Porušil Evropský parlament pravidla ochrany osobních údajů?
- Datum: 02.09.2024
- Autor: Michal Orviský
Evropským parlamentem otřásl závažný incident týkající se úniku osobních údajů zaměstnanců. Z dostupných informací vyplývá podezření na řadu slabin v technickém i organizačním zabezpečením zpracovávaných dat.
Co se vlastně stalo?
Evropský parlament v květnu 2024 informoval své zaměstnance o rozsáhlém úniku citlivých informací, který ohrozil osobní údaje tisíců zaměstnanců a uchazečů o zaměstnání v Evropském parlamentu. Dostupné informace vedly k vážným otázkám ohledně bezpečnostních opatření a celkového nastavení pravidel pro zpracování osobních dat v jedné z klíčových evropských institucí.
Na to reagovala formální stížnost podaná organizací noyb – Evropské centrum pro digitální práva, která obvinila Parlament z porušení pravidel pro ochranu a zpracování osobních údajů (nařízení 2018/1725, dále také EU GDPR) v souvislosti s tímto únikem. Tento případ odhaluje zásadní nedostatky v oblasti kybernetické bezpečnosti a ochrany osobních údajů v institucích Evropské unie.
Únik dat byl zjištěn až po několika měsících, oficiální potvrzení bylo vydáno 24. dubna 2024. Parlament informoval Evropského inspektora ochrany údajů (EDPS) a lucemburskou policii 26. dubna 2024 a následně 6. května 2024 informoval dotčené subjekty údajů. K 31. květnu 2024 Parlament doporučil postiženým výměnu jejich ID a pasů a nabídl úhradu těchto nákladů. Přesná příčina incidentu, úniku dat, zůstává stále nejasná.
Hlavní problémy zabezpečení dat v Evropském parlamentu
Celý incident odhaluje několik hlavních problémů a slabin v nastavení ochrany osobních údajů zaměstnanců a uchazečů o zaměstnání v Evropském parlamentu:
Nedostatečná bezpečnostní opatření: Bezpečnostní protokoly Evropského parlamentu byly shledány nedostatečnými, zejména vzhledem ke známým kybernetickým hrozbám a zranitelnostem, na které Evropský parlament (včas) nereagoval.
Zpožděná detekce: Únik byl odhalen až po několika měsících, což zpozdilo jak oznámení úřadům a dotčeným osobám, tak i faktickou reakci na incident.
Důvěrnost údajů: Únik odhalil citlivé osobní informace, což vyvolává obavy o celkovou ochranu údajů a zásah do práv dotčených osob.
Noyb se proto rozhodl podat za toto porušení formální stížnost k Evropskému inspektoru pro ochranu osobních údajů. Stížnost obviňuje Evropský parlament z porušení výše uvedených pravidel, které mělo za následek únik osobních údajů na začátku roku 2024.
Důvody stížnosti
Jaké konkrétní důvody a možná porušení regulace na straně Evropského parlamentu noyb ve stížnosti uvedl?
Bezpečnostní nedostatky: Evropský parlament nezavedl adekvátní bezpečnostní opatření i přesto, že byl informován o významných kybernetických hrozbách, čímž porušil článek 33 EU GDPR.
Praktiky zpracování údajů: Rozsah a doba uchování osobních údajů Parlamentem porušily principy minimalizace údajů a omezení uchovávání, jak je uvedeno v článcích 4(1)(c) a (e) EU GDPR. Evropský parlament po uchazečích o zaměstnání požadoval například občanské průkazy, pasy, výpisy z trestních rejstříků a osvědčení o občanském stavu, což je dle stěžovatele neadekvátní.
Nedostatečná reakce: Stížnost upozorňuje na nedostatečnou a pozdní reakci Parlamentu na únik dat a zdůrazňuje potřebu zlepšení celkového stavu zabezpečení a ochrany údajů.
Stěžovatel požaduje, aby EDPS celý incident i související zpracování osobních údajů zaměstnanců a uchazečů o zaměstnání důkladně vyšetřil, vydal rozhodnutí o porušeních EU GDPR a uložil nápravná opatření k zajištění souladu s pravidly pro zpracování a ochranu dat. Vzhledem k závažnosti porušení je dále navrhováno uložení pokuty, která může v tomto případě činit až 500.000 EUR.
Tento incident ukazuje, že i tak významné instituce, jako je Evropský parlament, mohou mít vážné nedostatky v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Únik citlivých informací více než 8.000 zaměstnanců a uchazečů o zaměstnání a následná stížnost upozorňující i na další možná porušení právních předpisů zdůrazňují potřebu důkladného přehodnocení a zlepšení bezpečnostních opatření v rámci institucí Evropské unie.
Pokud nebudou přijata adekvátní opatření, může dojít k dalšímu poškození důvěry občanů v evropské instituce. Únik dat by měl sloužit jako varování a příležitost pro instituce EU, aby zvýšily standardy ochrany údajů a zlepšily svoje interní procesy pro reakci na kybernetické incidenty.