Dublin Circuit Court har bekräftat den irländska dataskyddsmyndigheten Data Protection Commissions (“DPC”) beslut att bötfälla Tusla Child and Family Agency med 75 000 euro för brott mot artiklarna 32.1 och 33.1 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Tulsa lämnat ut barns personuppgifter till obehöriga parter vid tre olika tillfällen. I ett fall avslöjas kontakt- och platsuppgifterna för en mamma och hennes barn för en påstådd misshandlare. De andra fallen hänför sig till personuppgifter om barn i fosterhem som lämnats ut till biologiska släktingar.
Enligt DPC har Tusla agerat i strid med artikel 32.1 i GDPR genom att inte implementera lämpliga organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till den risk som Tulsas behandling av personuppgifter med avseende på verksamhetens delning av dokument med tredje part innebär. Vidare har Tulsa brutit mot kravet om anmälan av personuppgiftsincident enligt artikel 33.1 i GDPR genom att inte anmäla den tredje överträdelsen till DPC utan onödigt dröjsmål.