La DPA irlandaise a infligé une amende de 60 000 euros au Irish Teaching Council. Le Conseil a notifié à l'APD une violation de données en vertu de l'art. 33 du RGPD. Ainsi, deux employés du Conseil ont accédé à un courrier électronique de phishing qui leur a permis de mettre en place un système de transfert automatique de leurs comptes de messagerie vers un compte de messagerie malveillant. En conséquence, 323 e-mails ont été transférés à l'adresse e-mail externe non autorisée entre le 17 février 2020 et le 6 mars 2020. Les e-mails contenaient les données personnelles de 9 735 personnes concernées et les données personnelles sensibles d'une personne concernée. L'APD a donc constaté que le Conseil n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de protection des données personnelles des personnes concernées proportionné au risque. En outre, la DPA a constaté que le Conseil n'avait pas signalé la violation de données en temps opportun.