Thaisc ábhar sonraí gearán leis an DPC in aghaidh rialaitheoir sonraí i ndiaidh freagra mall ar iarratas duine ar a shonraí. Bhí an t-ábhar sonraí imníoch faoin bpróiseáil a bhí á dhéanamh ar a shonraí pearsanta idir an rialaitheoir sonraí agus tríú páirtí, fiosraitheoir HR (fiosraitheoir). Bhain na hábhair imní leis an mbunús dlíthiúil a bhí le sonraí pearsanta an ábhair sonraí a phróiseáil agus slándáil na próiseála a bhí á déanamh ar na sonraí pearsanta, toisc gur úsáid an fiosraitheoir cuntas Gmail le linn an scrúdaithe.

Chuir an t-ábhar sonraí a cheart i bhfeidhm faoi Airteagal 15 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) trí rochtain ar a shonraí pearsanta a iarraidh. Mar sin féin, ní bhfuair sé freagra ar a iarraidh laistigh de mhí amháin de réir mar a éilítear faoi Airteagal 12(3) den GDPR. I ndiaidh tréimhse dhá mhí gan aon fhreagra a fháil fós, chuir an t-ábhar sonraí an rialaitheoir sonraí ar an eolas go dtaiscfí gearán leis an DPC . I ndiaidh teagmháil a rinne an DPC, chuir an rialaitheoir sonraí na sonraí pearsanta ábhartha a bhí ábhartha don iarratas duine ar a shonraí ar fáil agus mhínigh sé go raibh moill i gceist mar gheall ar earráid theicniúil sa chóras ríomhphoist. Ag an bpointe seo, bhí an t-ábhar sonraí sásta go bhfuair sé na sonraí pearsanta ar fad a iarradh mar aon le roinnt sonraí breise eile . Níor bhain na sonraí seo leis an ábhar sonraí agus rinneadh an t-atheagrú a leasú.

I ndiaidh athbhreithniú a dhéanamh ar na sonraí pearsanta a fuarthas, chuir an t-ábhar sonraí ábhar imní in iúl maidir leis an bpróiseáil a bhí á dhéanamh ar a shonraí pearsanta idir an rialaitheoir sonraí agus an fiosraitheoir. Mar chuid dá iniúchadh, chuaigh an DPC i dteagmháil leis an rialaitheoir sonraí maidir leis an gceist seo. Luaigh an ri- alaitheoir sonraí alt 46 den Acht um Chosaint Sonraí 2018 (Acht 2018) agus Airteagail 6(1)(c) agus Airteagal 9(2)(b) dá bhunús dlíthiúil i leith na sonraí pearsanta a phróiseáil . Chomh maith leis sin, bhí an t-ábhar sonraí ina fhostaí, mar sin, tharraing an rialaitheoir sonraí aird ar a chuid oibleagáidí dlíthiúla faoin Acht um Shábháilteacht, Sláinte agus Leas ag an Obair 2005 de réir mar atá leagtha amach ina Lámhleabhar d’Fhostaithe. Cheistigh an t-ábhar sonraí an bunús dlíthiúil seo toisc nár cuireadh é ar an eolas faoi sin roimhe seo.

Maidir leis an bhfiosraitheoir, mhínigh an t-ábhar imní nár lorgaíodh aon chead i leith na sonraí pearsanta bheith á bpróiseáil idir an rialaitheoir sonraí agus an fiosraitheoir. Mhínigh an rialaitheoir sonraí nach raibh cead ar an aon bhunús dlíthiúil faoin GDPR agus luaigh sé Airteagal 6(1) (b) dá bhunús dlíthiúil. Cheistigh an t-ábhar sonraí an bunús dlíthiúil seo á lua nach raibh an phróiseáil a rinne an fiosraitheoir riachtanach i leith an conradh fostaíochta a chomhlíonadh. Chomh maith leis sin, chuir an t-ábhar sonraí ábhar imní in iúl mar gheall ar thrédhearcacht toisc nach mbeadh sé ag súil go ndéanfadh fiosraitheoir próiseáil ar a shonraí pearsanta nuair a bhí an conradh fostaíochta á shíniú. Nuair a ceistíodh an rialaitheoir sonraí faoi chuntas Gmail bheith á úsáid ag an bhfiosraitheoir, luaigh sé go mbeadh an ríomhphost idir an rialaitheoir sonraí agus an cuntas Gmail criptithe agus nach raibh aon fhianaise ann gur baineadh de shonraí pearsanta an ábhair sonraí.

Le linn an gearán a fhiosrú, tháinig ceist chun cinn maidir leis an bhfiosraitheoir bheith ina chomhrialaitheoir nó ina phróiseálaí sonraí. Ghlac an t-ábhar sonraí an tuairim go raibh an fiosraitheoir ina phróiseálaí sonraí ach luaigh an rialaitheoir sonraí go raibh an fiosraitheoir ina rialai- theoir sonraí as a cheart féin, agus mar thoradh air sin, ní raibh aon riachtanais i gceist faoi Airteagal 28 den GDPR.

Scrúdaigh an DPC fíricí an ghearáin seo agus fuair sé amach gur cuireadh liosta de dhaoine aonair ar fáil don fhiosraitheoir chun agallamh a chur orthu d’fhonn an tuarascáil seo a chur le chéile agus ó na téarmaí tagartha, liostaítear agallaimh ar an bpríomh-mhodh le faisnéis a bhailiú chun a thuarascáil a chur le chéile. Thug an DPC faoi deara freisin gur cuireadh cosc ar an bhfiosraitheoir aon smachtbhannaí a tháinig chun cinn as torthaí na tuarascála a chinneadh ná a chur i bhfeidhm. Bunaithe ar an bhfaisnéis seo, dhearbhaigh an DPC go raibh an fios- raitheoir ina phróiseálaí sonraí thar ceann an rialaitheora sonraí agus thug sé faoi deara gur theip ar an rialaitheoir sonraí conradh a chur ar fáil idir é féin agus an fiosrai- theoir de réir mar a éilítear faoi Airteagal 28(3) den GDPR.

Toisc gur theip ar an rialaitheoir sonraí cloí leis an oibleagáid i leith mí amháin faoi Airteagal 12(3) den GDPR, mheabhraigh an DPC don rialaitheoir sonraí maidir lena chuid oibleagáidí faoi Airteagal 24 chun bearta cuí teicniúla agus eagraíochtúla a chur i bhfeidhm d’fhonn comhlíonadh an GDPR a chinntiú. Agus é sin á dhéanamh, ba chóir don rialaitheoir sonraí a chinntiú freisin nach gcuireann sé ar fáil ach sonraí pearsanta atá ábhartha don iarratas duine ar a shonraí atá idir lámha agus go bhfolaíonn sé sonraí pearsanta ó thríú páirtithe . Ar an dara dul síos, maidir leis an mbunús dlíthiúil ar a raibh an rialaitheoir sonraí ag brath, bhí an DPC sásta go raibh bunúis dhlíthiúla dá leithéid réasúnach; mar sin féin, moladh dó baill foirne a chur ar an eolas ina pholasaithe cosanta sonraí do bhaill foirne go bhféadfadh sé brath ar alt 46 d’Acht 2018 agus na hAirteagail 6(1)(c) agus 9(2) (b) den GDPR maidir le sonraí pearsanta na mball foirne a phróiseáil. Chomh maith leis sin, faoi alt 109(5)(f) d’Acht 2018, mhol an DPC go gcinnteodh an rialaitheoir sonraí go bhfuil conradh i bhfeidhm nuair atá fiosraitheoir rannpháirteach, go ndéanfadh sé tástáil ar phróisis eagraíochtúla agus teicniúla ar bhonn rialta, agus ar deireadh, go gcuirfeadh sé seoladh ríomhphoist de chuid na heagraíochta ar fáil don fhiosraitheoir.