Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 22 500 euro mot Department of Health för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att DPC inlett en granskning efter offentliga anklagelser om att Department of Health olagligt behandlat personuppgifter från kärande och deras familjer i samband med tvister om särskilda utbildningsbehov.
DPC konstaterade att Department of Health inhämtat information från Health Service Executive om de tjänster som de klagande och deras familjer fått. De klagande och deras familjer hade också fått svara på frågor som lett till att känslig privat information avslöjats. Uppgifterna samlades in för att avgöra om det var möjligt att nå en förlikning med käranden.
Enligt DPC var att insamlingen av information om de sociala tjänster som tillhandahållits laglig. De frågor som lett till att den känsliga informationen lämnades ut var dock överdriven och inte nödvändig för tvistens syften. DPC konstaterade därför att det inte fanns någon rättslig grund för denna behandling i de granskade akterna och att DOH hade åsidosatt principen om uppgiftsminimering. Dessutom drog DPC slutsatsen att Department of Health brutit mot sina skyldigheter avseende öppenhet enligt GDPR.
Enligt DPC utgjorde det inträffade överträdelser av artiklarna 5.1 (a), 5.1 (c), 6.1 (e), 6.4, 9.1 och 9.2 GDPR.