Schrems κατά Ευρωκοινοβουλίου: Ο γνωστός ακτιβιστής αποκαλύπτει σοκαριστική παραβίαση δεδομένων
Με μια μαζική και άκρως ανησυχητική παραβίαση των δεδομένων του είναι αντιμέτωπο το Ευρωκοινοβούλιο και μάλιστα χωρίς να γνωρίζει καν την αιτία, φανερώνοντας το ελλιπές πλαίσιο κυβερνοασφάλειας. Την υπόθεση χειρίζεται η οργάνωση Noyb του γνωστού ακτιβιστή Schrems που είχε τινάξει στον αέρα όλο το σύστημα μεταφοράς δεδομένων από την Ευρώπη στις ΗΠΑ.
Όσο οι εταιρείες είναι αντιμέτωπες με εξαντλητικά πρόστιμα, αν παραβιάσουν βασικές διατάξεις του GDPR για την προστασία των προσωπικών δεδομένων, αποτελεί ερώτημα αν οι δημόσιοι φορείς αισθάνονται στο απυρόβλητο. Ένα ερώτημα το οποίο δεν είναι μόνο ηθικής και δημοκρατικής υφής, αλλά φέρνει και στο προσκήνιο το κατά πόσον αυτοί είναι επαρκώς θωρακισμένοι απέναντι στις κυβερνοεπιθέσεις.
Η διαρροή δεδομένων των εργαζομένων του Ευρωκοινοβουλίου δίνει αρνητική απάντηση. Και μάλιστα σε μια εποχή στην οποία οι ξένες επιθέσεις, κυρίως από Ρώσους χάκερ, είναι συνεχείς.
Ποια δεδομένα παραβιάστηκαν και γιατί
Η πλατφόρμα PEOPLE είναι η πλατφόρμα προσλήψεων του ευρωπαϊκού Κοινοβουλίου, στην οποία κάθε υποψήφιος εργαζόμενος οφείλει να παρέχει σωρεία προσωπικών δεδομένων, τα οποία μάλιστα διατηρούνται για 10 χρόνια. Πρόκειται μεταξύ άλλων για ευαίσθητα δεδομένα, καθώς εκτός από έγγραφα, όπως η ταυτότητα και το διαβατήριο, περιλαμβάνονται και έγγραφα διαμονής και εκπαίδευσης, αποσπάσματα ποινικού μητρώου και πιστοποιητικά γάμου, τα οποία αποκαλύπτουν και τον σεξουαλικό προσανατολισμό του ατόμου.
Το πρόβλημα, λοιπόν, ξεκινάει από το γεγονός ότι η πλατφόρμα αυτή παραβιάστηκε και τα δεδομένα αυτά κατέληξαν στους επιτιθέμενους χάκερ, θέτοντας σε ευάλωτη θέση πάνω από 8.000 εργαζόμενους. Όμως, δεν τελειώνει εδώ.
Τον Απρίλιο του 2024 το Ευρωκοινοβούλιο ενημέρωσε τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και λίγο αργότερα τους εργαζομένους, χωρίς ωστόσο να γνωρίζει ούτε το πότε και πώς ακριβώς έγινε η επίθεση ούτε ποια ακριβώς έγγραφα τέθηκαν σε κίνδυνο. Δυνητικά, θα μπορούσαν όλα τα έγγραφα να έχουν διαρρεύσει, αφού άλλωστε κανείς δεν είναι σίγουρος για το χρονικό διάστημα πρόσβασης των επιτιθέμενων στα προσωπικά δεδομένα των χρηστών.
Γνωστά τρωτά σημεία στην κυβερνοασφάλεια
Η ιστορία γίνεται ακόμα χειρότερη αν αναλογιστεί κανείς ότι δεν επρόκειτο για κεραυνό εν αιθρία. Τα προβληματικά σημεία του συστήματος κυβερνοασφάλειας στον ευρωπαϊκό θεσμό ήταν γνωστά εδώ και μήνες, ενώ και άλλα θεσμικά όργανα της ΕΕ έχουν υποστεί σοβαρές κυβερνοεπιθέσεις.
Μάλιστα, τον Νοέμβριο του 2022 είχαν επιτεθεί στον ιστότοπο το Ευρωκοινοβουλίου ρωσικές ομάδες χάκερ, ενώ τον Φεβρουάριο του 2024 δύο Ευρωβουλευτές βρήκαν ισραηλινό κατασκοπευτικό λογισμικό στις συσκευές τους.
Τέτοια περιστατικά δεν είναι μόνο τρομακτικά για τα θύματα. Είναι άκρως επικίνδυνα σε γενικότερο επίπεδο, καθώς κανείς δεν γνωρίζει πώς θα χρησιμοποιηθούν τα δεδομένα αυτά. Και σίγουρα είναι ορατό το ενδεχόμενο να χρησιμοποιηθούν για να επηρεάσουν τις δημοκρατικές αποφάσεις.
Αποτελούν, όμως, κατά κάποιο τρόπο και μια ειρωνική εξέλιξη, όταν φανερώνουν ότι οι θεσμικοί φορείς δεν μπορούν να συμμορφωθούν με τους κανόνες που οι ίδιοι θέσπισαν.
Δεν δυσκολεύονται μόνο οι εταιρείες να εφαρμόσουν τον GDPR
Οι ευρείες και αυστηρές απαιτήσεις του νομικού πλαισίου για την προστασία των δεδομένων είναι ένα σημαντικό ρυθμιστικό βάρος για τις ευρωπαϊκές εταιρείες, ενώ βασικός προβληματισμός για το εμβληματικό νομοθέτημα είναι κατά πόσον όντως όλες αυτές οι απαιτήσεις μπορούν να εφαρμοστούν στην πράξη. Όταν ακόμα και το ίδιο το Ευρωκοινοβούλιο δεν μπορεί να συμμορφωθεί, ο προβληματισμός γίνεται ακόμη επιτακτικότερος.
Εν προκειμένω, δε, δεν τίθεται μόνο το ζήτημα της κυβερνοασφάλειας, αλλά ολόκληρου του οικοδομήματος της πλατφόρμας των εργαζομένων σχετικά με την ελαχιστοποίηση και τη διατήρηση των δεδομένων. Και αυτό επειδή ο GDPR απαιτεί από τα θεσμικά όργανα της ΕΕ να επεξεργάζονται μόνο δεδομένα που είναι κατάλληλα, συναφή και αναγκαία σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, ειδικά όταν πρόκειται για ευαίσθητα δεδομένα, όπως ο σεξουαλικός προσανατολισμός και η εθνικότητα του ατόμου.
Παρ’ όλα αυτά, η περίοδος διατήρησης του Κοινοβουλίου της ΕΕ για τους φακέλους προσλήψεων είναι 10 έτη. Και αυτό από μόνο του, ακόμα και αν αγνοήσουμε όλα τα υπόλοιπα, συνιστά παραβίαση του κανονιστικού πλαισίου. Μάλιστα, πρώην εργαζόμενος ζήτησε να διαγραφούν τα δεδομένα του, καθώς δεν εργαζόταν πλέον στο Ευρωκοινοβούλιο και ανησυχούσε για την παραβίαση που ήδη είχε γίνει. Ωστόσο, το -βασισμένο σε συγκεκριμένες διατάξεις του GDPR- αίτημα διαγραφής του απορρίφθηκε.
Ποιος είναι ο Max Schrems
Η οργάνωση Noyb, η οποία κατέθεσε καταγγελία για το περιστατικό στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, ηγείται από τον γνωστό ακτιβιστή νομικό Max Schrems, ο οποίος έχει απασχολήσει ουκ ολίγες φορές το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) με τις ενέργειές του κατά των παραβιάσεων των δεδομένων προσωπικού χαρακτήρα. Οι δύο αποφάσεις του ΔΕΕ που φέρουν το όνομά του έχουν χτίσει νομολογία και αποτελούν τομή στον κλάδο.
Η πρώτη μεγάλη επιτυχία του Schrems ήρθε το 2015 με την υπόθεση γνωστή ως “Schrems I“. Αυτή η υπόθεση αφορούσε την αμφισβήτηση της συμφωνίας Safe Harbor μεταξύ της ΕΕ και των ΗΠΑ, η οποία επέτρεπε τη μεταφορά προσωπικών δεδομένων από την Ευρώπη στις ΗΠΑ. Ο Schrems υποστήριξε ότι η συμφωνία δεν παρείχε επαρκή προστασία για τα προσωπικά δεδομένα των Ευρωπαίων πολιτών, ιδιαίτερα μετά τις αποκαλύψεις του Edward Snowden για την παρακολούθηση από την Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ.
Το ΔΕΕ συμφώνησε με τον Schrems και ακύρωσε τη συμφωνία Safe Harbor, οδηγώντας στη δημιουργία νέου νομικού πλαισίου, γνωστού ως Privacy Shield. Το Privacy Shield είχε ως στόχο να εξασφαλίσει ότι τα προσωπικά δεδομένα των πολιτών της ΕΕ προστατεύονται κατά την επεξεργασία τους από εταιρείες στις ΗΠΑ, περιλαμβάνοντας κανόνες και υποχρεώσεις για τις αμερικανικές εταιρείες που λάμβαναν δεδομένα από την ΕΕ. Ούτε αυτό, όμως, επρόκειτο να μακροημερεύσει, εξαιτίας και πάλι του Max Schrems.
Το 2020, το ΔΕΕ ακύρωσε και τη συμφωνία Privacy Shield, κρίνοντας ότι δεν παρέχει επαρκή προστασία στα δεδομένα προσωπικού χαρακτήρα κατά τη μεταφορά τους στις ΗΠΑ. Το ΔΕΕ βασίστηκε και πάλι στις ανησυχίες για την πρόσβαση των αμερικανικών αρχών στα προσωπικά δεδομένα των Ευρωπαίων πολιτών. Η απόφαση “Schrems II” είχε τεράστια επίπτωση στις διεθνείς επιχειρήσεις, καθώς επιβλήθηκαν αυστηρότερα μέτρα για τη διασφάλιση της προστασίας των δεδομένων. Η κύρια ανησυχία ήταν ότι οι νόμοι των ΗΠΑ επέτρεπαν την εκτεταμένη παρακολούθηση των δεδομένων από τις υπηρεσίες πληροφοριών, κάτι που δεν συμβάδιζε με τα πρότυπα προστασίας δεδομένων της ΕΕ.
Αυτή τη στιγμή δεν έχει καταστεί εφικτό να εφαρμοστεί κάποιο άλλο πλαίσιο και οι εταιρείες έχουν αναγκαστεί να χρησιμοποιούν εναλλακτικά νομικά μέσα για τη μεταφορά δεδομένων, όπως οι Τυποποιημένες Συμβατικές Ρήτρες. Παράλληλα, συνεχίζονται οι διαπραγματεύσεις για την ανάπτυξη ενός νέου πλαισίου που θα αντικαταστήσει το Privacy Shield και θα καλύψει τις ανησυχίες που ανέδειξε η απόφαση Schrems II, όμως προχωρούν πολύ αργά και η αισιοδοξία δεν περισσεύει…
Με μια μαζική και άκρως ανησυχητική παραβίαση των δεδομένων του είναι αντιμέτωπο το Ευρωκοινοβούλιο και μάλιστα χωρίς να γνωρίζει καν την αιτία, φανερώνοντας το ελλιπές πλαίσιο κυβερνοασφάλειας. Την υπόθεση χειρίζεται η οργάνωση Noyb του γνωστού ακτιβιστή Schrems που είχε τινάξει στον αέρα όλο το σύστημα μεταφοράς δεδομένων από την Ευρώπη στις ΗΠΑ.
Όσο οι εταιρείες είναι αντιμέτωπες με εξαντλητικά πρόστιμα, αν παραβιάσουν βασικές διατάξεις του GDPR για την προστασία των προσωπικών δεδομένων, αποτελεί ερώτημα αν οι δημόσιοι φορείς αισθάνονται στο απυρόβλητο. Ένα ερώτημα το οποίο δεν είναι μόνο ηθικής και δημοκρατικής υφής, αλλά φέρνει και στο προσκήνιο το κατά πόσον αυτοί είναι επαρκώς θωρακισμένοι απέναντι στις κυβερνοεπιθέσεις.
Η διαρροή δεδομένων των εργαζομένων του Ευρωκοινοβουλίου δίνει αρνητική απάντηση. Και μάλιστα σε μια εποχή στην οποία οι ξένες επιθέσεις, κυρίως από Ρώσους χάκερ, είναι συνεχείς.
Ποια δεδομένα παραβιάστηκαν και γιατί
Η πλατφόρμα PEOPLE είναι η πλατφόρμα προσλήψεων του ευρωπαϊκού Κοινοβουλίου, στην οποία κάθε υποψήφιος εργαζόμενος οφείλει να παρέχει σωρεία προσωπικών δεδομένων, τα οποία μάλιστα διατηρούνται για 10 χρόνια. Πρόκειται μεταξύ άλλων για ευαίσθητα δεδομένα, καθώς εκτός από έγγραφα, όπως η ταυτότητα και το διαβατήριο, περιλαμβάνονται και έγγραφα διαμονής και εκπαίδευσης, αποσπάσματα ποινικού μητρώου και πιστοποιητικά γάμου, τα οποία αποκαλύπτουν και τον σεξουαλικό προσανατολισμό του ατόμου.
Το πρόβλημα, λοιπόν, ξεκινάει από το γεγονός ότι η πλατφόρμα αυτή παραβιάστηκε και τα δεδομένα αυτά κατέληξαν στους επιτιθέμενους χάκερ, θέτοντας σε ευάλωτη θέση πάνω από 8.000 εργαζόμενους. Όμως, δεν τελειώνει εδώ.
Τον Απρίλιο του 2024 το Ευρωκοινοβούλιο ενημέρωσε τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και λίγο αργότερα τους εργαζομένους, χωρίς ωστόσο να γνωρίζει ούτε το πότε και πώς ακριβώς έγινε η επίθεση ούτε ποια ακριβώς έγγραφα τέθηκαν σε κίνδυνο. Δυνητικά, θα μπορούσαν όλα τα έγγραφα να έχουν διαρρεύσει, αφού άλλωστε κανείς δεν είναι σίγουρος για το χρονικό διάστημα πρόσβασης των επιτιθέμενων στα προσωπικά δεδομένα των χρηστών.
Γνωστά τρωτά σημεία στην κυβερνοασφάλεια
Η ιστορία γίνεται ακόμα χειρότερη αν αναλογιστεί κανείς ότι δεν επρόκειτο για κεραυνό εν αιθρία. Τα προβληματικά σημεία του συστήματος κυβερνοασφάλειας στον ευρωπαϊκό θεσμό ήταν γνωστά εδώ και μήνες, ενώ και άλλα θεσμικά όργανα της ΕΕ έχουν υποστεί σοβαρές κυβερνοεπιθέσεις.
Μάλιστα, τον Νοέμβριο του 2022 είχαν επιτεθεί στον ιστότοπο το Ευρωκοινοβουλίου ρωσικές ομάδες χάκερ, ενώ τον Φεβρουάριο του 2024 δύο Ευρωβουλευτές βρήκαν ισραηλινό κατασκοπευτικό λογισμικό στις συσκευές τους.
Τέτοια περιστατικά δεν είναι μόνο τρομακτικά για τα θύματα. Είναι άκρως επικίνδυνα σε γενικότερο επίπεδο, καθώς κανείς δεν γνωρίζει πώς θα χρησιμοποιηθούν τα δεδομένα αυτά. Και σίγουρα είναι ορατό το ενδεχόμενο να χρησιμοποιηθούν για να επηρεάσουν τις δημοκρατικές αποφάσεις.
Αποτελούν, όμως, κατά κάποιο τρόπο και μια ειρωνική εξέλιξη, όταν φανερώνουν ότι οι θεσμικοί φορείς δεν μπορούν να συμμορφωθούν με τους κανόνες που οι ίδιοι θέσπισαν.
Δεν δυσκολεύονται μόνο οι εταιρείες να εφαρμόσουν τον GDPR
Οι ευρείες και αυστηρές απαιτήσεις του νομικού πλαισίου για την προστασία των δεδομένων είναι ένα σημαντικό ρυθμιστικό βάρος για τις ευρωπαϊκές εταιρείες, ενώ βασικός προβληματισμός για το εμβληματικό νομοθέτημα είναι κατά πόσον όντως όλες αυτές οι απαιτήσεις μπορούν να εφαρμοστούν στην πράξη. Όταν ακόμα και το ίδιο το Ευρωκοινοβούλιο δεν μπορεί να συμμορφωθεί, ο προβληματισμός γίνεται ακόμη επιτακτικότερος.
Εν προκειμένω, δε, δεν τίθεται μόνο το ζήτημα της κυβερνοασφάλειας, αλλά ολόκληρου του οικοδομήματος της πλατφόρμας των εργαζομένων σχετικά με την ελαχιστοποίηση και τη διατήρηση των δεδομένων. Και αυτό επειδή ο GDPR απαιτεί από τα θεσμικά όργανα της ΕΕ να επεξεργάζονται μόνο δεδομένα που είναι κατάλληλα, συναφή και αναγκαία σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, ειδικά όταν πρόκειται για ευαίσθητα δεδομένα, όπως ο σεξουαλικός προσανατολισμός και η εθνικότητα του ατόμου.
Παρ’ όλα αυτά, η περίοδος διατήρησης του Κοινοβουλίου της ΕΕ για τους φακέλους προσλήψεων είναι 10 έτη. Και αυτό από μόνο του, ακόμα και αν αγνοήσουμε όλα τα υπόλοιπα, συνιστά παραβίαση του κανονιστικού πλαισίου. Μάλιστα, πρώην εργαζόμενος ζήτησε να διαγραφούν τα δεδομένα του, καθώς δεν εργαζόταν πλέον στο Ευρωκοινοβούλιο και ανησυχούσε για την παραβίαση που ήδη είχε γίνει. Ωστόσο, το -βασισμένο σε συγκεκριμένες διατάξεις του GDPR- αίτημα διαγραφής του απορρίφθηκε.
Ποιος είναι ο Max Schrems
Η οργάνωση Noyb, η οποία κατέθεσε καταγγελία για το περιστατικό στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, ηγείται από τον γνωστό ακτιβιστή νομικό Max Schrems, ο οποίος έχει απασχολήσει ουκ ολίγες φορές το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) με τις ενέργειές του κατά των παραβιάσεων των δεδομένων προσωπικού χαρακτήρα. Οι δύο αποφάσεις του ΔΕΕ που φέρουν το όνομά του έχουν χτίσει νομολογία και αποτελούν τομή στον κλάδο.
Η πρώτη μεγάλη επιτυχία του Schrems ήρθε το 2015 με την υπόθεση γνωστή ως “Schrems I“. Αυτή η υπόθεση αφορούσε την αμφισβήτηση της συμφωνίας Safe Harbor μεταξύ της ΕΕ και των ΗΠΑ, η οποία επέτρεπε τη μεταφορά προσωπικών δεδομένων από την Ευρώπη στις ΗΠΑ. Ο Schrems υποστήριξε ότι η συμφωνία δεν παρείχε επαρκή προστασία για τα προσωπικά δεδομένα των Ευρωπαίων πολιτών, ιδιαίτερα μετά τις αποκαλύψεις του Edward Snowden για την παρακολούθηση από την Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ.
Το ΔΕΕ συμφώνησε με τον Schrems και ακύρωσε τη συμφωνία Safe Harbor, οδηγώντας στη δημιουργία νέου νομικού πλαισίου, γνωστού ως Privacy Shield. Το Privacy Shield είχε ως στόχο να εξασφαλίσει ότι τα προσωπικά δεδομένα των πολιτών της ΕΕ προστατεύονται κατά την επεξεργασία τους από εταιρείες στις ΗΠΑ, περιλαμβάνοντας κανόνες και υποχρεώσεις για τις αμερικανικές εταιρείες που λάμβαναν δεδομένα από την ΕΕ. Ούτε αυτό, όμως, επρόκειτο να μακροημερεύσει, εξαιτίας και πάλι του Max Schrems.
Το 2020, το ΔΕΕ ακύρωσε και τη συμφωνία Privacy Shield, κρίνοντας ότι δεν παρέχει επαρκή προστασία στα δεδομένα προσωπικού χαρακτήρα κατά τη μεταφορά τους στις ΗΠΑ. Το ΔΕΕ βασίστηκε και πάλι στις ανησυχίες για την πρόσβαση των αμερικανικών αρχών στα προσωπικά δεδομένα των Ευρωπαίων πολιτών. Η απόφαση “Schrems II” είχε τεράστια επίπτωση στις διεθνείς επιχειρήσεις, καθώς επιβλήθηκαν αυστηρότερα μέτρα για τη διασφάλιση της προστασίας των δεδομένων. Η κύρια ανησυχία ήταν ότι οι νόμοι των ΗΠΑ επέτρεπαν την εκτεταμένη παρακολούθηση των δεδομένων από τις υπηρεσίες πληροφοριών, κάτι που δεν συμβάδιζε με τα πρότυπα προστασίας δεδομένων της ΕΕ.
Αυτή τη στιγμή δεν έχει καταστεί εφικτό να εφαρμοστεί κάποιο άλλο πλαίσιο και οι εταιρείες έχουν αναγκαστεί να χρησιμοποιούν εναλλακτικά νομικά μέσα για τη μεταφορά δεδομένων, όπως οι Τυποποιημένες Συμβατικές Ρήτρες. Παράλληλα, συνεχίζονται οι διαπραγματεύσεις για την ανάπτυξη ενός νέου πλαισίου που θα αντικαταστήσει το Privacy Shield και θα καλύψει τις ανησυχίες που ανέδειξε η απόφαση Schrems II, όμως προχωρούν πολύ αργά και η αισιοδοξία δεν περισσεύει…