Ο καταγγέλλων απευθύνθηκε στην Αρχή για περιστατικό παραβίασης δεδομένων και συγκεκριμένα για μη εξουσιοδοτημένη πρόσβαση από χρήστες του διαδικτύου σε ευχερώς προσπελάσιμα αρχεία που περιείχαν προσωπικά δεδομένα πολιτών του Δήμου Αλίμου, με αλλαγή του τελευταίου πενταψήφιου αριθμού που εμφανίζεται στη σχετική ηλεκτρονική (URL) διεύθυνση. Στο πλαίσιο της διερεύνησης της καταγγελίας, οι ελεγκτές της Αρχής «κατέβασαν» ένα μεγάλο αριθμό αρχείων με προσωπικά δεδομένα πολιτών του Δήμου Αλίμου από τον επίμαχο σύνδεσμο, ενώ η ίδια, κατά την εξέταση της υπόθεσης απέστειλε -μεταξύ άλλων- έγγραφο με επιπρόσθετες διευκρινίσεις και αναλυτική περιγραφή σχετικά με το κενό ασφαλείας που δημιουργήθηκε, τον τρόπο με τον οποίο προέκυψε το επίμαχο περιστατικό ασφαλείας, τον τρόπο παρακολούθησης της νεότερης έκδοσης της εφαρμογής κατά την επίμαχη δοκιμαστική περίοδο, την πολιτική, η οποία ακολουθείται εν γένει για την διασφάλιση των αλλαγών που συμβαίνουν στα πληροφοριακά συστήματα, τον λόγο επαναλειτουργίας της εφαρμογής (την οποία υπέδειξε με το δεύτερο έγγραφό του ο καταγγέλλων) χωρίς να έχουν ληφθεί τα αναγκαία μέτρα για την προστασία των προσωπικών δεδομένων, καθώς και περιγραφή του τρόπου διερεύνησης του εν λόγω περιστατικού παραβίασης. Περαιτέρω, στην υπό κρίση περίπτωση δεν ελήφθησαν από τον σχεδιασμό επαρκή, κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας για την εν λόγω επεξεργασία, σε σχέση με τους αντίστοιχους κινδύνους για τα δικαιώματα και ελευθερίες των φυσικών προσώπων, ήδη από το πρώτο στάδιο, αλλά ούτε και ήταν σε εφαρμογή διαδικασίες ελέγχου της αποτελεσματικότητας των υφιστάμενων μέτρων ασφάλειας. Διαπιστώνοντας την ύπαρξη του ίδιου περιστατικού παραβίασης τρεις (3) φορές, σε κάθε ενεργοποίηση νέας έκδοσης της εφαρμογής, η Αρχή καταλήγει στο ότι η αντιμετώπισή του ήταν προσωρινή, αφού συνίστατο στην πλήρη απενεργοποίηση της σχετικής ιστοσελίδας, γεγονός που δεν επέτρεπε στους δημότες του υπεύθυνου επεξεργασίας να αξιοποιούν την εν λόγω διαδικτυακή υπηρεσία: κάθε νέα ενεργοποίηση όμως της ιστοσελίδας εξακολουθούσε να φέρει την ίδια ευπάθεια. Η Αρχή διαπίστωσε για τον υπεύθυνο επεξεργασίας τις εξής παραβάσεις: α) του άρθρου 5 § 1 στοιχ. στ’ (σε συνδυασμό με το άρθρο 32 §1) του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας, β) του άρθρου 25 § 1 του ΓΚΠΔ αναφορικά με την προστασία των δεδομένων ήδη από το σχεδιασμό, αφού δεν είχαν ληφθεί εκ σχεδιασμού μέτρα αντιμετώπισης διαφόρων κινδύνων ως προς τα προσωπικά δεδομένων, γ) του άρθρου 28 § 3 του ΓΚΠΔ αναφορικά με τα στοιχεία που πρέπει να εμπεριέχονται στη σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, δ) του άρθρου 33 §4 του ΓΚΠΔ δεδομένου ότι δεν παρασχέθηκαν στην Αρχή, χωρίς καθυστέρηση, νεότερες πληροφορίες σχετικά με το περιστατικό, ε) του άρθρου 34 §§ 1-2 του ΓΚΠΔ, αφού δεν έγινε με τον δέοντα τρόπο η αξιολόγηση της σοβαρότητας του περιστατικού προκειμένου να ενημερωθούν αμελλητί τα θιγόμενα πρόσωπα, ενώ η ενημέρωση που τελικά παρείχε δεν ήταν απολύτως ορθή. Τέλος, η Αρχή διαπίστωσε παραβάσεις και για τον εκτελούντα την επεξεργασία και συγκεκριμένα: α) παράβαση του άρθρου 32 §1 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας και β) παράβαση του άρθρου 28 § 3 του ΓΚΠΔ αναφορικά με τα στοιχεία που πρέπει να εμπεριέχονται στη σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία. Ακολούθως, η Αρχή επέβαλε διοικητικό πρόστιμο στον Δήμο Αλίμου: α) συνολικού ύψους 10.000 ευρώ, για την παραβίαση του άρθρου 5 § 1 στοιχ. στ’, σε συνδυασμό με το άρθρο 32 § 1 του Κανονισμού (ΕΕ) 2016/679 και β) συνολικού ύψους 5.000 ευρώ, για την παραβίαση των άρθρων 28 § 3, 33 § 4 και 34 § 1 και § 2 του ΓΚΠΔ, και συνάμα απηύθυνε επίπληξη στον Δήμο Αλίμου για την παραβίαση του άρθρου 25 § 1 του ΓΚΠΔ και επέβαλλε διοικητικό πρόστιμο στην εταιρεία με την επωνυμία «... ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ Ο.Ε.» συνολικού ύψους 5.000 ευρώ, για την παραβίαση των άρθρων 32 § 1 και 28 § 3 του ΓΚΠΔ.