Ο καταγγέλλων απευθύνθηκε στην Αρχή, αναφέροντας ότι υπέβαλε στο Υπουργείο Προστασίας του Πολίτη αίτημα προς ενημέρωσή του για το καθεστώς έκδοσης νέου τύπου ταυτότητας και ειδικότερα για τη νομιμότητα της επεξεργασίας έκδοσης, στο πλαίσιο αντικατάστασης του παλαιού τύπου ταυτότητας με νέο τύπο δελτίων, χωρίς εντούτοις να λάβει σχετική απάντηση. Συνεπώς, η Αρχή προέβη σε αυτεπάγγελτη εξέταση της υπόθεσης, αποστέλλοντας ειδικό έγγραφο-αίτημα ενημέρωσης για τη γνώμη του Υπουργείου Προστασίας του Πολίτη, αναφορικά με -και με αφορμή- τα ζητήματα που τίθενται με την υπό εξέταση καταγγελία, και συγκεκριμένα ως προς τη λήψη του αιτήματος του καταγγέλλοντος και την ύπαρξη σχετικής ανταπόκρισης, δεδομένου, μάλιστα, του έντονου προβληματισμού που έχει δημιουργήσει η προαναφερθείσα νέα συνθήκη στην κοινή γνώμη. Κατόπιν μελέτης του σχετικού φακέλου και εξέτασης των ζητημάτων που προκύπτουν από τη θέσπιση του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών, η Αρχή διαπίστωσε τόσο πλημμέλειες ως προς την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων, όσο και καθυστέρηση στην προβλεπόμενη εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων, η οποία συνάμα παρουσίαζε ελλείψεις. Από τον συνδυασμό του Κανονισμού (ΕΕ) 2019/1157, του άρθρου 4 § 7 του Κανονισμού (ΕΕ) 2016/679  και του άρθρου 1 της Κ.Υ.Α. 8200/0-297647/2018, προκύπτει ότι το Υπουργείο Προστασίας του Πολίτη, στο οποίο υπάγεται η ΕΛ.ΑΣ., αποτελεί τον υπεύθυνο επεξεργασίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που λαμβάνει χώρα κατά την έκδοση δελτίων ταυτότητας των Ελλήνων πολιτών. Στην υπό εξέταση καταγγελία, ο υπεύθυνος επεξεργασίας παραβίασε τα άρθρα 13 και 14 του ΓΚΠΔ, λόγω της απουσίας ενημέρωσης για μεγάλο χρονικό διάστημα, αλλά και λόγω μη ορθών πληροφοριών στο κείμενο ενημέρωσης των πολιτών, το οποίο αναρτήθηκε με καθυστέρηση στην ιστοσελίδα του υπευθύνου επεξεργασίας. Επιπρόσθετα, ο υπεύθυνος επεξεργασίας παραβίασε το άρθρο 35 § 1 ΓΚΠΔ, αφού δεν διενήργησε την εκ του νόμου προβλεπόμενη εκτίμηση αντικτύπου, παρά μόνο μετά την έναρξη της επεξεργασίας και μόνο κατόπιν της σχετικής επικοινωνίας της Αρχής, ενώ η εκτίμηση αντικτύπου στερείται στην ανίχνευση και μελέτη όλων των κινδύνων. Περαιτέρω, η Αρχή αξιολόγησε ότι η φύση των παραβάσεων αφορά τις υποχρεώσεις λογοδοσίας του υπευθύνου επεξεργασίας αλλά και δικαιώματα των υποκειμένων του ΓΚΠΔ, ότι η επεξεργασία αφορά βασική δραστηριότητα του υπεύθυνου επεξεργασίας (έκδοση δελτίων ταυτοτήτων), ότι ο αριθμός των επηρεαζόμενων υποκειμένων, οι οποίοι μάλιστα είναι το σύνολο των Ελλήνων πολιτών που υποχρεούνται να φέρουν δελτίο ταυτότητας, είναι αρκετά μεγάλος, ότι ο σκοπός της επεξεργασίας είναι θεμιτός και ότι από την επεξεργασία δεν φαίνεται να προκύπτουν άμεσα σοβαρές συνέπειες για τα υποκείμενα των δεδομένων. Ακολούθως, η ίδια επέβαλε στο Υπουργείο Προστασίας του Πολίτη, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους πενήντα χιλιάδων (50.000) για την παράβαση των άρθρων 13 και 14 του ΓΚΠΔ, χρηματικό πρόστιμο ύψους εκατό χιλιάδων (100.000) ευρώ, ενώ παράλληλα έδωσε εντολή στο Υπουργείο Προστασίας του Πολίτη να τεκμηριώσει, επικαιροποιώντας παράλληλα και την αντίστοιχη ΕΑΠΔ, την ανάγκη συμπερίληψης στο ηλεκτρονικό μέσο στοιχείων, εκτός των απαιτούμενων από την ευρωπαϊκή νομοθεσία, να προβεί στις δέουσες ενέργειες προσαρμογής της επεξεργασίας, που αφορά στην έκδοση των ταυτοτήτων, ενημερώνοντας σχετικά την Αρχή, ώστε εφεξής οι ταυτότητες που θα εκδοθούν να είναι σύμφωνες με τα διαλαμβανόμενα στην Απόφαση. Τέλος, η Αρχή επεσήμανε την υποχρέωση επικαιροποίησης και κωδικοποίησης του νομικού πλαισίου αναφορικά με τα στοιχεία του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών.