Εξώδικο από φοιτητές στο Ελληνικό Ανοικτό Πανεπιστήμιο για διαρροή Προσωπικών Δεδομένων

Εξώδικη διαμαρτυρία απέστειλε ομάδα φοιτητών προς το Ελληνικό Ανοικτό Πανεπιστήμιο  (ΕΑΠ) με αφορμή τη μη εξουσιοδοτημένη πρόσβαση στα πληροφοριακά συστήματα του «Ελληνικού Ανοιχτού Πανεπιστημίου» μέσω κακόβουλου λογισμικού τύπου ransomware, με αποτέλεσμα την κρυπτογράφηση κρίσιμων υποδομών (κύρια υποδομή και back-ups). Τα δεδομένα που διέρρευσαν ανέρχονται σε 813 GB.
Το περιστατικό της κυβερνοεπίθεσης σημειώθηκε στις 25 Οκτωβρίου 2024 και από τότε δεν υπάρχει ουσιώδη ενημέρωση  σχετικά με το συνολικό μέγεθος της επίθεσης, την έκταση και τις συνέπειες παραβίασης της προστασίας των προσωπικών δεδομένων της φοιτητικής κοινότητας του Ελληνικού Ανοιχτού Πανεπιστημίου.
Με την εξώδικη δήλωση η ομάδα φοιτητριών και φοιτητών του Ιδρύματος, επισημαίνει τον φόβο για πιθανή σοβαρή παραβίαση της προστασίας των προσωπικών τους δεδομένων. Το συγκεκριμένο εξώδικο αφορά την ενημέρωση σχετικά με τη μη εξουσιοδοτημένη διαρροή ή πρόσβαση σε ευαίσθητα στοιχεία φοιτητριών-φοιτητών, κατά παράβαση του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR – Κανονισμός ΕΕ2016/679) και της εθνικής νομοθεσίας.

Σύμφωνα με το περιεχόμενο του εξώδικου, πιθανή διαρροή συνιστά σοβαρή παραβίαση των αρχών της νομιμότητας, της διαφάνειας και της λογοδοσίας που επιβάλλει το ισχύον νομικό πλαίσιο. Η ομάδα των φοιτητριών και φοιτητών, που συμμετέχουν στην εξώδικη δήλωση, μέσω του νομικού τους εκπροσώπου καλούν τη Διοίκηση του ΕΑΠ να προβεί άμεσα:

• Σε πλήρη διερεύνηση του περιστατικού
• Σε επίσημη ενημέρωση όλων των ενδεχομένως θιγόμενων προσώπων
• Σε λήψη άμεσων μέτρων αποκατάστασης και αποτροπής μελλοντικών παραβιάσεων

Η υπόθεση εγείρει σοβαρά ερωτήματα σχετικά με την ασφάλεια των πληροφοριακών συστημάτων και των διαδικασιών διαχείρισης δεδομένων στο ΕΑΠ, ένα Πανεπιστημιακό Ίδρυμα με χιλιάδες φοιτήτριες και φοιτητές, όπως αναφέρεται σε σχετικήανακοίνωση της δικηγόρου Ειρήνης Περπερίδου, η οποία εκπροσωπεί τους φοιτητές.

Σύμφωνα με τη σχετική ανακοίνωση:  

Από τις μέχρι σήμερα ενδείξεις, τα διαρρεύσαντα δεδομένα περιλαμβάνουν:

• Προσωπικά / ταυτοποίησης: ονοματεπώνυμο, πατρώνυμο/μητρώνυμο, ημερομηνία γέννησης, ΑΔΤ, ΑΦΜ, ΑΜΚΑ.
• Επικοινωνιακά: τηλέφωνα (σταθερό και κινητό), διευθύνσεις (ταχυδρομικές και email — προσωπικό & ιδρύματος), φωτογραφίες, υπογραφή.
• Ακαδημαϊκά / επαγγελματικά: βαθμολογίες, τίτλοι σπουδών, βεβαιώσεις, βιογραφικά, ερευνητικό/συγγραφικό έργο, αποφάσεις συλλογικών οργάνων, συμβάσεις, προσφορές.
• Οικονομικά & υγείας: IBAN, στοιχεία πληρωμής/τιμολόγησης, δεδομένα υγείας.
• Τα δεδομένα αυτά εντοπίστηκαν να βρίσκονται στο dark web, διαθέσιμα πιθανώς σε μη εξουσιοδοτημένα τρίτα μέρη.

Σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ») (Ανακοίνωση 31.03.2025), σε περιπτώσεις όπου η διαρροή θέτει σε κίνδυνο τα δικαιώματα των φοιτητριών-φοιτητών και εν γένει των πολιτών, πρέπει να υπάρξει προσωπική και προσωποποιημένη ενημέρωση, με σαφή αναφορά σε φύση/έκταση περιστατικού, κατηγορία προσώπων, συνέπειες, και μέτρα αντιμετώπισης.