Cé Muid Féin

Foilsíonn an Coimisiún um Chosaint Sonraí Cinneadh Críochnaitheach tar éis Fiosrúchán ar Ollscoil Luimnigh

02nd Mí Márta 2026

Inniu rinne an Coimisiún um Chosaint Sonraí (an Coimisiún) a chinneadh críochnaitheach a fhoilsiú tar éis fiosrúchán ar shárú sonraí pearsanta in Ollscoil Luimnigh. Tháinig an cinneadh seo as fiosrúchán de dheoin an Choimisiúin um Chosaint Sonraí féin ar Ollscoil Luimnigh, rud a seoladh tar éis sraith sáruithe sonraí pearsanta a tharla idir mí na Samhna 2018 agus mí Eanáir 2020. ...

Fáiltíonn an Coimisiún roimh fhoilsiú na tuarascála ó EDPB maidir le cur chun feidhme an chirt go ndéanfaí ligean i ndearmad faoin gCreat Forfheidhmithe Chomhordaithe

20th Mí Feabhra 2026

D’fháiltigh an Coimisiún um Chosaint Sonraí (an Coimisiún) roimh fhoilsiú na tuarascála ón mBord Eorpach um Chosaint Sonraí (EDPB) maidir le cur chun feidhme an chirt go ndéanfaí ligean i ndearmad, rud atá ar cheann amháin de na gníomhartha faoin gCreat Forfheidhmithe Chomhordaithe ó EDPB. ...

Lá na Sábháilteachta Idirlín 2026

10th Mí Feabhra 2026

Beidh Lá na Sábháilteachta Idirlín ar siúl Dé Máirt, an 10 Feabhra 2026. Is é téama an lae i mbliana ná “Eolach ar Intleacht Shaorga: Sábháilte, Cliste, agus i gCeannas”. ...

Fiosrúchán ar an Roinn Coimirce Sóisialaí

Réimse: Údarás Poiblí

Airteagal: 5, 6, 9, 35

Tagairt DPC: IN-21-7-3

Dáta Cinnidh: 9 Meitheamh 2025

Chuir an Coimisiún um Chosaint Sonraí (an Coimisiún) fiosrúchán i gcrích ar an bpróiseáil a bhí á déanamh ag an Roinn Coimirce Sóisialaí (an Roinn) ar theimpléid bhithmhéadracha aghaidhe agus ar an úsáid a bhí á baint ag an Roinn as teicneolaíochtaí gaolmhara aghaidh-mheaitseála mar chuid den phróiseas clárúcháin don Chárta Seirbhísí Poiblí, dá ngairtear “clárú SAFE 2”.

Cúlra

Thosaigh an Coimisiún an fiosrúchán seo dá dheoin féin i mí Iúil 2021, agus tháinig sé sna sála ar imscrúdú a rinne sé roimhe sin ar ghnéithe áirithe den phróiseáil a bhí á déanamh ag an Roinn ar shonraí pearsanta i dtaca le Cártaí Seirbhísí Poiblí a eisiúint. Ba é an toradh a bhí ar an imscrúdú sin ná imeachtaí dlíthiúla, ina ndearna an Roinn achomharc in aghaidh Fógra Forfheidhmiúcháin a d’eisigh an Coimisiún. Tarraingíodh an t-achomharc siar ina dhiaidh sin. Foilsíodh comhaontú comhpháirteach idir an Coimisiún agus an Roinn i mí na Nollag 2021, mar aon leis an tuarascáil imscrúdaithe deiridh ón bhfiosrúchán sin. Luadh sa tuarascáil imscrúdaithe deiridh go ndéileálfadh an Coimisiún ar leithligh le próiseáil sonraí pearsanta, lena n-áirítear sonraí bithmhéadracha, ag an Roinn i ndáil le clárú SAFE 2. Bunaíodh an fiosrúchán reatha chun scrúdú ar leithligh a dhéanamh ar an bpróiseáil sonraí bithmhéadracha faoi chlárú SAFE 2, mar a cuireadh in iúl sa tuarascáil imscrúdaithe deiridh.

An Réasúnaíocht is Bun leis an bhFiosrúchán

Tá clárú SAFE 2 éigeantach d’iarratasóirí ar Chárta Seirbhísí Poiblí, rud a theastaíonn chun rochtain a fháil ar raon seirbhísí de chuid na Roinne, lena n-áirítear íocaíochtaí leasa. Níl daoine aonair nach ndeachaigh faoi chlárú SAFE 2 in ann rochtain a fháil ar na seirbhísí sin. Is é atá i gceist leis an bpróiseas ná sonraí bithmhéadracha a bhailiú, a stóráil agus a phróiseáil, go háirithe teimpléid aghaidhe, i ndáil le sciar substaintiúil de dhaonra an Stáit. Ós rud é go bhfuil sonraí bithmhéadracha aicmithe mar shonraí catagóire speisialta faoin Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS), gabhann cosaintí agus coimircí breisithe leo.

Mar gheall ar chineál agus scála na próiseála, mheas an Coimisiún gur ghá don Roinn bunús dlí soiléir beacht a bheith aici don phróiseáil sin, mar aon le coimircí iomchuí chun sonraí pearsanta agus cearta bunúsacha daoine aonair a chosaint.

Raon Feidhme an Fhiosrúcháin

Bhí an fiosrúchán dírithe ar mheasúnú a dhéanamh ar na nithe seo a leanas:

  • cé acu a bhí nó nach raibh bunús dleathach bailí ag an Roinn le haghaidh sonraí bithmhéadracha a bhailiú mar chuid de chlárú SAFE 2;
  • cé acu a choinnigh nó nár choinnigh an Roinn go dleathach sonraí bithmhéadracha a bailíodh mar chuid de chlárú SAFE 2;
  • cé acu a chomhlíon nó nár chomhlíon an Roinn a hoibleagáidí trédhearcachta i leith ábhair sonraí; agus
  • cé acu a bhí nó nach raibh an Measúnú Tionchair ar Chosaint Sonraí a rinne an Roinn do chlárú SAFE 2 leordhóthanach.

Cinntí

Thángthas ar na conclúidí seo a leanas sa chinneadh ón gCoimisiún:

  • Mhainnigh an Roinn bunús dleathach bailí a shainaithint le haghaidh sonraí bithmhéadracha a bhailiú, agus í ag sárú Airteagail 5(1)(a), 6(1), agus 9(1) RGCS dá dheasca sin;
  • Dá bhrí sin, choinnigh an Roinn sonraí bithmhéadracha go neamhdhleathach de shárú ar Airteagal 5(1)(e) RGCS;
  • Níor sholáthair an Roinn faisnéis sách trédhearcach d’ábhair sonraí faoi chlárú SAFE 2, agus í ag sárú Airteagal 13(1)(c) agus 13(2)(a) RGCS dá dheasca sin; agus
  • Níor chuir an Roinn mionsonraí riachtanacha ar áireamh sa Mheasúnú Tionchair ar Chosaint Sonraí, agus í ag sárú Airteagal 35(7)(b) agus (c) RGCS dá dheasca sin.

Na Cumhachtaí Ceartaitheacha a Feidhmíodh

D’fhorchuir an Coimisiún na smachtbhannaí seo a leanas:

  • Iomardú foirmiúil a eisiúint chuig an Roinn;
  • Fíneálacha riaracháin dar luach iomlán €550,000 a fhorchur; agus
  • Ordú a eisiúint lenar ceanglaíodh ar an Roinn scor de phróiseáil a dhéanamh ar shonraí bithmhéadracha a bhaineann le clárú SAFE 2 laistigh de naoi mí ach amháin i gcás go bhféadfaí bunús dleathach bailí a shainaithint.

Barúlacha Breise

Thug an Coimisiún faoi deara nach gceistítear sna cinntí ná sna bearta ceartaitheacha an prionsabal ná an beartas um chlárú SAFE 2 féin. Ina theannta sin, níor tháinig an fiosrúchán ar aon fhianaise á léiriú go raibh bearta neamh-leordhóthanacha slándála teicniúla nó eagraíochtúla á gcur chun feidhme ag an Roinn i ndáil le próiseáil sonraí bithmhéadracha.

Is féidir an cinneadh iomlán[1] a íoslódáil ag an nasc seo: Fiosrúchán ar an Roinn Coimirce Sóisialaí, Meitheamh 2025 (17MB, PDF).

 

[1] Ar mhaithe le hiomláine, thug an Coimisiún faoi deara nach é an soláthraí bogearraí aghaidh-mheaitseála dá dtagraítear sa Chinneadh an soláthraí a thuilleadh i ndáil leis an bpróiseáil sonraí bithmhéadracha a bhí ina hábhar don fhiosrúchán.

Fiosrúchán ar Bhord Oideachais agus Oiliúna Chathair Bhaile Átha Cliath

Réimse: Údarás Poiblí

Airteagal: 5, 32, 33, 34

Tagairt DPC: IN-19-7-3

Dáta Cinnidh: 23 Meitheamh 2025

Tagann an cinneadh seo as fiosrúchán dá dheoin féin a thosaigh an Coimisiún um Chosaint Sonraí (an Coimisiún) i mí Iúil 2019. Bhain an fiosrúchán le sárú sonraí pearsanta ar thug Bord Oideachais agus Oiliúna Chathair Bhaile Átha Cliath (‘CDETB’) fógra faoi i mí na Samhna 2018. Is é CDETB an t-údarás oideachais agus oiliúna stáit do chathair Bhaile Átha Cliath, agus tá sé freagrach freisin as Tacaíocht Chomhchoiteann do Mhic Léinn in Éirinn (‘SUSI’), an t-údarás náisiúnta dámhachtana do dheontais mac léinn.

Achoimre ar an sárú

Cruthaíodh SUSI sa bhliain 2012 mar aonad gnó de chuid CDETB. Ag gníomhú dó trí SUSI, feidhmíonn CDETB suíomh Gréasáin (https://www.susi.ie) ar ar féidir le mic léinn tríú leibhéal faisnéis a fháil faoina n-incháilitheacht do dheontas ardoideachais agus iarratas a dhéanamh air.

Tharla an sárú mar gheall ar mheascán de dhá thoisc. Ar an gcéad dul síos, fuair CDETB amach go raibh a fhreastalaí Gréasáin ag coinneáil sonraí pearsanta de chuid iarratasóirí ar dheontas mac léinn tar éis dóibh faisnéis a bhaineann lena n-iarratas a uaslódáil trí shuíomh Gréasáin CDETB. Sula bhfuair sé an méid sin amach, ghlac CDETB leis go raibh na sonraí pearsanta a bhí á gcur isteach trína shuíomh Gréasáin á seoladh le ríomhphost chuig an bhfoireann ábhartha SUSI agus nach raibh siad á gcoinneáil go háitiúil. Ar an dara dul síos, fuair CDETB amach go raibh bogearraí mailíseacha i láthair ar an bhfreastalaí Gréasáin freisin, rud a chruthaigh riosca gur nochtadh na sonraí pearsanta coinnithe go neamhdhleathach.

Rinne an sárú difear do thart ar 13,000 ábhar sonraí, a bhí in-sainaitheanta de réir seoladh ríomhphoist, a chuir foirmeacha forlíontacha isteach trí shuíomh Gréasáin SUSI le linn na mblianta 2017 agus 2018. Áiríodh leis na sonraí pearsanta a ndearna an sárú difear dóibh ainmneacha, sloinnte, dátaí breithe, uimhreacha pearsanta seirbhíse poiblí, mionsonraí teagmhála, sonraí aitheantais agus catagóirí speisialta sonraí (amhail sonraí lena nochtar bunadh ciníoch nó eitneach agus sonraí sláinte).

San fhiosrúchán ón gCoimisiún, rinneadh measúnú ar na bearta teicniúla agus eagraíochtúla a bhí i bhfeidhm ag CDETB chun slándáil na sonraí pearsanta a bhí á bpróiseáil aige a chinntiú, lenar áiríodh cé acu a rinne nó nach ndearna sé measúnú riosca iomchuí sular chuir sé feidhmiúlacht bhreise áirithe chun feidhme ar a shuíomh Gréasáin. Scrúdaíodh ann freisin a mhéid a chomhlíon CDETB an oibleagáid a bhí air fógra a thabhairt don Choimisiún agus do na hábhair sonraí lena mbaineann araon faoin sárú.

Bearta teicniúla agus eagraíochtúla le haghaidh slándála

Ní raibh sé beartaithe ar dtús go bpróiseálfaí sonraí pearsanta ar shuíomh Gréasáin SUSI. Ina dhiaidh sin, i mí Aibreáin 2017, chuir CDETB feidhmiúlacht leis an suíomh Gréasáin chun go bhféadfadh iarratasóirí ar dheontas iarrataí forlíontacha agus faisnéis fhorlíontach (lena n-áirítear sonraí pearsanta) a chur isteach tríd an suíomh. Mar sin féin, ós rud é gur mhainnigh CDETB raon feidhme an tionscadail a mheas ar bhealach leordhóthanach agus measúnú riosca leordhóthanach a dhéanamh, stóráladh an fhaisnéis sin go háitiúil ar an bhfreastalaí Gréasáin. Leis an bpróiseáil, rinneadh difear do na sonraí pearsanta a bhí ag líon mór daoine aonair. Chinn an Coimisiún, mar sin de, gurb ard a bhí na rioscaí a raibh aghaidh le tabhairt orthu i mbearta teicniúla agus eagraíochtúla CDETB le haghaidh slándála. Toisc nárbh eol do CDETB go raibh sonraí pearsanta á stóráil go háitiúil ar an bhfreastalaí Gréasáin, ní raibh aon bhearta teicniúla agus eagraíochtúla i bhfeidhm chun a chinntiú go raibh na sonraí pearsanta sin á gcoinneáil slán. Cé gur cinneadh san fhiosrúchán ón gCoimisiún gur chuir CDETB roinnt beart iomchuí slándála chun feidhme, cinneadh ann freisin gur léir roinnt laigí suntasacha agus roinnt easnamh suntasach:

  • Ní dhearna CDETB aon anailís riosca chun sainaithint nó anailís a dhéanamh ar aon bhagairtí ar a ghníomhaíochtaí próiseála i ndáil leis an suíomh Gréasáin susi.ie roimh an sárú ná chun aghaidh a thabhairt ar na bagairtí sin.
  • Níor chartlannaigh CDETB logaí rochtana, imeachta ná earráide ar bhealach leordhóthanach, ní dhearna sé aon tástáil treáite, agus níor oibrigh sé balla dóiteáin feidhmchláir Gréasáin ag an am ábhartha. 
  • Ní dhearna CDETB tástáil iomchuí ar a bhearta teicniúla agus eagraíochtúla chun a n-éifeachtacht a mheas agus chun laigí a shainaithint.

Cé gur ghlac CDETB raon leathan beart ina dhiaidh sin chun na heasnaimh a sainaithníodh le linn an fhiosrúcháin a leigheas, chinn an Coimisiún gur sháraigh CDETB Airteagail 5(1)(f), 32(1) agus 32(2) RGCS ag an am ábhartha nuair a mhainnigh sé bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun leibhéal slándála a chinntiú a bhí oiriúnach don riosca a bhí ag baint le sonraí pearsanta a bheith á bpróiseáil aige ar a shuíomh Gréasáin agus nuair a mhainnigh sé an leibhéal iomchuí slándála a mheasúnú.

Fógra pras a thabhairt faoi shárú sonraí pearsanta

Le hAirteagal 33 RGCS, ceanglaítear ar rialaitheoirí sonraí fógra a thabhairt dá n-údarás maoirseachta faoi gach sárú sonraí pearsanta ar dóigh dó a bheith ina riosca do chearta agus saoirsí daoine. Ní mór an fógra a thabhairt ‘gan aon mhoill mhíchuí agus, más féidir, tráth nach déanaí ná 72 uair an chloig tar éis dóibh bheith ar an eolas faoin sárú sin’.

Chuir CDETB in iúl don Choimisiún gur tháinig sé ar an eolas an 16 Deireadh Fómhair 2018 gur thit sárú a bhaineann le slándáil próiseála sonraí pearsanta amach ar an bhfreastalaí Gréasáin SUSI dá chuid. Choimisiúnaigh CDETB imscrúdú ar an sárú ansin. Mar sin féin, níor thug CDETB fógra don Choimisiún faoin sárú go dtí an 16 Samhain 2018, thart ar mhí amháin tar éis dó teacht ar an eolas faoi. Níor tugadh aon mhíniú ar an moill sin san fhógra a thug CDETB don Choimisiún.

Suíodh san fhiosrúchán ón gCoimisiún gur chruthaigh an sárú sonraí pearsanta riosca do na cearta agus na saoirsí atá ag ábhair sonraí agus gur tháinig CDETB ar an eolas faoin sárú an 16 Deireadh Fómhair 2018. Dá bhrí sin, d’éirigh an sárú infhógartha don Choimisiún ag an am sin, agus bhí oibleagáid ar CDETB fógra a thabhairt don Choimisiún faoin sárú gan moill mhíchuí. Ós rud é nár thug CDETB fógra don Choimisiún faoin sárú go dtí an 16 Samhain 2018, chinn an Coimisiún gur sháraigh CDETB Airteagal 33(1) RGCS nuair a mhainnigh sé fógra a thabhairt don Choimisiún faoin sárú gan moill mhíchuí.

Fógra a thabhairt d’ábhair sonraí

Le hAirteagal 34(1) RGCS, ceanglaítear ar rialaitheoirí sonraí sárú sonraí pearsanta a chur in iúl d’ábhair sonraí gan moill mhíchuí i gcás gur dócha go mbeidh ardriosca ann do na cearta agus na saoirsí atá ag na hábhair sonraí sin mar thoradh ar an sárú. Le hAirteagal 34(4) RGCS, ceanglaítear ar rialaitheoirí sonraí fógra a thabhairt d’ábhair sonraí faoi shárú sonraí i gcás go gceanglaíonn an t-údarás maoirseachta ábhartha (an Coimisiún um Chosaint Sonraí sa chás seo) ar an rialaitheoir déanamh amhlaidh, tar éis don údarás maoirseachta a chinneadh gur gá déanamh amhlaidh tar éis breithniú a dhéanamh ar an dóchúlacht go gcruthódh an sárú sonraí pearsanta ardriosca d’ábhair sonraí.

Chuir CDETB in iúl don Choimisiún ar dtús go gcuirfeadh sé na hábhair sonraí lena mbaineann ar an eolas faoin sárú sonraí. Luaigh CDETB ina dhiaidh sin, áfach, nach dtabharfadh sé fógra do na hábhair sonraí faoin teagmhas go dtí go mbeadh comhairle dlí breithnithe aige. Tar éis tuairisc teagmhais a fháil faoin sárú sonraí, chuir CDETB in iúl don Choimisiún ina dhiaidh sin go raibh sé den tuairim gurbh íseal a bhí an riosca do na hábhair sonraí agus, dá bhrí sin, nach raibh aon oibleagáid ann iad a chur ar an eolas faoin sárú.

Mar gheall ar an ardlíon ábhar sonraí lena mbaineann agus ar chineál leathan na sonraí pearsanta a bhí i gceist, áfach, chinn an Coimisiún gurbh amhlaidh a bhí ardriosca ann do na hábhair sonraí lena mbaineann. Chinn an Coimisiún go raibh oibleagáid ar CDETB fógra a thabhairt do na hábhair sonraí lena mbaineann faoin sárú gan moill mhíchuí agus gur sháraigh CDETB Airteagal 34(1) RGCS nuair a mhainnigh sé déanamh amhlaidh.

An 15 Eanáir 2019, d’eisigh an Coimisiún ordú foirmiúil chuig CDETB faoi Airteagal 34(4) RGCS fógra a thabhairt do na hábhair sonraí uile lena mbaineann faoin sárú. Mar gheall ar chineál an tsáraithe agus ar chineál na sonraí pearsanta a bhféadfadh go ndéanfaí difear dóibh, chuir an Coimisiún in iúl do CDETB go bhféadfadh dianriosca a bheith ann d’ábhair sonraí. Mar sin féin, dhiúltaigh CDETB déanamh de réir an ordaithe ón gCoimisiún ag an am sin, toisc go raibh sé den tuairim nár comhlíonadh an tairseach le haghaidh fógra a thabhairt d’ábhair sonraí. Níor chuir CDETB an sárú sonraí pearsanta in iúl do na hábhair sonraí lena mbaineann go dtí an 16 Nollaig 2020. Mar thoradh air sin, chinn an Coimisiún gur sháraigh CDETB Airteagal 34(4) RGCS nuair a mhainnigh sé an sárú sonraí pearsanta a chur in iúl do na hábhair sonraí nuair a cheangail an Coimisiún air déanamh amhlaidh, mar údarás maoirseachta aige, an 15 Eanáir 2019.

Bearta ceartaitheacha

D’fheidhmigh an Coimisiún roinnt beart ceartaitheach de bhun na sáruithe a cinneadh a bheith déanta san fhiosrúchán. Agus é ag déanamh cinneadh ar na bearta ceartaitheacha a bhí le feidhmiú, chuir an Coimisiún na tosca riachtanacha uile san áireamh, lenar áiríodh na rioscaí a bhí ag baint leis an bpróiseáil, na cineálacha sonraí pearsanta agus an líon daoine a ndearnadh difear dóibh, agus na bearta leigheasacháin a rinne CDETB. Thug an Coimisiún aird freisin ar alt 141(4) den Acht um Chosaint Sonraí, 2018, rud lena socraítear uasmhéid €1,000,000 le haghaidh fíneálacha riaracháin a fhéadfar a fhorchur ar ‘údaráis phoiblí’, ar catagóir í a fholaíonn comhlachtaí amhail CDETB.

Ba iad seo na bearta ceartaitheacha a d’fheidhmigh an Coimisiún:

  • iomardú do CDETB i leith na sáruithe a sainaithníodh,
  • ordú do CDETB a phróiseáil a chur i gcomhréir le ceanglais slándála RGCS agus tuairisc a thabhairt don Choimisiún ar na bearta arna ndéanamh,
  • fíneáil riaracháin €50,000 i leith an tsáraithe a rinne CDETB ar Airteagail 5(1)(f), 32(1)(b), 32(1)(d) agus 32(2) RGCS,
  • fíneáil riaracháin €15,000 i leith an tsáraithe a rinne CDETB ar Airteagal 33(1) RGCS,
  • fíneáil riaracháin €10,000 i leith an tsáraithe a rinne CDETB ar Airteagal 34(1) RGCS, agus
  • fíneáil riaracháin €50,000 i leith an tsáraithe a rinne CDETB ar Airteagal 34(4) RGCS.

Mar sin féin, molann an Coimisiún éirim an chaidrimh a rinne CDETB leis an gCoimisiún ó fuair sé na cinntí beartaithe ón gCoimisiún tríd an dréachtleagan den Chinneadh. Is ísle i bhfad na fíneálacha sin dar luach iomlán €125,000 ná an raon fíneála a beartaíodh sa dréacht-Chinneadh, ba é sin €210,000 ar a mhéad. Tá na fíneálacha deiridh ina léiriú ar an maolú a chuir CDETB i bhfeidhm agus é ag glacadh le gach ceann de na cinntí maidir le sáruithe atá leagtha amach sa dréacht-Chinneadh, áit ar ghlac sé le freagracht iomlán as an sárú, ar ghabh sé a leithscéal leis na hábhair sonraí lena mbaineann agus leis an rialálaí araon, agus a ndearna sé bearta réamhghníomhacha chun laghdú a dhéanamh ar an dóchúlacht go dtarlódh sáruithe den chineál céanna sa todhchaí, gan ordú sonrach a fháil ón gCoimisiún déanamh amhlaidh.

Na Príomhthátail atá le Baint

  • Déan measúnuithe riosca cuí agus athruithe á ndéanamh ar chórais TFC chun a chinneadh cé acu a d’fhéadfaí nó nach bhféadfaí difear a dhéanamh do shonraí pearsanta, agus cinntigh go gcuirtear bearta slándála eagraíochtúla agus teicniúla i bhfeidhm i gcás go bhféadfaí difear a dhéanamh dóibh.
  • Gníomhaigh go pras agus go dícheallach agus fógra á thabhairt don Choimisiún agus d’ábhair sonraí faoi sháruithe sonraí, i gcás gur gá – ná cruthaigh moill mhíchuí le linn a bheith ag feitheamh leis an toradh ar imscrúduithe tríú páirtí chun a chinneadh cé acu a comhlíonadh nó nár comhlíonadh gach tairseach riosca; tá an rialaitheoir freagrach as a chinntiú go dtugtar fógra don Choimisiún gan moill mhíchuí.
  • I gcás, mar a tharla sa chás seo, go n-ordóidh an Coimisiún go sonrach go dtabharfaí fógra d’ábhair sonraí de bhun Airteagal 34(4), ba cheart do rialaitheoirí an fógra sin a thabhairt gan mhoill.

Tá an cinneadh iomlán ar fáil anois le híoslódáil (20MB, PDF).

Tá ceartúchán an chinnidh ar fáil le híoslódáil freisin (4.5MB, PDF)

 

Fiosrúcháin ar Meta Platforms Ireland Limited (Sárú Airíochtaí)

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 25, 33

Tagairt DPC: IN-18-10-1 and IN-18-11-1

Dáta Cinnidh: 12 Nollaig 2024

An 12 Nollaig 2024, ghlac Coimisiún na hÉireann um Chosaint Sonraí (‘an Coimisiún’) cinntí críochnaitheacha in dhá fhiosrúchán reachtúla dá dheoin féin lena dtugtar iomardú do Meta Platforms Ireland Limited (‘MPIL’) agus lena bhforchuirtear fíneálacha riaracháin. D’oscail an Coimisiún na fiosrúcháin mar fhreagairt do shárú sonraí pearsanta a thuairiscigh MPIL (ar ar tugadh Facebook Ireland Ltd ag an am) i mí Mheán Fómhair 2018. Rinneadh an fiosrúchán de réir an Achta um Chosaint Sonraí, 2018, agus Airteagal 60 den Rialachán Ginearálta ón Aontas Eorpach maidir le Cosaint Sonraí (‘RGCS’).

Breithníodh sna cinntí gnéithe den cheart bunúsach maidir le cosaint sonraí faoi Airteagal 8 de Chairt um Chearta Bunúsacha an Aontais Eorpaigh, mar a thugtar éifeacht dóibh le RGCS, lena n-áirítear an oibleagáid atá ar an rialaitheoir sáruithe a thuairisciú agus taifid a choinneáil ar sháruithe agus bearta a chur chun feidhme chun sonraí pearsanta a chosaint trí dhearadh agus mar réamhshocrú araon.

Cúlra na bhFiosrúchán

Tháinig an sárú as an dóigh ar úsáid MPIL airíochtaí úsáideora i ndáil le gnéithe áirithe ar ardán Facebook. Is é is airíochtaí úsáideora ann ná aitheantóirí códaithe is féidir a úsáid chun úsáideoir ardáin nó fóntais a fhíorú agus chun rochtain ar ghnéithe áirithe den ardán agus ar shonraí pearsanta an úsáideora agus a theagmhálaithe a rialú. Thug MPIL gné nua uaslódála físeáin isteach sa bhliain 2017. Nuair a úsáideadh an ghné sin i gcomhar leis an ngné ‘View As’ a bhí ag Facebook (lenar cumasaíodh leathanach úsáideora a fheiceáil mar a d’fheicfeadh úsáideoir eile é) agus leis an ngné ‘Happy Birthday Composer’, ghinfeadh an t-uaslódálaí físeáin airíocht úsáideora a bhí ceadaithe go hiomlán, rud lenar tugadh rochtain iomlán ar an bpróifíl a bhí ag an úsáideoir eile sin ar Facebook. D’fhéadfaí an airíocht sin a úsáid ansin chun an teaglaim chéanna gnéithe a dhúshaothrú ar chuntais eile, rud lenar tugadh rochtain ar phróifílí roinnt úsáideoirí agus ar na sonraí a bhí inrochtana tríothu. Idir an 14 Meán Fómhair agus an 28 Meán Fómhair 2018, bhain daoine neamhúdaraithe úsáid as scripteanna chun an leochaileacht sin a dhúshaothrú agus fuair siad rochtain ar thart ar 29 milliún cuntas Facebook ar domhan, dá raibh thart ar thrí mhilliún cuntas lonnaithe san Aontas Eorpach/sa Limistéar Eorpach Eacnamaíoch. Cuireadh pearsana slándála Facebook ar a n-airdeall faoin leochaileacht trí mhéadú aimhrialta sa ghníomhaíocht uaslódála físeáin agus bhain siad tamaillín ina dhiaidh sin an fheidhmiúlacht ba chúis leis an leochaileacht. Thug MPIL fógra don Choimisiún faoin sárú an 28 Meán Fómhair 2018.

Thosaigh an Coimisiún fiosrúcháin chun imscrúdú a dhéanamh ar a mhéid a bhí gnéithe de RGCS á gcomhlíonadh.

Achoimre ar Chinntí: IN-18-10-1

 Uimhir

 Airteagal de RGCS

 Cinntí

 1

Airteagal 33(3)

Agus fógra á thabhairt aige faoin sárú, níor thug MPIL aon fhaisnéis a d’fhéadfadh sé, agus ba cheart dó, a chur ar áireamh san fhógra. Áiríodh leis an bhfaisnéis sin faisnéis faoi chineál an tsáraithe, faoi na catagóirí ábhar sonraí a ndearna an sárú difear dóibh, faoi na catagóirí taifead sonraí pearsanta a ndearna an sárú difear dóibh agus faoi iarmhairtí dóchúla an tsáraithe.

 2

Airteagal 33(5)

Mhainnigh MPIL taifead doiciméadach comhaimseartha a chruthú ar na fíorais a bhaineann leis an sárú.

 

Achoimre ar Chinntí: IN-18-11-1

Líon

Airteagal de RGCS

Cinntí

1

Airteagal 25(1)

Mhainnigh MPIL bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun a chinntiú go mbeadh an phróiseáil slán ar ionsaí agus go seasfadh an phróiseáil le prionsabail na sláine agus na rúndachta. Ar leithligh ó na leochaileachtaí ab inchurtha go sonrach i leith na n-airíochtaí, mhainnigh MPIL bearta malartacha níos cuí a úsáid chun a chinntiú go gcomhlíonfadh an phróiseáil, trí dhearadh, na caighdeáin riachtanacha um chosaint sonraí.

2

Airteagal 25(2)

I gcomhthéacs na próiseála ar lena haghaidh a imscaradh iad, ba é an toradh a bhí ar na hairíochtaí ar imscar MPIL iad ná rochtain leathan gan ghá a thabhairt ar shonraí pearsanta úsáideoirí Facebook. Mar thoradh ar an mainneachtain sin a chinntiú nach bpróiseálfaí ach sonraí pearsanta a bhí riachtanach le haghaidh chríoch shonrach na próiseála, sáraíodh an prionsabal um chosaint sonraí mar réamhshocrú.

 

Bearta Ceartaitheacha

I gcás go ndéanann an Coimisiún cinneadh faoi alt 111(1)(a) den Acht um Chosaint Sonraí, 2018, ní mór dó freisin cinneadh a dhéanamh faoi alt 111(2) maidir le cé acu ba cheart nó nár cheart cumhacht cheartaitheach a fheidhmiú i ndáil leis an rialaitheoir nó leis an bpróiseálaí lena mbaineann agus, dá mba cheart, ní mór dó cinneadh a dhéanamh ar an gcumhacht cheartaitheach atá le feidhmiú.

Tar éis dó na sáruithe ar RGCS atá leagtha amach thuas a bhreithniú, chinn an Coimisiún na cumhachtaí ceartaitheacha seo a leanas a fheidhmiú de réir Airteagal 58(2) RGCS:

  • iomardú, de bhun Airteagal 58(2)(b) RGCS, maidir leis na sáruithe atá sainaitheanta sa Chinneadh; agus
  • fíneálacha riaracháin dar luach iomlán €251 mhilliún, mar a leanas:
    1. Fíneáil €8 milliún maidir le sárú MPIL ar Airteagal 33(3) RGCS.
    2. Fíneáil €3 mhilliún maidir le sárú MPIL ar Airteagal 33(5) RGCS.
    3. Fíneáil €130 milliún maidir le sárú MPIL ar Airteagal 25(1) RGCS.
    4. Fíneáil €110 milliún maidir le sárú MPIL ar Airteagal 25(2) RGCS

Is é cuspóir an iomardaithe ná cineál tromchúiseach na sáruithe a aithint go foirmiúil chun neamhchomhlíonadh den chineál céanna a chosc sa todhchaí i measc MPIL agus rialaitheoirí nó próiseálaithe eile a dhéanann oibríochtaí próiseála den chineál céanna. Ba le sonraí pearsanta de chuid na milliún daoine d’úsáideoirí Facebook a bhain na sáruithe. Ina theannta sin, chinn an Coimisiún gur rannchuidigh an dá shárú leis an riosca go ndéanfaí calaois ar na hábhair sonraí, lenar áiríodh leanaí agus daoine soghonta eile, go ngoidfí a gcéannacht agus go seolfaí turscar chucu.

Agus é ag cinneadh fíneálacha riaracháin dar luach iomlán €251 mhilliún a fhorchur, thug an Coimisiún aird chuí ar na tosca atá leagtha amach in Airteagal 83(2) RGCS. Mheas an Coimisiún freisin gur chomhlíon na fíneálacha riaracháin na ceanglais atá in Airteagal 83(1) RGCS á rá go mbeadh fíneálacha éifeachtach, comhréireach agus athchomhairleach.

Sular ghlac sé na Cinntí, chuir an Coimisiún dréachtaí díobh faoi bhráid na n-údarás Eorpach eile maoirseachta cosanta sonraí (‘Údaráis Mhaoirseachta lena mBaineann’) i mí Mheán Fómhair 2024, mar a cheanglaítear le hAirteagal 60(3) RGCS. Níor tharraing na hÚdaráis Mhaoirseachta lena mBaineann aon agóidí anuas faoi Airteagal 60(4) RGCS in aghaidh na ndréachtchinntí. Fuarthas trí bharúil ó Údaráis Mhaoirseachta lena mBaineann maidir le gach ceann de na dréachtchinntí. Thug an Coimisiún aird chuí ar na barúlacha sin, agus ar aighneachtaí deiridh ó MPIL, agus na Cinntí á dtabhairt i gcrích aige lena nglacadh.

 

Tá an cinneadh iomlán IN-18-10-1 ar fáil anois le híoslódáil (36MB, PDF).

Tá an cinneadh iomlán IN-18-11-1 ar fáil anois le híoslódáil (36MB, PDF).

 

Fiosrúchán ar Ollscoil Mhá Nuad

Réimse: Ollscoil

Airteagal: 5, 32, 33

Tagairt DPC: IN-19-9-3

Dáta Cinnidh: 22 Deireadh Fómhair 2024

Tagann an cinneadh seo as fiosrúchán dá dheoin féin a thosaigh an Coimisiún um Chosaint Sonraí (an Coimisiún) i mí Iúil 2019. Bhain an fiosrúchán le sárú sonraí pearsanta ar thug Ollscoil Mhá Nuad fógra faoi i mí na Samhna 2018.

Rinne an sárú difear do na cuntais ríomhphoist de chuid fostaithe ollscoile, agus thug sé deis do dhaoine neamhúdaraithe smacht a fháil ar suas le sé chuntas. Bhain na daoine neamhúdaraithe úsáid as an rialú a bhí acu ar chuntas amháin chun rialacha ríomhphoist a chruthú lenar ceileadh teachtaireachtaí a fuarthas ó sheoltaí áirithe. Ar an mbealach sin, rinne na daoine neamhúdaraithe calaois, rud a d’fhág gur fhulaing duine amháin a ndearnadh difear dá c(h)untas ríomhphoist caillteanas airgeadais. Ina dhiaidh sin chúitigh Ollscoil Mhá Nuad an duine sin as an gcaillteanas sin. Rinne an Coimisiún measúnú ar na bearta teicniúla agus eagraíochtúla a bhí i bhfeidhm ag Ollscoil Mhá Nuad chun slándáil na sonraí pearsanta a bhí á bpróiseáil aici a chinntiú, agus scrúdaigh sé a mhéid a chomhlíon an rialaitheoir an oibleagáid atá uirthi fógra a thabhairt go pras faoi aon sáruithe.

Bearta teicniúla agus eagraíochtúla le haghaidh slándála

Chinn an Coimisiún gur baineadh úsáid as an gcóras ríomhphoist ar raon leatha cuspóirí lena ndearnadh difear do scóip ghinearálta na ngníomhaíochtaí a rinneadh in Ollscoil Mhá Nuad, lenar áiríodh acmhainní daonna agus nithe gaolmhara. Ar na cineálacha sonraí pearsanta a próiseáladh bhí faisnéis mhionsonraithe aitheantais, airgeadais agus teagmhála, mar aon le sonraí pearsanta sláinte agus catagóirí íogaire eile sonraí pearsanta. Leis an bpróiseáil, rinneadh difear do na sonraí pearsanta a bhí ag líon mór daoine aonair. Chinn an Coimisiún, mar sin de, gurb ard a bhí na rioscaí a raibh aghaidh le tabhairt orthu i mbearta teicniúla agus eagraíochtúla Ollscoil Mhá Nuad le haghaidh slándála. Cé gur cinneadh san fhiosrúchán ón gCoimisiún gur chuir Ollscoil Mhá Nuad roinnt bearta iomchuí slándála chun feidhme, cinneadh ann freisin gur léir roinnt laigí suntasacha agus roinnt easnaimh shuntasacha:

  • Ar na bearta teicniúla a chinn an Coimisiún a bheith neamh-leordhóthanach bhí mainneachtain úsáid a bhaint as fíordheimhniú ilfhachtóra in imthosca iomchuí, easpa rialaithe ar rialacha cumraíochta ríomhphoist agus bearta neamh-leordhóthanacha chun córais a choinneáil nuashonraithe agus chun bogearraí mailíseacha a chosc.
  • Ar na bearta eagraíochtúla a cinneadh a bheith neamh-leordhóthanach bhí beartais agus oiliúint foirne maidir le slándáil ríomhphoist agus cosaint sonraí, maidir le maoirseacht ar úsáid ríomhphoist, maidir leis an mbeartas pasfhocal, agus maidir le beartais i ndáil le sáruithe sonraí pearsanta a rialú agus a bhainistiú.

Cinneadh sa chinneadh ón gCoimisiún nár tugadh aghaidh mar is ceart le bearta teicniúla agus eagraíochtúla Ollscoil Mhá Nuad ar na rioscaí a bhain lena próiseáil, agus aird á tabhairt ar chineál na sonraí pearsanta, ar na cuspóirí ar chucu a úsáideadh iad agus ar an líon daoine a ndearnadh difear dóibh. Cé gur ghlac Ollscoil Mhá Nuad bearta ina dhiaidh sin chun easnaimh a sainaithníodh le linn an fhiosrúcháin a leigheas agus gur chúitigh sí le híospartach na calaoise airgeadais, chinn an Coimisiún gur sháraigh Ollscoil Mhá Nuad Airteagal 5(1)(f) agus Airteagal 32 RGCS toisc gur mhainnigh sí slándáil iomchuí a chinntiú do na sonraí pearsanta a bhí á bpróiseáil aici agus toisc gur mhainnigh sí bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun slándáil den sórt sin a chinntiú.

Fógra pras a thabhairt ar shárú sonraí pearsanta

Le hAirteagal 33 RGCS, ceanglaítear ar rialaitheoirí sonraí fógra a thabhairt dá n-údarás maoirseachta faoi gach sárú sonraí pearsanta ar dóigh dó a bheith ina riosca do chearta agus saoirsí daoine. Ní mór an fógra a thabhairt ‘gan aon mhoill mhíchuí agus, más féidir, tráth nach déanaí ná 72 uair an chloig tar éis dóibh bheith ar an eolas faoin sárú sin’.

Cé go raibh Ollscoil Mhá Nuad ar an eolas ag céim luath faoi na fíorais uile lenar taispeánadh gur tharla sárú sonraí pearsanta a bhí ina riosca do chearta agus saoirsí daoine, aimsíodh san fhiosrúchán ón gCoimisiún nár thug sí tuairisc ar an sárú don Choimisiún ach níos mó ná trí seachtaine ina dhiaidh sin. Ina ionad sin, is amhlaidh, tar éis di an sárú a aimsiú, a choimisiúnaigh Ollscoil Mhá Nuad comhairleoir slándála TF seachtrach chun tuairisc a thabhairt ar an sárú agus ar na himthosca a bhí ag baint leis. Deimhníodh sa tuarascáil gur cheart fógra a thabhairt don Choimisiún faoin sárú, ach ní dhearnadh an beart sin ach ceithre lá tar éis sheachadadh na tuarascála. Luaigh an Coimisiún go n-áirítear leis an gcuspóir arb éard é fógra pras faoi sháruithe a cheangal an t-údarás maoirseachta a chumasú chun gníomhaíocht a mholadh agus a stiúradh chun daoine a chosaint ar na rioscaí suntasacha ar féidir leo a bheith ag baint le sáruithe. Luaigh sé ina dhiaidh sin gur sháraigh Ollscoil Mhá Nuad Airteagal 33(1) RGCS trí mhoill a chur gan ghá ar fhógra a thabhairt faoin sárú.

Bearta ceartaitheacha

Cuireadh san áireamh i gcinntí an Choimisiúin ar bhearta ceartaitheacha na tosca riachtanacha uile, lenar áiríodh na rioscaí a bhí ag baint leis an bpróiseáil, na cineálacha sonraí pearsanta agus an líon daoine a ndearnadh difear dóibh, agus na bearta leigheasacháin a rinne Ollscoil Mhá Nuad. Thug an Coimisiún aird freisin ar alt 141(4) den Acht um Chosaint Sonraí, 2018, rud lena socraítear uasmhéid €1,000,000 le haghaidh fíneálacha riaracháin a fhéadfar a fhorchur ar ‘údaráis phoiblí’, ar catagóir í a fholaíonn comhlachtaí amhail Ollscoil Mhá Nuad.

Ba iad seo na bearta ceartaitheacha a rinne an Coimisiún:

  • iomardú d’Ollscoil Mhá Nuad i leith na sáruithe a sainaithníodh,
  • fíneáil riaracháin €25,000 i leith an tsáraithe ar Airteagal 5(1)(f) agus Airteagal 32(1) RGCS,
  • fíneáil riaracháin €15,000 i leith an tsáraithe ar Airteagal 33(1) RGCS,
  • ordú d’Ollscoil Mhá Nuad a próiseáil a chur i gcomhréir le ceanglais slándála RGCS agus tuairisc a thabhairt don Choimisiún ar na bearta arna ndéanamh.

Is féidir an cinneadh iomlán a íoslódáil ag an nasc seo: Fiosrúchán ar Ollscoil Mhá Nuad Samhain 2024 - (PDF,1.3MB)

 

Fiosrúchán ar Chomhairle Chontae Shligigh

Réimse: Údarás Poiblí

Tagairt DPC: 07/SIU/2018

Dáta Cinnidh: 13 Samhain 2024

Tá an fiosrúchán seo ar cheann de líon fiosrúcháin dá dtoil féin maidir le raon leathan saincheisteanna a bhaineann le faireachas teicneolaíochtaí a mbaineann údaráis Stáit úsáid astu. Féachadh san fhiosrúchán sei lena mheasúnú cé acu a bhí nó nach raibh Comhairle Contae Shlighigh ag próiseáil sonraí pearsanta i gcomhréir leis an RGCS agus leis an Acht um Chosaint Sonraí 2018. Rinneadh scrúdú san fhiosrúcháin ar roinnt oibríochtaí próiseála na Comhairle, lena n-áirítear an úsáid a bhaineann sí as caimearaí TCI in áiteanna poiblí chun coireacht a ionchúiseamh nó chun chríocha eile.

Airítear na nithe seo leis na fionnachtana sa chinneadh:

Ní raibh aon bhunús dlí bailí ag Comhairle Chontae Shligigh le próiseáil a dhéanamh ar shonraí pearsanta ó cheamaraí TCI agus ó cheamaraí uathaitheanta uimhirphlátaí.
Mhainnigh Comhairle Contae Shlighigh comharthaí a raibh foclaíocht chuí orthu a chur in airde i láithreacha cuí i ndáil le próiseáil na sonraí pearsanta a bailíodh trí na ceamaraí TCI.
Cinneadh freisin gur sáraíodh na hoibleagáidí atá ar Chomhairle Chontae Shlighigh measúnuithe tionchair ar chosaint sonraí a dhéanamh, logaí sonraí a chothabháil le haghaidh rochtain shonrach ar thaifeadtaí TCI, agus bearta cuí teicniúla agus eagrúcháin a chur chun feidhme.
Na cumhachtaí ceartaitheacha a feidhmíodh:

Toirmeasc sealadach ar shonraí pearsanta a phróiseáil trí cheamaraí TCI agus trí cheamaraí uathaitheanta uimhirphlátaí ag láithreacha éagsúla go dtí gur féidir bunús dlí bailí a shainaithint.
Ordú do Chomhairle Contae Shligigh a próiseáil sonraí pearsanta a chur i gcomhréir trí ghníomhartha áirithe a sonraíodh sa chinneadh a dhéanamh.
Eisíodh iomardú i leith an tsáraithe a rinne Comhairle Chontae Shligigh ar alt 79 an Acht um Chosaint Sonraí 2018.
Fíneáil riaracháin €29,500.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán ar Chomhairle Chontae Shligigh Samhain 2024 - (PDF, 7.6MB)

 

Fiosrúchán ar LinkedIn Ireland Unlimited Company

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 5, 6, 14

Tagairt DPC: IN-18-08-3

Dáta Cinnidh: 22 Deireadh Fómhair 2024

Baineann an Cinneadh le Fiosrúchán a rinne an Coimisiún um Chosaint Sonraí (an Coimisiún) ar LinkedIn Ireland Unlimited Company (LinkedIn), rialaitheoir sonraí a bhfuil a phríomhbhunaíocht in Éirinn aige. Baineann an Cinneadh le fiosrúchán gearánbhunaithe a tosaíodh an 20 Lúnasa 2018, ag teacht sna sála ar ghearán a rinne La Quadrature du Net, eagraíocht neamhbhrabúis Fhrancach (an Gearán).

Rinneadh an gearán ar dtús le hÚdarás Cosanta Sonraí na Fraince, thar ceann ábhair sonraí dá ndearnadh difear de bhun Airteagal 80(1) den Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS), agus a tarchuireadh ina dhiaidh sin chuig an gCoimisiún mar phríomhúdarás maoirseachta do LinkedIn. Maíodh sa Ghearán gur phróiseáil LinkedIn sonraí pearsanta áirithe a bhaineann leis na hábhair sonraí le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe, gan bunús dlí bailí a bheith aige agus ar bhealach éagothrom neamh-thrédhearcach.

Thosaigh an Coimisiún fiosrúchán reachtúil (an Fiosrúchán) an 20 Lúnasa 2018 chun an dóigh ar chomhlíon LinkedIn Airteagail 5(1)(a), 6(1), 13(1)(c), 13(1)(d), 14(1)(c) agus 14(2)(b) RGCS a scrúdú. Tosaíodh an fiosrúchán de bhun alt 110 den Acht um Chosaint Sonraí, 2018 (Acht 2018).

Achoimre ar Chinntí

Thángthas ar na conclúidí seo a leanas sa Chinneadh:

  • Ní raibh LinkedIn in ann a bheith ag brath go bailí ar Airteagal 6(1)(a) RGCS chun sonraí tríú páirtí a bhall a phróiseáil le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe, gan anailísíocht a áireamh, ar an mbonn nach raibh an toiliú a bhfuair LinkedIn é tugtha faoi shaoirse, sonrach nó feasach go leordhóthanach ná gan athbhrí.
  • Ní raibh LinkedIn in ann a bheith ag brath go bailí ar Airteagal 6(1)(f) RGCS le haghaidh na próiseála a rinne sé ar shonraí pearsanta céadpháirtí a bhall le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe nó ar shonraí tríú páirtí le haghaidh anailísíochta.
  • Ní raibh LinkedIn in ann a bheith ag brath go bailí ar Airteagal 6(1)(b) RGCS chun sonraí céadpháirtí a bhall a phróiseáil le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe.
  • Sháraigh LinkedIn Airteagail 13(1)(c) agus 14(1)(c) i ndáil leis an bhfaisnéis a sholáthair sé d’ábhair sonraí maidir leis an méid a bhí sé ag brath ar Airteagal 6(1)(a), Airteagal 6(1)(b) agus Airteagal 6(1)(f) mar bhunúis dhleathacha.
  • Sháraigh LinkedIn prionsabal na cothroime in Airteagal 5(1)(a) RGCS.

Bearta Ceartaitheacha

Faoi alt 113(4)(a) d’Acht 2018, is amhlaidh, i gcás go nglacann an Coimisiún cinneadh (de réir alt 113(2)(b)), nach mór dó freisin cinneadh a dhéanamh maidir le cé acu ba cheart nó nár cheart cumhacht cheartaitheach a fheidhmiú i ndáil leis an rialaitheoir nó an phróiseálaí lena mbaineann agus, dá mba cheart, ní mór dó cinneadh a dhéanamh ar an gcumhacht cheartaitheach atá le feidhmiú. Leagtar amach in Airteagal 58(2) RGCS na cumhachtaí ceartaitheacha a fhéadfaidh údaráis mhaoirseachta a fheidhmiú i ndáil le neamhchomhlíonadh ag rialaitheoir nó ag próiseálaí.

Tar éis dó na sáruithe a luadh sa Chinneadh a bhreithniú go cúramach, chinn an Coimisiún cumhachtaí ceartaitheacha áirithe a fheidhmiú de réir alt 115 d’Acht 2018 agus de réir Airteagal 58(2) RGCS. Ba iad seo na cumhachtaí ceartaitheacha a chinn an Coimisiún a bheith cuí chun aghaidh a thabhairt ar na sáruithe sna himthosca ar leith:

  • Iomardú a eisiúint chuig LinkedIn i ndáil lena sháruithe ar RGCS a luadh sa Chinneadh (i.e., Airteagail 5(1)(a), 6(1), 13(1)(c) agus 14(1)(c) RGCS).
  • Ordú a fhorchur ar LinkedIn a phróiseáil a chur i gcomhréir le RGCS. Leis an ordú sin:
    • ceanglaítear, ar an gcéad dul síos, ar LinkedIn an Beartas Príobháideachta uaidh a thabhairt i gcomhréir le hAirteagail 13(1)(c) agus 14(1)(c) RGCS maidir le faisnéis a sholáthraítear faoi shonraí a phróiseáiltear de bhun Airteagal 6(1)(a), 6(1)(b) agus 6(1)(f) RGCS, má leanann LinkedIn le bheith ag brath ar na bunúis dhleathacha sin le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe agus le haghaidh anailísíochta;
    • ceanglaítear, ar an dara dul síos, ar LinkedIn an ghníomhaíocht is gá a dhéanamh chun an phróiseáil a dhéanann sé ar shonraí pearsanta le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe a thabhairt i gcomhréir le hAirteagal 6(1) RGCS, go háirithe, an ghníomhaíocht is gá a dhéanamh chun aghaidh a thabhairt ar na cinntí sa Chinneadh nach raibh LinkedIn ag brath go bailí ar Airteagal 6(1)(a), 6(1)(b) agus 6(1)(f) RGCS chun an phróiseáil shainaitheanta a dhéanamh.
  • Trí fhíneáil riaracháin dar luach iomlán €310 milliún a bhí éifeachtach, comhréireach agus athchomhairleach a fhorchur mar a leanas:
    • Fíneáil €105 mhilliún maidir le brath LinkedIn ar an mbunús dleathach in Airteagal 6(1)(a) RGCS, agus maidir le sáruithe LinkedIn ar Airteagail 5(1)(a) agus 6(1) RGCS as sonraí tríú páirtí a bhall a phróiseáil le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe gan bunús dleathach bailí.
    • Fíneáil €110 milliún maidir le brath LinkedIn ar na bunúis dhleathacha in Airteagail 6(1)(b) agus 6(1)(f) RGCS, agus maidir le sáruithe LinkedIn ar Airteagail 5(1)(a) agus 6(1) RGCS as sonraí céadpháirtí a bhall a phróiseáil le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe agus as sonraí tríú páirtí a phróiseáil le haghaidh anailísíochta gan bunús dleathach bailí.
    • Fíneáil €95 mhilliún maidir le sáruithe LinkedIn ar Airteagail 13(1)(c) RGCS agus 14(1)(c) RGCS.

Níor fhorchuir an Coimisiún fíneáil leithleach as an sárú ar phrionsabal na cothroime de chuid Airteagal 5(1)(a) RGCS in imthosca ina raibh an sárú bunaithe ar iompar ar chuir an Coimisiún san áireamh é go hiomlán cheana féin le linn fíneálacha riaracháin leithleacha a fhorchur.

Sular glacadh é, chuir an Coimisiún dréacht den chinneadh uaidh faoi bhráid na nÚdarás Maoirseachta lena mbaineann i mí Iúil 2024, mar a cheanglaítear faoi Airteagal 60(3) RGCS. Níor tharraing na hÚdaráis Mhaoirseachta lena mbaineann aon agóidí (chun críche Airteagal 60(4) RGCS) in aghaidh an dréachtchinnidh.

Chun tuilleadh faisnéise a fháil: