Den irländska dataskyddsmyndigheten Data Protection Commission (“DPC”) har bötfällt Irish Credit Bureau DAC med 90 000 euro för brott mot artiklarna 5.2, 24.1 och 25.1 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Irish Credit Bureau är ett kreditupplysningsföretag som har en databas med information om kreditavtal mellan finansinstitut och låntagare. Den 31 augusti 2018 rapporterade Irish Credit Bureau in en personuppgiftsincident till DPC. Enligt Irish Credit Bureau inträffade personuppgiftsincidenten när bolaget genomförde en kodändring i databasen som innehöll ett tekniskt fel. Som ett resultat uppdaterade databasen posterna för 15 120 stängda konton felaktigt. Irish Credit Bureau avslöjade 1 062 felaktiga kontoposter till finansinstitut eller berörda individer innan problemet löstes. Felet pågick under tidsperioden 28 juni 2018 och 30 augusti 2018.
Enligt DPC har Irish Credit Bureau överträtt artikel 25.1 GDPR genom att inte genomföra lämpliga tekniska och organisatoriska åtgärder för att integrera nödvändiga skyddsåtgärder i behandlingen för att uppfylla kraven i GDPR och skydda de registrerades rättigheter (inbyggt dataskydd).
Vidare ansåg DPC att Irish Credit Bureau brutit mot artiklarna 5.2 och 24.1 GDPR genom att inte kunna visa att bolaget uppfyller sina skyldigheter enligt artikel 25.1 GDPR att göra lämpliga tester av kodändringen innan denna implementerats på databasen.