La DPA hellénique a infligé une amende de 75 000 euros au ministère grec du Tourisme. Une violation de données s'était produite au sein de l'autorité. Selon la DPA, une tentative par un citoyen de saisir ses informations d'identification sur la plate-forme en ligne de l'autorité a entraîné l'affichage des informations d'identification de quelqu'un d'autre, y compris le nom complet, le numéro fiscal, le numéro de sécurité sociale, l'adresse postale, le numéro de téléphone, l'adresse e-mail, et les champs indiquant un handicap. La DPA a constaté que le ministère n'avait pas mis en œuvre les mesures techniques et organisationnelles adéquates pour sécuriser les données personnelles. Le ministère n'a pas signalé l'incident à la DPA. La DPA a considéré qu'il s'agissait d'une violation de l'article 33 du RGPD. L'enquête de la DPA a également révélé que le ministère du Tourisme n'avait pas nommé de délégué à la protection des données, même si une adresse e-mail du délégué à la protection des données de l'autorité était fournie sur la plateforme susmentionnée pour la communication avec les utilisateurs de la plateforme. Il s'est avéré que cette adresse e-mail n'était pas active.