Η κρινόμενη καταγγελία της Α ενώπιον της Αρχής σχετίζεται με παράνομη κοινοποίηση δεδομένων υγείας της προς τρίτους εκ μέρους της καταγγελλόμενης  Διαδημοτικής Επιχείρησης Ύδρευσης – Αποχέτευσης Χ (ΔΕΥΑ Χ). Συγκεκριμένα, η καταγγέλλουσα αναφέρει ότι η Γενική Διευθύντρια της ΔΕΥΑ Χ απέστειλε ηλεκτρονικό μήνυμα στο Τμήμα Προσωπικού της ΔΕΥΑ Χ, στον Πρόεδρο και τη Γραμματεία του ΔΣ της ΔΕΥΑ Χ, στον Διευθυντή Διοικητικού – Οικονομικού καθώς και στην Προϊσταμένη του Διοικητικού Τμήματος το οποίο περιείχε αναλυτική αναφορά στην παράσταση της καταγγέλλουσας ενώπιον του αρμοδίου ΔΣ, απευθύνοντας το ερώτημα στην Προϊσταμένη του Διοικητικού Τμήματος περί του εάν είχε αναρτηθεί από την καταγγέλλουσα κατά την ημέρα παράστασής της ενώπιον του ΔΣ Βεβαίωση Αρνητικού Διαγνωστικού Ελέγχου Κορωνοϊού COVID-19, στο πλαίσιο «άτυπου» σχετικού κανόνα. Περαιτέρω, κατά την καταγγέλλουσα, το επίμαχο ηλεκτρονικό μήνυμα ουδόλως εξυπηρετούσε τον σκοπό της ενημέρωσης των μελών του ΔΣ της ΔΕΥΑ Χ, καθώς η διά ζώσης συνεδρίαση με την παρουσία της είχε ήδη λάβει χώρα, ενώ η Γενική Διευθύντρια ουδέποτε ενημέρωσε εγγράφως τους εργαζόμενους της ΔΕΥΑ Χ, γνωστοποιώντας τους τυχόν «άτυπους κανόνες» σχετικά με τη διαδικασία επιστροφής νοσησάντων υπαλλήλων στις εγκαταστάσεις της καταγγελλομένης. Σημειώνεται ότι στο έγγραφο προς τη Διεύθυνση της σχετικής Περιφέρειας συμπεριλαμβάνονταν στοιχεία, όπως το ιστορικό νόσησης της καταγγέλλουσας, με επισυναπτόμενα τα αποτελέσματα των παλαιότερων διαγνωστικών ελέγχων στους οποίους η ίδια είχε υποβληθεί, οι ιατρικές γνωματεύσεις που είχε προσκομίσει η τελευταία στην Υπηρεσία της, ο Αριθμός Μητρώου Κοινωνικής της Ασφάλισης, ο Αριθμός Φορολογικού της Μητρώου και το τηλέφωνο επικοινωνίας της. Σύμφωνα με το σκεπτικό της Αρχής, η αποστολή του συγκεκριμένου μηνύματος ηλεκτρονικού ταχυδρομείου δεδομένων υγείας της καταγγέλλουσας από τη Γενική Διευθύντρια της καταγγελλομένης προς τα διοικητικά μέλη της ΔΕΥΑ Χ συνιστά αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Σημειώνεται ότι με τον ΓΚΠ∆ υιοθετήθηκε ένα νέο µοντέλο συµµόρφωσης, κεντρικό µέγεθος του οποίου συνιστά η αρχή της λογοδοσίας, στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρµόζει και εν γένει λαµβάνει τα αναγκαία µέτρα και πολιτικές, προκειµένου η επεξεργασία των δεδοµένων να είναι σύµφωνη µε τις σχετικές νοµοθετικές προβλέψεις. Ειδικότερα, κατά τις αποφάσεις του ΔΕΕ και του ΣτΕ, προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνα προς τις απαιτήσεις του ΓΚΠΔ, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 § 1 ΓΚΠΔ. Η ύπαρξη ενός νόμιμου θεμελίου δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από την υποχρέωση τήρησης των αρχών αναφορικά με τον θεμιτό χαρακτήρα, την αναγκαιότητα και την αναλογικότητα και την αρχή της ελαχιστοποίησης. Συνεπώς, εν περιπτώσει παραβίασης των προαναφερομένων, η διενεργηθείσα επεξεργασία κρίνεται μη νόμιμη και παρέλκει η εξέταση των προϋποθέσεων εφαρμογής των νομικών βάσεων του άρθρων 6 και 9 ΓΚΠΔ για την επεξεργασία, αντιστοίχως, απλών και ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα. Η μη νόμιμη συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν θεραπεύεται από την ύπαρξη νόμιμου σκοπού και νομικής βάσης. Εν προκειμένω, κρίθηκε ότι δεν ήταν απαραίτητη η κοινοποίηση όλων ανεξαιρέτως των δεδομένων στο σύνολο των αποδεκτών ακόμη και εντός της σφαίρας του αυτού Υπευθύνου Επεξεργασίας, ήτοι της ΔΕΥΑ Χ, η οποία -κατά παράβαση της αρχής της ελαχιστοποίησης- κοινοποίησε δεδομένα της καταγγέλλουσας σε περισσοτέρους αποδέκτες, έστω και εντός της σφαίρας του αυτού υπευθύνου επεξεργασίας, χωρίς η εν λόγω επεξεργασία να παρίσταται αναγκαία. Η Αρχή διαπίστωσε παραβίαση της αρχής της ελαχιστοποίησης και μάλιστα σε τρεις επιμέρους πράξεις επεξεργασίας και ως εκ τούτου επέβαλε στην καταγγελλόμενη υπεύθυνη επεξεργασίας Διαδημοτική Επιχείρηση Ύδρευσης – Αποχέτευσης Χ, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση, ύψους χιλίων (1.000) ευρώ για την παραβίαση του άρθρου 5 § 1 στοιχ. γ’ του ΓΚΠΔ και διέταξε στην υπεύθυνη επεξεργασίας (ΔΕΥΑ Χ) να καταστήσει τις πράξεις επεξεργασίας των προσωπικών δεδομένων στις οποίες προβαίνει σύμφωνες με τις διατάξεις του ΓΚΠΔ, διαμορφώνοντας εντός τρίμηνης προθεσμίας σχετικές εσωτερικές πολιτικές για τους αποδέκτες προσωπικών δεδομένων καθώς και για τη διαβαθμισμένη πρόσβαση εντός της ΔΕΥΑ Χ στα εσωτερικά της έγγραφα, ιδίως όταν περιλαμβάνονται σε αυτά δεδομένα υγείας.