Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 40 000 euro mot Maynooth University för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att DPC utrett en personuppgiftsincident vid Maynooth University. DPC inledde utredningen på egen begäran i juli 2019. Utredningen gällde en personuppgiftsincident som Maynooth University anmälde i november 2018. Intrånget påverkade universitetsanställdas e-postkonton och gjorde det möjligt för obehöriga personer att få kontroll över upp till sex konton. De obehöriga personerna använde kontrollen över ett konto för att hjälpa till att begå ett bedrägeri, vilket ledde till en ekonomisk förlust för en av de drabbade personerna.
Enligt DPC är det av yttersta vikt att organisationer ser till att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet, genom att genomföra de nödvändiga tekniska och organisatoriska åtgärder som krävs enligt GDPR. Personuppgiftsansvariga måste också se till att de uppfyller sin lagstadgade skyldighet att utan onödigt dröjsmål underrätta dataskyddskommissionen när de får kännedom om att en personuppgiftsincident har inträffat.
Mot denna bakgrund konstaterade DPC att Maynooth University åsidosatt artiklarna 5.1 (f) och 32 GDPR genom att inte säkerställa lämplig säkerhet för de personuppgifter som behandlats och inte vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa sådan säkerhet, och brutit mot artikel 33.1 GDPR genom att inte inom 72 timmar underrätta DPC om personuppgiftsincidenten.
DPC gav Maynooth University en reprimand, har även utfärdat en administrativ sanktionsavgift på totalt 40 000 euro och förelade Maynooth University att se till att dess behandling av personuppgifter uppfyller säkerhetskraven i dataskyddsförordningen.