Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 100 000 euro mot vårdhemsoperatören Viec Limited för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den personuppgiftsansvarige anmält en personuppgiftsincident till DPC i enlighet med artikel 33 GDPR. Den personuppgiftsansvarige hade drabbats av en phishing-attack där en obehörig tredje part fått tillgång till en Viec-chefs e-postkonto. Som ett resultat av detta lyckades den okända tredje parten också få tillgång till personuppgifter, till exempel hälsouppgifter och biometriska uppgifter om hemmaboende personer.
DPC ansåg att detta var ett brott mot principen om integritet och konfidentialitet. DPC konstaterade också att den personuppgiftsansvarige underlåtit att implementera lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter.
Enligt DPC utgjorde detta en överträdelse av artiklarna 4.7, 5.1 (f), 32.1 (d) och 33 GDPR.