Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 125 000 euro mot City of Dublin Education and Training Board för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den statliga leverantören av utbildningstjänster för Dublins befolkning, City of Dublin Education and Training Board (CDETB), underrättat DPC om att skadlig kod upptäckts på leverantörens webbserver. Webbservrarna innehöll personuppgifter om sökande av studiebidrag som laddat upp information om sina bidragsansökningar via CDETB:s webbplats. CDETB behandlade personuppgifter om cirka 13 000 registrerade, identifierbara genom e-postadress, inklusive särskilda kategorier av personuppgifter såsom uppgifter som avslöjar ras eller etniskt ursprung och hälsouppgifter.
DPC bedömde CDETB:s tekniska och organisatoriska åtgärder för att säkerställa säkerheten för de personuppgifter som CDETB behandlade på sin webbplats mot bakgrund av risken för obehörig åtkomst eller utlämnande av personuppgifter till tredje part. Man granskade också CDETB:s efterlevnad av skyldigheten att anmäla personuppgiftsincidenter till DPC, samt CDETB:s skyldighet att underrätta registrerade om incidenten.
DPC konstaterade att CDETB brutit mot artiklarna 5.1 (f), 32.1 och 32.2 GDPR genom att inte vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till den risk som dess behandling av personuppgifter på webbplatsen utgör, och genom att inte bedöma den lämpliga säkerhetsnivån.
DPC konstaterade också att CDETB brutit mot artikel 33.1 GDPR genom att inte utan onödigt dröjsmål anmäla incidenten till DPC, artikel 34.1 GDPR genom att inte utan onödigt dröjsmål anmäla incidenten till de berörda registrerade och artikel 34.4 GDPR genom att inte underrätta de registrerade om incidenten när DPC begärde det.