Austriacka organizacja zajmująca się ochroną prywatności złożyła skargę po naruszeniu danych w Parlamencie Europejskim.
Grupa NOYB, działająca na rzecz ochrony prywatności, złożyła dwie skargi do Europejskiego Inspektora Ochrony Danych (EIOD), zarzucając Parlamentowi Europejskiemu naruszenie ogólnego rozporządzenia o ochronie danych (RODO) po tym, jak na początku 2024 r. doszło do wycieku poufnych danych kandydatów do parlamentu. Taką informację podała dziś (22 sierpnia) grupa.
Organizacja pozarządowa w swoich skargach podkreśla, że niewłaściwe przetwarzanie informacji ostatecznie doprowadziło do naruszenia, a także, że parlament odmówił usunięcia danych po złożeniu formalnego wniosku przez skarżącego.
Naruszenie bezpieczeństwa, ujawnione w maju, dotyczyło około 8000 kandydatów na stanowiska tymczasowe — w tym asystentów parlamentarnych i pracowników kontraktowych — którzy korzystali z aplikacji PEOPLE, zewnętrznej aplikacji podlegającej służbom kadrowym instytucji.
NOYB twierdzi, że zagrożone wrażliwe dane obejmują „dowody osobiste i paszporty, wyciągi z rejestru karnego, dokumenty pobytu, a nawet poufne informacje, takie jak akty małżeństwa, które ujawniają orientację seksualną osoby”. Ponadto twierdzą, że „każdy pojedynczy dokument” przetwarzany przez PEOPLE został naruszony.
Nadal nie jest jasne, kiedy dokładnie doszło do naruszenia, ale wewnętrzne dochodzenie Parlamentu, które zakończyło się w kwietniu, sugeruje, że dane były zagrożone przez kilka miesięcy. Ofiary naruszenia zostały powiadomione w maju.
Do dziś przyczyna naruszenia bezpieczeństwa pozostaje nieznana.
Lorea Mendiguren, prawniczka ds. ochrony danych w NOYB, zauważyła, że naruszenie nastąpiło po serii incydentów cyberbezpieczeństwa w instytucjach UE w ciągu ostatniego roku. „Parlament ma obowiązek zapewnić odpowiednie środki bezpieczeństwa, biorąc pod uwagę, że jego pracownicy są prawdopodobnymi celami dla złych aktorów” – dodała.
Teraz, gdy sprawa została przekazana do EDPS – organu nadzorującego przestrzeganie zasad prywatności przez instytucje UE – zostanie przeprowadzone dochodzenie w celu ustalenia, czy przetwarzanie danych przez Parlament stanowi naruszenie RODO. W razie potrzeby mogą zostać nałożone środki naprawcze, takie jak zakaz operacji przetwarzania lub zawieszenie przepływu danych.
W przypadku poważnych naruszeń sprawa może zostać skierowana do Trybunału Sprawiedliwości Unii Europejskiej.