2.9 εκατομμύρια ευρώ πρόστιμο στα ΕΛΤΑ για την παραβίαση δεδομένων (ΑΠΔΠΧ 10/2024)
Σύμφωνα με την απόφαση υπήρξε εκτεταμένη διαρροή δεδομένων που επηρέασε ιδιαίτερης σημασίας προσωπικά δεδομένα έως 5.000.000 προσώπων
των εγγράφων και ισχυρισμών που τέθηκαν ενώπιόν της, η Αρχή Προστασίας Δεδομένων διαπίστωσε την τέλεση τεσσάρων παραβάσεων. Ειδικότερα:
1. Από την εξέταση της τεχνικής έκθεσης περιστατικού κυβερνοασφάλειας προέκυψε ότι τα ΕΛΤΑ δεν τηρούσαν επαρκή τεχνικά μέτρα ασφαλείας στο σύστημα, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.
2. Από την εξέταση της πολιτικής ασφαλείας διαπιστώθηκε η μη ορθή εφαρμογή πολιτικών, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.
3. Από την από 27-07-2022 γνωστοποίηση περιστατικού παραβίασης προέκυψε ότι δεν διασφαλίστηκε ο περιορισμός της πρόσβασης μόνο σε εξουσιοδοτημένα άτομα, κατά παράβαση του 5 παρ. 1 στοιχ. στ’.
4. Από την εξέταση της τεχνικής έκθεσης περιστατικού κυβερνοασφάλειας προέκυψε ότι δεν έγιναν αντιληπτές και δεν αποτράπηκαν οι δραστηριότητες ιχνηλάτησης και αναγνώρισης εκ μέρους του δράστη και η απενεργοποίηση των μηχανισμών ασφαλείας ως συνέπεια της εκτέλεσης διεργασιών του κακόβουλου λογισμικού, κατά παράβαση του άρθρου 32 του ΓΚΠΔ.
Με βάση τις τέσσερις αυτές παραβάσεις, η Αρχή έκρινε ότι τα ΕΛΤΑ:
α. Δεν διασφάλισαν, με την εφαρμογή των απαιτούμενων τεχνικών και οργανωτικών μέτρων, την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη ή παράνομη επεξεργασία με αποτέλεσμα να λάβει χώρα απώλεια της κατά το άρθρο 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ επιβαλλόμενης εμπιστευτικότητας.
β. Δεν εφάρμοσαν τις κατάλληλες πολιτικές για την προστασία των δεδομένων ώστε να διασφαλιστεί ότι είναι σε θέση να αποδείξουν ότι πραγματοποίησαν επεξεργασία σύμφωνα με τους ορισμούς του άρθρου 32 του ΓΚΠΔ.
γ. Δεν διασφάλισαν το απόρρητο, την διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση και την ακεραιότητα των διαδικασιών για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας, ούτως ώστε διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, για τα δικαιώματα των υποκειμένων, κατά το άρθρο 32 παρ. 1 στοιχ. β’ του ΓΚΠΔ.
Κατά συνέπεια, η Αρχή έκρινε πως έλαβαν χώρα παραβάσεις των υποχρεώσεων του υπευθύνου επεξεργασίας, όπως αυτές ορίζονται από τα άρθρα 5 παρ.1στ’ και 32 ΓΚΠΔ. Οι παραβάσεις αυτές κρίθηκαν ως αυτοτελείς.
Για τον υπολογισμό του προστίμου, η Αρχή έλαβε υπόψιν της επιβαρυντικώς σειρά παραγόντων, μεταξύ των οποίων:
– «το μεγάλο εύρος των επηρεαζόμενων προσώπων ήτοι 4.000.000-5.000.000, μεταξύ των οποίων υπάλληλοι ΕΛΤΑ, στελέχη, μέλη Δ.Σ., εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές»,
– «το υψηλό ύψος της ζημίας, ήτοι εκτεταμένη διαρροή δεδομένων που αφορά προσωπικά στοιχεία, οικονομικά δεδομένα κλπ. και η απώλεια διαθεσιμότητας υπηρεσιών»,
– «το ότι υπήρξαν παραλείψεις εφαρμογής της πολιτικής ασφαλείας, αδυναμία διασφάλισης της πρόσβασης σε δεδομένα από μη εξουσιοδοτημένους χρήστες, μη επαρκής τεχνική τεκμηρίωση σχετικά με τα ζητήματα της συλλογής των κωδικών πρόσβασης τομέα και της μη αξιοποίησης των μηνυμάτων προειδοποίησης ασυνήθιστης δραστηριότητας από τους μηχανισμούς προστασίας»,
– «το ότι επηρεάστηκαν ιδιαίτερης σημασίας κατηγορίες προσωπικών δεδομένων, όπως οικονομικά στοιχεία υπευθύνου επεξεργασίας και επηρεαζόμενων εταιριών/φορέων, στοιχεία εργαζομένων, αλληλογραφία, διαγωνισμοί, πρακτικά ΔΣ, φωτογραφίες προσωπικού αρχείου και πελατών, στοιχεία κλήσης μαρτύρων, έκθεση κατάθεσης μάρτυρα, έκθεση καθολικής επιθεώρησης, εγγραφές βάσεων δεδομένων, κατάλογος συνταξιούχων ΟΓΑ, στοιχεία πελατών/προμηθευτών, υπεύθυνες δηλώσεις/εξουσιοδοτήσεις».
Αντιθέτως, ως ελαφρυντικά στοιχεία ελήφθησαν υπόψιν – μεταξύ άλλων – η ενίσχυση της ασφάλειας του συστήματος μετά το περιστατικό και η δυσχερής οικονομική κατάσταση των ΕΛΤΑ κατά την εκδήλωση της επίθεσης.
Συνεκτιμώντας τα ανωτέρω, η Αρχή αποφάσισε να επιβάλει πρόστιμο 2.995.140 ευρώ.
ΠΗΓΗ https://www.lawspot.gr/nomika-nea