Cyberbezpieczeństwo
Wyciek danych na platformie Parlamentu Europejskiego. Są dwie skargi
Autor. Frédéric Marvaux / European Union 2024 / European Parliament
Na platformie rekrutacyjnej Parlamentu Europejskiego „PEOPLE” doszło do ogromnego wycieku danych osobowych. Organizacja Noyb złożyła w związku z tym dwie skargi do Europejskiego Inspektora Ochrony Danych na naruszenie przepisów RODO.
26 kwietnia 2024 r. Parlament Europejski poinformował Europejskiego Inspektora Ochrony Danych (EDPS) o masowym naruszeniu danych w platformie rekrutacyjnej PEOPLE. Każdy, kto chce pracować w PE musi założyć tam konto i złożyć dokumenty.
Wyciek dotknął ponad 8 tys. obecnych i byłych pracowników. Nadal nie wiadomo, kiedy i w jaki sposób doszło do incydentu.
Czytaj też
Jakie dane wyciekły?
Wyciek obejmował dowody osobiste, paszporty, wyciągi z rejestru karnego, dokumenty pobytu, dyplomy z uczelni, a nawet poufne dane, takie jak akty małżeństwa, które ujawniają orientację seksualną osoby – donosi Noyb na stronie internetowej. Dokumenty mogą też ujawnić inne wrażliwe dane, takie jak religia, pochodzenie etniczne, czy poglądy polityczne.
Parlament Europejski poinformował pracowników o wycieku na początku maja. Każdy z nich otrzymał maila, z którego mógł się dowiedzieć, jakie dokumenty zostały skompromitowane. 31 maja PE zalecił poszkodowanym wymianę dowodów osobistych i paszportów jako środek ostrożności. Zaoferował im zwrot kosztów.
Czytaj też
Noyb: Parlament Europejski jest świadomy luk
Według Noyb, PE dowiedział się o naruszeniu dopiero kilka miesięcy po jego wystąpieniu i wydaje się, że nadal nie zna jego przyczyny. „Incydent jest szczególnie niepokojący, ponieważ Parlament od dawna jest świadomy luk cyberbezpieczeństwa” – czytamy.
Skąd takie wnioski? W listopadzie 2023 r. departament IT Parlamentu przeprowadził przegląd i stwierdził, że cyberbezpieczeństwo instytucji „nie spełnia jeszcze standardów branżowych”, a istniejące środki „nie są w pełni zgodne z poziomem zagrożenia” stwarzanym przez hakerów opłacanych przez obce państwa.
Czytaj też
Ataki na instytucje Unii Europejskiej
Co więcej – w ostatnim czasie dochodziło do licznych ataków na instytucje PE. Rosyjskie grupy hakerskie zaatakowały stronę internetową Parlamentu w listopadzie 2022 r., a liczne strony rządów europejskich jesienią 2023 r.
W lutym 2024 r. doszło z kolei do naruszenia w Podkomisji ds. Bezpieczeństwa i Obrony Parlamentu Europejskiego, gdy dwóch europosłów i członek personelu znaleźli na swoich urządzeniach izraelskie oprogramowanie szpiegujące. O sprawie pisaliśmy w CyberDefence24.pl.
„Jako obywatel UE jestem zaniepokojony, że instytucje UE są nadal tak podatne na ataki” – skomentował Max Schrems, przewodniczący Noyb.
Czytaj też
Dwie skargi o naruszenie przepisów RODO
W związku z wyciekiem z PEOPLE, Noyb złożył dwie skargi do Europejskiego Inspektora Ochrony Danych w imieniu czterech pracowników PE.
Według NGO-sa naruszenie ujawniło, że Parlament Europejski nie przestrzega wymogów RODO dotyczących minimalizacji i gromadzenia danych.
Okres przechowywania dokumentów rekrutacyjnych przez PE wynosi bowiem 10 lat. „Samo pozbycie się danych osobowych na czas, prawdopodobnie ograniczyłoby skutki naruszenia” – komentuje Max Schrems.
Noyb poprosił EDPS o wykorzystanie swoich uprawnień w celu nakazania Parlamentowi Europejskiemu dostosowanie przetwarzania danych do wymogów RODO. Organizacja sugeruje też, żeby Inspektor nałożył na PE grzywnę administracyjną, aby zapobiec podobnym naruszeniom w przyszłości.
Zapytaliśmy o wyciek rzecznika prasowego Parlamentu Europejskiego oraz UODO. Czekamy na odpowiedzi.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
