Μετά τη μεγάλη παραβίαση του συστήματος προσλήψεων του Ευρωπαϊκού Κοινοβουλίου τον Απρίλιο του 2024, που παραβιάστηκαν ευαίσθητα προσωπικά δεδομένα, η ΜΚΟ για τα ψηφιακά δικαιώματα Noyb κατέθεσε την Πέμπτη (22 Αυγούστου) δύο νομικές καταγγελίες για φερόμενες παραβιάσεις της νομοθεσίας περί προστασίας δεδομένων, κατά του θεσμικού οργάνου της ΕΕ.
Τον Μάιο, το Κοινοβούλιο δήλωσε ότι αντιμετώπισε παραβίαση δεδομένων στην εφαρμογή προσλήψεων, PEOPLE, που χρησιμοποιείται για την πρόσληψη έκτακτου προσωπικού. Η παραβίαση επιβεβαιώθηκε ότι έλαβε χώρα τον Απρίλιο, όταν δημοσιεύθηκαν ευαίσθητα προσωπικά δεδομένα, όπως ταυτότητες, ποινικά μητρώα και εργασιακή εμπειρία.
Τότε είχαν εκφραστεί ανησυχίες σχετικά με την καθυστερημένη κοινοποίηση και την πιθανή κατάχρηση των δεδομένων που είχαν τεθεί σε κίνδυνο. Το Ευρωκοινοβούλιο συνέστησε στα θιγόμενα μέρη να αντικαταστήσουν τις ταυτότητες και τα διαβατήριά τους προληπτικά, καλύπτοντάς τους το σχετικό κόστος.
Τώρα, η ΜΚΟ Noyb, το Ευρωπαϊκό Κέντρο Ψηφιακών Δικαιωμάτων, έχει υποβάλει δύο καταγγελίες στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) εκ μέρους τεσσάρων υπαλλήλων του Κοινοβουλίου, σημειώνοντας ότι επηρεάστηκαν τα δεδομένα περισσότερων από 8.000 υπαλλήλων, συμπεριλαμβανομένων των δεδομένων πρώην υπαλλήλων.
«Ως πολίτης της ΕΕ, είναι ανησυχητικό το γεγονός ότι τα θεσμικά όργανα της ΕΕ εξακολουθούν να είναι τόσο ευάλωτα σε επιθέσεις. Το να κυκλοφορούν τέτοιες πληροφορίες δεν είναι μόνο τρομακτικό για τα άτομα που έχουν πληγεί, αλλά μπορεί επίσης να χρησιμοποιηθεί για να επηρεάσει τις δημοκρατικές αποφάσεις», δήλωσε ο Max Schrems, ακτιβιστής και πρόεδρος της Noyb.
Τον Μάιο, ο ΕΕΠΔ επιβεβαίωσε στο Euractiv ότι ενημερώθηκε για την παραβίαση σε λιγότερο από 72 ώρες, από τη στιγμή που το Κοινοβούλιο έλαβε γνώση.
Το Euractiv επικοινώνησε και τώρα με τον ΕΕΠΔ για ένα σχόλιο, αλλά εκείνος αρνήθηκε να απαντήσει, λέγοντας ότι δεν παρέχει δηλώσεις σχετικά με καταγγελίες.
Ο επόπτης μπορεί, ωστόσο, να διερευνήσει καταγγελίες και να χρησιμοποιήσει διορθωτικά μέτρα εάν τα θεσμικά όργανα της ΕΕ παραβιάζουν τους κανόνες προστασίας δεδομένων, συμπεριλαμβανομένης της έκδοσης προειδοποιήσεων, της επιβολής συμμόρφωσης με αιτήματα πρόσβασης στα δεδομένα, της απαγόρευσης εργασιών επεξεργασίας δεδομένων, της επιβολής προστίμων ή της παραπομπής υποθέσεων στο Δικαστήριο της Ευρωπαϊκής Ένωσης.
Οι καταγγελίες
Η Noyb πιστεύει ότι η παραβίαση αναδεικνύει τη μη συμμόρφωση του Κοινοβουλίου με τις απαιτήσεις ελαχιστοποίησης και διατήρησης δεδομένων του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ).
Οι κανόνες του ΓΚΠΔ για την ελαχιστοποίηση των δεδομένων απαιτούν από τους οργανισμούς να συλλέγουν και να διατηρούν την ελάχιστη ποσότητα δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητη για έναν συγκεκριμένο σκοπό. Η απαίτηση διατήρησης θέτει όρια για το χρονικό διάστημα που μπορούν να αποθηκευτούν τα δεδομένα αυτά, διασφαλίζοντας ότι δεν διατηρούνται περισσότερο από όσο είναι απαραίτητο.
Μία από τις νομικές καταγγελίες αφορά την άρνηση του Κοινοβουλίου να διαγράψει τα δεδομένα μετά την παραβίαση, επικαλούμενο την πολιτική διατήρησης για 10 έτη, παρά τις ανησυχίες του καταγγέλλοντος και το γεγονός ότι δεν είχε εργαστεί στο θεσμικό όργανο της ΕΕ για χρόνια.
Η ΜΚΟ κάλεσε επίσης τον ΕΕΠΔ να αξιοποιήσει τις διορθωτικές του εξουσίες για να συμμορφωθεί το ίδρυμα της ΕΕ και να επιβάλει διοικητικό πρόστιμο για την αποτροπή μελλοντικών παραβιάσεων.
Σύμφωνα με τον ΓΚΠΔ, τα δεδομένα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο όταν είναι απαραίτητο και σχετικό, σύμφωνα με τη Noyb. Η 10ετής περίοδος διατήρησης των φακέλων προσλήψεων του Κοινοβουλίου υπερβαίνει αυτό το πρότυπο, προκαλώντας έτσι ανησυχίες.
Ιδιαίτερα δεδομένου ότι τα αρχεία αυτά μπορεί να περιλαμβάνουν ευαίσθητα δεδομένα που θα πρέπει να προστατεύονται βάσει του ΓΚΠΔ, συμπεριλαμβανομένων: της εθνικότητας, των πολιτικών πεποιθήσεων και του σεξουαλικού προσανατολισμού. Για παράδειγμα, ένας από τους νομικούς καταγγέλλοντες τονίζει ότι ένα ανεβασμένο πιστοποιητικό γάμου αποκάλυψε κατά λάθος τον σεξουαλικό προσανατολισμό ενός μέλους του προσωπικού, επισημαίνει η ΜΚΟ.
Σύμφωνα με τη Noyb, η παραβίαση είναι ιδιαίτερα ανησυχητική, δεδομένων των γνωστών αδυναμιών του Κοινοβουλίου στην κυβερνοασφάλεια. Μια αναθεώρηση του Νοεμβρίου 2023 διαπίστωσε ότι οι άμυνές του ήταν κάτω από τα βιομηχανικά πρότυπα και δεν ήταν πλήρως ευθυγραμμισμένες με τις απειλές από κρατικά χρηματοδοτούμενους χάκερ.
Η παραβίαση της PEOPLE εντάσσεται σε μια σειρά κυβερνοεπιθέσεων, συμπεριλαμβανομένων των ρωσικών χάκερς το 2022 και το 2023 και του ισραηλινού spyware που ανακαλύφθηκε σε συσκευές μελών του Ευρωπαϊκού Κοινοβουλίου στις αρχές του 2024.