Acmhainní

Fiosrúchán maidir le Bank of Ireland Group plc

(IN-19-9-5)

Dáta an Chinnidh: 14 Márta 2022

Cuireadh tús leis an bhfiosrúchán seo maidir le 22 fógra sáraithe sonraí pearsanta a rinne Bank of Ireland Group plc (“BOI”) leis an gCoimisiún um Chosaint Sonraí (“DPC”) idir 9 Samhain 2018 agus 27 Meitheamh 2019. Bhain na fógraí le truailliú faisnéise san fhotha sonraí ó BOI go dtí an Príomhchlár Creidmheasa (“CCR”), córas láraithe a dhéanann faisnéis maidir le hiasachtaí a bhailiú agus a stóráil go sábháilte. I measc na n-eachtraí bhí nochtaí neamhúdaraithe ar shonraí pearsanta custaiméirí don CCR agus athruithe ar shonraí pearsanta custaiméirí ar an CCR a rinneadh de thimpiste.

Mar phríomhcheist, chuimhnigh an cinneadh ar chomhlíon nó nár chomhlíon na heachtraí an sainmhíniú ar “shárú ar shonraí pearsanta” faoin GDPR, agus fuair sé i gás 19 de na heachtraí a thuairiscíodh gur chomhlíon siad an sainmhíniú seo.

Fuair an cinneadh sáruithe ar na forálacha seo a leanas den GDPR:

  • Sáraíodh Airteagal 33 den GDPR, a éilíonn ar rialaitheoirí go gcuirfidh siad sáruithe ar shonraí pearsanta in iúl don DPC i gcúinsí áirithe, ag BOI i dtaca le 17 de na sáruithe a thuairiscíodh. D’athraigh na sáruithe de réir gach sárú ar shonraí pearsanta. I roinnt eachtraí, sáraíodh Airteagal 33(1) mar gheall nár thuairiscigh BOI an sárú ar shonraí pearsanta gan rómhoill. Sáraíodh Airteagal 33(3) chomh maith mar gheall nár chuir BOI go leor mionsonraí ar fáil don DPC i dtaca le roinnt sáruithe ar shonraí pearsanta;
  • Sáraíodh Airteagal 34 den GDPR, a éilíonn ar rialaitheoirí go gcuirfidh siad sáruithe ar shonraí pearsanta in iúl d’ábhair sonraí i gcúinsí áirithe, ag BOI i dtaca le 14 de na heachtraí a thuairiscíodh. Bhain na sáruithe le loiceadh BOI chun cumarsáidí a eisiúint le hábhair sonraí gan rómhoill i gcúinsí inar dóigh go mbeidh ardriosca ann do chearta agus saoirsí ábhar sonraí de bharr na sáruithe ar shonraí pearsanta; agus
  • Sháraigh BOI Airteagal 32(1) den GDPR nuair nár chuir sé bearta iomchuí teicniúla agus eagraíochtúla i bhfeidhm chun leibhéal slándála a áirithiú is iomchuí don riosca a bhí ann de bharr na próiseála a rinne sé ar shonraí custaiméirí agus é ag aistriú faisnéise chuig an CCR.

Na cumhachtaí ceartaitheacha a fheidhmíodh:

  • Ghearr an cinneadh fíneálácha riaracháin ar BOI don sárú ar Airteagal 32(1) den GDPR agus sáruithe áirithe ar Airteagail 33 agus 34 den GDPR. Ba é €463,000 méid iomlán na bhfíneálacha riaracháin a fhorchuireadh.
  • D’ordaigh an cinneadh go gcuirfidh BOI a chuid próiseáil i gcomhlíonadh le hAirteagal 32(1) den GDPR trí ordú a thabhairt dó athruithe áirithe a dhéanamh leis a bhearta teicniúla agus eagraíochtúla.
  • D’eisigh an cinneadh iomardú do BOI maidir leis na sáruithe uilig ar Airteagail 33, 34 agus 32(1) den GDPR a aimsíodh sa chinneadh.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le Bank of Ireland Group plc Márta 2022 (PDF, 1,457 KB).