Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 1 000 euro mot ΔΕΥΑ X för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en anställd vid den kommunala vattenverksamheten ΔΕΥΑ X klagat på att hennes hälsouppgifter om Covid-19 delats med tredje parter utan hennes samtycke. Hon hävdade att hennes arbetsgivare skickat hennes testresultat, medicinska intyg och personnummer till bland annat regionens civilskyddsmyndighet, styrelsen för ΔΕΥΑ Χ och andra anställda.
ΔΕΥΑ Χ försvarade sig med att behandlingen av hälsouppgifterna var nödvändig för att följa arbetsrätten, socialförsäkringsrätten och för att kontrollera hennes lämplighet för arbetet. ΔΕΥΑ Χ hävdade också att företaget hade rätt att begära information från regionens civilskyddsmyndighet om de åtgärder som skulle vidtas för att förhindra spridningen av Covid-19.
HDPA granskade klagomålet och undersökte om behandlingen av hälsouppgifterna var laglig, ändamålsenlig, nödvändig och proportionerlig, samt om den klagande informerats och gett sitt samtycke till behandlingen. HDPA konstaterade att behandlingen varit olaglig då ΔΕΥΑ Χ behandlat fler personuppgifter även som varit nödvändigt vilket utgjorde en överträdelse av principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR.