Grieķijas Personas datu aizsardzības iestāde (“DAI”) 2019.04.15 piesprieda Hellenic Petroleum S.A. 20,000 EUR naudas sodu par personas datu nelikumīgu apstrādi un 10,000 EUR sodu par atbilstošu datu drošības pasākumu nepiemērošanu.
Hellenic Petroleum S.A., iesaistot pārdevēju, tā vārdā veica pētījumu. Pētījums tika publicēts tiešsaistē, un tā rezultāti, kas ietvēra sensitīvus datus, piemēram, politiskos viedokļus, dalību arodbiedrībās un dalību asociācijās, kļuva publiski pieejami internetā.
DAI uzskatīja, ka Hellenic Petroleum S.A. ir datu pārzinis, bet pārdevējs ir datu apstrādātājs, tādējādi Hellenic Petroleum S.A. bija atbildīgs par pārdevēja veikto personas datu apstrādi. Papildu tam Grieķijas DAI secināja, ka sensitīvu datu apstrāde ir notikusi bez juridiska pamata un bez DAI atļaujas. Turklāt DPA turēja Hellenic Petroleum S.A., kas bija atbildīgs par to, ka nespēja nodrošināt atbilstošus tehniskos un organizatoriskos pasākumus, bija aizsargājusi datus.
DAI uzskatīja, ka Hellenic Petroleum S.A. ir datu pārvaldnieks, bet pārdevējs ir datu apstrādātājs, tādējādi Hellenic Petroleum S.A ir atbildīgs par pārdevēja personas datu apstrādi. DAI arī secināja, ka sensitīvu datu apstrāde notika bez juridiska pamata un bez DAI atļaujas. Turklāt DAI norādīja uz Hellenic Petroleum S.A. atbildību par to, ka viņi nav nodrošinājuši atbilstošu tehnisko un organizatorisko pasākumu kopumu datu aizsardzībai.
Sods piemērots pamatojoties Grieķijas datu aizsardzības likumu.