Fuair an DPC gearán ó thuismitheoir linbh ar nochtadh a shonraí sláinte le tríú páirtí anaithnid trí dhearmad. Bhí na sonraí coinnithe i ndoiciméad a bhí ceangailte le seoladh ríomhphoist mícheart ar sheol fostaí i gcomhlacht poiblí é.

Bhí an leanbh ina ábhar i measúnú sláinte ag teiripeoir a bhí fostaithe ag an gcomhlacht poiblí. D’ullmhaigh an teiripeoir dréacht-tuarascáil, a bhí le seoladh chuig gairmí sinsearach. Sular seoladh í, chinn an teiripeoir tuairim eile a lorg ó chomhghleacaí. Ní raibh an comhghleacaí san oifig, dá bhrí sin, chinn an teiripeoir an dréacht-tuarascáil a sheoladh chuig seoladh ríomhphoist phearsanta an chomhghleacaí. Go gairid ina dhiaidh sin, thuig an teiripeoir go raibh an seoladh ríomhphoist mícheart. Ní raibh seirbhís IT an chomhlachta phoiblí in ann an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart a fháil ar ais. Dheimhnigh soláthraí seirbhíse ríomhphoist an fhaighteora go raibh cuntas an fhaighteora gníomhach, ach níor tugadh freagra ar ríomhphoist ón gcomhlacht poiblí inar iarradh ar an bhfaighteoir an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart a scriosadh. Chuaigh an comhlacht poiblí i dteagmháil leis an tuismitheoir tríd an nguthán, i bpearsa agus i scríbhinn chun an tuismitheoir a chur ar an eolas faoin earráid agus chun leithscéal a ghabháil ina leith. Chomh maith leis sin, chuir an comhlacht poiblí scéala chuig an DPC maidir leis an sárú ar shonraí pearsanta. Ina dhiaidh sin, thaisc an tuismitheoir gearán leis an DPC.

Mar chuid d’iniúchadh a dhéanamh ar an ngearán, d’iarr an DPC ar an gcomhlacht poiblí míniú a thabhairt ar na céimeanna a glacadh lena chinntiú go scriosfaí an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart, an polasaí a bhí ag an gcomhlacht i ndáil le ríomhphoist a bhaineann le hobair a sheoladh chuig seoltaí pearsanta na mball foirne, agus na bearta a bhí á nglacadh ionas nach dtarlódh an sárú an athuair.

Sa fhreagra a thug an comhlacht poiblí, deimhníodh an tsraith teagmhas a ndéantar cur síos orthu thuas, lena n-áirítear na hiarrachtaí a rinneadh an ríomhphost a fháil ar ais agus a chuid idirghníomhaíochtaí leis an soláthraí seirbhíse ríomhphoist. Chuir sé in iúl don DPC gur atheisigh sé cóip dá pholasaí maidir le cosaint sonraí chuig na baill ar fad den fhoireann ina raibh an teiripeoir ag obair, agus scríobh sé chuig an teiripeoir le meabhrú dó nach bhfuil cead aige aon fhaisnéis a sheoladh chuig seoltaí ríomhphoist phearsanta, fiú i gcás go n-iarrfaí air é sin a dhéanamh. Cuireadh in iúl go soiléir gur áiríodh leis sin tuarascálacha agus doiciméid eile a bhaineann le hobair. Cuireadh cosaint sonraí le clár oibre cruinnithe démhíosúla na foirne mar mhír sheasta, agus sceide- alaíodh baill ar fad na foirne i leith oiliúint maidir le feasacht ar chosaint sonraí.

Le linn measúnú a dhéanamh ar an gceist, ba é an tsaincheist lárnach a d’aithin an DPC ná an oibleagáid atá ar rialaitheoir sonraí bearta slándála cuí a ghlacadh in aghaidh rioscaí, lena n-áirítear sonraí pearsanta a nochtadh gan údarú. Bhí bearta slándála cuí le haithint agus aird á tabhairt ar thosca lena n-áirítear an teicne- olaíocht atá ar fáil, an dochar a d’fhéadfaí a dhéanamh trí nochtadh, agus an cineál sonraí atá i gceist. Chomh maith leis sin, ní mór do rialaitheoirí gach céim réasúnach a ghlacadh lena chinntiú go bhfuil a gcuid fostaithe ar an eolas faoi na bearta sin agus go gcloíonn siad leo.

Ba é tuairim an DPC gur soiléir go raibh sé míchuí dréacht-tuarascáil a sheoladh chuig seoladh ríomhphoist pearsanta agus aird á tabhairt ar an leibhéal slándála riachtanach, agus go raibh sé ag dul in aghaidh polasaithe an chomhlachta phoiblí féin maidir le sonraí pearsanta. Mar sin féin, níor leor na polasaithe bheith ann amháin d’fhonn an oibleagáid a chomhlíonadh i ndáil le céimeanna réasúnacha a ghlacadh lena chinntiú go raibh a chuid fostaithe ar an eolas fúthu agus gur chloígh siad seo. Ní dhearna an comhlacht poiblí é sin ach i ndiaidh don sárú tarlú.