Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 150 000 euro mot ett telekommunikationsföretag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var kund hos en leverantör av telekommunikationstjänster. Trots att de uttryckligen motsatt sig att ta emot reklam fortsatte den personuppgiftsansvarige att skicka elektroniska reklammeddelanden. Den registrerade lämnade in en begäran om tillgång, men den personuppgiftsansvarige hävdade att det var nödvändigt för denne att gå till en butik eller skicka ett rekommenderat brev för att få sin identitet verifierad. Den registrerade lämnade därefter in ett klagomål till HDPA och hävdade att den personuppgiftsansvarige kränkt dennes rätt till dataskydd. Till sitt försvar hävdade den personuppgiftsansvarige att det fanns ett särskilt förfarande som beskrevs i dess integritetspolicy för registrerade att begära tillgång till sina uppgifter och att detta förfarande inte följts.
HDPA höll med om det faktum att den registrerade inte följt det förfarande som fastställts av den personuppgiftsansvarige, men konstaterade att detta inte var ett legitimt skäl att inte tillmötesgå begäran om tillgång. HDPA konstaterade också att den personuppgiftsansvarige gjort det svårt för den registrerade att utöva sina rättigheter genom att begära fysisk närvaro i butiken eller att skicka ett rekommenderat brev. Vidare konstaterade HDPA att den personuppgiftsansvarige inte implementerat lämpliga organisatoriska och tekniska åtgärder för att möjliggöra utövandet av rätten att invända mot behandlingen av personuppgifter för marknadsföringsändamål och därmed inte uppfyllt kraven i GDPR.
HDPA beordrade den personuppgiftsansvarige att tillmötesgå begäran om tillgång och utdömde en sanktionsavgift på 60 000 euro för överträdelse av artikel 21.3 GDPR, eftersom den personuppgiftsansvarige skickat fem marknadsföringsmeddelanden efter att den registrerade uttryckligen invänt mot behandlingen av sina uppgifter för detta ändamål, 60 000 euro för överträdelse av artiklarna 15.1, 12.2, 12.3 och 12.4 GDPR, eftersom den personuppgiftsansvarige inte besvarat begäran om tillgång och inte underlättat utövandet av den registrerades rättigheter, samt 30 000 euro för överträdelse av artikel 25.1 GDPR, eftersom den personuppgiftsansvarige inte implementerat organisatoriska och tekniska åtgärder för att göra det möjligt för den registrerade att utöva sin rätt att invända mot behandlingen av personuppgifter för marknadsföringsändamål.