Στην κρινόμενη υπόθεση, η Αρχή έλαβε υπόψη και εξέτασε την καταγγελία του Α (καταγγέλοντος), κατά την οποία η καταγγελλόμενη Τράπεζα ... Α.Ε., με επιστολή της στον ίδιο (κοινή επιστολή της Τράπεζας και της Εταιρείας Διαχείρισης Απαιτήσεων από Δάνεια και Πιστώσεις ... Μ.Α.Ε.Δ.Α.Δ.Π), διαβίβασε μη νόμιμα τα προσωπικά του δεδομένα στη διαχειρίστρια της απαίτησης εταιρεία, καθότι δεν υπήρχε ενεργή απαίτηση εις βάρος του. Σημειώνεται ότι ο καταγγέλων άσκησε το δικαίωμα πρόσβασης και ενημέρωσης σε σχέση με τη διαβίβαση των προσωπικών του δεδομένων, με σχετική αίτησή του, πλην όμως η καταγγελλόμενη Τράπεζα δεν απάντησε ικανοποιητικά και αναλυτικά. Με δεύτερη επιστολή, η Τράπεζα ανέφερε ότι εκ παραδρομής εστάλη σε αυτόν η επιστολή, οφείλεται δε αποκλειστικά και μόνο σε συστημικούς, τεχνικούς λόγους. Η Αρχή απέστειλε έγγραφο τόσο στην Τράπεζα, όσο και στην διαχειρίστρια της απαίτησης εταιρεία, δυνάμει του οποίου καλούσε τις προαναφερθείσες να τοποθετηθούν εγγράφως επί των καταγγελλομένων, θέτοντας επιπλέον ερωτήματα. Κατά την πάγια κρίση της Αρχής, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης με πυρήνα την αρχή της λογοδοσίας, στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Η συγκεκριμένη αρχή, μάλιστα, συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει τη συμμόρφωση, συμπεριλαμβανομένης της νομικής τεκμηρίωσης κάθε πράξης επεξεργασίας που διενεργεί σύμφωνα με τις νομικές βάσεις που παρέχει ο ΓΚΠΔ και το εθνικό δίκαιο προστασίας δεδομένων. Στην υπό εξέταση καταγγελία, η Τράπεζα, ως υπεύθυνη επεξεργασίας, προέβη σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα μεγάλου αριθμού (23.259) φυσικών προσώπων χωρίς νόμιμη αιτία, παραβιάζοντας την αρχή της νομιμότητας. Επιπρόσθετα, η Τράπεζα, ως υπεύθυνη επεξεργασίας που έχει την υποχρέωση να ικανοποιεί το δικαίωμα πρόσβασης των υποκειμένων, όφειλε να απαντήσει στον αιτούντα/καταγγέλλοντα σαφώς, πλήρως και συγκεκριμένα ότι τα δεδομένα του δεν έτυχαν επεξεργασίας για τον σκοπό που αναφέρθηκε στην πρώτη εκ παραδρομής αποσταλείσα επιστολή και δεν διαβιβάστηκαν στον Διαχειριστή. Μολονότι μέχρι σήμερα δεν έχει προκύψει διαβίβαση των δεδομένων των παραπάνω φυσικών προσώπων στην Εταιρεία Διαχείρισης Απαιτήσεων από Δάνεια και Πιστώσεις, η Αρχή επιφυλάσσεται ρητά να ασκήσει τις αρμοδιότητες της ως προς το συγκεκριμένο ζήτημα στο μέλλον, δοθέντος ότι ο γενικότερος έλεγχος συνεχίζεται και δεν έχει ακόμη ολοκληρωθεί. Η Αρχή διαπίστωσε παραβίαση των άρθρων 5 §1(α), 6, 15 §1 και 25 §1 ΓΚΠΔ από την καταγγελλόμενη Τράπεζα, επιβάλλοντας σε αυτήν, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ ΓΚΠΔ, τα ανάλογα διοικητικά χρηματικά πρόστιμα.