Data Protection Commission (DPC) har bötfällt Virtue Integrated Elder Care Ltd (VIEC) med 100 000 euro, samt en reprimand och korrigerande åtgärder för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att DPC tagit emot en anmälan om en personuppgiftsincident av VIEC. Enligt anmälan har en person fått tillgång till en VIEC-chefs e-postkonto genom en phishing-attack varefter personen ställde in regler för vidarebefordran av e-post till ett externt konto. Till följd av detta fick en obehörig person tillgång till invånarnas personuppgifter, inklusive känsliga personuppgifter som exempelvis hälsouppgifter och biometriska uppgifter.
Med utgångspunkt i ovanstående övervägde DPC om VIEC hade följt artiklarna 5.1 (f) och 32.1 GDPR, och i synnerhet om VIEC genomfört lämpliga tekniska och organisatoriska åtgärder för att säkerställa en risknivå som var lämplig i förhållande till de risker som var förknippade med dess behandling.
DPC konstaterade att VIEC åsidosatt sina skyldigheter enligt artiklarna 5.1 (f) och 32.1 GDPR genom att bland annat behandla personuppgifter, särskilt känsliga personuppgifter uppgifter, i sitt e-postsystem utan lämpliga säkerhetsåtgärder. Detta innebar enligt DPC en risk för att sådana uppgifter skulle bli olagligt tillgängliga.
Sammanfattningsvis bötfälldes VIEC med 100 000 euro för överträdelsen av artikel 5.1 (f) GDPR. DPC utfärdade också en reprimand med avseende på ovannämnda överträdelser i enlighet med artikel 58.2 (b) GDPR, samt beordrade VIEC i enlighet med artikel 58.2 (d) GDPR att se till att behandlingen av uppgifterna överensstämmer med artiklarna 5.1 (f) och 32.1 GDPR.