Η Αρχή διαπίστωσε ότι Όμιλος, ως υπεύθυνος επεξεργασίας, προέβη σε επεξεργασία βιομετρικών δεδομένων προσωπικού χαρακτήρα σε σύστημα ελεγχόμενης εισόδου στις εγκαταστάσεις του παραβιάζοντας την αρχή της νομιμότητας (άρ. 5 παρ.1 στοιχ. α’ ΓΚΠΔ) και την υποχρέωση διενέργειας εκτίμησης αντικτύπου των πράξεων επεξεργασίας που αφορούν το εν λόγω σύστημα (άρ. 35 ΓΚΠΔ) και επέβαλε πρόστιμο σε αυτόν ύψους 28.000 ευρώ και 14.000 ευρώ αντίστοιχα, καθώς και την υποχρέωση να σταματήσει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μέσω του συστήματος, μέχρις ότου εκπονήσει εκτίμηση αντικτύπου και τεθεί σε γνώση της Αρχής.
Η Αρχή, επίσης, διαπίστωσε την παραβίαση από τον Όμιλο του άρθρου 38 παρ. 3 του ΓΚΠΔ και επέβαλε πρόστιμο ύψους 14.000 ευρώ.