Η Αρχή εξέτασε καταγγελία σύμφωνα με την οποία πρώην υπάλληλος (μεταφορέας) της καταγγελλόμενης εταιρείας απέστειλε μήνυμα sms στο προσωπικό κινητό τηλέφωνο της καταγγέλλουσας, η οποία διατηρούσε λογαριασμό χρήστη στο ηλεκτρονικό κατάστημα της εταιρείας και είχε πραγματοποιήσει δύο παραγγελίες που της είχαν παραδοθεί από τον εν λόγω υπάλληλο λίγες ημέρες νωρίτερα.
Η καταγγέλλουσα ανέφερε το περιστατικό στην εταιρεία, ασκώντας παράλληλα τα δικαιώματα πρόσβασης στα προσωπικά της δεδομένα και διαγραφής των δεδομένων αυτών. Ωστόσο, η εταιρεία δεν προχώρησε σε διερεύνηση του περιστατικού σύμφωνα με τη σχετική Πολιτική της και σε γνωστοποίησή του στην Αρχή, ούτε σε επανεξέταση και επικαιροποίηση των τεχνικών και οργανωτικών μέτρων που εφαρμόζει προκειμένου να αποφευχθεί παρόμοιο περιστατικό στο μέλλον.
Επιπλέον, η εταιρεία δεν ανταποκρίθηκε στο αίτημα πρόσβασης της καταγγέλλουσας, θεωρώντας ότι δεν ήταν η ίδια το υποκείμενο των δεδομένων, αλλά ο σύζυγός της, τα στοιχεία του οποίου αναφέρονταν στην παραγγελία, ούτε όμως στο αίτημα διαγραφής των δεδομένων της καταγγέλλουσας, με αποτέλεσμα η τελευταία να συνεχίσει να λαμβάνει το ενημερωτικό δελτίο (newsletter) της εταιρείας.
Για τις διαπιστωθείσες παραβάσεις των σχετικών διατάξεων του ΓΚΠΔ, η Αρχή επέβαλε πρόστιμο ανάλογο με τη βαρύτητα καθεμίας.
