Den irländska dataskyddsmyndigheten Data Protection Commission (DPC) har bötfällt irländska lärarrådet med 60 000 euro för överträdelse av artiklarna 5.1 (f), 32 och 33 i dataskyddsförordningen (GDPR).
Av beslutet framgår att lärarrådet anmält en personuppgiftsincident till DPC enligt artikel 33 GDPR. Enligt anmälan har två anställda fått tillgång till ett phishing-e-postmeddelande som gjorde det möjligt för dem att inrätta ett automatiskt vidarebefordringssystem från sina e-postkonton till ett illasinnat e-postkonto. Som ett resultat av detta vidarebefordrades 323 e-postmeddelanden till den obehöriga externa e-postadressen mellan den 17 februari 2020 och den 6 mars 2020. E-postmeddelandena innehöll personuppgifter om 9 735 registrerade personer och känsliga personuppgifter för en registrerad person.
DPC konstaterade efter en utredning att rådet underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en skyddsnivå för de registrerades personuppgifter som stod i proportion till risken. Dessutom konstaterade DPC att rådet inte rapporterat in personuppgiftsincidenten i tid till myndigheten.
Mot bakgrund av ovanstående ansåg DPA att lärarrådet behandlat personuppgifter i strid med artiklarna 5.1 (f), 32 och 33 GDPR varför myndigheten bötfällde rådet med 60 000 euro.