porušení, pričom sa odvolával na 10-ročné obdobie uchovávania, a to napriek obavám sťažovateľa vzhľadom na porušenie a skutočnosť, že tam už niekoľko rokov nepracoval. noyb žiada európskeho dozorného úradníka pre ochranu údajov, aby využil svoje nápravné právomoci a nariadil Parlamentu zosúladiť spracovanie údajov. Okrem toho, noyb navrhuje, aby európsky dozorný úradník pre ochranu údajov uložil primeranú správnu pokutu s cieľom zabrániť podobným porušeniam v budúcnosti.
