Άρθρο 5.1.α : Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας

Η Αρχή εξέτασε καταγγελία κατά υπευθύνου επεξεργασίας για μη ικανοποίηση του δικαιώματος διαγραφής υποκειμένου από την ιστοσελίδα που διατηρεί και περιλαμβάνει δημόσιο κατάλογο ιατρών. Η καταγγέλλουσα άσκησε δύο φορές το δικαίωμα διαγραφής της μέσω ηλεκτρονικού μηνύματος στη διεύθυνση που παρέχει ο υπεύθυνος επεξεργασίας ως μέσο επικοινωνίας στην ιστοσελίδα του, ωστόσο δεν έλαβε καμία απάντηση. Η Αρχή διαπίστωσε παραβίαση της αρχής της νομιμότητας και του περιορισμού της επεξεργασίας κατ’ άρ. 5 παρ. 1 εδ. α’, ε’ και 6 παρ. 1 ΓΚΠΔ από την παράνομη διατήρηση και επεξεργασία των προσωπικών δεδομένων στην ιστοσελίδα της ελεγχόμενης εταιρίας παρά την ύπαρξη νόμιμου αιτήματος διαγραφής. Επιπλέον, η  Αρχή διαπίστωσε έλλειψη συμμόρφωσης της εταιρίας, ως υπευθύνου επεξεργασίας, προς τις  διατάξεις του ΓΚΠΔ και ειδικότερα όσον αφορά την ικανοποίηση δικαιωμάτων των υποκειμένων. Η Αρχή έδωσε εντολή για συμμόρφωση εντός μηνός και επέβαλε στον υπεύθυνο επεξεργασίας διοικητικό πρόστιμο 5.000 ευρώ.

Η Αρχή εξέτασε καταγγελία κατά ΝΠΔΔ για διαβίβαση προσωπικών δεδομένων του καταγγέλλοντος σε τρίτους χωρίς νόμιμη βάση και χωρίς την προηγούμενη ενημέρωση του τελευταίου για τον σκοπό της περαιτέρω επεξεργασίας και διαπίστωσε ότι έλαβε χώρα παραβίαση του άρθρου 14 παρ. 4 σε συνδυασμό με το άρθρο 12 παρ. 1 ΓΚΠΔ καθώς και της αρχής της νόμιμης, αντικειμενικής και διαφανούς επεξεργασίας κατ’ άρθρο 5 παρ. 1 α’ του ΓΚΠΔ και επέβαλε χρηματικό πρόστιμο ύψους 5.000 ευρώ.

Η Αρχή επέβαλε πρόστιμο ύψους 15.000,00 ευρώ σε εταιρεία για παράνομη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης στους χώρους γραφείων των εργαζομένων και στην κουζίνα του χώρου εργασίας κατά παράβαση των άρθρων 5 παρ. 1 α’ και γ’ και 5 παρ. 2 του Κανονισμού (ΕΕ) 2016/679. Επιπλέον, η Αρχή διέταξε την απεγκατάσταση των καμερών και τη διαγραφή τυχόν συλλεγέντος υλικού.

Η μετάδοση της εικόνας των προσώπων που βρίσκονται στην εμβέλεια των καμερών στην οθόνη προβολής του ηλεκτρονικού υπολογιστή του διαχειριστή της εταιρείας, ο οποίος είχε την τεχνική δυνατότητα να εμφανίσει στην οθόνη την πλήρη εικόνα ή να την καλύψει μαυρίζοντας την οθόνη, ανά πάσα στιγμή και με εύκολο τρόπο μέσω σχετικής ρύθμισης από το καταγραφικό, ακόμα και αν για τη ρύθμιση αυτή χρειαζόταν η συνδρομή του εγκαταστάτη των καμερών, συνιστά επεξεργασία προσωπικών δεδομένων η οποία παραβιάζει τις διατάξεις του ΓΚΠΔ. Περαιτέρω, η ύπαρξη και μόνο καμερών σε χώρους για τους οποίους έχει ήδη κριθεί με την υπ’ αριθμ. 1/2011 Οδηγία της Αρχής ότι απαγορεύεται εγκατάσταση και λειτουργία συστημάτων βιντεοεπιτήρησης, όπως χώρους γραφείων και εστίασης, προσβάλλει υπέρμετρα τα δικαιώματα των εργαζομένων και παραβιάζει τις διατάξεις του ΓΚΠΔ.

Η Αρχή επέβαλε σε εταιρεία ιδιωτικού ΙΕΚ πρόστιμο 5.000 ευρώ για μη νόμιμη επεξεργασία δεδομένων και μη ορθή ανταπόκριση σε δικαιώματα πρόσβασης και διαγραφής. Ο καταγγέλλων αφού έλαβε μήνυμα ηλεκτρονικού ταχυδρομείου από την εταιρεία άσκησε τα δικαιώματά του ζητώντας να ενημερωθεί για τη νομιμότητα των ενεργειών της εταιρείας και επίσης τη διαγραφή των στοιχείων. Η εταιρεία δεν απάντησε στον καταγγέλλοντα. Μετά την παρέμβαση της Αρχής, η εταιρεία δήλωσε ότι είχε διαγράψει τα στοιχεία του καταγγέλλοντα, χωρίς να τον ενημερώσει. Τα στοιχεία του καταγγέλλοντα είχαν αποκτηθεί στο πλαίσιο επαφής του με την εταιρεία για άλλο, μη συναφή, σκοπό, ενώ εμπλουτίστηκαν με περαιτέρω πληροφορίες για σκοπό στοχευμένης προώθησης υπηρεσιών. Η Αρχή έκρινε ότι υπήρχε παράβαση των αρχών της νομιμότητας και του περιορισμού του σκοπού, παράβαση του δικαιώματος πρόσβασης και μη ενημέρωση σε σχέση με την ικανοποίηση του δικαιώματος διαγραφής.

Η Αρχή κάλεσε τον υπεύθυνο επεξεργασίας να προσαρμόσει  τις διαδικασίες του ώστε η διαγραφή των στοιχείων πελάτη που δεν έχει δώσει ειδική συγκατάθεση για την επεξεργασία των δεδομένων του για το σκοπό προώθησης προϊόντων και υπηρεσιών, να διασφαλίζει τη διαγραφή των στοιχείων του και από τις λίστες αποδεκτών μηνυμάτων με σκοπό την προώθηση προϊόντων και υπηρεσιών. Ο καταγγέλλων ενώ είχε ζητήσει τη διαγραφή του λογαριασμού (προφίλ) που διατηρούσε ως πελάτης της καταγγελλόμενης εταιρείας συνέχισε να λαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου διαφημιστικού περιεχομένου. Ο υπεύθυνος επεξεργασίας,  εφόσον ικανοποίησε το δικαίωμα διαγραφής του υποκειμένου ως πελάτη, παύει να έχει έρεισμα στο έννομο συμφέρον ως νομική βάση επεξεργασίας για το σκοπό προώθησης προϊόντων και υπηρεσιών και οφείλει να τον διαγράψει και από τις λίστες αποδεκτών προωθητικών ενεργειών.

H Αρχή εξέτασε καταγγελία σωματείου εργαζομένων σχετικά με παράνομη λειτουργία συστήματος βιντεοεπιτήρησης. Αφού κάλεσε τις δύο πλευρές σε ακρόαση και εξέτασε τα σχετικά υπομνήματα που υποβλήθηκαν, η Αρχή απηύθυνε, με βάση το άρθρο 21 παρ. 1 στοιχ. α΄ ν. 2472/1997, προειδοποίηση προς την εταιρεία «ΠΛΑΙΣΙΟ COMPUTERS ΑΒΕΕ» για την παραβίαση των άρθρων 4, 5 και 11 ν. 2472/1997 και τη διέταξε να προβεί αμελλητί α) στην κατάλληλη προσαρμογή του πεδίου λήψης της κάμερας στο χώρο του εστιατορίου, ή την απεγκατάσταση της κάμερας, εφόσον δεν μπορεί να δικαιολογήσει έννομο συμφέρον για την προστασία του εν λόγω χώρου και των αγαθών που βρίσκονται σε αυτόν, και β) να προσαρμόσει τα συστήματα βιντεοεπιτήρησης στις εγκαταστάσεις της στις προϋποθέσεις νόμιμης λειτουργίας που ορίζονται στο σημείο 9 του σκεπτικού της απόφασης, και εν γένει στην κείμενη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα.

Η Αρχή, με την με αριθμό 30/2020 απόφασή της, έδωσε εντολή στον καταγγελλόμενο να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 ΓΚΠΔ και να καταστήσει τις πράξεις επεξεργασίας που λαμβάνουν χώρα μέσω του εγκατεστημένου συστήματος βιντεοεπιτήρησης σύμφωνες προς τις διατάξεις του ΓΚΠΔ και της Οδηγίας 1/2011 και επέβαλε πρόστιμο.

Και αυτό διότι ο καταγγελλόμενος δεν προέβη σε τεκμηρίωση της νομιμότητας της εγκατάστασης και λειτουργίας του συστήματος βιντεοεπιτήρησης σύμφωνα με την αρχή της λογοδοσίας, δεν έθεσε υπόψη της Αρχής συναφή έγγραφη τεκμηρίωση της νόμιμης λειτουργίας του και από τα στοιχεία του φακέλου της υπόθεσης και την παραδοχή του καταγγελλομένου διαπιστώθηκε ότι εγκατέστησε και λειτούργησε παράνομα το σύστημα αυτό έχοντας θέσει σε λειτουργία και στρέψει την κάμερα που βρισκόταν στην οροφή της οικίας του κατά τρόπο ώστε να λαμβάνει εικόνα και να καταγράφει τις δραστηριότητες των καταγγελλόντων καθώς και κάθε φυσικού προσώπου στην ιδιοκτησία αυτών.

Η ελεγχόμενη εταιρία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα σε υπολογιστική υποδομή (υλικού και λογισμικού-διακομιστή) χωρίς να τηρήσει το σύνολο των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ και 6 παρ. 1 ΓΚΠΔ που λάμβανε χώρα, αλλά και στο πλαίσιο κάθε μεταγενέστερης ή περαιτέρω επεξεργασίας των ίδιων δεδομένων προσωπικού χαρακτήρα, ούτε απέδειξε κατ’ άρθρο. 5 παρ. 2 ΓΚΠΔ την τήρηση αυτών. Επιπλέον, παραβίασε τις διατάξεις των άρθρων 5 παρ. 1 εδ. α’ και στ’ και παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 2 και 32 παρ. 1 και 2 ΓΚΠΔ σχετικά με την αρχή της ασφαλούς επεξεργασίας (ιδίως της «εμπιστευτικότητας») από τη μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων ώστε η εταιρία να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.

Η εργοδότρια εταιρία έχουσα υπόνοιες ότι ανώτερο στέλεχος της διοίκησής της προέβη σε παράνομες πράξεις σε βάρος των συμφερόντων της διενήργησε έλεγχο και ανέκτησε διαγεγραμμένα e-mail από τον διακομιστή (server) της. Η εταιρία είχε συμμορφωθεί προς τις επιταγές του ΓΚΠΔ και από τις εσωτερικές πολιτικές και κανονισμούς της προβλεπόταν η απαγόρευση χρήσης των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων για ιδιωτικούς σκοπούς καθώς και η δυνατότητα διενέργειας εσωτερικών ελέγχων. Αντίθετα, το κλειστό κύκλωμα βιντεοεπιτήρησης είχε εγκατασταθεί και λειτουργούσε παράνομα, επιπλέον δε, το καταγραφέν υλικό που προσκομίσθηκε στην Αρχή δεν ελήφθη υπόψη κατ’ άρθρο. 19 παρ. 3 Σ. Η εταιρία δεν ικανοποίησε το δικαίωμα πρόσβασης του εργαζομένου στα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στον εταιρικό προσωπικό υπολογιστή που χρησιμοποιούσε. Η Αρχή επέβαλε στην εταιρία πρόστιμο 15.000 ευρώ για μη νόμιμη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης και για περαιτέρω επεξεργασία του σχετικού υλικού.

Η Αρχή με αφορμή καταγγελία διερεύνησε αυτεπαγγέλτως την νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των υποκειμένων – εργαζομένων της εταιρίας «PRICEWATERHOUSECOOPERS BUSINNES SOLUTIONS ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ ΠΑΡΟΧΗΣ ΕΠΙΧΕΙΡΗΜΑΤΙΚΩΝ ΚΑΙ ΛΟΓΙΣΤΙΚΩΝ ΥΠΗΡΕΣΙΩΝ A.E» με διακριτικό τίτλο «PRICEWATERHOUSECOOPERS  BUSINNES  SOLUTIONS  Α.Ε.»  (PWC  BS), σύμφωνα  με  την οποία εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Η Αρχή έκρινε ότι προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνης προς τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) υπ’ αρ. 679/2016, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ.

Η αναγνώριση και επιλογή της κατάλληλης νομικής βάσης εκ των προβλεπομένων στο άρθρο 6 παρ. 1 ΓΚΠΔ είναι στενά συνδεδεμένη με την αρχή της θεμιτής ή δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού, ο δε υπεύθυνος επεξεργασίας οφείλει όχι μόνο να επιλέγει την κατάλληλη νομική βάση προ της έναρξης της επεξεργασίας, τεκμηριώνοντας εσωτερικά την επιλογή αυτή κατ’ εφαρμογή της αρχής της λογοδοσίας, αλλά και να ενημερώνει κατ’ αρ. 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ για την χρήση της το υποκείμενο των δεδομένων καθώς η επιλογή της κάθε νομικής βάσης ασκεί έννομη επιρροή στην εφαρμογή των δικαιωμάτων των υποκειμένων.

Κεντρικό μέγεθος του μοντέλου συμμόρφωσης που υιοθετήθηκε από τον ΓΚΠΔ συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα αναγκαία μέτρα συμμόρφωσης προς τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ και να αποδεικνύει αυτά από μόνος του χωρίς μάλιστα να απαιτείται η Αρχή, στο πλαίσιο άσκησης των ερευνητικών - ελεγκτικών εξουσιών της, να υποβάλλει επιμέρους – εξειδικευμένα ερωτήματα και αιτήματα προς διαπίστωση της συμμόρφωσης.

Επισημαίνεται ότι η Αρχή εξαιτίας του ότι διανύεται το πρώτο χρονικό διάστημα εφαρμογής του ΓΚΠΔ υποβάλλει εξειδικευμένα ερωτήματα και αιτήματα στο πλαίσιο άσκησης των συναφών ερευνητικών – ελεγκτικών εξουσιών της ώστε να διευκολύνει την από μέρους των υπευθύνων επεξεργασίας τεκμηρίωση της λογοδοσίας.

Οι αρχές της σύννομης, θεμιτής (ή δίκαιης) και με διαφανή τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατ’ αρ. 5 παρ. 1 εδ. α’ ΓΚΠΔ επιτάσσουν την επιλογή της συγκατάθεσης ως νομικής βάσης κατ’ αρ. 6 παρ. 1 ΓΚΠΔ μόνο εφόσον οι υπόλοιπες νομικές βάσεις δεν εφαρμόζονται, ώστε να καθίσταται μεταγενέστερα της αρχικής επιλογής αδύνατη η αλλαγή και μετάβαση σε άλλη νομική βάση. Σε περίπτωση κατά την οποία το υποκείμενο των δεδομένων ανακαλέσει τη συγκατάθεσή του, δεν επιτρέπεται η συνέχιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα υπό άλλη νομική βάση. Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης, υπό την έννοια ότι ουδεμία άλλη νομική βάση τυγχάνει εφαρμογής, η μη χορήγηση ή η ανάκληση της ισοδυναμεί με απόλυτη απαγόρευση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Η συγκατάθεση των υποκειμένων των δεδομένων στο πλαίσιο των εργασιακών σχέσεων δεν μπορεί να θεωρηθεί ως ελεύθερη λόγω της εγγενούς ανισότητας των μερών.

Στην προκειμένη περίπτωση, η επιλογή της νομικής βάσης της συγκατάθεσης υπήρξε εσφαλμένη καθώς η επεξεργασία των δεδομένων προσωπικού χαρακτήρα αποσκοπούσε στην διενέργεια πράξεων που συνδέονταν άμεσα με την εκτέλεση της σύμβασης εργασίας, την συμμόρφωση σε προβλεπόμενες εκ του νόμου υποχρεώσεις και στην εύρυθμη και αποτελεσματική λειτουργία της επιχείρησης.

Επιπλέον δε, η εταιρία δημιούργησε την εσφαλμένη εντύπωση στους εργαζόμενους ότι επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης ενώ στην πραγματικότητα τα επεξεργαζόταν με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, κατά παράβαση της αρχής της διαφάνειας και συνακόλουθα κατά παραβίαση της υποχρέωσης ενημέρωσης κατ’ άρθρο 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ.

Σε περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας έχει αμφιβολίες για την νομιμότητά της επεξεργασίας οφείλει να άρει αυτές προ της επεξεργασίας ή να απέχει από την επεξεργασία μέχρι την άρση των αμφιβολιών.

Τέλος, η Αρχή διαπίστωσε στην προκειμένη περίπτωση την από μέρους του υπευθύνου επεξεργασίας παραβίαση της αρχής της λογοδοσίας κατ’ αρ. 5 παρ. 2 ΓΚΠΔ καθώς, αφενός η εταιρία δεν ανταποκρίθηκε στην συναφή υποχρέωση της και ιδίως στο αίτημα της Αρχής να προσκομίσει εσωτερική τεκμηρίωση της επιλογής της νομικής βάσης που εφάρμοσε. Αφετέρου, η εταιρία μετέφερε τις υποχρεώσεις συμμόρφωσης της στους εργαζόμενους ζητώντας τους να υπογράψουν δήλωση σύμφωνα με την οποία αποδέχονται ότι τα δεδομένα προσωπικού χαρακτήρα που τηρεί και επεξεργάζεται συνδέονται άμεσα με τις ανάγκες της σχέσης απασχόλησης και οργάνωσης της εργασίας καθώς και ότι αποδέχονται επίσης ότι είναι συναφή και πρόσφορα στο πλαίσιο της σχέσης απασχόλησης και της οργάνωσης της εργασίας.

Εν όψει των ανωτέρω, η Αρχή κατέληξε στο ότι η εταιρία PWC BS ως υπεύθυνος επεξεργασίας:

1. υπέβαλε σε μη σύννομη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς εφάρμοσε ακατάλληλη νομική βάση.
2. υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πραγματικότητα τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.
3. ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ καθώς και ότι παραβίασε την προβλεπόμενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχή της λογοδοσίας μεταφέροντας το βάρος της απόδειξης της συμμόρφωσης στα υποκείμενα των δεδομένων.

Κατόπιν τούτων, η Αρχή έκρινε ότι παρέλκει η εξέταση των υπολοίπων αρχών του άρθρου 5 παρ. 1 εδ. α’ ΓΚΠΔ καθώς και ο έλεγχος οποιασδήποτε άλλης πράξης επεξεργασίας μεταγενέστερης της παράνομης συλλογής των δεδομένων προσωπικού χαρακτήρα.

Μετά την διαπίστωση των παραβιάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ αρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών στην συγκεκριμένη περίπτωση με την επιβολή διορθωτικών μέτρων και αποφάσισε να δώσει εντολή στην εταιρία ως υπεύθυνο επεξεργασίας εντός τριών (3) μηνών:

• να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, όπως περιγράφονται στο υποβληθέν από την ίδια Παράρτημα Ι, σύμφωνες με τις διατάξεις του ΓΚΠΔ,
• να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασης,
• να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας.

Επιπλέον δε, επειδή το ανωτέρω διορθωτικό μέτρο δεν επαρκεί από μόνο του για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή έκρινε ότι στην συγκεκριμένη περίπτωση με βάση τις περιστάσεις που διαπιστώθηκαν θα πρέπει κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ να επιβληθεί επιπλέον και αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ αρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ, λαμβάνοντας υπόψη και τις δημοσιευμένες χρηματοοικονομικές καταστάσεις της εταιρίας για τη χρήση από την 01-7-2017 έως τις 20-6-2018 σύμφωνα με τις οποίες ο καθαρός κύκλος εργασιών της ανήλθε στο ποσό των 41.936.426,00 ευρώ.