Η Αρχή εξέτασε τις γνωστοποιήσεις των περιστατικών παραβίασης που αφορούν κρυπτογράφηση λογισμικού στο σύστημα της εταιρείας «ΕΛΤΑ», ως αποτέλεσμα κακόβουλης επίθεσης από τρίτους, και διαρροή προσωπικών δεδομένων τα οποία, σε επόμενη φάση, δημοσιεύτηκαν στο σκοτεινό ιστό (Dark Web). Η προαναφερόμενη κυβερνοεπίθεση αφορούσε ενέργειες μη εξουσιοδοτημένης απομακρυσμένης πρόσβασης σε σταθμούς εργασίας και σε αρχεία, εύρεση εκ μέρους του επιτιθέμενου των κωδικών πρόσβασης των λογαριασμών διαχείρισης του τομέα του δικτύου, μη εξουσιοδοτημένη πρόσβαση σε αρχεία και φακέλους και εγκατάσταση κακόβουλων διεργασιών. Η Αρχή αιτήθηκε την ενημέρωση για τις ενέργειες στις οποίες τα ΕΛΤΑ έχουν προβεί σε σχέση με την ενημέρωση των επηρεαζόμενων υποκειμένων των δεδομένων και τυχόν τρίτων μερών, ως προς την οποία τα «ΕΛΤΑ» ανέφεραν ότι πραγματοποιήθηκαν ανακοινώσεις του υπευθύνου επεξεργασίας προς το κοινό για ενημέρωση σχετικά με την παραβίαση, καθώς και για τις ενέργειες μετά την παραβίαση, ότι υπήρξε εσωτερική ανακοίνωση υπευθύνου επεξεργασίας στην οποία προσδιορίζονταν οι ενέργειες επαναφοράς του συστήματος, ότι έγινε ενημέρωση διεθνών φορέων International Post Corporation, PostEurop, και Universal Postal Union που επηρεάζονται από το περιστατικό, ότι έγινε ενημέρωση της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών, της Εθνικής Επιτροπής Τηλεπικοινωνιών και Ταχυδρομείων, της Εθνικής Αρχής Κυβερνοασφάλειας, αλλά και της Εταιρείας Δικτύου Ύδρευσης και Αποχέτευσης Πρωτευούσης. Σύμφωνα με τον ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλειά τους και, ειδικότερα, την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων. Ρητή διάταξη (άρθρο 32) καθιερώνει την υποχρέωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, ιδίως λαμβανομένων υπόψη εκείνων που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία. Στην κρινόμενη υπόθεση, η Αρχή διαπίστωσε ότι τα «ΕΛΤΑ» δεν τηρούσαν επαρκή τεχνικά μέτρα ασφαλείας στο σύστημα, ενώ κρίθηκε ότι δεν διασφαλίστηκε ο περιορισμός της πρόσβασης μόνο σε εξουσιοδοτημένα άτομα, με την εφαρμογή των απαιτούμενων τεχνικών και οργανωτικών μέτρων. Επιπρόσθετα, τα «ΕΛΤΑ» δεν εφήρμοσαν τις κατάλληλες πολιτικές για την προστασία των δεδομένων, ώστε να διασφαλιστεί το απόρρητο, η διαθεσιμότητα και η αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση και η ακεραιότητα των διαδικασιών για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας. Τέλος, η Αρχή επέβαλλε πρόστιμο ύψους δύο εκατομμυρίων εννιακόσιων ενενήντα πέντε χιλιάδων εκατόν σαράντα ευρώ (2.995.140 €) στην εταιρεία «ΕΛΤΑ».