Sa chás seo, líomhain duine aonair go ndearna cuideachta bainistíochta réadmhaoine a shonraí pearsanta – a ainm, a sheoladh agus a sheoladh ríomhphoist – a choinneáil agus a phróiseáil go neamhdhleathach. 

Fuair an duine aonair ríomhphost gan iarraidh ina raibh nuachtlitir ón gcuideachta, cé nach raibh aon chaidreamh gnó aige leis an gcuideachta le roinnt blianta. Rinne an duine aonair teagmháil leis an gcuideachta chun a fháil amach cén fáth ar choinnigh sí a shonraí pearsanta. Luaigh an chuideachta go raibh sí roimhe sin ina gníomhaire bainistíochta d’fhorbairt cónaithe ar leith ina raibh leas gnó ag an duine aonair. Dúirt sí gur sheol sí an ríomhphost de bhotún. D’inis an chuideachta don duine aonair go raibh sí tar éis a shonraí pearsanta a scriosadh óna bunachar sonraí. 

Ní raibh an duine aonair sásta leis an bhfreagra a fuair sé ón gcuideachta agus chuir sé gearán faoi bhráid an Choimisiúin um Chosaint Sonraí. Tar éis don Choimisiún teagmháil a dhéanamh leis an gcuideachta, mhínigh an chuideachta go raibh sí roimhe sin ina gníomhaire bainistíochta do chuideachta bainistíochta úinéirí agus, tar éis fhoirceannadh an chonartha a bhí aici leis an gcuideachta bainistíochta úinéirí, gur mhainnigh sí sonraí pearsanta an duine aonair a scriosadh óna bunachar sonraí. 

Mar chuid den scrúdú ar an ngearán seo, d’fhéach an Coimisiún lena shuí cé acu a bhí nó nach raibh bunús dleathach ag an gcuideachta le sonraí pearsanta an duine aonair a phróiseáil trí iad a choinneáil tar éis dheireadh an chonartha lena mbaineann. D’inis an chuideachta don Choimisiún go raibh sí ag brath ar Airteagal 6(1)(a) den Rialachán Ginearálta maidir le Cosaint Sonraí (“RGCS”), ina luaitear go mbeidh próiseáil dleathach i gcás go bhfuil toiliú tugtha ag ábhar sonraí. Luaigh an chuideachta freisin go gceanglaítear uirthi faoin Acht um Sheirbhísí Maoine (Rialáil), 2011, sonraí a choinneáil ar feadh tréimhse nach lú ná sé bliana. Dúirt an chuideachta gur trí dhearmad a choinnigh sí sonraí pearsanta an duine aonair tar éis na tréimhse coinneála sé bliana. Shuigh sí freisin gur de dheasca earráid riaracháin a fuair an duine aonair an ríomhphost gan iarraidh. 

Ghlac an chuideachta leis nach raibh aon bhunús dleathach aici a thuilleadh le sonraí pearsanta an duine aonair a phróiseáil trí iad a choinneáil tar éis na tréimhse sé bliana agus dheimhnigh sí gur scrios sí na sonraí pearsanta uile a bhain leis an duine aonair. Dheimhnigh an chuideachta freisin na bearta a rinne sí chun feabhas a chur ar na nósanna imeachta le haghaidh a bunachar sonraí teagmhálaithe a bhainistiú chun a chinntiú nach ndéanfaí próiseáil neamhdhleathach den chineál sin arís. 

Dá réir sin, níor chloígh an chuideachta leis na prionsabail a bhaineann le próiseáil sonraí pearsanta de réir Airteagal 5(1)(b) RGCS (‘teorannú de réir cuspóra’) nuair a bhain sí úsáid as mionsonraí teagmhála an duine aonair chun nuachtlitir a sheoladh chuige, toisc nár cheart di mionsonraí teagmhála an duine aonair a choinneáil ar feadh na tréimhse ama sin. Níor chloígh sí ach oiread le hAirteagal 5(1)(e) RGCS (‘teorannú stórála’) nuair a choinnigh sí sonraí pearsanta lenar cumasaíodh an duine aonair a shainaithint ar feadh tréimhse a bhí níos faide ná mar ba ghá chun na críche ar chuici a fuarthas na sonraí pearsanta ar dtús. 

D’eisigh an Coimisiún moltaí chuig an gcuideachta maidir leis na hoibleagáidí atá uirthi a chinntiú go bhfuil an phróiseáil ar fad dleathach, cothrom agus trédhearcach, mar a cheanglaítear faoi Airteagal 5 RGCS, agus go gcuirtear bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun gur féidir léi a chinntiú go ndéantar próiseáil de réir RGCS agus chun gur féidir léi an méid sin a thaispeáint.