Την πρώτη της απόφαση για την επιβολή προστίμου με βάση τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) επέβαλε η ελληνική Αρχή για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα.Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελίες σχετικά με λήψη τηλεφωνικών κλήσεων (τον Ιούλιο και τον Σεπτέμβριο του 2018) με σκοπό προώθηση προϊόντων ή υπηρεσιών ιατρικής εταιρείας.
Όπως επισημαίνει στην απόφασή της η ΑΠΔΠΧ, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του (πρβλ. άρθρο 4 παρ. 1 Κανονισμού (ΕΕ) 2016/679 εφεξής ΓΚΠΔ), επιτρέποντας την επικοινωνία με αυτόν. Παράλληλα, η Αρχή επικαλείται και τις διατάξεις του GDPR για την αρχή της λογοδοσίας (άρθρο 5 παρ. 2), τα τεχνικά και οργανωτικά μέτρα (άρθρο 24 παρ. 1 και 2), καθώς και την ενημέρωση του υποκειμένου (άρθρο 14 ΓΚΠΔ).
Στην συγκεκριμένη υπόθεση, η Αρχή διαπίστωσε ότι η εν λόγω εταιρεία αποδέχεται τη διενέργεια των κλήσεων, ενώ το βασικό της επιχείρημα είναι ότι η ενέργεια της δεν ήταν διαφημιστική, αλλά ενημερωτική, στο πλαίσιο δράσης «Εταιρικής – Κοινωνικής Ευθύνης».
Λαμβάνοντας υπόψη τις δύο παραβάσεις που διαπιστώθηκαν, δηλαδή τις κλήσεις προς αριθμούς συνδρομητών που είχαν εγγραφεί στο μητρώο του άρθρου 11 του ν. 3471/2006, το γεγονός ότι o υπεύθυνος επεξεργασίας δεν ενημέρωνε ορθά για τα στοιχεία του, δυσχεραίνοντας την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και το γεγονός ότι ο υπεύθυνος επεξεργασίας αποσκοπούσε με τις ανωτέρω ενέργειες να αποκομίσει κέρδος, η Αρχή έκρινε ότι πρέπει να επιβληθεί στον υπεύθυνο επεξεργασίας πρόστιμο 5.000 Ευρώ.