Πρόστιμο «μαμούθ» στα ΕΛΤΑ για τη διαρροή στοιχείων έως 5 εκατ. προσώπων
Το δεύτερο μεγαλύτερο πρόστιμο της ιστορίας της σε επιχείρηση με έδρα την Ελλάδα επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε βάρος των Ελληνικών Ταχυδρομείων (ΕΛΤΑ).
Πρόκειται για πρόστιμο της τάξης των 2.995.000 ευρώ, το οποίο επέβαλλε η Αρχή προστασίας προσωπικών δεδομένων ως αποτέλεσμα της παραβίασης δεδομένων που οδήγησε στη διαρροή προσωπικών δεδομένων έως 5.000.000 προσώπων και τη δημοσίευση αυτών στο Dark Web.
«Το μεγάλο εύρος των επηρεαζόμενων προσώπων ήτοι 4.000.000- 5.000.000, μεταξύ των οποίων υπάλληλοι ΕΛΤΑ, στελέχη, μέλη Δ.Σ., εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές» οδήγησε σε αυτήν.
Όπως αναφέρεται «έλαβε χώρα παραβίαση του συστήματος του υπευθύνου επεξεργασίας, μη εξουσιοδοτημένη πρόσβαση σε πόρους, εγκατάσταση κακόβουλων λογισμικών και δημοσιοποίηση δεδομένων στο σκοτεινό ιστό».
«Διοχετεύθηκαν προσωπικά στοιχεία στο Διαδίκτυο»
Για το λόγο αυτό «η Αρχή επέβαλε πρόστιμο σε υπεύθυνο επεξεργασίας για διαρροή προσωπικών δεδομένων τα οποία, σε μετέπειτα φάση, δημοσιεύτηκαν στο σκοτεινό ιστό. Από την εξέταση του περιστατικού διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας δεν τηρούσε τα απαιτούμενα τεχνικά και οργανωτικά μέτρα και δεν διασφάλισε την εφαρμογή της πολιτικής ασφάλειας της επεξεργασίας, με αποτέλεσμα να λάβουν χώρα, στο πλαίσιο της παραβίασης του συστήματος του υπευθύνου επεξεργασίας, ενέργειες ανίχνευσης των αδυναμιών του δικτύου, μη εξουσιοδοτημένη πρόσβαση σε πόρους, εκτέλεση κακόβουλων διεργασιών σε σταθμούς εργασίας, απενεργοποίηση των λογισμικών προστασίας και κρυπτογράφηση αρχείων».
Όπως αναφέρει η Αρχή «επηρεάστηκαν ιδιαίτερης σημασίας κατηγορίες προσωπικών δεδομένων, όπως οικονομικά στοιχεία υπευθύνου επεξεργασίας και επηρεαζόμενων εταιριών/φορέων, στοιχεία εργαζομένων, αλληλογραφία, διαγωνισμοί, πρακτικά ΔΣ, φωτογραφίες προσωπικού αρχείου και πελατών, στοιχεία κλήσης μαρτύρων, έκθεση κατάθεσης μάρτυρα, έκθεση καθολικής επιθεώρησης, εγγραφές βάσεων δεδομένων, κατάλογος συνταξιούχων ΟΓΑ, στοιχεία πελατών/προμηθευτών, υπεύθυνες δηλώσεις/εξουσιοδοτήσεις».
«Δεν ανακτήθηκαν δεδομένα»
Παράλληλα, σημειώνει στην απόφασή της το γεγονός «ότι δεν ανακτήθηκαν ιστορικά δεδομένα εφαρμογών. Δεν πάρθηκαν μέτρα περιορισμού της ανάρτησης των δεδομένων στο σκοτεινό ιστό».
Η Αρχή ασκώντας τις «διορθωτικές εξουσίες με βάση το άρθρο 58 παρ. 2 στοιχ. θ) του ΓΚΠΔ, επιβάλλει πρόστιμο ύψους δύο εκατομμυρίων εννιακόσιων ενενήντα πέντε χιλιάδων εκατόν 12 σαράντα ευρώ (2.995.140) στην εταιρία με την επωνυμία «ΕΛΛΗΝΙΚΑ ΤΑΧΥΔΡΟΜΕΙΑ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ», για τους λόγους που εκτενώς αναφέρονται».