Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2ITILArtificial IntelligenceDalší standardy
> > Porušil Evropský parlament pravidla ochrany osobních údajů?

Porušil Evropský parlament pravidla ochrany osobních údajů?

  • Datum: 02.09.2024
  • Autor: Michal Orviský

Evropským parlamentem otřásl závažný incident týkající se úniku osobních údajů zaměstnanců. Z dostupných informací vyplývá podezření na řadu slabin v technickém i organizačním zabezpečením zpracovávaných dat.

Co se vlastně stalo?

Evropský parlament v květnu 2024 informoval své zaměstnance o rozsáhlém úniku citlivých informací, který ohrozil osobní údaje tisíců zaměstnanců a uchazečů o zaměstnání v Evropském parlamentu. Dostupné informace vedly k vážným otázkám ohledně bezpečnostních opatření a celkového nastavení pravidel pro zpracování osobních dat v jedné z klíčových evropských institucí. 

Na to reagovala formální stížnost podaná organizací noyb – Evropské centrum pro digitální práva, která obvinila Parlament z porušení pravidel pro ochranu a zpracování osobních údajů (nařízení 2018/1725, dále také EU GDPR) v souvislosti s tímto únikem. Tento případ odhaluje zásadní nedostatky v oblasti kybernetické bezpečnosti a ochrany osobních údajů v institucích Evropské unie.

Únik dat byl zjištěn až po několika měsících, oficiální potvrzení bylo vydáno 24. dubna 2024. Parlament informoval Evropského inspektora ochrany údajů (EDPS) a lucemburskou policii 26. dubna 2024 a následně 6. května 2024 informoval dotčené subjekty údajů. K 31. květnu 2024 Parlament doporučil postiženým výměnu jejich ID a pasů a nabídl úhradu těchto nákladů. Přesná příčina incidentu, úniku dat, zůstává stále nejasná.

Hlavní problémy zabezpečení dat v Evropském parlamentu

Celý incident odhaluje několik hlavních problémů a slabin v nastavení ochrany osobních údajů zaměstnanců a uchazečů o zaměstnání v Evropském parlamentu:

  • Nedostatečná bezpečnostní opatření: Bezpečnostní protokoly Evropského parlamentu byly shledány nedostatečnými, zejména vzhledem ke známým kybernetickým hrozbám a zranitelnostem, na které Evropský parlament (včas) nereagoval.

  • Zpožděná detekce: Únik byl odhalen až po několika měsících, což zpozdilo jak oznámení úřadům a dotčeným osobám, tak i faktickou reakci na incident.

  • Důvěrnost údajů: Únik odhalil citlivé osobní informace, což vyvolává obavy o celkovou ochranu údajů a zásah do práv dotčených osob.

Noyb se proto rozhodl podat za toto porušení formální stížnost k Evropskému inspektoru pro ochranu osobních údajů. Stížnost obviňuje Evropský parlament z porušení výše uvedených pravidel, které mělo za následek únik osobních údajů na začátku roku 2024.

Důvody stížnosti

Jaké konkrétní důvody a možná porušení regulace na straně Evropského parlamentu noyb ve stížnosti uvedl?

  • Bezpečnostní nedostatky: Evropský parlament nezavedl adekvátní bezpečnostní opatření i přesto, že byl informován o významných kybernetických hrozbách, čímž porušil článek 33 EU GDPR.

  • Praktiky zpracování údajů: Rozsah a doba uchování osobních údajů Parlamentem porušily principy minimalizace údajů a omezení uchovávání, jak je uvedeno v článcích 4(1)(c) a (e) EU GDPR. Evropský parlament po uchazečích o zaměstnání požadoval například občanské průkazy, pasy, výpisy z trestních rejstříků a osvědčení o občanském stavu, což je dle stěžovatele neadekvátní.

  • Nedostatečná reakce: Stížnost upozorňuje na nedostatečnou a pozdní reakci Parlamentu na únik dat a zdůrazňuje potřebu zlepšení celkového stavu zabezpečení a ochrany údajů.

Stěžovatel požaduje, aby EDPS celý incident i související zpracování osobních údajů zaměstnanců a uchazečů o zaměstnání důkladně vyšetřil, vydal rozhodnutí o porušeních EU GDPR a uložil nápravná opatření k zajištění souladu s pravidly pro zpracování a ochranu dat. Vzhledem k závažnosti porušení je dále navrhováno uložení pokuty, která může v tomto případě činit až 500.000 EUR.

Tento incident ukazuje, že i tak významné instituce, jako je Evropský parlament, mohou mít vážné nedostatky v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Únik citlivých informací více než 8.000 zaměstnanců a uchazečů o zaměstnání a následná stížnost upozorňující i na další možná porušení právních předpisů zdůrazňují potřebu důkladného přehodnocení a zlepšení bezpečnostních opatření v rámci institucí Evropské unie. 

Pokud nebudou přijata adekvátní opatření, může dojít k dalšímu poškození důvěry občanů v evropské instituce. Únik dat by měl sloužit jako varování a příležitost pro instituce EU, aby zvýšily standardy ochrany údajů a zlepšily svoje interní procesy pro reakci na kybernetické incidenty.

Článek je publikován také na GDPR.cz.

Štítky
GDPRPověřenec pro ochranu osobních údajůOchrana osobních údajůPokutaOsobní údaje

Nejčtenější články

Štítky
Simulation (1)AI Act (9)Management (31)Data (9)BPMN (1)Program Manager (4)Compliance (54)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (16)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (16)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (14)Axelos (6)AI (14)ISO (12)IT Security (5)Marketing (7)ESG (4)Identifikace (1)Lean (3)MoP (7)CMS (1)GDPR (89)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)HR (3)Agile (6)Risk Manager (1)korporace (5)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Data Protection Officer (51)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (10)Whistleblowing Officer (9)DORA (9)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (27)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (14)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (1)DPO (10)AgileSHIFT (3)PMI (1)ISMS (23)NIS2 (13)Kritická infrastruktura (4)IT (6)Pověřenec pro ochranu osobních údajů (57)IT Service (4)ISO42001 (1)Soukromí (2)Grab@Pizza (1)Enterprise Architect (5)Business Analytik (1)Project Manager (15)ISO 22301 (1)Ochrana osobních údajů (28)Pokuta (8)Hospodářská soutěž (1)eGovernment (1)Regulace (14)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play