Η Αρχή, στο πλαίσιο εξέτασης καταγγελίας για περιστατικό παραβίασης δεδομένων και μη ικανοποιητική διαχείριση αυτού, διαπίστωσε ότι η καθ’ ης παρέβη το άρθρο 5 παρ. 1 στοιχ. στ’ σε συνδυασμό με το άρθρο 32 παρ. 1 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας, το άρθρο 25 παρ. 1 του ΓΚΠΔ αναφορικά με την προστασία των δεδομένων ήδη από τον σχεδιασμό, το άρθρο 33 παρ. 1 ΓΚΠΔ, αφού δεν γνωστοποιήθηκε το περιστατικό παραβίασης στην Αρχή, ως όφειλε να πράξει η καθ’ ης, και το άρθρο 34 παρ. 1 ΓΚΠΔ, αφού η καθ’ ης δεν ανακοίνωσε την παραβίαση στον καταγγέλλοντα.
Η Αρχή επέβαλε στον υπεύθυνο επεξεργασίας για τις παραπάνω παραβάσεις πρόστιμο συνολικού ύψους 9.000 ευρώ καθώς και εντολή να καταρτίσει, εντός ευλόγου χρόνου από την κοινοποίηση της παρούσας απόφασης, πολιτική για τη διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων, και να ενημερώσει την Αρχή.
