Den irländska dataskyddsmyndigheten Data Protection Commission (“DPC”) har bötfällt organisationen MOVE (Men Overcoming Violence) med 1 500 euro för brott mot artiklarna 5.1 (f) och 32.1 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att MOVE är en välgörenhetsorganisation som arbetar med våld i hemmet. Organisationen syftar till att stödja säkerheten och välbefinnandet för kvinnor och deras barn som har upplevt våld i relationer. För detta ändamål kommer deltagarna (män) till veckosessioner för att ändra sitt beteende.
Den 3 februari 2021 rapporterade organisationen ett dataintrång i enlighet med art. 33 GDPR. Organisationen uppgav att arton SD-kort hade gått förlorade, vilka kan ha innehållit inspelningar av gruppsessioner i MOVE-programmet, där deltagarna diskuterar sitt beteende och sina attityder när det gäller våld i hemmet med en gruppledare. Några av deltagarna kunde ses och höras på inspelningarna. Dessutom innehöll inspelningarna bilder av deltagare som diskuterade sina beteenden och känslor när det gällde nuvarande eller tidigare partner, andra familjemedlemmar och vänner som kan ha namngetts. Ungefär 80-120 deltagare kan ha påverkats av dataintrånget, liksom minst en gruppledare per inspelad session.
DPC konstaterade att MOVE hade brutit mot sin skyldighet enligt artikel 32.1 GDPR genom att underlåta att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till den risk som behandlingen av personuppgifter genom inspelning av gruppsessioner innebär. Mot denna bakgrund bötfälldes organisationen med 1 500 euro.