‘An dtig liom labhairt leis an sealbhóir cuntais?’ – Ag déanamh teagmháil le heagraíochtaí thar ceann duine eile

18th October 2019

Ceist amháin a fheicimid go minic sa Choimisiún um Chosaint Sonraí (‘an Coimisiún’) ná míshásamh ó dhaoine aonair maidir le bearta gur iarradh orthu a dhéanamh nuair a dhéanann siad teagmháil le heagraíocht thar ceann duine eile. Is é freagra choitianta a fheiceann siad ná go ndeirtear leo go bpléifidh an eagraíocht go díreach leis an sealbhóir cuntais amháin, nó iarrtar go soláthróidh siad caighdeán an-ard cruthúnas a go bhfuil siad ag gníomhú thar ceann an tsealbhóra cuntais. Cé go bhféadfadh cúinsí éagsúla a bheith i gceist anseo, idir oibleagáidí cosanta sonraí (ar nós slándála agus rúndachta), agus oibleagáidí eile dlíthiúla, sa bhlag seo déanfaimid iarracht míniú conas is féidir le heagraíochtaí cur chuige réasúnta agus cuí a ghlacadh maidir leis na cásanna seo.

Go hiondúil, iarrfaidh eagraíochtaí ar ghlaoiteoirí iad féin a aithint i mbealach éigin, ar chúiseanna soiléire, mar shampla, chun ligean dóibh freagairt i gceart ar pé rud a iarrtar orthu, ach b’fhéidir chomh maith chun aitheantas an ghlaoiteora a dheimhniú agus chun bheith cinnte nach nochtfar sonraí pearsanta an tsealbhóra cuntais le duine eile gan cúis mhaith. Go minic iarrtar ar ghlaoiteoirí a ainm agus/nó a uimhir chuntais a thabhairt, chomh maith le faisnéis eile a dheimhniú, cosúil lena dháta breithe, a sheoladh, nó sonra éigin maidir lena idirbheart is déanaí.

Ag iarraidh ar son carad

D’fhéadfadh deacrachtaí tarlú, áfach, nuair a ghlaonn duine ar eagraíocht thar ceann duine dá theaghlach, cara, othar nó duine eile nach bhfuil ábalta é sin a dhéanamh nó gurb fhearr dó go labhróidh duine thar a cheannsa. Uaireanta iarrtar ar an ionadaí atá ag glaoch thar ceann an duine aonair cruthú go bhfuil cead acu labhairt thar ceann an tsealbhóra cuntais trí fhianaise a thabhairt atá ag leibhéal i bhfad níos airde ná mar a iarrfaí ón sealbhóir cuntais dá gcuirfeadh an sealbhóir féin an glaoch. I gcásanna eile, deirtear go díreach leis an ionadaí nach labhróidh an eagraíocht leis maidir le cuntas duine eile.

Más ait féin leat é, mar gheall ar seo, d’fhéadfadh gur fusa glao isteach agus cur i gcéill gur tusa an sealbhóir cuntais ná míniú go macánta gur thug an sealbhóir cuntais cead duit labhairt thar a cheann. Is féidir teacht ar scéalta den chineál céanna nuair a dhéanann daoine teagmháil trí mheán eile, ar nós foirmeacha teagmhála, ríomhphoist, nó litreacha.

 

Oibleagáidí maidir le slándáil, sláine agus rúndacht

Cinnte, tá oibleagáid ag eagraíochtaí sonraí pearsanta a choimeád slán agus sábháilte agus gan iad a nochtadh le haon duine míchuí – de réir prionsabal an ‘sláine agus (na) rúndacht(a)’ in Airteagal 5 den RGCS. Éilíonn an prionsabal sin nach n-úsáidfear sonraí pearsanta ach amháin “ar chaoi go n-áirithítear slándáil iomchuí na sonraí pearsanta, lena n-áirítear cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach agus ar chailleadh, scrios nó damáiste de thaisme, agus úsáid a bhaint as bearta iomchuí teicniúla nó eagraíochtúla”.

Tá an téarma ‘iomchuí’ thar a bheith tábhachtach, agus is éard atá i gceist leis seo ná go ba cheart do rialaitheoirí ina leithéid de cásanna cuimhneamh ar cén leibhéal slándála atá iomchuí do chúrsaí éagsúla. Ba cheart dóibh ceisteanna éagsúla a chur san áireamh, mar shampla, an cineál nó íogaireacht na sonraí pearsanta atá i gceist, an dochar a d’fhéadfadh bheith i gceist má nochtfar sonraí pearsanta leis an duine mícheart, agus an seans go mbeidh daoine ag labhairt go dlisteanach thar ceann an tsealbhóra cuntais.

Ba cheart go gcuimhneoidh eagraíochtaí ar an ngníomh atá á n-iarraidh ag an nglaoiteoir chomh maith – mar shampla, d’fhéadfadh nach mbeadh na bearta cuí slándála (má tá bearta ar bith i gceist) chun bille a atheisiúint chuig an seoladh ar an gcuntas chomh trom leis na bearta go n-iarrfaí i gcás go bhfuil an glaoiteoir ag iarraidh cuntas a scriosadh nó faisnéis iógairt a fháil.

Cás-Staidéar

Iarradh comhairle ón Coimisiún le déanaí i gcás ina raibh deacrachtaí ag duine aonair agus é ag iarraidh dul i dteagmháil le soláthraí seirbhíse trí ateangaire. Cé gur thug an t-ateangaire an fhaisnéis ceart maidir leis an gcuntas agus gur fhreagair sé na ceisteanna slándála a bhain leis an gcuntas, ní raibh an eagraíocht sásta plé leis an ateangaire ach amháin dá gcuirfeadh sé isteach cáipéis sínithe a chruthaigh gur thug an sealbhóir cuntais cead don ateangaire labhairt thar a cheann.

Sa chás seo, níor cheap an Coimisiún go raibh aon cheist soiléir maidir le cosaint sonraí a gcuirfeadh bac ar an eagraíocht plé le custaiméir tríd an ateangaire. Cé go measfadh an eagraíocht de ghnáth go bhféadfaí cinntiú cé atá ag glaoch trí fhreagraí cearta a fháil ar cheisteanna slándála, fágann sé sin gur leor é seo freisin chun cinntiú go bhfuil ateangaire ann a bhfuil údarás aige chun gníomhú thar ceann an tsealbhóra cuntais.

Níorbh léir go raibh sé réasúnta, nó go raibh gá ó thaobh na slándála de, riachtanas breise slándála a chur isteach le haghaidh daoine a bhaineann úsáid as ateangaire, cé nach raibh aon chosúlacht go mbeadh riosca níos airde go bhfaighfí rochtain neamhúdaraithe ar shonraí pearsanta. In aon chás, fiú dá mbeadh gá le beart breise slándála le cinntiú go bhfuair an t-ateangaire toiliú an tsealbhóra cuntais, measadh gur tairseach i bhfad ró-ard é údarú shínithe a lorg, cé go raibh seans go mba leor é tuilleadh ceisteanna slándála a fhreagairt nó sonraí cuntais a dheimhniú.

Moltaí

D’fhéadfadh sé, cinnte, go mbeadh fáthanna nach mbeadh eagraíocht ag iarraidh, nó nach mbeadh sé in ann, plé le duine ar bith seachas an sealbhóir cuntais – mar shampla, polasaithe inmheánaigh nó ceanglais dlíthiúla maidir le rúndacht. Is é dearcadh an Choimisiúin, áfach, nach gcuireann an dlí um chosaint sonraí bac ar eagraíochtaí plé le duine ag déanamh ionadaíochta don sealbhóir cuntais go hiondúil, fad is go ndearna siad bearta réasúnta cuí chun cinntiú go gcloíonn siad lena n-oibleagáidí slándála agus rúndachta.

Molann an Coimisiún d’eagraíochtaí cinntiú go bhfuil cur chuige cothrom agus cuí acu lena mbearta slándála agus a mbearta fíoraithe aitheantais nuair a bhíonn ‘bearta iomchuí teicniúla agus eagraíochtúla’ á phleanáil agus á chur i bhfeidhm acu chun sonraí pearsanta a chosaint. Baineann an moladh seo go háirithe le soláthraithe seirbhíse agus iad siúd a bhfuil ról ghnóthach acu maidir le cúram custaiméirí. Ba cheart go gcuirfidh siad bearta i bhfeidhm a thugann ardchaighdeán cosanta do dhaoine aonair, ach nach dtugann míbhuntáiste díréireach dóibh siúd nach bhfuil in ann dul i ngleic go héasca leis na bearta sin agus go mbeidh orthu duine eile a fháil chun dul i dteagmháil thar a gceann.

Má tá eagraíochtaí ag iarraidh tuilleadh eolais a fháil maidir le bearta iomchuí slándála a chur i bhfeidhm, ba cheart dóibh féachaint ar ár nótaí treorach Guidance for Controllers on Data Security’ agus ‘Data Security Guidance for Microenterprises’.