Cás-Staidéar
Seo a leanas liosta de na cás-staidéir, de réir bliana, nach raibh le feiceáil i dTuarascálacha Bliantúla ar an DPC. Soláthraíonn na cás-staidéar léargas ar roinnt de na saincheisteanna á imscrúdú ar an DPC ó lá go lá.
- Faisnéis mhíchruinn á coinneáil ar chóras baincéireachta
- Mainneachtain iarraidh ar rochtain a fhreagairt go hiomlán
- Úsáid TCI san ionad oibre
- Rochtain ar phíosa scannáin TCI
- Oibleagáid cúiseanna a thabhairt agus rochtain ar shonraí pearsanta á diúltú
- Próiseáil Sonraí Catagóire Speisialta
- Tuilleadh próiseála chun críche atá comhréireach
- Bearta slándála iomchuí agus sonraí leighis á bpróiseáil
- Bearta slándála cuí
- Próiseáil atá riachtanach chun críche leasanna dlisteanacha atá á saothrú ag rialaitheoir
- Próiseáil is gá a dhéanamh chun conradh a chomhlíonadh
- Léirithe rúnda tuairime agus iarrataí ar rochtain ón té lena mbaineann
- Sonraí sláinte a phróiseáil
- Iarrataí ar rochtain agus ábhar atá faoi phribhléid dhlíthiúil
- Próiseáil i gcomhthéacs imscrúdú san ionad oibre
- Réiteach Cairdiúil – Cruthúnas Aitheantais agus Íoslaghdú Sonraí
- Réiteach Cairdiúil – An Ceart go nDéanfaí Léirscriosadh agus Ábhar arna Ghiniúint ag Úsáideoirí
- Réiteach Cairdiúil i nGearán Trasteorann – An Ceart go nDéanfaí Léirscriosadh
- Réiteach Cairdiúil – An Ceart go nDéanfaí Léirscriosadh
- Grianghraf a Nochtadh agus a Fhoilsiú gan Údarú
- An bunús dlíthiúil i leith próiseáil agus slándáil na próiseála
- Iarraidh ar scriosadh agus spleáchas ar an gCód um Chosaint Tomhaltóirí
- Baint a bheith ag bailitheoir fiach
- Bearta slándála cuí do shonraí sláinte a sheoltar trí ríomhphost
- Rochtain ar ríomhphost fostaí ar sheirbhís ríomhphoist chorparáideach
- Sonraí pearsanta comhalta arna nochtadh ag comhar creidmheasa le gnólacht imscrúduithe príobháideacha
- Cruinneas sonraí
- Sonraí arna gcoinneáil ag banc maidir le hiarratas ar iasacht a tarraingíodh siar
- Rochtain ar fhaisnéis a bhaineann le measúnú creidmheasa bainc
- Úsáid a bhaint as sonraí svaidhpchárta fostaí chun críocha araíonachta
- Ainm agus uimhir ghutháin shoghluaiste iriseora á nochtadh ag pearsa poiblí
- Próiseáil bhreise le haghaidh cuspóir comhoiriúnach
- Íomhánna CCTV de chustaiméir phróiseáil ar bhealach cothrom agus dlíthiúil
- Nochtadh sonraí pearsanta agus airgeadais do thríú páirtí agus iarratas scriosta
- Próiseáil agus nochtadh neamhdhleathach sonraí catagóirí speisialta
- Próiseáil neamhdhleathach agus iarratas scriosta
- Nochtadh, toiliú próiseála a tharraing siar agus iarratas duine ar a shonraí/ar a sonraí
- Próiseáil neamhdhleathach sonraí catagóirí speisialta
- Nochtadh sonraí pearsanta
- Próiseáil chothrom sonraí pearsanta
- Próiseáil neamhdhleathach ar ghrianghraf agus iarraidh léirscriosta faoi Airteagal 17 GDPR
- Bearta teicniúla agus eagraíochtúla
- Iarraidh ar rochtain tar éis cuntas a chur ar fionraí
- An ceart go ndéanfaí ligean i ndearmad - alt nuachta agus grianghraf ar líne a bhaint
- Próiseáil neamhdhleathach sonraí pearsanta ag cuideachta bainistíochta dramhaíola
- Iarraidh go léirscriosfaí sonraí bithmhéadracha ó bhunachar sonraí an fhostóra
- Gearán á rá gur iarr gníomhaire ligin méid iomarcach sonraí pearsanta
- Gearán faoi líon iomarcach ceamaraí TCI san áit oibre
- Iarraidh ar cheartú maidir le faisnéis mhíchruinn i dtuarascáil Alt 20
- Diúltaíonn ospidéal iarraidh léirscriosta a bhaineann le sonraí catagóire speisialta
1) Cás-Staidéar 1: Faisnéis mhíchruinn á coinneáil ar chóras baincéireachta
Sa chás seo, bhí morgáiste ar mhaoin ag an ngearánach chomh maith le duine aonair eile. D’fhág an gearánach agus an duine aonair eile an mhaoin bhunaidh agus d’aistrigh an bheirt acu go seoltaí ar leith. In ainneoin gurbh eol don bhanc é sin, sheol banc an ghearánaigh comhfhreagras a bhain le morgáiste an ghearánaigh chuig seanseoladh an ghearánaigh, áit ar oscail na tionóntaí in situ é.
Mar fhreagra, luaigh banc an ghearánaigh gur tógadh córas morgáiste an bhainc ar an mbunús go mbeadh seoladh comhfhreagrais amháin ann agus, i gcásanna nach raibh seoladh comhfhreagrais amháin aontaithe a thuilleadh ag comhpháirtithe an mhorgáiste, gurb éigean é sin a bhainistiú de láimh, lasmuigh den chóras, agus gur eascair earráidí uaidh sin uaireanta.
Ba léir gurb é banc an ghearánaigh an rialaitheoir sonraí chun críocha an ghearáin, de bhrí gur rialaigh an banc sonraí pearsanta an ghearánaigh chun morgáiste an ghearánaigh a bhainistiú. Is éard a bhí sna sonraí atá faoi thrácht (i measc nithe eile) ná faisnéis airgeadais i dtaca le morgáiste an ghearánaigh leis an rialaitheoir sonraí. Sonraí pearsanta a bhí sna sonraí de bharr gur bhain siad leis an ngearánach mar dhuine aonair agus de bharr go bhféadfaí an gearánach a aithint astu.
Sa reachtaíocht Cosanta Sonraí, GDPR san áireamh, leagtar amach prionsabail shoiléire dlí nach mór do rialaitheoirí sonraí cloí leo nuair atá sonraí pearsanta duine á bpróiseáil acu. I gcás an éilimh seo, baineann ábharthacht ar leith leis an oibleagáid go gcinnteofaí go bhfuil na sonraí cruinn agus á gcoinneáil suas chun dáta nuair is gá mar aon leis an oibleagáid go mbeadh bearta cuí slándála i bhfeidhm chun sonraí pearsanta a chosaint.
Agus na prionsabail sin á gcur i bhfeidhm ar fhíricí an ghearáin seo, trí sheoladh as dáta a choimeád le haghaidh an ghearánaigh agus trí chomhfhreagras don ghearánach a sheoladh chuig an seoladh sin, mhainnigh an rialaitheoir sonraí sonraí pearsanta an ghearánaigh a choinneáil suas chun dáta (Airteagal 5(1)(d)). Chomh maith leis sin, i bhfianaise na bpíosaí iomadúla comhfhreagrais a seoladh chuig an seoladh mícheart, mhainnigh bearta slándála an rialaitheora sonraí sonraí an ghearánaigh a chosaint mar is cuí (Airteagal 5(1)(f)). Tá an oibleagáid bearta iomchuí a chur i bhfeidhm faoi Airteagal 5(1)(f) le léiriú i gcomhréir le hAirteagal 32 den GDPR, a leagann ceisteanna amach nach mór don rialaitheoir sonraí a chur san áireamh nuair a bheifear ag deimhniú an bhfuil bearta cuí slándála i bhfeidhm.
2) Cás-Staidéar 2: Mainneachtain iarraidh ar rochtain a fhreagairt go hiomlán
Bhain an gearán seo le hiarratas ar rochtain a rinne an gearánach. Bhí an gearánach míshásta gur dhiúltaigh an rialaitheoir sonraí, Comhairle Contae, dá iarratas ar rochtain ar chóip d’aon fhaisnéis faoin ngearánach arna choinneáil ag an rialaitheoir sonraí de láimh agus i bhfoirm leictreonach. Ina ionad sin chuir an rialaitheoir sonraí in iúl don ghearánach go raibh na comhaid a iarradh ar fáil ar líne nó ar fáil le breathnú orthu in áitreabh an rialaitheora sonraí.
Le linn don imscrúdú ar an ngearán seo a bheith ar bun, líomhain an gearánach nárbh ionann na comhaid a cuireadh ar fáil don ghearánach in áitreabh an rialaitheora sonraí agus na sonraí pearsanta uile a bhain leis an ngearánach a bhí á gcoinneáil ag an rialaitheoir sonraí.
Bhí an rialaitheoir sonraí den tuairim, áfach, go raibh an iarraidh ar rochtain a rinne an gearánach teoranta do shonraí pearsanta arna choinneáil i dtaca le dhá iarratas pleanála. Ba é ba chúis leis sin gur luaigh an gearánach uimhreacha tagartha do na hiarratais phleanála ar an iarratas ar rochtain. Dá réir sin, d’fhéach an rialaitheoir sonraí le hidirdhealú a dhéanamh idir sonraí pearsanta a bhain leis na comhaid phleanála a bhí ar fáil go poiblí, ar soláthraíodh don ghearánach iad le breathnú orthu go poiblí, agus sonraí pearsanta a cruthaíodh tar éis gur diúltaíodh d’iarratas pleanála an ghearánaigh, ar mheas an rialaitheoir sonraí iad a bheith lasmuigh de scóip an iarrata ar rochtain.
Cé gur luaigh an gearánach dhá iarratas pleanála ar leith, gur cuireadh an iarraidh ar rochtain in iúl i dtéarmaí ginearálta agus lorg sé rochtain ar “aon fhaisnéis a choinníonn tú fúm i bhfoirm leictreonach nó de láimh”. Dá réir sin, measadh gur chuimsigh na sonraí pearsanta a lorg an gearánach na sonraí uile a d’eascair i gcomhthéacs theagmháil an ghearánaigh leis an rialaitheoir sonraí sular cuireadh an dá iarratas pleanála a sainaithníodh isteach agus na sonraí ar fad a d’eascair tar éis gur diúltaíodh do na hiarratais sin.
Cinneadh, de bharr cúinsí áirithe an cháis, gur sháraigh an rialaitheoir sonraí a chuid oibleagáidí cosanta sonraí nuair a mhainnigh sé cóip iomlán de shonraí pearsanta an ghearánaigh a sholáthar don ghearánach mar fhreagra ar an iarraidh ar rochtain laistigh den tréimhse reachtúil. Faoin GDPR, baineann Airteagal 15 leis an gceart rochtana ag an ábhar sonraí faoi réir shonraí pearsanta a bhaineann leis an duine sin atá á gcoinneáil ag an rialaitheoir. In Airteagal 12(3) leagtar amach an coinníoll inarb éigean don rialaitheoir na sonraí pearsanta sin a chur ar fáil. Tá dualgas ar an rialaitheoir faisnéis faoin ngníomh a rinneadh faoi iarraidh dá leithéid sin a chur ar fáil gan mhoill mhíchuí agus go fiú is laistigh d’aon mhí amháin tar éis an iarraidh a fháil. Chomh maith leis sin leagtar imthosca amach san airteagal sin lena bhforáiltear do shíneadh a chur leis an tréimhse sin.
3) Cás-Staidéar 3: Úsáid TCI san ionad oibre
Fuaireamar gearán maidir leis an úsáid a bhain an rialaitheoir sonraí as ceamaraí TCI in áitreabh oibre an ghearánaigh agus maidir leis an gcaoi a breathnaíodh ar na píosaí scannáin TCI sin (ina raibh sonraí pearsanta an ghearánaigh, ina raibh, i measc nithe eile, íomhánna den ghearánach) d’fhonn monatóireacht a dhéanamh ar fheidhmíocht an ghearánaigh le linn don ghearánach a bheith i mbun fostaíochta leis an rialaitheoir sonraí.
Tráth a rinneadh an gearán, bhí beartas TCI i bhfeidhm ag an rialaitheoir sonraí, inar luadh slándáil agus sábháilteacht mar chúis leis an gcóras TCI. Luadh é sin chomh maith ar chomharthaíocht a bhí ann in áiteanna ina raibh na ceamaraí TCI i bhfeidhm. Léirigh na fíricí gur chun críocha slándála agus sábháilteachta a bailíodh sonraí pearsanta an ghearánaigh i dtosach. Le linn cruinniú leis an ngearánach, áfach, chuir bainisteoir in iúl don ghearánach nach ndearnadh athbhreithniú ar phíosaí scannáin TCI ina raibh sonraí pearsanta an ghearánaigh amach amháin chun críocha monatóireacht a dhéanamh ar fheidhmíocht an ghearánaigh le linn don ghearánach a bheith i mbun fostaíochta leis an rialaitheoir sonraí. Ní raibh an críoch sin ar na críocha sonraithe próiseála a leagadh amach sa bheartas TCI agus an chomharthaíocht a bhain leis. D’admhaigh an rialaitheoir go mba shárú ar a bheartais an chaoi inar baineadh úsáid as sonraí pearsanta an ghearánaigh.
I gcás ina bpróiseáiltear sonraí pearsanta chun críoch atá difriúil ón gcríoch ar a bailíodh iad, ní foláir nach mbeadh na críocha is bonn leis an tuilleadh próiseála i neamhréir leis na críocha bunaidh. Maidir leis an úsáid a baineadh as sonraí pearsanta an ghearánaigh, b’ionann monatóireacht a dhéanamh ar fheidhmíocht an ghearánaigh agus críoch a bhí leithleach agus sainiúil ó na críocha bunaidh i dtaobh sábháilteachta agus slándála ar ina leith a bailíodh na píosaí scannáin TCI. Ar an mbonn sin, b’ionann an phróiseáil a rinneadh ar shonraí pearsanta an ghearánaigh a bhí sna píosaí scannáin TCI chun críocha monatóireachta feidhmíochta agus tuilleadh próiseála chun críocha a bhí i neamhréir le críocha bunaidh an bhailithe sin.
Tháinig ceist eile chun cinn maidir leis an tslándáil a bhain leis an gcaoi ina raibh rochtain ar an gcóras TCI agus ar logaí TCI. I bhfreagraí i scríbhinn chuig an DPC, dúirt an rialaitheoir go raibh fáil, tráth a rinneadh an gearán, ar rochtain ar phíosaí scannáin TCI ar ríomhaire pearsanta aonair sa roinn, agus nach raibh sonraí logála isteach ag teastáil dó. Thug na freagraí ón rialaitheoir le fios nach ndearnadh logáil ar an rochtain ar phíosaí scannáin TCI de láimh ná go huathoibríoch. Ba easnamh i slándáil sonraí é go ginearálta nach raibh loga rochtana ann i gcomhair na bpíosaí scannáin TCI. Ní mór do rialaitheoirí sonraí bearta cuí slándála agus eagraíochta a chur i bhfeidhm, ag teacht le hAirteagal 32 den GDPR, i dtaca le coinníollacha faoi rochtain ar shonraí pearsanta.
Rinneadh leasú suntasach ar an mbeartas TCI ó shin agus cuireadh beartas nua ina áit. Dhearbhaigh an rialaitheoir gur baineadh agus gur cuireadh as feidhm an ríomhaire pearsanta as ar baineadh an úsáid sin. Tá rochtain ar thaifid TCI teoranta anois do dhuine aonair san aonad sonrach agus déantar athbhreithniú ar na taifid i gcás imeacht slándála nó i gcás timpiste amháin.
Baineann ábharthacht ar leith i gcás dá leithéid leis na hoibleagáidí próiseáil chóir a dhéanamh ar shonraí pearsanta (Airteagal 5(1)(a)), agus sonraí dá leithéid sin a fháil chun críocha sonracha agus gan tuilleadh próiseála a dhéanamh uirthi ar bhealach a bheadh i neamhréir leis na críocha sin (Airteagal 5(1)(b)). Ina theannta sin, ba cheart bearta slándála cuí a bheith i bhfeidhm chun slándáil na sonraí pearsanta a áirithiú (Airteagal 5(1)(f) agus Airteagal 32).
4) Cás-Staidéar 4: Rochtain ar phíosa scannáin TCI
Bhain an gearán seo le freagra, a líomhnaítear a bheith neamhiomlán, ar iarratas rochtana le haghaidh píosa scannáin TCI a rinne an gearánach chuig institiúid oideachais.
Dúirt an gearánach go ndearnadh iarracht ionsaithe líomhnaithe air. D’iarr an gearánach rochtain ar phíosa scannáin TCI ón am a tharla an t-ionsaí líomhnaithe, go háirithe i dtaca le tréimhse shonrach shainaitheanta ó dhá uillinn éagsúil an cheamara.
Mar fhreagra ar an iarratas ón eagraíocht, cuireadh líon áirithe stadán ón bpíosa scannáin TCI a bhain le ceamara amháin ar fáil don ghearánach. D’iarr an gearánach go gcuirfí stadán ar fáil i gcomhair gach soicind den taifead, ina raibh íomhá an ghearánaigh le feiceáil. Is é an freagra a fuarthas ón institiúid oideachais gur cuireadh gach píosa scannáin a bhí suntasach, i dtuairim an rialaitheora, ar fáil agus ó tharla go raibh timthriall taifeadta 30 lá i gceist leis na ceamaraí TCI, gur glanadh an píosa scannáin sin ó shin d’fhonn píosaí nua scannáin a thaifead. Shoiléirigh an rialaitheoir nár stóráil sé píosa scannáin ar bith mura raibh “ceanglas dleathach” ann amhlaidh a dhéanamh.
Thug an DPC dá aire, i gcás ina dhéantar iarraidh bhailí ar rochtain chuig rialaitheoir sonraí, nach mór don rialaitheoir sonraí an iarraidh a chomhlíonadh laistigh de thréimhse áirithe. (Mí a leagtar amach go ginearálta don tréimhse sin faoi Airteagal 12(3) den GDPR.) Tá an ceart rochtana ar shonraí pearsanta ar cheann de na príomhchearta bunúsacha dá bhforáiltear sa reachtaíocht um chosaint sonraí. I gcomhthéacs iarraidh ar rochtain ar phíosa scannáin TCI, go hiondúil teastaíonn oibleagáid an rialaitheora sonraí maidir le cóip de shonraí pearsanta an iarratasóra a chur ar fáil cóip den phíosa scannáin TCI, i bhfoirm físeáin, a chur ar fáil. I gcás nach bhfuil sé sin indéanta, amhail nuair nach féidir an píosa scannáin a chóipeáil go gléas eile go teicniúil, nó in imthosca eisceachtúla eile, féadfar glacadh leis go gcuirfí stadáin ar fáil don duine is ábhar do na sonraí mar rogha eile seachas píosa scannáin. In imthosca ina gcuirtear stadáin ar fáil, áfach, ba cheart don rialaitheoir sonraí stadán i gcomhair gach soicind den taifead ina bhfuil íomhá an ábhar sonraí le feiceáil ann a chur ar fáil don duine sin agus míniú a thabhairt ar an gcúis nach féidir an píosa scannáin a chur ar fáil i bhfoirm físeáin. Chomh maith leis sin ba cheart don rialaitheoir gach píosa scannáin a bhaineann leis an tréimhse a sonraíodh a chaomhnú go dtí go ndeimhneoidh an t-iarratasóir go bhfuil siad sásta leis an bhfreagra a tugadh.
De bharr nár chuir an rialaitheoir sonraí an píosa scannáin TCI a iarradh ná sraith iomlán stadán i dtaca leis an tréimhse shonraithe ar fáil don ghearánach, mhainnigh an rialaitheoir sonraí a oibleagáidí maidir le ceart rochtana a chomhlíonadh, ó thaobh ama de (Airteagal 12(3)) agus maidir le tacar lán agus iomlán a chur ar fáil de shonraí pearsanta a phróiseáil an rialatheoir (Airteagal 15).
5) Cás-Staidéar 5: Oibleagáid cúiseanna a thabhairt agus rochtain ar shonraí pearsanta á diúltú
Bhí seilbh ag an ngearánach roimhe sin ar mhaoin i bhforbraíocht arna bhainistiú ag cuideachta bhainistíochta. Rinne an gearánach iarratas ar rochtain ar shonraí chuig an gcuideachta bhainistíochta ach i dtuairim an ghearánaigh mhainnigh an rialaitheoir sonraí sonraí pearsanta uile an ghearánaigh a chur ar fáil sa fhreagra a tugadh.
Cinneadh gurbh é an chuideachta bhainistíochta an rialaitheoir sonraí de bharr gur rialaigh sí ábhar agus úsáid shonraí pearsanta an ghearánaigh chun críocha ról na cuideachta mar chuideachta bhainistíochta i leith forbraíocht ina raibh seilbh ag an ngearánach ar mhaoin. Is éard a bhí sna sonraí atá faoi thrácht (i measc nithe eile) ná ainm agus seoladh an ghearánaigh. Sonraí pearsanta a bhí i gceist de bharr go bhféadfaí an gearánach a aithint astu agus de bharr gur bhain siad leis an ngearánach mar dhuine aonair.
Le linn don scrúdú a rinne an DPC ar an ngearán, chuir an rialaitheoir sonraí cuntas ar fáil maidir le comhad ina raibh sonraí pearsanta uile an ghearánaigh a bhí á gcoinneáil siar ar an mbonn go raibh siad faoi phribhléid go dlíthiúil. Níor tagraíodh don chomhad i bhfreagra an rialaitheora sonraí ar iarraidh an ghearánaigh ar rochtain. Tugadh faoi deara gur cheart don rialaitheoir sonraí tagairt a dhéanamh don chomhad seo mar aon leis an gcúis nó na cúiseanna ar dhiúltaigh sé an comhad a chur ar fáil don ghearánach, ina fhreagra ar iarraidh an ghearánaigh ar rochtain.
Ansin scrúdaigh an DPC ar chuir an rialaitheoir sonraí sonraí uile an ghearánaigh ar fáil don ghearánach, de réir mar a éilítear ó reachtaíocht. Thug an DPC dá aire gur chuir an gearánach cuntais shonracha mhionsonraithe ar fáil maidir leis na sonraí ar chreid an gearánach nár cuireadh iad ar fáil. Mar fhreagra, luaigh an rialaitheoir sonraí nár choinnigh sé sonraí i dtaca le cúrsaí ar chreid sé go raibh deireadh leo agus go ndearna sé sonraí uile an ghearánaigh a bhí á gcoinneáil ag an rialaitheoir sonraí ar dháta an iarrata ar rochtain a chur ar fáil don ghearánach. Bhí an oifig den tuairim go raibh sé inchreidte nach gcoinneodh an rialaitheoir sonraí sonraí pearsanta ar feadh tréimhse éiginnte. Bhí an DPC sásta gur chuir an rialaitheoir sonraí sonraí pearsanta uile an ghearánaigh ar fáil don ghearánach, (lasmuigh den chomhad ar mhaígh an rialaitheoir sonraí pribhléid dhlíthiúil ina leith, mar a leagtar amach thuas). Dá bhrí sin, ní raibh aon sárú eile ar an reachtaíocht.
Faoi Airteagal 15 den GDPR, tá sé de cheart ag ábhar sonraí rochtain a fháil ón rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, agus atá á bpróiseáil. Níl feidhm ag an gceart sin, áfach, maidir le sonraí pearsanta arna bpróiseáil chun comhairle dlí a lorg, a fháil nó a thabhairt, ná le sonraí pearsanta a bhféadfaí éileamh ar phribhléid a dhéanamh ina leith chun críocha nó le linn imeachtaí dlí (Alt 60(3)(a)(iv) den Acht um Chosaint Sonraí 2018). I gcás ina ndiúltaíonn rialaitheoir sonraí iarraidh ar rochtain ar shonraí pearsanta a chomhlíonadh, éilítear faoi Airteagal 12 den GDPR go gcuirfear an duine is ábhar do na sonraí ar an eolas gan mhoill maidir leis na cúiseanna a bhí leis an diúltú sin.
6) Cás-Staidéar 6: Próiseáil Sonraí Catagóire Speisialta
Bhain an gearán seo le sonraí pearsanta (sa chás eolas mar gheall ar an gcineál fadhb sláinte a bhí ag an ngearánaí) a bheith próiseáilte ag a fhostóir, chun go bhféadfaí saoire bhreoiteachta agus íocaíochtaí a bhain leis a riar ar son an ghearánaí. Thar aon rud eile, chuir an gearánaí a chuid imní in iúl faoi gur roinn an rialaitheoir sonraí (an fostóir) a thaifead leighis, lena n-áirítear iad a bheith roinnte le baill foirne in oifig áitiúil an rialaitheora sonraí, áit ar oibrigh an gearánaí. Chuir an gearánaí oifigeach sinsearach san eagraíocht ar an eolas faoin imní a bhí air. Ba é dearcadh an oifigigh sinsearaigh, áfach, nach raibh roinnte ach a laghad agus a chaithfí a roinnt den eolas.
Nuair a bhíonn sonraí pearsanta a bhaineann le duine á bpróiseáil ag rialaitheoir sonraí, tá ceanglais dhlíthiúla áirithe a chaithfidh an rialaitheoir sonraí a chomhlíonadh. I gcás an ghearáin seo tá ábharthacht ar leith ag baint leis na hoibleagáidí (1) sonraí pearsanta a phróiseáil go cóir; (2) na sonraí sin a fháil ar mhaithe le cuspóirí sonracha agus gan tuilleadh próiseála a dhéanamh orthu ar bhealach nach luíonn leis na cuspóirí sin; (3) go mbeadh na sonraí ábhartha agus leordhóthanach agus nach ndéanfadh an rialaitheoir níos mó ná mar ba ghá de na sonraí a próiseáil chun an chuspóir faoin ar bailíodh iad a bhaint amach; agus (4) go gcinnteofaí go mbeadh an tslándáil chuí maidir leis na sonraí pearsanta i bhfeidhm. Chomh maith leis na rialacha a mbíonn feidhm acu agus sonraí pearsanta á bpróiseáil, sa chás seo toisc gur bhain na sonraí pearsanta le faisnéis leighis (a dtugtar níos mó cosanta dó faoin reachtaíocht um chosaint sonraí), bhí ceanglais bhreise ann a chaithfeadh an rialaitheoir sonraí a chomhlíonadh.
Measadh gurb é an chéad chuspóir a bhain leis na sonraí pearsanta a bheith á bpróiseáil ag an rialaitheoir sonraí ná scéim reachtúil íocaíochta breoiteachta a riar. Chinn an oifig seo freisin nach raibh sé ag dul i gcoinne an chuspóra ar bailíodh na sonraí ina leith i dtosach, go ndéanfaí tuilleadh próiseála ar shonraí pearsanta an ghearánaí chun bainistiú a dhéanamh ar fhostaithe a bhfuil strus a bhaineann lena gcuid oibre ag cur as dóibh nó atá ar shaoire bhreoiteachta fhadtéarmach agus chun monatóireacht a dhéanamh ar leibhéal an phá breoiteachta. Chomh maith leis sin, chinn an DPC go raibh gá leis an bpróiseáil chun bainistiú a dhéanamh ar strus a bhaineann le hobair agus chun saoire bhreoiteachta fhadtéarmach a bhainistiú agus chun súil a choinneáil ar phá breoiteachta; ar mhaithe le conradh a chomhlíonadh a raibh an té lenar bhain na sonraí páirteach ann; ó thaobh chomhlíonadh oibleagáide dlíthiúla a raibh an rialaitheoir faoina réir agus ar mhaithe le cur i bhfeidhm nó cur i gcrích ceart nó oibleagáid a thugtar nó a fhorchuirtear le dlí ar an rialaitheoir sonraí i dtaca le fostaíocht.
Measadh, áfach, go raibh sé iomarcach na sonraí (an cineál fadhb sláinte a bhí ag an ngearánaí) a phróiseáil san oifig AD áitiúil ar mhaithe le saoire bhreoiteachta fhadtéarmach agus saoire struis a bhaineann leis an obair a bhainistiú agus chun súil a choinneáil ar leibhéil an phá breoiteachta. Ina theannta sin, chinn an DPC, ar an mbonn gur nocht an soláthraí seirbhísí comhroinnte an iomarca sonraí pearsanta don oifig AD áitiúil agus freisin taobh istigh den oifig, nach raibh an leibhéal slándála cuí i bhfeidhm i dtaca le sonraí pearsanta an ghearánaí. Ar deireadh, measadh, sna cúinsí seo, nár phróiseáil an rialaitheoir sonraí na sonraí pearsanta a bhain leis an ghearánaí ar bhealach cóir. Dá bhrí sin, fuarthas amach gur sháraigh an rialaitheoir sonraí a chuid oibleagáidí cosanta sonraí.
Faoin GDPR, ní mór sonraí pearsanta sa chatagóir speisialta (dála sonraí sláinte) a phróiseáil go cothrom i gcomhréir le hAirteagal 5(1)(a). Ní mór iad a bhailiú chun críche sonraithe, sainráite agus dlisteanach agus ní cheadaítear tuilleadh próiseála a dhéanamh orthu ar bhealach nach luíonn leis na críocha sin i gcomhréir le hAirteagal 5(1)(b). Ní fhéadfar iad a phróiseáil ach ar bhealach a chinntíonn slándáil chuí na sonraí, lena n-áirítear cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach, i gcomhréir le hAirteagal 5(1)(f). Agus sonraí sa chatagóir speisialta á bpróiseáil acu, ní mór do rialaitheoirí a bheith ar an eolas faoi na ceanglais bhreise atá leagtha amach in Airteagal 9 den GDPR.
7) Cás-Staidéar 7: Tuilleadh próiseála chun críche atá comhréireach
Aturnae a d’fhostaigh aturnae eile chun ionadaíocht a dhéanamh orthu in imeachtaí dlíthiúla a bhí sa ghearánach. Chlis ar an gcaidreamh idir an gearánach agus an t-aturnae agus rinne an t-aturnae casaoid maidir le hiompar an ghearánaigh le Dlí-Chumann na hÉireann. Sa chomhthéacs sin, thug an t-aturnae faisnéis áirithe faoin ngearánach do Dhlí-Chumann na hÉireann. Chuir an gearánach an t-ábhar ar aghaidh chuig an DPC, agus líomhain gur sháraigh an t-aturnae reachtaíocht um chosaint sonraí.
Fuarthas gurbh é aturnae an ghearánaigh an rialaitheoir sonraí, de bharr gur rialaigh siad ábhar agus úsáid shonraí pearsanta an ghearánaigh chun críche seirbhísí dlí a chur ar fáil don ghearánach. Bhain na sonraí i gceist le (i measc nithe eile) faisnéis faoi imeachtaí dlíthiúla an ghearánaigh agus ba shonraí pearsanta iad de bharr go bhféadfaí an gearánach a shainaithint leo agus gur bhain siad leis an ngearánach mar dhuine aonair.
Thug an DPC an dlínse atá ag Dlí-Chumann na hÉireann plé le casaoidí a bhaineann le mí-iompar aturnaetha (de bhua na nAchtanna Aturnaethe 1954-2015) ar aird. Ghlac sé leis freisin go bhféadfadh a bheith san áireamh leis an gcineál mí-iompair a fhéadfaidh Dlí-Chumann na hÉireann a imscrúdú, aon iompar a d’fhéadfadh damáiste a dhéanamh do chlú na gairme. Thug an DPC ar aird freisin go nglacann Dlí-Chumann na hÉireann leis an dlínse chun imscrúdú a dhéanamh ar ghearáin a dhéanann aturnaetha faoi aturnaetha eile (agus ní ghearáin a dhéanann cliaint nó a dhéantar thar a gceann agus iad sin amháin) agus ceanglaítear lena chód cleachtais gur cheart, i gcás go gcreideann aturnae go bhfuil mí-iompar ar bun ag aturnae eile, é sin a thuairisciú chuig Dlí-Chumann na hÉireann. Dá bharr sin, mheas an DPC go raibh an gearán a rinne an rialaitheoir sonraí le Dlí-Chumann na hÉireann déantar i gceart agus gur faoi Dhlí-Chumann na hÉireann a bhí sé breith a thabhairt ar fhiúntas ghearáin.
Rinne an DPC breithniú ansin ar cibé an ndearna nó nach ndearna an rialaitheoir sonraí sárú ar an reachtaíocht um chosaint sonraí. Maidir leis sin, thug an DPC ar aird go gcaithfidh rialaitheoirí sonraí cloí le prionsabail dlí áirithe atá leagtha amach sa reachtaíocht ábhartha. Rud a bhí ábhartha go sonrach don ghearán seo ab ea an ceanglas go gcaitear sonraí a fháil le haghaidh críche sonraithe agus nach bhfuil tuilleadh próiseála le déanamh orthu ar shlí a bheadh ar neamhréir leis na críocha sin. Fuair an DPC gurb é an fáth ar bailíodh/próiseáladh sonraí pearsanta an ghearánaigh ar dtús ná chun críche seirbhísí dlí a chur ar fáil don ghearánach. Tharraing an DPC ar aird go ndearna Dlí-Chumann na hÉireann tuilleadh próiseála ar shonraí pearsanta an ghearánaigh nuair a rinne an rialaitheoir sonraí gearán leis. De bharr go raibh an tuilleadh próiseála sin le haghaidh críche a bhí difriúil ón gcríoch ar chuici a bailíodh iad, b’éigean don DPC breithniú a dhéanamh ar cibé an raibh nó nach raibh an chríoch taobh thiar den tuilleadh próiseála ar neamhréir leis an gcríoch bhunaidh.
Dheimhnigh an DPC nach gá gur chríoch ar neamhréir í críoch dhifriúil agus gur chóir neamhréir a mheasúnú ar bhonn de réir an cháis i gcónaí. Sa chás seo, mheas an DPC, de bharr gur chun leas an phobail é a chinntiú go rialáiltear gairm an dlí i gceart, nach raibh an chríoch ar chuici a ndearnadh tuilleadh próiseála ar shonraí an ghearánaigh ar neamhréir leis an gcríoch ar chuici a bailíodh iad ar dtús. Ar an mbonn sin, ghníomhaigh an rialaitheoir sonraí de réir na reachtaíochta um chosaint sonraí.
Thug an DPC ar aird ansin, anuas ar cheanglais dlí eile, go gcaithfidh rialaitheoir sonraí bunús dlí a bheith aige chun sonraí pearsanta a phróiseáil. Ba é an bunús dlí a d’fhéach an rialaitheoir sonraí le brath air sa chás seo, gur ghá an phróiseáil a dhéanamh chun críocha na leasanna dlisteanacha a bhí á saothrú ag an rialaitheoir sonraí. Maidir leis sin, fuair an DPC go raibh leas dlisteanach ag an rialaitheoir sonraí in aon iompar a d’fhéadfadh míchlú a tharraingt ar ghairm an dlí. Chomh maith leis sin, ceanglaíodh ar an rialaitheoir sonraí le Cód Iompair Dhlí-Chumann na hÉireann mí-iompar tromchúiseach a thuairisciú chuig Dlí-Chumann na hÉireann. Mar thoradh air sin, ba é tuairim an DPC go raibh bunús dlí bailí ag an rialaitheoir sonraí chun sonraí pearsanta an ghearánaigh a nochtadh agus nár sháraigh sé an reachtaíocht.
Faoi Airteagal 6 den GDPR, caithfidh bunús dlí bailí a bheith ag rialaitheoir sonraí chun sonraí pearsanta a phróiseáil. Déantar foráil le bunús dlí amháin den sórt sin, le hAirteagal 6(1)(f) den GDPR, nach mbeidh próiseáil dleathach ach amháin más gá, agus a mhéid is gá í a dhéanamh chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir nó ag tríú páirtí, seachas i gcás ina mbeidh sáraíocht ag na leasanna sin ar leasanna nó ar chearta bunúsacha agus ar shaoirsí bunúsacha an ábhair sonraí. Mar sin féin, déantar foráil le hAirteagal 6(4) den GDPR, i gcás go ndéantar próiseáil sonraí pearsanta chun críche eile seachas an chríoch ar chuici a bailíodh na sonraí pearsanta ar an gcéad dul síos, nach gceadaítear sin ach amháin i gcás go mbeidh an tuilleadh próiseála ag luí leis na críocha sin ar chucu a bailíodh na sonraí pearsanta ar an gcéad dul síos.
Agus rialaitheoirí sonraí ag breithniú cibé an bhfuil próiseáil chun críche eile ag luí leis an gcrích ar chuici a bailíodh na sonraí pearsanta ar an gcéad dul síos, ba cheart dóibh na nithe seo a leanas a chur san áireamh (i) aon nasc idir na críocha ar bailíodh na sonraí pearsanta chucu agus na críocha atá leis an tuilleadh próiseála atá beartaithe, (ii) an comhthéacs inar bailíodh na sonraí pearsanta, (iii) cineál na sonraí pearsanta, (iv) na hiarmhairtí a d'fhéadfadh a bheith ann do na hábhair sonraí ag an tuilleadh próiseála atá beartaithe, agus (v) an bhfuil coimircí iomchuí ann.
8) Cás-Staidéar 8: Bearta slándála iomchuí agus sonraí leighis á bpróiseáil
Is é an cúlra leis an ngearán seo go ndearna bean chéile an ghearánaigh iarraidh Saorála Faisnéise ar dhochtúir teaghlaigh a raibh baint acu le cúram a thabhairt do mhac an ghearánaigh. Scríobh an dochtúir teaghlaigh ina dhiaidh sin chuig dochtúir eile a thug cóireáil do mhac an ghearánaigh freisin, agus a thug cóireáil ar leithligh don ghearánach chomh maith, chun an iarraidh Saorála Faisnéise a chur in iúl dóibh. D’fhreagair an dochtúir sin litir an dochtúra teaghlaigh agus nocht faisnéis leighis maidir leis an ngearánach, nach othar den dochtúir teaghlaigh iad, sa fhreagra sin.
D’fhonn a chinneadh cérbh é an rialaitheoir sonraí, d’iarr an DPC deimhniú ar an gcumas faoina ndeachaigh an gearánach i gcomhairle an dochtúir a nocht an fhaisnéis i gceist. Deimhníodh nach bhfaca an dochtúir othair ach ar bhonn poiblí agus, ar an mbunús sin, chinn an DPC gurbh é an HSE an rialaitheoir sonraí.
Mar fhreagra ar an ngearán, d’admhaigh an rialaitheoir sonraí gur thrí dhearmad a nochtadh na sonraí pearsanta i ndáil leis an ngearánach, mar gur chreid an dochtúir, go mícheart, gur othar den dochtúir teaghlaigh a bhí sa ghearánach freisin. Chuir an HSE in iúl, áfach, go mbeadh oibleagáidí rúndachta ina gceangal ar an bhfaighteoir arbh é an dochtúir teaghlaigh é i ndáil leis na sonraí a fuarthas. Thug an rialaitheoir sonraí le tuiscint freisin, mar gheall go raibh an dochtúir i gceist imithe ar scor, nárbh fhéadfaí aghaidh a thabhairt ar an gceist leo go pearsanta. Dheimhnigh an HSE gur tugadh a beartais inmheánacha faoi phróiseáil sonraí cothrom le dáta agus gur feabhsaíodh iad ó tharla an teagmhas sin leis an ngearánach.
Thug an DPC ar aird, nuair atá sonraí pearsanta á bpróiseáil ag rialaitheoir sonraí, go bhfuil ceanglais dlí ann nach mór don rialaitheoir sonraí cloí leo. Bhí na hoibleagáidí maidir le sonraí pearsanta a phróiseáil ar bhealach cothrom agus maidir le bearta slándála oiriúnacha a bheith i bhfeidhm mar chosaint ar phróiseáil neamhúdaraithe (nochtadh) ábhartha go sonrach leis an ngearán seo. Thug an DPC ar aird freisin, mar gheall gur bhain na sonraí pearsanta le cúrsaí leighis (agus go raibh cosaint bhreise acu faoin reachtaíocht dá bharr sin), go raibh an caighdeán a bhí le baint amach ó thaobh cad is slándáil iomchuí ann níos airde ná an caighdeán is infheidhme maidir le sonraí pearsanta go ginearálta.” Ina theannta sin, dheimhnigh an DPC, mar gheall ar an gcosaint mhéadaithe a thugtar do shonraí sláinte faoin reachtaíocht um chosaint sonraí, ní féidir iad a phróiseáil ach amháin i gcás go mbaintear amach coinníollacha sonraithe áirithe.
Ba léir nach raibh bearta slándála iomchuí i bhfeidhm an tráth a ndearnadh an nochtadh neamhúdaraithe don dochtúir teaghlaigh. Thug an DPC ar aird go ndearnadh an nochtadh do dhochtúir teaghlaigh nach raibh rannpháirteach i gcúram leighis an ghearánaigh, agus, anuas air sin, go raibh ceannteideal a rinne tagairt do mhac an ghearánaigh ar an litir ina ndearnadh an nochtadh, ach go raibh faisnéis leighis a bhain leis an ngearánach i gcorp na litreach. Ba léir an botún sa litir féin, dá bharr sin. Thug an DPC aird ar argóint an rialaitheora sonraí, go raibh oibleagáidí rúndachta ina gceangal ar an dochtúir teaghlaigh. Mar sin féin fuair sé, cé go raibh an méid sin ábhartha ó thaobh iarmhairtí an nochta neamhúdaraithe, nár thug sé aghaidh ar cibé an raibh nó nach raibh bearta slándála iomchuí i bhfeidhm ag an rialaitheoir sonraí. Thug an DPC ar aird freisin nach raibh an rialaitheoir sonraí in ann aghaidh a thabhairt ar na bearta rialaithe a bhain leis an nochtadh mar gheall go raibh an dochtúir i gceist imithe ar scor. Fuair an DPC gur thug sin le tuiscint nach raibh creat ginearálta a bhain le slándáil sonraí pearsanta i bhfeidhm an tráth a ndearnadh an nochtadh.
Bhreathnaigh an DPC ansin ar cibé ar comhlíonadh nó nár comhlíonadh na coinníollacha riachtanacha lena gceadaítear sonraí maidir le sláinte a phróiseáil. Chinn an DPC, de bharr gur theip ar an rialaitheoir sonraí aon bhunús dlí a thabhairt maidir leis na sonraí pearsanta a nochtadh, gur sháraigh sé an reachtaíocht cosanta sonraí maidir leis sin.
Is léir an oibleagáid maidir le slándáil sonraí pearsanta a chinntiú in Airteagal 5(1)(f) den GDPR. Tugtar sonrú breise uirthi in Airteagal 32, ina n-éilítear go gcuirfidh an rialaitheoir agus an próiseálaí bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal slándála a áirithiú is iomchuí don riosca. Agus bearta slándála iomchuí á mbreithniú acu, ní mór do rialaitheoirí sonraí agus do phróiseálaithe sonraí cineál, comhthéacs, raon feidhme agus cuspóirí na próiseála, i measc nithe eile, a chur san áireamh, mar aon leis na rioscaí d’ábhair sonraí, ar rioscaí iad a d'fhéadfadh teacht chun cinn agus leibhéal athraitheach déine ag gabháil leo. Maidir leis sin, aithnítear sa GDPR go bhfuil sonraí sláinte, ar “catagóir speisialta sonraí pearsanta” iad faoi Airteagal 9 den GDPR, thar a bheith íogair, de réir a nádúir, i ndáil le cearta agus saoirsí bunúsacha agus go bhfuil cosaint shonrach tuillte acu.
Ba cheart do rialaitheoirí sonraí a bheith ar an eolas freisin, i gcás go dtarlaíonn sárú ar shlándáil as a dtiocfaidh nochtadh neamhúdaraithe sonraí pearsanta de thaisme nó go neamhdhleathach (“sárú ar shonraí pearsanta”), ní mór é sin a chur in iúl don DPC gan mhoill mhíchuí de réir Airteagal 33 den GDPR. I gcás sárú i ndáil le sonraí pearsanta ar dóchúil go mbeadh ardriosca ann dá bharr do chearta agus do shaoirsí daoine nádúrtha, ní mór é sin a chur in iúl don ábhar sonraí, gan mhoill mhíchuí.
9) Cás-Staidéar 9: Bearta slándála cuí
Bhain an gearán seo leis an líomhain gur chaill banc an ghearánaí roinnt míreanna comhfhreagrais a bhain le cuntas bainc an ghearánaí agus a thug páirtí an ghearánaí de láimh don bhanc.
Deimhníodh gurbh é an banc an rialaitheoir sonraí mar go raibh smacht aige ar ábhar shonraí pearsanta an ghearánaí agus ar úsáid na sonraí sin agus seirbhísí baincéireachta á sholáthar aige don ghearánaí. Ar na sonraí a bhí i gceist (i measc nithe eile) bhí ainm agus seoladh an ghearánaí agus faisnéis faoi chuntais bainc an ghearánaí agus ba shonraí pearsanta iad toisc go bhféadfaí an gearánaí a aithint uathu agus gur bhain siad leis an ngearánaí mar dhuine aonair.
Le linn don scrúdú ar an ngearán a bheith ar bun, mhaígh an rialaitheoir sonraí gur taobh istigh den bhanc seachas taobh amuigh de a cailleadh na doiciméid ábhartha agus dá bhrí sin d'áitigh sé nár tharla aon sárú i ndáil le sonraí pearsanta. Luaigh an DPC gur príomhriachtanas faoin dlí um chosaint sonraí é bearta slándála cuí a bheith i bhfeidhm le haghaidh sonraí pearsanta. Bhreithnigh sé an cineál sonraí pearsanta a bhí sa chomhfhreagras a chuaigh amú (ainm agus seoladh an ghearánaí agus faisnéis faoi cuntas bainc an ghearánaí) agus thug sé faoi deara go bhféadfadh cur amú an eolais seo a bheith ina bhaol suntasach don ghearánaí agus do ghnóthaí airgeadais an ghearánaí. I bhfianaise chineál na sonraí pearsanta a bhí á bpróiseáil níor leor na bearta slándála a bhí i bhfeidhm ag an rialaitheoir sonraí chun leibhéal cuí slándála a chinntiú. Maidir le hargóint an rialaitheora sonraí gur cailleadh an comhfhreagras go hinmheánach, ba é dearcadh an DPC go gcaithfidh na bearta teicniúla agus eagraíochtúla atá ag rialaitheoirí sonraí chun slándáil sonraí pearsanta a chosaint, a chur san áireamh go bhféadfadh contúirt a bheith ag baint leis do dhaoine cosúil leis an ngearánaí má chailltear sonraí pearsanta taobh istigh chomh maith le taobh amuigh, nó má bhíonn rochtain neamhúdaraithe orthu.
Bunaithe ar a bhfuil thuas, measadh gur theip ar an rialaitheoir sonraí na bearta slándála agus eagraíochtúla cuí a chur i bhfeidhm, chun sonraí pearsanta an ghearánaí a chosaint, agus gur theip ar an rialaitheoir sonraí, dá bhrí sin, gníomhú de réir na reachtaíochta um chosaint sonraí.
Faoi Airteagal 5(1)(f) den GDPR, ní mór sonraí pearsanta a phróiseáil ar bhealach a chinntíonn slándáil chuí na sonraí pearsanta, lena n-áirítear cosaint ar nochtadh neamhúdaraithe nó neamhdhleathach agus úsáid á bhaint as na bearta teicniúla nó eagraíochtúla cuí. Sonraítear a thuilleadh in Airteagal 32 cinntiú na hoibleagáid slándála i leith sonraí pearsanta, lena gceanglaítear go gcuirfidh an rialaitheoir agus an próiseálaí na bearta teicniúla agus eagraíochtúla cuí i bhfeidhm chun leibhéal slándála atá oiriúnach don riosca a chinntiú. Agus bearta slándála cuí á mbreithniú acu, ní mór do rialaitheoirí agus do phróiseálaithe sonraí, a chur san áireamh i measc nithe eile cineál, comhthéacs, raon feidhme agus cuspóirí na próiseála mar aon leis na rioscaí do chearta agus do shaoirsí ábhair sonraí, ar rioscaí iad a d'fhéadfadh teacht chun cinn agus leibhéal athraitheach déine ag gabháil leo.
Ba cheart do rialaitheoirí sonraí a bheith ar an eolas freisin, i gcás ina dtarlaíonn sárú slándála de bharr sonraí pearsanta a bheith nochtaithe go neamhúdaraithe, de thaisme nó go mídhleathach (“sárú i ndáil le sonraí pearsanta”), gur gá, de réir Airteagal 33 den GDPR, é seo a chur in iúl don DPC gan an iomarca moille. I gcás gur dócha go mbeidh, mar thoradh ar an sárú i ndáil le sonraí pearsanta, an-bhaol do chearta agus do shaoirse an té lena mbaineann na sonraí, ní mór é seo a chur in iúl freisin, gan an iomarca moille, don té lena mbaineann na sonraí.
10) ás-Staidéar 10: Próiseáil atá riachtanach chun críche leasanna dlisteanacha atá á saothrú ag rialaitheoir
Bhí an gearánaí seo fostaithe i siopa atá lonnaithe in ionad siopadóireachta agus bhí baint aige le heachtra i gcarrchlós an ionaid siopadóireachta a bhain le táille an charrchlóis a íoc. Tar éis na heachtra, rinne bainisteoir an charrchlóis gearán le fostóir an ghearánaí agus cuireadh íomhánna ón scannánaíocht CCTV ar fáil d'fhostóir an ghearánaí. Chuir an gearánaí an cheist faoi bhráid an DPC chun a fháil amach an raibh nochtadh na n-íomhánna CCTV dleathach.
Socraíodh gurbh é an t-ionad siopadóireachta an rialaitheoir sonraí mar go raibh smacht aige ar shonraí pearsanta an ghearánaí agus ar a n-úsáid ar mhaithe leis na stadáin a thaispeáint d'fhostóir an ghearánaí. Is éard a bhí sna sonraí ná íomhánna den ghearánaí agus ba shonraí pearsanta iad toisc gur bhain sé leis an ngearánaí mar dhuine aonair agus go bhféadfaí an gearánaí a aithint uaidh.
D'áitigh an rialaitheoir sonraí go raibh cúis dhlisteanach aige leis na híomhánna CCTV a thaispeáint d’ fhostóir an ghearánaí, mar shampla, chun cosc a chur ar dhaoine imeacht as an gcarrchlós gan íoc agus chun an comhaontú a bhí aige le fostóir an ghearánaí maidir lena fhoireann oibre a bheith ag páirceáil sa charrchlós a tharraingt siar. Thug an DPC faoi deara go gcaithfidh bunús dleathach a bheith ag rialaitheoir sonraí le go bhféadfaidh sé próiseáil a dhéanamh ar shonraí pearsanta duine. Ar cheann de na bunúis dlí ar féidir le rialaitheoir sonraí brath orthu tá go bhfuil gá leis an bpróiseáil chun críocha cúrsaí dlisteanacha a bhfuil an rialaitheoir sonraí ag plé leo. (Ba é seo an bunús dlí a raibh an rialaitheoir sonraí ag brath air anseo.) D'admhaigh an DPC go raibh leas dlisteanach ag an rialaitheoir sonraí, i bprionsabal, maidir le sonraí pearsanta an ghearánaí a nochtadh ar na cúiseanna a chuir sé chun cinn. Mar sin féin, ní raibh sé "riachtanach" don rialaitheoir sonraí an CCTV a nochtadh d'fhostóir an ghearánaí chun na leasanna dlisteanacha sin a shaothrú. Bhí sé seo amhlaidh toisc go raibh sé de rogha ag an bhfreastalaí carrchlóis, a bhí fostaithe ag an rialaitheoir sonraí, céimeanna a ghlacadh i gcoinne an ghearánaí, chun na leasanna dlisteanacha a bhaint amach, agus níor ghá go mbeadh fostóir an ghearánaí páirteach ann. Mar shampla, bhí lánrogha ag an bhfreastalaí carrchlóis cosc a chur ar an ngearánach an carrchlós a úsáid gan fostóir an ghearánaí a bheith bainteach leis. Ar an mbonn sin, chinn an DPC nár ghá don rialaitheoir sonraí fhostóir an ghearánaí a chur ar an eolas faoin eachtra ná na stadáin CCTV a chur ar fáil dó. Dá réir sin, ní raibh aon bhunús dlí ag an rialaitheoir sonraí chun é sin a dhéanamh agus sháraigh sé an reachtaíocht um chosaint sonraí.
Faoi Airteagal 6 den GDPR, ní féidir sonraí pearsanta a phróiseáil ach amháin sa chás go mbíonn bonn dleathach ann chun é sin a dhéanamh. Tá bunús dlí amháin den chineál sin faoi Airteagal 6(1)(f), lena ndéantar foráil go bhfuil próiseáil dleathach más gá agus a mhéid is gá chun críche na leasanna dlisteanacha atá á saothrú ag an rialaitheoir nó ag tríú páirtí, ach amháin i gcás ina bhfuil na leasanna sin ag gabháil treise ar leasanna nó cearta bunúsacha nó saoirsí bunúsacha an té lena mbaineann na sonraí. Ba cheart do rialaitheoirí sonraí a bheith ar an eolas, áfach, nach leor a thaispeáint go bhfuil leas dlisteanach ann ó thaobh na sonraí pearsanta a phróiseáil; Ceanglaítear le hAirteagal 5(1)(c) agus le hAirteagal 6(1)(f) ar rialaitheoirí sonraí a bheith in ann a léiriú go bhfuil an phróiseáil atá i gceist teoranta don mhéid atá "riachtanach" chun críche na leasanna dlisteanacha sin.
11) Cás-Staidéar 11: Próiseáil is gá a dhéanamh chun conradh a chomhlíonadh
Bhí an gearánach seo páirteach i dtimpiste i gcarrchlós den fhoirgneamh ina raibh siad ag obair. Rinne bainisteoir an charrchlóis gearán le fostóir an ghearánaigh agus fuair fostóir an ghearánaigh íomhánna ón scannánaíocht CCTV den teagmhas ina dhiaidh sin. Tionscnaíodh imeachtaí araíonachta i gcoinne an ghearánaigh mar gheall ar an teagmhas sa charrchlós. Bhreathnaigh bainisteoir an ghearánaigh agus comhghleacaithe an ghearánaigh ar na híomhánna ón CCTV i gcomhthéacs na n-imeachtaí araíonachta.
Ba é fostóir an ghearánaigh an rialaitheoir sonraí i ndáil leis an ngearán, mar gheall gur rialaigh sé ábhar agus úsáid sonraí pearsanta an ghearánaigh chun críche fostaíocht an ghearánaigh a bhainistiú agus na himeachtaí araíonachta a stiúradh. Íomhánna den ghearánach a bhí sna sonraí pearsanta mar gheall gur bhain siad leis an ngearánach mar dhuine aonair agus gurbh fhéidir an gearánach a shainaithint iontu.
Mar fhreagra ar an ngearán, d'áitigh an rialaitheoir sonraí go raibh bunús dlí le sonraí pearsanta an ghearánaigh a phróiseáil faoin reachtaíocht de bharr gur úsáideadh na híomhánna CCTV chun cód cleachtais an fhostaí a fhorfheidhmiú, a bhí mar chuid de chonradh fostaíochta an ghearánaigh. Sloinneadh freisin, mar gheall ar chineál tromchúiseach an teagmhais a raibh an gearánach páirteach ann, go mba ghá don rialaitheoir sonraí imscrúdú a dhéanamh ar an teagmhas i gcomhréir le beartas araíonachta na cuideachta, a ndearnadh tagairt dó i gconradh fostaíochta an ghearánaigh. D’áitigh an rialaitheoir sonraí freisin go raibh na híomhánna ón CCTV teoranta don teagmhas i gceist agus nár bhreathnaigh ach líon teoranta de na daoine a bhí rannpháirteach sa phróiseas araíonachta orthu.
Thug an DPC ar aird go gceadaítear, faoin reachtaíocht um chosaint sonraí, sonraí pearsanta duine a phróiseáil i gcás gur ghá an phróiseáil a dhéanamh chun conradh ar páirtí ann an t-ábhar sonraí (an duine a bhfuil a shonraí pearsanta á bpróiseáil) a chomhlíonadh. Thug an DPC ar aird gur fhéach an rialaitheoir sonraí anseo lena áitiú go mba ghá na híomhánna ón CCTV a úsáid chun conradh fostaíochta an ghearánaigh a chomhlíonadh. Mar sin féin, ba é tuairim an DPC nár ‘ghá’ don rialaitheoir sonraí pearsanta an ghearánaigh a bhí sna híomhánna ón CCTV a phróiseáil chun an conradh sin a chomhlíonadh. Le go n-éireodh leis an áitiú sin, bheadh ar an rialaitheoir sonraí a thaispeáint nárbh fhéidir leis conradh fostaíochta an ghearánaigh a chomhlíonadh gan sonraí pearsanta an ghearánaigh a phróiseáil. De bharr gur theip ar an rialaitheoir sonraí an DPC a shásamh gurbh amhlaidh an cás, breithníodh gur sháraigh an rialaitheoir sonraí an reachtaíocht um chosaint sonraí.
Thug an DPC ar aird freisin, gur ann do phrionsabail dlí áirithe nach mór do rialaitheoir sonraí cloí leo, sa bhreis ar an gceanglas go mbeadh bunús dlí le próiseáil, agus próiseáil sonraí pearsanta á dhéanamh aige. Tharraing sé aird ar an bhfíoras go gcaithfidh an phróiseáil a bheith leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil. Thug an DPC áitiú an rialaitheora sonraí go raibh na híomhánna ón CCTV teoranta don teagmhas i gceist agus nár bhreathnaigh ach líon teoranta de na daoine a bhí rannpháirteach sa phróiseas araíonachta orthu ar aird. Mar sin féin, bhí an DPC den tuairim gur theip ar an rialaitheoir sonraí a thaispeáint cén fáth go mba ghá na híomhánna ón CCTV a úsáid. Ar an mbunús sin, rinne an rialaitheoir sonraí sárú breise ar an reachtaíocht.
Faoi Airteagal 6 den GDPR, ní féidir sonraí pearsanta a phróiseáil ach amháin sa chás go bhfuil bunús dlí leis. Is bunús dlí amháin den sórt sin é Airteagal 6(1)(b), ina ndéantar foráil go bhfuil próiseáil dleathach más gá agus a mhéid is gá an phróiseáil a dhéanamh chun conradh ar páirtí ann an t-ábhar sonraí a chomhlíonadh. Caithfidh rialaitheoirí sonraí a bheith ar an eolas, áfach, nach leormhaith a thaispeáint go bhfuil bunús conarthach le próiseáil na sonraí pearsanta agus sin amháin; ceanglaítear faoi Airteagail 5(1)(c) agus 6(1)(b) ar rialaitheoirí sonraí a bheith in ann a thaispeáint go bhfuil an phróiseáil i gceist teoranta don mhéid “is gá” chun an conradh a chomhlíonadh.
12) Cás-Staidéar 12: Léirithe rúnda tuairime agus iarrataí ar rochtain ón té lena mbaineann
Rinne an gearánaí seo iarratas chuig a fhostóir chun rochtain a fháil ar ábhar. Mhaígh an gearánaí, áfach, gur fhág a fhostóir cumarsáidí áirithe ar lár óna fhreagra, gur choinnigh sé siar sonraí go héagórach ar an mbonn gur tuairim a bhí ann a tugadh faoi rún agus nár fhreagair sé an t-iarratas laistigh den tréimhse ama riachtanach mar atá leagtha amach sa reachtaíocht.
Ba é fostóir an ghearánaí an rialaitheoir sonraí toisc go raibh smacht aige ar an ábhar agus ar úsáid sonraí pearsanta an ghearánaí ar mhaithe le bainistiú a dhéanamh ar fhostaíocht an ghearánaí. Is éard a bhí sna sonraí a bhaineann le hábhar ná comhad AD an ghearánaí agus sonraí a bhain le riarachán fhostaíocht an ghearánaí. Sonraí pearsanta a bhí sna sonraí toisc go bhféadfaí an gearánaí a aithint uathu agus gur bhain na sonraí leis an ngearánaí mar dhuine aonair.
Nuair a bhí scrúdú á dhéanamh ar an ngearán, d'aithin an rialaitheoir sonraí doiciméid bhreise ina raibh sonraí pearsanta an ghearánaí agus chuir siad iad seo ar fáil don ghearánaí. I ndáil leis an doiciméad ar dhearbhaigh an rialaitheoir sonraí ina thaobh gur tuairim a bhí ann tugadh faoi rún, le linn imscrúdú an ghearáin seo, léirigh an duine a thug an tuairim a bhí faoi chaibidil go raibh sé sásta go scaoilfí an doiciméad lena chur faoi bhráid an ghearánaí, agus dá bharr sin chuir an rialaitheoir sonraí an doiciméid ar fáil don ghearánaí.
Tugann an reachtaíocht um chosaint sonraí ceart rochtana ar a shonraí pearsanta don té lena mbaineann na sonraí agus, chomh maith leis sin, ní mór an rochtain sin a thabhairt laistigh de thréimhse ama áirithe. Tar éis do an gearán a fhiosrú, ní raibh an DPC sásta go ndearna an rialaitheoir sonraí na cuardaithe cuí agus gur thug sé don ghearánaí na sonraí pearsanta ar fad, a raibh an gearánaí ina dteideal de réir an dlí. Ba cheart go mbeadh na doiciméid a chuir an rialaitheoir sonraí ar fáil don té atá i gceist leis na sonraí le linn an scrúdaithe ar an ngearán seo, tugtha dó laistigh den tréimhse ama a bhfuil foráil dó sa reachtaíocht.
Faoi Airteagal 15 den GDPR, tá sé de cheart ag an té lena mbaineann na sonraí, rochtain a fháil ó rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, agus atá á bpróiseáil. Ní mór don rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ón té atá i gceist leis na sonraí gan an iomarca moille agus pé scéal é laistigh de mhí amháin ón am a raibh an t-iarratas faighte. Mar sin féin, foráiltear le halt 60 den Acht um Chosaint Sonraí 2018 nach gclúdaíonn an ceart rochtana ar shonraí sonraí faoin té atá i gceist leis na sonraí, in ar nocht duine eile tuairim faoi rún, nó ar an tuiscint go bhféachfaí air mar ábhar faoi rún, do dhuine a bhfuil ceart dlisteanach aige nó aici an fhaisnéis sin a fháil.
13) Cás-Staidéar 13: Sonraí sláinte a phróiseáil
Bhí an gearánach ina bhall de scéim árachais cosanta ioncaim agus bhí cead neamhláithreachta ón obair acu de dheasca breoiteachta. Fostóir an ghearánaigh a d’eagraigh an scéim árachais cosanta ioncam. Chun éileamh a dhéanamh faoin scéim, ceanglaíodh ar an bhfostaí freastal ar choinní leighis a d’eagraigh cuideachta árachais. Níor roinneadh faisnéis a bhain le breoiteacht an ghearánaigh ach leis an gcuideachta árachais. Mar sin féin, chuir cuideachta tríú páirtí (nach raibh a rannpháirtíocht san éileamh ar eolas ag an ngearánach) faisnéis ar aghaidh chuig fostóir an ghearánaigh maidir leis na coinní liachta a ceanglaíodh ar an ngearánach freastal orthu. San áireamh san fhaisnéis bhí réimse speisialtóireachta na ndochtúirí i gceist.
Fuarthas gurbh í an chuideachta árachais an rialaitheoir sonraí mar gheall gur rialaigh sé ábhar agus úsáid sonraí pearsanta an ghearánaigh chun críche éileamh an ghearánaigh faoin scéim árachais a bhainistiú agus riarachán a dhéanamh ina leith. I measc na sonraí i gceist bhí mionsonraí faoi bhreoiteacht an ghearánaigh, coinní leighis sceidealaithe agus cóireáil bheartaithe agus measadh gur sonraí pearsanta a bhí iontu de bharr gurbh fhéidir an gearánach a shainaithint uathu agus gur bhain siad leis an ngearánach mar dhuine aonair.
Le linn an imscrúdaithe, d’áitigh an rialaitheoir sonraí go raibh foirm sínithe ag an ngearánach ar a raibh ráiteas a dhearbhaigh gur thug an gearánach toiliú don rialaitheoir sonraí faisnéis maidir le breoiteacht an ghearánaigh a lorg. Nuair a d’iarr an DPC air soiléiriú a thabhairt ar an bhfáth gur roinn sé an fhaisnéis maidir le coinní leighis an ghearánaigh leis an gcuideachta tríú páirtí (ar bróicéir na scéime árachais é), chuir an rialaitheoir sonraí in iúl go ndearna sé amhlaidh chun nuashonrú a thabhairt don bhróicéir agus lena chinntiú go ndéanfaí dul chun cinn tapa ar an gcás.
Shloinn an rialaitheoir sonraí go raibh oibleagáid reachtúil air faisnéis áirithe a sholáthar don ghearánach. Go sonrach, go raibh oibleagáid reachtúil ar an rialaitheoir sonraí faighteoirí na sonraí pearsanta nó catagóirí fhaighteoirí na sonraí pearsanta a chur in iúl don ghearánach. Thug an DPC ar aird, cé gur thug an rialaitheoir sonraí fógra don ghearánach go raibh seans go lorgódh sé sonraí pearsanta a bhain leo, gur theip air faisnéis leormhaith a sholáthar don ghearánach maidir le faighteoirí sonraí pearsanta an ghearánaigh.
Ceanglaítear faoin reachtaíocht um chosaint sonraí freisin go gcaithfidh sonraí a choimeádann rialaitheoir sonraí a bheith leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha ar bailíodh na sonraí pearsanta chucu. Scrúdaigh an DPC an fáth a thug rialaitheoir sonraí le faisnéis faoi chineál choinní leighis an ghearánaigh a nochtadh (i.e. chun nuashonrú a thabhairt don bhróicéir agus lena chinntiú go ndéanfadh dul chun cinn tapa ar an gcás). Ba é tuairim an DPC gurbh iomarcach ag an rialaitheoir sonraí é faisnéis maidir le cineál sonrach na gcoinní leighis, lena n-áirítear speisialtóireachtaí na ndochtúirí i gceist, a nochtadh don chuideachta tríú páirtí.
Thug an DPC ar aird go dtugtar cosaint bhreise do shonraí maidir le sláinte faoin reachtaíocht um chosaint sonraí. Ba é tuairim an DPC, de bharr go raibh mionsonraí faoi speisialtóireachtaí na ndochtúirí i gceist san áireamh san fhaisnéis a nocht an rialaitheoir sonraí, gur thug sí cineál féideartha bhreoiteacht an ghearánaigh le tuiscint agus dá bharr sin gur thairbhigh sí an chosaint bhreise sin. Dheimhnigh an DPC go raibh toirmeasc ar na sonraí i gceist a phróiseáil, mar gheall ar an gcosaint bhreise, ach amháin sa chás go raibh feidhm le ceann amháin de líon coinníollacha sonraithe ina leith. Mar shampla (agus é ábhartha anseo), d’fhéadfaí na sonraí pearsanta a bhain leis an tsláinte a phróiseáil go dleathach sa chás gur thug an gearánach toiliú sainráite don rialaitheoir sonraí go ndéanfaí an phróiseáil. Bhreithnigh an DPC ansin cibé an bhféadfaí nó nach bhféadfaí a rá gurbh ionann an fhoirm éilimh (ar a raibh an t-alt maidir le toiliú a thabhairt don rialaitheoir sonraí faisnéis a lorg) a bheith sínithe ag an ngearánach agus toiliú sainráite go ndéanfaí an fhaisnéis a bhain le coinní leighis an ghearánaigh a phróiseáil (a nochtadh). Thug an DPC ar aird go bhféadfaí a rá gur tugadh toiliú sainráite an ghearánaigh go ndéanfadh an rialaitheoir sonraí faisnéis den sórt sin a lorg. Mar sin féin, níor thug an gearánach a dtoiliú sainráite go dtabharfadh an rialaitheoir sonraí faisnéis den sórt sin do thríú páirtithe. Ar an mbunús sin, d’áitigh an DPC go raibh sárú breise ar an reachtaíocht déanta ag an rialaitheoir sonraí i ndáil leis sin.
Faoi Airteagal 13 den GDPR, i gcás go mbailítear sonraí pearsanta a bhaineann le hábhar sonraí ón ábhar sonraí, tá ceanglas ar an rialaitheoir sonraí faisnéis áirithe a thabhairt don ábhar sonraí an tráth a gheofar na sonraí pearsanta, amhail céannacht agus sonraí teagmhála an rialaitheora sonraí agus, i gcás inarb infheidhme, sonraí teagmhála a Oifigigh Cosanta Sonraí, críocha na próiseála dá bhfuil na sonraí pearsanta beartaithe chomh maith leis an mbunús dlí don phróiseáil, agus faighteoirí na sonraí, más ann dóibh, chomh maith le faisnéis maidir le cearta an ábhair sonraí. Tá an fhaisnéis sin beartaithe a chinntiú go ndéanfar sonraí pearsanta a phróiseáil ar bhealach cothrom agus trédhearcach. I gcás ina bhfuarthas na sonraí pearsanta ar shlí éigin seachas ón ábhar sonraí féin, ceanglaítear go dtabharfaí faisnéis bhreise don ábhar sonraí, faoi Airteagal 14 den GDPR. Ní mór an fhaisnéis sin a thabhairt i bhfoirm atá gonta, trédhearcach, intuigthe agus a bhfuil rochtain éasca uirthi.
De bhreis air sin, ceanglaítear leis an bprionsabal um íoslaghdú sonraí faoi Airteagal 5(1)(c) go mbeadh sonraí pearsanta leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil. Ciallaíonn sin gur cheart an tréimhse a stóráiltear sonraí pearsanta a theorannú don tréimhse is lú agus is féidir agus nár cheart sonraí pearsanta a phróiseáil ach amháin i gcás nach bhféadfaí cuspóir na próiseála a bhaint amach go réasúnach ar shlí eile.
Ar deireadh, is ceart do rialaitheoirí sonraí a thabhairt ar aird go meastar gur “chatagóir speisialta sonraí pearsanta” iad sonraí pearsanta a bhaineann leis an tsláinte faoi Airteagal 9 den GDPR agus go bhfuil siad faoi réir ag rialacha sonracha, mar aitheantas go bhfuil siad thar a bheith íogair, de réir a nádúir agus mar gheall ar an riosca sonrach do chearta agus saoirse bunúsacha ábhair sonraí a d’fhéadfaí a chruthú trí bhíthin sonraí den sórt sin a phróiseáil. Ní cheadaítear sonraí sláinte a phróiseáil ach amháin i gcásanna áirithe mar a ndéantar foráil dóibh in Airteagal 9(2) den GDPR agus in ailt 45 go 54 den Acht um Chosaint Sonraí 2018, mar shampla, i gcás gur thug an t-ábhar sonraí toiliú sainráite don phróiseáil chun críche sonraithe amháin nó níos mó.
14) Cás-Staidéar 14: Iarrataí ar rochtain agus ábhar atá faoi phribhléid dhlíthiúil
Bhain an gearán seo le freagra neamhiomlán a bhí tugtha, a dúradh, ar iarrataí ar rochtain ó ábhar sonraí. Ba é cúlra an ghearáin seo gur chuir an gearánaí iarraidh rochtana faoi bhráid iontaobhaithe scéime pinsin (na “hIontaobhaithe”). Mar chuid dá bhfreagra ar an iarraidh ar rochtain, thagair na hIontaobhaithe do dhréachtlitir a bhain leis an ngearánaí; níor cuireadh an dréachtlitir seo ar fáil don ghearánaí, áfach.
Dearbhaíodh gurbh iad na hIontaobhaithe an rialaitheoir sonraí toisc go raibh smacht acu ar an ábhar agus ar úsáid shonraí pearsanta an ghearánaí chun críocha phinsean an ghearánaí. Is éard a bhí sna sonraí a bhain le hábhar ná (i measc nithe eile) faisnéis a bhain le fostaíocht agus pinsean an ghearánaí agus ba shonraí pearsanta iad toisc gur bhain siad leis an ngearánaí mar dhuine aonair agus go bhféadfaí an gearánaí a aithint uathu.
D'fhéach an rialaitheoir sonraí lena mhaíomh go raibh pribhléid dhlíthiúil ag an dréachtlitir agus, dá bhrí sin, nár ceanglaíodh ar an rialaitheoir sonraí í a chur ar fáil don ghearánaí. Lorg an Coimisinéir um Chosaint Sonraí tuilleadh eolais ón rialaitheoir sonraí maidir leis an maíomh gur bhain pribhléid leis an dréachtlitir. Mar fhreagra air sin, níor thug an rialaitheoir sonraí soiléireacht ar an mbunús a bhí leis an dearbhú go raibh pribhléid dhlíthiúil ag an dréachtlitir, ach thoiligh sé, áfach, na sonraí a chur ar fáil don ghearánaí.
Socraíodh, dá bhrí sin, gur theip ar an rialaitheoir sonraí a chruthú go raibh sé i dteideal brath ar an díolúine i ndáil le sonraí atá faoi phribhléid dhlíthiúil. Dá réir sin, ba cheart go mbeadh an litir curtha ar fáil don ghearánaí, mar fhreagra ar iarraidh rochtana an ghearánaí, laistigh den tréimhse ama atá leagtha amach sa reachtaíocht.
Faoi Airteagal 15 den GDPR, tá sé de cheart ag ábhar sonraí rochtain a fháil ó rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, atá á bpróiseáil. Ní mór don rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ón ábhar sonraí gan rómhoill agus pé scéal é laistigh de mhí amháin ó bhí an t-iarratas faighte. Mar sin féin, níl feidhm ag an gceart rochtana ar shonraí pearsanta duine nuair a bhíonn sonraí pearsanta a bpróiseáil chun comhairle dlí a lorg, a fháil nó a thabhairt nó i gcás sonraí pearsanta a bhféadfaí pribhléid a dhearbhú ina leith chun críche imeachtaí dlíthiúla nó le linn imeachtaí dlíthiúla. Nuair a fhéachann rialaitheoir sonraí le pribhléid a dhearbhú i dtaca le faisnéis atá á lorg ag an té lena mbaineann sonraí, cuirfidh an DPC de cheangal ar an rialaitheoir sonraí, agus scrúdú a dhéanamh ar ghearán toisc a dhiúltaithe, faisnéis shuntasach a chur ar fáil, lena n-áirítear míniú ar an mbonn ar a bhfuil pribhléid á dhearbhú ag an rialaitheoir sonraí, ionas gur féidir bailíocht na pribhléide a mheas i gceart.
15) Cás-Staidéar 15: Próiseáil i gcomhthéacs imscrúdú san ionad oibre
Bhí baint ag an ngearánaí le himscrúdú san ionad oibre i ndiaidh líomhaintí a rinne an gearánaí i gcoinne comhghleacaí. Cheap fostóir an ghearánaí gnólacht comhairleoireachta neamhspleách (“an Chuideachta Chomhairliúcháin") chun an t-imscrúdú a dhéanamh agus bhí torthaí na Cuideachta Comhairleoireachta faoi réir athbhreithniú ag painéal neamhspleách.
Tar éis an t-imscrúdú san ionad oibre a thabhairt chun críche, rinne an gearánaí iarratas ar rochtain sonraí chuig a bhfostóir agus cuireadh roinnt doiciméad ar fáil i ndiaidh an iarratais sin. Bhí an gearánaí den tuairim, áfach, nár freagraíodh an t-iarratas go hiomlán. Mar shampla, mhaígh an gearánaí go raibh na ráitis a thug finné (le linn an imscrúdaithe), a cuireadh ar fáil don ghearánaí, míchruinn ó thaobh na bhfíricí de agus nár cuireadh doiciméid áirithe ar fáil don ghearánaí (amhail logaí rochtana ar chomhaid phearsanta an ghearánaí). Líomhain an gearánaí freisin gur nocht a fhostóir, le comhghleacaithe an ghearánaí, sonraí faoi fheidhmíocht oibre an ghearánaí, socruithe saoire breoiteachta agus cóipeanna de dhuillíní pá an ghearánaí. Ar deireadh, mhaígh an gearánaí gur theip ar a bhfostóir cloí le hiarratais an ghearánaí ar cheartú na ráitis finné (a líomhnaigh an gearánaí a bhí mícheart ó thaobh fíricí de).
Cruthaíodh gurbh é fostóir an ghearánaí an rialaitheoir sonraí toisc gur rialaigh sé sonraí an ghearánaí i gcomhthéacs an imscrúdaithe san ionad oibre. Sna sonraí sin, bhí faisnéis phárolla an ghearánaí, faisnéis a bhaineann le saoire bhreoiteachta an ghearánaí agus ráitis finné a bhaineann leis an ngearánaí. Sonraí pearsanta a bhí sna sonraí toisc gur bhain siad leis an ngearánaí mar dhuine ar leith agus d'fhéadfaí an gearánaí a aithint uaidh.
Mar fhreagra ar líomhain an ghearánaí nár freagraíodh a iarratas rochtana go hiomlán, dúirt an rialaitheoir sonraí, maidir le ráitis an fhinné, gur cuireadh cóipeanna de ráitis bhunaidh an fhinné ar fáil don ghearánaí a coinníodh ar chomhad an ghearánaí. Maidir leis na logaí rochtana, bhí an rialaitheoir sonraí den tuairim nach sonraí pearsanta iad sin (toisc gur coinníodh cuntas ar ghluaiseacht dhigiteach fostaithe eile ar chórais TF an rialaitheora sonraí). I dtaca le cáipéisí éagsúla eile a mhaígh an gearánaí nach bhfuair sé, thug an rialaitheoir sonraí le fios, dá bhféadfadh an gearánaí sonraí na ndoiciméad sin a shonrú, go ndéanfadh sé líomhain an ghearánaí a mheas tuilleadh.
Maidir leis an ngearán gur nocht an rialaitheoir sonraí faoi fheidhmíocht oibre an ghearánaí le comhghleacaithe an ghearánaí, d'áitigh an rialaitheoir sonraí go bpléifí feidhmíocht an ghearánaí le bainisteoirí an ghearánaí agus dá bhrí sin, gur nochtadh é ar chúiseanna dlisteanacha gnó. I dtaca leis an ngearán a rinneadh faoi nochtadh sonraí maidir le saoire bhreoiteachta an ghearánaí, thug an rialaitheoir sonraí le fios nár nochtadh aon rud den sórt sin go bhfios dó. Ar deireadh, maidir leis an líomhain gur nochtadh duillíní pá an ghearánaí, d'áitigh an rialaitheoir sonraí gur cuireadh ar fáil iad d'fhostaí de chuid an rialaitheora sonraí le hathbhreithniú a dhéanamh orthu i gcomhthéacs cás ar leith a rinne an gearánaí.
Rinne an gearánaí iarratas freisin ar cheartú ráiteas finné, a líomhnaigh an gearánaí a bhí míchruinn ó thaobh na bhfíricí de. Mar sin féin, chuir an rialaitheoir sonraí in iúl gurbh ionann an méid a taifeadadh sna ráitis finné agus tuairimí na ndaoine a bhí i gceist agus, ar an mbonn sin, dhiúltaigh sé na ráitis finné a leasú.
Bhí an DPC den tuairim go raibh cúig shaincheist le scrúdú aige maidir leis an ngearán. Tugtar achoimre thíos ar dhearcadh an DPC ar gach ceann de na saincheisteanna sin (faoi cheannteidil a léiríonn gach ceann de na cúig shaincheist).
Iarratas ar rochtain
Thug an DPC faoi deara go raibh iarratas bailí rochtana déanta ag an ngearánaí. Mar sin féin, tar éis dó an t-ábhar a bhreithniú tríd is tríd, bhí an DPC den tuairim nach raibh aon fhianaise ar fáil a thabharfadh le fios gur choinnigh an rialaitheoir sonraí faisnéis siar go neamhdhleathach. Thug an DPC faoi deara, áfach, nár láimhseáladh iarratas rochtana sonraí an ghearánaí sa tréimhse ama a éilítear faoin reachtaíocht. Mar sin, bhí sárú cosanta sonraí déanta ag an rialaitheoir sonraí ina thaobh sin.
Faoi Airteagal 12(3) den GDPR, tá sé de cheart ag duine faoi réir sonraí rochtain a fháil ó rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, atá á bpróiseáil. Ní mór don rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ábhair gan aon mhoill agus in aon chás laistigh de mhí amháin tar éis glacadh leis an iarratas.
Líomhain i dtaca le nochtadh neamhúdaraithe ar shonraí pearsanta an ghearánaí
Ní mór do rialaitheoirí bunús dleathach a bheith acu, faoin reachtaíocht um chosaint sonraí chun sonraí pearsanta a phróiseáil, lena n-áirítear na sonraí sin a nochtadh le tríú páirtí. Maidir le sonraí a nochtadh i dtaca le feidhmíocht oibre an ghearánaí, bhí an DPC den tuairim go raibh an phróiseáil sin dleathach ó tharla gur bhain sé le cúiseanna dlisteanacha gnó. Maidir le sonraí saoire breoiteachta a nochtadh, chinn an DPC nár tugadh dóthain faisnéise a bhain leis an teagmhas líomhnaithe chun a chinneadh ar sáraíodh an reachtaíocht. Maidir le nochtadh duillíní pá an ghearánaí, bhí an DPC den tuairim go raibh an nochtadh dleathach toisc gur nochtadh na duillíní pá chun cabhrú leis an rialaitheoir sonraí éileamh dlíthiúil ar leithligh a chosaint a rinne an gearánaí ina choinne.
Faoi Airteagal 6 den GDPR, ceanglaítear ar rialaitheoir sonraí bunús dlí a bheith leis an bpróiseáil ar aon sonraí pearsanta (lena n-áirítear iad a nochtadh). Áirítear ar na bunúis dlí sin atá bailí lena bpróiseáil (a) go bhfuil toiliú tugtha ag an ábhar sonraí, (b) go bhfuil gá leis an bpróiseáil chun conradh a chomhlíonadh a bhfuil an t-ábhar sonraí ina pháirtí ann, (c) go bhfuil gá leis an bpróiseáil chun oibleagáid dhlíthiúil a bhfuil an rialaitheoir sonraí faoina réir a chomhlíonadh, (d) go bhfuil gá leis an bpróiseáil chun leas an duine aonair a chosaint, (e) go bhfuil gá leis an bpróiseáil chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail, nó (f) go bhfuil gá leis an bpróiseáil chun críocha leasanna dlisteanacha a dtugann an rialaitheoir sonraí nó tríú páirtí faoi.
Próiseáil chóir
Tá oibleagáid ar rialaitheoirí sonraí sonraí pearsanta a phróiseáil go cothrom. Le linn a imscrúdaithe, d'iarr an DPC ar an rialaitheoir sonraí a dheimhniú conas a chomhlíon sé a oibleagáidí maidir le sonraí an ghearánaí a phróiseáil ar bhealach cóir, i dtaca le gach ceann de na nochtuithe líomhnaithe ar shonraí pearsanta an ghearánaí. Theip ar an rialaitheoir sonraí an fhaisnéis a theastaíonn a chur ar fáil agus mar sin, mheas an DPC gur theip ar an rialaitheoir sonraí sonraí an ghearánaí a phróiseáil, i gcomhréir le hoibleagáidí próiseála córa.
Faoin GDPR, ní mór sonraí pearsanta a phróiseáil go dleathach, go cothrom agus ar bhealach trédhearcach i ndáil leis an ábhar sonraí. Ceanglaítear leis an bprionsabal sin go ndéanfar faisnéis áirithe a chur ar fáil don ábhar sonraí faoi Airteagal 13 agus Airteagal 14 den GDPR maidir leis an oibríocht phróiseála a bheith ann agus chun críocha na hoibríochta sin. Ba cheart na hábhair sonraí a chur ar an eolas faoi rioscaí, rialacha, agus coimircí i ndáil le próiseáil a gcuid sonraí pearsanta. I gcás inar féidir sonraí pearsanta a nochtadh go dlisteanach d'fhaighteoir eile, ba cheart do rialaitheoirí sonraí an t-ábhar sonraí a chur ar an eolas nuair a nochtar na sonraí pearsanta den chéad uair don bhfaighteoir nó do chatagóirí faighteoirí na sonraí pearsanta.
An ceart go ndéanfaí ceartúcháin
Faoin reachtaíocht um Chosaint Sonraí, tá ceart ann chun sonraí pearsanta míchruinne a cheartú. Dheimhnigh an rialaitheoir sonraí anseo, áfach, gurbh ionann an méid a taifeadadh sna ráitis finné agus tuairimí na ndaoine a bhí i gceist. Glacadh leis an dearcadh, i gcás ina dtaifeadtar tuairim i gceart agus i gcás ina bhfuil an tuairim bunaithe go hoibiachtúil ar nithe a chreidfeadh an duine a thugann an tuairim a bheith fíor, nach bhfuil feidhm ag an gceart go ndéanfaí ceartúcháin.
Faoi Airteagal 5 den GDPR, ní mór sonraí pearsanta atá á bpróiseáil a bheith cruinn agus, nuair is gá, iad a bheith cothrom le dáta agus ceanglaítear ar rialaitheoirí sonraí a chinntiú go ndéantar gach beart réasúnta chun a chinntiú go scriostar nó go gceartaítear sonraí míchruinne, agus cuspóir a bpróiseála ar intinn. Faoi Airteagal 16 den GDPR, tá sé de cheart ag ábhar sonraí go gceartóidh rialaitheoir sonraí sonraí pearsanta míchruinne a bhaineann leis nó léi gan aon mhoill. Faoi alt 60 den Acht um Chosaint Sonraí 2018, áfach, tá an ceart seo teoranta sa mhéid is gur léiriú tuairime ó dhuine eile iad na sonraí pearsanta faoin ábhar sonraí a tugadh faoi rún nó ar an tuiscint go gcaithfeadh duine leis i modh rúin agus leas dlisteanach aige an fhaisnéis a fháil.
Sonraí pearsanta an ghearánaí a choimeád
D'iarr an DPC ar an rialaitheoir sonraí breac-chuntas a thabhairt ar an mbunús dlí maidir le sonraí pearsanta an ghearánaí a choinneáil (i.e. próiseáil) i dtaca le himscrúdú an ionaid oibre. Chuir an rialaitheoir sonraí in iúl go raibh na sonraí seo á gcoimeád d'fhonn iarratais agus achomhairc an ghearánaí a láimhseáil faoi phróisis reachtúla éagsúla. Ar an mbonn sin, bhí an DPC den tuairim go raibh sé dleathach go gcoinneofaí sonraí pearsanta an ghearánaí mar go raibh baint aige le cúiseanna dlisteanacha gnó.
Faoin GDPR, ní hamháin go gcaithfidh bunús dleathach a bheith ag rialaitheoir sonraí chun sonraí pearsanta duine aonair a fháil ar dtús, ach ní mór bunús dlí leanúnach a bheith leis chun na sonraí sin a choinneáil de réir Airteagal 6, mar a leagtar amach thuas. Faoi Airteagal 5(1)(e) den GDPR, níl cead sonraí pearsanta a chuireann in iúl cé hé / cé hí an t-ábhar sonraí a choinneáil ar feadh tréimhse níos faide ná mar is gá chun na gcríoch dá bpróiseáiltear iad.
16) Cás-Staidéar 16: Réiteach Cairdiúil – Cruthúnas Aitheantais agus Íoslaghdú Sonraí
Fuair an DPC gearán, trí Údarás Cosanta Sonraí Bheirlín, ó dhuine aonair maidir le hiarratas a rinne sé le rialaitheoir sonraí chun athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena chuntas custaiméara. Rinne an gearánach an iarratas tríd an fheidhm comhrá ar líne de chuid an rialaitheora sonraí agus cuireadh in iúl dó ina dhiaidh sin go mbeadh cóip de cháipéis aitheantais ag teastáil chun úinéireacht an chuntais a fhíordheimhniú sular bhféadfaí leanúint leis an iarratas. Dhiúltaigh an gearánach an t-eolas seo a chur ar fáil agus mar sin níor lean an rialaitheoir sonraí lena iarratas ag an am sin.
Tar éis dó an gearán a fháil, chuaigh an DPC i ngleic leis an rialaitheoir sonraí agus i rith na teagmhála sin fuarthas nach dteastaíonn an rialaitheoir sonraí ó dhaoine aonair cáipéis aitheantais a chur ar fáil chun athrú a dhéanamh leis an seoladh ríomhphoist a bhaineann le cuntas. Chomh maith leis seo, bhain an gníomhaire um sheirbhís do chustaiméirí úsáid as gnás oibriúcháin mícheart nuair a fhreagair sé iarratas an ghearánaí. De réir gnáthnós imeachta an rialaitheora sonraí, ba cheart do ghníomhairí um sheirbhís do chustaiméirí cur in iúl do chustaiméirí gur féidir leo a sheoladh ríomhphoist a athrú trí shíniú isteach ina chuntas féin agus an athrú a dhéanamh go díreach ar an leathanach socruithe ‘Cuntas’. Dúirt an rialaitheoir sonraí chomh maith gur i gcás nach féidir nó nach mian le custaiméir a sheoladh ríomhphoist a athrú leis féin, tugann a nós imeachta treoir do ghníomhairí um sheirbhís do chustaiméirí iarraidh ar an gcustaiméir eolas teoranta, a bhfuil á choinneáil ag an rialatheoir sonraí cheana féin, a chur ar fáil chun an sealbhóir cuntais a fhíordheimhniú.
De bharr an ghearáin, thoiligh an rialaitheoir sonraí treoir shoiléir a thabhairt maidir le conas a bhféadfadh an gearánach athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena eolas cuntais gan tuilleadh sonraí pearsanta a chur ar fáil. Chomh maith leis seo, rinne an rialaitheoir sonraí athbhreithniú cuimsitheach ar a chórais um sheirbhís do chustaiméirí agus chur sé oiliúint athnuachana ar fáil dá ghníomhairí uilig maidir leis na gnáthnósanna imeachta gur cheart dóibh a úsáid i gcásanna dá leithéid.
Chuaigh an DPC i ngleic leis an ngearánach ansin, trí Údarás Cosanta Sonraí Bheirlín, chun an t-eolas a fuair sé ón rialaitheoir sonraí a chur ar fáil le réiteach cairdiúil a iarraidh ar an ngearán. Thug an gearánach deimhniú don DPC ansin gur éirigh leis athrú a dhéanamh leis an seoladh ríomhphoist ar a chuntas leis an rialaitheoir sonraí.
Léiríonn an cás-staidéar seo na buntáistí atá ann do rialaitheoirí sonraí agus do ghearánaigh má ghlacann siad páirt sa phróiseas réiteach cairdiúil ar bhealach dáiríre. Sa chás seo, cé go ndearna an rialaitheoir sonraí gníomhartha dearfacha, ar nós eolas mionsonraithe a chur ar fáil don ghearánaí faoi conas athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena chuntas, bhí toradh maith don dá páirtí.
17) Cás-Staidéar 17:Réiteach Cairdiúil – An Ceart go nDéanfaí Léirscriosadh agus Ábhar arna Ghiniúint ag Úsáideoirí
Bhain an gearán seo le diúltú a rinne an rialaitheoir sonraí ar dtús géilleadh d’iarratas ar léirscriosadh a rinne an gearánaí, de réir Airteagail 17 GDPR. Thaisc an gearánaí a ghearán ar dtús trí Údarás Cosanta Sonraí na Spáinne, an AEPD, a d’aistrigh an gearán ina dhiaidh sin go dtí an DPC mar Phríomhúdarás Maoirseachta.
Dúirt an gearánaí gur aimníodh é, agus mar sin gur aithníodh é, i léirmheas diúltach ar a ionad oibre. Rinneadh an léirmheas a phostáil ar líne, in éineacht le híomhá pháirteach den ghearánaí. D’iarr an gearánaí go mbainfí a ainm ón léirmheas, chomh maith le haon íomhánna a bhain leis.
I rith a rannpháirtíochta leis an DPC maidir leis an gceist, chuir an rialaitheoir sonraí in iúl go ndearna sé athbhreithniú ar an ábhar a bhí i gceist i gcomhthéacs na treoirlínte príobháideachais atá aige chun ábhar a bhaint ón suíomh gréasáin agus gur mheas sé nár sháraigh an t-ábhar na treoirlínte sin.
D’iarr an DPC ar an rialaitheoir sonraí an cheist a athbhreithniú arís, ar mhaithe leis an ngearán a réitiú go cairdiúil. Ina dhiaidh sin d’fhill an rialaitheoir sonraí ar ais le cur in iúl gur, tar éis dó athbhreithniú níos faide a dhéanamh ar an ábhar a bhí i gceist, chinn siad an phostáil léirmheasa a bhaint go hiomlán.
Léiríonn an cás-staidéar seo na buntáistí atá ann, do ghearánaigh aonair, nuair a dhéanann an DPC idirghabháil tríd an bpróiseas réiteach cairdiúil. Sa chás seo, de bharr na hidirghabhála seo, bhí an gearánaí in ann a cheart go ndéanfaí léirscriosadh ar a shonraí pearsanta a fheidhmiú, mar a thugtar do dhaoine aonair faoi Airteagal 17 den GDPR.
18) Cás-Staidéar 18: Réiteach Cairdiúil i nGearán Trasteorann – An Ceart go nDéanfaí Léirscriosadh
19) Cás-Staidéar 19: Réiteach Cairdiúil – An Ceart go nDéanfaí Léirscriosadh
20) Cás-Staidéar 20: Grianghraf a Nochtadh agus a Fhoilsiú gan Údarú
21) Cás-Staidéar 21: An bunús dlíthiúil i leith próiseáil agus slándáil na próiseála
22) Cás-staidéar 22: Iarraidh ar scriosadh agus spleáchas ar an gCód um Chosaint Tomhaltóirí
23) Cás-staidéar 23: Baint a bheith ag bailitheoir fiach
24) Cás-staidéar 24: Bearta slándála cuí do shonraí sláinte a sheoltar trí ríomhphost
Fuair an DPC gearán ó thuismitheoir linbh ar nochtadh a shonraí sláinte le tríú páirtí anaithnid trí dhearmad. Bhí na sonraí coinnithe i ndoiciméad a bhí ceangailte le seoladh ríomhphoist mícheart ar sheol fostaí i gcomhlacht poiblí é.
Bhí an leanbh ina ábhar i measúnú sláinte ag teiripeoir a bhí fostaithe ag an gcomhlacht poiblí. D’ullmhaigh an teiripeoir dréacht-tuarascáil, a bhí le seoladh chuig gairmí sinsearach. Sular seoladh í, chinn an teiripeoir tuairim eile a lorg ó chomhghleacaí. Ní raibh an comhghleacaí san oifig, dá bhrí sin, chinn an teiripeoir an dréacht-tuarascáil a sheoladh chuig seoladh ríomhphoist phearsanta an chomhghleacaí. Go gairid ina dhiaidh sin, thuig an teiripeoir go raibh an seoladh ríomhphoist mícheart. Ní raibh seirbhís IT an chomhlachta phoiblí in ann an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart a fháil ar ais. Dheimhnigh soláthraí seirbhíse ríomhphoist an fhaighteora go raibh cuntas an fhaighteora gníomhach, ach níor tugadh freagra ar ríomhphoist ón gcomhlacht poiblí inar iarradh ar an bhfaighteoir an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart a scriosadh. Chuaigh an comhlacht poiblí i dteagmháil leis an tuismitheoir tríd an nguthán, i bpearsa agus i scríbhinn chun an tuismitheoir a chur ar an eolas faoin earráid agus chun leithscéal a ghabháil ina leith. Chomh maith leis sin, chuir an comhlacht poiblí scéala chuig an DPC maidir leis an sárú ar shonraí pearsanta. Ina dhiaidh sin, thaisc an tuismitheoir gearán leis an DPC.
Mar chuid d’iniúchadh a dhéanamh ar an ngearán, d’iarr an DPC ar an gcomhlacht poiblí míniú a thabhairt ar na céimeanna a glacadh lena chinntiú go scriosfaí an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart, an polasaí a bhí ag an gcomhlacht i ndáil le ríomhphoist a bhaineann le hobair a sheoladh chuig seoltaí pearsanta na mball foirne, agus na bearta a bhí á nglacadh ionas nach dtarlódh an sárú an athuair.
Sa fhreagra a thug an comhlacht poiblí, deimhníodh an tsraith teagmhas a ndéantar cur síos orthu thuas, lena n-áirítear na hiarrachtaí a rinneadh an ríomhphost a fháil ar ais agus a chuid idirghníomhaíochtaí leis an soláthraí seirbhíse ríomhphoist. Chuir sé in iúl don DPC gur atheisigh sé cóip dá pholasaí maidir le cosaint sonraí chuig na baill ar fad den fhoireann ina raibh an teiripeoir ag obair, agus scríobh sé chuig an teiripeoir le meabhrú dó nach bhfuil cead aige aon fhaisnéis a sheoladh chuig seoltaí ríomhphoist phearsanta, fiú i gcás go n-iarrfaí air é sin a dhéanamh. Cuireadh in iúl go soiléir gur áiríodh leis sin tuarascálacha agus doiciméid eile a bhaineann le hobair. Cuireadh cosaint sonraí le clár oibre cruinnithe démhíosúla na foirne mar mhír sheasta, agus sceidealaíodh baill ar fad na foirne i leith oiliúint maidir le feasacht ar chosaint sonraí.
Le linn measúnú a dhéanamh ar an gceist, ba é an tsaincheist lárnach a d’aithin an DPC ná an oibleagáid atá ar rialaitheoir sonraí bearta slándála cuí a ghlacadh in aghaidh rioscaí, lena n-áirítear sonraí pearsanta a nochtadh gan údarú. Bhí bearta slándála cuí le haithint agus aird á tabhairt ar thosca lena n-áirítear an teicneolaíocht atá ar fáil, an dochar a d’fhéadfaí a dhéanamh trí nochtadh, agus an cineál sonraí atá i gceist. Chomh maith leis sin, ní mór do rialaitheoirí gach céim réasúnach a ghlacadh lena chinntiú go bhfuil a gcuid fostaithe ar an eolas faoi na bearta sin agus go gcloíonn siad leo.
Ba é tuairim an DPC gur soiléir go raibh sé míchuí dréacht-tuarascáil a sheoladh chuig seoladh ríomhphoist pearsanta agus aird á tabhairt ar an leibhéal slándála riachtanach, agus go raibh sé ag dul in aghaidh polasaithe an chomhlachta phoiblí féin maidir le sonraí pearsanta. Mar sin féin, níor leor na polasaithe bheith ann amháin d’fhonn an oibleagáid a chomhlíonadh i ndáil le céimeanna réasúnacha a ghlacadh lena chinntiú go raibh a chuid fostaithe ar an eolas fúthu agus gur chloígh siad seo. Ní dhearna an comhlacht poiblí é sin ach i ndiaidh don sárú tarlú.
Tá an cás seo ina léiriú ar an gcur chuige bunaithe ar riosca a bhaineann le reachtaíocht maidir le cosaint sonraí. In Airteagal 32 den GDPR, éilítear ar rialaitheoirí (agus próiseálaithe nuair is infheidhme) bearta teicniúla agus eagraíochtúla a chur i bhfeidhm d’fhonn slándáil chuí a chinntiú i ndáil leis na sonraí pearsanta a phróiseálann siad. Ní mór do phearsana a phróiseálann sonraí pearsanta thar ceann an rialaitheora gan é a dhéanamh ach arna ordú ag an rialaitheoir, agus dá bhrí sin, ní mór dóibh bheith ar an eolas faoi bhearta teicniúla agus eagraíochtúla ábhartha.
Déanfar cuibhiúlacht na mbeart slándála a chinneadh trí thagairt a dhéanamh do na rioscaí atá i gceist: an riosca a d’fhéadfadh a bheith ag baint le sárú do cheart agus saoirsí duine aonair, agus an baol go bhféadfadh cineálacha éagsúla sárú tarlú, ar nós na sonraí a chailleadh, a nochtadh nó a rochtain gan údarú. Tá níos mó cosanta ag sonraí catagóirí speisialta, ar nós sonraí sláinte, faoi Airteagal 9 den GDPR. Dá bhrí sin, is dócha go mbeadh na bearta slándála atá oiriúnach do na catagóirí sonraí seo níos géire. Ní mór do rialaitheoir sonraí cuimhneamh freisin gur minic go dtagann athrú ar na rioscaí le himeacht ama; ní mór chomh maith bearta slándála a chur in oiriúint do na cúinsí.
25) Cás-staidéar 25: Rochtain ar ríomhphost fostaí ar sheirbhís ríomhphoist chorparáideach
Fostaí ab ea an gearánaach a d’áitigh gur sháraigh a fhostóir a chearta cosanta sonraí trí líon ríomhphost ar a chuntas corparáideach a chuardach, a aisghabháil agus a athbhreithniú.
Le linn imscrúdaithe ina raibh pearsana eile i gceist, tháinig an fostóir ar ríomhphoist inar léiríodh imní i ndáil le roinnt fostaithe, an gearánach san áireamh. Ina dhiaidh sin, chuardaigh an fostóir a fhreastalaithe corparáideacha do ríomhphoist de chuid an ghearánaigh a bhain le tréimhse áirithe ceithre seachtaine agus daoine aonair ar leith. Ansin, rinne an fostóir monatóireacht ar an úsáid a bhain an gearánach as ríomhphost corparáideach chun cumarsáid a dhéanamh le duine ar leith agus aisghabhadh roinnt ríomhphost eile. Bunaithe orthu seo, chuir an fostóir tús le himeachtaí araíonacht in aghaidh an ghearánaigh ar an bhforas gur sháraigh an úsáid a bhain an gearánach as an tseirbhís ríomhphoist rialacha agus polasaithe infheidhme.
Ní raibh aon aighneas i gceist go raibh na ríomhphoist ina sonraí pearsanta, go raibh an fostóir ar an rialaitheoir sonraí, nó gurbh ionann gníomhartha an fhostóra agus próiseáil agus é á gcuardach á n-aisghabháil agus á mbreathnú. D’áitigh an fostóir go raibh an phróiseáil ina próiseáil chothrom, dhleathach agus chomhréireach, agus gur aimsigh sé cothromaíocht idir a leasanna dlisteanacha féin agus an ghearánaigh agus é sin á dhéanamh.
I gconradh fostaíochta an ghearánaigh, éilíodh go sonrach ar an ngearánach cloí le rúin, rialacháin agus orduithe an fhostóra. Áiríodh le polasaithe corparáideacha an fhostóra ‘Polasaí um Úsáid Inghlactha’ a bhain leis an tseirbhís ríomhphoist chorparáideach, polasaí araíonachta inar leagadh amach cineálacha iompair a d’fhéadfadh bheith ina gcúis le himeachtaí araíonachta, agus ‘Cód Iompair’ inar pléadh topaicí ar nós dílseacht, eitic agus ionracas. Bhí siad sin ar fad i bhfeidhm ag an tráth a seoladh na ríomhphoist ábhartha.
Sa Pholasaí um Úsáid Inghlactha, tugadh cead úsáid phearsanta theoranta a bhaint as an ríomhphost corparáideach ó am go chéile a bhí ag teacht le luachanna an fhostóra agus nár sháraigh a pholasaithe corparáideacha. Cuireadh in iúl ann go bhféadfadh an fostóir monatóireacht a dhéanamh ar ríomhphoist agus go ndéanfadh sé monatóireacht orthu maidir leis an bPolasaí um Úsáid Inghlactha a chomhlíonadh agus chun críocha leasanna dlisteanacha gnó eile. Chomh maith leis sin, choimeád an fostóir an ceart chuige féin scrúdú a dhéanamh ar fhaisnéis a bhí stóráilte ar a chórais nó líonraí, agus cuireadh in iúl ann go bhféadfadh an fostóir “monatóireacht a dhéanamh ar fhaisnéis atá stóráilte ar [a] chórais nó trealamh, cibé ar cruthaíodh í chun críocha gnó nó pearsanta, in am ar bith”.
Scrúdaigh an DPC cibé an raibh an phróiseáil ina próiseáil chothrom agus cibé an raibh bunús dlí ag an bhfostóir chun na sonraí a phróiseáil ar an mbealach inar phróiseáil sé iad.
Maidir le cothromaíocht na próiseála, bhreithnigh an DPC ar dtús an oibleagáid atá ar an rialaitheoir faisnéis leordhóthanach a thabhairt d’ábhair sonraí d’fhonn na cineálacha sonraí a phróiseálfar agus cuspóirí na próiseála a chur in iúl go soiléir. Bhí an DPC den tuairim gur cuireadh in iúl go soiléir sa Pholasaí um Úsáid Inghlactha go raibh an fhaisnéis ar fad ar chórais an fhostóra, ríomhphoist phearsanta san áireamh, faoi réir iniúchta lena chinntiú gur cloíodh leis an bPolasaí um Úsáid Inghlactha agus chun críocha dlisteanacha eile. Maidir leis seo, bhreithnigh an DPC gur cuspóirí dlisteanacha ab ea a chinntiú gur cloíodh le nósanna imeachta araíonachta agus Cód Iompair an fhostóra. Bunaithe air sin, ba é seasamh an DPC gur cuireadh na cuspóirí in iúl go soiléir don ghearánach.
In dhiaidh sin, bhreithnigh an DPC an ndearnadh an phróiseáil sa chás seo i ndáiríre chun na críocha a cuireadh in iúl don ghearánach. Thug an DPC faoi deara gur spreagadh an cuardach a rinneadh ar chuntas corparáideach an ghearánaigh mar thoradh ar imscrúdú ar leith inar ardaíodh ábhar imní maidir leis an ngearánach a bhain leis an bPolasaí um Úsáid Inghlactha, an Cód Iompair agus an polasaí araíonachta. Bhí an cuardach a rinneadh ar chuntas ríomhphoist an ghearánaigh mar thoradh air sin teoranta don tréimhse a clúdaíodh agus na daoine aonair a bhí i gceist araon, mar aon leis an monatóireacht a rinneadh ina dhiaidh sin ar an úsáid a bhain an gearánach as an ríomhphost.
Ba é tuairim an DPC gur bhain an phróiseáil a rinne an fostóir ar ríomhphoist an ghearánaigh le linn an chéad fhiosrúcháin (nach raibh dírithe ar an ngearánach) leis na críocha a luadh sa Pholasaí um Úsáid Inghlactha. Ar an mbealach céanna, bhain cuardach, aisghabháil agus léamh na ríomhphost ón tréimhse ceithre seachtaine, agus monatóireacht agus léamh ríomhphoist an ghearánaigh ina dhiaidh sin, ar fad leis na críocha sin. Toisc go raibh an tréimhse agus an réimse daoine a sainíodh sa chuardach agus monatóireacht teoranta dóibh sin a bhain le hábhar an fhiosrúcháin, níor sáraíodh na críocha sonraithe.
Bhraith an fostóir ar a leas dlisteanach mar bhunús dlisteanach don phróiseáil. Thug an DPC faoi deara go raibh trí ghné ag teastáil ina leith sin: ní mór go ndéanfaí an phróiseáil chun cuspóir an leasa dlisteanaigh, ní mór go mbeadh sé riachtanach chun na críche sin, agus ní mór nach mbeadh tosaíocht ag cearta agus saoirsí bunúsacha an duine atá i gceist – an gearánach sa chás seo – ar leas an phróiseálaí.
Maidir leis an gcéad ghné, bhreithnigh an DPC téarmaí an Pholasaí um Úsáid Inghlactha, an Chóid Iompair agus an pholasaí araíonachta. Ba é tuairim an DPC, go raibh siad sin dlisteanach agus gur bhain an chéad fhiosrúchán le leas an fhostóra maidir le seasamh leo. I bhfianaise faisnéis a nochtadh tríd an gcéad fhiosrúchán, bhain sé le leas dlisteanach an fhostóra cuardach a dhéanamh ar na ríomhphoist a cruthaíodh le linn na tréimhse ceithre seachtaine agus roinnt ríomhphoist ar leith a mhonatóiriú agus a aisghabháil.
Maidir leis an dara gné – go mbeadh an phróiseáil riachtanach chun cuspóir an leasa dlisteanaigh – ba é tuairim an DPC gur bhain an Polasaí um Úsáid Inghlactha go sonrach le húsáid a bhaint as an tseirbhís ríomhphoist chorparáideach, agus nach mbeadh sé indéanta sárú a d’fheadfadh bheith ann a fhiosrú agus a théarmaí a fhorfheidhmiú gan na cineálacha próiseála a cuireadh i gcrích sa chás seo. Thug an DPC faoi deara i ndáil leis sin go raibh an cuardach agus an mhonatóireacht a rinne an fostóir ar an ríomhphost teoranta go docht ó thaobh an tréimhse agus na daoine aonair a bhí i gceist.
Ba é an tríú gné den bhonn leasa dlisteanaigh a bhain leis an bpróiseáil ná cothromaíocht a aimsiú idir leas an phróiseálaí in aghaidh cearta agus saoirsí an duine a bhí i gceist. Thug an DPC faoi deara gur mheas an gearánach go raibh na ríomhphoist a bhí i gceist ina ríomhphoist phearsanta, agus gur ceadaíodh úsáid theoranta a bhaint as an tseirbhís ríomhphoist ó am go chéile mar ríomhphost pearsanta tríd an bPolasaí um Úsáid Inghlactha. Chomh maith leis sin, níor thoiligh an gearánach don mhonatóireacht agus níor cuireadh an gearánach ar an eolas faoi go dtí gur chuir an fostóir scéalaí chuige maidir leis an bhfiosrúchán. Ina choinne sin, thug an DPC faoi deara gur bhain na ríomhphoist le gnéithe de chúrsaí gnó an fhostóra agus dá bhrí sin, go bhféadfaí a mheas go raibh siad ábhartha d'obair an ghearánaigh. Luaigh an gearánach don DPC nach raibh ábhair na ríomhphost míchuí, agus dá mba rud é gur iarraidh an fostóir cead rochtana orthu, go dtabharfadh an gearánach cead ina leith sin. Mheas an fostóir go raibh na ríomhphoist ina bhfianaise ar sháruithe a d’fhéadfadh bheith déanta ag an ngearánach den Pholasaí um Úsáid Inghlactha agus den Chód Iompair, agus gur cuireadh in iúl sa Pholasaí sin go bhféadfaí monatóireacht a dhéanamh. Ba é tuairim an DPC, tríd is tríd, gur próiseáil theoranta a rinne an fostóir agus nár thángthas salach ar mheas ar shaol príobháideach an ghearánaigh.
Ba é seasamh an DPC, mar chonclúid, go raibh an phróiseáil ina próiseáil chothrom agus go raibh bunús dlíthiúil ag an bhfostóir chun é c chur i gcrích.
Tá an cás seo ina léiriú ar roinnt pointí tábhachtacha. D’fhéadfadh leas dlisteanach bheith ag fostaithe a thugann údar do shonraí pearsanta fostaithe ar a gcórais a mhonatóiriú, a aisghabháil nó a léamh, bíodh siad sin cruthaithe do críocha pearsanta nó oibre. Mar sin féin, ní leor fostaithe a chur ar an eolas amháin go gcoimeádann an fostóir an ceart chuige féin monatóireacht a dhéanamh ar chumarsáid: ní mór go gcloífeadh próiseáil le prionsabail na cosanta sonraí a leagtar amach in Airteagal 5 den GDPR, agus ní mór do rialaitheoirí cloí leis na riachtanais thrédhearcachta i gCaibidil III (Airteagail 12 go 23). Chomh maith leis sin, ní mór dóibh breithniú a dhéanamh ar an mbunús dlíthiúil i leith próiseáil ar a mbraitheann siad: In Airteagal 6, forchuirtear tástáil ‘riachtanais’ i ndáil leis na bunúis dlíthiúla ar fad atá ar fáil, seachas ceann amháin díobh. Ciallaíonn sé sin go bunúsach, nach mór go mbeadh an phróiseáil ar an aon bhealach praiticiúil chun an cuspóir inmhianaithe a bhaint amach, agus nach mór nach mbeadh sé ar an mbealach níos áisiúla amháin chun é sin a dhéanamh. (Is é toiliú an eisceacht, agus ba chóir do rialaitheoirí cuimhneamh go bhféadfadh ábhar sonraí toiliú a tharraingt siar ar bhealach chomh héasca inar thoiligh sé.)
Dá réir sin, sula ngairtear ar chumhacht chun monatóireacht a dhéanamh ar chumarsáid fostaithe, ní mór d’fhostóirí machnamh cúramach a dhéanamh ar cloíodh leis na prionsabail chosanta sonraí ar fad agus an gcloífear leo, an bunús dlíthiúil díreach a bhfuiltear ag brath air, agus an cineál agus méid próiseála atá riachtanach. Ní mór riachtanas na próiseála agus na héifeachtaí a bheidh i gceist do chearta agus saoirsí ábhar sonraí a mheas go cúramach.
Ba chóir d’fhostaithe bheith ar an eolas ar an mbealach ina bhféadfadh a bhfostóir a sonraí pearsanta a bhailiú agus a phróiseáil, agus ar an mbunús dlí ar a mbraitheann siad. (Foráiltear in Airteagail 12 go 15 den GDPR do rialaitheoirí sonraí chun faisnéis a chur ar fáil d’ábhair sonraí maidir leis na ceisteanna sin.) Is féidir faisnéis thábhachtach a chur ar fáil maidir le cearta cosanta sonraí i ráitis polasaí, i lámhleabhair d’fhostaithe agus i ndoiciméid den chineál céanna.
26) Cás-staidéar 26: Sonraí pearsanta comhalta arna nochtadh ag comhar creidmheasa le gnólacht imscrúduithe príobháideacha
Bhí an gearánach sa chás seo ina iasachtaí ó chomhar creidmheasa agus bhí sé maíte ina leith go raibh sé i riaráiste ar iasacht. Mhaígh an comhar creidmheasa nach raibh sé in ann teagmháil a dhéanamh leis an ngearánach. Nocht an comhar creidmheasa sonraí pearsanta de chuid an ghearánaigh le gnólacht imscrúduithe príobháideacha d’fhonn an gearánach a aimsiú agus cumarsáid a dhéanamh leis. Áiríodh leis na sonraí a nochtadh ainm, seoladh, iar-sheoladh, stádas teaghlaigh agus stádas fostaíochta an ghearánaigh. Thart ar ceithre bliana ina dhiaidh sin, fuair an gearánach amach faoin nochtadh sin agus rinne sé gearán leis an DPC.
Chuir an gnólacht imscrúduithe príobháideacha deireadh le trádáil roinnt blianta roimh an ngearán agus dá bhrí sin, ní raibh sé in ann cuidiú le himscrúdú an DPC. D’iarr an DPC ar an gcomhar creidmheasa míniú a thabhairt ar an mbunús dlí ar a nocht sé na sonraí, mar aon leis an bhfáth ar cheap sé go raibh sé riachtanach é sin a dhéanamh. Chuir an comhar creidmheasa in iúl don DPC nach raibh conradh i scríbhinn aige leis an ngnólacht imscrúduithe príobháideacha, mar gheall air sin, d’iarr an DPC air sonraí a chur ar fáil maidir le haon pholasaí nó nós imeachta príobháideach maidir leis an tráth ag a raibh sé iomchuí dul i mbun plé leis an ngnólacht.
Maidir leis an mbunús dlí a bhí leis an nochtadh, mhaígh an comhar creidmheasa go raibh sé riachtanach chun críocha tabhairt faoi leas dlisteanach agus chun a chonradh leis an ngearánach a chomhlíonadh. Chomh maith leis sin, thagair sé d’alt 71(2) den Acht um Chomhar Creidmheasa 1997 ina gceadaítear do chomhar creidmheasa faisnéis chuntais chomhalta a nochtadh nuair atá Banc Ceannais na hÉireann (Cláraitheoir na gComhar Creidmheasa roimhe seo) go bhfuil sé riachtanach é sin a dhéanamh chun airgead scairshealbhóirí nó taisceoirí a chosaint nó chun leasanna an chomhair chreidmheasa a chosaint. (Ní raibh an comhar creidmheasa in ann a lua ar léirigh an Banc Ceannais tuairim dá leithéid i ndáil leis an gcás seo.)
D'áitigh an comhar creidmheasa go raibh an nochtadh riachtanach toisc nach raibh sé in ann teagmháil a dhéanamh leis an ngearánach trí litir, tríd an nguthán, nó trí aturnae an ghearánaigh. Ina thuairim féin, bhí an gearánach ag féachaint lena iarrachtaí i ndáil lena thaifid a nuashonrú agus an iasacht gan íoc a phlé a sheachaint. (D’easaontaigh an gearánach go láidir leis sin, á thabhairt le fios go ndearna sé aisíocaíochtaí tamall gairid sula ndeachaigh an creidmheasa i dteagmháil leis an ngnólacht imscrúduithe inmheánacha.)
Chuir an comhar creidmheasa in iúl don DPC gur dhéileáil a pholasaí rialaithe creidmheasa le cásanna inar moladh gur chóir iasacht neamhchomhlíonta comhalta a dhíscríobh ina dhrochfhiach. Sula ndéanfaí é sin, tugadh treoir sna forálacha ábhartha gur chóir go ndéanfadh an comhar creidmheasa “gach iarracht…dul i dteagmháil leis an gcomhalta, lena n-áirítear cúnamh a fháil ó thríú páirtí” agus iarracht a dhéanamh leanúint leis na socruithe a comhaontaíodh agus cuidiú a thabhairt i ndáil leis an bhfiach a bhailiú.
Mheas an DPC an bunús dlí a bhí leis an nochtadh agus conradh próiseála sonraí bheith ann bheith ar na saincheisteanna lárnacha sa ghearán.
I bhfianaise na bhfíricí ar fad a cuireadh i láthair, agus ar bhonn na reachtaíochta is infheidhme, chinn an DPC go raibh leas dlisteanach ag an gcomhar creidmheasa agus é ag féachaint le sonraí teagmhála cothrom le dáta a fháil chun teagmháil a dhéanamh leis an ngearánach an athuair d’fhonn aisíoc na hiasachta a phlé. Bhí sé riachtanach sonraí pearsanta a phróiseáil chun críocha tabhairt faoi leas dlisteanach. Ghlac an DPC leis go bhféadfadh an nochtadh dul i gcion ar chearta bunúsacha agus leasanna dlisteanacha an ghearánaigh. Ina choinne sin, áfach, mar chuid den fheidhm shóisialta thábhachtach a chuireann comhair chreidmheasa ar fáil, éilíodh go mbeadh siad in ann gníomh a dhéanamh chun dul i dteagmháil le comhaltaí a dtiteann a n-iasachtaí i riaráiste. Ar an gcúis sin, bhí an nochtadh ag teastáil in ainneoin an dochar a d’fhéadfaí a dhéanamh do chearta agus saoirsí bunúsacha nó leasanna dlisteanacha an ghearánaigh. Dá bhrí sin, tugann an comhar creidmheasa dearbhú i ndáil le tabhairt faoina leas dlisteanach trí dhul i dteagmháil leis an ngearánach agus féachaint le haisíoc na hiasachta mar an bunús dlí i leith sonraí pearsanta a nochtadh le gnólacht imscrúduithe príobháideacha.
Chomh maith leis sin, bhreithnigh an DPC ar cuireadh bunús dlí ar fáil don nochtadh sa chás seo trí alt 71(2) d’Acht na gComhar Creidmheasa 1997. Thug an DPC faoi deara gur féidir bunús dlí a chur ar fáil i leith próiseáil trí oibleagáid dhlíthiúil a chomhlíonadh, ar nós faoi ordú cúirte nó foráil de chuid reachta. Mar sin féin, bhí alt 71(2) (lena n-áirítear an fhoráil a luaigh an comhar creidmheasa ina chuid aighneachtaí chuig an DPC) ceadaitheach seachas éigeantach maidir lena héifeacht: cé gur tugadh cead do chomhair creidmheasa faisnéis a nochtadh i gcúinsí áirithe, níor éilíodh orthu é sin a dhéanamh. Dá réir sin, níor tugadh údar don nochtadh san alt chun críocha na reachtaíochta cosanta sonraí is infheidhme.
Thug an DPC faoi deara nach mór an phróiseáil a dhéanann próiseálaí thar ceann rialaitheora a dhéanamh faoi théarmaí conradh i scríbhinn nó i riocht comhionann ina gcloítear leis an reachtaíocht cosanta sonraí is infheidhme, agus in gcinntítear go háirithe go gcomhlíonann an phróiseáil na hoibleagáidí a chuirtear i bhfeidhm ar an rialaitheoir. I dtuairim an DPC, ní raibh polasaí rialaithe creidmheasa an chomhair chreidmheasa leordhóthanach chun an riachtanas seo a chomhlíonadh, dá bhrí sin, theip ar an gcomhar creidmheasa a oibleagáid reachtúil a chomhlíonadh i ndáil leis sin.
Sa chás seo, tarraingítear aird ar roinnt saincheisteanna tábhachtacha do rialaitheoirí sonraí. Cibé uair a fhostaíonn rialaitheoir próiseálaí chun sonraí a phróiseáil thar a cheann, tá riachtanas soiléir ann go mbeadh conradh próiseála nó beart comhionann ann a chomhlíonann Airteagal 28(3) den GDPR nó reachtaíocht eile is infheidhme. Trí na conarthaí seo, déantar tairbhe do rialaitheoirí agus próiseálaithe araon trí shoiléiriú a thabhairt maidir leis an bpróiseáil atá ag teastáil agus an bealach ina gcuirfear í i gcrích. Chomh maith leis sin, tugtar cosaint d’ábhair sonraí trí shoiléireacht a chur ar fáil maidir leis an mbealach ina bhfuil a sonraí á bpróiseáil agus cé atá á bpróiseáil, mar aon leis na críocha dá bhfuil siad á bpróiseáil.
Tá an cás ina léiriú freisin ar an tábhacht atá le bheith soiléir maidir leis an mbunús dlí atá le próiseáil a dhéanamh. I gcás ina bhfuil an bunús a mhaítear ina oibleagáid dhlíthiúil, ní leor a chur in iúl go simplí gur féidir le rialaitheoir rogha a dhéanamh faoin dlí gníomhú ar bhealach áirithe: ní mór go mbeadh an phróiseáil ag teastáil de réir an dlí ionas go mbeadh feidhm ag an mbunús dlí seo. I gcás ina maíonn próiseálaí go mbaineann an phróiseáil le tabhairt faoi leas dlisteanach, ní mór go mbeifí in ann a thaispeáint go bhfuil an phróiseáil riachtanach chun na críche sin, agus go raibh siad cúramach i dtaobh cothromaíocht a aimsiú idir an leas sin agus cearta agus saoirsí daoine a bhféadfadh sé dul i gcion orthu. Más rud é nach mó tairbhe atá ag an leas ná na cearta agus saoirsí sin, ní chuirtear bunús dlí ar fáil i leith na próiseála.
27) Cás-staidéar 27: Cruinneas sonraí
Sa chás seo, rinne an gearánach gearán le comhlacht rialála gairmiúil maidir le hiompar duine rialáilte. Níor thacaigh an comhlacht rialála gairmiúil leis an ngearán sin. Ina ghearán chuig an DPC, mhaígh an gearánach gur thaifead an comhlacht rialála gairmiúil sonraí pearsanta a bhain leis go míchruinn i miontuairiscí an chruinnithe. Chomh maith leis sin, mhaígh an gearánach gur thaifead an comhlacht rialála gairmiúil na sonraí pearsanta céanna a bhain leis an ngearánach go míchruinn i litir a sheol sé chuig tríú páirtí.
Sular cuireadh tús le himscrúdú i ndáil leis an ngearán seo, rinne an DPC athbhreithniú ar an bhfaisnéis a cuireadh ar fáil agus dheimhnigh sé an comhlacht rialála gairmiúil de réir mar a aithníodh é mar an rialaitheoir sonraí ábhartha i ndáil leis an ngearán, toisc gur rialaigh sé ábhar agus úsáid shonraí pearsanta an ghearánaigh chun críocha imscrúdú a dhéanamh ar an ngearán. Bhí na sonraí a bhí i gceist ina sonraí a bhain leis an ngearánach, bhíothas in ann an gearánach a aithint uathu agus bhain na sonraí leis an ngearánach mar dhuine aonair. Dá bhrí sin, bhí an DPC sásta gur chóir imscrúdú a dhéanamh ar an ngearán lena chinneadh an raibh sárú ar an reachtaíocht um chosaint sonraí i gceist.
Le linn don imscrúdú ar an ngearán seo bheith ar siúl, ghlac an comhlacht rialála gairmiúil leis gur taifeadadh na sonraí pearsanta a bhí i gceist go míchruinn agus, maidir leis na sonraí a taifeadadh sna miontuairiscí, gur ceartaíodh na sonraí trí bhíthin soiléiriú a chur isteach. Ar an mbonn sinn, mheas an oifig seo gur taifeadadh na sonraí pearsanta sna miontuairiscí cruinnithe agus sa litir chuig an tríú páirtí go míchruinn, de shárú ar an reachtaíocht um chosaint sonraí.
Chomh maith leis sin, rinne an oifig seo iniúchadh lena fháil amach ar phróiseáil an comhlacht rialála gairmiúil sonraí pearsanta an ghearánaigh ar bhealach cothrom, de réir mar a éilítear faoin reachtaíocht um chosaint sonraí. D’fhonn cloí leis an riachtanas sonraí pearsanta a phróiseáil ar bhealach cothrom, ní mór do rialaitheoirí sonraí a chinntiú go gcuirtear faisnéis áirithe ar fáil d’ábhair sonraí nó go bhfuil sé furasta teacht uirthi sin. Rinne an oifig seo athbhreithniú ar an bhfaisnéis a luaigh an comhlacht rialála gairmiúil a bhí ar fáil do dhaoine aonair maidir le gearán a dhéanamh, i riocht an leabhráin faisnéise. Ní raibh aon mhionsonraí áirithe sa leabhrán seo maidir le ceart rochtana daoine aonair ar shonraí pearsanta a bhaineann leo agus an ceart atá ag daoine aonair sonraí míchruinne maidir leo a chur i gceart. Ós rud é nach raibh an fhaisnéis ar fad sa leabhrán a raibh sé riachtanach í a chur ar fáil d’ábhair sonraí faoin reachtaíocht um chosaint sonraí agus ós rud é nár chuir an comhlacht rialála gairmiúil aon mhionsonraí eile ar fáil maidir le bearta eile a bhí i bhfeidhm aige ag an am ábhartha chun aghaidh a thabhairt ar a oibleagáidí i ndáil le próiseáil chothrom, ní raibh an DPC sásta gur chloígh an comhlacht rialála gairmiúil lena chuid oibleagáidí i ndáil le próiseáil chothrom.
Faoin GDPR, ní mór do rialaitheoirí sonraí a chinntiú go bhfuil sonraí pearsanta cruinn agus, nuair is gá, coinnithe cothrom le dáta, agus ní mór gach beart réasúnach a dhéanamh lena chinntiú go ndéantar sonraí pearsanta atá míchruinn, ag féachaint do na críocha a phróiseáiltear iad, a scriosadh nó a chur i gceart gan mhoill. Faoi Airteagal 16 den GDPR, tá an ceart ag ábhar sonraí (faoi réir eisceachtaí áirithe) ceartú sonraí pearsanta a bhaineann leis nó léi a fháil ón rialaitheoir sonraí gan mhoill mhíchuí.
Chomh maith leis sin, éilítear faoin GDPR go ndéanfaí sonraí pearsanta a phróiseáil go cothrom agus ar bhealach trédhearcach. Ba chóir do rialaitheoir sonraí aon fhaisnéis atá riachtanach a chur ar fáil d’ábhar sonraí d’fhonn próiseáil chothrom agus thrédhearcach a chinntiú, agus na cúinsí agus comhthéacs ar leith ina bhfuil na sonraí á bpróiseáil á gcur san áireamh. Go háirithe, i gcás ina mbailítear sonraí pearsanta ón ábhar sonraí, éilítear faoi Airteagal 13 den GDPR go gcuirfeadh an rialaitheoir sonraí faisnéis ar fáil don ábhar sonraí, i measc nithe eile, maidir le sainiúlacht agus sonraí teagmhála an rialaitheora agus a oifigigh cosanta sonraí (i gcás inarb infheidhme), an cuspóir atá leis an bpróiseáil, faighteoirí nó catagóirí faighteoirí na sonraí agus faisnéis maidir leis na cearta i ndáil le sonraí pearsanta a chur ina gceart nó a scriosadh.
28) Cás-staidéar 28: Sonraí arna gcoinneáil ag banc maidir le hiarratas ar iasacht a tarraingíodh siar
Sa chás seo, rinne an gearánach iarratas ar iasacht chuig banc. Tharraing an gearánach an t-iarratas ar iasacht siar ina dhiaidh sin agus scríobh sé chuig an mbanc á lua go raibh toiliú á tharraingt siar aige i leith aon sonraí pearsanta arna gcoinneáil ag an mbanc a phróiseáil maidir leis an iarratas ar iasacht agus inar iarradh go seolfaí ar ais na doiciméid ar fad ina raibh sonraí pearsanta an ghearánaigh. Mar fhreagra, chuir an banc in iúl don ghearánach gur chuir sé stop le sonraí pearsanta ar fad an ghearánaigh a phróiseáil, seachas na sonraí a coinníodh i dtaifid ar luaigh an banc gur éilíodh air iad a choinneáil agus a phróiseáil faoi Chód um Chosaint Tomhaltóirí Bhanc Ceannais na hÉireann. Ní raibh an gearánach sásta leis an bhfreagra sin, agus d’áitigh sé, ina ghearán chuig an Oifig seo, i gcúinsí ina bhfuair an banc sonraí pearsanta an ghearánaigh ar an mbonn gur thoiligh an gearánach, ní raibh cead ag an mbanc leanúint de na sonraí sin a phróiseáil ar bhunús dlí eile (i.e. próiseáil atá riachtanach d’fhonn oibleagáid dhlíthiúil a bhfuil an banc faoina réir a chomhlíonadh). D’áitigh an gearánach freisin go raibh an phróiseáil leanúnach a rinne an banc ar a shonraí pearsanta le haghaidh críche nach raibh comhoiriúnach leis an gcríoch ar bailíodh na sonraí ina leith ar dtús, de shárú ar an reachtaíocht um chosaint sonraí.
Dheimhnigh an oifig seo gur aithníodh an banc ar an rialaitheoir sonraí ábhartha i ndáil leis an ngearán, ós rud é gur rialaigh an banc sonraí pearsanta a chuir an gearánach ar fáil don bhanc le linn iarratas ar iasacht a dhéanamh. Bhí na sonraí a bhí i gceist ina sonraí pearsanta maidir leis an ngearánach (a chuimsigh, i measc nithe eile, foirm iarratais ar iasacht chomhlánaithe agus doiciméid tacaíochta) toisc go bhféadfaí an gearánach a aithint iontu agus gur bhain na sonraí leis an ngearánach mar dhuine aonair. Dá bhrí sin, bhí an oifig seo sásta gur chóir imscrúdú a dhéanamh ar an ngearán seo lena chinneadh an raibh sárú ar an reachtaíocht um chosaint sonraí i gceist nó nach raibh.
Le linn imscrúdú a dhéanamh ar an ngearán seo, rinne an Oifig seo athbhreithniú ar fhoirm iarratais ar iasacht an bhainc, a raibh foráil intí, tríd an bhfoirm a shíniú, gur thug duine cead don bhanc a shonraí pearsanta a stóráil, a úsáid agus a phróiseáil le haghaidh réimse cuspóirí, lena n-áirítear chun iarratais ar chreidmheas nó seirbhísí airgeadais a phróiseáil. Mar sin féin, thug an Oifig seo faoi deara nár áiríodh leis na cuspóirí ar thug an gearánach cead ina leith próiseáil chun críche oibleagáidí dlíthiúla an bhainc i gcoitinne a chomhlíonadh, agus go háirithe, níor áiríodh leis sonraí pearsanta an ghearánaigh a phróiseáil chun críche an Cód um Chosaint Tomhaltóirí a chomhlíonadh. Dá réir sin, bhreithnigh an oifig seo gur ag an am ar bailíodh sonraí pearsanta an ghearánaigh, nár mhaígh an Banc go rabhthas ag brath ar thoiliú mar an bunús dlí i leith sonraí pearsanta an ghearánaigh a bhailiú agus a phróiseáil d’fhonn cloí lena oibleagáidí dlí. Ina ionad sin, bhreithnigh an oifig seo go bhféadfadh an banc brath mar is ceart ar an mbunús dlí go raibh an phróiseáil riachtanach d’fhonn céimeanna a ghlacadh arna iarraidh sin ag an ábhar sonraí roimh chonradh a dhéanamh.
Thug an Oifig seo faoi deara, i gcás ina dtarraingítear iarratas siar ina dhiaidh sin nó mura n-éiríonn leis agus nach ndéanann an banc conradh leis an iarratasóir, nach féidir sonraí pearsanta a bhaineann leis an iarratas ar iasacht a choinneáil a thuilleadh ar an mbonn go raibh an phróiseáil riachtanach d’fhonn céimeanna a ghlacadh arna iarraidh sin ag an ábhar sonraí roimh chonradh a dhéanamh, ós rud é nach bhfuil féidearthacht ann a thuilleadh conradh a dhéanamh leis an ábhar sonraí. Mar sin, d’aithin an banc bunús dlí ar leith chun sonraí pearsanta an ghearánaigh a choinneáil maidir leis an iarratas ar iasacht, is é sin go raibh an phróiseáil seo riachtanach d’fhonn oibleagáid dhlíthiúil a raibh an banc faoina réir a chomhlíonadh.
Thug an Oifig seo faoi deara gur tugadh ar eintitis rialáilte faoin gCód um Chosaint Tomhaltóirí sonraí maidir le “idirbhearta aonair” a choinneáil ar feadh sé bliana i ndiaidh an dáta ar a scoirtear den idirbheart ar leith nó ar é a chur i gcrích. Bhreithnigh an Oifig seo áfach, nach bhfuil iarratas ar iasacht a tharraingítear siar ina dhiaidh sin nó nach n-éiríonn leis ar deireadh thiar ina ‘idirbheart’ chun críche an Chóid um Chosaint Tomhaltóirí. Thug an Oifig seo faoi deara ina dhiaidh sin gur tugadh ar eintitis rialáilte freisin faoin gCód um Chosaint Tomhaltóirí “na taifid eile ar fad” a choinneáil ar feadh sé bliana ón dáta ar chuir an t-eintiteas rialáilte deireadh le haon táirge nó seirbhís a chur ar fáil don tomhaltóir, lena n-airítear tomhaltóir ionchasach, lena mbaineann. Mar sin féin, níor mheas an Oifig seo go mbaineann na taifid maidir le hiarratas ar iasacht a tharraingítear ina dhiaidh sin le raon an riachtanais seo faoin gCód um Chosaint Tomhaltóirí ach an oiread. Dá réir sin, mheas an Oifig seo, nár ghá don bhanc sonraí pearsanta a bhaineann le hiarratas ar iasacht aistarraingthe an ghearánaigh a choinneáil chun críche cloí lena oibleagáidí faoin gCód um Chosaint Tomhaltóirí, agus bhreithnigh an Oifig nár aithin an banc bunús dlí faoin reachtaíocht um chosaint sonraí chun sonraí pearsanta an ghearánaigh a choinneáil a bhain lena iarratas ar iasacht a choinneáil.
Faoi Airteagal 6 den GDPR, ní mór go mbeadh bunús dlí ag rialaitheoirí sonraí i ndáil le haon phróiseáil a dhéantar ar shonraí pearsanta. Áirítear leis na bunúis dlí atá ar fáil go bhfuil cead tugtha ag an ábhar sonraí maidir lena shonraí pearsanta a phróiseáil le haghaidh cuspóir sainiúil amháin nó níos mó, go bhfuil an phróiseáil riachtanach chun an conradh ina bhfuil an t-ábhar sonraí ina pháirtí a chomhlíonadh, nó chun céimeanna a ghlacadh arna iarraidh sin ag an ábhar sonraí roimh chonradh a dhéanamh, agus go bhfuil an phróiseáil riachtanach d’fhonn oibleagáid dlí a bhfuil an rialaitheoir sonraí faoina réir a chomhlíonadh. Ba chóir do rialaitheoirí sonraí a thabhairt faoi deara freisin nach gceadaítear sonraí pearsanta a phróiseáil chun críocha eile seachas na críocha ar bailíodh iad ina leith ar dtús ach amháin i gcás ina bhfuil an phróiseáil comhoiriúnach leis na críocha ar bailíodh na sonraí ina leith ar dtús.
29) Cás-staidéar 29: Rochtain ar fhaisnéis a bhaineann le measúnú creidmheasa bainc
Sa ghearán seo, rinne an gearánach iarratas chuig banc faoi reachtaíocht um chosaint sonraí le go gcuirfí cóip ar fáil don ghearánach de na sonraí pearsanta ar fad a choinnigh an banc maidir leis. Mhaígh an gearánach, go sonrach, gur theip ar an mbanc aon anailísí inmheánacha a sholáthar dó inar úsáideadh sonraí pearsanta an ghearánaigh chun teacht ar an méid creidmheasa a thabharfadh an banc dó.
Dheimhnigh an Oifig seo gur aithníodh an banc ar an rialaitheoir sonraí ábhartha i ndáil leis an ngearán, ós rud é gur rialaigh sé sonraí pearsanta a chuir an gearánach ar fáil don bhanc le linn iarratas a dhéanamh ar iasacht. Bhí na sonraí a bhí i gceist ina sonraí pearsanta a bhain leis an ngearánach (a chuimsigh, i measc nithe eile, foirm iarratais ar iasacht chomhlánaithe agus doiciméid tacaíochta) toisc go bhféadfaí an gearánach a aithint iontu agus gur bhain na sonraí leis an ngearánach mar dhuine aonair. Dá bhrí sin, bhí an oifig seo sásta gur chóir imscrúdú a dhéanamh ar an ngearán seo lena chinneadh an raibh sárú ar an reachtaíocht um chosaint sonraí i gceist nó nach raibh.
Le linn imscrúdú a dhéanamh ar an ngearán seo, chuaigh an Oifig seo i dteagmháil leis an mbanc i ndáil le cineál ar bith na sonraí pearsanta a d’fhéadfadh an gearánach bheith ina dteideal. Bhí an banc den tuairim nach raibh an gearánach i dteideal shonraí a anailíse inmheánaí agus algartaim ná aon tairseacha cinnteoireachta inmheánacha ar ar bhunaigh sé a chinneadh i leith iasachtú toisc, i dtuairim an bhainc, nach raibh an fhaisnéis seo ina sonraí pearsanta, agus, chomh maith leis sin, go raibh an fhaisnéis íogair don mhargadh agus ina maoin intleachtúil de chuid an bhainc. Go háirithe, níor chuir an banc mionsonraí ar fáil don ghearánach maidir le scór creidmheasa an ghearánaigh ná an t-áireamh a rinne an banc ar ghlanioncam indiúscartha an ghearánaigh atá mar chuid dá chritéir mheasúnaithe ar chreidmheas.
Bhreithnigh an Oifig seo na míniúcháin a thug an banc agus ghlac an Oifig an tuairim go raibh figiúr glanioncaim indiúscartha agus raon creidmheasa an ghearánaigh araon ina sonraí pearsanta a bhain leis an ngearánach toisc go bhféadfaí an gearánach a aithint ó na sonraí agus gur bhain siad leis an ngearánach mar dhuine aonair. Chomh maith leis sin, ós rud é nár aithin an banc eisceacht ábhartha faoin reachtaíocht um chosaint sonraí ar trí sin a bhféadfadh sé na sonraí seo a choimeád siar ón ngearánach, mheas an Oifig gur theip ar an mbanc cloí le hiarratas an ghearánaigh maidir le teacht a bheith aige ar a chuid sonraí. Mar sin féin, d’aontaigh an Oifig seo nach raibh na samhlacha scórála creidmheasa a d’úsáid an banc ina phróiseas measúnaithe ar chreidmheas ina sonraí pearsanta a bhain leis an ngearánach, agus, dá réir sin, nach raibh an gearánach i dteideal cóip den fhaisnéis seo a fháil.
Ar deireadh, bhreithnigh an oifig seo gur sháraigh an banc a chuid oibleagáidí tuilleadh faoin reachtaíocht um chosaint sonraí toisc nár thug sé freagra ar an iarratas a rinne an gearánach laistigh den teorainn ama reachtúil is infheidhme.
Faoi Airteagal 15 den GDPR, tá sé de cheart ag ábhair sonraí deimhniú a fháil ó rialaitheoirí sonraí cé acu atá sonraí pearsanta a bhaineann leo á bpróiseáil nó nach bhfuil, agus i gcás ina bhfuil, teacht a bheith acu ar na sonraí pearsanta sin. Ní bhaineann an ceart seo ach le sonraí pearsanta an ábhair sonraí, arb é is ciall leis sin aon fhaisnéis a bhaineann leis an ábhar sonraí sin ina n-aithnítear an t-ábhar sonraí nó ina bhfuil an t-ábhar sonraí inaitheanta. Ní mór do rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ó ábhar sonraí gan mhoill mhíchuí agus laistigh de mhí amháin ar an iarratas a fháil i gcás ar bith. Mar sin féin, tá an ceart ar rochtain ar shonraí pearsanta faoi réir líon eisceachtaí faoin GDPR agus faoin Acht um Chosaint Sonraí 2018 (go háirithe, ailt 59 go 61), ar nós cás ina ndéanfaí dochar do chearta agus saoirsí daoine eile an t-iarratas ar rochtain a chomhlíonadh.
30) Cás-staidéar 30: Úsáid a bhaint as sonraí svaidhpchárta fostaí chun críocha araíonachta
Sa chás seo, bhí an gearánach ina fhostaí a bhí ina ábhar in imeachtaí araíonachta ag a fhostóir. Bhain gné de na himeachtaí sin le poncúlacht an ghearánaigh, agus d’fhéach an fostóir le brath ar shonraí svaidhpchárta a fuarthas ó theacht agus imeacht an ghearánaigh san ionad oibre le linn na tréimhse ábhartha. Mar thoradh ar phróiseas achomhairc inmheánaigh, d’aontaigh an fostóir ina dhiaidh sin gan na sonraí a úsáid chun na críche sin agus bhain sé é de thaifead araíonachta an ghearánaigh. Mar sin féin, d’iarr an gearánach ar an DPC leanúint d’imscrúdú a dhéanamh ar an ngearán.
Bhí imscrúdú an DPC dírithe ar an bprionsabal i dtaobh cosaint sonraí nach mór sonraí a fháil agus a phróiseáil ar bhealach cothrom. Áirítear leis sin oibleagáid i ndáil le faisnéis a thabhairt d’ábhair sonraí, lena n-áirítear an chríoch nó críocha dá bhfuil sé beartaithe iad a phróiseáil.
Sa chás seo, níor chuir an fostóir an gearánach ar an eolas maidir le sonraí svaidhpchárta a úsáid chun críche imeachtaí araíonachta. (Le linn an imscrúdaithe, chuir an fostóir an DPC ar an eolas gurbh é cás an ghearánaigh aon t-aon chás amháin inar bhain sé úsáid as sonraí svaidhpchárta chun críocha araíonachta.) Ar an mbealach céanna, níor chuir an fostóir an gearánach ná fostaithe eile ar an eolas go raibh sé beartaithe sonraí svaidhpchárta a bhailítear san ionad oibre a úsáid chun críocha poncúlachta.
Theip ar an bhfostóir an gearánach a chur ar an eolas maidir le húsáid a bhaint as sonraí svaidhpchárta chun críocha poncúlachta agus araíonachta. Dá bhrí sin, chinn an DPC nach bhfuair agus nár phróiseáil an fostóir na sonraí sin ar bhealach cothrom.
Sa chás seo, léirítear an tábhacht atá le cothroime agus trédhearcacht i ndáil le cearta cosanta sonraí a chosaint. D’fhéadfadh rialaitheoirí ar nós fostóirí bunús dlí bailí bheith acu chun sonraí pearsanta a phróiseáil, bíodh sin ar fhorais maidir le conradh a chomhlíonadh, leas dlisteanach nó forais eile. Mar sin féin, ní mór na prionsabail um chosaint sonraí a leagtar amach in Airteagal 5 den GDPR a chomhlíonadh gan bheann ar an mbunús dlí ar a mbraitear.
31) Cás-staidéar 31: Ainm agus uimhir ghutháin shoghluaiste iriseora á nochtadh ag pearsa poiblí
Bhí an gearánaí sa chás seo ina iriseoir a sheol ríomhphost chuig pearsa poiblí chun ceisteanna a chur maidir le cinntí a rinne an pearsa poiblí i ndáil lena chuid oibre. D’úsáid an pearsa poiblí a chuntas Twitter chun cóip den ríomhphost a fhoilsiú. Bhíothas in ann ainm, seoladh ríomhphoist oibre agus uimhir ghutháin shoghluaiste an iriseora a léamh sa chóip den ríomhphost a foilsíodh. D’inis an t-iriseoir faoi roinnt teachtaireachtaí téacs bagracha a fháil ina dhiaidh sin.
D'iarr an t-iriseoir ar an bpearsa poiblí an chóip fhoilsithe den ríomhphost a scriosadh. Rinne an pearsa poiblí amhlaidh, ach d’fhoilsigh sé Tweet freisin inar dúradh go raibh uimhir ghutháin shoghluaiste an iriseora ar fáil ar líne. Áiríodh leis sin nasc chuig teachtaireacht ar fhóram plé a phostáil an t-iriseoir sé bliana roimhe sin, nuair a bhí sé ina mhac léinn, ina raibh an uimhir ghutháin shoghluaiste chéanna. Rinne an t-iriseoir gearán leis an DPC.
Mar chuid den imscrúdú, d’iarr an DPC ar an bpearsa poiblí an bunús dlíthiúil i ndáil le sonraí an iriseora a nochtadh a aithint. Sa fhreagra a thug an pearsa poiblí, ceistíodh arbh ionann ainm agus sonraí teagmhála an iriseora agus sonraí pearsanta. Áitíodh freisin, ós rud é gur chuir an t-iriseoir an fhaisnéis sin ar fáil ar an idirlíon roimhe sin, go raibh sé intuigthe gur thoiligh an t-iriseoir é bheith á foilsiú ag an bpearsa poiblí. Dhiúltaigh an t-iriseoir don dearbhú sin.
Ghlac an DPC an seasamh go raibh ainm, seoladh ríomhphoist agus uimhir ghutháin shoghluaiste an iriseora ina sonraí pearsanta toisc go bhféadfaí an t-iriseoir a aithint go soiléir tríothu. Maidir leis an mbunús a bhí lena nochtadh, thug an DPC faoi deara, cé gur foráladh sa dlí um chosaint sonraí do roinnt bunús dlíthiúil i leith próiseáil, toiliú ab ea an t-aon bhunús a d’ardaigh an pearsa poiblí. Ba é tuairim an DPC nárbh ionann fiosrú ó na meáin ar an bpearsa poiblí ó iriseoir a bhí ag gníomhú sa cháil sin agus toiliú bailí i leith aon sonraí pearsanta san fhiosrú a roinnt. Ar na cúiseanna sin, bhí nochtadh na sonraí ag an bpearsa poiblí ina shárú ar an dlí um chosaint sonraí.
Tarraingítear aird ar roinnt saincheisteanna tábhachtacha sa chás seo. In Airteagal 6 den GDPR, foráiltear do shé bhunús dlíthiúil inar féidir le próiseálaí údar a thabhairt le sonraí pearsanta a phróiseáil. Tá toiliú ar cheann amháin acu sin, ach leagtar amach riachtanais thábhachtacha sa GDPR lena n-áirítear an bealach ina dtugtar toiliú, an ceart toiliú a tharraingt siar agus an riachtanas go mbeadh rialaitheoir in ann a léiriú gur thug ábhair sonraí toiliú. Cé go bhfuil bunúis dhlíthiúla eile ann, ní mór do rialaitheoirí cuimhneamh go bhfuil siad sin ar fad faoi réir tástáil ‘riachtanais’ agus a gcuid riachtanais sainiúla féin.
32) Cás-staidéar 32: Próiseáil bhreise le haghaidh cuspóir comhoiriúnach
Bhí réadmhaoin ar léas ag an ngearánach seo a raibh gníomhaireacht ligin á bhainistiú thar ceann an ghearánaigh. Bhí an foirgneamh ina raibh an réadmhaoin a bhí ar léas ag an ngearánach lonnaithe á bhainistiú ag cuideachta bainistíochta a raibh freagracht uirthi as táillí bainistíochta a bhailiú ó úinéirí na réadmhaoine sna foirgnimh. Sheol an chuideachta bainistíochta ríomhphost chuig gníomhaireacht ligin an ghearánaigh maidir le táillí bainistíochta gan íoc ar réadmhaoin an ghearánaigh. Mar sin féin, níor ghníomhaigh an ghníomhaireacht ligin thar ceann an ghearánaigh i ndáil leis na táillí bainistíochta a íoc.
Chinn an Coimisiún go raibh an chuideachta bainistíochta ar an rialaitheoir sonraí toisc gur rialaigh sí ábhar shonraí pearsanta an ghearánaigh agus an úsáid a baineadh as chun críocha gníomhú mar chuideachta bainistíochta an fhoirgnimh san áit ina raibh réadmhaoin an ghearánaigh lonnaithe. Measadh na sonraí a bhí i gceist a bheith ina sonraí pearsanta ina raibh an stádas íocaíochta ar chuntas an ghearánaigh, toisc go bhféadfaí an gearánach a aithint astu agus gur bhain siad leis an ngearánach mar dhuine aonair. Dá bhrí sin, bhí an Coimisiún sásta gur chóir imscrúdú a chur i gcrích lena chinneadh má bhí sárú ar an reachtaíocht ábhartha i gceist.
Mar fhreagra ar an ngearán, d’áitigh an rialaitheoir sonraí gur ghníomhaigh sé mar chuideachta bainistíochta i ndáil le go leor réadmhaoine agus forbraíochtaí agus go mbíonn athrú suntasach ar an ról atá ag gníomhairí ligin ó réadmhaoin go réadmhaoin. Cuireadh in iúl go gceaptar an gníomhaire ligin thar ceann úinéir réadmhaoine chun táillí bainistíochta a bhailiú agus, ar an mbonn sin, cheap sé go raibh sé cuí teagmháil a dhéanamh le gníomhaire ligin an ghearánaigh maidir le táillí gan íoc.
Thug an Coimisiún faoi deara go bhfuil oibleagáidí dlí áirithe nach mór don rialaitheoir sonraí cloí leo nuair a phróiseálann rialaitheoir sonraí sonraí pearsanta. Ar na hoibleagáidí a raibh ábharthacht ar leith ag baint leo maidir leis an ngearán seo, bhí na hoibleagáidí: (1) Sonraí dá leithéid a fháil chun críocha ar leith agus gan iad a phróiseáil tuilleadh ar bhealach nach bhfuil comhoiriúnach leis na críocha sin, (2) ní mór go mbeadh na sonraí ábhartha agus leordhóthanach agus ní mór don rialaitheoir sonraí gan níos mó de na sonraí a phróiseáil ná mar atá riachtanach chun an cuspóir dár bailíodh iad a bhaint amach, agus (3) bearta slándála cuí a chur i bhfeidhm chun na sonraí pearsanta a chosaint. Chomh maith leis sin, thug an Coimisiún faoi deara go n-éilítear faoin reachtaíocht nach mór go mbeadh bunús dlíthiúil ann chun na sonraí pearsanta a phróiseáil.
Maidir leis an gcéad oibleagáid (gan sonraí pearsanta a phróiseáil ar bhealach nach bhfuil comhoiriúnach leis na cúiseanna dár bailíodh iad), thug an Coimisiún faoi deara gur bailíodh na sonraí pearsanta maidir le táille bainistíochta an ghearánaigh a íoc chun críocha taifid airgeadais a choinneáil agus táillí a bhailiú. Mar sin féin, toisc nach raibh ról ag an ngníomhaire ligin i ndáil leis na táillí bainistíochta a íoc, roinn an rialaitheoir sonraí sonraí pearsanta an ghearánaigh le páirtí nach raibh aon chúis aige é a roinnt leis. Ar an mbonn seo, dhearbhaigh an Coimisiún gur nochtadh sonraí pearsanta an ghearánaigh chun críche nach raibh comhoiriúnach leis an gcuspóir dár bailíodh iad.
I gcúinsí nach raibh sé riachtanach don rialaitheoir sonraí na sonraí pearsanta atá i gceist a roinnt leis an gcuideachta ligin, chinn an Coimisiún nach raibh na sonraí pearsanta ábhartha ná leordhóthanach agus go raibh siad iomarcach chun na críocha ar próiseáladh iad.
Maidir leis an gceist i ndáil le bearta slándála cuí bheith i bhfeidhm, dhearbhaigh an Coimisiún gur theip ar an rialaitheoir sonraí a chuid oibleagáidí a chomhlíonadh ina leith sin toisc nár thuig an rialaitheoir sonraí ról an ghníomhaire ligin go hiomlán, (agus gur nochtadh sonraí pearsanta an ghearánaigh dá bharr sin).
Ar deireadh, chinn an Coimisiún nach raibh aon bhunús dlíthiúil ag an rialaitheoir sonraí chun an nochtadh a dhéanamh leis an ngníomhaire ligin, toisc nach bhféadfaí a rá go raibh feidhm ag ceann ar bith de na bunúis dhlíthiúla. Chiallaigh sé sin go ndearna an rialaitheoir sonraí sárú eile ar an reachtaíocht ina leith sin.
Faoi Airteagal 6 den GDPR, ní mór go mbeadh bunús dlíthiúil bailí ag rialaitheoir sonraí chun sonraí pearsanta a bhailiú. Mar sin féin, foráiltear ina Airteagal 6(4) den GDPR i gcás ina ndéantar sonraí pearsanta a phróiseáil chun críche eile seachas chun na críche dár bailíodh na sonraí ar dtús, nach gceadaítear é sin ach amháin i gcás ina bhfuil an phróiseáil bhreise sin comhoiriúnach leis na cuspóirí dár bailíodh na sonraí pearsanta ar dtús. Chomh maith leis sin, faoi Airteagal 5(1)(c) den GDPR, ní mór sonraí pearsanta a phróiseáiltear a bheith leordhóthanach, ábhartha agus teoranta don méid atá riachtanach i ndáil leis na cuspóirí dá bpróiseáiltear iad faoi Airteagail 5(1)(f) agus 32 den GDPR, ní mór sonraí pearsanta a phróiseáil ar bhealach ina gcinntítear slándáil chuí na sonraí, lena n-áirítear slándáil in aghaidh nochtadh neamhúdaraithe. Chun na críche sin, ní mór go mbeadh bearta teicniúla agus eagraíochtúla cuí i bhfeidhm ag rialaitheoirí sonraí d’fhonn rúndacht sonraí pearsanta a chinntiú.
33) Cás-staidéar 33: Íomhánna CCTV de chustaiméir phróiseáil ar bhealach cothrom agus dlíthiúil
Bhain an gearán seo le sonraí pearsanta an ghearánaigh a phróiseáil i riocht íomhá socair ó phíosa scannánaíochta CCTV a rinneadh i siopa geallghlacadóra, agus an t-íomhá son a scaipeadh ar shiopaí geallghlacadóra eile sa slabhra le nóta rabhaidh do bhaill foirne d’fhonn an gearánach a chosc ar gheallta a chur.
Chinn an Coimisiún go raibh an siopa geallghlacadóra ar an rialaitheoir sonraí toisc go ndearna sé na sonraí pearsanta atá i gceist a rialú agus a phróiseáil. Is éard a bhí sna sonraí (i measc nithe eile) ná íomhá den ghearánach agus nótaí inmheánacha a scaipeadh ar bhaill foirne an rialaitheora sonraí maidir leis an ngearánach. Bhí na sonraí ina sonraí pearsanta toisc gur bhain siad leis an ngearánach mar dhuine aonair agus go bhféadfaí an gearánach a aithint ó na sonraí.
Mar fhreagra ar an ngearán, chuir an rialaitheoir sonraí roinnt cúiseanna chun cinn i leith sonraí pearsanta an ghearánaigh a phróiseáil agus d’fhéach sé le háitiú go raibh bunús dlíthiúil bailí i ndáil le gach aon chuspóir, de réir mar a fhoráiltear ina leith sa reachtaíocht um chosaint sonraí.
Áiríodh an méid seo a leanas leis na cúiseanna agus bunúis dhlíthiúla chomhfhreagracha a chuir an rialaitheoir sonraí i láthair:
- Oibleagáidí Dlíthiúla agus Rialála: D’áitigh an rialaitheoir sonraí go gceanglaítear air sonraí pearsanta a úsáid agus a choinneáil chun cloí le hoibleagáidí dlíthiúla agus rialála áirithe, ar nós gníomhaíocht ghealltóireachta amhrasach agus idirbhearta calaoiseacha a bhrath faoin reachtaíocht um cheartas coiriúil is infheidhme. Ba é an bunús dlíthiúil a chuir an rialaitheoir sonraí chun cinn go raibh an phróiseáil dlíthiúil toisc go raibh sé riachtanach don rialaitheoir sonraí cloí le hoibleagáid dhlíthiúil.
- Bainistíocht Riosca: Mhaígh an rialaitheoir sonraí go dtaifeadann sé sonraí pearsanta a bhaineann le custaiméirí chun críche bainistíochta riosca tráchtála. Ba é an bunús dlíthiúil a cuireadh chun cinn i ndáil leis sin go raibh an phróiseáil dlíthiúil chun críocha na leasanna dlisteanacha ar thug an rialaitheoir sonraí fúthu.
- Próifíliú: Dheimhnigh an rialaitheoir sonraí go ndéanann sé próifíliú ar ghníomhaíocht ghealltóireachta custaiméirí (i measc nithe eile) d’fhonn eispéireas na gcustaiméirí a fheabhsú. D’áitigh an rialaitheoir sonraí go raibh próiseáil dá leithéid ina próiseáil dhlíthiúil chun cloí le hoibleagáidí dlíthiúla agus chun críocha na leasanna dlisteanacha ar thug an rialaitheoir sonraí fúthu.
Chinn an Coimisiún gur aithin an rialaitheoir sonraí bunús dlíthiúil oiriúnach i ndáil le gach aon chuspóir dár phróiseáil sé sonraí pearsanta a bhain lena chuid custaiméirí.
Ina dhiaidh sin, bhreithnigh an Coimisiún ar chloígh an rialaitheoir sonraí leis an oibleagáid i ndáil leis na sonraí a phróiseáil ar bhealach cothrom. Sa chomhthéacs seo, thug an Coimisiún faoi deara go bhfuil sé d’oibleagáid ar an rialaitheoir sonraí faisnéis a chur ar fáil don ghearánach maidir leis na príomhghnéithe a bhaineann le sonraí pearsanta an ghearánaigh a bhailiú agus a úsáid. Chuir an rialaitheoir sonraí doiciméad inmheánach den chuideachta ar fáil don ghearánach agus dheimhnigh sé gur próiseáladh sonraí pearsanta an ghearánaigh i gcomhréir leis an doiciméad sin. Mar sin féin, bhí an dáta a cuireadh leis an doiciméad ina dháta i ndiaidh sonraí pearsanta an ghearánaigh a phróiseáil. Ar an mbonn sin, thug an Coimisiún faoi deara nach raibh sé soiléir gur cuireadh an fhaisnéis riachtanach ar fáil don ghearánach agus dá bhrí sin, gur theip ar an rialaitheoir sonraí sonraí pearsanta an ghearánaigh a phróiseáil ar bhealach cothrom.
Ar deireadh, bhreithnigh an Coimisiún an tréimhse ama ar coinníodh na sonraí pearsanta. Maidir leis sin, tugtar faoi deara go n-éilítear faoin reachtaíocht ábhartha ar rialaitheoir sonraí gan sonraí pearsanta a choinneáil níos faide ná mar atá riachtanach do na cuspóirí a phróiseáiltear na sonraí. Coinníodh sonraí pearsanta an ghearánaigh ar feadh thart ar seacht mbliana. Bhreithnigh an Coimisiún gur ghníomhaigh an rialaitheoir sonraí i gcomhréir leis an reachtaíocht i ndáil leis sin toisc go raibh leas dlisteanach (bainistíocht riosca tráchtála) ag an rialaitheoir sonraí sonraí an ghearánaigh a choinneáil.
Faoi Airteagal 6 den GDPR, ní mór go mbeadh bunús dlíthiúil bailí ag rialaitheoir sonraí chun sonraí pearsanta a phróiseáil. I measc na mbunús dlíthiúil atá ar fáil, tá an bunús go bhfuil sé riachtanach na sonraí pearsanta a phróiseáil chun críche na leasanna dlisteanacha a bhfuil an rialaitheoir sonraí ag tabhairt fúthu nó an bunús go bhfuil an phróiseáil riachtanach d’fhonn cloí le hoibleagáid dhlíthiúil a bhfuil an rialaitheoir sonraí faoina réir. Ní mór go mbeadh bunús dlíthiúil ag an rialaitheoir sonraí ní hamháin chun na sonraí a fháil ar dtús, ach chun iad a phróiseáil ar bhonn leanúnach, stóráil san áireamh, agus ní mór gan na sonraí a choinneáil ar feadh tréimhse níos faide ná mar is gá don chuspóir a bhfuil siad á bpróiseáil (Airteagal 5(1)(e) GDPR).
Chomh maith le bunús dlíthiúil bailí bheith ag rialaitheoir sonraí chun sonraí pearsanta a phróiseáil, áfach, ní mór dó cloí le roinnt oibleagáidí breise i ndáil le sonraí pearsanta atá á bpróiseáil. Go háirithe, ní mór sonraí pearsanta a phróiseáil go cothrom agus go trédhearcach. Chun na críche seo, éilítear ar rialaitheoir sonraí faisnéis áirithe a chur ar fáil d’ábhar sonraí faoi Airteagal 13 de 14 den GDPR, i gcomhréir le riachtanais Airteagal 12 GDPR. Áirítear leis an bhfaisnéis a éilítear a chur ar fáil don ábhar sonraí sainiúlacht agus sonraí teagmhála an rialaitheora sonraí agus oifigeach cosanta sonraí an rialaitheora, nuair is infheidhme, cuspóirí na próiseála, agus faighteoirí nó catagóirí faighteoirí na sonraí, más ann. Ní mór an fhaisnéis a chur ar fáil i bhfoirm achomair, thrédhearcach, intuigthe, a bhfuil sé éasca teacht uirthi, agus teanga shoiléir agus shimplí á húsáid.
34) Cás-staidéar 34: Nochtadh sonraí pearsanta agus airgeadais do thríú páirtí agus iarratas scriosta
Chuir an t-ábhar sonraí a sonraí pearsanta agus airgeadais ar fáil d’eagraíocht (an rialaitheoir sonraí) mar chuid d’iarratas scéime a nduine muinteartha. Níor éirigh leis an iarratas agus eisíodh litir dhiúltaithe ar an iarratasóir, inar áiríodh, briseadh síos ar shonraí pearsanta agus airgeadais an ábhair sonraí. Rinne an t-ábhar sonraí gearán leis an gCoimisiún um Chosaint Sonraí (DPC) maidir le heaspa trédhearcachta sa phróiseas iarratais agus nochtadh a sonraí pearsanta agus airgeadas dá nduine muinteartha. D’iarr an t-ábhar sonraí ar an rialaitheoir sonraí a sonraí pearsanta a sheoladh ar ais. Rinne an duine t-ábhar sonraí iarratas freisin go scriosfadh an rialaitheoir sonraí a sonraí pearsanta faoi Airteagal 17 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), agus mura raibh scrios mar rogha, an bonn dlí atá acu lena chuid/lena cuid sonraí a choinneáil.
Sular chuir an DPC tús leis an imscrúdú, rinne an t-ábhar sonraí moltaí maidir leis an ngearán a réiteach ar bhealach cairdiúil, inar áiríodh, i measc nithe eile, ‘comhartha dea-thola’ ón rialaitheoir sonraí. Mar sin féin, mar gheall ar ról na heagraíochta, ní raibh ar chumas an rialaitheora sonraí an t-iarratas seo a éascú.
Rinne an DPC, mar chuid dá imscrúdú, caidreamh leis an rialaitheoir sonraí agus d’iarr sé freagra ar ghearán an ábhair sonraí. Dúirt an rialaitheoir sonraí, cé go bhfuil sé mar chuid dá nós imeachta iarratasóirí a chur ar an eolas maidir leis na cúiseanna lena ndiúltú, nár cheart ach páirtnochtadh a dhéanamh ina litreacha maidir le cinneadh sa chás gur bailíodh faisnéis ó thríú páirtí. Maidir le hiarratas scriosta an ábhair sonraí, chuir an rialaitheoir sonraí in iúl go gcoinneofaí na sonraí pearsanta a cuireadh ar fáil, ar feadh saolré an iarratasóra plus deich (10) mbliana. Mhínigh an rialaitheoir sonraí go gcoinnítear na sonraí ar feadh na tréimhse seo mar go bhféadfadh tionchar a bheith ag na sonraí atá i gceist ar aon iarratais a dhéanann an t-iarratasóir amach anseo.
Ina dhiaidh sin, dhiúltaigh an rialaitheoir sonraí iarratas scriosta an ábhair sonraí mar gur chuir siad in iúl go raibh siad ag brath ar Airteagal 17(3)(b) den GDPR, a chuireann srian ar oibleagáidí rialaitheoirí sonraí pearsanta a scriosadh sa chás go mbíonn na sonraí pearsanta riachtanach do chomhlíonadh oibleagáid dhlíthiúil. Chomh maith leis sin, bhí an rialaitheoir sonraí ag brath ar Airteagal 23(1)(e) den GDPR, ina luaitear go bhféadfaí cearta an ábhair sonraí a theorannú do:
“cuspóirí tábhachtacha eile a bhaineann le leas ginearálta phobal an Aontais nó Ballstáit, go háirithe leas tábhachtach eacnamaíoch nó airgeadais de chuid an Aontais nó de chuid Ballstáit, lena n-áirítear, ábhair airgeadaíochta, bhuiséadacha agus chánachais, sláinte phoiblí agus slándáil shóisialta.”
D’eisigh an rialaitheoir sonraí leithscéal don ábhar sonraí, mar gheall a gcuid sonraí pearsanta a nochtadh sa litir dhiúltaithe a eisíodh dá nduine muinteartha, an t-iarratasóir. D’fhiosraigh an t-ábhar sonraí cibé ar tuairiscíodh an nochtadh seo don DPC mar shárú. Ceanglaítear ar rialaitheoir sonraí faoi Airteagal 33 den GDPR, sárú sonraí pearsanta a thuairisciú don údarás inniúil gan moill mhíchuí, murar dóigh nach mbeidh sárú ar shonraí mar bhaol do chearta nó do shaoirsí daoine nádúrtha. Déantar cur síos ar shárú ar shonraí in Airteagal 4(12) den GDPR mar: “Shárú ar shlándáil a dtagann de shonraí pearsanta a dhíothú, a chailleadh nó a athrú, trí thionóisc nó go neamhdhleathach, nó iad a nochtadh, nó rochtain a bheith orthu, gan údarú, is sonraí pearsanta a tharchuirtear, a stóráiltear nó a phróiseáiltear ar shlí eile”. Tháinig an DPC ar an gcinneadh gur tharla an nochtadh mar thoradh ar earráid dhaonna agus níor aithníodh an sárú mar shaincheist chórasach.
Trína imscrúdú, Tháinig an DPC ar an gcinneadh, go bhféadfaí an litir dhiúltaithe a raibh nochtadh sonraí pearsanta an ábhair sonraí mar thoradh uirthi, a idirdhealú ó thaifid eile a bhí á gcoinneáil ag an rialaitheoir sonraí mar nár leanadh a dtreoirlínte go díreach sa litir. Mar sin, thug an DPC cuireadh don rialaitheoir sonraí, sonraí pearsanta an ábhair sonraí a scriosadh nó a leasú sa litir i ndáil le cinneadh a bhí á coinneáil ar chomhad. Chomh maith leis sin, d’fhéadfaí litir leasaithe a eisiúint don iarratasóir ina ndéantar leasú ar shonraí pearsanta an ábhair sonraí. Chuir an rialaitheoir sonraí in iúl dóibh go n-eiseodh siad litir dhiúltaithe arís agus go n-iarrfaí ar an iarratasóir an chéad litir a fuair sé/sí a sheoladh ar ais. Chuir an rialaitheoir sonraí in iúl freisin go scriosfadh siad an chéad litir a seoladh amach óna gcuid taifead.
Chuir an DPC, faoi alt 109(5)(c) d’Acht na bliana 2018, in iúl don ábhar sonraí go raibh an míniú a thug an rialaitheoir sonraí réasúnach in imthosca an ghearáin a bhí déanta acu. Fad a d’admhaigh an rialaitheoir sonraí nochtadh sonraí pearsanta an ábhair sonraí dá nduine muinteartha, an t-iarratasóir, d’eisigh siad litir i leith an chéanna, agus thug le fios go leasófaí an litir dhiúltaithe bunaidh, agus go gcuirfear litir atá cothrom le dáta ar fáil don iarratasóir.
Sa bhreis air sin, faoi alt 109(5)(f) d’Acht na bliana 2018, mhol an DPC don rialaitheoir sonraí oiliúint a bhí cothrom le dáta a sholáthar don fhoireann maidir le treoir ó thaobh na litreacha i ndáil le cinneadh.
35) Cás-staidéar 35: Próiseáil agus nochtadh neamhdhleathach sonraí catagóirí speisialta
Chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) maidir lena mbanc (an rialaitheoir sonraí) mar gur chreid siad go ndearnadh próiseáil go neamhdhleathach ar a sonraí pearsanta. Mhínigh an t-ábhar sonraí go raibh morgáiste acu leis an rialaitheoir sonraí agus gur díoladh an morgáiste seo le banc eile, mar chuid de chomhaontú maidir le hiasacht a dhíol. Rinne an t-ábhar sonraí gearán gur próiseáladh an díolachán seo i ngan fhios dóibh nó gan toiliú uathu agus bhí údar imní sonrach acu maidir leis an rialaitheoir sonraí a bheith ag comhroinnt a seoladh ríomhphoist pearsanta agus uimhir fón póca le banc eile agus mheas siad gur nochtadh iomarcach sonraí pearsanta a bhí i gceist anseo. Cé nach raibh agóid a dhéanamh ag an ábhar sonraí maidir lena n-ainm, seoladh nó uimhir líne talún a bheidh á n-úsáid, chreid siad go raibh a seoladh ríomhphoist agus uimhir fón póca ina sonraí pearsanta a bhí “íogair” agus go raibh nochtadh an chéanna díréireach.
Bhí an t-ábhar sonraí i gcaidreamh go díreach leis an rialaitheoir sonraí maidir lena ngearán sula ndearna siad teagmháil leis an DPC. D’fhreagair an rialaitheoir sonraí agus chuir in iúl don ábhar sonraí gurbh é an bonn dlí a bhí le próiseáil a gcuid sonraí pearsanta ná Airteagal 6(1)(f) den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), ina luaitear: “Go mbeidh gá leis an bpróiseáil chun críocha leasanna dlisteanacha an ábhair sonraí ag an rialaitheoir.”
Ar thús a chur lena n-imscrúdú, chomhroinn an DPC gearán an ábhair sonraí leis an rialaitheoir sonraí agus rinne éileamh ar fhreagra mionsonraithe. Chuir an rialaitheoir sonraí an DPC ar an eolas go gcuireann an rialaitheoir sonraí mar chuid dá bhFógra maidir le Príobháideachas Sonraí, cóip den Fhógra ar fáil dá gcuid custaiméirí, ina dtugtar mionsonraí go bhféadfadh an rialaitheoir sonraí sócmhainní an chomhlachta a dhíol ar mhaithe lena ngnó a bhainistiú. Tugtar tuilleadh mionsonraí maidir leis seo sa litir thairisceana iasachta d’iarratasóirí morgáiste.
Maidir le comhroinnt sonraí pearsanta iomarcacha, thug an rialaitheoir sonraí breac-chuntas nach mbreithníonn siad seoladh ríomhphoist nó uimhir fón póca mar fhaisnéis atá íogair agus nach dtagann siad faoi chatagóirí speisialta sonraí pearsanta faoi Airteagal 9 den GDPR.
Chuir an DPC in iúl cé go bhfuil toiliú mar cheann de sé bhonn dlí maidir le sonraí pearsanta a phróiseáil, go bhfuil sé dleathach sonraí pearsanta a phróiseáil gan toiliú roimh ré ach ceann de chúig bhonn dlí eile, atá liostaithe faoi Airteagal 6 den GDPR a chomhlíonadh. Sa chás seo bhí an rialaitheoir sonraí ag brath ar Airteagal 6(1)(f) agus dá réir sin, ceanglaítear orthu tabhairt faoi thástáil chothromaíochta chun a chinntiú nach mbíonn an leas dlisteanach atá á leanúint ag an rialaitheoir sonraí ag sárú leasanna, cearta nó saoirsí bunúsacha an ábhar sonraí. Dheimhnigh an DPC go ndearna siad tástáil chothromaíochta agus gur deimhníodh, sa chás seo, nach raibh próiseáil sonraí pearsanta ag sárú leasanna, cearta nó saoirsí bunúsacha an duine is ábhar do na sonraí.
Thug an rialaitheoir sonraí míniú breise go raibh sé riachtanach don rialaitheoir sonraí faisnéis teagmhála an ábhair sonraí a chomhroinnt leis an mbanc eile agus gur iad an banc eile na rialaitheoirí sonraí nua maidir le hiasacht an duine is ábhar do na sonraí. Thug an rialaitheoir sonraí soiléiriú freisin nach ndéanann siad idirdhealú idir cineálacha difriúla faisnéis teagmhála, m.sh. uimhreacha líne talún agus fón póca mar gur cuireadh an fhaisnéis seo ar fáil don rialaitheoir sonraí chun na críche teagmháil a dhéanamh le custaiméirí. Dá réir sin, teastaíonn an fhaisnéis seo ón bhanc chun bainistiú a dhéanamh ar an iasacht.
Déantar cur síos in Airteagal 9 GDPR ar chatagóir speisialta sonraí pearsanta mar:
“shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, agus toirmeascfar próiseáil ar shonraí géiniteacha, ar shonraí bithmhéadracha chun duine nádúrtha a shainaithint go huathúil, ar shonraí a bhaineann leis an tsláinte nó ar shonraí a bhaineann le saol gnéis agus le gnéaschlaonadh duine nádúrtha.”
Dá réir sin, thug an DPC soiléiriú don ábhar sonraí nach dtagann uimhreacha fón póca nó seoltaí ríomhphoist faoin gcatagóir seo.
Chuir an DPC in iúl don ábhar sonraí, tar éis don DPC imscrúdú a dhéanamh ar a ngearán faoi alt 109(5)(c) d’Acht na bliana 2018, nach bhfuair an DPC aon fhianaise go raibh próiseáil neamhdhleathach déanta ar a gcuid sonraí pearsanta. Cé go raibh an rialaitheoir sonraí ag brath ar bhonn dlisteanach chun na sonraí a phróiseáil agus go ndearnadh é sin ar bhealach trédhearcach, agus gur coinníodh an t-ábhar sonraí ar an eolas maidir le príomhchéimeanna go léir an díolacháin, mar sin go ndearnadh é a stiúradh agus an duine is ábhar do na sonraí a choinneáil ar an eolas roimh ré. Níor bhreithnigh an DPC go raibh aon ghníomh eile riachtanach nuair a eisíodh an toradh.
36) Cás-staidéar 36: Próiseáil neamhdhleathach agus iarratas scriosta
Tar éis turas ar shaoráid fóillíochta (an rialaitheoir sonraí), chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) mar go raibh siad míshásta maidir leis an mbealach a ndearna an rialaitheoir sonraí próiseáil ar a gcuid sonraí pearsanta. Theastaigh ón ábhar sonraí a gcearta faoi Airteagal 17 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) a fheidhmiú, go ndéanfadh an eagraíocht a gcuid sonraí féin agus sonraí a dteaghlach a scrios. Roimh theagmháil a dhéanamh leis an DPC, d’iarr an t-ábhar sonraí go díreach ar an rialaitheoir sonraí a sonraí a scrios ach dhiúltaigh an rialaitheoir sonraí an t-iarratas seo.
Mhínigh an t-ábhar sonraí don DPC gur chreid siad, le linn a gcuairte ar an tsaoráid fóillíochta, go raibh a gcuid sonraí pearsanta á bpróiseáil go neamhdhleathach mar gur iarr an fhoireann orthu arís agus arís eile mionsonraí na háirithinte a chur ar fáil ar mhaithe leis na saoráidí a bhí ar an láthair, sé sin bialanna agus gníomhaíochtaí a rochtain. Chreid an t-ábhar sonraí gur próiseáil iomarcach a bhí i gceist anseo mar nár tugadh aon rogha dóibh agóid a dhéanamh ó thaobh próiseáil den sórt sin agus nó ní chuirfí rochtain iomlán chuig na saoráidí ar fáil dóibh.
Ar aon dul lena n-imscrúdú ar an ngearán, rinne an DPC teagmháil agus chomhroinn mionsonraí maidir le gearán an ábhair sonraí leis an rialaitheoir sonraí. Chuir an rialaitheoir sonraí in iúl don DPC gurbh é an bonn dlí a bhí acu le sonraí pearsanta a phróiseáil ná Airteagal 6(1)(f) den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), a dtagraítear do freisin mar leas dlisteanach. Thug an rialaitheoir sonraí míniú breise go n-éilíonn siad sonraí custaiméara roimh shaoráid a rochtain nó roimh mhír éigin a cheannach ar mhaithe “le patrúin a thuiscint agus feabhas a chur ar an raon seirbhísí agus saoráidí atá ar fáil d’aíonna”. Tá an méid sin mionsonraithe ina mbeartas príobháideachais atá ar fáil ar a láithreán gréasáin.
De bhun gearán an ábhair sonraí, rinne an rialaitheoir sonraí athbhreithniú ar a gcuid beartas agus d’aithin bearna oiliúna ó thaobh na foirne de. Tar éis an méid sin a thabhairt ar aird, chuir an rialaitheoir sonraí treoracha ar fáil don fhoireann lena chinntiú go mbíonn siad ar an eolas nach bhfuil aon dualgas ar chustaiméirí mionsonraí maidir lena n-áirithint a sholáthar agus saoráidí áirithe a rochtain. Chuir an rialaitheoir sonraí in iúl freisin go bhfuil an Nós Imeachta Oibríochta Roinne an Rialacháin Ginearálta maidir le Sonraí tugtha cothrom le dáta acu ar mhaithe leis an nós imeachta seo a léiriú níos soiléire.
Maidir le hiarratas scriosta an ábhair sonraí, chuir an rialaitheoir sonraí in iúl don DPC gur bhaineadh an t-ábhar sonraí as gach cumarsáid ó thaobh margaíochta díreach de. Mar sin féin, ní raibh ar a gcumas aon sonraí pearsanta eile maidir leis an ábhar sonraí agus lena dteaghlach a scrios mar go bhfuil na sonraí á gcoinneáil de réir a mbeartas coinneála. Luaitear i mbeartas coinneála an rialaitheora sonraí go bhfuil na mionsonraí pearsanta go léir á gcoinneáil ar chomhad mar go bhféadfadh siad a bheith riachtanach chun éilimh dhlíthiúla a chosaint agus ní scriosfar iad go mbeidh an duine is óige den teaghlach in aois 21 bliain, de réir tréimhsí na teorann reachtúil.
Faoi alt 109(5)(f) d’Acht na bliana 2018, mhol an DPC don rialaitheoir sonraí leanúint ar aghaidh le hoiliúint a chur ar fáil do na fostaithe go léir maidir lena chuid oibleagáidí do chearta ábhar sonraí faoin reachtaíocht cosanta sonraí agus mhol an DPC don rialaitheoir sonraí leanúint leis an oiliúint seo a thabhairt cothrom le dáta.
Mhol an DPC freisin faoi alt 109(5)(f) d’Acht na bliana 2018 don rialaitheoir sonraí na sonraí pearsanta go léir a scriosadh de réir tréimhse choinneála an rialaitheora sonraí.
Níor bhreithnigh an DPC go raibh gá le haon ghníomh eile ag tráth eisiúna an toraidh mar gur thug siad ar aird go raibh athoiliúint curtha ar fáil don fhoireann go léir, gabh siad leithscéal leis an ábhar sonraí agus thairg siad cúiteamh dóibh mar thoradh ar a ngearán.
37) Cás-staidéar 37: Nochtadh, toiliú próiseála a tharraing siar agus iarratas duine ar a shonraí/ar a sonraí
Thug ábhar sonraí gearán chomh fada leis an gCoimisiún um Chosaint Sonraí (DPC) in aghaidh a n-iarfhostóra (an rialaitheoir sonraí). Bhí líon údair imní maidir le cosaint sonraí ag an ábhar sonraí, eadhon:
- Nochtadh a seoladh ríomhphoist pearsanta trína bheith san áireamh sa réimse Cóip Charbóin (CC)
- A n-íomhá a chur san áireamh ar chuntas meáin shóisialta an rialaitheora sonraí
- Ní raibh an t-ábhar sonraí sásta leis an fhreagra a fuair sé/sí ón rialaitheoir sonraí maidir le hiarratas duine ar a shonraí/a sonraí
Ar aon dul lena n-imscrúdú ar an ngearán, rinne an DPC teagmháil agus chomhroinn mionsonraí maidir le gearán an ábhair sonraí leis an rialaitheoir sonraí. Chuir an rialaitheoir sonraí in iúl don DPC gur shínigh an t-ábhar sonraí comhaontú réitithe roimhe seo, a rinne tarscaoileadh ar a gcearta chun gearán nó éileamh a dhéanamh in aghaidh an chomhlachta faoi na hAchtanna um Chosaint Sonraí 1988, 2003 agus 2018. Mar fhreagra, chuir an DPC in iúl don rialaitheoir sonraí nach raibh siadsan mar pháirtí sa chomhaontú agus go raibh oibleagáid reachtúil ar an DPC imscrúdú a dhéanamh ar ghearáin a mhéid is cuí. Is ábhar idir an rialaitheoir sonraí agus an ábhar sonraí forfheidhmiú aon chonradh réitithe.
Maidir leis nochtadh seoladh ríomhphoist an ábhair sonraí, i ngrúpa ríomhphoist, d’admhaigh an rialaitheoir sonraí gur chóir feidhm an Chóip Charbóin Fholaithe (BCC) a úsáid sa chás seo. Chuir an rialaitheoir sonraí in iúl freisin gur tuairiscíodh an eachtra seo mar shárú don DPC faoin Airteagal 33 de Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) agus go raibh bearta breise curtha i bhfeidhm ar fhaitíos go dtarlódh an eachtra arís. Rinneadh oiliúint foirne a leathadh amach agus tá seoladh ríomhphoist an ábhair sonraí bainte as na seoltaí ríomhphoist uathbhailithe atá ar chomhad. Thug an DPC imthosca an tsáraithe a d’eascair ar aird mar thoradh ar earráid dhaoine agus níor aithníodh an sárú mar shaincheist chórasach.
D’iarr an t-ábhar sonraí faoi Airteagal 17 den GDPR, go mbainfí a n-íomhá de láithreán meán sóisialta an rialaitheora sonraí gan moill mhíchuí. Tharraing an t-ábhar sonraí a dtoiliú don phróiseáil siar faoi Airteagal 17(1)(b) den GDPR. Thug an rialaitheoir sonraí faoi chuardach ar a meáin shóisialta agus fuair réidh le haon phostálacha lena n-aithneofaí an t-ábhar sonraí. Chuir an rialaitheoir sonraí in iúl, sa chás gur bhain tríú páirtithe tuilleadh úsáide as na híomhánna seo, go mbeidh ar an ábhar sonraí iarratas scriosta a chur faoi bhráid na n-eagraíochtaí seo go díreach.
Rinne an t-ábhar sonraí iarratas duine ar shonraí faoi Airteagal 15 den GDPR ar an rialaitheoir sonraí. Chomhlíon an rialaitheoir sonraí an t-iarratas; mar sin féin, cuireadh srianta i bhfeidhm faoi Alt 162 d’Achtanna na bliana 2018 chun teorannú a dhéanamh ar rochtain an ábhair sonraí chuig comhfhreagras idir an rialaitheoir sonraí agus a gcomhairleoirí dlí. Cé go dtugann an DPC ar aird gur ceart bunúsach atá i gceart an duine aonair sonraí pearsanta a rochtain agus nach mór aon teorannú a léiriú go cruinn, níl an ceanglas go mbeidh teorannú cearta an ábhair sonraí riachtanach agus comhréireacht, laistigh d’alt 162 d’Acht na bliana 2018. Dá réir sin, ní féidir gach iarratas rochtana a chomhlíonadh agus bunaithe ar an fhaisnéis a cuireadh ar fáil don DPC, tháinig an DPC ar an gcinneadh nár chóir an comhfhreagras idir an rialaitheoir sonraí agus a gcomhairleoirí dlí a scaoileadh mar fhreagra ar iarratas rochtana duine ar shonraí.
Sa bhreis ar an méid atá thuas, thug an DPC ar aird gur theip ar an rialaitheoir sonraí a gcuid oibleagáidí faoi Airteagal 12(3) den GDPR a chomhlíonadh sa chás seo, ní mór do rialaitheoirí sonraí iarratais cosanta sonraí ó ábhair sonraí a fhreagairt laistigh d’aon mhí amháin ó fhaightear an t-iarratas sin. Mar sin féin, tugadh ar aird gur chuir an rialaitheoir sonraí síneadh le tréimhse freagartha iarratas duine ar shonraí tar éis den tréimhse ama tosaigh d’aon mhí amháin a bheith dulta i léig.
Dá réir sin, scríobh an DPC, faoil alt 109(5)(f) chuig an rialaitheoir sonraí agus mheabhraigh a gcuid oibleagáidí dóibh faoi Airteagal 12(3) agus Airteagal 33 den GDPR.
38) Cás-staidéar 38: Próiseáil neamhdhleathach sonraí catagóirí speisialta
Chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) in aghaidh a bhfostóra (an rialaitheoir sonraí) maidir lena gcuid sonraí pearsanta a phróiseáil faoi Airteagal 9 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR). Mhínigh an t-ábhar sonraí don DPC go bhfuair siad teastas breoiteachta ón Dochtúir Teaghlaigh (GP) agus mar sin gur thug siad an teastas breoiteachta dá bhfostóir, i gclúdach litreach le seoladh Oifigeach Leighis na heagraíochta. D’oscail comhalta foirne a bhí ag feidhmiú i ról bainisteora an teastas leighis; ní raibh ról mar oifigeach leighis ag an duine seo, áfach. Sula ndearna sé/sí teagmháil leis an DPC rinne an t-ábhar sonraí teagmháil lena bhfostóir chun aghaidh a thabhairt ar na húdair imní a bhí á mbrath acu go raibh sonraí pearsanta a bhí íogair á bpróiseáil go neamhdhleathach; mar sin féin, ní bhfuair siad aon fhreagra maidir lena ngearán.
Mar chuid dá imscrúdú, rinne an DPC teagmháil leis an rialaitheoir sonraí agus rinne mionsonraí maidir le gearán ábhair sonraí a chomhroinnt leo. D’fhreagair an rialaitheoir sonraí an DPC agus mhínigh, de réir Nósanna Imeachta Oibríochta Caighdeánacha na heagraíochta, mar gheall nach raibh aon oifigeach leighis ar dualgas an lá a bhí i gceist, go dtiteann an fhreagracht agus an t-údarás ó thaobh saoire a cheadú, breoiteachta nó eile, go huathoibríoch ar an mbainisteoir ar an lá, arbh é/í a phróiseáil an teastas leighis.
Níor ghlac an t-ábhar sonraí leis an míniú a chuir an rialaitheoir sonraí ar fáil agus chuir go láidir i gcoinne go ndéanfaidh duine nach oifigeach leighis ainmnithe a bhí i gceist próiseáil ar an teastas leighis.
Trína imscrúdú chinn an DPC, faoi Airteagail (6)(1)(b), (c), (f) agus 9(2)(b) den RGCS go raibh boinn dlisteanacha ag an rialaitheoir sonraí, sonraí pearsanta íogaire an ábhair sonraí a phróiseáil faoin GDPR agus mar sin nár tharla aon phróiseáil neamhdhleathach. Níor breithníodh go raibh aon ghníomh eile riachtanach i gcoinne an rialaitheora sonraí maidir le gearán an ábhair sonraí.
39) Cás-staidéar 39: Nochtadh sonraí pearsanta (An Dlí is Infheidhme – an Rialachán Ginearálta maidir le Cosaint Sonraí agus an tAcht um Chosaint Sonraí, 2018)
D’eisigh ábhar sonraí gearán chuig an gCoimisiún um Chosaint Sonraí (“an Coimisiún”) i gcoinne a chuideachta bainistíochta úinéirí (“rialaitheoir sonraí”) maidir le nochtadh a shonraí pearsanta faoin Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”). Mhínigh an t-ábhar sonraí don Choimisiún go ndearna cuideachta bainistíochta réadmhaoine ríomhphost inar cuimsíodh a shonraí pearsanta a scaipeadh thar ceann cuideachta bainistíochta úinéirí (“CBÚ”) agus gur cuimsíodh sa ríomhphost faisnéis maidir leis an íoc muirear bliantúil seirbhísí.
Sula ndearna sé teagmháil leis an gCoimisiún, rinne an t-ábhar sonraí teagmháil leis an CBÚ chun aghaidh a thabhairt ar na húdair imní a bhí aige maidir le nochtadh a shonraí pearsanta. Luaigh an CBÚ sa fhreagra uaidh go bhfuil sé de bheartas aige sonraí pearsanta den sórt sin a chur ar áireamh i ríomhphoist chuig gach cliant. Dheimhnigh an t-ábhar sonraí nach ndearna sé an beartas sin a fheiceáil ná a shíniú riamh.
Ag teacht sna sála ar idirchaidreamh an Choimisiúin, luaigh an rialaitheoir sonraí clásal sa Mheabhrán Comhlachais CBÚ uaidh lenar ceadaíodh an t-íoc muirear seirbhíse nó an neamhíoc muirear seirbhíse a nochtadh d’úinéirí eile aonaid.
Sholáthair an Coimisiún treoir ón oifig seo dar teideal “Breithniúcháin Chosanta Sonraí a Bhaineann le Forbairtí Ilaonad agus le Cuideachtaí Bainistíochta Úinéirí” don dá pháirtí lena mbreithniú. Tugadh le fios sa treoir nach mór an nochtadh a chosaint a bheith riachtanach agus comhréireach araon chun cuspóir atá sonrach, follasach agus dlisteanach a bhaint amach, de réir an dlí um chosaint sonraí.
Chuir an rialaitheoir sonraí in iúl don Choimisiún gur seoladh tástáil cothromúcháin agus luaigh sé gur ghá na sonraí pearsanta a phróiseáil chun go mbainfí amach leas dlisteanach na cuideachta bainistíochta in íocaíocht na muirear seirbhíse a fháil.
Faoi alt 109(5)(c) d’Acht 2018, chuir an Coimisiún in iúl nach raibh an rialaitheoir sonraí in ann bunús dleathach leordhóthanach a sholáthar do na sonraí pearsanta a phróiseáil, mar a leagadh amach sa ghearán.
Leis an toradh, meabhraíodh don rialaitheoir sonraí na hoibleagáidí atá air mar rialaitheoir sonraí faoi Airteagail 5, 6 agus 24 GDPR agus faoi alt 109(5)(f) d’Acht 2018. Mhol an Coimisiún go ndéanfadh an rialaitheoir sonraí na nithe seo a leanas: an Meabhrán Comhlachais uaidh a athbhreithniú chun a chinntiú go gcomhlíontar an treoir ón gCoimisiún; smaoineamh ar mhodhanna malartacha trínar féidir an neamhíoc muirear seirbhíse a réiteach; agus aon oibleagáid dhlíthiúil nó leas dlisteanach a bhreithniú agus a chothromú i gcoinne chearta agus leasanna an ábhair sonraí.
40) Cás-staidéar 40: Próiseáil chothrom sonraí pearsanta (An Dlí is Infheidhme – an Rialachán Ginearálta maidir le Cosaint Sonraí agus an tAcht um Chosaint Sonraí, 2018)
D’eisigh ábhar sonraí gearán chuig an gCoimisiún um Chosaint Sonraí (“an Coimisiún”) i gcoinne a fhostóra (“rialaitheoir sonraí”) maidir le próiseáil a shonraí pearsanta faoin Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”). Mhínigh an t-ábhar sonraí don Choimisiún gur tugadh do thríú páirtí (fostóir ionchasach) mionsonraí faoi ní rúnda mar chuid de theistiméireacht. Sula ndearna sé teagmháil leis an gCoimisiún, rinne an t-ábhar sonraí teagmháil leis an rialaitheoir sonraí chun aghaidh a thabhairt ar na húdair imní a bhí aige toisc go raibh sé den tuairim gur próiseáladh a shonraí pearsanta go neamhdhleathach. Ní bhfuair sé freagra sásúil ar an ngearán uaidh, áfach.
Tugann an Coimisiún dá aire gurb é a bhíonn i gceist le teistiméireacht faoi bhall foirne ó fhostóir reatha/iarfhostóir a sholáthar do thríú páirtí, amhail fostóir ionchasach, de ghnáth ná sonraí pearsanta a nochtadh. Luaigh an t-ábhar sonraí gur nocht an rialaitheoir sonraí ní rúnda sa teistiméireacht a tugadh don fhostóir ionchasach.
Mar chuid dá scrúdú, rinne an Coimisiún idirchaidreamh leis an rialaitheoir sonraí agus chomhroinn sé na mionsonraí faoi ghearán an ábhair sonraí. Thug an rialaitheoir sonraí freagra don Choimisiún agus mhínigh sé go bhfuil sé ag brath ar thoiliú agus ar leas dlisteanach i ndáil leis an ní rúnda a nochtadh. Luaigh an rialaitheoir sonraí gurbh amhlaidh, le linn dó cearta an ábhair sonraí a chothromú i gcoinne leasanna an tríú páirtí (agus leasanna na ndaoine sin a dtugann an tríú páirtí cúram dóibh), a chinn sé go bhfuil dualgas cúraim air a chinntiú go bhfaigheadh faighteoir na teistiméireachta (an fostóir ionchasach) teistiméireacht a bheadh fíor, cruinn, cothrom agus ábhartha don ról a ndearna an t-ábhar sonraí iarratas air.
Ba dheimhin leis an rialaitheoir sonraí gur próiseáladh na sonraí ar bhealach cothrom trédhearcach. Luaigh sé freisin gurbh amhlaidh, de bharr chineál na fostaíochta, a bhí dualgas cúraim air do na daoine a dtacaíonn siad leo, mar atá na baill foirne, agus freisin d’fhostóirí ionchasacha a sholáthraíonn seirbhísí tacaíochta don chatagóir chéanna cliant.
Tá sé tábhachtach a bhreithniú cé acu a d’fhéadfadh nó nach bhféadfadh stádas an rialaitheora sonraí nó na hoibleagáidí dlíthiúla nó conartha is infheidhme (nó dearbhuithe eile a tugadh tráth an bhailithe) a bheith mar chúis le hionchais réasúnacha go mbeadh rúndacht níos déine ann nó go mbeadh srianta níos déine ar thuilleadh úsáide ann. Chuir an Coimisiún san áireamh cé acu a bhí nó nach raibh an rialaitheoir sonraí in ann an toradh céanna a bhaint amach gan na mionsonraí rúnda a nochtadh don fhostóir ionchasach. Maidir leis na ráitis a tugadh sa teistiméireacht, bhí siad bunaithe ar fhíorais a d’fhéadfaí a chruthú agus a bhí riachtanach chun leasanna dlisteanacha chliaint an rialaitheora sonraí agus an dualgas cúraim do chliaint an rialaitheora sonraí a bhaint amach.
D’ainneoin an dualgais rúin, agus in imthosca inar ainmnigh an t-ábhar sonraí an rialaitheoir sonraí chun an teistiméireacht a sholáthar, á thoiliú le comhroinnt shonraí pearsanta ábhartha an ábhair sonraí le fostóir ionchasach dá bhrí sin, is deimhin leis an gCoimisiún go bhfuil leas dlisteanach an fhostóra ionchasaigh agus mórleas an phobail ina n-údar le nochtadh an ní rúnda.
Tar éis dó an ní a scrúdú go críochnúil, chuir an Coimisiún in iúl don ábhar sonraí, faoi alt 109(5)(c) d’Acht 2018, gur réasúnach atá an míniú a chuir an rialaitheoir sonraí ar aghaidh in imthosca an ghearáin seo agus nár tharla aon phróiseáil neamhdhleathach. Dá réir sin, measadh nár ghá aon ghníomh eile a dhéanamh i gcoinne an rialaitheora sonraí de bhun an ghearáin ón ábhar sonraí.
41) Cás-staidéar 41:Próiseáil neamhdhleathach ar ghrianghraf agus iarraidh léirscriosta faoi Airteagal 17 GDPR (An Dlí is Infheidhme – an Rialachán Ginearálta maidir le Cosaint Sonraí agus an tAcht um Chosaint Sonraí, 2018)
Rinne ábhar sonraí gearán leis an gCoimisiún um Chosaint Sonraí (“an Coimisiún”) maidir le foilsiú a íomhá stairiúla i nuachtán (“rialaitheoir sonraí”). Mhínigh an t-ábhar sonraí don Choimisiún gur foilsíodh an t-alt gan fhios dó agus gan toiliú a fháil uaidh. Sula ndearna sé teagmháil leis an gCoimisiún, rinne an t-ábhar sonraí teagmháil leis an rialaitheoir sonraí chun aghaidh a thabhairt ar na húdair imní a bhí aige toisc go raibh sé den tuairim gur próiseáladh a shonraí pearsanta go neamhdhleathach. D’iarr sé go léirscriosfaí an íomhá ón nuachtán faoi Airteagal 17 den Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”). Dhiúltaigh an rialaitheoir sonraí do na heilimintí uile den iarraidh ón ábhar sonraí, áfach.
Mar chuid dá scrúdú, rinne an Coimisiún idirchaidreamh leis an rialaitheoir sonraí agus d’fhiafraigh sé de cén bunús dleathach a bhí aige faoi Airteagal 6 GDPR le sonraí pearsanta an ábhair sonraí a phróiseáil ar an mbealach atá leagtha amach sa ghearán uaidh. Dúirt an rialaitheoir sonraí leis an gCoimisiún nach raibh sé ag brath ar Airteagal 6 GDPR chun sonraí pearsanta an ábhair sonraí a phróiseáil. Dúirt sé go raibh sé ag brath ar alt 43 den Acht um Chosaint Sonraí, 2018 (“Acht 2018”) (próiseáil sonraí agus saoirse chun tuairimí a nochtadh agus chun saorála faisnéise), is é sin gur díolmhaithe a bheidh próiseáil sonraí pearsanta chun go bhfeidhmeofar an ceart chun saoirse chun tuairimí a nochtadh agus chun saorála faisnéise, lena n-áirítear próiseáil chun críoch iriseoireachta nó chun críoch léirithe acadúil, ealaíonta nó liteartha. Mhínigh an rialaitheoir sonraí freisin nach raibh an t-ábhar sonraí ina ábhar don alt nuachta a bhí i gceist agus go ndeachaigh roinnt mhaith blianta thart ó tógadh an grianghraf agus, dá bhrí sin, nach bhféadfaí an t-ábhar sonraí a shainaithint go héasca.
Maidir leis an iarraidh léirscriosta ón ábhar sonraí, bhí an rialaitheoir sonraí ag brath ar alt 43 d’Acht 2018 mar bhunús le diúltú don íomhá a léirscriosadh ón alt.
Tar éis dó breithniú a dhéanamh ar na heilimintí uile den ghearán seo, chinn an Coimisiún go raibh bunús dleathach ag an nuachtán faoi alt 43 d’Acht 2018 agus faoi Airteagal 85 GDPR le híomhá stairiúil an ábhair sonraí a fhoilsiú in alt nuachta.
Tugann an Coimisiún faoi deara nach ndíolmhaítear leis an díolúine iriseoireachta aon rialaitheoir sonraí ón Rialachán Ginearálta maidir le Cosaint Sonraí ar fad ná ó na hAchtanna um Chosaint Sonraí ar fad. Ní mór do rialaitheoir sonraí aird a bheith aige ar na hoibleagáidí eile atá air faoi GDPR agus faoi Acht 2018. Chinn an Coimisiún go ndearna an rialaitheoir sonraí próiseáil chomhréireach ar shonraí pearsanta an ábhair sonraí toisc go bhfuil an íomhá atá i gceist ina híomhá stairiúil inar féidir talamh slán a dhéanamh de le réasún nach féidir an t-ábhar sonraí a shainaithint go héasca a thuilleadh. Aithníonn an Coimisiún gurb é tríú páirtí an príomhdhuine atá i gceist leis an alt agus go luaitear sliocht as go díreach san alt. Dá bhrí sin, ní ionann an t-ábhar sonraí agus ábhar na díospóireachta.
Chuir an Coimisiún in iúl don ábhar sonraí, faoi alt 109(5)(c) d’Acht 2018, gur réasúnach a bhí an míniú a chuir an rialaitheoir sonraí ar aghaidh maidir le próiseáil a shonraí pearsanta in imthosca an ghearáin seo.
42) Cás-staidéar 42: Bearta teicniúla agus eagraíochtúla
Sa chás seo, bhí na daoine de theaghlach an ghearánaigh ina mbaill de chlub spóirt atá faoi stiúir ag oibrithe deonacha. Tar éis díospóid leis an gclub spóirt, ar dá deasca a rinneadh gearán faoi bhall den chlub, rinne an gearánach iarraidh ar rochtain d’ábhar sonraí chuig comhlacht a rialaigh an tsraith ina raibh an club spóirt páirteach. Tar éis cóip a fháil de shonraí pearsanta mar thoradh ar an iarraidh ar rochtain d’ábhar sonraí, thug an gearánach faoi deara gur chomhroinn an comhlacht formhaoirseachta mionsonraí faoina ghearán leis an gclub spóirt agus, mar chuid de na gnáthchumarsáidí a sheoltar chun críocha an chlub, go raibh baill dheonacha sa dá eagraíocht ag baint úsáid as a seoladh ríomhphoist oibre nó pearsanta chun críocha a bhaineann leis an gclub agus gur seoladh mionsonraí faoin ngearán chuig na seoltaí ríomhphoist sin. Chreid an gearánach gurbh ionann é sin agus comhroinnt neamhúdaraithe a shonraí pearsanta le tríú páirtithe – ba iad sin, fostóirí na mball a bhí ag baint úsáid as cuntais ríomhphoist oibre – agus gur shárú cosanta sonraí é sin.
Rinne an Coimisiún um Chosaint Sonraí teagmháil leis an gclub áitiúil agus leis an gcomhlacht formhaoirseachta araon chun scrúdú a dhéanamh ar na bunúis dlí a raibh siad ag brath orthu faoi Airteagal 6 den Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS) chun sonraí pearsanta an ghearánaigh a phróiseáil ar an tslí sin, agus é ag iarraidh a fhiosrú freisin cén dóigh a gcomhlíonann an dá eagraíocht na hoibleagáidí sláine agus rúndachta sonraí pearsanta atá orthu faoi Airteagal 5.1(f). Sa fhreagra uaidh, dúirt an club spóirt gur tharla sé, mar chuid dá nós imeachta um imscrúdú gearán, go raibh oibleagáid air mionsonraí faoin ngearán a chomhroinnt le baill shonraithe den choiste feidhmiúcháin agus go ndearna sé amhlaidh faoi Airteagal 6.1(b) RGCS toisc gurbh ionann ballraíocht an ghearánaigh den chlub agus conradh leis an gclub. Luaigh sé freisin nár cheangail sé ar oibrithe deonacha seoladh ríomhphoist tiomnaithe de chuid an chlub a úsáid chun gnó a sheoladh, toisc gurbh fhearr le roinnt ball úsáid a bhaint as an gcliant ríomhphoist a raibh siad cleachta leo. Maidir leis na bearta teicniúla agus eagraíochtúla a bhí in úsáid ag an gclub chun slándáil agus sláine sonraí pearsanta a chinntiú, dúirt an club nach raibh aon bhearta sonracha i bhfeidhm aige mar gheall ar na costais a bhaineann le bearta den sórt sin.
Dúirt an comhlacht sraithe gur tharla sé, mar chuid dá bheartas um imscrúdú gearán, go raibh oibleagáid air mionsonraí faoin ngearán a chomhroinnt leis an gclub spóirt. D’admhaigh sé go ndearna sé amhlaidh trí úsáid a bhaint as seoladh ríomhphoist pearsanta de chuid ball den chlub, beag beann ar sheoladh ríomhphoist oifigiúil de chuid an chlub a bheith ar comhad aige don bhall sin. Luaigh sé freisin gur phróiseáil sé sonraí pearsanta an ghearánaigh faoi Airteagal 6.1(f) RGCS, toisc go raibh leas dlisteanach aige sa toradh ar an ngearán a chomhroinnt le hoifigigh shonracha de chuid choiste feidhmiúcháin an chlub spóirt chun iad a chur ar an eolas faoi na fionnachtana agus na moltaí a d’eascair as an ngearán a rinneadh in aghaidh an chlub.
Chinn an Coimisiún gur léirigh an club spóirt agus an comhlacht sraithe araon go raibh bunús dlí cuí acu le sonraí pearsanta an ghearánaigh a phróiseáil. Chinn sé freisin, áfach, nár chomhlíon ceachtar eagraíocht na ceanglais atá orthu faoi Airteagal 5.1(f) bearta iomchuí teicniúla agus eagraíochtúla a bheith i bhfeidhm acu le haghaidh sonraí pearsanta a phróiseáil, toisc gurb ann do roinnt soláthraithe seirbhíse ríomhphoist atá ar fáil saor in aisce agus a d’fhéadfaí a úsáid chun críocha oifigiúla.
Comhlíonann an earnáil pobail agus an earnáil dheonach ról luachmhar inár sochaí trí ghníomhaíochtaí sóisialta agus fóillíochtbhunaithe a sholáthar. Cuid riachtanach de rannpháirtíocht club is ea sonraí pearsanta na mball den chlub a phróiseáil. Ina lán cásanna, ní leithdháileann grúpaí deonacha acmhainní suntasacha ar chosaint sonraí. Beag beann air sin, ní mór do gach rialaitheoir sonraí na hoibleagáidí faoin reachtaíocht cosanta sonraí a chomhlíonadh agus ní mór dóibh a chinntiú go bhfuil nósanna imeachta riaracháin cuí i bhfeidhm acu chun sonraí pearsanta a gcuid ball agus ball foirne a chosaint. Nuair a bhaineann eagraíocht dheonach úsáid as seoltaí ríomhphoist pearsanta nó oibre le haghaidh próiseáil sonraí, ní chomhlíonann sí an caighdeán riachtanach i ndáil le slándáil sonraí toisc gurb é an toradh atá air sin ná go gcailleann an rialaitheoir sonraí rialú ar na sonraí pearsanta a bhfuil sé/sí freagrach astu toisc nach bhfuil aon rochtain ná rialú aige/aici a thuilleadh ar shonraí pearsanta a c(h)uid ball. Toradh eile atá ar an gcleachtas sin is ea nach mbeidh an eagraíocht in ann freastal ar iarrataí ar rochtain d’ábhar sonraí i gcás go bhfágfaidh ball ar leith an eagraíocht nó go n-athróidh sé/sí poist.
Ní mór do rialaitheoirí sonraí a chinntiú go bhfuil bearta iomchuí teicniúla agus eagraíochtúla i bhfeidhm acu, beag beann ar chineál deonach na heagraíochta. Níl costas airgeadais i gceist le beartais chosanta sonraí ná nósanna imeachta cosanta sonraí a úsáid i ngach cás, agus tá oibleagáid ar rialaitheoirí a chinntiú go ndéantar gach iarracht réasúnach cloí le rialuithe iomchuí slándála. Chun tuilleadh faisnéise agus acmhainní a fháil, tabhair cuairt ar an rannán ‘Bí ar an eolas faoi do oibleagáidí’ d’eagraíochtaí ar ár suíomh gréasáin.
43) Cás-Staidéar 43: Iarraidh ar rochtain tar éis cuntas a chur ar fionraí
Bhain an gearán ón ábhar sonraí lena mhíshástacht leis an bhfreagra a fuair sé ó Meta Platforms Ireland Limited (rialaitheoir sonraí) ar a iarraidh ar rochtain de réir Airteagal 15 den Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS). Rinne an t-ábhar sonraí a iarraidh ar rochtain tar éis a chuntas curtha teachtaireachtaí a chur ar fionraí. D’iarr an t-ábhar sonraí go sonrach cóip dá shonraí pearsanta a bhí bainteach leis an gcuntas curtha teachtaireachtaí.
Rinne an t-ábhar sonraí teagmháil leis an rialaitheoir sonraí ar dtús trí chuntas a linbh toisc nach raibh sé in ann iarraidh a chur isteach go díreach trína fheidhmchlár curtha teachtaireachtaí de bharr a fhionraí agus de bharr na fírice nár ghlac foirm teagmhála an rialaitheora sonraí ach le ceisteanna a bhaineann le cuntais Facebook de chuid úsáideoirí agus nár ghlac sí le ceisteanna a bhaineann le cuntais ar cuntais churtha teachtaireachtaí amháin iad. D’ainneoin tuilleadh teagmhála a dhéanamh leis an rialaitheoir sonraí, ní raibh an t-ábhar sonraí in ann a shonraí a rochtain ar an mbonn nach raibh sé in ann úinéireacht an chuntais curtha teachtaireachtaí a fhíorú chun sástacht an rialaitheora sonraí.
Scríobh an Coimisiún um Chosaint Sonraí (an Coimisiún) chuig an rialaitheoir sonraí, agus breac-chuntas á thabhairt ar an ngearán ón ábhar sonraí agus á iarraidh go dtabharfadh an rialaitheoir sonraí aghaidh ar an iarraidh ar rochtain ón ábhar sonraí. Ag teacht sna sála ar a theagmháil leis an gCoimisiún, d’aontaigh an rialaitheoir sonraí le nasc a sholáthar don ábhar sonraí lena gcuirfí ar a chumas cóip dá shonraí pearsanta a íoslódáil, ar choinníoll go bhféadfadh an t-ábhar sonraí seoladh ríomhphoist slán a sholáthar chun é féin a fhíorú.
Sholáthair an t-ábhar sonraí seoladh ríomhphoist slán don Choimisiún, rud a chuir an Coimisiún ar aghaidh chuig an rialaitheoir sonraí. Rinne an rialaitheoir sonraí teagmháil leis an ábhar sonraí go díreach le nasc chun a shonraí a íoslódáil, agus fianaise ar an méid sin á soláthar don Choimisiún freisin.
Scríobh an Coimisiún chuig an ábhar sonraí chun an freagra thuas ón rialaitheoir sonraí a chur in iúl dó, agus luaigh sé go soiléir gurbh íogair ó thaobh ama de a bhí an nasc a soláthraíodh agus go rachadh sé in éag níos moille ar an lá sin. Sa fhreagra uaidh, luaigh an t-ábhar sonraí gur aisghabh sé a shonraí pearsanta go rathúil agus go raibh sé sásta leis an toradh ar an ngearán uaidh.
44) Cás-Staidéar 44: An ceart go ndéanfaí ligean i ndearmad - alt nuachta agus grianghraf ar líne a bhaint
Rinne duine aonair teagmháil le soláthraí nuachta ar líne tar éis dó a thabhairt faoi deara go raibh sé ina ábhar d’alt nuachta, ina raibh grianghraf de agus dá theaghlach. Chreid an duine aonair gur sholáthair tríú páirtí an grianghraf agus a raibh san alt don soláthraí nuachta agus luaigh sé nárbh eol dó go bhfoilseofaí a íomhá ná an scéal.
Rinne an duine aonair teagmháil dhíreach leis an soláthraí nuachta, agus é ag iarraidh an ‘Ceart go nDéanfaí Ligean i nDearmad’ a fheidhmiú faoi Airteagal 17 RGCS chun an t-alt agus an grianghraf a bhaint. Thug an soláthraí nuachta freagra don duine aonair, á rá go mbainfeadh sé an t-alt ar líne ach go bhféadfadh go dtógfadh sé suas le dhá sheachtain air déanamh amhlaidh.
D’fhan an t-alt nuachta ar líne ar feadh roinnt míonna ansin agus, mar thoradh air sin, chuir an duine aonair gearán faoi bhráid an Choimisiúin um Chosaint Sonraí. Chuir an duine aonair isteach cóip den ghearán bunaidh a sheol sé chuig an soláthraí nuachta agus den fhreagra a fuair sé uaidh.
Rinne an Coimisiún teagmháil dhíreach leis an soláthraí nuachta. D’fhiafraigh sé de an raibh aon fhorais dhlisteanacha sháraitheacha aige le leanúint le sonraí an duine aonair a phróiseáil i bhfianaise na hiarrata léirscriosta uaidh, agus aird á tabhairt ar an bhfreagra roimhe ón soláthraí nuachta.
Thug an soláthraí nuachta freagra díreach don Choimisiún, á rá gur dhí-innéacsaigh sé an t-alt tráth na hiarrata bunaidh ach gur tháinig roinnt alt chun bheith infheicthe ar líne an athuair mar thoradh ar locht teicniúil. Mar gheall ar ghníomhaíocht an Choimisiúin, dhí-innéacsaigh an soláthraí nuachta an t-alt go buan agus dúirt sé gur cuireadh nós imeachta nua i bhfeidhm chun a chinntiú nach dtarlódh an rud céanna arís.
Rinne an Coimisiún teagmháil leis an duine aonair agus chomhroinn sé leis cóip den fhreagra ón soláthraí nuachta á rá gur dí-innéacsaíodh an t-alt nuachta go buan. Chuir an Coimisiún a cháschomhad ar an ngearán seo i gcrích, agus é den tuairim gur tháinig an duine aonair agus an eagraíocht ar réiteach cairdiúil.
45) Cás-Staidéar 45: Próiseáil neamhdhleathach sonraí pearsanta ag cuideachta bainistíochta dramhaíola
Chuir duine aonair gearán faoi bhráid an Choimisiúin i ndáil le próiseáil neamhdhleathach líomhnaithe a shonraí pearsanta, i bhfoirm faisnéise teagmhála, ag cuideachta bainistíochta dramhaíola. Mhínigh an duine aonair go bhfuair sé roinnt teachtaireachtaí téacs ón eagraíocht maidir lena cuid seirbhísí.
Rinne an duine aonair teagmháil leis an eagraíocht chun a rá léi nach raibh sé ina chustaiméir dá cuid. Dúirt an eagraíocht, áfach, gur soláthraíodh na mionsonraí teagmhála don áit chónaithe ina raibh cónaí ar an duine aonair ag an am. Ní raibh an eagraíocht in ann a dheimhniú conas a fuair sí mionsonraí teagmhála an duine aonair ar dtús. Dúirt sí, áfach, gur bhain sí mionsonraí teagmhála an duine aonair dá bunachar sonraí ó shin i leith.
D’fhiafraigh an Coimisiún den eagraíocht conas a fuair sí mionsonraí teagmhála an duine aonair. Sa fhreagra uaithi, chuir an eagraíocht in iúl gur ghlac sí ceannas ar chuideachta eile bainistíochta dramhaíola agus go raibh an duine aonair ina chustaiméir de chuid na cuideachta sin. Dá bhrí sin, ba tríd an aistriú sin idir an dá chuideachta a fuarthas mionsonraí teagmhála an duine aonair.
Dúirt an eagraíocht go bhfuair sí mionsonraí teagmhála an duine aonair faoi Airteagal 6(1)(b) RGCS, ina luaitear go mbeidh próiseáil dleathach i gcás gur “...gá an phróiseáil a dhéanamh chun conradh ar páirtí ann an t-ábhar sonraí a chomhlíonadh...”.
Dúirt an eagraíocht freisin gur le seirbhís a bhí á soláthar aici don duine aonair mar chuid dá chonradh a bhain na teachtaireachtaí téacs uile a eisíodh chuig an duine aonair.
Chuir an Coimisiún an míniú ón eagraíocht ar aghaidh chuig an duine aonair. Mar fhreagra air sin, chuir an duine aonair in iúl don Choimisiún nach raibh sé ina chustaiméir de chuid na hiarchuideachta bainistíochta dramhaíola ná de chuid na cuideachta reatha bainistíochta dramhaíola. Dúirt sé, mar sin, nár chruinn a bhí an míniú ón eagraíocht.
Chuaigh an eagraíocht i dteagmháil leis an gCoimisiún an athuair ansin, agus mínithe féideartha eile á dtabhairt aici ar conas a fuair sí mionsonraí teagmhála an duine aonair. Ba iad seo a leanas na mínithe féideartha sin:
- Bhí an duine aonair ina iarchliant de chuid iarchuideachta eile bainistíochta dramhaíola ar ghlac an eagraíocht ceannas uirthi; nó
- Chuir an eagraíocht, trí earráid dhaonna, mionsonraí teagmhála duine amháin dá custaiméirí isteach go mícheart ina bunachar sonraí agus b’ionann na mionsonraí sin agus mionsonraí an duine aonair lena mbaineann.
Mheas an eagraíocht gur dóigh gur tríd an earráid dhaonna sin a fuair sí sonraí an duine aonair. Ghabh an eagraíocht a leithscéal leis an duine aonair agus thairg sí síntiús carthanúil a thabhairt d’aon charthanas de rogha an duine aonair mar chomhartha dea-mhéine.
Cé nach raibh an eagraíocht in ann a dheimhniú conas go díreach a fuair sí mionsonraí teagmhála an duine aonair, scrios sí óna bunachar sonraí iad. Mar chomhartha dea-mhéine, tugadh síntiús do dhá charthanas de rogha an duine aonair. Ós rud é nach bhfuil sé de chumhacht ag an gCoimisiún cúiteamh a dhámhachtain, glacadh leis sin mar réiteach cairdiúil idir an duine aonair agus an eagraíocht.
46) Cás-Staidéar 46: Iarraidh go léirscriosfaí sonraí bithmhéadracha ó bhunachar sonraí an fhostóra
Rinne duine aonair a oibríonn san earnáil fáilteachais teagmháil lena fhostóir á iarraidh go léirscriosfaí a shonraí bithmhéadracha ó bhunachar sonraí a fhostóra. Thug an eagraíocht scanóir bithmhéadrach méarloirg isteach chun tinreamh a cuid fostaithe a thaifeadadh.
Tagraítear in Airteagal 9 RGCS do phróiseáil sonraí pearsanta “catagóire speisialta”. Luaitear in Airteagal 9(1) RGCS: “Toirmeascfar próiseáil a dhéanamh...ar shonraí bithmhéadracha chun duine nádúrtha a shainaithint go huathúil...”. Tá feidhm ag roinnt díolúintí faoin Airteagal sin, áfach.
Sa chomhfhreagras uaidh chuig a fhostóir, luaigh an duine aonair nár chreid sé go raibh bunús dleathach ag a fhostóir lena shonraí catagóire speisialta a phróiseáil agus go bhfuair an eagraíocht na sonraí sin ar shlí neamhdhleathach. Ní bhfuair an duine aonair aon fhreagra ar an iarraidh uaidh.
Chuaigh an Coimisiún i dteagmháil leis an eagraíocht, agus d’fhiafraigh sé di an raibh aon fhorais dhlisteanacha sháraitheacha aici le leanúint le sonraí pearsanta an duine aonair a phróiseáil i bhfianaise na hiarrata léirscriosta a rinne sé de réir Airteagal 17 RGCS. Thug an eagraíocht freagra don Choimisiún agus thug sí dó cóip den fhreagra a thug sí don duine aonair sula ndearna sé gearán leis an gCoimisiún.
Thug an Coimisiún faoi deara gur tugadh an freagra sin freisin laistigh den chreat ama reachtúil dá bhforáiltear in Airteagal 12(3) RGCS. Sa fhreagra uaithi, luaigh an eagraíocht nach raibh sí ag baint úsáid as an gcóras bithmhéadrach clogála a thuilleadh agus go ndearna sí teagmháil leis an soláthraí bogearraí chun a shocrú go léirscriosfaí na sonraí uile a cláraíodh sa chóras bithmhéadrach. Sholáthair an eagraíocht cóip den chomhfhreagras a fuair sí ón soláthraí bogearraí, inar deimhníodh gur léirscrios sé sonraí na bhfostaithe uile.
Chomhroinn an Coimisiún an freagra sin leis an duine aonair, agus ghabh an duine aonair buíochas leis an gCoimisiún as an gcúnamh a thug sé i leith an ghearáin. Ós rud é nach raibh aon saincheisteanna eile fós le socrú ina leith, ba trí réiteach cairdiúil a cuireadh an gearán seo i gcrích.
47) Cás-Staidéar 47: Gearán á rá gur iarr gníomhaire ligin méid iomarcach sonraí pearsanta
Thaisc duine aonair gearán leis an gCoimisiún tar éis dó amharc ar réadmhaoin ar cíos. Líomhain sé gur iarr an gníomhaire ligin méid iomarcach sonraí pearsanta uaidh le linn an phróisis iarratais.
Dúirt an duine aonair go bhfuair an eagraíocht a shonraí pearsanta i ndáil le foirm iarratais do thionóntaí ionchasacha, agus gur phróiseáil sí na sonraí sin, ar shlí éagórach. Níor éirigh leis an iarratas ón duine aonair, agus chuir sé iarraidh léirscriosta faoi Airteagal 17 RGCS faoi bhráid na heagraíochta chun a shonraí pearsanta uile a scriosadh.
Rinne an Coimisiún teagmháil leis an eagraíocht chun a fhiafraí di cén bunús dleathach a bhí aici le sonraí pearsanta an duine aonair a fháil agus a phróiseáil. Dúirt an eagraíocht go raibh sí ag brath ar Airteagal 6(1)(f) RGCS mar bhunús dleathach le sonraí an duine aonair a phróiseáil, toisc go raibh leas dlisteanach aici don phróiseáil.
Dúirt an eagraíocht gur iarr sí sonraí pearsanta an duine aonair chun an t-iarratas uaidh ar thionóntacht fhéideartha ag ceann amháin de na réadmhaoine a ndéanann an eagraíocht ionadaíocht dóibh a chur ar aghaidh. Luaigh sí freisin go raibh sé sin ar son dul le hAirteagal 5(1)(b) RGCS, ina luaitear mar a leanas maidir le sonraí pearsanta: “déanfar iad a bhailiú chun críocha sonraithe sainráite dlisteanacha agus ní dhéanfar iad a phróiseáil tuilleadh ar shlí atá ar neamhréir leis na críocha sin...”.
Mar chuid den phróiseas iarratais, d’iarr an eagraíocht an fhaisnéis seo a leanas ón duine aonair:
- Cóipeanna dá aitheantas
- Cruthúnas ar sheoladh reatha
- Mionsonraí teagmhála
- Teistiméireachtaí fostaíochta
- Teistiméireachtaí ó thiarnaí talún reatha/roimhe
- Ráitis bhainc do dhá mhí
- An chúis le bogadh
- An dáta beartaithe chun bogadh isteach
- Uimhir PSP
Luaigh an duine aonair gur chreid sé gurbh ionann é sin agus méid iomarcach sonraí pearsanta don ghníomhaire ligin. Chreid sé, áfach, nach gcuirfí an t-iarratas uaidh ar aghaidh a thuilleadh mura gcomhlíonfadh sé an iarraidh. Luaigh an gníomhaire ligin gur theastaigh an fhaisnéis sin uaidh chun a chinntiú gurb ionann an t-iarratasóir agus an duine a mhaíonn sé a bheith ann agus chun a chinntiú go bhfuil sé ar acmhainn an iarratasóra an cíos a íoc.
Scrúdaigh an Coimisiún an gearán, agus chinn sé nár chomhlíon an eagraíocht prionsabal an íoslaghdaithe sonraí faoi Airteagal 5(1)(c) RGCS, ina luaitear an méid seo a leanas maidir le sonraí pearsanta: “beidh siad leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil”. Chinn an Coimisiún gurbh iomarcach do chéim tosaigh an phróisis iarratais a bhí an méid sonraí pearsanta a iarradh ón duine aonair mar thionónta ionchasach.
Ní theastaíonn an méid sonraí pearsanta sin de ghnáth ach amháin tar éis don tiarna talún tionónta ionchasach a roghnú. Ina dhiaidh sin, athbhreithnítear faisnéis den sórt sin chun a chinntiú go gcomhlíonann an t-iarratasóir na ceanglais, is iad sin, an cumas chun an cíos a íoc. Chinn an Coimisiún freisin gurb amhlaidh, i gcás go n-iarrfaidh an eagraíocht an méid céanna sonraí pearsanta ó gach tionónta ionchasach a bhfuil spéis acu in aon réadmhaoin, nach mbeidh an leibhéal próiseála sin ag teacht, tríd is tríd, leis an oibleagáid atá ar an eagraíocht faoi RGCS gan ach sonraí pearsanta ábhartha a bhailiú agus bailiú sonraí pearsanta a theorannú don mhéid is gá maidir leis an gcríoch bhunaidh.
Chinn an Coimisiún nár léirigh an eagraíocht ar bhealach dóthanach an bunús dleathach a bhí aici faoi Airteagal 6(1)(f) RGCS agus nár chomhlíon sí ach oiread prionsabal an íoslaghdaithe sonraí faoi Airteagal 5(1)(c) RGCS nuair a d’iarr sí méid iomarcach sonraí pearsanta mar chuid dá próiseas iarratais.
Mar chuid den ghearán tosaigh uaidh, rinne an duine aonair iarraidh léirscriosta faoi Airteagal 17 RGCS, agus é ag iarraidh ar an eagraíocht a shonraí pearsanta a scriosadh. Thug an eagraíocht freagra don duine aonair á rá gur léirscrios sí na sonraí pearsanta uile a bhaineann leis an duine aonair agus nár chomhroinn sí sonraí pearsanta an duine aonair le haon tríú páirtí riamh. D’fhreastail an eagraíocht ar an iarraidh a rinneadh faoi Airteagal 17 laistigh den chreat ama forordaithe atá leagtha amach in Airteagal 12(3) RGCS. Mar sin, chinn an Coimisiún nach ndearna an eagraíocht aon sárú ar RGCS i ndáil leis an iarraidh léirscriosta ón duine aonair.
48) Cás-Staidéar 48: Gearán faoi líon iomarcach ceamaraí TCI san áit oibre
Tharraing duine aonair ábhar imní anuas lena fhostóir faoi líon ceamaraí TCI san áit oibre a chreid sé a bheith iomarcach. Luaigh an duine nár cuireadh in iúl dó riamh go raibh na ceamaraí á suiteáil agus go raibh imní air go raibh taifeadtaí fuaime agus taifeadtaí físe araon á dtaifeadadh ag na ceamaraí. Chuir an eagraíocht in iúl don duine aonair gur ar mhaithe le sábháilteacht na foirne a suiteáladh na ceamaraí agus nár taifeadadh aon fhuaim riamh.
Chuir an duine aonair gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (an Coimisiún) toisc go raibh sé míshásta leis an bhfreagra a fuarthas ón eagraíocht. Mar chuid den scrúdú uaidh, chuir an Coimisiún ceist ar an eagraíocht faoi na taifeadtaí fuaime líomhnaithe a taifeadadh leis na ceamaraí TCI. Dheimhnigh an eagraíocht nár taifeadadh aon fhuaim agus thug sí don Choimisiún litir ó sholáthraí an chórais TCI inar tugadh tuilleadh soiléire nár taifeadadh aon fhuaim leis na ceamaraí.
Chuir an eagraíocht in iúl don Choimisiún gur shuiteáil sí na ceamaraí ar dtús tar éis sraith fadhbanna slándála, lenar áiríodh gadaíocht san áit oibre. Luaigh sí freisin, áfach, gur ar mhaithe le sábháilteacht na mball foirne agus iad ag obair ina n-aonar a suiteáladh na ceamaraí. Cé gur áitigh an duine aonair nach raibh sé ar an eolas gur suiteáladh na ceamaraí, luaigh an eagraíocht go raibh na ceamaraí ann le roinnt blianta anuas agus gur cuireadh oiliúint ar an bhfoireann ar fad ina leith.
Sonraítear in Airteagal 6(1)(d) den Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS) go mbeidh próiseáil sonraí pearsanta dleathach más rud é “[gur] gá an phróiseáil a dhéanamh chun leasanna ríthábhachtacha an ábhair sonraí nó duine nádúrtha eile a chosaint”. Luaigh an eagraíocht gurb é Airteagal 6(1)(d) a bunús dleathach, á rá go bhfuil na ceamaraí ag teastáil chun leasanna ríthábhachtacha a foirne a chosaint. Luaigh sí Airteagal 6(1)(f) freisin, ina sonraítear go mbeidh próiseáil dleathach más rud é “[gur] gá an phróiseáil a dhéanamh chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir...” toisc go bhfuil leas dlisteanach ag an eagraíocht i slándáil na háite oibre, i sábháilteacht na foirne agus sa choireacht a chosc.
Chuir an Coimisiún in iúl don eagraíocht go sonraítear an méid seo a leanas in aithris 46 RGCS: “Níor cheart sonraí pearsanta a phróiseáil ach ar bhonn leas ríthábhachtach duine nádúrtha eile i bprionsabal i gcás nach bhféadfar an phróiseáil a bhunú go follasach ar bhunús dlí eile”. Féadfaidh eagraíocht dul i muinín an bhunúis dhleathaigh sin i gcás gur gá an phróiseáil sonraí pearsanta a dhéanamh chun beatha duine a chosaint nó chun bagairt thromaí ar dhuine a mhaolú. Dá bhrí sin, chuir an Coimisiún in iúl don eagraíocht nach bhféadann sí dul i muinín Airteagal 6(1)(d) mar bhunús dleathach do cheamaraí TCI a úsáid san áit oibre.
Dheimhnigh an eagraíocht gurbh amhlaidh, ar aon dul le hAirteagal 6(1)(f) RGCS, a sheol sí tástáil cothromaithe leasanna dlisteanacha roimh shuiteáil na gceamaraí TCI. Luaigh an eagraíocht freisin go bhfuil an phróiseáil teoranta dá bhfuil riachtanach, á lua gur gá í a dhéanamh chun críocha sábháilteachta. Luaigh sí go gcoinnítear na píosaí scannáin ar feadh tréimhse 20 lá agus go dtaifeadtar píosaí scannáin nua ina n-áit ansin. Luaigh an eagraíocht nach bhfuil rochtain ar na píosaí scannáin, atá cosanta ag pasfhocal, ach amháin ag an lucht bainistíochta.
Ag teacht sna sála ar an scrúdú uaidh ar an ngearán, chinn an Coimisiún gur thaispeáin an eagraíocht an bunús dleathach a bhí aici le sonraí a phróiseáil trí cheamaraí TCI a úsáid faoi Airteagal 6(1)(f) RGCS. Chomhroinn an Coimisiún an treoir uaidh maidir le Cosaint Sonraí san Áit Oibre leis an eagraíocht agus mheabhraigh sé di nár cheart na píosaí scannáin TCI a bheith inrochtana ach amháin ag pearsanra údaraithe chun freagairt do theagmhas.
49) Cás-Staidéar 49: Iarraidh ar cheartú maidir le faisnéis mhíchruinn i dtuarascáil Alt 20
Chuir duine aonair iarraidh ar cheartú isteach chuig gníomhaireacht Rialtais, i gcomhréir le hAirteagal 16 den Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS), chun go gceartófaí mionsonraí i dtuarascáil Alt 20. Chreid an duine aonair gur cuimsíodh inti sonraí míchruinne maidir leisean agus lena leanbh. Cé gur admhaigh an eagraíocht go bhfuarthas an iarraidh, níor thug sí freagra di ach amháin roinnt míonna tar éis í a fháil. Rinne an duine aonair teagmháil leis an gCoimisiún um Chosaint Sonraí (an Coimisiún) toisc gur chreid sé nach bhfuair sé freagra leordhóthanach ar an iarraidh uaidh.
Rinne an Coimisiún teagmháil leis an eagraíocht i dtaca leis an ngearán. Chuir an eagraíocht in iúl don Choimisiún nach raibh sí ar an rialaitheoir sonraí le haghaidh na tuarascála ba thuarascáil Alt 20 ná le haghaidh ábhar na tuarascála, ós rud é gurbh iad na cúirteanna a d’ordaigh agus a d’ullmhaigh an tuarascáil sin. Dá bhrí sin, ní raibh an eagraíocht in ann gníomhú de bhun iarraidh ar cheartú le haghaidh na tuarascála sin.
Is é is tuarascáil Alt 20 ann ná doiciméad arna ordú ag an gcúirt agus a iarrtar faoi Alt 20 den Acht um Chúram Leanaí, 1991, arna leasú, áit a bhféadfaidh cúirt a iarraidh go ndéanfaí imscrúdú ar imthosca linbh. Déanann an Breitheamh sa chúirt na cinntí maidir leis an tuarascáil sin agus coinníonn sé smacht ar na cinntí sin, rud a fhágann gurb í an chúirt rialaitheoir sonraí na tuarascála.
Sa ghearán seo, níor dhiúltaigh an ghníomhaireacht Rialtais géilleadh don iarraidh ar cheartú. Ina ionad sin, níorbh fhéidir léi gníomhú de bhun na hiarrata ar cheartú toisc nárbh í rialaitheoir sonraí na tuarascála í. Sa fhreagra uaithi don duine aonair, leag an ghníomhaireacht Rialtais amach na himthosca ina bhféadfar iarraidh ar cheartú a dhéanamh. Theip uirthi, áfach, an duine aonair a chur ar an eolas nárbh í an rialaitheoir sonraí í ná faoi cé hé ar cheart don duine aonair an iarraidh uaidh a tharchur chuige.
Faoi Airteagal 55(3) den Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS), cuirtear cosc ar an gCoimisiún maoirseacht a dhéanamh ar ghníomhaíochtaí próiseála sonraí na cúirte le linn di gníomhú i gcáil bhreithiúnach. Sonraítear in Airteagal 55(3) RGCS:
“Ní bheidh údaráis mhaoirseachta inniúil chun maoirseacht a dhéanamh ar oibríochtaí próiseála cúirteanna atá ag gníomhú ina gcáil bhreithiúnach.”
Dá bhrí sin, ní raibh an dlínse ag an gCoimisiún chun an gearán seo a scrúdú tuilleadh agus d’atreoraigh sé an duine aonair chuig an rialaitheoir sonraí ceart. D’ainneoin an mhéid thuas, chinn an Coimisiún nár chomhlíon an ghníomhaireacht Rialtais a hoibleagáidí faoi Airteagal 12(3) RGCS toisc gur theip uirthi freagra a thabhairt don duine aonair maidir leis an iarraidh uaidh laistigh den tréimhse ama reachtúil, cé gur thug sé faoi deara nárbh í an ghníomhaireacht Rialtais rialaitheoir sonraí na tuarascála agus nárbh fhéidir léi gníomhú de bhun iarraidh ar cheartú i leith na tuarascála.
50) Cás-Staidéar 50: Diúltaíonn ospidéal iarraidh léirscriosta a bhaineann le sonraí catagóire speisialta
Chuir duine aonair gearán faoi bhráid an Choimisiúin tar éis d’ospidéal diúltú don iarraidh léirscriosta uaidh, rud a rinne sé de réir Airteagal 17 RGCS.
D’iarr an duine aonair ar an ospidéal cheana féin a shonraí pearsanta catagóire speisialta a léirscriosadh toisc gur chreid sé gur mhíchruinn a bhí na sonraí a sealbhaíodh – luaigh an duine aonair go ndearna an t-ospidéal diagnóis mhícheart air roimhe sin. Fuair an duine aonair diagnóis eile ó shaoráid leighis eile ó shin i leith.
Luaitear in Airteagal 17(1)(a) RGCS go léirscriosfaidh rialaitheoir sonraí sonraí pearsanta nach bhfuil riachtanach a thuilleadh chun na gcríoch bunaidh. Mar sin féin, eisiaitear le hAirteagal 17(3)(c) cur i bhfeidhm Airteagal 17(1) in imthosca nach bhfuil an phróiseáil riachtanach a thuilleadh “ar chúiseanna a bhaineann le leas an phobail i réimse na sláinte poiblí i gcomhréir le pointe (h) agus le pointe (i) d’Airteagal 9(2) chomh maith le hAirteagal 9(3)”.
Rinne an Coimisiún teagmháil leis an ospidéal chun a fhiafraí de an raibh bunús dleathach aige le leanúint le sonraí catagóire speisialta an duine aonair a phróiseáil. Tá sonraí catagóire speisialta, dá ngairtear ‘sonraí íogaire’ freisin, sainmhínithe faoi Airteagal 9(1) RGCS mar “...shonraí a bhaineann leis an tsláinte...”.
Faoi Airteagal 9 RGCS, tá toirmeasc ginearálta ann ar shonraí catagóire speisialta a phróiseáil. Mar sin féin, leagtar amach in Airteagal 9(2) RGCS imthosca áirithe ina bhféadfar sonraí catagóire speisialta a phróiseáil. Sa chás seo, luaigh an t-ospidéal gur lean sé leis na sonraí a phróiseáil faoi Airteagal 9(2)(h) agus (i) RGCS.
Luaitear mar a leanas in Airteagal 9(2)(h) RGCS: “is gá an phróiseáil a dhéanamh chun críocha leighis choiscthigh nó ceirde...[agus chun] diagnóis leighis...a sholáthar...”. Luaitear mar a leanas in Airteagal 9(2)(i): “is gá an phróiseáil a dhéanamh ar chúiseanna a bhaineann le leas an phobail i réimse na sláinte poiblí...”.
Thug an Coimisiún faoi deara gurb ionann diagnóis leighis agus tuairim a thugtar ag pointe ama. Cé go bhfuair an duine aonair diagnóis eile roinnt blianta ina dhiaidh sin, ní chuireann sé sin an diagnóis roimhe sin ar neamhní. Ní fhágann sé sin ach oiread go raibh an diagnóis tosaigh míchruinn ná mícheart de réir RGCS. Dhiúltaigh an t-ospidéal don iarraidh léirscriosta ón duine aonair, agus chinn an Coimisiún go dtiocfadh an diúltú sin faoi Airteagal 17(3) RGCS.
Chinn an Coimisiún gur thaispeáin an t-ospidéal go raibh bunús dleathach aige le sonraí catagóire speisialta a phróiseáil faoi Airteagail 6 agus 9 RGCS. Thug an Coimisiún faoi deara, áfach, gur thug an t-ospidéal freagra ar an iarraidh léirscriosta tosaigh lasmuigh den chreat ama atá ceadaithe agus, dá bhrí sin, nár chomhlíon sé na hoibleagáidí atá air faoi Airteagal 12(3) RGCS.