Πρόστιμα συνολικού ύψους 10.000 ευρώ επέβαλε η Ολομέλεια της Αρχής Προστασίας Προσωπικών Δεδομένων στην Εθνική Υπηρεσία Πληροφοριών για παραβίαση του Γενικού Προστασίας Δεδομένων (GDPR), σε δύο υποθέσεις διαρροής προσωπικών δεδομένων, όπου θιγόμενοι ήταν υπάλληλοι της Υπηρεσίας.
Οι καταγγελίες αφορούσαν την πρόωρη διαβίβαση προσωπικών δεδομένων δύο υπαλλήλων της ΕΥΠ προς την Ελληνική Αστυνομία και το Υπουργείο Προστασίας του Πολίτη, σχετικά με την επικείμενη μετάταξή τους. Ειδικότερα, στις 15 Δεκεμβρίου 2021, η ΕΥΠ απέστειλε έγγραφα που περιλάμβαναν τα ονοματεπώνυμα των καταγγελλόντων, τον κλάδο, την κατηγορία και τους τίτλους σπουδών τους, μία ημέρα πριν τη δημοσίευση του Ν 4873/2021 στην Εφημερίδα της Κυβερνήσεως, οπότε και η σχετική νομοθεσία απέκτησε τυπική ισχύ. Ως αποτέλεσμα, η Αρχή διαπίστωσε ότι η διαβίβαση αυτή ήταν παράνομη, καθώς δεν υπήρχε νομικό έρεισμα για την κοινοποίηση προσωπικών στοιχείων πριν την επίσημη έναρξη ισχύος του νόμου.
Σύμφωνα με τους θιγόμενους υπαλλήλους, δεν είχε υπάρξει ενημέρωση για την εν λόγω διαβίβαση, όπως απαιτεί το άρθρο 13 του ΓΚΠΔ. Η ΕΥΠ αντέτεινε ότι η διαβίβαση των δεδομένων έγινε νόμιμα για την προετοιμασία της μετάταξης και μία ημέρα πριν την επίσημη δημοσίευση του Ν 4873/2021, βασισμένη στη διαβεβαίωση του Εθνικού Τυπογραφείου για άμεση δημοσίευση. Επίσης, ισχυρίστηκε ότι η επικείμενη μετάταξη ήταν ήδη γνωστή στο κοινό λόγω της δημοσιότητας, υπονοώντας ότι οι υπάλληλοι θεωρείτο ότι είχαν ενημερωθεί.
Τελικώς, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έκρινε ότι η ΕΥΠ παραβίασε τις αρχές της νομιμότητας, της διαφάνειας και της αντικειμενικότητας, διότι στηρίχθηκε σε διάταξη νόμου που δεν είχε ακόμη αποκτήσει ισχύ. Επιπλέον, έκρινε πως η Υπηρεσία παρέλειψε να παράσχει στους καταγγέλλοντες σαφή και άμεση ενημέρωση για τη διαβίβαση των δεδομένων τους, όπως απαιτείται, καθιστώντας έτσι τη διαβίβαση μη σύννομη. Για τις εν λόγω παραβιάσεις επιβλήθηκε συνολικό πρόστιμο 10.000 ευρώ στην ΕΥΠ.