Chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) maidir lena mbanc (an rialaitheoir sonraí) mar gur chreid siad go ndearnadh próiseáil go neamhdhleathach ar a sonraí pearsanta. Mhínigh an t-ábhar sonraí go raibh morgáiste acu leis an rialaitheoir sonraí agus gur díoladh an morgáiste seo le banc eile, mar chuid de chomhaontú maidir le hiasacht a dhíol. Rinne an t-ábhar sonraí gearán gur próiseáladh an díolachán seo i ngan fhios dóibh nó gan toiliú uathu agus bhí údar imní sonrach acu maidir leis an rialaitheoir sonraí a bheith ag comhroinnt a seoladh ríomhphoist pearsanta agus uimhir fón póca le banc eile agus mheas siad gur nochtadh iomarcach sonraí pearsanta a bhí i gceist anseo. Cé nach raibh agóid a dhéanamh ag an ábhar sonraí maidir lena n-ainm, seoladh nó uimhir líne talún a bheidh á n-úsáid, chreid siad go raibh a seoladh ríomhphoist agus uimhir fón póca ina sonraí pearsanta a bhí “íogair” agus go raibh nochtadh an chéanna díréireach.

Bhí an t-ábhar sonraí i gcaidreamh go díreach leis an rialaitheoir sonraí maidir lena ngearán sula ndearna siad teagmháil leis an DPC. D’fhreagair an rialaitheoir sonraí agus chuir in iúl don ábhar sonraí gurbh é an bonn dlí a bhí le próiseáil a gcuid sonraí pearsanta ná Airteagal 6(1)(f) den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), ina luaitear: “Go mbeidh gá leis an bpróiseáil chun críocha leasanna dlisteanacha an ábhair sonraí ag an rialaitheoir.”

Ar thús a chur lena n-imscrúdú, chomhroinn an DPC gearán an ábhair sonraí leis an rialaitheoir sonraí agus rinne éileamh ar fhreagra mionsonraithe. Chuir an rialaitheoir sonraí an DPC ar an eolas go gcuireann an rialaitheoir sonraí mar chuid dá bhFógra maidir le Príobháideachas Sonraí, cóip den Fhógra ar fáil dá gcuid custaiméirí, ina dtugtar mionsonraí go bhféadfadh an rialaitheoir sonraí sócmhainní an chomhlachta a dhíol ar mhaithe lena ngnó a bhainistiú. Tugtar tuilleadh mionsonraí maidir leis seo sa litir thairisceana iasachta d’iarratasóirí morgáiste.

Maidir le comhroinnt sonraí pearsanta iomarcacha, thug an rialaitheoir sonraí breac-chuntas nach mbreithníonn siad seoladh ríomhphoist nó uimhir fón póca mar fhaisnéis atá íogair agus nach dtagann siad faoi chatagóirí speisialta sonraí pearsanta faoi Airteagal 9 den GDPR.

Chuir an DPC in iúl cé go bhfuil toiliú mar cheann de sé bhonn dlí maidir le sonraí pearsanta a phróiseáil, go bhfuil sé dleathach sonraí pearsanta a phróiseáil gan toiliú roimh ré ach ceann de chúig bhonn dlí eile, atá liostaithe faoi Airteagal 6 den GDPR a chomhlíonadh. Sa chás seo bhí an rialaitheoir sonraí ag brath ar Airteagal 6(1)(f) agus dá réir sin, ceanglaítear orthu tabhairt faoi thástáil chothromaíochta chun a chinntiú nach mbíonn an leas dlisteanach atá á leanúint ag an rialaitheoir sonraí ag sárú leasanna, cearta nó saoirsí bunúsacha an ábhar sonraí. Dheimhnigh an DPC go ndearna siad tástáil chothromaíochta agus gur deimhníodh, sa chás seo, nach raibh próiseáil sonraí pearsanta ag sárú leasanna, cearta nó saoirsí bunúsacha an duine is ábhar do na sonraí.

Thug an rialaitheoir sonraí míniú breise go raibh sé riachtanach don rialaitheoir sonraí faisnéis teagmhála an ábhair sonraí a chomhroinnt leis an mbanc eile agus gur iad an banc eile na rialaitheoirí sonraí nua maidir le hiasacht an duine is ábhar do na sonraí. Thug an rialaitheoir sonraí soiléiriú freisin nach ndéanann siad idirdhealú idir cineálacha difriúla faisnéis teagmhála, m.sh. uimhreacha líne talún agus fón póca mar gur cuireadh an fhaisnéis seo ar fáil don rialaitheoir sonraí chun na críche teagmháil a dhéanamh le custaiméirí. Dá réir sin, teastaíonn an fhaisnéis seo ón bhanc chun bainistiú a dhéanamh ar an iasacht. Déantar cur síos in Airteagal 9 GDPR ar chatagóir speisialta sonraí pearsanta mar:

“shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, agus toirmeas- cfar próiseáil ar shonraí géiniteacha, ar shonraí bithm- héadracha chun duine nádúrtha a shainaithint go huathúil, ar shonraí a bhaineann leis an tsláinte nó ar shonraí a bhaineann le saol gnéis agus le gnéaschlaonadh duine nádúrtha.”

Dá réir sin, thug an DPC soiléiriú don ábhar sonraí nach dtagann uimhreacha fón póca nó seoltaí ríomhphoist faoin gcatagóir seo. Chuir an DPC in iúl don ábhar sonraí, tar éis don DPC imscrúdú a dhéanamh ar a ngearán faoi alt 109(5)(c) d’Acht na bliana 2018, nach bhfuair an DPC aon fhianaise go raibh próiseáil neamhdhleathach déanta ar a gcuid sonraí pearsanta. Cé go raibh an rialaitheoir sonraí ag brath ar bhonn dlisteanach chun na sonraí a phróiseáil agus go ndearnadh é sin ar bhealach trédhearcach, agus gur coinníodh an t-ábhar sonraí ar an eolas maidir le príomhchéimeanna go léir an díolacháin, mar sin go ndearnadh é a stiúradh agus an duine is ábhar do na sonraí a choinneáil ar an eolas roimh ré. Níor bhreithnigh an DPC go raibh aon ghníomh eile riachtanach nuair a eisíodh an toradh.