Amendă administrativă aplicată de către Autoritatea Elenă pentru Protecția Datelor companiei HELLENIC POST SERVICES SA pentru neimplementarea măsurilor tehnice și organizatorice având ca rezultat accesul neautorizat la datele personale

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă aplicată de către Autoritatea Elenă pentru Protecția Datelor (SA) companiei HELLENIC POST SERVICES SA pentru încălcarea articolului 5 Principii legate de prelucrarea datelor cu caracter personal și 32 Securitatea prelucrării din GDPR.

„HELLENIC POST SERVICES S.A.” (ELTA S.A.) a raportat două incidente de încălcare a securității datelor cu caracter personal către SA Elenă, în conformitate cu GDPR. Primul incident implică o încălcare a criptării datelor în scopul solicitării unei răscumpărări în sistemul companiei, ca urmare a unui atac malware din partea unor terți, în timp ce al doilea incident implică scurgerea de date cu caracter personal, care au fost publicate ulterior pe Dark Web.

În urma investigațiilor, SA Elenă a constatat că operatorul nu a respectat măsurile tehnice și organizatorice necesare și nu a asigurat punerea în aplicare a politicii de securitate a prelucrării datelor cu caracter personal. Acest eșec a dus la încălcări în cadrul sistemului operatorului, inclusiv scanarea vulnerabilităților, accesul neautorizat la resursele sistemului, executarea de procese rău intenționate, dezactivarea software-ului de securitate și criptarea fișierelor.

În acest context, SA Elenă a impus companiei  ELTA S.A o amendă administrativă în valoare de 1% din ultima cifră de afaceri anuală disponibilă pe baza unor criterii de evaluare în conformitate cu Liniile directorii EDPB 4/2022 privind calcularea amenzilor administrative, și anume: numărul mare de persoane afectate, valoarea prejudiciului, natura încălcării, nerespectarea politicii de securitate și categoriile de date afectate. Totodată, au fost luați în calcul și factorii atenuanți, cum ar fi: consolidarea măsurilor de securitate a sistemului după incident, faptul că investigarea incidentului a fost încredințată unei companii specializate, iar ELTA S.A a urmat instrucțiunile acesteia, recuperarea datelor și situația financiară nefavorabilă a companiei.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.