Podjetje Grška pošta je v začetku leta nacionalnemu urad za varstvo podatkov v skladu z uredbo GDPR prijavila dva primera kršitev varnosti podatkov. Prvi incident je bil napad z izsiljevalsko programsko opremo, s katerim so napadalci zašifrirali podatke z pridobitve odkupnino, drugi incident pa je vključeval uhajanje osebnih podatkov, ki so bili nato objavljeni na temnem spletu.
Ob preiskavi incidenta so ugotovili, da upravljavec ni upošteval zahtevanih tehničnih in organizacijskih ukrepov ter ni zagotovil izvajanja varnostne politike obdelave podatkov, kar je omogočilo številne kršitve v sistemu upravljavca: pregledovanje ranljivosti, nepooblaščen dostop do sistemskih virov, izvajanje zlonamernih procesov, onemogočanje varnostne programske opreme in šifriranje datotek.
Zaradi omenjenih kršitev je bila Grški pošti kot upravljavcu podatkov naložena globa v višini 1 odstotka zadnjega razpoložljivega letnega prometa. Globa je bila opredeljena na podlagi meril, v skladu s Smernicami EDPB 4/2022 o izračunu upravnih glob, kar zajema število prizadetih oseb, višino škode, naravo kršitve, opustitev varnostne politike in kategorije prizadetih podatkov.
Nadzorni organ je sicer ob izreku globe upošteval olajševalne dejavnike, kot so okrepitev varnostnih ukrepov sistema po incidentu, izvedba preiskave incidenta s strani specializiranega podjetja in upoštevanje predlaganih ukrepov, povrnitev podatkov ter neugoden finančni položaj grške državne pošte, ki zadnja leta posluje z izgubo.