Acmhainní

Fiosrúchán ar Bhord Oideachais agus Oiliúna Chathair Bhaile Átha Cliath (CDETB) - Meitheamh 2025

(IN-19-7-3)

Dáta an Chinnidh: 23 Meitheamh 2025

Cineál Fiosrúcháin: Fiosrúchán de dheoin an Choimisiúin

Ábhar: Sárú Sonraí

Raon Feidhme Ábhartha: Airteagail 5(1)(f), 32(1), 32(2), 33(1), 34(1) agus 34(4) RGCS

Tagann an cinneadh seo as fiosrúchán dá dheoin féin a thosaigh an Coimisiún um Chosaint Sonraí (an Coimisiún) i mí Iúil 2019. Bhain an fiosrúchán le sárú sonraí pearsanta ar thug Bord Oideachais agus Oiliúna Chathair Bhaile Átha Cliath (‘CDETB’) fógra faoi i mí na Samhna 2018. Is é CDETB an t-údarás oideachais agus oiliúna stáit do chathair Bhaile Átha Cliath, agus tá sé freagrach freisin as Tacaíocht Chomhchoiteann do Mhic Léinn in Éirinn (‘SUSI’), an t-údarás náisiúnta dámhachtana do dheontais mac léinn.

Achoimre ar an sárú

Cruthaíodh SUSI sa bhliain 2012 mar aonad gnó de chuid CDETB. Ag gníomhú dó trí SUSI, feidhmíonn CDETB suíomh Gréasáin (https://www.susi.ie) ar ar féidir le mic léinn tríú leibhéal faisnéis a fháil faoina n-incháilitheacht do dheontas ardoideachais agus iarratas a dhéanamh air.

Tharla an sárú mar gheall ar mheascán de dhá thoisc. Ar an gcéad dul síos, fuair CDETB amach go raibh a fhreastalaí Gréasáin ag coinneáil sonraí pearsanta de chuid iarratasóirí ar dheontas mac léinn tar éis dóibh faisnéis a bhaineann lena n-iarratas a uaslódáil trí shuíomh Gréasáin CDETB. Sula bhfuair sé an méid sin amach, ghlac CDETB leis go raibh na sonraí pearsanta a bhí á gcur isteach trína shuíomh Gréasáin á seoladh le ríomhphost chuig an bhfoireann ábhartha SUSI agus nach raibh siad á gcoinneáil go háitiúil. Ar an dara dul síos, fuair CDETB amach go raibh bogearraí mailíseacha i láthair ar an bhfreastalaí Gréasáin freisin, rud a chruthaigh riosca gur nochtadh na sonraí pearsanta coinnithe go neamhdhleathach.

Rinne an sárú difear do thart ar 13,000 ábhar sonraí, a bhí in-sainaitheanta de réir seoladh ríomhphoist, a chuir foirmeacha forlíontacha isteach trí shuíomh Gréasáin SUSI le linn na mblianta 2017 agus 2018. Áiríodh leis na sonraí pearsanta a ndearna an sárú difear dóibh ainmneacha, sloinnte, dátaí breithe, uimhreacha pearsanta seirbhíse poiblí, mionsonraí teagmhála, sonraí aitheantais agus catagóirí speisialta sonraí (amhail sonraí lena nochtar bunadh ciníoch nó eitneach agus sonraí sláinte).

San fhiosrúchán ón gCoimisiún, rinneadh measúnú ar na bearta teicniúla agus eagraíochtúla a bhí i bhfeidhm ag CDETB chun slándáil na sonraí pearsanta a bhí á bpróiseáil aige a chinntiú, lenar áiríodh cé acu a rinne nó nach ndearna sé measúnú riosca iomchuí sular chuir sé feidhmiúlacht bhreise áirithe chun feidhme ar a shuíomh Gréasáin. Scrúdaíodh ann freisin a mhéid a chomhlíon CDETB an oibleagáid a bhí air fógra a thabhairt don Choimisiún agus do na hábhair sonraí lena mbaineann araon faoin sárú.

Bearta teicniúla agus eagraíochtúla le haghaidh slándála

Ní raibh sé beartaithe ar dtús go bpróiseálfaí sonraí pearsanta ar shuíomh Gréasáin SUSI. Ina dhiaidh sin, i mí Aibreáin 2017, chuir CDETB feidhmiúlacht leis an suíomh Gréasáin chun go bhféadfadh iarratasóirí ar dheontas iarrataí forlíontacha agus faisnéis fhorlíontach (lena n-áirítear sonraí pearsanta) a chur isteach tríd an suíomh. Mar sin féin, ós rud é gur mhainnigh CDETB raon feidhme an tionscadail a mheas ar bhealach leordhóthanach agus measúnú riosca leordhóthanach a dhéanamh, stóráladh an fhaisnéis sin go háitiúil ar an bhfreastalaí Gréasáin. Leis an bpróiseáil, rinneadh difear do na sonraí pearsanta a bhí ag líon mór daoine aonair. Chinn an Coimisiún, mar sin de, gurb ard a bhí na rioscaí a raibh aghaidh le tabhairt orthu i mbearta teicniúla agus eagraíochtúla CDETB le haghaidh slándála. Toisc nárbh eol do CDETB go raibh sonraí pearsanta á stóráil go háitiúil ar an bhfreastalaí Gréasáin, ní raibh aon bhearta teicniúla agus eagraíochtúla i bhfeidhm chun a chinntiú go raibh na sonraí pearsanta sin á gcoinneáil slán. Cé gur cinneadh san fhiosrúchán ón gCoimisiún gur chuir CDETB roinnt beart iomchuí slándála chun feidhme, cinneadh ann freisin gur léir roinnt laigí suntasacha agus roinnt easnamh suntasach:

  • Ní dhearna CDETB aon anailís riosca chun sainaithint nó anailís a dhéanamh ar aon bhagairtí ar a ghníomhaíochtaí próiseála i ndáil leis an suíomh Gréasáin susi.ie roimh an sárú ná chun aghaidh a thabhairt ar na bagairtí sin.
  • Níor chartlannaigh CDETB logaí rochtana, imeachta ná earráide ar bhealach leordhóthanach, ní dhearna sé aon tástáil treáite, agus níor oibrigh sé balla dóiteáin feidhmchláir Gréasáin ag an am ábhartha. 
  • Ní dhearna CDETB tástáil iomchuí ar a bhearta teicniúla agus eagraíochtúla chun a n-éifeachtacht a mheas agus chun laigí a shainaithint.

Cé gur ghlac CDETB raon leathan beart ina dhiaidh sin chun na heasnaimh a sainaithníodh le linn an fhiosrúcháin a leigheas, chinn an Coimisiún gur sháraigh CDETB Airteagail 5(1)(f), 32(1) agus 32(2) RGCS ag an am ábhartha nuair a mhainnigh sé bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun leibhéal slándála a chinntiú a bhí oiriúnach don riosca a bhí ag baint le sonraí pearsanta a bheith á bpróiseáil aige ar a shuíomh Gréasáin agus nuair a mhainnigh sé an leibhéal iomchuí slándála a mheasúnú.

Fógra pras a thabhairt faoi shárú sonraí pearsanta

Le hAirteagal 33 RGCS, ceanglaítear ar rialaitheoirí sonraí fógra a thabhairt dá n-údarás maoirseachta faoi gach sárú sonraí pearsanta ar dóigh dó a bheith ina riosca do chearta agus saoirsí daoine. Ní mór an fógra a thabhairt ‘gan aon mhoill mhíchuí agus, más féidir, tráth nach déanaí ná 72 uair an chloig tar éis dóibh bheith ar an eolas faoin sárú sin’.

Chuir CDETB in iúl don Choimisiún gur tháinig sé ar an eolas an 16 Deireadh Fómhair 2018 gur thit sárú a bhaineann le slándáil próiseála sonraí pearsanta amach ar an bhfreastalaí Gréasáin SUSI dá chuid. Choimisiúnaigh CDETB imscrúdú ar an sárú ansin. Mar sin féin, níor thug CDETB fógra don Choimisiún faoin sárú go dtí an 16 Samhain 2018, thart ar mhí amháin tar éis dó teacht ar an eolas faoi. Níor tugadh aon mhíniú ar an moill sin san fhógra a thug CDETB don Choimisiún.

Suíodh san fhiosrúchán ón gCoimisiún gur chruthaigh an sárú sonraí pearsanta riosca do na cearta agus na saoirsí atá ag ábhair sonraí agus gur tháinig CDETB ar an eolas faoin sárú an 16 Deireadh Fómhair 2018. Dá bhrí sin, d’éirigh an sárú infhógartha don Choimisiún ag an am sin, agus bhí oibleagáid ar CDETB fógra a thabhairt don Choimisiún faoin sárú gan moill mhíchuí. Ós rud é nár thug CDETB fógra don Choimisiún faoin sárú go dtí an 16 Samhain 2018, chinn an Coimisiún gur sháraigh CDETB Airteagal 33(1) RGCS nuair a mhainnigh sé fógra a thabhairt don Choimisiún faoin sárú gan moill mhíchuí.

Fógra a thabhairt d’ábhair sonraí

Le hAirteagal 34(1) RGCS, ceanglaítear ar rialaitheoirí sonraí sárú sonraí pearsanta a chur in iúl d’ábhair sonraí gan moill mhíchuí i gcás gur dócha go mbeidh ardriosca ann do na cearta agus na saoirsí atá ag na hábhair sonraí sin mar thoradh ar an sárú. Le hAirteagal 34(4) RGCS, ceanglaítear ar rialaitheoirí sonraí fógra a thabhairt d’ábhair sonraí faoi shárú sonraí i gcás go gceanglaíonn an t-údarás maoirseachta ábhartha (an Coimisiún um Chosaint Sonraí sa chás seo) ar an rialaitheoir déanamh amhlaidh, tar éis don údarás maoirseachta a chinneadh gur gá déanamh amhlaidh tar éis breithniú a dhéanamh ar an dóchúlacht go gcruthódh an sárú sonraí pearsanta ardriosca d’ábhair sonraí.

Chuir CDETB in iúl don Choimisiún ar dtús go gcuirfeadh sé na hábhair sonraí lena mbaineann ar an eolas faoin sárú sonraí. Luaigh CDETB ina dhiaidh sin, áfach, nach dtabharfadh sé fógra do na hábhair sonraí faoin teagmhas go dtí go mbeadh comhairle dlí breithnithe aige. Tar éis tuairisc teagmhais a fháil faoin sárú sonraí, chuir CDETB in iúl don Choimisiún ina dhiaidh sin go raibh sé den tuairim gurbh íseal a bhí an riosca do na hábhair sonraí agus, dá bhrí sin, nach raibh aon oibleagáid ann iad a chur ar an eolas faoin sárú.

Mar gheall ar an ardlíon ábhar sonraí lena mbaineann agus ar chineál leathan na sonraí pearsanta a bhí i gceist, áfach, chinn an Coimisiún gurbh amhlaidh a bhí ardriosca ann do na hábhair sonraí lena mbaineann. Chinn an Coimisiún go raibh oibleagáid ar CDETB fógra a thabhairt do na hábhair sonraí lena mbaineann faoin sárú gan moill mhíchuí agus gur sháraigh CDETB Airteagal 34(1) RGCS nuair a mhainnigh sé déanamh amhlaidh.

An 15 Eanáir 2019, d’eisigh an Coimisiún ordú foirmiúil chuig CDETB faoi Airteagal 34(4) RGCS fógra a thabhairt do na hábhair sonraí uile lena mbaineann faoin sárú. Mar gheall ar chineál an tsáraithe agus ar chineál na sonraí pearsanta a bhféadfadh go ndéanfaí difear dóibh, chuir an Coimisiún in iúl do CDETB go bhféadfadh dianriosca a bheith ann d’ábhair sonraí. Mar sin féin, dhiúltaigh CDETB déanamh de réir an ordaithe ón gCoimisiún ag an am sin, toisc go raibh sé den tuairim nár comhlíonadh an tairseach le haghaidh fógra a thabhairt d’ábhair sonraí. Níor chuir CDETB an sárú sonraí pearsanta in iúl do na hábhair sonraí lena mbaineann go dtí an 16 Nollaig 2020. Mar thoradh air sin, chinn an Coimisiún gur sháraigh CDETB Airteagal 34(4) RGCS nuair a mhainnigh sé an sárú sonraí pearsanta a chur in iúl do na hábhair sonraí nuair a cheangail an Coimisiún air déanamh amhlaidh, mar údarás maoirseachta aige, an 15 Eanáir 2019.

Bearta ceartaitheacha

D’fheidhmigh an Coimisiún roinnt beart ceartaitheach de bhun na sáruithe a cinneadh a bheith déanta san fhiosrúchán. Agus é ag déanamh cinneadh ar na bearta ceartaitheacha a bhí le feidhmiú, chuir an Coimisiún na tosca riachtanacha uile san áireamh, lenar áiríodh na rioscaí a bhí ag baint leis an bpróiseáil, na cineálacha sonraí pearsanta agus an líon daoine a ndearnadh difear dóibh, agus na bearta leigheasacháin a rinne CDETB. Thug an Coimisiún aird freisin ar alt 141(4) den Acht um Chosaint Sonraí, 2018, rud lena socraítear uasmhéid €1,000,000 le haghaidh fíneálacha riaracháin a fhéadfar a fhorchur ar ‘údaráis phoiblí’, ar catagóir í a fholaíonn comhlachtaí amhail CDETB.

Ba iad seo na bearta ceartaitheacha a d’fheidhmigh an Coimisiún:

  • iomardú do CDETB i leith na sáruithe a sainaithníodh,
  • ordú do CDETB a phróiseáil a chur i gcomhréir le ceanglais slándála RGCS agus tuairisc a thabhairt don Choimisiún ar na bearta arna ndéanamh,
  • fíneáil riaracháin €50,000 i leith an tsáraithe a rinne CDETB ar Airteagail 5(1)(f), 32(1)(b), 32(1)(d) agus 32(2) RGCS,
  • fíneáil riaracháin €15,000 i leith an tsáraithe a rinne CDETB ar Airteagal 33(1) RGCS,
  • fíneáil riaracháin €10,000 i leith an tsáraithe a rinne CDETB ar Airteagal 34(1) RGCS, agus
  • fíneáil riaracháin €50,000 i leith an tsáraithe a rinne CDETB ar Airteagal 34(4) RGCS.

Mar sin féin, molann an Coimisiún éirim an chaidrimh a rinne CDETB leis an gCoimisiún ó fuair sé na cinntí beartaithe ón gCoimisiún tríd an dréachtleagan den Chinneadh. Is ísle i bhfad na fíneálacha sin dar luach iomlán €125,000 ná an raon fíneála a beartaíodh sa dréacht-Chinneadh, ba é sin €210,000 ar a mhéad. Tá na fíneálacha deiridh ina léiriú ar an maolú a chuir CDETB i bhfeidhm agus é ag glacadh le gach ceann de na cinntí maidir le sáruithe atá leagtha amach sa dréacht-Chinneadh, áit ar ghlac sé le freagracht iomlán as an sárú, ar ghabh sé a leithscéal leis na hábhair sonraí lena mbaineann agus leis an rialálaí araon, agus a ndearna sé bearta réamhghníomhacha chun laghdú a dhéanamh ar an dóchúlacht go dtarlódh sáruithe den chineál céanna sa todhchaí, gan ordú sonrach a fháil ón gCoimisiún déanamh amhlaidh.

Na Príomhthátail atá le Baint

  • Déan measúnuithe riosca cuí agus athruithe á ndéanamh ar chórais TFC chun a chinneadh cé acu a d’fhéadfaí nó nach bhféadfaí difear a dhéanamh do shonraí pearsanta, agus cinntigh go gcuirtear bearta slándála eagraíochtúla agus teicniúla i bhfeidhm i gcás go bhféadfaí difear a dhéanamh dóibh.
  • Gníomhaigh go pras agus go dícheallach agus fógra á thabhairt don Choimisiún agus d’ábhair sonraí faoi sháruithe sonraí, i gcás gur gá – ná cruthaigh moill mhíchuí le linn a bheith ag feitheamh leis an toradh ar imscrúduithe tríú páirtí chun a chinneadh cé acu a comhlíonadh nó nár comhlíonadh gach tairseach riosca; tá an rialaitheoir freagrach as a chinntiú go dtugtar fógra don Choimisiún gan moill mhíchuí.
  • I gcás, mar a tharla sa chás seo, go n-ordóidh an Coimisiún go sonrach go dtabharfaí fógra d’ábhair sonraí de bhun Airteagal 34(4), ba cheart do rialaitheoirí an fógra sin a thabhairt gan mhoill.

Tá an cinneadh iomlán ar fáil anois le híoslódáil (20MB, PDF).

Tá ceartúchán an chinnidh ar fáil le híoslódáil freisin (4.5MB, PDF)