2.9 εκατομμύρια ευρώ πρόστιμο στα ΕΛΤΑ για την παραβίαση δεδομένων (ΑΠΔΠΧ 10/2024)

Το δεύτερο μεγαλύτερο πρόστιμο της ιστορίας της σε επιχείρηση με έδρα την Ελλάδα επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε βάρος των Ελληνικών Ταχυδρομείων (ΕΛΤΑ).  

Με την απόφασή της υπ’ αριθμ. 10/2024, η αρμόδια εποπτική αρχή για την προστασία προσωπικών δεδομένων αποφάσισε να επιβάλει στα ΕΛΤΑ διοικητικό πρόστιμο ύψους δύο εκατομμυρίων εννιακόσιων ενενήντα πέντε χιλιάδων εκατόν σαράντα ευρώ (2.995.140€), ως αποτέλεσμα της παραβίασης δεδομένων που οδήγησε στη διαρροή προσωπικών δεδομένων έως 5.000.000 προσώπων και τη δημοσίευση αυτών στο Dark Web.

Η ΑΠΔΠΧ έλαβε από τα ΕΛΤΑ τις από 23-3-2022 και 27-7-2022 γνωστοποιήσεις παραβίασης δεδομένων του άρθρου 33 ΓΚΠΔ σχετικά με «κρυπτογράφηση λογισμικού στο σύστημα της εταιρίας, ως αποτέλεσμα κακόβουλης επίθεσης από τρίτους, και διαρροή προσωπικών δεδομένων τα οποία, σε επόμενη φάση, δημοσιεύτηκαν στο σκοτεινό ιστό (Dark Web)».

Μετά την αρχική γνωστοποίηση, η Αρχή ζήτησε από τα ΕΛΤΑ «την περιγραφή των ενεργειών που έχουν λάβει χώρα στο πλαίσιο διερεύνησης/αντιμετώπισης του εν λόγω περιστατικού και κάθε σχετική πληροφορία και αναφορά (π.χ. αναφορές προς/από άλλες αρμόδιες αρχές ή τρίτες εταιρείες), καθώς και τις ενέργειες στις οποίες τα ΕΛΤΑ έχουν προβεί σε σχέση με την ενημέρωση των επηρεαζόμενων υποκειμένων των δεδομένων και τυχόν τρίτων μερών».

Ακολούθως και μετά την αρχική απάντηση του υπευθύνου επεξεργασίας, η Αρχή ζήτησε «τις πολιτικές και διαδικασίες πληροφορικής και ασφάλειας πληροφοριών του φορέα αλλά και τον τρόπο εφαρμογής των εν λόγω πολιτικών και διαδικασιών στο πλαίσιο της αντιμετώπισης του εν λόγω περιστατικού παραβίασης».

Στη συνέχεια, τα ΕΛΤΑ υπέβαλαν την από 27-07-2022 γνωστοποίηση περιστατικού παραβίασης, η οποία συμπληρώθηκε με την από 29-12-2022 γνωστοποίηση, αναφέροντας ότι «ως επακόλουθη δράση του ανωτέρω περιστατικού, οι δράστες δημοσιοποίησαν στον σκοτεινό ιστό του Διαδικτύου (Dark Web) προσωπικά δεδομένα που υπέκλεψαν κατά την παραβίαση του συστήματος του υπευθύνου επεξεργασίας».

Από την εξέταση των εγγράφων και ισχυρισμών που τέθηκαν ενώπιόν της, η Αρχή Προστασίας Δεδομένων διαπίστωσε την τέλεση τεσσάρων παραβάσεων. Ειδικότερα:

1. Από την εξέταση της τεχνικής έκθεσης περιστατικού κυβερνοασφάλειας προέκυψε ότι τα ΕΛΤΑ δεν τηρούσαν επαρκή τεχνικά μέτρα ασφαλείας στο σύστημα, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.

2. Από την εξέταση της πολιτικής ασφαλείας διαπιστώθηκε η μη ορθή εφαρμογή πολιτικών, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.

3. Από την από 27-07-2022 γνωστοποίηση περιστατικού παραβίασης προέκυψε ότι δεν διασφαλίστηκε ο περιορισμός της πρόσβασης μόνο σε εξουσιοδοτημένα άτομα, κατά παράβαση του 5 παρ. 1 στοιχ. στ’.

4. Από την εξέταση της τεχνικής έκθεσης περιστατικού κυβερνοασφάλειας προέκυψε ότι δεν έγιναν αντιληπτές και δεν αποτράπηκαν οι δραστηριότητες ιχνηλάτησης και αναγνώρισης εκ μέρους του δράστη και η απενεργοποίηση των μηχανισμών ασφαλείας ως συνέπεια της εκτέλεσης διεργασιών του κακόβουλου λογισμικού, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.

Με βάση τις τέσσερις αυτές παραβάσεις, η Αρχή έκρινε ότι τα ΕΛΤΑ:

α. Δεν διασφάλισαν, με την εφαρμογή των απαιτούμενων τεχνικών και οργανωτικών μέτρων, την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη ή παράνομη επεξεργασία με αποτέλεσμα να λάβει χώρα απώλεια της κατά το άρθρο 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ επιβαλλόμενης εμπιστευτικότητας.

β. Δεν εφάρμοσαν τις κατάλληλες πολιτικές για την προστασία των δεδομένων ώστε να διασφαλιστεί ότι είναι σε θέση να αποδείξουν ότι πραγματοποίησαν επεξεργασία σύμφωνα με τους ορισμούς του άρθρου 32 του ΓΚΠΔ.

γ. Δεν διασφάλισαν το απόρρητο, την διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση και την ακεραιότητα των διαδικασιών για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας, ούτως ώστε διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, για τα δικαιώματα των υποκειμένων, κατά το άρθρο 32 παρ. 1 στοιχ. β’ του ΓΚΠΔ.

Κατά συνέπεια, η Αρχή έκρινε πως έλαβαν χώρα παραβάσεις των υποχρεώσεων του υπευθύνου επεξεργασίας, όπως αυτές ορίζονται από τα άρθρα 5 παρ.1στ’ και 32 ΓΚΠΔ. Οι παραβάσεις αυτές κρίθηκαν ως αυτοτελείς.

Για τον υπολογισμό του προστίμου, η Αρχή έλαβε υπόψιν της επιβαρυντικώς σειρά παραγόντων, μεταξύ των οποίων:

- «το μεγάλο εύρος των επηρεαζόμενων προσώπων ήτοι 4.000.000-5.000.000, μεταξύ των οποίων υπάλληλοι ΕΛΤΑ, στελέχη, μέλη Δ.Σ., εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές»,

- «το υψηλό ύψος της ζημίας, ήτοι εκτεταμένη διαρροή δεδομένων που αφορά προσωπικά στοιχεία, οικονομικά δεδομένα κλπ. και η απώλεια διαθεσιμότητας υπηρεσιών»,

- «το ότι υπήρξαν παραλείψεις εφαρμογής της πολιτικής ασφαλείας, αδυναμία διασφάλισης της πρόσβασης σε δεδομένα από μη εξουσιοδοτημένους χρήστες, μη επαρκής τεχνική τεκμηρίωση σχετικά με τα ζητήματα της συλλογής των κωδικών πρόσβασης τομέα και της μη αξιοποίησης των μηνυμάτων προειδοποίησης ασυνήθιστης δραστηριότητας από τους μηχανισμούς προστασίας»,

- «το ότι επηρεάστηκαν ιδιαίτερης σημασίας κατηγορίες προσωπικών δεδομένων, όπως οικονομικά στοιχεία υπευθύνου επεξεργασίας και επηρεαζόμενων εταιριών/φορέων, στοιχεία εργαζομένων, αλληλογραφία, διαγωνισμοί, πρακτικά ΔΣ, φωτογραφίες προσωπικού αρχείου και πελατών, στοιχεία κλήσης μαρτύρων, έκθεση κατάθεσης μάρτυρα, έκθεση καθολικής επιθεώρησης, εγγραφές βάσεων δεδομένων, κατάλογος συνταξιούχων ΟΓΑ, στοιχεία πελατών/προμηθευτών, υπεύθυνες δηλώσεις/εξουσιοδοτήσεις».

Αντιθέτως, ως ελαφρυντικά στοιχεία ελήφθησαν υπόψιν – μεταξύ άλλων - η ενίσχυση της ασφάλειας του συστήματος μετά το περιστατικό και η δυσχερής οικονομική κατάσταση των ΕΛΤΑ κατά την εκδήλωση της επίθεσης.

Συνεκτιμώντας τα ανωτέρω, η Αρχή αποφάσισε να επιβάλει πρόστιμο 2.995.140 ευρώ.