Hellenic Data Protection Authority (HDPA) har urfärdat en sanktionsavgift på 5 850 000 euro mot Cosmote Mobile Telecommunications S.A. ( Cosmote ΚΙΝΗΤΕΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ Α.Ε.) för överträdelse av artiklarna 5.1 (a), 5.2, 13, 14, 25.1, 26, 28, 32 och 35.7 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Cosmote anmält en personuppgiftsincident till HDPA i enlighet med artikel 33 GDPR efter att en hackare kommit in i Cosmotes system och därefter läckt uppgifter om Cosmotes kunder. De stulna uppgifterna innehöll känslig information om Cosmotes kunder, till exempel ålder, kön och avtalsinformation. Nästan 10 miljoner kunder påverkades av incidenten.
Av denna anledning konstaterade HDPA att Cosmote underlåtit att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett korrekt genomförande av processen för anonymisering av uppgifter. Dessutom har Cosmote inte heller genomfört en tillräcklig konsekvensbedömning avseende dataskydd eller informerat de registrerade på ett korrekt sätt om behandlingen av deras uppgifter. Slutligen konstaterade HDPA att Cosmote inte tydligt reglerat rollfördelningen vid behandlingen av personuppgifter med sitt dotterbolag OTE Group.
Vid beräkningen av sanktionsavgiften tog HDPA hänsyn till försvårande omständigheter som att överträdelserna pågått under mycket lång tid (6 år), det stora antalet registrerade samt det faktum att inga pseudonymiseringsåtgärder för uppgifterna implementerats under en lång tidsperiod.