Hellenic Data Protection Authority (HDPA) har bötfällt Athens Urban Transport Organisation (OASA) med 50 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att OASA har infört ett nytt elektroniskt biljettsystem. Systemet använde passagerarnas passnummer eller annan officiell identitetshandling, deras 8-siffriga kod (PIN), deras födelsemånad och födelseår, och i förekommande fall, deras kategori av social förmånstagare (till exempel om en passagerare fick socialbidrag).
HDPA konstaterade att OASA brutit mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR då HDPA under sin utredning funnit att OASA haft för avsikt att lagra personuppgifter som samlats in från sina kunder i 20 år, utan att visa varför detta var nödvändigt.
HDPA konstaterade också att OASA brutit mot artikel 35.1 GDPR, eftersom deras konsekvensbedömning avseende dataskydd otillräckligt identifierat ändamålen med lagringen i förhållande till deras register över behandling. Dessutom var konsekvensbedömningen oklar i fråga om de risker som behandlingen medförde.
Till följd av detta bötfällde HDPA OASA med 50 000 euro för brott mot principen om lagringsminimering och utfärdade en reprimand för brott mot artikel 35.1 GDPR. Dessutom utfärdade HDPA ett föreläggande mot OASA att inom en månad identifiera och dokumentera alla lagringsperioder för uppgifter för deras olika behandlingsändamål. Utöver detta utfärdade HDPA ett föreläggande mot OASA att revidera sin konsekvensbedömning inom tre månader, eftersom konsekvensbedömningen fortfarande innehöll tvetydigheter i riskbedömningen.