Άρθρο 24 : Ευθύνη του υπευθύνου επεξεργασίας

Η ελεγχόμενη εταιρία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα σε υπολογιστική υποδομή (υλικού και λογισμικού-διακομιστή) χωρίς να τηρήσει το σύνολο των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ και 6 παρ. 1 ΓΚΠΔ που λάμβανε χώρα, αλλά και στο πλαίσιο κάθε μεταγενέστερης ή περαιτέρω επεξεργασίας των ίδιων δεδομένων προσωπικού χαρακτήρα, ούτε απέδειξε κατ’ άρθρο. 5 παρ. 2 ΓΚΠΔ την τήρηση αυτών. Επιπλέον, παραβίασε τις διατάξεις των άρθρων 5 παρ. 1 εδ. α’ και στ’ και παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 2 και 32 παρ. 1 και 2 ΓΚΠΔ σχετικά με την αρχή της ασφαλούς επεξεργασίας (ιδίως της «εμπιστευτικότητας») από τη μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων ώστε η εταιρία να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.

Λόγω του ότι πολλοί οργανισμοί και επιχειρήσεις προτρέπουν ή/και υποχρεώνουν το προσωπικό τους σε τηλεργασία λόγω των μέτρων περιορισμού που έχουν επιβληθεί για την αποτροπή εξάπλωσης του COVID-19, η Αρχή, με στόχο την ευαισθητοποίηση των υπευθύνων επεξεργασίας, των εκτελούντων επεξεργασία, των εργαζομένων και γενικότερα του κοινού αναφορικά με τους κινδύνους που αφορούν την προστασία των προσωπικών δεδομένων αλλά, ταυτόχρονα, και τις σχετικές υποχρεώσεις που απορρέουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 και τον νόμο 4624/2019, εξέδωσε Κατευθυντήριες γραμμές για τη λήψη μέτρων ασφαλείας στο πλαίσιο τηλεργασίας. Τα μέτρα αυτά αφορούν κυρίως την πρόσβαση στο δίκτυο, τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων, τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων και τον τρόπο πραγματοποίησης τηλεδιασκέψεων.