Guidance for SMEs

Cad a chiallóidh GDPR dod' ghnó/eagraíocht?

Ar an 25 Bealtaine 2018, tiocfaidh an Rialachán Ginearálta um Chosaint Sonraí (GDPR) i bhfeidhm ar fud bhallstáit uile an AE. Soláthraíonn an GDPR creatlach dlíthiúil amháin do chosaint sonraí don Eoraip, a chiallaíonn comhchuibhiú suntasach ar riachtanais agus ar chaighdeáin um chosaint sonraí ar fud an AE. Beidh an creat dlí cothrománach amháin ina bhuntáiste do ghnó, cuirfidh sé freagracht maidir déileáil le sonraí pearsanta chun cinn, agus cabhróidh sé lena chinntiú go mbeidh na caighdeáin chosanta sonraí céanna i bhfeidhm ar fud an AE.

Mar sin féin, cé gur Rialachán an Aontais Eorpaigh é a mbaineann éifeacht dhíreach leis, tugann an GDPR raon feidhme teoranta do Bhallstáit an AE reachtaíocht bhreise a chur i bhfeidhm chun caighdeáin náisiúnta a leagan síos i réimsí áirithe, mar shampla sonraí sláinte agus ciontuithe coiriúla a phróiseáil, an aois toilithe dhigiteach agus na himthosca inar féidir srian a chur ar chearta cosanta sonraí an duine aonair. Dá réir sin, tá sé tábhachtach go mbeadh gach gnólacht agus eagraíocht ar an eolas go gcaithfidh siad cloí leis na caighdeáin agus leis na hoibleagáidí cosanta sonraí atá leagtha amach sa GDPR agus in Acht um Chosaint Sonraí na hÉireann 2018 (atá le foilsiú ag an Rialtas go luath in 2018).

Ceapadh an treoirleabhar seo agus an seicliosta a ghabhann leis mar chuidiú go háirithe le hearnáil na ngnóthas beag agus meánmhéide, a d'fhéadfadh nach mbeadh fáil acu ar acmhainní leathana pleanála agus dlíthiúla. Cuideoidh an treoirleabhar seo, in éineacht lenár dtreoir dhá chéim déag GDPR agus tusa, leis na gnólachtaí sin go háirithe ullmhú do ghnó sa todhchaí atá comhlíontach le cosaint sonraí.

 

Má dhéanann tú sonraí pearsanta a phróiseáil mar chuid de do ghnó, baineann an GDPR leat. Tá sé tábhachtach go gcuimhníonn tú:

 

  • Gur sonraí pearsanta iad sonraí custaiméirí AGUS sonraí fostaithe.
  • Gurb ionann sonraí pearsanta a stóráil go leictreonach nó i gcóip chrua fiú agus 'próiseáil' sonraí pearsanta.  

Príomh-sainmhínithe GDPR

GDPR: Is é an Rialachán Ginearálta um Chosaint Sonraí (2016/679) Rialachán nua an AE maidir le Cosaint Sonraí, a thiocfaidh i bhfeidhm an 25 Bealtaine 2018.

Sonraí Pearsanta: Faisnéis a bhaineann le duine aonair beo atá sainaitheanta, nó ar féidir é a shainaithint tríd an bhfaisnéis sin, lena n-áirítear sonraí a fhéadfar a chomhcheangal le faisnéis eile chun duine aonair a aithint. Is féidir sainmhíniú an-leathan a bheith ann, ag brath ar na himthosca, agus d'fhéadfadh go gcuimseodh sé sonraí a bhaineann le céannacht, saintréithe nó iompar duine aonair nó sonraí a  n-imreodh tionchar an gcaoi a gcaithfaí leis nó a mheasfaí an duine sin.

Próiseáil: ciallaíonn sé aon oibríocht nó sraith oibríochtaí déanta ar shonraí pearsanta, lena n-áirítear:

  1. sonraí a fháil, a thaifeadadh nó a choinneáil;
  2. na sonraí a eagrú nó a athrú;
  3. na sonraí aisghabháil, iad a chuardach nó  iad a úsáid;
  4. na sonraí a nochtadh chuig tríú páirtí (lena n-áirítear foilsiú); agus
  5. na sonraí a léirscriosadh nó a mhilleadh.

Rialaitheoir Sonraí: Is éard is Rialtóir Sonraí ann ná an duine nó an eagraíocht a chinneann na cuspóirí agus na modhanna ina dhéantar sonraí pearsanta a phróiseáil. Is é cuspóir na sonraí a phróiseáil ná 'an fáth' go bhfuil na sonraí pearsanta á bpróiseáil agus ciallaíonn 'na modhanna' an phróisis ná 'conas' a phróiseáltar na sonraí.

Próiseálaí Sonraí: Duine nó eagraíocht a phróiseálann sonraí pearsanta thar ceann rialtóra sonraí.

 

Ábhar sonraí: Is é an t-ábhar Sonraí ná an duine aonair a mbaineann na sonraí pearsanta leis.

Measúnú Tionchair ar Chosaint Sonraí (DPIA): Is éard is Measúnacht Tionchair ar Chosaint Sonraí (DPIA) ann ná cur síos ar phróiseas atá ceaptha chun rioscaí a eascraíonn as próiseáil sonraí pearsanta a aithint agus na rioscaí sin a íoslaghdú chomh fada agus a luaithe agus is féidir. Is uirlisí tábhachtacha iad DPIAanna chun rioscaí a mhaolú, agus chun comhlíonadh le GDPR a léiriú, lena n-áirítear comhlíonadh leanúnach. (tá tuilleadh treorach maidir le DPIAanna a dhéanamh ar fáil ag www.GDPRandYou.ie)

Bunús dlí chun sonraí pearsanta a phróiseáil: D'fhonn sonraí pearsanta a phróiseáil ní mór duit bunús dleathach a bheith agat chun é sin a dhéanamh. Leagtar amach na forais dleathacha chun sonraí pearsanta a phróiseáil in Airteagal 6 den GDPR. IS iad: toiliú an duine aonair; feidhmíocht conartha; comhlíonadh oibleagáide dlíthiúla; teastaíonn próiseáil chun leasanna ríthábhachtacha duine a chosaint; teastaíonn próiseáil chun tasc a dhéanamh ar mhaithe le leas an phobail; teastaíonn próiseáil ar mhaithe le leasanna dlisteanacha na cuideachta/na heagraíochta (ach amháin i gcás go bhfuil na leasanna sin sáraithe ag cearta agus saoirsí an ábhair sonraí).

Beartas Coinneála: Cá fhad a shealbhóidh d'eagraíocht sonraí pearsanta duine aonair? Beidh tionchar ag roinnt fachtóirí air seo. D'fhéadfadh go mbeadh ceanglais dhlíthiúla ann maidir le d'eagraíocht, ag brath ar do chineál gnó (mar shampla, rialacha na comhairle leighis). Coinnigh na sonraí don mhéid is lú ama agus is féidir leat de réir riachtanais do ghnó, déan iad a stóráil go daingean agus iad i do sheilbh agat agus déan cinnte go ndéanfar iad a léirscriosadh go hiomlán agus go sábháilte ag an tráth ceart.

Catagóirí Speisialta (íogair) sonraí pearsanta: Sainmhínítear é seo in Airteagal 9 (1) den GDPR mar shonraí 'a léiríonn bunús ciníoch nó eitneach, tuairimí polaitiúla, creidimh reiligiúnacha nó fealsúnacha, nó ballraíocht ceardchumainn, chomh maith le próiseáil sonraí géiniteacha , sonraí bithmhéadracha chun duine nádúrtha a aithint go huathúil, sonraí maidir le sláinte nó sonraí a bhaineann le saol gnéis nó gnéaschlaonadh duine nádúrtha '.

Toiliú: D'athraigh Airteagal 7 den GDPR na coinníollacha maidir le toiliú mar bhunús dlíthiúil chun go mbeidh próiseáil sonraí bailí. Tá sé riachtanach anois measúnú a dhéanamh an bhfuil toiliú tugtha faoi shaoirse agus caithfear an deis a thabhairt don ábhar sonraí toiliú do phróiseáil a tharraingt siar tráth ar bith. Níor cheart glacadh leis go bhfuil toilliú tugtha agus ní mór é a fháil sula dtosaítear le sonraí a phróiseáil (mar shampla trí Fhógraí Príobháideachta). Agus sonraí leanaí á phróiseáil i gcomhthéacs seirbhísí ar líne, is gá a chinntiú go bhfíoraítear a n-aois agus ní mór toiliú caomhnóra dhlíthiúil a fháil. In Éirinn, tá an Rialtas ag moladh trí bliana déag d'aois mar aois toilithe digitigh, agus go mbeidh gá le toiliú na dtuismitheoirí ag aois faoina bun.

Na príomhbhearta ar gá iad a dhéanamh chun comhlíonadh GDPR a chinntiú

  • Déan na sonraí pearsanta atá agat a aithint (is féidir é seo a bhaint amach tríd an bhfaisnéis atá liostaithe in Airteagal 30 den GDPR a leagan amach nó i gcás chuideachtaí níos lú trí  phróiseas oiriúnaithe cosúil teimpléad a ghabhann leis an treoirleabhar seo lena n-aithneofar mionsonraí na sonraí pearsanta atá i do sheilbh).
  • Measúnú riosca a dhéanamh ar na sonraí pearsanta atá agat agus ar do ghníomhaíochtaí próiseála sonraí (Airteagal 24, Aithris 75 agus an t-alt dar teideal "Cur chuige bunaithe ar Riosca maidir le GDPR a chomhlíonadh").
  • Bearta teicniúla agus eagrúcháin cuí a chur i bhfeidhm chun a chinntiú go bhfuil sonraí (ar chomhaid dhigiteacha agus pháipéir) a stóráil go daingean. Braithfidh na bearta slándála a d'fhéadfadh do ghnó a chur i bhfeidhm ar an gcineálacha sonraí pearsanta a choinníonn tú  agus ar an riosca do chustaiméirí agus d'fhostaithe dá sárófaí do bhearta slándála(Airteagal 32).
  • Bí feasach ar an mbonn dlíthiúil a bhfuil tú ag brath air (toiliú?, conradh?, leas dlisteanach? ceanglas dhlíthiúil?) mar bhonn chun sonraí pearsanta a phróiseáil sonraí pearsanta (Airteagail 6 go 8).
  • Cinntigh nach mbailíonn tú ach an t-íosmhéid sonraí pearsanta is gá chun do ghnó a dhéanamh, go bhfuil na sonraí cruinn agus nach gcoinnítear níos faide iad ná mar a theastaíonn chun na críche a bailíodh iad (Airteagal 5).
  • Bí trédhearcach le do chustaiméirí maidir na cúiseanna lena mbailítear a gcuid sonraí pearsanta, na húsáidí sonracha a bhainfear astu agus cé chomh fada agus is gá duit a gcuid sonraí a choinneáil ar chomhad (m.sh. fógraí ar do láithreán gréasáin nó comharthaí ag pointí díola) (Airteagail 12, 13 agus 14).
  • Socraigh cibé an dtagann na sonraí pearsanta a phróiseálann tú faoin gcatagóir de chatagóirí speisialta (íogair) de shonraí pearsanta agus más ea, cad iad na réamhchúraimí breise is gá duit iad a chur i bhfeidhm (Airteagal 9).
  • Déan cinneadh cibé gcaithfidh tú seirbhísí Oifigeach Cosanta Sonraí (DPO) a choinneáil nó nach gcaithfidh (Airteagal 37).
  • Bí in ann iarratais a éascú ó úsáidí seirbhíse ar mian leo a gcearta a fheidhmiú faoin GDPR, lena n-áirítear cearta rochtana, ceartúcháin, léirscriosta, toiliú a tharraingt siar, iniompartha sonraí agus an ceart agóid a dhéanamh i gcoinne phróiseála uathoibrithe (Airteagail 12 go 22).
  • Nuair is cuí, bíodh doiciméid bheartais/nós imeachta nuashonraithe agat a thugann mionsonraí ar an gcaoi a comhlíonann do eagraíocht a cuid oibleagáidí cosanta sonraí.

 

Cur chuige bunaithe ar Riosca maidir le GDPR a chomhlíonadh

Nuair a bhailíonn d'eagraíocht sonraí pearsanta, nó má stórálann nó má úsáideann (eadhon má phróiseálann), féadfaidh go mbeadh riosca ann do na daoine a bhfuil a sonraí á bpróiseáil. Tá sé tábhachtach go nglacann eagraíochtaí a phróiseálann sonraí pearsanta céimeanna chun a chinntiú go ndéileálfar na sonraí go dlíthiúil, go slán, go héifeachtach agus go héifeachtúil chun an cúram is fearr agus is féidir a thabhairt.

Ba cheart próifíl riosca na sonraí pearsanta a phróiseálann d'eagraíocht a chinneadh de réir na n-oibríochtaí próiseála sonraí pearsanta a dhéantar, de réir na castachta agus an scála phróiseála sonraí, íogaireachta na sonraí atá á bpróiseáil agus an chosaint a theastaíonn do na sonraí atá a bpróiseáil. Mar shampla, i gcás ina bhfuil gníomhaíocht próiseála sonraí thar a bheith casta, nó i gcás go leor leor sonraí íogair i gceist (eadhon cuideachta idirlín, cuideachta sláinte, airgeadais nó árachais), bheadh  rátáil riosca níos airde i gceist seachas próiseáil gnáthshonraí pearsanta a bhaineann go díreach le sonraí fostaithe nó le cuntas custaiméara.

Agus tú ag féachaint ar phróifíl riosca na sonraí pearsanta a phróiseálann d'eagraíocht, bheadh sé úsáideach breathnú ar na díobhálacha inláimhsithe do dhaoine aonair a gcaithfidh d'eagraíocht cosaintí a chur i bhfeidhm ina gcoinne. Tugtar mionsonraí orthu seo in Aithris 75 den GDPR agus áirítear próiseáil a d'fhéadfadh an méid a leanas a bheith mar thoradh uirthi: idirdhealú, goid aitheantais nó calaois aitheantais, caillteanas airgeadais, damáiste don chlú, caillteanas rúndacht na sonraí pearsanta sin atá faoi chosaint de réir rúndacht ghairmiúil, aisiompú neamhúdaraithe chur i bhfeidhm ainm bréige, nó aon mhíbhuntáiste suntasach eacnamaíoch nó sóisialta eile.

Feabhsófar feasacht d'eagraíochta ar na saincheisteanna cosanta sonraí a d'fhéadfadh a bheith ann le tionscadail sa todhchaí trí mheasúnú riosca a dhéanamh ar. Cabhróidh sé seo le dearadh do thionscadail a fheabhsú agus cuirfidh se le do chumarsáid le páirtithe leasmhara ábhartha maidie le rioscaí príobháideachta sonraí.

 

Soláthraíonn an GDPR dhá choincheap ríthábhachtach maidir le pleanáil tionscadail amach anseo: Cosaint sonraí trí dhearadh agus mar réamhshocrú
 Cé go bhfuil siad molta mar dhea-chleachtas le fada an lá, tá an dá phrionsabal sin cumhdaithe sa dlí faoin GDPR (Airteagal 25).

Ciallaíonn Cosaint Sonraí trí dhearadh gnéithe a bhaineann le príobháideacht sonraí agus teicneolaíochtaí feabhsaithe príobháideachta sonraí a lonnú go díreach go luath i ndearadh na dtionscadal. Cabhróidh sé seo le cosaintí príobháideachta sonraí an duine aonair atá níos fearr agus níos éifeachtúla ó thaobh costais de a chinntiú.
 
Ciallaíonn Cosaint Sonraí mar réamhshocrú go gcaithfidh socruithe seirbhíse úsáideora a bheith in oiriúint cosaint sonraí go huathoibríoch (m.sh. ní bheidh aon rogha uathoibríoch ar leathanaigh cuntais an chustaiméara), agus nach mbaileofar ach sonraí atá riachtanach do gach cuspóir sonrach den phróiseáil.

Faoin GDPR, beidh Measúnú Tionchair ar Chosaint Sonraí (DPIA) ina riachtanas réamhphróiseála éigeantach nuair a chuimsíonn an tionscadal/an tionscnamh/an tseirbhís atá beartaithe próiseáil sonraí ar "dócha go mbeidh sí ina baol mór do chearta agus saoirsí daoine nádúrtha. "Tá sé seo ábhartha go háirithe nuair a bhíonn teicneolaíocht nua próiseála sonraí á thabhairt isteach i d'eagraíocht. I gcásanna nach bhfuil sé soiléir an bhfuil fíorghá ann do DPIA, is dea-chleachtas fós é tabhairt faoi DPIA fós agus is uirlis úsáideach é chun cabhrú le rialtóirí sonraí a gcomhlíonadh le dlíthe cosanta sonraí a léiriú. Tá DPIAanna inscálaithe agus d'fhéadfadh foirmeacha difriúla bheith i gceist, ach leagann an GDPR bunriachtanas DPIA éifeachtach amach. Is féidir treoir maidir le DPIAanna a dhéanamh a fháil ar www.GDPRandYOU.ie

Is féidir rioscaí cosanta sonraí a aithint agus iad a mhaolú chomh maith le comhlíonadh a léiriú i gcás imscrúdaithe nó iniúchta rialála trí chlár riosca um chosaint sonraí a choimeád,.

Uirlisí seicliosta um ullmhacht do GDPR:

Tá na seicliostaí seo ar fáil ar líne ag GDPRandYOU.ie chun iad a íoslódáil agus a eagrú de réir fhaisnéis d'eagraíochta féin.

 

Chomh maith leis an seicliosta ginearálta thíos, treoróidh na leathanaigh seo a leanas bhur n-eagraíochtaí, trí cheisteanna mionsonraithe sna réimsí seo a leanas:

 

  • Sonraí pearsanta
  • Cearta an ábhair sonraí
  • Cruinneas agus coinneáil
  • Ceanglais trédhearcachta
  • Ceanglais sonraí eile rialtóra
  • Slándáil sonraí
  • Sáruithe sonraí
  • Aistrithe sonraí idirnáisiúnta

 

Cabhróidh an greille seo a leanas le heagraíochtaí na sonraí pearsanta atá á gcoinneáil agus á bpróiseáil acu faoi láthair, an bonn dleathach ar bailíodh na sonraí agus an tréimhse choinneála do gach catagóir sonraí a mhapáil. Cabhróidh an cleachtadh le cásanna ina gcaithfear gníomhartha feabhais láithreacha a chur i bhfeidhm a shainaithint chun an GDPR a chomhlíonadh.