Den grekiska dataskyddsmyndigheten Hellenic Data Protection Authority (HDPA) har bötfällt Pyle Axiou I.A.E. med 30 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en patient vid Pyle Axiou begärt kopior av sina patientjournaler i samband med en tidigare utförd mammografi. Pyle Axiou svarade att de inte kunde ge henne bilderna från mammografin, eftersom maskinen bara kan lagra dem i tre månader. Den registrerade lämnade därefter in ett klagomål till HDPA för att hennes rätt till tillgång till information kränkts. Hon betonade att särskilt bilderna från mammografin var viktiga med tanke på hennes ålder och hälsotillstånd. Efter ett brev från HDPA kom Pyle Axiou ihåg att företaget också lagrade bilderna på en hårddisk i sitt lager. De kunde dock enligt företaget inte återskapa bilderna.
Under en utfrågning hävdade Pyle Axiou att de utan framgång uttömt alla möjligheter att återskapa bilderna, att den viktigaste dokumentationen, dvs. rapporten om bilderna, lämnats till den registrerade, att de informerat den registrerade i god tid om att bilderna inte fanns tillgängliga, och att de lämnat sina synpunkter på frågor om hur företaget uppfyllde sina skyldigheter enligt artiklarna 32-34 GDPR.
Den registrerade hävdade under utfrågningen att Pyle Axiou, utöver kränkningen av rätten till tillgång, även kränkt hennes rätt till information. Hon informerades aldrig av Pyle Axiou om att bilderna gått förlorade.
HDPA konstaterade att lagringsperioden för bilderna var tio år från den registrerades senaste besök. HDPA konstaterade vidare att bilderna inte var tillgängliga vid den tidpunkt då den registrerade utövade sin rätt. HDPA ansåg därför att den registrerades rätt till tillgång enligt artikel 15 GDPR inte hade kränkts, eftersom det var omöjligt att tillhandahålla bilderna, även om de hade raderats olagligt.
HDPA ansåg dock att den förlorade tillgängligheten till bilderna utgjorde en kränkning av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Enligt HDPA var den ovannämnda överträdelsen ett resultat av otillräckliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i enlighet med artikel 32 GDPR.
Mot denna bakgrund bötfällde HDPA Pyle Axiou med 30 000 euro. HDPA gav också Pyle Axiou en reprimand för att inte ha anmält personuppgiftsincidenten i rätt tid enligt artikel 33 GDPR, samt beordrade Pyle Axiou att informera de berörda personerna om personuppgiftsincidenten i enlighet med artikel 34 GDPR.