Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 50 000 euro mot Metro S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en privatperson lämnat in ett klagomål mot livsmedelsgrossisten Metro. Enligt den klagade har en av Metros chaufförer, som kort därefter avskedades, fått tillgång till den klagandes uppgifter i företagets system och skickat sarkastiska textmeddelanden till hennes privata mobiltelefon. I dessa meddelanden gav chauffören den klagande skulden för hans uppsägning. Den klagande, som vid tillfället var gravid, kände sig så hotad att hon tillbringade en natt på sjukhus.
Som en följd av händelsen krävde den klagande information om och radering av alla personuppgifter som Metro samlat in om henne. Metro vägrade med motiveringen att den klagandes man var den egentliga kunden. Metro hävdade också att chauffören fått den klagandes telefonnummer från följesedeln.
HDPA:s utredning visade att Metro borde ha tillmötesgått den klagandes begäran. Dessutom ansåg HDPA att det inte fanns lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna, vilket innebar att chauffören kunde få tillgång till den klagandes uppgifter. HDPA ansåg vidare att Metro inte vidtagit några åtgärder för att förbättra företagets rutiner efter att de fått kännedom om händelsen. Händelsen rapporterades inte heller till HDPA. Mot denna bakgrund konstaterade HDPA överträdelser av artiklarna 17, 24, 32 och 33 GDPR.