Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 5 000 euro mot en kommun för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att HDPA undersökt ett klagomål från en kommunanställd som ansåg att hennes personuppgifter behandlats olagligt av kommunen. Hon klagade över att hennes namn, befattning och andra uppgifter hade offentliggjorts på kommunens webbplats och på Diavgeia-programmet, som är ett system för öppenhet i offentlig förvaltning.
Kommunen hävdade att den hade rätt att behandla de anställdas personuppgifter i enlighet med lagen och att den var skyldig att publicera vissa administrativa handlingar på Diavgeia-programmet. Kommunen påstod också att den anställda inte utövat sin rätt till radering av sina personuppgifter på ett tydligt sätt.
HDPA konstaterade att kommunen brutit mot flera bestämmelser i GDPR och den grekiska dataskyddslagen. HDPA ansåg att kommunen inte visat att den hade någon rättslig grund för att behandla de anställdas personuppgifter, att den inte respekterat principerna om laglighet, ändamålsbegränsning och uppgiftsminimering, och att den inte informerat de anställda om deras rättigheter.
HDPA har utfärdat en sanktionsavgift på 5 000 euro och beordrade den att upphöra med den olagliga personuppgiftsbehandlingen och att radera alla berörda personuppgifter från sina webbplatser och system.