Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 463 000 euro mot Bank of Ireland för överträdelse av artiklarna 32, 33 och 34 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Bank of Ireland rapporterat 22 dataintrång till DPC enligt artikel 33 GDPR. Som en del av sin utredning fann DPC att Bank of Ireland lämnat felaktig information till Central Credit Register på grund av en förväxling av bankkundernas kontouppgifter. Felet kunde ha en negativ inverkan på de registrerades kreditvärdighet.
DPC konstaterade att personuppgiftsincidenterna inträffat på grund av otillräckliga tekniska och organisatoriska åtgärder från Bank of Irelands sida. DPC konstaterade också att Bank of Ireland inte omedelbart informerat de registrerade och DPC om dataintrången. Enligt DPC har Bank of Ireland agerat i strid med kraven i artiklarna 32, 33 och 34 GDPR, varför DPC ålades banken med 463 000 euro.