De Griekse privacytoezichthouder HDPA heeft de Griekse post wegens een datalek door een ransomware-aanval in 2022 een boete van 3 miljoen euro opgelegd (pdf). Bij de aanval werd data van de postsystemen gestolen en vitale bedrijfssystemen versleuteld. De gestolen persoonsgegevens werden uiteindelijk door de ransomwaregroep op internet gepubliceerd.

De Hellenic Post rapporteerde het datalek bij de Griekse privacytoezichthouder, die vervolgens een onderzoek instelde. De HDPA stelde vast dat de post geen passende technische en organisatorische maatregelen had genomen om persoonsgegevens te beschermen, er geen databeschermingsbeleid was en de veiligheid van gebruikte systemen en diensten niet geregeld werd getest.

Op basis van het aantal getroffen personen, de schade, het lekken van gegevens op internet en de falende beveiliging, kwam de Griekse privacytoezichthouder uit op een boete van 3 miljoen euro. Volgens de HDPA heeft de Griekse post de AVG op meerdere punten overtreden. Wel werd er rekening mee gehouden dat de post sinds het incident de beveiliging heeft verscherpt, een groot deel van de data via back-ups kon worden hersteld, er geen bijzondere persoonsgegevens zijn gelekt, dat de post meerdere notificaties over het incident heeft verstrekt en de financiële situatie van de organisatie.