Ook in Griekenland telt alleen een échte DPIA!
De Griekse DPA (HDPA) heeft de Athens Urban Transport Organisation (OASA) een boete van € 50.000 opgelegd voor het overtreden van artikel 5 lid 1 onder e), omdat hun elektronische ticket systeem in strijd was met het beginsel van opslagbeperking. Bovendien berispte de HDPA OASA voor het schenden van artikel 35 lid 1 AVG, omdat de DPIA die zij bij de HDPA hadden ingediend voor hun elektronische ticket systeem ontoereikend was.
De feiten
De Athens Public Transport Authority heeft een nieuw elektronisch ticket systeem in gebruik genomen. Het systeem gebruikte het paspoortnummer of een ander officieel identificatiedocument van de passagiers, hun 8-cijferige code (PIN), hun geboortemaand en -jaar en, indien van toepassing, hun categorie van sociale begunstigde (bijvoorbeeld als een passagier een sociale uitkering ontving).
In 2017 had de HDPA twee adviezen uitgebracht over het elektronische ticket systeem van de OASA. In deze adviezen was de HDPA van mening dat de OASA, als verwerkingsverantwoordelijke, een DPIA voor hun elektronische ticket systeem moest uitvoeren.
Op 18 november 2019 heeft de EFSA bij het OASA een inspectie ter plaatse uitgevoerd om na te gaan of de eerder uitgebrachte adviezen werden nageleefd. Na deze inspectie vond de HDPA resterende problemen en beval OASA om wijzigingen aan te brengen in hun systeem.
In maart 2020 heeft de OASA nieuwe stukken ingediend bij de HDPA. Deze omvatten een nieuwe DPIA, hun registratie van eerdere verwerkingsactiviteiten, evenals een technisch rapport van hun gecontracteerde verwerker, "HELLAS SMARTICKET S.A.". Naar aanleiding van deze stukken was de HDPA nog steeds van mening dat er problemen waren met de systemen van OASA en verzocht zij om aanvullende informatie.
Na ontvangst van deze informatie achtte de HDPA deze onbevredigend en op 25 september 2023 heeft de HDPA een besluit genomen.
Beoordeling
De AP oordeelde dat de verwerkingsverantwoordelijke artikel 5 lid 1, onder e) AVG en artikel 35 lid 1 AVG had geschonden.
(a) De HDPA oordeelde dat de voor de verwerkingsverantwoordelijke het beginsel van opslagbeperking van artikel 5 lid 1 onder e) AVG had geschonden. In de loop van hun onderzoek constateerde de HDPA dat de verwerkingsverantwoordelijke ernaar streefde om persoonsgegevens die van hun klanten waren verzameld 20 jaar te bewaren, zonder aan te tonen waarom dit nodig was.
(b) De HDPA oordeelde dat de verwerkingsverantwoordelijke artikel 35 lid 1 AVG had geschonden, omdat hun DPIA onvoldoende de doeleinden van gegevensbewaring met betrekking tot hun verwerkingsrecords had geïdentificeerd. Bovendien was de DPIA onduidelijk wat betreft de risico's die de verwerking met zich meebrengt.
Besluit
Als gevolg hiervan heeft de HDPA OASA een boete van € 50.000 opgelegd voor het schenden van het principe van opslagbeperking en een berisping gegeven voor de schending van artikel 35 lid 1 AVG. Bovendien heeft de HDPA een nalevingsbevel uitgevaardigd tegen de verwerkingsverantwoordelijke, om binnen een maand alle bewaartermijnen voor hun verschillende verwerkingsdoeleinden te identificeren en te documenteren. Daarnaast heeft de HDPA een nalevingsbevel uitgevaardigd tegen de verwerkingsverantwoordelijke om hun DPIA binnen drie maanden te herzien, omdat hun DPIA nog steeds onduidelijkheden bevatte in de risicobeoordeling.
Machinevertaling
Bron: HDPA (Greece) - 30/2023 - GDPRhub