Η Αρχή πραγματοποίησε έκτακτο επιτόπιο έλεγχο στον ΟΑΣΑ και διαπίστωσε σωρεία παραβιάσεων ως προς την επεξεργασία προσωπικών δεδομένων και για το λόγο αυτό οδηγήθηκε στην επιβολή του προστίμου, αλλά και σε εντολή συμμόρφωσης του Οργανισμού αναφορικά με τον προσδιορισμό των χρόνων τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας, αλλά και για αναθεώρηση της εκτίμησης αντικτύπου ως προς τα προσωπικά δεδομένα.
Σημειώνεται ότι η Αρχή Προστασίας Προσωπικών Δεδομένων είχε κρίνει ήδη από το 2017 ότι η νέα μορφή επεξεργασίας όπως, όπως την περιέγραφε ο ΟΑΣΑ, έχει εναρμονιστεί σε ικανοποιητικό βαθμό με τις προϋποθέσεις που είχε θέσει με γνωμοδότησή της. Ωστόσο, με την ίδια γνωμοδότηση έκρινε ότι ο ΟΑΣΑ, ως υπεύθυνος επεξεργασίας, θα πρέπει να προβεί σε κάποιες επιπλέον τροποποιήσεις, η αποτελεσματικότητα των οποίων πρέπει να τεκμαίρεται από μελέτη εκτίμησης αντικτύπου στην προστασία προσωπικών δεδομένων την οποία ο υπεύθυνος επεξεργασίας οφείλει να εκπονήσει και η οποία θα πρέπει να αποτυπώνεται σε εγκεκριμένο, από τη διοίκηση του ΟΑΣΑ, έγγραφο.
Με την τωρινή απόφαση η Αρχή «δίνει εντολή συμμόρφωσης στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.», προκειμένου να προσδιορίσει και να τεκμηριώσει, εντός ενός μηνός, όλους τους χρόνους τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας του ΑΣΣΚ.
«Σε περίπτωση κατά την οποία, μετά τον εν λόγω προσδιορισμό του χρόνου τήρησης, προκύψει ότι τηρούνται ήδη δεδομένα προσωπικού χαρακτήρα καθ’ υπέρβαση του χρόνου αυτού, τότε θα πρέπει αμελλητί είτε να διαγράψει είτε να καταστήσει ανώνυμα τα δεδομένα αυτά, τεκμηριώνοντας σχετικά και ενημερώνοντας και την Αρχή» υπογραμμίζεται στην απόφαση.