ΑΠΟΦΑΣΗ 6/2024
Αθήνα, 16-02-2024
Αριθ. Πρωτ.: 586
(Τμήμα)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση σε σύνθεση Τμήματος στην έδρα της την 10/01/2024, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Στη συνεδρίαση μετείχε μέσω τηλεδιάσκεψης ο Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυομένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, και παρέστησαν το αναπληρωματικό μέλος Γεώργιος Κόντης, ως εισηγητής, καθώς και τα αναπληρωματικά μέλη Δημοσθένης Βουγιούκας και Μαρία Ψάλλα, σε αντικατάσταση των τακτικών μελών Κωνσταντίνου Λαμπρινουδάκη και Γρηγόριου Τσόλια οι οποίοι δεν παρέστησαν λόγω κωλύματος αν και κλήθηκαν νομίμως εγγράφως. Στη συνεδρίαση παρέστη, με εντολή του Προέδρου χωρίς δικαίωμα ψήφου, η Γεωργία Παναγοπούλου, ειδική επιστήμονας – ελέγκτρια ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
H Αρχή έλαβε υπόψη τα παρακάτω:
Με τη με αριθ. πρωτ. .../23-07-2022 καταγγελία του, ο Α (στο εξής καταγγέλλων), στρέφεται κατά της εταιρείας «Χ», (στο εξής καταγγελλόμενη). Σύμφωνα με την καταγγελία, ο καταγγέλλων ήταν εργαζόμενος στην καταγγελλόμενη σε θέση υπαλλήλου-πωλητή και καταγγέλλει παράνομη επεξεργασία προσωπικών του δεδομένων μέσω του συστήματος γεωεντοπισμού που λειτουργούσε σε όχημα το οποίο του είχε παραχωρηθεί από την καταγγελλόμενη. Πιο συγκεκριμένα, αναφέρει ότι κατά τη διάρκεια της κανονικής του άδειας τον κάλεσαν στο τηλέφωνο από την καταγγελλόμενη και εκείνος δεν ανταποκρίθηκε στις κλήσεις. Ο διευθυντής πωλήσεων της καταγγελλόμενης έκανε χρήση των δεδομένων του εγκατεστημένου συστήματος γεωεντοπισμού στο εταιρικό αυτοκίνητο και εμφανίστηκε στο σούπερ μάρκετ όπου ο καταγγέλλων είχε πάει για ψώνια. Αναφέρει στην καταγγελία ότι η εγκατάσταση και η ενημέρωσή του για το σύστημα γεωεντοπισμού στο αυτοκίνητο είχε πραγματοποιηθεί δυο εβδομάδες πριν.
Η Αρχή απέστειλε στην καταγγελλόμενη το με αρ. πρωτ. .../24-08-2022 έγγραφο με το οποίο ενημέρωσε για το περιεχόμενο της υποβληθείσας καταγγελίας και την κάλεσε να υποβάλει εγγράφως τις απόψεις της σχετικά με την καταγγελία, με ειδική αναφορά στα ζητήματα ενημέρωσης των εργαζομένων και λειτουργίας του συστήματος εκτός ωραρίου εργασίας.
Η εταιρεία με το με αρ. πρωτ. .../13-09-2022 απάντησε ότι είχε προβεί σε προσήκουσα ενημέρωση του καταγγέλλοντος σχετικά με το σύστημα γεωοεντοπισμού και ότι δεν επιτρεπόταν χρήση του οχήματος εκτός ωραρίου. Η καταγγελλόμενη χρήση του συστήματος γεωεντοπισμού πραγματοποιήθηκε διότι ο καταγγέλλων δεν ανταποκρίθηκε στις τηλεφωνικές τους κλήσεις επί τρεις μέρες, και υπήρξε ανησυχία για την υγεία του εργαζόμενου λόγω του ότι στο παρελθόν υπήρξε ένα περιστατικό υγείας.
Στη συνέχεια η Αρχή, προκειμένου να ολοκληρώσει την εξέταση της υπόθεσης, κάλεσε με τα με αρ. πρωτ. .../07-11-2022, .../31-10-2022 έγγραφα, τον καταγγέλλοντα και την καταγγελλόμενη εταιρεία, αντίστοιχα, στη συνεδρίαση του Τμήματος στις 16/11/2022.
Στη συνεδρίαση της 16/11/2022 παρέστησαν, μέσω τηλεδιάσκεψης, οι Α, και εκ μέρους της εταιρείας «Χ» ο Θεόδωρος Σιδηρόπουλος με ΑΜΔΣ …, και Γιώργος Α. Καστριτσέας με ΑΜΔΣ … . Κατά την ακρόαση τα μέρη ανέπτυξαν τις απόψεις τους και έλαβαν προθεσμία για την υποβολή υπομνήματος. Στη συνέχεια η καταγγελλόμενη κατέθεσε εμπρόθεσμα το με αριθ. πρωτ. .../24-11-2022 υπόμνημά της, ενώ ο καταγγέλλων δεν κατέθεσε υπόμνημα.
Κατά την ακρόαση, ο καταγγέλλων επανέλαβε τα αναφερόμενα στην καταγγελία του. Η καταγγελλόμενη, τόσο κατά την ακρόαση όσο και με το από με αριθ. πρωτ. .../24-11-2022 υπόμνημά της υποστήριξε ότι δεδομένου ότι η χρήση του αυτοκινήτου που είχε παραχωρηθεί στον καταγγέλλοντα αφορούσε στην κάλυψη υπηρεσιακών και μόνο αναγκών εντός ωραρίου εργασίας, δεν προβλέφθηκε τεχνική δυνατότητα απενεργοποίησης του συστήματος γεωεντοπισμού στο εν λόγω αυτοκίνητο. Αναφέρει ότι ο καταγγέλλων ενημερώθηκε για την τοποθέτηση του εν λόγω συστήματος γεωεντοπισμού (GPS) με την από 12/07/2022 επιστολή, η οποία και επισυνάπτεται στο υπόμνημα. Αναφέρονται στο υπόμνημα και οι ενέργειες στις οποίες προέβη η καταγγελλομένη μετά την καταγγελία για το συμβάν, έτσι ώστε να αποκλεισθεί κάθε τυχόν μελλοντική κακή χρήση των ανωτέρω συστημάτων γεωεντοπισμού: 1. Αφαιρέθηκαν τα υφιστάμενα συστήματα γεωεντοπισμού έτσι ώστε να τοποθετηθούν νέα, τα οποία θα επιτρέπουν την απενεργοποίησή τους από τους χρήστες τους. 2. Ορίστηκε ως υπεύθυνος χειριστής των συστημάτων γεωεντοπισμού ο διαχειριστής-νόμιμος εκπρόσωπος της εταιρίας, με δεδομένο ότι η καταγγελλόμενη πράξη στην οποία προέβη ο προστηθείς κατά του καταγγέλλοντος έγινε εν αγνοία της καταγγελλόμενης και χωρίς καμία προηγούμενη συμβουλή. 3. Επικαιροποιήθηκαν οι οδηγίες χρήσης του συστήματος γεωεντοπισμού από τους χρήστες του και 4. Συντάχθηκαν νέα έγγραφα γνωστοποίησης της εγκατάστασης και λειτουργίας του συστήματος προς τους χρήστες, όπου ενημερώνονται για α) τους σκοπούς για τους οποίους εγκαταστάθηκαν κα λειτουργούν και αφορούν β) το χρόνο διακράτησης των δεδομένων που συλλέγονται ανά ημέρα μέσω των ανωτέρω συστημάτων γεωεντοπισμού και γ) τα δικαιώματα των χρηστών.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τη βοηθό εισηγητή, η οποία παρέστη χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού (ΕΕ) 2016/679 – εφεξής, ΓΚΠΔ) και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ του νόμου 4624/2019 προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί της καταγγελίας του καταγγέλλοντος κατά της καταγγελλόμενης και να ασκήσει, αντίστοιχα, τις εξουσίες που της απονέμονται από τις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Με το άρθρο 5 παρ. 1 του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ) τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία. Σύμφωνα με το άρθρο 5 παρ. 1 α) και στ) ΓΚΠΔ «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), […] στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)», ενώ όπως επισημαίνεται στο Προοίμιο του Κανονισμού, «Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία τους ή η χρήση αυτών των δεδομένων προσωπικού χαρακτήρα και του εν λόγω εξοπλισμού» (Αιτ. Σκ. 39 in fine). Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που ορίζεται ρητώς στην δεύτερη παράγραφο του ιδίου άρθρου και συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση με τις αρχές του άρθ. 5 παρ. 1.
3. Επειδή σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 4 στοιχ. 7) ΓΚΠΔ, ως υπεύθυνος επεξεργασίας νοείται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους». Σύμφωνα με τις Κατευθυντήριες γραμμές 07/2020 του ΕΣΠΔ αναφορικά με τις έννοιες , κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που εκτελείται από υπαλλήλους στο πεδίο των δραστηριοτήτων ενός οργανισμού μπορεί να θεωρηθεί ότι εκτελείται υπό τον έλεγχο του εν λόγω οργανισμού. Οι υπάλληλοι που έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα στο πλαίσιο ενός οργανισμού δεν θεωρούνται εν γένει «υπεύθυνοι επεξεργασίας» ή «εκτελούντες την επεξεργασία», αλλά «πρόσωπα που ενεργούν υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία» κατά την έννοια του άρθρου 29 του ΓΚΠΔ, επομένως εν προκειμένω η καταγγελλόμενη αποτελεί την υπεύθυνη επεξεργασίας.
4. Όσον αφορά τη διαφάνεια της επεξεργασίας, το άρθρο 12 παρ. 1 ΓΚΠΔ ορίζει ότι: «Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα». Οι υποχρεωτικά παρεχόμενες πληροφορίες προβλέπονται στο άρθρο 13 ΓΚΠΔ για την περίπτωση που τα δεδομένα συλλέγονται από το υποκείμενο και στο άρθρο 14 ΓΚΠΔ για την περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο. Ειδικότερα, οι πληροφορίες αυτές περιλαμβάνουν τουλάχιστον «α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του, β) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, δ) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, στ) κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και σχετικές πληροφορίες, ζ) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα, ή, εφόσον αυτό είναι αδύνατον, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, η) πληροφορίες σχετικά με τα δικαιώματα του υποκειμένου σύμφωνα με τα άρθρα 15-22 ΓΚΠΔ. Εφόσον τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο, σύμφωνα με το άρθρο 14 παρ. 2 εδ. στ) ΓΚΠΔ, απαιτείται να παρέχεται στο υποκείμενο ως πληροφορία «η πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό». Οι πληροφορίες παρέχονται είτε κατά τη συλλογή των δεδομένων, όταν αυτή γίνεται από το υποκείμενο (άρθρο 13 ΓΚΠΔ) είτε εντός του χρονικού διαστήματος που ορίζεται στην παρ. 3 του άρθρου 14 ΓΚΠΔ, στην περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο.
5. Στη Γνώμη 2/2017 της Ομάδα Εργασίας του Άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία, η παράγραφος 5.7 αναφέρει σχετικά ότι λόγω του ευαίσθητου χαρακτήρα των δεδομένων θέσης, δεν είναι πιθανό να υπάρχει νομική βάση για την παρακολούθηση της θέσης των οχημάτων των εργαζομένων εκτός του συμφωνημένου ωραρίου εργασίας. Ωστόσο, εάν υπάρχει τέτοια ανάγκη, θα πρέπει να εξετάζεται χρήση που θα είναι ανάλογη των κινδύνων. Για παράδειγμα, αυτό θα μπορούσε να σημαίνει ότι, για την πρόληψη της κλοπής οχημάτων, η θέση του οχήματος δεν καταγράφεται εκτός του ωραρίου εργασίας, εκτός εάν το όχημα εγκαταλείψει μια ευρύτερη τοποθεσία (περιφέρεια ή ακόμα και χώρα). Επιπλέον, η τοποθεσία θα εμφανίζεται μόνο σε περιπτώσεις έκτακτης ανάγκης – ο εργοδότης ενεργοποιεί την ορατότητα της θέσης, προσπελάζοντας δεδομένα που έχουν ήδη αποθηκευτεί από το σύστημα, όταν το όχημα βγαίνει από μια προκαθορισμένη περιοχή.
6. Η καταγγελλόμενη, ως υπεύθυνος επεξεργασίας για τα δεδομένα θέσης του οχήματος του εργαζομένου οφείλει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές του άρθ. 5 παρ. 1 του ΓΚΠΔ, τηρώντας την κατάλληλη προβλεπόμενη τεκμηρίωση. Η Αρχή δεν προέβη σε έλεγχο της τεκμηρίωσης αυτής, αλλά εξέτασε τα διαλαμβανόμενα στην εν λόγω καταγγελία που αφορούν τη συγκεκριμένη χρήση των δεδομένων αυτών στο συγκεκριμένο περιστατικό.
7. Από τα παραπάνω εκτιθέμενα πραγματικά περιστατικά προκύπτει ότι υπάλληλος της καταγγελλομένης προέβη σε χρήση των δεδομένων γεωεντοπισμού του οχήματος καταφανώς εκτός ωρών εργασίας, αφού ο καταγγέλλων βρισκόταν σε νόμιμη άδεια με σκοπό να εντοπίσει τη θέση που βρισκόταν ο καταγγέλλοντας, όπως αποδεικνύεται από το γεγονός ότι εμφανίστηκε ο εν λόγω υπάλληλος στη θέση αυτή.
8. Ως εκ τούτου, η Αρχή διαπιστώνει τις εξής παραβάσεις εκ μέρους της καταγγελλόμενης, ως υπευθύνου επεξεργασίας:
α) παράνομη επεξεργασία των προσωπικών δεδομένων του καταγγέλλοντος, λόγω της χρήσης των δεδομένων εντοπισμού του οχήματός του εκτός ωρών εργασίας και για τον σκοπό του εντοπισμού του καταγγέλλοντος.
β) ελλιπή ενημέρωση του καταγγέλλοντος, κατά παράβαση των άρθρων 5 παρ. 1 εδ. α και των άρθρων 12 και 13 και 5 παρ. 2 εδ. β του ΓΚΠΔ, σχετικά με τη λειτουργία του συστήματος που είχε εγκατασταθεί στο όχημα που του παραχωρήθηκε, ανεξαρτήτως του ότι δεν είχε το δικαίωμα να το χρησιμοποιεί εκτός ωρών εργασίας, γεγονός που παραδέχτηκε η καταγγελλόμενη και προέβη σε διορθωτικές ενέργειες εφεξής.
9. Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς. Περαιτέρω η Αρχή, έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, την παράγραφο 5 εδ. α’ του ίδιου άρθρου που έχει εφαρμογή στην παρούσα υπόθεση, τις Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 που εκδόθηκαν στις 03-10-2017 από την Ομάδα Εργασίας του άρθρου 29 (WP 253) και τις Κατευθυντήριες γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό των διοικητικών προστίμων στο πλαίσιο του Γενικού Κανονισμού, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης και ιδίως τα κριτήρια που παρατίθενται στη συνέχεια.
α) ότι η παράβαση της νομιμότητας της επεξεργασίας εμπίπτει στη διάταξη της παρ. 5 του άρθρου 83 ΓΚΠΔ,
β) ότι το περιστατικό φαίνεται να είναι μεμονωμένο, καθώς δεν έχει επιβληθεί από την Αρχή κύρωση στην καταγγελλόμενη για παρόμοια παράβαση στο παρελθόν,
γ) ότι η παράβαση επηρέασε άμεσα ένα υποκείμενο δεδομένων,
δ) ότι η παράβαση οφείλεται σε μεμονωμένη ενέργεια υπαλλήλου,
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η ΑΡΧΗ
Α. Επιβάλλει, στην «Χ» ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδ. θ) του ΓΚΠΔ, διοικητικό πρόστιμο ύψους δύο χιλιάδων (2.000€) ευρώ, για τη διαπιστωθείσα παράβαση των αρχών της νομιμότητας της επεξεργασίας κατ’ άρθρο 5 παρ. 1 α) του ΓΚΠΔ.
Β. Απευθύνει, με βάση το άρθρο κατ’ άρθρο 58 παρ. 2 στοιχ. β΄ ΓΚΠΔ, επίπληξη, στην «Χ», ως υπεύθυνο επεξεργασίας για την ελλιπή ενημέρωση κατά παράβαση των άρθρων 5 παρ. 1 εδ. α και των άρθρων 12 και 13 και 5 παρ. 2 εδ. β του ΓΚΠΔ.
Ο Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου