Στις 28 Φεβρουαρίου 2024 η ανεξάρτητη Αρχή Προστασίας Δεδομένων (ΑΠΔ) δημοσίευσε απόφαση, με την οποία διαπίστωσε ότι τα Ελληνικά Ταχυδρομεία (ΕΛΤΑ), υπαγόμενα στη δημόσια Ελληνική Εταιρεία Συμμετοχών και Περιουσίας (δηλαδή στο Υπερταμείο), προέβησαν σε σοβαρές παραβιάσεις διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ).
Στο πλαίσιο της απόφασής της η ΑΠΔ επέβαλε σε βάρος των ΕΛΤΑ διοικητικό πρόστιμο ύψους 2.995.140 ευρώ κατά τη σχετική αρμοδιότητά της, όπως αυτή προκύπτει από το άρθρο 58 παρ. 2 του ΓΚΠΔ («Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες: […] θ) να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης»).
Η ανεξάρτητη Αρχή επιλήφθηκε της υπόθεσης μετά από κυβερνοεπίθεση σε βάρος των ΕΛΤΑ και διαρροή προσωπικών δεδομένων πελατών, εργαζομένων και συνεργατών του στο dark web.
Από την έρευνά της η ΑΠΔ διαπίστωσε ότι «τα ΕΛΤΑ δεν τηρούσαν επαρκή τεχνικά μέτρα ασφαλείας» στο σύστημά τους, ότι υπήρξε «μη ορθή εφαρμογή πολιτικών κατά παράβαση του άρθρου 32 του ΓΚΠΔ», ότι «δεν διασφαλίστηκε ο περιορισμός της πρόσβασης (σ.σ.: στα προσωπικά δεδομένα) μόνο σε εξουσιοδοτημένα άτομα», καθώς και ότι «δεν έγιναν αντιληπτές και δεν αποτράπηκαν οι δραστηριότητες ιχνηλάτισης και αναγνώρισης εκ μέρους του δράστη και η απενεργοποίηση των μηχανισμών ασφαλείας ως συνέπεια της εκτέλεσης διεργασιών του κακόβουλου λογισμικού κατά παράβαση του άρθρου 32 του ΓΚΠΔ».
Η ΑΠΔ έκρινε ακόμη ότι τα ΕΛΤΑ, πρώτον, δεν διασφάλισαν με την εφαρμογή των απαιτούμενων τεχνικών και οργανωτικών μέτρων την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, με συνέπεια να λάβει χώρα απώλεια της κατά το άρθρο 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ επιβαλλόμενης εμπιστευτικότητας· δεύτερον, δεν εφάρμοσαν τις κατάλληλες πολιτικές για την προστασία των δεδομένων ώστε να διασφαλιστεί ότι είναι σε θέση να αποδείξουν ότι πραγματοποίησαν επεξεργασία σύμφωνα με τους ορισμούς του άρθρου 32 του ΓΚΠΔ· τρίτον, δεν διασφάλισαν το απόρρητο, τη διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, καθώς και την ακεραιότητα των διαδικασιών για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας, ώστε να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων για τα δικαιώματα των υποκειμένων κατά το άρθρο 32 παρ. 1 στοιχ. β’ του ΓΚΠΔ.
Με βάση τις παραπάνω διαπιστώσεις η ΑΠΔ κατέληξε στο συμπέρασμα ότι τα ΕΛΤΑ παραβίασαν τα άρθρα 5 παρ. 1 στοιχ. στ’ και 32 του ΓΚΠΔ. Σύμφωνα με το άρθρο 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ, «τα δεδομένα προσωπικού χαρακτήρα: […] στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (“ακεραιότητα και εμπιστευτικότητα”)».
Tο άρθρο 32 του ΓΚΠΔ σχετικά με την ασφάλεια επεξεργασίας των προσωπικών δεδομένων προβλέπει με τη σειρά του ότι «ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων» (άρθρο 32 παρ. 1 του ΓΚΠΔ), στους οποίους μεταξύ άλλων περιλαμβάνεται η δυνατότητα «διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση» (άρθρο 32 παρ. 1 στοιχ. β’ του ΓΚΠΔ).
Το ίδιο άρθρο προβλέπει ακόμη ότι «κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία» (άρθρο 32 παρ. 2).
Η ΑΠΔ επέβαλε σε βάρος των ΕΛΤΑ πρόστιμο ύψους 2.995.140 ευρώ, χαρακτηρίζοντας ως «μεγάλη» τη βαρύτητα των διαπιστωμένων παραβιάσεων, με φόντο μεταξύ άλλων το μεγάλο εύρος των επηρεαζόμενων προσώπων (περί τα πέντε εκατομμύρια πελατών, εργαζομένων και συνεργατών των ΕΛΤΑ), το υψηλό ύψος της ζημίας, το ότι υπήρξαν παραλείψεις εφαρμογής της πολιτικής ασφαλείας, το ότι επηρεάστηκαν ιδιαίτερης σημασίας κατηγορίες προσωπικών δεδομένων (όπως, για παράδειγμα, οικονομικά στοιχεία), καθώς και το ότι δεν ανακτήθηκαν ιστορικά δεδομένα εφαρμογών και δεν υιοθετήθηκαν μέτρα περιορισμού της ανάρτησης των δεδομένων στο dark web.
Σε ένα Κράτος Δικαίου οι δημόσιες Αρχές οφείλουν να τηρούν απαρέγκλιτα την ενωσιακή και εθνική νομοθεσία αναφορικά με την προστασία των προσωπικών δεδομένων των πολιτών κατά τις διαδικασίες νόμιμης επεξεργασίας τους.
Ωστόσο, η έρευνα της ανεξάρτητης Αρχής Προστασίας Δεδομένων (ΑΠΔ) τεκμηρίωσε εν προκειμένω ότι τα Ελληνικά Ταχυδρομεία (ΕΛΤΑ), υπαγόμενα στη δημόσια Ελληνική Εταιρεία Συμμετοχών και Περιουσίας (δηλαδή στο Υπερταμείο), προέβησαν σε σοβαρές παραβιάσεις διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων (άρθρα 5 παρ. 1 στοιχ. στ’ και 32 του ΓΚΠΔ).
Αριθμός Λογαριασμού: 1100 0232 0016 560
IBAN: GR56 0140 1100 1100 0232 0016 560
BIC: CRBAGRAA
Στον αγώνα μας για Λογοδοσία και Διαφάνεια, απέναντι σε οτιδήποτε υπονομεύει τις αρχές της Δημοκρατίας και του Κράτους Δικαίου.
Γιατί η Δημοκρατία δεν είναι αυτονόητη.
Είναι στο χέρι μας να μη στεκόμαστε απαθείς ή κυνικοί.
Δες πώς μπορείς να μας βοηθήσεις, εδώ!
