GDPR: 18 σενάρια παραβίασης προσωπικών δεδομένων
Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 18/05/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Α. Εισαγωγή
Οι υπ’ αριθμ. 1/2021 Κατευθυντήριες Γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) με παραδείγματα σχετικά με τη γνωστοποίηση παραβίασης προσωπικών δεδομένων (Κατευθυντήριες Γραμμές 1/2021) προσεγγίζουν για πρώτη φορά το εν λόγω ζήτημα με τόσο πρακτικό τρόπο. Οι Κατευθυντήριες Γραμμές δημοσιεύθηκαν τον Ιανουάριο του 2021, τέθηκαν σε δημόσια διαβούλευση μέχρι τον Μάρτιο του 2021 και αναμένεται πλέον η υιοθέτηση του τελικού κειμένου τους. Προ αυτών, είχε προηγηθεί η δημοσίευση των Κατευθυντήριων Γραμμών για τη γνωστοποίηση παραβιάσεων προσωπικών δεδομένων της Ομάδας Εργασίας του άρθρου 29 (WP 250, Φεβρουάριος 2018), οι οποίες εγκρίθηκαν στη συνέχεια από το ΕΣΠΔ και πρέπει επίσης να λαμβάνονται υπόψη. Οι νέες Κατευθυντήριες Γραμμές 1/2021 συμπληρώνουν τις παλαιότερες, περιλαμβάνοντας 18 σενάρια παραβίασης προσωπικών δεδομένων, τα οποία ομαδοποιούνται σε 6 ομάδες. Η ανάπτυξη κάθε σεναρίου ολοκληρώνεται με το συμπέρασμα του κατά πόσο απαιτείται γνωστοποίηση / ανακοίνωση του περιστατικού παραβίασης.
Υπενθυμίζεται ότι σύμφωνα με το άρθρο 4 περ. 12 του GDPR ως περιστατικό παραβίασης νοείται «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία». Το δε περιστατικό παραβίασης μπορεί να αφορά την εμπιστευτικότητα, την ακεραιότητα ή τη διαθεσιμότητα των δεδομένων. Περαιτέρω, κατά τα άρθρα 33 και 34 GDPR, η εκδήλωση περιστατικού παραβίασης γεννά υπό προϋποθέσεις την υποχρέωση γνωστοποίησής του στην ελληνική εποπτική αρχή (όταν ενδέχεται να προκληθεί κίνδυνος) και ανακοίνωσής του στο υποκείμενο των προσωπικών δεδομένων (όταν ενδέχεται να προκληθεί υψηλός κίνδυνος) αντίστοιχα. Κατά το άρθρο 83 παρ. 4 GDPR, η αδιαφορία για την εκπλήρωση των υποχρεώσεων γνωστοποίησης ή/και ανακοίνωσης παραβίασης προσωπικών δεδομένων μπορεί να οδηγήσει σε επιβολή διοικητικού προστίμου ύψους έως 10.000.000 ευρώ ή έως 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Τέλος, ως προς το ΕΣΠΔ, επαναλαμβάνεται ότι αποτελεί όργανο της Ευρωπαϊκής Ένωσης με βασική αποστολή του τη διασφάλιση της συνεκτικής εφαρμογής του GDPR.
Β. 18 σενάρια των Κατευθυντήριων Γραμμών 1/2021
Ακολούθως παρουσιάζονται με συνοπτικό τρόπο τα 18 σενάρια περιστατικών παραβίασης όπως εκτίθενται στις Κατευθυντήριες Γραμμές 1/2021 και τα σχετικά συμπεράσματά τους. Οι ενδιαφερόμενοι δέον είναι να προσεγγίσουν το πλήρες κείμενο των Κατευθυντήριων Γραμμών 1/2021 το οποίο περιέχει πλήθος λοιπών πληροφοριών, όπως περαιτέρω ανάλυση για κάθε σενάριο, αλλά και γενικότερα οργανωτικά και τεχνικά μέτρα που μπορούν να ληφθούν προς πρόληψη / αντιμετώπισή τους. Το σχετικό κείμενο είναι διαθέσιμο στην ιστοσελίδα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (https://edpb.europa.eu/).
1. Επιθέσεις ransomware
Πρώτη αιτία περιστατικών παραβίασης προσωπικών δεδομένων κατά τις Κατευθυντήριες Γραμμές 1/2021 αποτελούν οι επιθέσεις ransomware. Σε αυτές, κακόβουλο λογισμικό κρυπτογραφεί τα προσωπικά δεδομένα και ακολούθως ζητείται η καταβολή χρημάτων, προκειμένου να αποκατασταθεί η ομαλή πρόσβαση σε αυτά. Πρόκειται συνήθως για παραβίαση της διαθεσιμότητας των προσωπικών δεδομένων, αλλά μπορεί να αφορά και την εμπιστευτικότητα αυτών.
1.i. Σενάριο 1ο: Επίθεση ransomware ενώ υπάρχει backup, χωρίς εξαγωγή (exfiltration) προσωπικών δεδομένων
Κατά το σενάριο αυτό, η επίθεση ransomware αφορά προσωπικά δεδομένα μερικών δεκάδων πελατών και εργαζομένων στα συστήματα υπολογιστών μικρής κατασκευαστικής επιχείρησης, ήδη κρυπτογραφημένα για λόγους ασφαλείας από αυτή. Περαιτέρω, δεν λαμβάνει χώρα εξαγωγή προσωπικών δεδομένων (data exfiltration) από τον επιτιθέμενο. Χάρη στο διαθέσιμο backup σε ηλεκτρονική μορφή, η πρόσβαση στα προσωπικά δεδομένα αποκαθίσταται εντός ολίγων ωρών από την εκδήλωση του συμβάντος, με αποτέλεσμα να μην επηρεαστεί η λειτουργία της επιχείρησης. Σε αυτό το σενάριο δεν είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, ούτε η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
1.ii. Σενάριο 2ο: Επίθεση ransomware ενώ δεν υπάρχει backup, χωρίς εξαγωγή (exfiltration) προσωπικών δεδομένων
Κατά το σενάριο αυτό, η επίθεση ransomware αφορά απλά προσωπικά δεδομένα μερικών δεκάδων πελατών και εργαζομένων σε έναν υπολογιστή εταιρείας δραστηριοποιούμενης στο χώρο της γεωργίας. Περαιτέρω, δεν λαμβάνει χώρα εξαγωγή προσωπικών δεδομένων (data exfiltration) από τον επιτιθέμενο. Στην προκειμένη περίπτωση δεν υπάρχει backup σε ηλεκτρονική μορφή. Η αποκατάσταση των περισσότερων εκ των δεδομένων λαμβάνει χώρα από φυσικό αρχείο, διαρκεί πέντε εργάσιμες ημέρες και έχει ως αποτέλεσμα μικρές καθυστερήσεις στην παράδοση παραγγελιών σε πελάτες. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, όχι όμως η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
1.iii. Σενάριο 3ο: Επίθεση ransomware σε νοσοκομείο ενώ υπάρχει backup, χωρίς εξαγωγή (exfiltration) προσωπικών δεδομένων
Κατά το σενάριο αυτό, η επίθεση ransomware αφορά σημαντικό όγκο προσωπικών δεδομένων χιλιάδων προσώπων, ειδικότερα εργαζομένων και ασθενών σε πληροφοριακό σύστημα νοσοκομείου. Περαιτέρω, δεν λαμβάνει χώρα εξαγωγή προσωπικών δεδομένων (data exfiltration) από τον επιτιθέμενο. Χάρη στο διαθέσιμο backup σε ηλεκτρονική μορφή, η πρόσβαση στα περισσότερα εκ των προσωπικών δεδομένων αποκαθίσταται εντός δύο εργασίμων ημερών. Αυτό έχει ως αποτέλεσμα σημαντικές καθυστερήσεις στην παροχή φροντίδας στους ασθενείς, με ακυρώσεις και αναβολές χειρουργείων, καθώς και στην εν γένει μειωμένη παροχή υπηρεσιών λόγω της έλλειψης διαθεσιμότητας των συστημάτων. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
1.iv. Σενάριο 4ο: Επίθεση ransomware ενώ δεν υπάρχει backup, με εξαγωγή (exfiltration) προσωπικών δεδομένων
Κατά το σενάριο αυτό, η επίθεση ransomware αφορά προσωπικά δεδομένα χιλιάδων προσώπων, ειδικότερα εργαζομένων, πελατών και χρηστών σε server εταιρείας δημόσιων συγκοινωνιών. Σε αυτά περιλαμβάνονται βασικά δεδομένα ταυτοποίησης, αριθμοί ταυτότητας και οικονομικά δεδομένα, όπως αριθμοί πιστωτικών καρτών. Περαιτέρω, λαμβάνει χώρα εξαγωγή προσωπικών δεδομένων (data exfiltration) από τον επιτιθέμενο. Backup σε ηλεκτρονική μορφή υφίσταται, κρυπτογραφείται όμως και αυτό από τον επιτιθέμενο. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
2. Επιθέσεις εξαγωγής προσωπικών δεδομένων (data exfiltration)
Δεύτερη αιτία περιστατικών παραβίασης προσωπικών δεδομένων κατά τις Κατευθυντήριες Γραμμές 1/2021 αποτελούν οι επιθέσεις data exfiltration. Σε αυτές επιδιώκεται, μεταξύ άλλων, η αντιγραφή και εξαγωγή προσωπικών δεδομένων για κακόβουλους σκοπούς, μέσω της εκμετάλλευσης ευπαθειών υπηρεσιών που προσφέρονται στο διαδίκτυο. Πρόκειται συνήθως για παραβίαση της εμπιστευτικότητας των προσωπικών δεδομένων, αλλά μπορεί να αφορά και την ακεραιότητα αυτών.
2.i. Σενάριο 5ο: Επίθεση data exfiltration από αιτήσεις ιστοσελίδας γραφείου εύρεσης εργασίας
Κατά το σενάριο αυτό, η επίθεση data exfiltration αφορά γραφείο εύρεσης εργασίας, στην ιστοσελίδα του οποίου τοποθετείται κακόβουλος κώδικας, με αποτέλεσμα μη εξουσιοδοτημένα πρόσωπα να έχουν πρόσβαση στις πληροφορίες που υποβάλλονται ηλεκτρονικά κατά τη συμπλήρωση αιτήσεων εύρεσης εργασίας. Η επίθεση αφορά ενδεχομένως 213 αιτήσεις και περιορίζεται σε απλά προσωπικά δεδομένα. Γίνεται δε αντιληπτή κατόπιν της παρόδου ενός μήνα από το χρονικό σημείο έναρξης εκδήλωσής της. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
2.ii. Σενάριο 6ο: Επίθεση data exfiltration hashed passwords ιστοσελίδας
Κατά το σενάριο αυτό, η επίθεση data exfiltration αφορά ιστοσελίδα μαγειρικής, στην οποία μέσω ευπάθειας SQL Injection αποκτάται πρόσβαση στη βάση δεδομένων του server και ειδικότερα σε 1.200 hashed passwords χρηστών. Οι χρήστες της ιστοσελίδας χρησιμοποιούν κατά κανόνα ψευδώνυμα ως ονόματα χρήστη, ενώ αποθαρρύνεται η χρήση ηλεκτρονικών διευθύνσεων γι’ αυτό τον σκοπό. Σε αυτό το σενάριο δεν είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή ούτε και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
2.iii. Σενάριο 7ο: Επίθεση credential stuffing σε ιστοσελίδα τράπεζας
Κατά το σενάριο αυτό, η επίθεση credential stuffing αφορά ιστοσελίδα τράπεζας, μέσω της οποίας ο επιτιθέμενος λόγω ευπάθειας της τελευταίας αποκτά πρόσβαση σε απλά προσωπικά δεδομένα περίπου 100.000 πελατών, όπως ονοματεπώνυμο, φύλο, ημερομηνία και τόπος γέννησης. Ο επιτιθέμενος επιτυγχάνει επίσης τη σύνδεσή του με περίπου 2.000 λογαριασμούς, χωρίς όμως να πραγματοποιήσει συναλλαγές. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
3. Ανθρώπινο λάθος / Ανθρώπινη παρέμβαση
Τρίτη αιτία περιστατικών παραβίασης προσωπικών δεδομένων κατά τις Κατευθυντήριες Γραμμές 1/2021 αποτελεί το ανθρώπινο λάθος και γενικότερα η ανθρώπινη παρέμβαση.
3.i. Σενάριο 8ο: Εξαγωγή (exfiltration) επαγγελματικών δεδομένων από πρώην υπάλληλο
Κατά το σενάριο αυτό, υπάλληλος που βρίσκεται σε διαδικασία αποχώρησης δημιουργεί αντίγραφα επαγγελματικών δεδομένων, κυρίως δεδομένων επικοινωνίας, από βάση δεδομένων της εταιρείας / εργοδότριας, στην οποία έχει εξουσιοδοτημένη πρόσβαση για την εκτέλεση των καθηκόντων του. Λίγους μήνες αργότερα, έχοντας αποχωρήσει πλέον από την εταιρεία, ο πρώην υπάλληλος χρησιμοποιεί τα δεδομένα επικοινωνίας στην προσπάθειά του να αλιεύσει πελάτες για το νέο επιχειρηματικό εγχείρημά του. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, αλλά όχι η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
3.ii. Σενάριο 9ο: Ακούσια διαβίβαση δεδομένων σε έμπιστο τρίτο μέρος
Κατά το σενάριο αυτό, ασφαλιστικός πράκτορας διαπιστώνει ότι, λόγω ανθρώπινου λάθους σε αρχείο excel που έλαβε μέσω email από τον υπεύθυνο επεξεργασίας, έχει τη δυνατότητα πρόσβασης σε απλά προσωπικά δεδομένα μερικών δεκάδων πελατών που δεν συνδέονται με τη δραστηριότητά του. Ο ασφαλιστικός πράκτορας, που δεσμεύεται από υποχρέωση επαγγελματικού απορρήτου, ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας και διαγράφει το σχετικό αρχείο. Σε αυτό το σενάριο δεν είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, ούτε η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
4. Απώλεια συσκευών και εγγράφων σε φυσική μορφή
Τέταρτη αιτία περιστατικών παραβίασης προσωπικών δεδομένων κατά τις Κατευθυντήριες Γραμμές 1/2021 αποτελεί η απώλεια συσκευών και εγγράφων σε φυσική μορφή. Πρόκειται συνήθως για παραβίαση της εμπιστευτικότητας των προσωπικών δεδομένων, αλλά μπορεί να αφορά και τη διαθεσιμότητα, καθώς και ακεραιότητα αυτών.
4.i. Σενάριο 10ο: Κλοπή υλικού με αποθηκευμένα κρυπτογραφημένα δεδομένα
Κατά το σενάριο αυτό, σε διάρρηξη σε παιδικό σταθμό οι δράστες αφαιρούν δύο tablets. Τα tablets έχουν εγκατεστημένο application το οποίο περιέχει προσωπικά δεδομένα των παιδιών που πηγαίνουν στον παιδικό σταθμό, όπως ονοματεπώνυμο, ημερομηνία γέννησης και στοιχεία εκπαίδευσης. Τα δύο tablets δεν είναι σε λειτουργία, τα προσωπικά δεδομένα είναι κρυπτογραφημένα και η πρόσβαση στο application απαιτεί τη χρήση ισχυρού κωδικού. Περαιτέρω, υπάρχει backup άμεσα διαθέσιμο. Κατόπιν λήψης γνώσης του περιστατικού διάρρηξης, ο παιδικός σταθμός επιχειρεί την εξ αποστάσεως διαγραφή των προσωπικών δεδομένων των tablets. Σε αυτό το σενάριο δεν είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, ούτε η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
4.ii. Σενάριο 11ο: Κλοπή υλικού με αποθηκευμένα μη κρυπτογραφημένα δεδομένα
Κατά το σενάριο αυτό, φορητός υπολογιστής υπαλλήλου εταιρείας παροχής υπηρεσιών καθίσταται αντικείμενο κλοπής. Ο φορητός υπολογιστής περιέχει απλά προσωπικά δεδομένα, όπως ονοματεπώνυμο, φύλο και διεύθυνση, περισσότερων από 100.000 πελατών. Περαιτέρω, λόγω της κλοπής είναι ανέφικτη η διαπίστωση αν το συμβάν αφορά και άλλες κατηγορίες προσωπικών δεδομένων. Η πρόσβαση στον σκληρό δίσκο του φορητού υπολογιστή δεν προστατεύεται με κωδικό. Εν τούτοις, υφίσταται διαθέσιμο ημερήσιο backup. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, όπως και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
4.iii. Σενάριο 12ο: Κλοπή εγγράφων σε φυσική μορφή με ευαίσθητα προσωπικά δεδομένα
Κατά το σενάριο αυτό, ημερολόγιο σε φυσική μορφή καθίσταται αντικείμενο κλοπής σε κέντρο αποκατάστασης τοξικομανών. Το ημερολόγιο περιέχει απλά δεδομένα ταυτοποίησης και δεδομένα υγείας ασθενών που λαμβάνουν τις υπηρεσίες του κέντρου. Διαθέσιμο backup δεν υπάρχει. Περαιτέρω, κανένα ειδικό μέτρο ασφαλείας δεν είχε ληφθεί για την προστασία του ημερολογίου. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, όπως και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
5. Εσφαλμένη αποστολή
Πέμπτη αιτία περιστατικών παραβίασης προσωπικών δεδομένων κατά τις Κατευθυντήριες Γραμμές 1/2021 είναι η εσφαλμένη αποστολή, όπου εμφανίζεται εκ νέου το ανθρώπινο λάθος.
5.i. Σενάριο 13ο: Λάθος στην ταχυδρομική αποστολή
Κατά το σενάριο αυτό, εξαιτίας ανθρώπινου λάθους, δύο διαφορετικές παραγγελίες υποδημάτων με τα οικεία έγγραφα χρέωσης αποστέλλονται σε λάθους παραλήπτες. Αυτό έχει ως αποτέλεσμα έκαστος εξ αυτών να λάβει γνώση των απλών προσωπικών δεδομένων που περιέχονται στα έγγραφα χρέωσης, ήτοι ονοματεπώνυμο, διεύθυνση, προϊόν και κόστος προϊόντος. Αντιλαμβανόμενος το σφάλμα, ο υπεύθυνος επεξεργασίας ανακαλεί τις παραγγελίες και τις αποστέλλει εκ νέου ορθά. Σε αυτό το σενάριο δεν είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, ούτε και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
5.ii. Σενάριο 14ο: Λάθος στην ηλεκτρονική αποστολή ευαίσθητων προσωπικών δεδομένων
Κατά το σενάριο αυτό, το τμήμα προσωπικού δημόσιας υπηρεσίας αποστέλλει μαζικό ηλεκτρονικό μήνυμα σε όσους έχουν εγγραφεί στην οικεία λίστα αναζήτησης εργασίας. Από ανθρώπινο σφάλμα, το μαζικό email φέρει ως συνημμένο έγγραφο με προσωπικά δεδομένα των εν λόγω προσώπων, τα οποία υπερβαίνουν τους 60.000, ήτοι ονοματεπώνυμο, διεύθυνση email, φυσική διεύθυνση και αριθμός κοινωνικής ασφάλισης. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, όπως και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
5.iii. Σενάριο 15ο: Λάθος στην ηλεκτρονική αποστολή προσωπικών δεδομένων
Κατά το σενάριο αυτό, κατάλογος με τα στοιχεία 15 προσώπων που θα παρακολουθήσουν συγκεκριμένο πρόγραμμα εκμάθησης σε ξενοδοχείο για πέντε ημέρες αποστέλλεται λόγω ανθρωπίνου σφάλματος σε 15 πρώην συμμετέχοντες, αντί για το ξενοδοχείο. Ο κατάλογος περιέχει ονοματεπώνυμα, ηλεκτρονικές διευθύνσεις και μόνο για δύο άτομα δήλωση δυσανεξίας στη λακτόζη. Ο υπεύθυνος επεξεργασίας αντιλαμβάνεται αμέσως το λάθος, ενημερώνει τους παραλήπτες και τους καλεί να διαγράψουν το αρχείο. Σε αυτό το σενάριο δεν είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, ούτε και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.
5.iv. Σενάριο 16ο: Λάθος στην ταχυδρομική αποστολή
Κατά το σενάριο αυτό, ασφαλιστικός όμιλος που δραστηριοποιείται στον χώρο της ασφάλειας αυτοκίνητου αποστέλλει, λόγω λάθους της μηχανής που τοποθετεί τα έγγραφα σε φακέλους, έγγραφα σχετικά με την καταβολή ασφαλιστικών εισφορών δύο διαφορετικών προσώπων στο ένα εξ αυτών. Τα έγγραφα περιέχουν απλά δεδομένα, όπως ονοματεπώνυμο, διεύθυνση, αριθμό πινακίδας οχήματος και ημερομηνία γέννησης. Δεν περιλαμβάνονται δεδομένα υγείας και οικονομικά δεδομένα. Ο παραλήπτης ανοίγει το φάκελο, όπου διαπιστώνει την ύπαρξη όχι μόνο του εγγράφου που τον αφορά, αλλά και εγγράφου άλλου ασφαλισμένου. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, όχι όμως η ανακοίνωσή της στο εμπλεκόμενο υποκείμενο των προσωπικών δεδομένων.
6. Λοιπές περιπτώσεις – Κοινωνική μηχανική (social engineering)
6.i. Σενάριο 17ο: Κλοπή ταυτότητας (identity theft)
Κατά το σενάριο αυτό, κακόβουλο πρόσωπο που προσποιείται τον πελάτη επικοινωνεί με τηλεφωνικό κέντρο εταιρείας τηλεπικοινωνιών και επιτυγχάνει τη μεταβολή της ηλεκτρονικής διεύθυνσης στην οποία αποστέλλεται ο λογαριασμός του εν λόγω πελάτη. Τον επόμενο μήνα, ο πελάτης καλεί την εταιρεία τηλεπικοινωνιών και ερωτά γιατί δεν λαμβάνει πλέον τον λογαριασμό του στην ηλεκτρονική διεύθυνσή του. Όταν του τίθεται το ζήτημα, αρνείται ότι αυτός επικοινώνησε κατά το παρελθόν και αιτήθηκε την αλλαγή της ηλεκτρονικής διεύθυνσης. Στη συνέχεια, η εταιρεία τηλεπικοινωνιών αντιλαμβάνεται ότι ο λογαριασμός στάλθηκε τελικά σε ηλεκτρονική διεύθυνση που δήλωσε κακόβουλο κατά τα ως άνω πρόσωπο και αναιρεί τη μεταβολή της ηλεκτρονικής διεύθυνσης. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, όπως και η ανακοίνωσή της στο εμπλεκόμενο υποκείμενο των προσωπικών δεδομένων.
6.ii. Σενάριο 18ο: Εξαγωγή (exfiltration) ηλεκτρονικών μηνυμάτων
Κατά το σενάριο αυτό, αλυσίδα πολυκαταστημάτων αντιλαμβάνεται κατόπιν της παρόδου 3 μηνών ότι ορισμένες ηλεκτρονικές διευθύνσεις της έχουν μεταβληθεί και ορισμένοι κανόνες έχουν τεθεί, ώστε ηλεκτρονικά μηνύματα που περιέχουν συγκεκριμένες λέξεις / εκφράσεις, όπως «τιμολόγιο», «πληρωμή», «πληροφορίες τραπεζικού λογαριασμού», να μετακινούνται σε ειδικό folder και να προωθούνται σε εξωτερική ηλεκτρονική διεύθυνση. Την ίδια περίοδο έχει εκδηλωθεί επίθεση κοινωνικής μηχανικής (social engineering), όπου επιτιθέμενος, παριστάνοντας τον προμηθευτή, έχει επιτύχει την αντικατάσταση των στοιχείων του τραπεζικού λογαριασμού του εν λόγω προμηθευτή με τα δικά του. Στη συνέχεια, έχει αποστείλει πλήθος πλαστών τιμολογίων με τα στοιχεία του τραπεζικού λογαριασμού του, αντί του εν λόγω προμηθευτή. Όπως διαπιστώνεται, λόγω της προώθησης συγκεκριμένων ηλεκτρονικών μηνυμάτων σε εξωτερική ηλεκτρονική διεύθυνση κατά τα προαναφερθέντα, στο πλαίσιο των κακόβουλων ενεργειών του ο επιτιθέμενος λαμβάνει γνώση πληροφοριών για 99 εργαζόμενους, όπως ονοματεπώνυμο, μισθό και οικογενειακή κατάσταση. Σε αυτό το σενάριο είναι αναγκαία η γνωστοποίηση της παραβίασης στην εποπτική αρχή, όπως και η ανακοίνωσή της στα εμπλεκόμενα υποκείμενα των προσωπικών δεδομένων.