Η ΑΠΔΠΧ απηύθυνε στην Αστυνομία επίπληξη για τις διαπιστωθείσες παραβιάσεις του ΓΚΠΔ, λαμβάνοντας υπόψη ότι προέβη σε ενέργειες για την αντιμετώπιση και την αποτροπή αντίστοιχης μελλοντικής επίθεσης
Με αναφορά του ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, πολίτης κατήγγειλε ότι έλαβε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς, οι οποίοι υποδύονταν την Ελληνική Αστυνομία, στο περιεχόμενο των οποίων υπήρχαν προσωπικά του δεδομένα που ο ίδιος είχε αποστείλει προς την Ελληνική Αστυνομία στο πλαίσιο αίτησής του.
Η Αρχή επέβαλε στην Ελληνική Αστυνομία την κύρωση της επίπληξης για παραβάσεις του ΓΚΠΔ, ως προς την ασφάλεια της επεξεργασίας, τη μη γνωστοποίηση περιστατικού παραβίασης και ενημέρωσης προσώπων και τη μη πλήρη ικανοποίηση δικαιώματος πρόσβασης (απόφαση 43/2021).
Η αρχή έλαβε ιδίως υπόψη της ότι το εν λόγω περιστατικό αφορούσε μια κυβερνοεπίθεση γνωστή με το όνομα EMOTET, η οποία έπληξε πολύ μεγάλο αριθμό συστημάτων ανά τον κόσμο, και ότι ο υπεύθυνος επεξεργασίας προέβη σε ενέργειες για την αντιμετώπισή της και για την αποτροπή αντίστοιχης μελλοντικής επίθεσης.
Πιο αναλυτικά, σύμφωνα με την αναφορά που υπέβαλε ο ενδιαφερόμενος πολίτης στην Αρχή, απέστειλε μήνυμα ηλεκτρονικού ταχυδρομείου στην Ελληνική Αστυνομία, το οποίο περιλάμβανε προσωπικά του δεδομένα όπως, πέραν της ηλεκτρονικής του διεύθυνσης, το ονοματεπώνυμο και τον προσωπικό του κωδικό για την υπηρεσία Passenger Location Form. Στη συνέχεια, χωρίς να λάβει απάντηση από την Ελληνική Αστυνομία, έλαβε τέσσερα διαφορετικά ηλεκτρονικά μηνύματα τα οποία «υποδύονται» ότι προέρχονται από την Ελληνική Αστυνομία και είτε έφεραν κακόβουλο λογισμικό είτε συνδέσμους οι οποίοι παρέπεμπαν σε κακόβουλο λογισμικό. Όπως προσδιορίζει ο καταγγέλλων, οι διευθύνσεις IP, από τις οποίες φέρεται να προέρχονται τα εν λόγω μηνύματα, αντιστοιχούν σε διάφορες χώρες του εξωτερικού, φαίνεται δε ότι το αρχικό μήνυμα του καταγγέλλοντος προς την Ελληνική Αστυνομία έχει διαρρεύσει εξ ολοκλήρου σε άγνωστους τρίτους.
Διαβάστε επίσης: ΑΠΔΠΧ: Τι ισχύει για την πρόσβαση των υποψηφίων στις εκλογές του ΔΣΑ στα στοιχεία επικοινωνίας των Δικηγόρων – μελών του ΔΣΑ (Γνωμ. 7/2021)
Σε απάντησή της προς τον καταγγέλλοντα, η Αστυνομία ενημέρωσε πως την ίδια χρονική περίοδο ήταν σε πλήρη εξέλιξη κυβερνοεπίθεση με κωδικό όνομα «EMOTET», η οποία εκδηλώθηκε σε παγκόσμιο επίπεδο.
Επιπλέον, κατόπιν αιτήματος της Αρχής, η Ελληνική Αστυνομία διευκρίνισε πως πρωταρχικά διερευνήθηκε από στελέχη της Υπηρεσίας, σε συνεργασία με τους αναδόχους υποστήριξης των συγκεκριμένων συστημάτων, το ενδεχόμενο διείσδυσης ή μόλυνσης των εξυπηρετητών του φορέα, χωρίς να διαπιστωθεί η οποιαδήποτε παράβαση και ο φορέας προέβη σε οργανωτικά και τεχνικά μέτρα, για τον περιορισμό της μετάδοσης του EMOTET.
Η Αρχή επεσήμανε πως, εφόσον από μία επίθεση κυβερνοασφάλειας έχει επέλθει παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως εν προκειμένω, τότε πρόκειται και για περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 4 του ΓΚΠΔ.
Περαιτέρω, δεν υπήρξε γνωστοποίηση του εν λόγω περιστατικού στην Αρχή, όπως επιτάσσει το άρθρο 33 του ΓΚΠΔ, ούτε ενημέρωση των θιγόμενων προσώπων, σύμφωνα με το άρθρο 34 του ΓΚΠΔ, οι δε οι πληροφορίες που παρείχε η Ελληνική Αστυνομία στον καταγγέλλοντα, στο πλαίσιο του αιτήματός του το οποίο αποτελεί ειδική έκφανση του δικαιώματος πρόσβασης, δεν μπορούν να θεωρηθούν ως πλήρεις.
Σύμφωνα με το σκεπτικό της Αρχής, οι ενέργειες στις οποίες προέβη η Ελληνική Αστυνομία για τη διερεύνηση του περιστατικού είναι καταρχήν στη σωστή κατεύθυνση, ωστόσο δεν προέκυψε ότι διερευνήθηκαν ενδελεχώς και αξιολογήθηκαν κατά τα οριζόμενα στα άρθρα 33 και 34 του ΓΚΠΔ οι τυχόν συνέπειες του περιστατικού. Ακόμη, δεν προέκυψε ότι τα εν λόγω μέτρα υιοθετήθηκαν κατόπιν ανάλυσης των κινδύνων για τη συγκεκριμένη περίπτωση.
Από τις εν λόγω ενέργειες της Αστυνομίας διαπιστώθηκε, μάλιστα, ότι υπήρχαν περιπτώσεις όπου δεν είχαν επικαιροποιηθεί λειτουργικά συστήματα ή αντιβιοτικά λογισμικά. Η παράλειψη αυτή καταδεικνύει μία εν γένει σημαντική έλλειψη διαδικασιών για επικαιροποίηση και επανεξέταση μέτρων ασφάλειας.
Κατόπιν των ανωτέρω, η Αρχή απηύθυνε στην Ελληνική Αστυνομία, ως υπεύθυνο επεξεργασίας, επίπληξη για τις διαπιστωθείσες παραβιάσεις των άρθρων 32 έως 34 και 15 του ΓΚΠΔ.
Απόσπασμα απόφασης
Για τη συγκεκριμένη περίπτωση, δεν υπήρξε γνωστοποίηση του εν λόγω περιστατικού στην Αρχή όπως επιτάσσει το άρθρο 33 του ΓΚΠΔ. Σημειώνεται ότι σαφώς υπάρχουν κίνδυνοι – και μάλιστα υψηλοί – για τα επηρεαζόμενα πρόσωπα και, άρα, το εν λόγω περιστατικό δεν εμπίπτει στην εξαίρεση από την υποχρέωση γνωστοποίησής του, ακριβώς λόγω του γεγονότος ότι μηνύματα ηλεκτρονικού ταχυδρομείου «υποδύονται» ότι έχουν ως αποστολέα την Ελληνική Αστυνομία (και άρα, ένας καλόπιστος παραλήπτης τους χωρίς εμπειρία σε θέματα ασφάλειας, θα μπορούσε να τα «ανοίξει»), ενώ εξάλλου το περιεχόμενο των μηνυμάτων εμπεριέχει πληροφορίες – συμπεριλαμβανομένων προσωπικών δεδομένων – που υπήρχαν σε προηγούμενα νόμιμα ηλεκτρονικά μηνύματα, οπότε και γεννάται ζήτημα μη εξουσιοδοτημένης πρόσβασης και διάδοσης σε δεδομένα τα οποία πολίτες υπέβαλαν στην Ελληνική Αστυνομία. Μάλιστα, στη συγκεκριμένη περίπτωση ενδέχεται να γεννάται και ζήτημα παραβίασης του απορρήτου της επικοινωνίας, που είναι θεμελιώδες δικαίωμα κατά το άρθρο 19 του Συντάγματος και το άρθρο 7 του ΧΘΔ της ΕΕ, γεγονός που ενισχύει τον ισχυρισμό περί υψηλών κινδύνων από το εν λόγω περιστατικό. Ακόμα και αν θεωρηθεί ότι, αφού η επίθεση EMOTET έγινε ευρέως γνωστή, χρειαζόταν χρόνος για να διερευνηθεί και να αποσαφηνιστεί αν πράγματι πρόκειται για περιστατικό παραβίασης προσωπικών δεδομένων για το φορέα, το περιεχόμενο της σχετικής αναφοράς του καταγγέλλοντα καταδεικνύει υψηλή πιθανότητα για μία τέτοια περίπτωση και άρα, η Ελληνική Αστυνομία ως υπεύθυνος επεξεργασίας όφειλε να διερευνήσει αμέσως το περιστατικό.
Εξάλλου, όπως αποδείχτηκε, υπήρξαν πράγματι «μολυσμένοι» σταθμοί εργασίας εντός του υπευθύνου επεξεργασίας, η ύπαρξη των οποίων συνετέλεσε στην επιτυχή επίθεση (διότι διαφορετικά, αν δεν είχε πληγεί κανένα υποσύστημα της Ελληνικής Αστυνομίας, το εν λόγω περιστατικό δεν θα αφορούσε την Ελληνική Αστυνομία ως υπεύθυνο επεξεργασίας6). Καίτοι η Ελληνική Αστυνομία, στο τελευταίο έγγραφό της προς την Αρχή, αναφέρει ότι, στο πλαίσιο αντιμετώπισης του περιστατικού ενημέρωσε την Αρχή, τέτοια ενημέρωση κατ’ ουσίαν δεν υπήρξε (αφού η μόνη ενημέρωση ήταν η διαβίβαση της απάντησής της προς τον καταγγέλλοντα, η οποία απάντηση μάλιστα – όπως αναλύεται και στη συνέχεια – δεν είχε πλήρεις πληροφορίες).
Πέραν της μη γνωστοποίησης του περιστατικού στην Αρχή, δεν υπήρξε επίσης ενημέρωση των θιγόμενων προσώπων, σύμφωνα με το άρθρο 34 του ΓΚΠΔ. Λόγω των υψηλών κινδύνων που απορρέουν από το εν λόγω περιστατικό, όπως αναλύθηκαν ανωτέρω, προκύπτει ότι μία τέτοια ενημέρωση ήταν υποχρεωτική. Εξάλλου, σύμφωνα με την παρ. 3 του ιδίου άρθρου, εάν η ενημέρωση των θιγόμενων προσώπων δεν μπορεί να πραγματοποιηθεί διότι προϋποθέτει δυσανάλογες προσπάθειες (κάτι το οποίο πιθανότατα θα μπορούσε να τεκμηριωθεί για την εν λόγω περίπτωση, λόγω της ιδιάζουσας φύσης του περιστατικού), τότε γίνεται αντ’ αυτής δημόσια ανακοίνωση ή λαμβάνεται παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο. Δεν προκύπτει στη συγκεκριμένη περίπτωση ότι έλαβε χώρα μία τέτοια γενικού χαρακτήρα ενημέρωση.
Δείτε αναλυτικά την απόφαση της Αρχής στο dpa.gr.