Cás-Staidéar

Seo a leanas liosta de na cás-staidéir, de réir bliana, nach raibh le feiceáil i dTuarascálacha Bliantúla ar an DPC. Soláthraíonn na cás-staidéar léargas ar roinnt de na saincheisteanna á imscrúdú ar an DPC ó lá go lá.

 

 

1) Cás-Staidéar 1: Faisnéis mhíchruinn á coinneáil ar chóras baincéireachta

Sa chás seo, bhí morgáiste ar mhaoin ag an ngearánach chomh maith le duine aonair eile. D’fhág an gearánach agus an duine aonair eile an mhaoin bhunaidh agus d’aistrigh an bheirt acu go seoltaí ar leith. In ainneoin gurbh eol don bhanc é sin, sheol banc an ghearánaigh comhfhreagras a bhain le morgáiste an ghearánaigh chuig seanseoladh an ghearánaigh, áit ar oscail na tionóntaí in situ é.  

Mar fhreagra, luaigh banc an ghearánaigh gur tógadh córas morgáiste an bhainc ar an mbunús go mbeadh seoladh comhfhreagrais amháin ann agus, i gcásanna nach raibh seoladh comhfhreagrais amháin aontaithe a thuilleadh ag comhpháirtithe an mhorgáiste, gurb éigean é sin a bhainistiú de láimh, lasmuigh den chóras, agus gur eascair earráidí uaidh sin uaireanta.

Ba léir gurb é banc an ghearánaigh an rialaitheoir sonraí chun críocha an ghearáin, de bhrí gur rialaigh an banc sonraí pearsanta an ghearánaigh chun morgáiste an ghearánaigh a bhainistiú. Is éard a bhí sna sonraí atá faoi thrácht (i measc nithe eile) ná faisnéis airgeadais i dtaca le morgáiste an ghearánaigh leis an rialaitheoir sonraí. Sonraí pearsanta a bhí sna sonraí de bharr gur bhain siad leis an ngearánach mar dhuine aonair agus de bharr go bhféadfaí an gearánach a aithint astu.

Sa reachtaíocht Cosanta Sonraí, GDPR san áireamh, leagtar amach prionsabail shoiléire dlí nach mór do rialaitheoirí sonraí cloí leo nuair atá sonraí pearsanta duine á bpróiseáil acu. I gcás an éilimh seo, baineann ábharthacht ar leith leis an oibleagáid go gcinnteofaí go bhfuil na sonraí cruinn agus á gcoinneáil suas chun dáta nuair is gá mar aon leis an oibleagáid go mbeadh bearta cuí slándála i bhfeidhm chun sonraí pearsanta a chosaint.

Agus na prionsabail sin á gcur i bhfeidhm ar fhíricí an ghearáin seo, trí sheoladh as dáta a choimeád le haghaidh an ghearánaigh agus trí chomhfhreagras don ghearánach a sheoladh chuig an seoladh sin, mhainnigh an rialaitheoir sonraí sonraí pearsanta an ghearánaigh a choinneáil suas chun dáta (Airteagal 5(1)(d)). Chomh maith leis sin, i bhfianaise na bpíosaí iomadúla comhfhreagrais a seoladh chuig an seoladh mícheart, mhainnigh bearta slándála an rialaitheora sonraí sonraí an ghearánaigh a chosaint mar is cuí (Airteagal 5(1)(f)). Tá an oibleagáid bearta iomchuí a chur i bhfeidhm faoi Airteagal 5(1)(f) le léiriú i gcomhréir le hAirteagal 32 den GDPR, a leagann ceisteanna amach nach mór don rialaitheoir sonraí a chur san áireamh nuair a bheifear ag deimhniú an bhfuil bearta cuí slándála i bhfeidhm.

 

2) Cás-Staidéar 2: Mainneachtain iarraidh ar rochtain a fhreagairt go hiomlán

Bhain an gearán seo le hiarratas ar rochtain a rinne an gearánach. Bhí an gearánach míshásta gur dhiúltaigh an rialaitheoir sonraí, Comhairle Contae, dá iarratas ar rochtain ar chóip d’aon fhaisnéis faoin ngearánach arna choinneáil ag an rialaitheoir sonraí de láimh agus i bhfoirm leictreonach. Ina ionad sin chuir an rialaitheoir sonraí in iúl don ghearánach go raibh na comhaid a iarradh ar fáil ar líne nó ar fáil le breathnú orthu in áitreabh an rialaitheora sonraí.

Le linn don imscrúdú ar an ngearán seo a bheith ar bun, líomhain an gearánach nárbh ionann na comhaid a cuireadh ar fáil don ghearánach in áitreabh an rialaitheora sonraí agus na sonraí pearsanta uile a bhain leis an ngearánach a bhí á gcoinneáil ag an rialaitheoir sonraí.

Bhí an rialaitheoir sonraí den tuairim, áfach, go raibh an iarraidh ar rochtain a rinne an gearánach teoranta do shonraí pearsanta arna choinneáil i dtaca le dhá iarratas pleanála. Ba é ba chúis leis sin gur luaigh an gearánach uimhreacha tagartha do na hiarratais phleanála ar an iarratas ar rochtain. Dá réir sin, d’fhéach an rialaitheoir sonraí le hidirdhealú a dhéanamh idir sonraí pearsanta a bhain leis na comhaid phleanála a bhí ar fáil go poiblí, ar soláthraíodh don ghearánach iad le breathnú orthu go poiblí, agus sonraí pearsanta a cruthaíodh tar éis gur diúltaíodh d’iarratas pleanála an ghearánaigh, ar mheas an rialaitheoir sonraí iad a bheith lasmuigh de scóip an iarrata ar rochtain.

Cé gur luaigh an gearánach dhá iarratas pleanála ar leith, gur cuireadh an iarraidh ar rochtain in iúl i dtéarmaí ginearálta agus lorg sé rochtain ar “aon fhaisnéis a choinníonn tú fúm i bhfoirm leictreonach nó de láimh”. Dá réir sin, measadh gur chuimsigh na sonraí pearsanta a lorg an gearánach na sonraí uile a d’eascair i gcomhthéacs theagmháil an ghearánaigh leis an rialaitheoir sonraí sular cuireadh an dá iarratas pleanála a sainaithníodh isteach agus na sonraí ar fad a d’eascair tar éis gur diúltaíodh do na hiarratais sin.

Cinneadh, de bharr cúinsí áirithe an cháis, gur sháraigh an rialaitheoir sonraí a chuid oibleagáidí cosanta sonraí nuair a mhainnigh sé cóip iomlán de shonraí pearsanta an ghearánaigh a sholáthar don ghearánach mar fhreagra ar an iarraidh ar rochtain laistigh den tréimhse reachtúil. Faoin GDPR, baineann Airteagal 15 leis an gceart rochtana ag an ábhar sonraí faoi réir shonraí pearsanta a bhaineann leis an duine sin atá á gcoinneáil ag an rialaitheoir. In Airteagal 12(3) leagtar amach an coinníoll inarb éigean don rialaitheoir na sonraí pearsanta sin a chur ar fáil. Tá dualgas ar an rialaitheoir faisnéis faoin ngníomh a rinneadh faoi iarraidh dá leithéid sin a chur ar fáil gan mhoill mhíchuí agus go fiú is laistigh d’aon mhí amháin tar éis an iarraidh a fháil. Chomh maith leis sin leagtar imthosca amach san airteagal sin lena bhforáiltear do shíneadh a chur leis an tréimhse sin.

 

3) Cás-Staidéar 3: Úsáid TCI san ionad oibre

Fuaireamar gearán maidir leis an úsáid a bhain an rialaitheoir sonraí as ceamaraí TCI in áitreabh oibre an ghearánaigh agus maidir leis an gcaoi a breathnaíodh ar na píosaí scannáin TCI sin (ina raibh sonraí pearsanta an ghearánaigh, ina raibh, i measc nithe eile, íomhánna den ghearánach) d’fhonn monatóireacht a dhéanamh ar fheidhmíocht an ghearánaigh le linn don ghearánach a bheith i mbun fostaíochta leis an rialaitheoir sonraí.

Tráth a rinneadh an gearán, bhí beartas TCI i bhfeidhm ag an rialaitheoir sonraí, inar luadh slándáil agus sábháilteacht mar chúis leis an gcóras TCI. Luadh é sin chomh maith ar chomharthaíocht a bhí ann in áiteanna ina raibh na ceamaraí TCI i bhfeidhm. Léirigh na fíricí gur chun críocha slándála agus sábháilteachta a bailíodh sonraí pearsanta an ghearánaigh i dtosach. Le linn cruinniú leis an ngearánach, áfach, chuir bainisteoir in iúl don ghearánach nach ndearnadh athbhreithniú ar phíosaí scannáin TCI ina raibh sonraí pearsanta an ghearánaigh amach amháin chun críocha monatóireacht a dhéanamh ar fheidhmíocht an ghearánaigh le linn don ghearánach a bheith i mbun fostaíochta leis an rialaitheoir sonraí. Ní raibh an críoch sin ar na críocha sonraithe próiseála a leagadh amach sa bheartas TCI agus an chomharthaíocht a bhain leis. D’admhaigh an rialaitheoir go mba shárú ar a bheartais an chaoi inar baineadh úsáid as sonraí pearsanta an ghearánaigh.

I gcás ina bpróiseáiltear sonraí pearsanta chun críoch atá difriúil ón gcríoch ar a bailíodh iad, ní foláir nach mbeadh na críocha is bonn leis an tuilleadh próiseála i neamhréir leis na críocha bunaidh. Maidir leis an úsáid a baineadh as sonraí pearsanta an ghearánaigh, b’ionann monatóireacht a dhéanamh ar fheidhmíocht an ghearánaigh agus críoch a bhí leithleach agus sainiúil ó na críocha bunaidh i dtaobh sábháilteachta agus slándála ar ina leith a bailíodh na píosaí scannáin TCI. Ar an mbonn sin, b’ionann an phróiseáil a rinneadh ar shonraí pearsanta an ghearánaigh a bhí sna píosaí scannáin TCI chun críocha monatóireachta feidhmíochta agus tuilleadh próiseála chun críocha a bhí i neamhréir le críocha bunaidh an bhailithe sin.

Tháinig ceist eile chun cinn maidir leis an tslándáil a bhain leis an gcaoi ina raibh rochtain ar an gcóras TCI agus ar logaí TCI. I bhfreagraí i scríbhinn chuig an DPC, dúirt an rialaitheoir go raibh fáil, tráth a rinneadh an gearán, ar rochtain ar phíosaí scannáin TCI ar ríomhaire pearsanta aonair sa roinn, agus nach raibh sonraí logála isteach ag teastáil dó. Thug na freagraí ón rialaitheoir le fios nach ndearnadh logáil ar an rochtain ar phíosaí scannáin TCI de láimh ná go huathoibríoch. Ba easnamh i slándáil sonraí é go ginearálta nach raibh loga rochtana ann i gcomhair na bpíosaí scannáin TCI. Ní mór do rialaitheoirí sonraí bearta cuí slándála agus eagraíochta a chur i bhfeidhm, ag teacht le hAirteagal 32 den GDPR, i dtaca le coinníollacha faoi rochtain ar shonraí pearsanta.

Rinneadh leasú suntasach ar an mbeartas TCI ó shin agus cuireadh beartas nua ina áit. Dhearbhaigh an rialaitheoir gur baineadh agus gur cuireadh as feidhm an ríomhaire pearsanta as ar baineadh an úsáid sin. Tá rochtain ar thaifid TCI teoranta anois do dhuine aonair san aonad sonrach agus déantar athbhreithniú ar na taifid i gcás imeacht slándála nó i gcás timpiste amháin.

Baineann ábharthacht ar leith i gcás dá leithéid leis na hoibleagáidí próiseáil chóir a dhéanamh ar shonraí pearsanta (Airteagal 5(1)(a)), agus sonraí dá leithéid sin a fháil chun críocha sonracha agus gan tuilleadh próiseála a dhéanamh uirthi ar bhealach a bheadh i neamhréir leis na críocha sin (Airteagal 5(1)(b)). Ina theannta sin, ba cheart bearta slándála cuí a bheith i bhfeidhm chun slándáil na sonraí pearsanta a áirithiú (Airteagal 5(1)(f) agus Airteagal 32).

 

4) Cás-Staidéar 4: Rochtain ar phíosa scannáin TCI

Bhain an gearán seo le freagra, a líomhnaítear a bheith neamhiomlán, ar iarratas rochtana le haghaidh píosa scannáin TCI a rinne an gearánach chuig institiúid oideachais.

Dúirt an gearánach go ndearnadh iarracht ionsaithe líomhnaithe air. D’iarr an gearánach rochtain ar phíosa scannáin TCI ón am a tharla an t-ionsaí líomhnaithe, go háirithe i dtaca le tréimhse shonrach shainaitheanta ó dhá uillinn éagsúil an cheamara.

Mar fhreagra ar an iarratas ón eagraíocht, cuireadh líon áirithe stadán ón bpíosa scannáin TCI a bhain le ceamara amháin ar fáil don ghearánach. D’iarr an gearánach go gcuirfí stadán ar fáil i gcomhair gach soicind den taifead, ina raibh íomhá an ghearánaigh le feiceáil. Is é an freagra a fuarthas ón institiúid oideachais gur cuireadh gach píosa scannáin a bhí suntasach, i dtuairim an rialaitheora, ar fáil agus ó tharla go raibh timthriall taifeadta 30 lá i gceist leis na ceamaraí TCI, gur glanadh an píosa scannáin sin ó shin d’fhonn píosaí nua scannáin a thaifead. Shoiléirigh an rialaitheoir nár stóráil sé píosa scannáin ar bith mura raibh “ceanglas dleathach” ann amhlaidh a dhéanamh.

Thug an DPC dá aire, i gcás ina dhéantar iarraidh bhailí ar rochtain chuig rialaitheoir sonraí, nach mór don rialaitheoir sonraí an iarraidh a chomhlíonadh laistigh de thréimhse áirithe. (Mí a leagtar amach go ginearálta don tréimhse sin faoi Airteagal 12(3) den GDPR.) Tá an ceart rochtana ar shonraí pearsanta ar cheann de na príomhchearta bunúsacha dá bhforáiltear sa reachtaíocht um chosaint sonraí. I gcomhthéacs iarraidh ar rochtain ar phíosa scannáin TCI, go hiondúil teastaíonn oibleagáid an rialaitheora sonraí maidir le cóip de shonraí pearsanta an iarratasóra a chur ar fáil cóip den phíosa scannáin TCI, i bhfoirm físeáin, a chur ar fáil. I gcás nach bhfuil sé sin indéanta, amhail nuair nach féidir an píosa scannáin a chóipeáil go gléas eile go teicniúil, nó in imthosca eisceachtúla eile, féadfar glacadh leis go gcuirfí stadáin ar fáil don duine is ábhar do na sonraí mar rogha eile seachas píosa scannáin. In imthosca ina gcuirtear stadáin ar fáil, áfach, ba cheart don rialaitheoir sonraí stadán i gcomhair gach soicind den taifead ina bhfuil íomhá an ábhar sonraí le feiceáil ann a chur ar fáil don duine sin agus míniú a thabhairt ar an gcúis nach féidir an píosa scannáin a chur ar fáil i bhfoirm físeáin. Chomh maith leis sin ba cheart don rialaitheoir gach píosa scannáin a bhaineann leis an tréimhse a sonraíodh a chaomhnú go dtí go ndeimhneoidh an t-iarratasóir go bhfuil siad sásta leis an bhfreagra a tugadh.

De bharr nár chuir an rialaitheoir sonraí an píosa scannáin TCI a iarradh ná sraith iomlán stadán i dtaca leis an tréimhse shonraithe ar fáil don ghearánach, mhainnigh an rialaitheoir sonraí a oibleagáidí maidir le ceart rochtana a chomhlíonadh, ó thaobh ama de (Airteagal 12(3)) agus maidir le tacar lán agus iomlán a chur ar fáil de shonraí pearsanta a phróiseáil an rialatheoir (Airteagal 15).

 

5) Cás-Staidéar 5: Oibleagáid cúiseanna a thabhairt agus rochtain ar shonraí pearsanta á diúltú

Bhí seilbh ag an ngearánach roimhe sin ar mhaoin i bhforbraíocht arna bhainistiú ag cuideachta bhainistíochta. Rinne an gearánach iarratas ar rochtain ar shonraí chuig an gcuideachta bhainistíochta ach i dtuairim an ghearánaigh mhainnigh an rialaitheoir sonraí sonraí pearsanta uile an ghearánaigh a chur ar fáil sa fhreagra a tugadh.

Cinneadh gurbh é an chuideachta bhainistíochta an rialaitheoir sonraí de bharr gur rialaigh sí ábhar agus úsáid shonraí pearsanta an ghearánaigh chun críocha ról na cuideachta mar chuideachta bhainistíochta i leith forbraíocht ina raibh seilbh ag an ngearánach ar mhaoin. Is éard a bhí sna sonraí atá faoi thrácht (i measc nithe eile) ná ainm agus seoladh an ghearánaigh. Sonraí pearsanta a bhí i gceist de bharr go bhféadfaí an gearánach a aithint astu agus de bharr gur bhain siad leis an ngearánach mar dhuine aonair.

Le linn don scrúdú a rinne an DPC ar an ngearán, chuir an rialaitheoir sonraí cuntas ar fáil maidir le comhad ina raibh sonraí pearsanta uile an ghearánaigh a bhí á gcoinneáil siar ar an mbonn go raibh siad faoi phribhléid go dlíthiúil. Níor tagraíodh don chomhad i bhfreagra an rialaitheora sonraí ar iarraidh an ghearánaigh ar rochtain. Tugadh faoi deara gur cheart don rialaitheoir sonraí tagairt a dhéanamh don chomhad seo mar aon leis an gcúis nó na cúiseanna ar dhiúltaigh sé an comhad a chur ar fáil don ghearánach, ina fhreagra ar iarraidh an ghearánaigh ar rochtain.

Ansin scrúdaigh an DPC ar chuir an rialaitheoir sonraí sonraí uile an ghearánaigh ar fáil don ghearánach, de réir mar a éilítear ó reachtaíocht. Thug an DPC dá aire gur chuir an gearánach cuntais shonracha mhionsonraithe ar fáil maidir leis na sonraí ar chreid an gearánach nár cuireadh iad ar fáil. Mar fhreagra, luaigh an rialaitheoir sonraí nár choinnigh sé sonraí i dtaca le cúrsaí ar chreid sé go raibh deireadh leo agus go ndearna sé sonraí uile an ghearánaigh a bhí á gcoinneáil ag an rialaitheoir sonraí ar dháta an iarrata ar rochtain a chur ar fáil don ghearánach. Bhí an oifig den tuairim go raibh sé inchreidte nach gcoinneodh an rialaitheoir sonraí sonraí pearsanta ar feadh tréimhse éiginnte. Bhí an DPC sásta gur chuir an rialaitheoir sonraí sonraí pearsanta uile an ghearánaigh ar fáil don ghearánach, (lasmuigh den chomhad ar mhaígh an rialaitheoir sonraí pribhléid dhlíthiúil ina leith, mar a leagtar amach thuas). Dá bhrí sin, ní raibh aon sárú eile ar an reachtaíocht.

Faoi Airteagal 15 den GDPR, tá sé de cheart ag ábhar sonraí rochtain a fháil ón rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, agus atá á bpróiseáil. Níl feidhm ag an gceart sin, áfach, maidir le sonraí pearsanta arna bpróiseáil chun comhairle dlí a lorg, a fháil nó a thabhairt, ná le sonraí pearsanta a bhféadfaí éileamh ar phribhléid a dhéanamh ina leith chun críocha nó le linn imeachtaí dlí (Alt 60(3)(a)(iv) den Acht um Chosaint Sonraí 2018). I gcás ina ndiúltaíonn rialaitheoir sonraí iarraidh ar rochtain ar shonraí pearsanta a chomhlíonadh, éilítear faoi Airteagal 12 den GDPR go gcuirfear an duine is ábhar do na sonraí ar an eolas gan mhoill maidir leis na cúiseanna a bhí leis an diúltú sin.

 

6) Cás-Staidéar 6: Próiseáil Sonraí Catagóire Speisialta

Bhain an gearán seo le sonraí pearsanta (sa chás eolas mar gheall ar an gcineál fadhb sláinte a bhí ag  an ngearánaí) a bheith próiseáilte ag a fhostóir, chun go bhféadfaí saoire bhreoiteachta agus íocaíochtaí a bhain leis a riar ar son an ghearánaí. Thar aon rud eile, chuir an gearánaí a chuid imní in iúl faoi gur roinn an rialaitheoir sonraí (an fostóir) a thaifead leighis, lena n-áirítear iad a bheith roinnte le baill foirne in oifig áitiúil an rialaitheora sonraí, áit ar oibrigh an gearánaí. Chuir an gearánaí oifigeach sinsearach san eagraíocht ar an eolas faoin imní a bhí air. Ba é dearcadh an oifigigh sinsearaigh, áfach, nach raibh roinnte ach a laghad agus a chaithfí a roinnt den eolas. 

Nuair a bhíonn sonraí pearsanta a bhaineann le duine á bpróiseáil ag rialaitheoir sonraí, tá ceanglais dhlíthiúla áirithe a chaithfidh an rialaitheoir sonraí a chomhlíonadh. I gcás an ghearáin seo tá ábharthacht ar leith ag baint leis na hoibleagáidí (1) sonraí pearsanta a phróiseáil go cóir; (2) na sonraí sin a fháil ar mhaithe le cuspóirí sonracha agus gan tuilleadh próiseála a dhéanamh orthu ar bhealach nach luíonn leis na cuspóirí sin; (3) go mbeadh na sonraí ábhartha agus leordhóthanach agus nach ndéanfadh an rialaitheoir níos mó ná mar ba ghá de na sonraí a próiseáil chun an chuspóir faoin ar bailíodh iad a bhaint amach; agus (4) go gcinnteofaí go mbeadh an tslándáil chuí maidir leis na sonraí pearsanta i bhfeidhm. Chomh maith leis na rialacha a mbíonn feidhm acu agus sonraí pearsanta á bpróiseáil, sa chás seo toisc gur bhain na sonraí pearsanta le faisnéis leighis (a dtugtar níos mó cosanta dó faoin reachtaíocht um chosaint sonraí), bhí ceanglais bhreise ann a chaithfeadh an rialaitheoir sonraí a chomhlíonadh.

Measadh gurb é an chéad chuspóir a bhain leis na sonraí pearsanta a bheith á bpróiseáil ag an rialaitheoir sonraí ná scéim reachtúil íocaíochta breoiteachta a riar. Chinn an oifig seo freisin nach raibh sé ag dul i gcoinne an chuspóra ar bailíodh na sonraí ina leith i dtosach, go ndéanfaí tuilleadh próiseála ar shonraí pearsanta an ghearánaí chun bainistiú a dhéanamh ar fhostaithe a bhfuil strus a bhaineann lena gcuid oibre ag cur as dóibh nó atá ar shaoire bhreoiteachta fhadtéarmach agus chun monatóireacht a dhéanamh ar leibhéal an phá breoiteachta. Chomh maith leis sin, chinn an DPC go raibh gá leis an bpróiseáil chun bainistiú a dhéanamh ar strus a bhaineann le hobair agus chun saoire bhreoiteachta fhadtéarmach a bhainistiú agus chun súil a choinneáil ar phá breoiteachta; ar mhaithe le conradh a chomhlíonadh a raibh an té lenar bhain na sonraí páirteach ann; ó thaobh chomhlíonadh oibleagáide dlíthiúla a raibh an rialaitheoir faoina réir agus ar mhaithe le cur i bhfeidhm nó cur i gcrích ceart nó oibleagáid a thugtar nó a fhorchuirtear le dlí ar an rialaitheoir sonraí i dtaca le fostaíocht.

Measadh, áfach, go raibh sé iomarcach na sonraí (an cineál fadhb sláinte a bhí ag an ngearánaí) a phróiseáil san oifig AD áitiúil ar mhaithe le saoire bhreoiteachta fhadtéarmach agus saoire struis a bhaineann leis an obair a bhainistiú agus chun súil a choinneáil ar leibhéil an phá breoiteachta. Ina theannta sin, chinn an DPC, ar an mbonn gur nocht an soláthraí seirbhísí comhroinnte an iomarca sonraí pearsanta don oifig AD áitiúil agus freisin taobh istigh den oifig, nach raibh an leibhéal slándála cuí i bhfeidhm i dtaca le sonraí pearsanta an ghearánaí. Ar deireadh, measadh, sna cúinsí seo, nár phróiseáil an rialaitheoir sonraí na sonraí pearsanta a bhain leis an ghearánaí ar bhealach cóir. Dá bhrí sin, fuarthas amach gur sháraigh an rialaitheoir sonraí a chuid oibleagáidí cosanta sonraí.

Faoin GDPR, ní mór sonraí pearsanta sa chatagóir speisialta (dála sonraí sláinte) a phróiseáil go cothrom i gcomhréir le hAirteagal 5(1)(a).  Ní mór iad a bhailiú chun críche sonraithe, sainráite agus dlisteanach agus ní cheadaítear tuilleadh próiseála a dhéanamh orthu ar bhealach nach luíonn leis na críocha sin i gcomhréir le hAirteagal 5(1)(b). Ní fhéadfar iad a phróiseáil ach ar bhealach a chinntíonn slándáil chuí na sonraí, lena n-áirítear cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach, i gcomhréir le hAirteagal 5(1)(f). Agus sonraí sa chatagóir speisialta á bpróiseáil acu, ní mór do rialaitheoirí a bheith ar an eolas faoi na ceanglais bhreise atá leagtha amach in Airteagal 9 den GDPR.

 

7) Cás-Staidéar 7: Tuilleadh próiseála chun críche atá comhréireach

Aturnae a d’fhostaigh aturnae eile chun ionadaíocht a dhéanamh orthu in imeachtaí dlíthiúla a bhí sa ghearánach. Chlis ar an gcaidreamh idir an gearánach agus an t-aturnae agus rinne an t-aturnae casaoid maidir le hiompar an ghearánaigh le Dlí-Chumann na hÉireann. Sa chomhthéacs sin, thug an t-aturnae faisnéis áirithe faoin ngearánach do Dhlí-Chumann na hÉireann. Chuir an gearánach an t-ábhar ar aghaidh chuig an DPC, agus líomhain gur sháraigh an t-aturnae reachtaíocht um chosaint sonraí.

Fuarthas gurbh é aturnae an ghearánaigh an rialaitheoir sonraí, de bharr gur rialaigh siad ábhar agus úsáid shonraí pearsanta an ghearánaigh chun críche seirbhísí dlí a chur ar fáil don ghearánach. Bhain na sonraí i gceist le (i measc nithe eile) faisnéis faoi imeachtaí dlíthiúla an ghearánaigh agus ba shonraí pearsanta iad de bharr go bhféadfaí an gearánach a shainaithint leo agus gur bhain siad leis an ngearánach mar dhuine aonair.

Thug an DPC an dlínse atá ag Dlí-Chumann na hÉireann plé le casaoidí a bhaineann le mí-iompar aturnaetha (de bhua na nAchtanna Aturnaethe 1954-2015) ar aird. Ghlac sé leis freisin go bhféadfadh a bheith san áireamh leis an gcineál mí-iompair a fhéadfaidh Dlí-Chumann na hÉireann a imscrúdú, aon iompar a d’fhéadfadh damáiste a dhéanamh do chlú na gairme. Thug an DPC ar aird freisin go nglacann Dlí-Chumann na hÉireann leis an dlínse chun imscrúdú a dhéanamh ar ghearáin a dhéanann aturnaetha faoi aturnaetha eile (agus ní ghearáin a dhéanann cliaint nó a dhéantar thar a gceann agus iad sin amháin) agus ceanglaítear lena chód cleachtais gur cheart, i gcás go gcreideann aturnae go bhfuil mí-iompar ar bun ag aturnae eile, é sin a thuairisciú chuig Dlí-Chumann na hÉireann. Dá bharr sin, mheas an DPC go raibh an gearán a rinne an rialaitheoir sonraí le Dlí-Chumann na hÉireann déantar i gceart agus gur faoi Dhlí-Chumann na hÉireann a bhí sé breith a thabhairt ar fhiúntas ghearáin.

Rinne an DPC breithniú ansin ar cibé an ndearna nó nach ndearna an rialaitheoir sonraí sárú ar an  reachtaíocht um chosaint sonraí. Maidir leis sin, thug an DPC ar aird go gcaithfidh rialaitheoirí sonraí  cloí le prionsabail dlí áirithe atá leagtha amach sa reachtaíocht ábhartha. Rud a bhí ábhartha go sonrach don ghearán seo ab ea an ceanglas go gcaitear sonraí a fháil le haghaidh críche sonraithe agus nach bhfuil tuilleadh próiseála le déanamh orthu ar shlí a bheadh ar neamhréir leis na críocha sin. Fuair an DPC gurb é an fáth ar bailíodh/próiseáladh sonraí pearsanta an ghearánaigh ar dtús ná chun críche seirbhísí dlí a chur ar fáil don ghearánach. Tharraing an DPC ar aird go ndearna Dlí-Chumann na hÉireann tuilleadh próiseála ar shonraí pearsanta an ghearánaigh nuair a rinne an rialaitheoir sonraí gearán leis. De bharr go raibh an tuilleadh próiseála sin le haghaidh críche a bhí difriúil ón gcríoch ar chuici a bailíodh iad, b’éigean don DPC breithniú a dhéanamh ar cibé an raibh nó nach raibh an chríoch taobh thiar den tuilleadh próiseála ar neamhréir leis an gcríoch bhunaidh.  

Dheimhnigh an DPC nach gá gur chríoch ar neamhréir í críoch dhifriúil agus gur chóir neamhréir a mheasúnú ar bhonn de réir an cháis i gcónaí. Sa chás seo, mheas an DPC, de bharr gur chun leas an phobail é a chinntiú go rialáiltear gairm an dlí i gceart, nach raibh an chríoch ar chuici a ndearnadh tuilleadh próiseála ar shonraí an ghearánaigh ar neamhréir leis an gcríoch ar chuici a bailíodh iad ar dtús. Ar an mbonn sin, ghníomhaigh an rialaitheoir sonraí de réir na reachtaíochta um chosaint sonraí.

Thug an DPC ar aird ansin, anuas ar cheanglais dlí eile, go gcaithfidh rialaitheoir sonraí bunús dlí a bheith aige chun sonraí pearsanta a phróiseáil. Ba é an bunús dlí a d’fhéach an rialaitheoir sonraí le brath air sa chás seo, gur ghá an phróiseáil a dhéanamh chun críocha na leasanna dlisteanacha a bhí á saothrú ag an rialaitheoir sonraí. Maidir leis sin, fuair an DPC go raibh leas dlisteanach ag an rialaitheoir sonraí in aon iompar a d’fhéadfadh míchlú a tharraingt ar ghairm an dlí. Chomh maith leis sin, ceanglaíodh ar an rialaitheoir sonraí le Cód Iompair Dhlí-Chumann na hÉireann mí-iompar tromchúiseach a thuairisciú chuig Dlí-Chumann na hÉireann. Mar thoradh air sin, ba é tuairim an  DPC go raibh bunús dlí bailí ag an rialaitheoir sonraí chun sonraí pearsanta an ghearánaigh a nochtadh agus nár sháraigh sé an reachtaíocht.

Faoi Airteagal 6 den GDPR, caithfidh bunús dlí bailí a bheith ag rialaitheoir sonraí chun sonraí pearsanta a phróiseáil. Déantar foráil le bunús dlí amháin den sórt sin, le hAirteagal 6(1)(f) den GDPR, nach mbeidh próiseáil dleathach ach amháin más gá, agus a mhéid is gá í a dhéanamh chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir nó ag tríú páirtí, seachas i gcás ina mbeidh sáraíocht ag na leasanna sin ar leasanna nó ar chearta bunúsacha agus ar shaoirsí bunúsacha an ábhair sonraí. Mar sin féin, déantar foráil le hAirteagal 6(4) den GDPR, i gcás go ndéantar próiseáil sonraí pearsanta chun críche eile seachas an chríoch ar chuici a bailíodh na sonraí pearsanta ar an gcéad dul síos, nach gceadaítear sin ach amháin i gcás go mbeidh an tuilleadh próiseála ag luí leis na críocha sin ar chucu a bailíodh na sonraí pearsanta ar an gcéad dul síos.

Agus rialaitheoirí sonraí ag breithniú cibé an bhfuil próiseáil chun críche eile ag luí leis an gcrích ar chuici a bailíodh na sonraí pearsanta ar an gcéad dul síos, ba cheart dóibh na nithe seo a leanas a chur san áireamh (i) aon nasc idir na críocha ar bailíodh na sonraí pearsanta chucu agus na críocha atá leis an tuilleadh próiseála atá beartaithe, (ii) an comhthéacs inar bailíodh na sonraí pearsanta, (iii) cineál na sonraí pearsanta, (iv) na hiarmhairtí a d'fhéadfadh a bheith ann do na hábhair sonraí ag an tuilleadh próiseála atá beartaithe, agus (v) an bhfuil coimircí iomchuí ann.

 

8) Cás-Staidéar 8: Bearta slándála iomchuí agus sonraí leighis á bpróiseáil

Is é an cúlra leis an ngearán seo go ndearna bean chéile an ghearánaigh iarraidh Saorála Faisnéise   ar dhochtúir teaghlaigh a raibh baint acu le cúram a thabhairt do mhac an ghearánaigh. Scríobh an dochtúir teaghlaigh ina dhiaidh sin chuig dochtúir eile a thug cóireáil do mhac an ghearánaigh freisin, agus a thug cóireáil ar leithligh don ghearánach chomh maith, chun an iarraidh Saorála Faisnéise a chur in iúl dóibh. D’fhreagair an dochtúir sin litir an dochtúra teaghlaigh agus nocht faisnéis leighis maidir leis an ngearánach, nach othar den dochtúir teaghlaigh iad, sa fhreagra sin.

D’fhonn a chinneadh cérbh é an rialaitheoir sonraí, d’iarr an DPC deimhniú ar an gcumas faoina ndeachaigh an gearánach i gcomhairle an dochtúir a nocht an fhaisnéis i gceist. Deimhníodh nach bhfaca an dochtúir othair ach ar bhonn poiblí agus, ar an mbunús sin, chinn an DPC gurbh é an HSE an rialaitheoir sonraí.  

Mar fhreagra ar an ngearán, d’admhaigh an rialaitheoir sonraí gur thrí dhearmad a nochtadh na sonraí pearsanta i ndáil leis an ngearánach, mar gur chreid an dochtúir, go mícheart, gur othar den dochtúir teaghlaigh a bhí sa ghearánach freisin. Chuir an HSE in iúl, áfach, go mbeadh oibleagáidí rúndachta ina gceangal ar an bhfaighteoir arbh é an dochtúir teaghlaigh é i ndáil leis na sonraí a fuarthas.  Thug an rialaitheoir sonraí le tuiscint freisin, mar gheall go raibh an dochtúir i gceist imithe ar scor, nárbh fhéadfaí aghaidh a thabhairt ar an gceist leo go pearsanta. Dheimhnigh an HSE gur tugadh a beartais inmheánacha faoi phróiseáil sonraí cothrom le dáta agus gur feabhsaíodh iad ó tharla an teagmhas sin leis an ngearánach.

Thug an DPC ar aird, nuair atá sonraí pearsanta á bpróiseáil ag rialaitheoir sonraí, go bhfuil ceanglais  dlí ann nach mór don rialaitheoir sonraí cloí leo. Bhí na hoibleagáidí maidir le sonraí pearsanta a phróiseáil ar bhealach cothrom agus maidir le bearta slándála oiriúnacha a bheith i bhfeidhm mar chosaint ar phróiseáil neamhúdaraithe (nochtadh) ábhartha go sonrach leis an ngearán seo. Thug an DPC ar aird freisin, mar gheall gur bhain na sonraí pearsanta le cúrsaí leighis (agus go raibh cosaint bhreise acu faoin reachtaíocht dá bharr sin), go raibh an caighdeán a bhí le baint amach ó thaobh cad is slándáil iomchuí ann níos airde ná an caighdeán is infheidhme maidir le sonraí pearsanta go ginearálta.” Ina theannta sin, dheimhnigh an DPC, mar gheall ar an gcosaint mhéadaithe a thugtar do shonraí sláinte faoin reachtaíocht um chosaint sonraí, ní féidir iad a phróiseáil ach amháin i gcás go mbaintear amach coinníollacha sonraithe áirithe.

Ba léir nach raibh bearta slándála iomchuí i bhfeidhm an tráth a ndearnadh an nochtadh neamhúdaraithe don dochtúir teaghlaigh. Thug an DPC ar aird go ndearnadh an nochtadh do dhochtúir teaghlaigh nach raibh rannpháirteach i gcúram leighis an ghearánaigh, agus, anuas air sin, go raibh ceannteideal a rinne tagairt do mhac an ghearánaigh ar an litir ina ndearnadh an nochtadh, ach go raibh faisnéis leighis a bhain leis an ngearánach i gcorp na litreach.  Ba léir an botún sa litir féin, dá bharr sin. Thug an DPC aird ar argóint an rialaitheora sonraí, go raibh oibleagáidí rúndachta ina gceangal ar an dochtúir teaghlaigh. Mar sin féin fuair sé, cé go raibh an méid sin ábhartha ó thaobh iarmhairtí an nochta neamhúdaraithe, nár thug sé aghaidh ar cibé an raibh nó nach raibh bearta slándála iomchuí i bhfeidhm ag an rialaitheoir sonraí. Thug an DPC ar aird freisin nach raibh an rialaitheoir sonraí in ann aghaidh a thabhairt ar na bearta rialaithe a bhain leis an nochtadh mar gheall go raibh an dochtúir i gceist imithe ar scor. Fuair an DPC gur thug sin le tuiscint nach raibh creat ginearálta a bhain le slándáil sonraí pearsanta i bhfeidhm an tráth a ndearnadh an nochtadh.

Bhreathnaigh an DPC ansin ar cibé ar comhlíonadh nó nár comhlíonadh na coinníollacha riachtanacha lena gceadaítear sonraí maidir le sláinte a phróiseáil. Chinn an DPC, de bharr gur theip ar an rialaitheoir sonraí aon bhunús dlí a thabhairt maidir leis na sonraí pearsanta a nochtadh, gur sháraigh sé an reachtaíocht cosanta sonraí maidir leis sin.

Is léir an oibleagáid maidir le slándáil sonraí pearsanta a chinntiú in Airteagal 5(1)(f) den GDPR. Tugtar sonrú breise uirthi in Airteagal 32, ina n-éilítear go gcuirfidh an rialaitheoir agus an próiseálaí bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal slándála a áirithiú is iomchuí don riosca. Agus bearta slándála iomchuí á mbreithniú acu, ní mór do rialaitheoirí sonraí agus do phróiseálaithe sonraí cineál, comhthéacs, raon feidhme agus cuspóirí na próiseála, i measc nithe eile, a chur san áireamh, mar aon leis na rioscaí d’ábhair sonraí, ar rioscaí iad a d'fhéadfadh teacht chun cinn agus leibhéal athraitheach déine ag gabháil leo. Maidir leis sin, aithnítear sa GDPR go bhfuil sonraí sláinte, ar “catagóir speisialta sonraí pearsanta” iad faoi Airteagal 9 den GDPR, thar a bheith íogair, de réir a nádúir, i ndáil le cearta agus saoirsí bunúsacha agus go bhfuil cosaint shonrach tuillte acu. 

Ba cheart do rialaitheoirí sonraí a bheith ar an eolas freisin, i gcás go dtarlaíonn sárú ar shlándáil as a dtiocfaidh nochtadh neamhúdaraithe sonraí pearsanta de thaisme nó go neamhdhleathach (“sárú ar shonraí pearsanta”), ní mór é sin a chur in iúl don DPC gan mhoill mhíchuí de réir Airteagal 33 den GDPR. I gcás sárú i ndáil le sonraí pearsanta ar dóchúil go mbeadh ardriosca ann dá bharr do chearta agus do shaoirsí daoine nádúrtha, ní mór é sin a chur in iúl don ábhar sonraí, gan mhoill mhíchuí.  

 

9) Cás-Staidéar 9: Bearta slándála cuí

Bhain an gearán seo leis an líomhain gur chaill banc an ghearánaí roinnt míreanna comhfhreagrais a bhain le cuntas bainc an ghearánaí agus a thug páirtí an ghearánaí de láimh don bhanc.

Deimhníodh gurbh é an banc an rialaitheoir sonraí mar go raibh smacht aige ar ábhar shonraí  pearsanta an ghearánaí agus ar úsáid na sonraí sin agus seirbhísí baincéireachta á sholáthar aige don ghearánaí. Ar na sonraí a bhí i gceist (i measc nithe eile) bhí ainm agus seoladh an ghearánaí agus faisnéis faoi chuntais bainc an ghearánaí agus ba shonraí pearsanta iad toisc go bhféadfaí an gearánaí a aithint uathu agus gur bhain siad leis an ngearánaí mar dhuine aonair.

Le linn don scrúdú ar an ngearán a bheith ar bun, mhaígh an rialaitheoir sonraí gur taobh istigh den bhanc seachas taobh amuigh de a cailleadh na doiciméid ábhartha agus dá bhrí sin d'áitigh sé nár tharla aon sárú i ndáil le sonraí pearsanta. Luaigh an DPC gur príomhriachtanas faoin dlí um chosaint sonraí é bearta slándála cuí a bheith i bhfeidhm le haghaidh sonraí pearsanta. Bhreithnigh sé an cineál sonraí pearsanta a bhí sa chomhfhreagras a chuaigh amú (ainm agus seoladh an ghearánaí agus faisnéis faoi cuntas bainc an ghearánaí) agus thug sé faoi deara go bhféadfadh cur amú an eolais seo a bheith ina bhaol suntasach don ghearánaí agus do ghnóthaí airgeadais an ghearánaí. I bhfianaise chineál na sonraí pearsanta a bhí á bpróiseáil níor leor na bearta slándála a bhí i bhfeidhm ag an rialaitheoir sonraí chun leibhéal cuí slándála a chinntiú. Maidir le hargóint an rialaitheora sonraí gur cailleadh an comhfhreagras go hinmheánach, ba é dearcadh an DPC go gcaithfidh na bearta teicniúla agus eagraíochtúla atá ag rialaitheoirí sonraí chun slándáil sonraí pearsanta a chosaint, a chur san áireamh go bhféadfadh contúirt a bheith ag baint leis do dhaoine cosúil leis an ngearánaí má chailltear sonraí pearsanta taobh istigh chomh maith le taobh amuigh, nó má bhíonn rochtain neamhúdaraithe orthu.

Bunaithe ar a bhfuil thuas, measadh gur theip ar an rialaitheoir sonraí na bearta slándála agus eagraíochtúla cuí a chur i bhfeidhm, chun sonraí pearsanta an ghearánaí a chosaint, agus gur theip ar an rialaitheoir sonraí, dá bhrí sin, gníomhú de réir na reachtaíochta um chosaint sonraí.

Faoi Airteagal 5(1)(f) den GDPR, ní mór sonraí pearsanta a phróiseáil ar bhealach a chinntíonn slándáil chuí na sonraí pearsanta, lena n-áirítear cosaint ar nochtadh neamhúdaraithe nó neamhdhleathach agus úsáid á bhaint as na bearta teicniúla nó eagraíochtúla cuí. Sonraítear a thuilleadh in Airteagal 32 cinntiú na hoibleagáid slándála i leith sonraí pearsanta, lena gceanglaítear go gcuirfidh an rialaitheoir agus an próiseálaí na bearta teicniúla agus eagraíochtúla cuí i bhfeidhm chun leibhéal slándála atá oiriúnach don riosca a chinntiú. Agus bearta slándála cuí á mbreithniú acu, ní mór do rialaitheoirí agus do phróiseálaithe sonraí, a chur san áireamh i measc nithe eile cineál, comhthéacs, raon feidhme agus cuspóirí na próiseála mar aon leis na rioscaí do chearta agus do shaoirsí ábhair sonraí, ar rioscaí iad a d'fhéadfadh teacht chun cinn agus leibhéal athraitheach déine ag gabháil leo.

Ba cheart do rialaitheoirí sonraí a bheith ar an eolas freisin, i gcás ina dtarlaíonn sárú slándála de bharr sonraí pearsanta a bheith nochtaithe go neamhúdaraithe, de thaisme nó go mídhleathach (“sárú i ndáil le sonraí pearsanta”), gur gá, de réir Airteagal 33 den GDPR, é seo a chur in iúl don DPC  gan an iomarca moille. I gcás gur dócha go mbeidh, mar thoradh ar an sárú i ndáil le sonraí pearsanta, an-bhaol do chearta agus do shaoirse an té lena mbaineann na  sonraí, ní mór é seo a chur in iúl freisin, gan an iomarca moille,  don té lena mbaineann na sonraí.

 

10) Cás-Staidéar 10: Próiseáil atá riachtanach chun críche leasanna dlisteanacha atá á saothrú ag rialaitheoir

Bhí an gearánaí seo fostaithe i siopa atá lonnaithe in ionad siopadóireachta agus bhí baint aige le heachtra i gcarrchlós an ionaid siopadóireachta a bhain le táille an charrchlóis a íoc. Tar éis na heachtra, rinne bainisteoir an charrchlóis gearán le fostóir an ghearánaí agus cuireadh íomhánna ón scannánaíocht CCTV ar fáil d'fhostóir an ghearánaí. Chuir an gearánaí an cheist faoi bhráid an DPC chun a fháil amach an raibh nochtadh na n-íomhánna CCTV dleathach.

Socraíodh gurbh é an t-ionad siopadóireachta an rialaitheoir sonraí mar go raibh smacht aige ar shonraí pearsanta an ghearánaí agus ar a n-úsáid ar mhaithe leis na stadáin a thaispeáint d'fhostóir an ghearánaí. Is éard a bhí sna sonraí ná íomhánna den ghearánaí agus ba shonraí pearsanta iad  toisc gur bhain sé leis an ngearánaí mar dhuine aonair agus go bhféadfaí an gearánaí a aithint uaidh.

D'áitigh an rialaitheoir sonraí go raibh cúis dhlisteanach aige leis na híomhánna CCTV a thaispeáint d’ fhostóir an ghearánaí, mar shampla, chun cosc a chur ar dhaoine imeacht as an gcarrchlós gan íoc agus chun an comhaontú a bhí aige le fostóir an ghearánaí maidir lena fhoireann oibre a bheith ag páirceáil sa charrchlós a tharraingt siar. Thug an DPC faoi deara go gcaithfidh bunús dleathach a bheith ag rialaitheoir sonraí le go bhféadfaidh sé próiseáil a dhéanamh ar shonraí pearsanta duine. Ar cheann de na bunúis dlí ar féidir le rialaitheoir sonraí brath orthu tá go bhfuil gá leis an bpróiseáil chun críocha cúrsaí dlisteanacha a bhfuil an rialaitheoir sonraí ag plé leo. (Ba é seo an bunús dlí a raibh an rialaitheoir sonraí ag brath air anseo.) D'admhaigh an DPC go raibh leas dlisteanach ag an rialaitheoir sonraí, i bprionsabal, maidir le sonraí pearsanta an ghearánaí a nochtadh ar na cúiseanna a chuir sé chun cinn. Mar sin féin, ní raibh sé "riachtanach" don rialaitheoir sonraí an CCTV a nochtadh d'fhostóir an ghearánaí chun na leasanna dlisteanacha sin a shaothrú. Bhí sé seo amhlaidh toisc go raibh sé de rogha ag an bhfreastalaí carrchlóis, a bhí fostaithe ag an rialaitheoir sonraí, céimeanna a ghlacadh i gcoinne an ghearánaí, chun na leasanna dlisteanacha a bhaint amach, agus níor ghá go mbeadh fostóir an ghearánaí páirteach ann. Mar shampla, bhí lánrogha ag an bhfreastalaí carrchlóis cosc a chur ar an ngearánach an carrchlós a úsáid gan fostóir an ghearánaí a bheith bainteach leis. Ar an mbonn sin, chinn an DPC nár ghá don rialaitheoir sonraí fhostóir an ghearánaí a chur ar an eolas faoin eachtra ná na stadáin CCTV a chur ar fáil dó. Dá réir sin, ní raibh aon bhunús dlí ag an rialaitheoir sonraí chun é sin a dhéanamh agus sháraigh sé an reachtaíocht um chosaint sonraí.

Faoi Airteagal 6 den GDPR, ní féidir sonraí pearsanta a phróiseáil ach amháin sa chás go mbíonn  bonn dleathach ann chun é sin a dhéanamh. Tá bunús dlí amháin den chineál sin faoi Airteagal 6(1)(f), lena ndéantar foráil go bhfuil próiseáil dleathach más gá agus a mhéid is gá chun críche na leasanna dlisteanacha atá á saothrú ag an rialaitheoir nó ag tríú páirtí, ach amháin i gcás ina bhfuil na leasanna sin ag gabháil treise ar leasanna nó cearta bunúsacha nó saoirsí bunúsacha an té lena mbaineann na sonraí. Ba cheart do rialaitheoirí sonraí a bheith ar an eolas, áfach, nach leor a thaispeáint go bhfuil leas dlisteanach ann ó thaobh na sonraí pearsanta a phróiseáil; Ceanglaítear le hAirteagal 5(1)(c) agus le hAirteagal 6(1)(f) ar rialaitheoirí sonraí a bheith in ann a léiriú go bhfuil an phróiseáil atá i gceist teoranta don mhéid atá "riachtanach" chun críche na leasanna dlisteanacha sin.

 

11) Cás-Staidéar 11: Próiseáil is gá a dhéanamh chun conradh a chomhlíonadh

Bhí an gearánach seo páirteach i dtimpiste i gcarrchlós den fhoirgneamh ina raibh siad ag obair. Rinne bainisteoir an charrchlóis gearán le fostóir an ghearánaigh agus fuair fostóir an ghearánaigh íomhánna ón scannánaíocht CCTV den teagmhas ina dhiaidh sin. Tionscnaíodh imeachtaí araíonachta i gcoinne an ghearánaigh mar gheall ar an teagmhas sa charrchlós. Bhreathnaigh bainisteoir an ghearánaigh agus comhghleacaithe an ghearánaigh ar na híomhánna ón CCTV i gcomhthéacs na n-imeachtaí araíonachta.

Ba é fostóir an ghearánaigh an rialaitheoir sonraí i ndáil leis an ngearán, mar gheall gur rialaigh sé ábhar agus úsáid sonraí pearsanta an ghearánaigh chun críche fostaíocht an ghearánaigh a bhainistiú agus na himeachtaí araíonachta a stiúradh. Íomhánna den ghearánach a bhí sna sonraí pearsanta mar gheall gur bhain siad leis an ngearánach mar dhuine aonair agus gurbh fhéidir an gearánach a shainaithint iontu.

Mar fhreagra ar an ngearán, d'áitigh an rialaitheoir sonraí go raibh bunús dlí le sonraí pearsanta an ghearánaigh a phróiseáil faoin reachtaíocht de bharr gur úsáideadh na híomhánna CCTV chun cód cleachtais an fhostaí a fhorfheidhmiú, a bhí mar chuid de chonradh fostaíochta an ghearánaigh. Sloinneadh freisin, mar gheall ar chineál tromchúiseach an teagmhais a raibh an gearánach páirteach ann, go mba ghá don rialaitheoir sonraí imscrúdú a dhéanamh ar an teagmhas i gcomhréir le beartas araíonachta na cuideachta, a ndearnadh tagairt dó i gconradh fostaíochta an ghearánaigh. D’áitigh an  rialaitheoir sonraí freisin go raibh na híomhánna ón CCTV teoranta don teagmhas i gceist agus nár bhreathnaigh ach líon teoranta de na daoine a bhí rannpháirteach sa phróiseas araíonachta orthu.

Thug an DPC ar aird go gceadaítear, faoin reachtaíocht um chosaint sonraí, sonraí pearsanta duine a phróiseáil i gcás gur ghá an phróiseáil a dhéanamh chun conradh ar páirtí ann an t-ábhar sonraí (an duine a bhfuil a shonraí pearsanta á bpróiseáil) a chomhlíonadh. Thug an DPC ar aird gur fhéach an  rialaitheoir sonraí anseo lena áitiú go mba ghá na híomhánna ón CCTV a úsáid chun conradh fostaíochta an ghearánaigh a chomhlíonadh. Mar sin féin, ba é tuairim an DPC nár ‘ghá’ don  rialaitheoir sonraí pearsanta an ghearánaigh a bhí sna híomhánna ón CCTV a phróiseáil chun an conradh sin a chomhlíonadh. Le go n-éireodh leis an áitiú sin, bheadh ar an rialaitheoir sonraí a thaispeáint nárbh fhéidir leis conradh fostaíochta an ghearánaigh a chomhlíonadh gan sonraí pearsanta an ghearánaigh a phróiseáil. De bharr gur theip ar an rialaitheoir sonraí an DPC a shásamh gurbh amhlaidh an cás, breithníodh gur sháraigh an rialaitheoir sonraí an reachtaíocht um chosaint sonraí.

Thug an DPC ar aird freisin, gur ann do phrionsabail dlí áirithe nach mór do rialaitheoir sonraí cloí leo, sa bhreis ar an gceanglas go mbeadh bunús dlí le próiseáil, agus próiseáil sonraí pearsanta á dhéanamh aige. Tharraing sé aird ar an bhfíoras go gcaithfidh an phróiseáil a bheith leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil. Thug an DPC áitiú an rialaitheora sonraí go raibh na híomhánna ón CCTV teoranta don teagmhas i gceist agus nár bhreathnaigh ach líon teoranta de na daoine a bhí rannpháirteach sa phróiseas araíonachta orthu ar aird. Mar sin féin, bhí an DPC den tuairim gur theip ar an rialaitheoir sonraí a thaispeáint cén fáth go mba ghá na híomhánna ón CCTV a úsáid. Ar an mbunús sin, rinne an rialaitheoir sonraí sárú breise ar an reachtaíocht.

Faoi Airteagal 6 den GDPR, ní féidir sonraí pearsanta a phróiseáil ach amháin sa chás go bhfuil bunús dlí leis. Is bunús dlí amháin den sórt sin é Airteagal 6(1)(b), ina ndéantar foráil go bhfuil próiseáil dleathach más gá agus a mhéid is gá an phróiseáil a dhéanamh chun conradh ar páirtí ann an t-ábhar sonraí a chomhlíonadh. Caithfidh rialaitheoirí sonraí a bheith ar an eolas, áfach, nach leormhaith a thaispeáint go bhfuil bunús conarthach le próiseáil na sonraí pearsanta agus sin amháin; ceanglaítear faoi Airteagail 5(1)(c) agus 6(1)(b) ar rialaitheoirí sonraí a bheith in ann a thaispeáint go bhfuil an phróiseáil i gceist teoranta don mhéid “is gá” chun an conradh a chomhlíonadh.

 

12) Cás-Staidéar 12: Léirithe rúnda tuairime agus iarrataí ar rochtain ón té lena mbaineann

Rinne an gearánaí seo iarratas chuig a fhostóir chun rochtain a fháil ar ábhar. Mhaígh an gearánaí, áfach, gur fhág a fhostóir cumarsáidí áirithe ar lár óna fhreagra, gur choinnigh sé siar sonraí go héagórach ar an mbonn gur tuairim a bhí ann a tugadh faoi rún agus nár fhreagair sé an t-iarratas laistigh den tréimhse ama riachtanach mar atá leagtha amach sa reachtaíocht.

Ba é fostóir an ghearánaí an rialaitheoir sonraí toisc go raibh smacht aige ar an ábhar agus ar úsáid sonraí pearsanta an ghearánaí ar mhaithe le bainistiú a dhéanamh ar fhostaíocht an ghearánaí. Is éard a bhí sna sonraí a bhaineann le hábhar ná comhad AD an ghearánaí agus sonraí a bhain le riarachán fhostaíocht an ghearánaí. Sonraí pearsanta a bhí sna sonraí toisc go bhféadfaí an gearánaí  a aithint uathu agus gur bhain na sonraí leis an ngearánaí mar dhuine aonair.

Nuair a bhí scrúdú á dhéanamh ar an ngearán, d'aithin an rialaitheoir sonraí doiciméid bhreise ina raibh sonraí pearsanta an ghearánaí agus chuir siad iad seo ar fáil don ghearánaí. I ndáil leis an doiciméad ar dhearbhaigh an rialaitheoir sonraí ina thaobh gur tuairim a bhí ann tugadh faoi rún, le linn imscrúdú an ghearáin seo, léirigh an duine a thug an tuairim a bhí faoi chaibidil go raibh sé sásta go scaoilfí an doiciméad lena chur faoi bhráid an ghearánaí, agus dá bharr sin chuir an rialaitheoir sonraí an doiciméid ar fáil don ghearánaí.

Tugann an reachtaíocht um chosaint sonraí ceart rochtana ar a shonraí pearsanta don té lena mbaineann na sonraí agus, chomh maith leis sin, ní mór an rochtain sin a thabhairt laistigh de thréimhse ama áirithe. Tar éis do an gearán a fhiosrú, ní raibh an DPC sásta go ndearna an rialaitheoir sonraí na cuardaithe cuí agus gur thug sé don ghearánaí na sonraí pearsanta ar fad, a raibh an gearánaí ina dteideal de réir an dlí. Ba cheart go mbeadh na doiciméid a chuir an rialaitheoir sonraí ar fáil don té atá i gceist leis na sonraí le linn an scrúdaithe ar an ngearán seo, tugtha dó laistigh den tréimhse ama a bhfuil foráil dó sa reachtaíocht.

Faoi Airteagal 15 den GDPR, tá sé de cheart ag an té lena mbaineann na sonraí, rochtain a fháil ó rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, agus atá á bpróiseáil. Ní mór don rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ón té atá i gceist leis na sonraí gan an iomarca moille agus pé scéal é laistigh de mhí amháin ón am a raibh an t-iarratas faighte. Mar sin féin, foráiltear le halt 60 den Acht um Chosaint Sonraí 2018 nach gclúdaíonn an ceart rochtana ar shonraí sonraí faoin té atá i gceist leis na sonraí, in ar nocht duine eile tuairim faoi rún, nó ar an tuiscint go bhféachfaí air mar ábhar faoi rún, do dhuine a bhfuil ceart dlisteanach aige nó aici an fhaisnéis sin a fháil.

 

13) Cás-Staidéar 13: Sonraí sláinte a phróiseáil

Bhí an gearánach ina bhall de scéim árachais cosanta ioncaim agus bhí cead neamhláithreachta ón obair acu de dheasca breoiteachta. Fostóir an ghearánaigh a d’eagraigh an scéim árachais cosanta ioncam. Chun éileamh a dhéanamh faoin scéim, ceanglaíodh ar an bhfostaí freastal ar choinní leighis a d’eagraigh cuideachta árachais. Níor roinneadh faisnéis a bhain le breoiteacht an ghearánaigh ach leis an gcuideachta árachais. Mar sin féin, chuir cuideachta tríú páirtí (nach raibh a rannpháirtíocht san éileamh ar eolas ag an ngearánach) faisnéis ar aghaidh chuig fostóir an ghearánaigh maidir leis na coinní liachta a ceanglaíodh ar an ngearánach freastal orthu. San áireamh san fhaisnéis bhí réimse speisialtóireachta na ndochtúirí i gceist.

Fuarthas gurbh í an chuideachta árachais an rialaitheoir sonraí mar gheall gur rialaigh sé ábhar agus úsáid sonraí pearsanta an ghearánaigh chun críche éileamh an ghearánaigh faoin scéim árachais a bhainistiú agus riarachán a dhéanamh ina leith. I measc na sonraí i gceist bhí mionsonraí faoi bhreoiteacht an ghearánaigh, coinní leighis sceidealaithe agus cóireáil bheartaithe agus measadh gur sonraí pearsanta a bhí iontu de bharr gurbh fhéidir an gearánach a shainaithint uathu agus gur bhain siad leis an ngearánach mar dhuine aonair.

Le linn an imscrúdaithe, d’áitigh an rialaitheoir sonraí go raibh foirm sínithe ag an ngearánach ar a raibh ráiteas a dhearbhaigh gur thug an gearánach toiliú don rialaitheoir sonraí faisnéis maidir le breoiteacht an ghearánaigh a lorg. Nuair a d’iarr an DPC air soiléiriú a thabhairt ar an bhfáth gur roinn sé an fhaisnéis maidir le coinní leighis an ghearánaigh leis an gcuideachta tríú páirtí (ar bróicéir na scéime árachais é), chuir an rialaitheoir sonraí in iúl go ndearna sé amhlaidh chun nuashonrú a thabhairt don bhróicéir agus lena chinntiú go ndéanfaí dul chun cinn tapa ar an gcás.  

Shloinn an rialaitheoir sonraí go raibh oibleagáid reachtúil air faisnéis áirithe a sholáthar don ghearánach. Go sonrach, go raibh oibleagáid reachtúil ar an rialaitheoir sonraí faighteoirí na sonraí pearsanta nó catagóirí fhaighteoirí na sonraí pearsanta a chur in iúl don ghearánach. Thug an DPC ar aird, cé gur thug an rialaitheoir sonraí fógra don ghearánach go raibh seans go lorgódh sé sonraí pearsanta a bhain leo, gur theip air faisnéis leormhaith a sholáthar don ghearánach maidir le faighteoirí sonraí pearsanta an ghearánaigh.

Ceanglaítear faoin reachtaíocht um chosaint sonraí freisin go gcaithfidh sonraí a choimeádann rialaitheoir sonraí a bheith leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha ar bailíodh na sonraí pearsanta chucu. Scrúdaigh an DPC an fáth a thug rialaitheoir sonraí le faisnéis faoi chineál choinní leighis an ghearánaigh a nochtadh (i.e. chun nuashonrú a thabhairt don bhróicéir agus lena chinntiú go ndéanfadh dul chun cinn tapa ar an gcás). Ba é tuairim an DPC gurbh iomarcach ag an rialaitheoir sonraí é faisnéis maidir le cineál sonrach na gcoinní leighis, lena n-áirítear speisialtóireachtaí na ndochtúirí i gceist, a nochtadh don chuideachta tríú páirtí.

Thug an DPC ar aird go dtugtar cosaint bhreise do shonraí maidir le sláinte faoin reachtaíocht um chosaint sonraí. Ba é tuairim an DPC, de bharr go raibh mionsonraí faoi speisialtóireachtaí na ndochtúirí i gceist san áireamh san fhaisnéis a nocht an rialaitheoir sonraí, gur thug sí cineál féideartha bhreoiteacht an ghearánaigh le tuiscint agus dá bharr sin gur thairbhigh sí an chosaint bhreise sin. Dheimhnigh an DPC go raibh toirmeasc ar na sonraí i gceist a phróiseáil, mar gheall ar an gcosaint bhreise, ach amháin sa chás go raibh feidhm le ceann amháin de líon coinníollacha sonraithe ina leith. Mar shampla (agus é ábhartha anseo), d’fhéadfaí na sonraí pearsanta a bhain leis an tsláinte a phróiseáil go dleathach sa chás gur thug an gearánach toiliú sainráite don rialaitheoir sonraí go ndéanfaí an phróiseáil. Bhreithnigh an DPC ansin cibé an bhféadfaí nó nach bhféadfaí a rá gurbh ionann an fhoirm éilimh (ar a raibh an t-alt maidir le toiliú a thabhairt don rialaitheoir sonraí faisnéis a lorg) a bheith sínithe ag an ngearánach agus toiliú sainráite go ndéanfaí an fhaisnéis a bhain le coinní leighis an ghearánaigh a phróiseáil (a nochtadh). Thug an DPC ar aird go bhféadfaí a rá gur tugadh toiliú sainráite an ghearánaigh go ndéanfadh an rialaitheoir sonraí faisnéis den sórt sin a lorg. Mar sin féin, níor thug an gearánach a dtoiliú sainráite go dtabharfadh an rialaitheoir sonraí faisnéis den sórt sin do thríú páirtithe. Ar an mbunús sin, d’áitigh an DPC go raibh sárú breise ar an reachtaíocht déanta ag an rialaitheoir sonraí i ndáil leis sin.

Faoi Airteagal 13 den GDPR, i gcás go mbailítear sonraí pearsanta a bhaineann le hábhar sonraí ón ábhar sonraí, tá ceanglas ar an rialaitheoir sonraí faisnéis áirithe a thabhairt don ábhar sonraí an tráth a gheofar na sonraí pearsanta, amhail céannacht agus sonraí teagmhála an rialaitheora sonraí agus, i gcás inarb infheidhme, sonraí teagmhála a Oifigigh Cosanta Sonraí, críocha na próiseála dá bhfuil na sonraí pearsanta beartaithe chomh maith leis an mbunús dlí don phróiseáil, agus faighteoirí na sonraí, más ann dóibh, chomh maith le faisnéis maidir le cearta an ábhair sonraí. Tá an fhaisnéis sin beartaithe a chinntiú go ndéanfar sonraí pearsanta a phróiseáil ar bhealach cothrom agus trédhearcach. I gcás ina bhfuarthas na sonraí pearsanta ar shlí éigin seachas ón ábhar sonraí féin, ceanglaítear go dtabharfaí faisnéis bhreise don ábhar sonraí, faoi Airteagal 14 den GDPR. Ní mór an fhaisnéis sin a thabhairt i bhfoirm atá gonta, trédhearcach, intuigthe agus a bhfuil rochtain éasca uirthi.

De bhreis air sin, ceanglaítear leis an bprionsabal um íoslaghdú sonraí faoi Airteagal 5(1)(c) go mbeadh sonraí pearsanta leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil. Ciallaíonn sin gur cheart an tréimhse a stóráiltear sonraí pearsanta a theorannú don tréimhse is lú agus is féidir agus nár cheart sonraí pearsanta a phróiseáil ach amháin i gcás nach bhféadfaí cuspóir na próiseála a bhaint amach go réasúnach ar shlí eile.  

Ar deireadh, is ceart do rialaitheoirí sonraí a thabhairt ar aird go meastar gur “chatagóir speisialta sonraí pearsanta” iad sonraí pearsanta a bhaineann leis an tsláinte faoi Airteagal 9 den GDPR agus go bhfuil siad faoi réir ag rialacha sonracha, mar aitheantas go bhfuil siad thar a bheith íogair, de réir a nádúir agus mar gheall ar an riosca sonrach do chearta agus saoirse bunúsacha ábhair sonraí a d’fhéadfaí a chruthú trí bhíthin sonraí den sórt sin a phróiseáil.  Ní cheadaítear sonraí sláinte a phróiseáil ach amháin i gcásanna áirithe mar a ndéantar foráil dóibh in Airteagal 9(2) den GDPR agus in ailt 45 go 54 den Acht um Chosaint Sonraí 2018, mar shampla, i gcás gur thug an t-ábhar sonraí toiliú sainráite don phróiseáil chun críche sonraithe amháin nó níos mó.

 

14) Cás-Staidéar 14: Iarrataí ar rochtain agus ábhar atá faoi phribhléid dhlíthiúil

Bhain an gearán seo le freagra neamhiomlán a bhí tugtha, a dúradh, ar iarrataí ar rochtain ó ábhar sonraí. Ba é cúlra an ghearáin seo gur chuir an gearánaí iarraidh rochtana faoi bhráid iontaobhaithe scéime pinsin (na “hIontaobhaithe”). Mar chuid dá bhfreagra ar an iarraidh ar rochtain, thagair na hIontaobhaithe do dhréachtlitir a bhain leis an ngearánaí; níor cuireadh an dréachtlitir seo ar fáil don ghearánaí, áfach.

Dearbhaíodh gurbh iad na hIontaobhaithe an rialaitheoir sonraí toisc go raibh smacht acu ar an ábhar agus ar úsáid shonraí pearsanta an ghearánaí chun críocha phinsean an ghearánaí. Is éard a bhí sna sonraí a bhain le hábhar ná (i measc nithe eile) faisnéis a bhain le fostaíocht agus pinsean an ghearánaí agus ba shonraí pearsanta iad toisc gur bhain siad leis an ngearánaí mar dhuine aonair agus go bhféadfaí an gearánaí a aithint uathu.

D'fhéach an rialaitheoir sonraí lena mhaíomh go raibh pribhléid dhlíthiúil ag an dréachtlitir agus, dá bhrí sin, nár ceanglaíodh ar an rialaitheoir sonraí í a chur ar fáil don ghearánaí. Lorg an Coimisinéir um Chosaint Sonraí tuilleadh eolais ón rialaitheoir sonraí maidir leis an maíomh gur bhain pribhléid leis an  dréachtlitir. Mar fhreagra air sin, níor thug an rialaitheoir sonraí soiléireacht ar an mbunús a bhí leis an dearbhú go raibh pribhléid dhlíthiúil ag an dréachtlitir, ach thoiligh sé, áfach, na sonraí a chur ar fáil don ghearánaí.

Socraíodh, dá bhrí sin, gur theip ar an rialaitheoir sonraí a chruthú go raibh sé i dteideal brath ar an díolúine i ndáil le sonraí atá faoi phribhléid dhlíthiúil. Dá réir sin, ba cheart go mbeadh an litir curtha ar fáil don ghearánaí, mar fhreagra ar iarraidh rochtana an ghearánaí, laistigh den tréimhse ama atá leagtha amach sa reachtaíocht.

Faoi Airteagal 15 den GDPR, tá sé de cheart ag ábhar sonraí rochtain a fháil ó rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, atá á bpróiseáil. Ní mór don rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ón ábhar sonraí gan rómhoill agus pé scéal é laistigh de mhí amháin ó bhí an t-iarratas faighte. Mar sin féin, níl feidhm ag an gceart rochtana ar shonraí pearsanta duine nuair a bhíonn sonraí pearsanta a bpróiseáil chun comhairle dlí a lorg, a fháil nó a thabhairt nó i gcás sonraí pearsanta a bhféadfaí pribhléid a dhearbhú ina leith chun críche imeachtaí dlíthiúla nó le linn imeachtaí dlíthiúla. Nuair a fhéachann rialaitheoir sonraí le pribhléid a dhearbhú i dtaca le faisnéis atá á lorg ag an té lena mbaineann sonraí, cuirfidh an DPC de cheangal ar an rialaitheoir sonraí, agus scrúdú a dhéanamh ar ghearán toisc a dhiúltaithe, faisnéis shuntasach a chur ar fáil, lena n-áirítear míniú ar an mbonn ar a bhfuil pribhléid á dhearbhú ag an rialaitheoir sonraí, ionas gur féidir bailíocht na pribhléide a mheas i gceart.

 

15) Cás-Staidéar 15: Próiseáil i gcomhthéacs imscrúdú san ionad oibre

Bhí baint ag an ngearánaí le himscrúdú san ionad oibre i ndiaidh líomhaintí a rinne an gearánaí i gcoinne comhghleacaí. Cheap fostóir an ghearánaí gnólacht comhairleoireachta neamhspleách (“an Chuideachta Chomhairliúcháin") chun an t-imscrúdú a dhéanamh agus bhí torthaí na Cuideachta Comhairleoireachta faoi réir athbhreithniú ag painéal neamhspleách.

Tar éis an t-imscrúdú san ionad oibre a thabhairt chun críche, rinne an gearánaí iarratas ar rochtain sonraí chuig a bhfostóir agus cuireadh roinnt doiciméad ar fáil i ndiaidh an iarratais sin. Bhí an gearánaí den tuairim, áfach, nár freagraíodh an t-iarratas go hiomlán. Mar shampla, mhaígh an gearánaí go raibh na ráitis a thug finné (le linn an imscrúdaithe), a cuireadh ar fáil don ghearánaí, míchruinn ó thaobh na bhfíricí de agus nár cuireadh doiciméid áirithe ar fáil don ghearánaí (amhail logaí rochtana ar chomhaid phearsanta an ghearánaí). Líomhain an gearánaí freisin gur nocht a fhostóir, le comhghleacaithe an ghearánaí, sonraí faoi fheidhmíocht oibre an ghearánaí, socruithe saoire breoiteachta agus cóipeanna de dhuillíní pá an ghearánaí. Ar deireadh, mhaígh an gearánaí gur theip ar a bhfostóir cloí le hiarratais an ghearánaí ar cheartú na ráitis finné (a líomhnaigh an gearánaí a bhí mícheart ó thaobh fíricí de).

Cruthaíodh gurbh é fostóir an ghearánaí an rialaitheoir sonraí toisc gur rialaigh sé sonraí an ghearánaí i gcomhthéacs an imscrúdaithe san ionad oibre. Sna sonraí sin, bhí faisnéis phárolla an ghearánaí, faisnéis a bhaineann le saoire bhreoiteachta an ghearánaí agus ráitis finné a bhaineann leis an ngearánaí. Sonraí pearsanta a bhí sna sonraí toisc gur bhain siad leis an ngearánaí mar dhuine ar leith agus d'fhéadfaí an gearánaí a aithint uaidh.

Mar fhreagra ar líomhain an ghearánaí nár freagraíodh a iarratas rochtana go hiomlán, dúirt an rialaitheoir sonraí, maidir le ráitis an fhinné, gur cuireadh cóipeanna de ráitis bhunaidh an fhinné ar fáil don ghearánaí a coinníodh ar chomhad an ghearánaí. Maidir leis na logaí rochtana, bhí an rialaitheoir sonraí den tuairim nach sonraí pearsanta iad sin (toisc gur coinníodh cuntas ar ghluaiseacht dhigiteach fostaithe eile ar chórais TF an rialaitheora sonraí). I dtaca le cáipéisí éagsúla eile a mhaígh an gearánaí nach bhfuair sé, thug an rialaitheoir sonraí le fios, dá bhféadfadh an gearánaí sonraí na ndoiciméad sin a shonrú, go ndéanfadh sé líomhain an ghearánaí a mheas tuilleadh.

Maidir leis an ngearán gur nocht an rialaitheoir sonraí faoi fheidhmíocht oibre an ghearánaí le  comhghleacaithe an ghearánaí, d'áitigh an rialaitheoir sonraí go bpléifí feidhmíocht an ghearánaí le bainisteoirí an ghearánaí agus dá bhrí sin, gur nochtadh é ar chúiseanna dlisteanacha gnó. I dtaca leis an ngearán a rinneadh faoi nochtadh sonraí maidir le saoire bhreoiteachta an ghearánaí, thug an rialaitheoir sonraí le fios nár nochtadh aon rud den sórt sin go bhfios dó. Ar deireadh, maidir leis an líomhain gur nochtadh duillíní pá an ghearánaí, d'áitigh an rialaitheoir sonraí gur cuireadh ar fáil iad d'fhostaí de chuid an rialaitheora sonraí le hathbhreithniú a dhéanamh orthu i gcomhthéacs cás ar leith a rinne an gearánaí.

Rinne an gearánaí iarratas freisin ar cheartú ráiteas finné, a líomhnaigh an gearánaí a bhí míchruinn ó thaobh na bhfíricí de.  Mar sin féin, chuir an rialaitheoir sonraí in iúl gurbh ionann an méid a taifeadadh sna ráitis finné agus tuairimí na ndaoine a bhí i gceist agus, ar an mbonn sin, dhiúltaigh sé na ráitis finné a leasú.

Bhí an DPC den tuairim go raibh cúig shaincheist le scrúdú aige maidir leis an ngearán. Tugtar achoimre thíos ar dhearcadh an DPC ar gach ceann de na saincheisteanna sin (faoi cheannteidil a léiríonn gach ceann de na cúig shaincheist).

Iarratas ar rochtain

Thug an DPC faoi deara go raibh iarratas bailí rochtana déanta ag an ngearánaí. Mar sin féin, tar éis dó an t-ábhar a bhreithniú tríd is tríd, bhí an DPC den tuairim nach raibh aon fhianaise ar fáil a thabharfadh le fios gur choinnigh an rialaitheoir sonraí faisnéis siar go neamhdhleathach. Thug an DPC faoi deara, áfach, nár láimhseáladh iarratas rochtana sonraí an ghearánaí sa tréimhse ama a éilítear faoin reachtaíocht. Mar sin, bhí sárú cosanta sonraí déanta ag an rialaitheoir sonraí ina thaobh sin.

Faoi Airteagal 12(3) den GDPR, tá sé de cheart ag duine faoi réir sonraí rochtain a fháil ó rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, atá á bpróiseáil. Ní mór don rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ábhair gan aon mhoill agus in aon chás laistigh de mhí amháin tar éis glacadh leis an iarratas.

Líomhain  i dtaca le nochtadh neamhúdaraithe ar shonraí pearsanta an ghearánaí

Ní mór do rialaitheoirí bunús dleathach a bheith acu, faoin reachtaíocht um chosaint sonraí chun sonraí pearsanta a phróiseáil, lena n-áirítear na sonraí sin a nochtadh le tríú páirtí. Maidir le sonraí a nochtadh i dtaca le feidhmíocht oibre an ghearánaí, bhí an DPC den tuairim go raibh an phróiseáil sin dleathach ó tharla gur bhain sé le cúiseanna dlisteanacha gnó. Maidir le sonraí saoire breoiteachta a nochtadh, chinn an DPC nár tugadh dóthain faisnéise a bhain leis an teagmhas líomhnaithe chun a chinneadh ar sáraíodh an reachtaíocht. Maidir le nochtadh duillíní pá an ghearánaí, bhí an DPC den tuairim go raibh an nochtadh dleathach toisc gur nochtadh na duillíní pá chun cabhrú leis an rialaitheoir sonraí éileamh dlíthiúil ar leithligh a chosaint a rinne an gearánaí ina choinne.

Faoi Airteagal 6 den GDPR, ceanglaítear ar rialaitheoir sonraí bunús dlí a bheith leis an bpróiseáil ar aon sonraí pearsanta (lena n-áirítear iad a nochtadh). Áirítear ar na bunúis dlí sin atá bailí lena bpróiseáil (a) go bhfuil toiliú tugtha ag an ábhar sonraí, (b) go bhfuil gá leis an bpróiseáil chun conradh a chomhlíonadh a bhfuil an t-ábhar sonraí ina pháirtí ann, (c) go bhfuil gá leis an bpróiseáil chun oibleagáid dhlíthiúil a bhfuil an rialaitheoir sonraí faoina réir a chomhlíonadh, (d) go bhfuil gá leis an bpróiseáil chun leas an duine aonair a chosaint, (e) go bhfuil gá leis an bpróiseáil chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail, nó (f) go bhfuil gá leis an bpróiseáil chun críocha leasanna dlisteanacha a dtugann an rialaitheoir sonraí nó tríú páirtí faoi.

Próiseáil chóir

Tá oibleagáid ar rialaitheoirí sonraí sonraí pearsanta a phróiseáil go cothrom. Le linn a imscrúdaithe,   d'iarr an DPC ar an rialaitheoir sonraí a dheimhniú conas a chomhlíon sé a oibleagáidí maidir le sonraí an ghearánaí a phróiseáil ar bhealach cóir, i dtaca le gach ceann de na nochtuithe líomhnaithe ar shonraí pearsanta an ghearánaí. Theip ar an rialaitheoir sonraí an fhaisnéis a theastaíonn a chur ar fáil agus mar sin, mheas an DPC gur theip ar an rialaitheoir sonraí sonraí an ghearánaí a phróiseáil, i gcomhréir le hoibleagáidí próiseála córa.

Faoin GDPR, ní mór sonraí pearsanta a phróiseáil go dleathach, go cothrom agus ar bhealach trédhearcach i ndáil leis an ábhar sonraí. Ceanglaítear leis an bprionsabal sin go ndéanfar faisnéis áirithe a chur ar fáil don ábhar sonraí faoi Airteagal 13 agus Airteagal 14 den GDPR maidir leis an oibríocht phróiseála a bheith ann agus chun críocha na hoibríochta sin. Ba cheart na hábhair sonraí a chur ar an eolas faoi rioscaí, rialacha, agus coimircí i ndáil le próiseáil a gcuid sonraí pearsanta. I gcás inar féidir sonraí pearsanta a nochtadh go dlisteanach d'fhaighteoir eile, ba cheart do rialaitheoirí sonraí an t-ábhar sonraí a chur ar an eolas nuair a nochtar na sonraí pearsanta den chéad uair don bhfaighteoir nó do chatagóirí faighteoirí na sonraí pearsanta.

An ceart go ndéanfaí ceartúcháin

Faoin reachtaíocht um Chosaint Sonraí, tá ceart ann chun sonraí pearsanta míchruinne a cheartú. Dheimhnigh an rialaitheoir sonraí anseo, áfach, gurbh ionann an méid a taifeadadh sna ráitis finné agus tuairimí na ndaoine a bhí i gceist. Glacadh leis an dearcadh, i gcás ina dtaifeadtar tuairim i gceart agus i gcás ina bhfuil an tuairim bunaithe go hoibiachtúil ar nithe a chreidfeadh an duine a thugann an tuairim a bheith fíor, nach bhfuil feidhm ag an gceart go ndéanfaí ceartúcháin.   

Faoi Airteagal 5 den GDPR, ní mór sonraí pearsanta atá á bpróiseáil a bheith cruinn agus, nuair is gá, iad a bheith cothrom le dáta agus ceanglaítear ar rialaitheoirí sonraí a chinntiú go ndéantar gach beart réasúnta chun a chinntiú go scriostar nó go gceartaítear sonraí míchruinne, agus cuspóir a bpróiseála ar intinn. Faoi Airteagal 16 den GDPR, tá sé de cheart ag ábhar sonraí go gceartóidh rialaitheoir sonraí sonraí pearsanta míchruinne a bhaineann leis nó léi gan aon mhoill. Faoi alt 60 den Acht um Chosaint Sonraí 2018, áfach, tá an ceart seo teoranta sa mhéid is gur léiriú tuairime ó dhuine eile iad na sonraí pearsanta faoin ábhar sonraí a tugadh faoi rún nó ar an tuiscint go gcaithfeadh duine leis i modh rúin agus leas dlisteanach aige an fhaisnéis a fháil.

Sonraí pearsanta an ghearánaí a choimeád

D'iarr an DPC ar an rialaitheoir sonraí breac-chuntas a thabhairt ar an mbunús dlí maidir le sonraí pearsanta an ghearánaí a choinneáil (i.e. próiseáil) i dtaca le himscrúdú an ionaid oibre. Chuir an rialaitheoir sonraí in iúl go raibh na sonraí seo á gcoimeád d'fhonn iarratais agus achomhairc an ghearánaí a láimhseáil faoi phróisis reachtúla éagsúla. Ar an mbonn sin, bhí an DPC den tuairim go raibh sé dleathach go gcoinneofaí sonraí pearsanta an ghearánaí mar go raibh baint aige le cúiseanna dlisteanacha gnó.

Faoin GDPR, ní hamháin go gcaithfidh bunús dleathach a bheith ag rialaitheoir sonraí chun sonraí pearsanta duine aonair a fháil ar dtús, ach ní mór bunús dlí leanúnach a bheith leis chun na sonraí sin a choinneáil de réir Airteagal 6, mar a leagtar amach thuas. Faoi Airteagal 5(1)(e) den GDPR, níl cead sonraí pearsanta a chuireann in iúl cé hé / cé hí an t-ábhar sonraí a choinneáil ar feadh tréimhse níos faide ná mar is gá chun na gcríoch dá bpróiseáiltear iad.