Avrupa Parlamentosu, 8.000’den fazla mevcut ve eski çalışanı etkileyen büyük bir veri ihlalinin ardından ateş altında. Parlamentonun işe alım platformu “PEOPLE”da meydana gelen Avrupa Parlamentosu veri ihlali, gizlilik savunucusu bir kuruluş olan noyb’yi Avrupa Veri Koruma Denetçisi’ne (EDPS) iki şikayette bulunmaya yöneltti.
Şikayetlerde, AB Genel Veri Koruma Yönetmeliği’nin (GDPR) ihlal edildiği vurgulanıyor ve gelecekteki ihlallerin önlenmesi için düzeltici eylem ve potansiyel para cezaları talep ediliyor.
Avrupa Parlamentosu Veri İhlali ve Etkileri
Mayıs 2024’ün başlarında Avrupa Parlamentosu, işe alım amaçları için kullanılan PEOPLE platformunda önemli bir veri ihlali olduğunu personeline bildirdi. Avrupa Parlamentosu veri ihlali, kimlik kartları, pasaportlar, sabıka kaydı özetleri ve ikamet belgeleri dahil olmak üzere hassas kişisel verileri tehlikeye attı.
İhlal ayrıca başvuranların cinsel yönelimlerini ortaya çıkarabilecek evlilik cüzdanları gibi son derece hassas bilgileri de açığa çıkardı. Bu olay, Parlamento’nun çalışanlarının ve başvuranların kişisel verilerini koruma yeteneği konusunda ciddi endişelere yol açtı.
Parlamento, Avrupa Parlamentosu veri ihlalinin farkına ancak olaydan aylar sonra vardı ve kesin neden hala bilinmiyor. Bu tespit gecikmesi, özellikle Parlamento’nun siber güvenlik sistemlerindeki güvenlik açıkları konusunda uyarılmış olması nedeniyle endişeleri daha da artırdı.
Noyb’a göre, Parlamento’nun bu tür kritik verileri güvence altına almaması, GDPR’nin, özellikle de veri en aza indirilmesi ve kişisel verilerin hukuka uygun şekilde işlenmesini ilgilendiren 4(1)(c) ve (f) maddeleri ile veri ihlallerinin zamanında bildirilmesini zorunlu kılan 33(1) maddesinin açık bir ihlalidir.
Noyb’un Cevabı ve Yasal İşlem
Noyb, Avrupa Parlamentosu veri ihlaline yanıt olarak harekete geçti ve dört Parlamento çalışanı adına EDPS’ye şikayette bulundu. Kuruluş, Parlamento’nun eylemlerinin veya eylemsizliğinin GDPR’yi açıkça ihlal ettiğini savunuyor. Özellikle noyb, Parlamento’yu, GDPR’nin 4(1)(c) Maddesinde belirtilen veri minimizasyonu ilkesine aykırı bir uygulama olan kişisel verileri gereğinden çok daha fazla tuttuğu için eleştirdi.
Şikayetlerden biri ayrıca Parlamento’nun kurumda birkaç yıldır çalışmayan bir bireyin yaptığı silme talebini kabul etmeyi reddetmesini de vurguluyor. İhlalin ardından bireyin endişelerine rağmen Parlamento talebi reddetmesinin nedeni olarak 10 yıllık bir saklama süresi gösterdi.
Noyb, EDPS’yi, Parlamentoyu GDPR düzenlemelerine uymaya zorlamak için düzeltici yetkilerini kullanmaya çağırdı ve gelecekteki ihlalleri caydırmak için idari para cezası uygulanmasını önerdi.
Bilinen Güvenlik Açıkları ve Tekrarlanan Siber Güvenlik Hataları
Avrupa Parlamentosu veri ihlali, Parlamentonun siber güvenlik açıkları hakkında önceden bilgi sahibi olması nedeniyle özellikle endişe vericidir. Kasım 2023’te Parlamentonun BT departmanı, kurumun savunmalarının yetersiz olduğunu ve endüstri standartlarını karşılamadığını ortaya koyan bir siber güvenlik incelemesi gerçekleştirdi. İnceleme, mevcut önlemlerin devlet destekli bilgisayar korsanlarının oluşturduğu tehdit seviyesiyle tam olarak uyumlu olmadığı konusunda uyardı.
Bu veri ihlali, son yıllarda AB kurumlarını etkileyen bir dizi siber güvenlik olayından sadece biri. Kasım 2022’de Rus bilgisayar korsanlığı grupları Parlamento’nun web sitesini hedef aldı ve 2023 sonbaharında birden fazla Avrupa hükümeti benzer şekilde saldırıya uğradı. Şubat 2024’te Parlamento’nun güvenlik ve savunma alt komitesinde ayrı bir ihlal meydana geldi ve burada iki Avrupa Parlamentosu Üyesi’nin (MEP) ve bir personelin cihazlarında İsrail casus yazılımı bulundu.
noyb’de Veri Koruma Avukatı olan Lorea Mendiguren, durumun ciddiyetini vurguladı: “Bu ihlal, geçtiğimiz yıl AB kurumlarında tekrarlanan siber güvenlik olaylarının ardından geldi. Parlamento, çalışanlarının kötü niyetli aktörler için muhtemel hedefler olması nedeniyle uygun güvenlik önlemlerini sağlama yükümlülüğüne sahiptir.”
Avrupa Parlamentosu Veri İhlalinin Daha Geniş Etkileri
Veri ihlali yalnızca Parlamento’nun kişisel verileri korumadaki başarısızlığını ortaya çıkarmakla kalmıyor, aynı zamanda AB kurumlarının siber saldırılara karşı savunmasızlığı konusunda daha geniş endişeleri de gündeme getiriyor. noyb Başkanı Max Schrems, AB organları içindeki devam eden siber güvenlik sorunları konusundaki endişesini şu şekilde dile getirdi: “Bir AB vatandaşı olarak, AB kurumlarının saldırılara karşı hala bu kadar savunmasız olması endişe verici. Bu tür bilgilerin ortalıkta dolaşması yalnızca etkilenen bireyler için korkutucu olmakla kalmıyor, aynı zamanda demokratik kararları etkilemek için de kullanılabiliyor.”
İhlal ayrıca aşırı görünen Parlamento’nun veri saklama uygulamalarına da ışık tuttu. GDPR, kişisel verilerin yalnızca toplandığı amaçlar için gerekli olduğu sürece saklanması gerektiğini emreder. Ancak, Parlamento’nun son derece hassas bilgiler içeren işe alım dosyaları için 10 yıllık saklama süresi bu ilkeyi ihlal ediyor gibi görünüyor. Schrems, “İhlal ayrıca, kişisel verilerden zamanında kurtulmanın bile ihlalin etkisini sınırlayabileceğini gösteriyor.” dedi.
İleriye Doğru: EDPS’nin Rolü
Şikayetler ilerledikçe, tüm gözler EDPS’nin bu önemli veri koruma hatasına nasıl yanıt vereceğini görmek için üzerinde. Noyb, EDPS’yi GDPR’ye uyumu sağlamaya ve ihlallerin ciddiyetini yansıtan para cezaları vermeye çağırdı. Bu davanın sonucu, AB kurumlarının kişisel verileri nasıl ele aldığı ve siber güvenlik risklerini nasıl ele aldığı konusunda geniş kapsamlı etkilere sahip olabilir.
Şimdilik Avrupa Parlamentosu, güveni yeniden inşa etme ve gelecekteki ihlalleri önlemek için daha güçlü güvenlik önlemleri uygulama zorluğuyla karşı karşıya.