Επίπληξη στην ΕΛ.ΑΣ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Απόφαση 43/2021)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής ΑΠΔΠΧ ή Αρχή) επέβαλε στην Ελληνική Αστυνομία επίπληξη λόγω παράβασης του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR) με την Απόφαση 43/2021, για περιστατικό κυβερνοεπίθεσης που έλαβε χώρα το 2020.
Όλα ξεκίνησαν όταν πολίτης κατήγγειλε στην Αρχή ότι έλαβε τέσσερα μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς, οι οποίοι υποδύονταν στελέχη της Ελληνικής Αστυνομίας και τα οποία μηνύματα είτε έφεραν κακόβουλο λογισμικό (malware) είτε συνδέσμους (link), οι οποίοι παρέπεμπαν σε κακόβουλο λογισμικό. Η πρακτική αυτή είναι αρκετά συνήθης, κυρίως από επιτήδειους, οι οποίοι αποστέλλουν μηνύματα προσποιούμενοι ότι εργάζονται για τραπεζικά ιδρύματα, με την πρόφαση ότι ο τραπεζικός λογαριασμός του παραλήπτη του μηνύματος έχει μπλοκαριστεί ή επιδέχεται ενημέρωσης. Με τον τρόπο αυτό, πολλοί πολίτες πέφτουν θύματα των εγκληματιών, με αποτέλεσμα να πέφτουν στα χέρια των τελευταίων στοιχεία τραπεζικών λογαριασμών και να αποσπούν σημαντικά χρηματικά ποσά (η μέθοδος αυτή είναι αρκετά γνωστή ως “phishing”).
Στην εν λόγω περίπτωση, από τα τέσσερα αυτά μηνύματα φάνηκε ότι το αρχικό μήνυμα που ο καταγγέλλων είχε αποστείλει προς την Ελληνική Αστυνομία το 2020 και περιελάμβανε προσωπικά του δεδομένα, όπως ονοματεπώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου και τον προσωπικό του κωδικό για την υπηρεσία Passenger Location Form, είχε διαρρεύσει σε άγνωστους τρίτους. Η απάντηση της Ελληνικής Αστυνομίας προς τον πολίτη ήταν πως υπήρξε πρόβλημα ασφαλείας στο ηλεκτρονικό της ταχυδρομείο, ενώ με επίσημο έγγραφο της προς την Αρχή, ανέφερε πως το διάστημα εκείνο έλαβε χώρα κυβερνοεπίθεση με κωδικό όνομα “EMOTET”, η οποία έπληξε αρκετά συστήματα παγκοσμίως. Μεγάλος αριθμός των επιθέσεων του “Emotet botnet” πραγματοποιήθηκε σε χρήστες στην Ελλάδα (περίπου 17,7 %). Πρόκειται για μία επίθεση, η οποία, ειδικά κατά το 2020 και μέχρι να κατασταλεί μετά από παγκόσμια δράση, αποτέλεσε μία από τις κορυφαίες και πιο σοβαρές απειλές στον κυβερνοχώρο, κατά τη διάρκεια της οποίας υποκλέπτονται μηνύματα ηλεκτρονικού ταχυδρομείου και στη συνέχεια προκαλείται μια αλυσιδωτή επιχείρηση μόλυνσης.
Η Αρχή έκρινε πως έχει επέλθει παραβίαση δεδομένων προσωπικού χαρακτήρα κατ’ άρθρο 4 του ΓΚΠΔ, δεν υπήρξε, ωστόσο, γνωστοποίηση του εν λόγω περιστατικού προς την Αρχή, όπως επιτάσσει το άρθρο 33 ΓΚΠΔ, ούτε προς τα θιγόμενα πρόσωπα (υποκείμενα των δεδομένων), σύμφωνα με το άρθρο 34 ΓΚΠΔ, καθώς ο κίνδυνος που προέκυψε από μια τέτοια διαρροή δεδομένων είναι υψηλός. Περαιτέρω, οι πληροφορίες που δόθηκαν από την Αστυνομία στον καταγγέλλοντα, στο πλαίσιο του αιτήματός του τελευταίου, ο οποίος άσκησε το δικαίωμα πρόσβασης που το χορηγεί ο ΓΚΠΔ, δεν θεωρήθηκαν πλήρεις.
Σύμφωνα με το σκεπτικό της Αρχής, η Ελληνική Αστυνομία έδρασε σωστά κατ’ αρχήν στο πλαίσιο της αναφοράς του καταγγέλλοντος για τη διερεύνηση του περιστατικού. Ωστόσο, έσφαλε ως προς την εφαρμογή των άρθρων 33 και 34 του ΓΚΠΔ, σύμφωνα με τα οποία ο υπεύθυνος επεξεργασίας των δεδομένων (στην προκειμένη περίπτωση η Ελληνική Αστυνομία) πρέπει να ενημερώσει αμελλητί, και αν είναι δυνατόν εντός 72 ωρών από την στιγμή που έλαβε γνώση της παραβίασης, την Αρχή, εκτός και αν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (άρθρο 33), ενώ κατά το άρθρο 34 πρέπει ο υπεύθυνος επεξεργασίας να ενημερώσει πέραν της Αρχής και τα υποκείμενα των δεδομένων, εφόσον η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Δεν έχει την τελευταία αυτή υποχρέωση ο υπεύθυνος επεξεργασίας, εάν έχει εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας (λ.χ. ανωνυμοποίηση, κρυπτογράφηση) για την ασφάλεια της επεξεργασίας ή εάν η ενημέρωση αυτή προϋποθέτει δυσανάλογες ενέργειες. Ο υψηλός κίνδυνος που αναφέρεται στο άρθρο 34 είναι αρκετά γενικός όρος και πολλές φορές τα όρια του είναι αρκετά λεπτά, ώστε να κριθεί από τον εκάστοτε υπεύθυνο επεξεργασίας, αν είναι σκόπιμο να ενημερώσει τα φυσικά πρόσωπα, τα δεδομένα των οποίων έχουν παραβιαστεί.
Διαπιστώθηκε ακόμη, ότι σε πολλές περιπτώσεις δεν είχαν επικαιροποιηθεί λειτουργικά συστήματα ή αντιβιοτικά λογισμικά, που θα μπορούσαν να αποτρέψουν μία τέτοια παραβίαση. Η παράλειψη αυτή εκ μέρους της Ελληνικής Αστυνομίας φανερώνει μία σημαντική ανάγκη για επανεξέταση και επικαιροποίηση των μέτρων ασφαλείας, καθώς και την ανάγκη μίας πρακτικής/πολιτικής αντιμετώπισης παρόμοιων περιστατικών από την ΕΛ.ΑΣ.
Αξίζει να σημειωθεί ότι κατά τη λήψη απόφασης της εκάστοτε αρμόδιας Αρχής, για την επιβολή διοικητικού προστίμου, λαμβάνονται υπόψη οι παράγοντες που απαριθμούνται στο άρθρο 83 του GDPR, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης, ο δόλος ή η αμέλεια που προκάλεσε την παράβαση, σχετικές προηγούμενες παραβάσεις, αν τυχόν έχουν συμβεί στο παρελθόν, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση, οι ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας για να μετριάσει τη ζημία, καθώς και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από την κάθε περίπτωση ξεχωριστά.
Σταθμίζοντας όλα τα παραπάνω, η Αρχή έκρινε ότι η ΕΛ.ΑΣ. στην συγκεκριμένη περίπτωση δεν είχε συμμορφωθεί πλήρως με τις υποχρεώσεις που πηγάζουν από τον ΓΚΠΔ, παραβιάζοντας τα άρθρα 15, 32, 33 και 34 του ΓΚΠΔ για την ικανοποίηση του δικαιώματος πρόσβασης, της ασφάλειας επεξεργασίας, της υποχρέωσης γνωστοποίησης της παραβίασης στην Αρχή και την υποχρέωση γνωστοποίησης της παραβίασης στα υποκείμενα των δεδομένων αντίστοιχα. Της αναγνωρίστηκαν, ωστόσο, και κάποια ελαφρυντικά, όπως για παράδειγμα ότι η κυβερνοεπίθεση “EMOTET” έπληξε μεγάλο αριθμό συστημάτων ανά τον κόσμο, καθώς και ότι η ΕΛ.ΑΣ. προέβη σε ενέργειες για την αντιμετώπιση της εν λόγω αλλά και την αποτροπή αντίστοιχης μελλοντικής επίθεσης, της επέβαλε, σύμφωνα με το άρθρο 58 παρ. 2 περ. β’ ΓΚΠΔ, τη διοικητική κύρωση της επίπληξης, κρίνοντάς την ως την καταλληλότερη βάσει της βαρύτητας των παραβάσεων του Κανονισμού.
Πηγή: www.offlinepost.gr