Bhí an gearánach ina bhall de scéim árachais cosanta ioncaim agus bhí cead neamhláithreachta ón obair acu de dheasca breoiteachta. Fostóir an ghearánaigh a d’eagraigh an scéim árachais cosanta ioncam. Chun éileamh a dhéanamh faoin scéim, ceanglaíodh ar an bhfostaí freastal ar choinní leighis a d’eagraigh cuideachta árachais. Níor roinneadh faisnéis a bhain le breoiteacht an ghearánaigh ach leis an gcuideachta árachais. Mar sin féin, chuir cuideachta tríú páirtí (nach raibh a rannpháirtíocht san éileamh ar eolas ag an ngearánach) faisnéis ar aghaidh chuig fostóir an ghearánaigh maidir leis na coinní liachta a ceanglaíodh ar an ngearánach freastal orthu. San áireamh san fhaisnéis bhí réimse speisialtóireachta na ndochtúirí i gceist.

Fuarthas gurbh í an chuideachta árachais an rialai- theoir sonraí mar gheall gur rialaigh sé ábhar agus úsáid sonraí pearsanta an ghearánaigh chun críche éileamh an ghearánaigh faoin scéim árachais a bhainistiú agus riarachán a dhéanamh ina leith . I measc na sonraí i gceist bhí mionsonraí faoi bhreoiteacht an ghearánaigh, coinní leighis sceidealaithe agus cóireáil bheartaithe agus measadh gur sonraí pearsanta a bhí iontu de bharr gurbh fhéidir an gearánach a shainaithint uathu agus gur bhain siad leis an ngearánach mar dhuine aonair .

Le linn an imscrúdaithe, d’áitigh an rialaitheoir sonraí go raibh foirm sínithe ag an ngearánach ar a raibh ráiteas a dhearbhaigh gur thug an gearánach toiliú don rialaitheoir sonraí faisnéis maidir le breoiteacht an ghearánaigh a lorg . Nuair a d’iarr an DPC air soiléiriú a thabhairt ar an bhfáth gur roinn sé an fhaisnéis maidir le coinní leighis an ghearánaigh leis an gcuideachta tríú páirtí (ar bróicéir na scéime árachais é), chuir an rialaitheoir sonraí in iúl go ndearna sé amhlaidh chun nuashonrú a thabhairt don bhróicéir agus lena chinntiú go ndéanfaí dul chun cinn tapa ar an gcás .

Shloinn an rialaitheoir sonraí go raibh oibleagáid reachtúil air faisnéis áirithe a sholáthar don ghearánach . Go sonrach, go raibh oibleagáid reachtúil ar an rialaitheoir sonraí faighteoirí na sonraí pearsanta nó catagóirí fhaighteoirí na sonraí pearsanta a chur in iúl don ghearánach . Thug an DPC ar aird, cé gur thug an rialaitheoir sonraí fógra don ghearánach go raibh seans go lorgódh sé sonraí pearsanta a bhain leo, gur theip air faisnéis leormhaith a sholáthar don ghearánach maidir le faighteoirí sonraí pearsanta an ghearánaigh .

Ceanglaítear faoin reachtaíocht um chosaint sonraí freisin go gcaithfidh sonraí a choimeádann rialaitheoir sonraí a bheith leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha ar bailíodh na sonraí pearsanta chucu . Scrúdaigh an DPC an fáth a thug rialaitheoir sonraí le faisnéis faoi chineál choinní leighis an ghearánaigh a nochtadh (i .e . chun nuashonrú a thabhairt don bhróicéir agus lena chinntiú go ndéanfadh dul chun cinn tapa ar an gcás) . Ba é tuairim an DPC gurbh iomarcach ag an rialai- theoir sonraí é faisnéis maidir le cineál sonrach na gcoinní leighis, lena n-áirítear speisialtóireachtaí na ndochtúirí i gceist, a nochtadh don chuideachta tríú páirtí .

Thug an DPC ar aird go dtugtar cosaint bhreise do shonraí maidir le sláinte faoin reachtaíocht um chosaint sonraí . Ba é tuairim an DPC, de bharr go raibh mionsonraí faoi speisialtóireachtaí na ndochtúirí i gceist san áireamh san fhaisnéis a nocht an rialaitheoir sonraí, gur thug sí cineál féideartha bhreoiteacht an ghearánaigh le tuiscint agus dá bharr sin gur thairbhigh sí an chosaint bhreise sin . Dheimhnigh an DPC go raibh toirmeasc ar na sonraí i gceist a phróiseáil, mar gheall ar an gcosaint bhreise, ach amháin sa chás go raibh feidhm le ceann amháin de líon coinníollacha sonraithe ina leith . Mar shampla (agus é ábhartha anseo), d’fhéadfaí na sonraí pearsanta a bhain leis an tsláinte a phróiseáil go dleathach sa chás gur thug an gearánach toiliú sainráite don rialaitheoir sonraí go ndéanfaí an phróiseáil . Bhreithnigh an DPC ansin cibé an bhféadfaí nó nach bhféadfaí a rá gurbh ionann an fhoirm éilimh (ar a raibh an t-alt maidir le toiliú a thabhairt don rialaitheoir sonraí faisnéis a lorg) a bheith sínithe ag an ngearánach agus toiliú sainráite go ndéanfaí an fhaisnéis a bhain le coinní leighis an ghearánaigh a phróiseáil (a nochtadh) . Thug an DPC ar aird go bhféadfaí a rá gur tugadh toiliú sainráite an ghearánaigh go ndéanfadh an rialaitheoir sonraí faisnéis den sórt sin a lorg . Mar sin féin, níor thug an gearánach a dtoiliú sainráite go dtabharfadh an rialaitheoir sonraí faisnéis den sórt sin do thríú páirtithe . Ar an mbunús sin, d’áitigh an DPC go raibh sárú breise ar an reachtaíocht déanta ag an rialaitheoir sonraí i ndáil leis sin . Faoi Airteagal 13 den GDPR, i gcás go mbailítear sonraí pearsanta a bhaineann le hábhar sonraí ón ábhar sonraí, tá ceanglas ar an rialaitheoir sonraí faisnéis áirithe a thabhairt don ábhar sonraí an tráth a gheofar na sonraí pearsanta, amhail céannacht agus sonraí teagmhála an rialaitheora sonraí agus, i gcás inarb infheidhme, sonraí teagmhála a Oifigigh Cosanta Sonraí, críocha na próiseála dá bhfuil na sonraí pearsanta beartaithe chomh maith leis an mbunús dlí don phróiseáil, agus faighteoirí na sonraí, más ann dóibh, chomh maith le faisnéis maidir le cearta an ábhair sonraí . Tá an fhaisnéis sin beartaithe a chinntiú go ndéanfar sonraí pearsanta a phróiseáil ar bhealach cothrom agus trédhearcach . I gcás ina bhfuarthas na sonraí pearsanta ar shlí éigin seachas ón ábhar sonraí féin, ceanglaítear go dtabharfaí faisnéis bhreise don ábhar sonraí, faoi Airteagal 14 den GDPR . Ní mór an fhaisnéis sin a thabhairt i bhfoirm atá gonta, trédhearcach, intuigthe agus a bhfuil rochtain éasca uirthi .

De bhreis air sin, ceanglaítear leis an bprionsabal um íoslaghdú sonraí faoi Airteagal 5(1)(c) go mbeadh sonraí pearsanta leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil . Ciallaíonn sin gur cheart an tréimhse a stóráiltear sonraí pearsanta a theorannú don tréimhse is lú agus is féidir agus nár cheart sonraí pearsanta a phróiseáil ach amháin i gcás nach bhféadfaí cuspóir na próiseála a bhaint amach go réasúnach ar shlí eile .

Ar deireadh, is ceart do rialaitheoirí sonraí a thabhairt ar aird go meastar gur “chatagóir speisialta sonraí pearsanta” iad sonraí pearsanta a bhaineann leis an tsláinte faoi Airteagal 9 den GDPR agus go bhfuil siad faoi réir ag rialacha sonracha, mar aitheantas go bhfuil siad thar a bheith íogair, de réir a nádúir agus mar gheall ar an riosca sonrach do chearta agus saoirse bunúsacha ábhair sonraí a d’fhéadfaí a chruthú trí bhíthin sonraí den sórt sin a phróiseáil . Ní cheadaítear sonraí sláinte a phróiseáil ach amháin i gcásanna áirithe mar a ndéantar foráil dóibh in Airteagal 9(2) den GDPR agus in ailt 45 go 54 den Acht um Chosaint Sonraí 2018, mar shampla, i gcás gur thug an t-ábhar sonraí toiliú sainráite don phróiseáil chun críche sonraithe amháin nó níos mó .