L'autorité irlandaise de protection des données a infligé une amende de 100 000 euros à l'exploitant de maisons de retraite VIEC Limited. Le responsable du traitement avait notifié à l'autorité de protection des données une violation de données conformément à l'article 33 du RGPD. Le responsable du traitement avait été victime d'une attaque de phishing au cours de laquelle un tiers non autorisé avait eu accès au compte de messagerie électronique d'un responsable de VIEC. Par conséquent, le tiers inconnu a également réussi à accéder à des données personnelles telles que des données de santé et biométriques des résidents de la maison de retraite. L'autorité de protection des données a estimé qu'il s'agissait d'une violation du principe d'intégrité et de confidentialité. L'autorité de protection des données a également constaté que le responsable du traitement n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles.