Bhí an gearánach ina bhall de scéim árachais cosanta ioncaim agus bhí cead neamhláithreachta ón obair acu de dheasca breoiteachta. Fostóir an ghearánaigh a d’eagraigh an scéim árachais cosanta ioncam. Chun éileamh a dhéanamh faoin scéim, ceanglaíodh ar an bhfostaí freastal ar choinní leighis a d’eagraigh cuideachta árachais. Níor roinneadh faisnéis a bhain le breoiteacht an ghearánaigh ach leis an gcuideachta árachais. Mar sin féin, chuir cuideachta tríú páirtí (nach raibh a rannpháirtíocht san éileamh ar eolas ag an ngearánach) faisnéis ar aghaidh chuig fostóir an ghearánaigh maidir leis na coinní liachta a ceanglaíodh ar an ngearánach freastal orthu. San áireamh san fhaisnéis bhí réimse speisialtóireachta na ndochtúirí i gceist.
Fuarthas gurbh í an chuideachta árachais an rialai- theoir sonraí mar gheall gur rialaigh sé ábhar agus úsáid sonraí pearsanta an ghearánaigh chun críche éileamh an ghearánaigh faoin scéim árachais a bhainistiú agus riarachán a dhéanamh ina leith . I measc na sonraí i gceist bhí mionsonraí faoi bhreoiteacht an ghearánaigh, coinní leighis sceidealaithe agus cóireáil bheartaithe agus measadh gur sonraí pearsanta a bhí iontu de bharr gurbh fhéidir an gearánach a shainaithint uathu agus gur bhain siad leis an ngearánach mar dhuine aonair .
Le linn an imscrúdaithe, d’áitigh an rialaitheoir sonraí go raibh foirm sínithe ag an ngearánach ar a raibh ráiteas a dhearbhaigh gur thug an gearánach toiliú don rialaitheoir sonraí faisnéis maidir le breoiteacht an ghearánaigh a lorg . Nuair a d’iarr an DPC air soiléiriú a thabhairt ar an bhfáth gur roinn sé an fhaisnéis maidir le coinní leighis an ghearánaigh leis an gcuideachta tríú páirtí (ar bróicéir na scéime árachais é), chuir an rialaitheoir sonraí in iúl go ndearna sé amhlaidh chun nuashonrú a thabhairt don bhróicéir agus lena chinntiú go ndéanfaí dul chun cinn tapa ar an gcás .
Shloinn an rialaitheoir sonraí go raibh oibleagáid reachtúil air faisnéis áirithe a sholáthar don ghearánach . Go sonrach, go raibh oibleagáid reachtúil ar an rialaitheoir sonraí faighteoirí na sonraí pearsanta nó catagóirí fhaighteoirí na sonraí pearsanta a chur in iúl don ghearánach . Thug an DPC ar aird, cé gur thug an rialaitheoir sonraí fógra don ghearánach go raibh seans go lorgódh sé sonraí pearsanta a bhain leo, gur theip air faisnéis leormhaith a sholáthar don ghearánach maidir le faighteoirí sonraí pearsanta an ghearánaigh .
Ceanglaítear faoin reachtaíocht um chosaint sonraí freisin go gcaithfidh sonraí a choimeádann rialaitheoir sonraí a bheith leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha ar bailíodh na sonraí pearsanta chucu . Scrúdaigh an DPC an fáth a thug rialaitheoir sonraí le faisnéis faoi chineál choinní leighis an ghearánaigh a nochtadh (i .e . chun nuashonrú a thabhairt don bhróicéir agus lena chinntiú go ndéanfadh dul chun cinn tapa ar an gcás) . Ba é tuairim an DPC gurbh iomarcach ag an rialai- theoir sonraí é faisnéis maidir le cineál sonrach na gcoinní leighis, lena n-áirítear speisialtóireachtaí na ndochtúirí i gceist, a nochtadh don chuideachta tríú páirtí .
Thug an DPC ar aird go dtugtar cosaint bhreise do shonraí maidir le sláinte faoin reachtaíocht um chosaint sonraí . Ba é tuairim an DPC, de bharr go raibh mionsonraí faoi speisialtóireachtaí na ndochtúirí i gceist san áireamh san fhaisnéis a nocht an rialaitheoir sonraí, gur thug sí cineál féideartha bhreoiteacht an ghearánaigh le tuiscint agus dá bharr sin gur thairbhigh sí an chosaint bhreise sin . Dheimhnigh an DPC go raibh toirmeasc ar na sonraí i gceist a phróiseáil, mar gheall ar an gcosaint bhreise, ach amháin sa chás go raibh feidhm le ceann amháin de líon coinníollacha sonraithe ina leith . Mar shampla (agus é ábhartha anseo), d’fhéadfaí na sonraí pearsanta a bhain leis an tsláinte a phróiseáil go dleathach sa chás gur thug an gearánach toiliú sainráite don rialaitheoir sonraí go ndéanfaí an phróiseáil . Bhreithnigh an DPC ansin cibé an bhféadfaí nó nach bhféadfaí a rá gurbh ionann an fhoirm éilimh (ar a raibh an t-alt maidir le toiliú a thabhairt don rialaitheoir sonraí faisnéis a lorg) a bheith sínithe ag an ngearánach agus toiliú sainráite go ndéanfaí an fhaisnéis a bhain le coinní leighis an ghearánaigh a phróiseáil (a nochtadh) . Thug an DPC ar aird go bhféadfaí a rá gur tugadh toiliú sainráite an ghearánaigh go ndéanfadh an rialaitheoir sonraí faisnéis den sórt sin a lorg . Mar sin féin, níor thug an gearánach a dtoiliú sainráite go dtabharfadh an rialaitheoir sonraí faisnéis den sórt sin do thríú páirtithe . Ar an mbunús sin, d’áitigh an DPC go raibh sárú breise ar an reachtaíocht déanta ag an rialaitheoir sonraí i ndáil leis sin . Faoi Airteagal 13 den GDPR, i gcás go mbailítear sonraí pearsanta a bhaineann le hábhar sonraí ón ábhar sonraí, tá ceanglas ar an rialaitheoir sonraí faisnéis áirithe a thabhairt don ábhar sonraí an tráth a gheofar na sonraí pearsanta, amhail céannacht agus sonraí teagmhála an rialaitheora sonraí agus, i gcás inarb infheidhme, sonraí teagmhála a Oifigigh Cosanta Sonraí, críocha na próiseála dá bhfuil na sonraí pearsanta beartaithe chomh maith leis an mbunús dlí don phróiseáil, agus faighteoirí na sonraí, más ann dóibh, chomh maith le faisnéis maidir le cearta an ábhair sonraí . Tá an fhaisnéis sin beartaithe a chinntiú go ndéanfar sonraí pearsanta a phróiseáil ar bhealach cothrom agus trédhearcach . I gcás ina bhfuarthas na sonraí pearsanta ar shlí éigin seachas ón ábhar sonraí féin, ceanglaítear go dtabharfaí faisnéis bhreise don ábhar sonraí, faoi Airteagal 14 den GDPR . Ní mór an fhaisnéis sin a thabhairt i bhfoirm atá gonta, trédhearcach, intuigthe agus a bhfuil rochtain éasca uirthi .
De bhreis air sin, ceanglaítear leis an bprionsabal um íoslaghdú sonraí faoi Airteagal 5(1)(c) go mbeadh sonraí pearsanta leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil . Ciallaíonn sin gur cheart an tréimhse a stóráiltear sonraí pearsanta a theorannú don tréimhse is lú agus is féidir agus nár cheart sonraí pearsanta a phróiseáil ach amháin i gcás nach bhféadfaí cuspóir na próiseála a bhaint amach go réasúnach ar shlí eile .
Ar deireadh, is ceart do rialaitheoirí sonraí a thabhairt ar aird go meastar gur “chatagóir speisialta sonraí pearsanta” iad sonraí pearsanta a bhaineann leis an tsláinte faoi Airteagal 9 den GDPR agus go bhfuil siad faoi réir ag rialacha sonracha, mar aitheantas go bhfuil siad thar a bheith íogair, de réir a nádúir agus mar gheall ar an riosca sonrach do chearta agus saoirse bunúsacha ábhair sonraí a d’fhéadfaí a chruthú trí bhíthin sonraí den sórt sin a phróiseáil . Ní cheadaítear sonraí sláinte a phróiseáil ach amháin i gcásanna áirithe mar a ndéantar foráil dóibh in Airteagal 9(2) den GDPR agus in ailt 45 go 54 den Acht um Chosaint Sonraí 2018, mar shampla, i gcás gur thug an t-ábhar sonraí toiliú sainráite don phróiseáil chun críche sonraithe amháin nó níos mó .
Fuaireamar gearán ó thuismitheoir ábhair sonraí ar mionaoiseach a bhí ann. D’fhreastail an tuismitheoir ar fhéile a d’eagraigh an Gníomhaireacht Stáit, in éineacht lena leanbh. Ghlac grianghrafadóir grianghraf den leanbh. An bhliain ina dhiaidh sin, d’úsáid an Gníomhaireacht Stáit an grianghraf sin in ábhar bolscaireachta. An tuiscint a bhí ag tuismitheoir an ábhair sonraí, cé gur ghlac siad leis gur labhair siad leis an ngrianghrafadóir an tráth ar glacadh an grianghraf, go ndéanfaí teagmháil leo sula n-úsáidfí an íomhá.
Lelinn an imscrúdaithe, thug an Gníomhaireacht Stáit le tuiscint gur bhraith siad ar thoiliú de bhun alt 2A(1) (a) de na hAchtanna, mar go bhfuair an grianghrafadóir cead ó bhéal ó thuismitheoir an ábhair sonraí . Mar sin féin, ghlac an Gníomhaireacht Stáit leis freisin nárbh léir do thuismi- theoir an ábhair sonraí go n-úsáidfí an íomhá chun críocha na meán/caidreamh poiblí . Ghlac an Gníomhaireacht Stáit leis freisin nár tugadh a dhóthain faisnéise don tuismi- theoir maidir leis an íomhá a bheith á coinneáil . D’fháiltigh an DPC roimh an méid a chuir Gníomhaireacht Stáit in iúl maidir le hathbhreithniú láithreach a dhéanamh ar a chleachtais agus ar a nósanna imeachta . Mar fhocal scoir, fuair an DPC nach raibh a dhóthain faisnéise tugtha ag an Gníomhaireacht Stáit do thu- ismitheoir an ábhair sonraí le toiliú a thabhairt maidir le próiseáil na híomhá in ábhar bolscaireachta Bhord Bia .
Fuaireamar gearán in aghaidh teach tábhairne i lár na cathrach á líomhain go ndearna sé sonraí pearsanta an ghearánaigh, mar a bhí i bpíosaí scannáin TCI, a nochtadh dá fhostóir gan a eolas ná a thoiliú agus nach raibh comharthaí cuí TCI in airde aige lenar tugadh fógra don phobal go raibh ábhar TCI á thaifeadadh.
Le linn ár n-imscrúdaithe, fuaireamar amach gur óstáil eagraíocht is fostóir imeacht sóisialta dá foireann sa teach tábhairne ar an oíche a bhí i gceist . Bhí an gearánach ina fhostaí de chuid na heagraíochta sin agus d’fhreastail sé ar an imeacht sóisialta sa teach tábhairne . Bhí teagmhas ann idir an gearánach agus fostaí eile le linn an imeachta shóisialta agus líomhnaíodh go raibh ionsaí tromchúiseach ann. Cuireadh fios ar an nGarda Síochána teacht chun an áitribh ar an oíche a bhí i gceist . Thuairiscigh an bainisteoir agus an príomhfhreastalaí ag an am an teagmhas do stáisiún áitiúil an Gharda Síochána arís an lá dár gcionn .
Fuaireamar amach gur tháinig an fostóir ar an eolas faoin teagmhas agus go ndearna sé teagmháil leis an teach tábhairne chun na tuairiscí a fuair sé a fhíorú . Ar deireadh, lig bainisteoir an tí thábhairne d’oifigeach acmhainní daonna ón bhfostóir amharc ar na píosaí scannáin TCI ar an áitreabh. Tar éis dó amharc orthu, mheas an t-oifigeach acmhainní daonna gur theagmhas tromchúiseach é an teagmhas agus d’iarr sé cóip de na píosaí scannáin ionas go bhféadfadh an fostóir an tsaincheist a phlé leis an ngearánach. Lig an bainisteoir don oifigeach acmhainní daonna cóip de na píosaí scannáin a thaifeadadh ar a fhón póca toisc nár éirigh leis na píosaí scannáin a íoslódáil .
Bhreithnigh an Coimisiún cé acu a bhí nó nach raibh bunús dlí ann, faoi fhoras ‘leasanna dlisteanacha’ an rialaitheora sonraí nó aon tríú páirtí faoi alt 2A(1)(d) de na hAchtanna, lena gceadófaí don teach tábhairne sonraí pearsanta an ghearánaigh a phróiseáil trí phíosaí scannáin TCI a sholáthar don fhostóir . Faoin bhforáil sin, is ceadmhach próiseáil a dhéanamh i gcás gur gá déanamh amhlaidh ‘chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir sonraí nó ag tríú páirtí nó páirtithe a bhfuil na sonraí á nochtadh dóibh, seachas i gcás nach mbeidh údar ann leis an bpróiseáil in aon chás ar leith de bhrí go ndéanfaí dochar do chearta bunúsacha nó saoirsí bunúsacha an ábhair shonraí’ .
Le linn dó anailís a dhéanamh ar an gcás seo, bhí aird ag an gCoimisiún ar an mbreithiúnas ón gCúirt Bhreithiúnais i gcás phóilíní slándála réigiún Ríge . Sa chás sin, bhreithnigh an Chúirt Bhreithiúnais cur i bhfeidhm Airteagal 22 7(f) den Treoir um Chosaint Sonraí (95/46/CE), ar a bhfuil alt 2A(1)(d) bunaithe, agus shainaithin sí trí choinníoll nach mór a chomhlíonadh sa phróiseáil chun údar a thabhairt léi, is iad sin:
Fuair an Coimisiún amach le linn a imscrúdaithe gurb amhlaidh, ag eascairt as an teagmhas a bhí i gceist, gur líomhnaíodh go ndearna an gearánach ionsaí tromchúi- seach ar chomhghleacaí dá chuid agus gur sholáthair an teach tábhairne cóip de na píosaí scannáin TCI d’fhostóir an ghearánaigh ionas go bhféadfadh an fostóir imscrúdú cuí a dhéanamh ar an teagmhas agus ar na líomhaintí . Ós rud é gur tharla an timpiste le linn imeacht sóisialta de chuid an fhostóra, thug an Coimisiún aird ar an mbaol go bhféadfadh an fostóir bheith faoi dhliteanas i leith aon díobhálacha a d’fhulaing aon fhostaí le linn an teagmhais . Dá réir sin, próiseáladh na píosaí scannáin TCI ar mhaithe leis an oibleagáid a bhí ar an bhfostóir sláinte agus sábháil- teacht a chuid fostaithe a chosaint . Ós rud é gur chuir an Chúirt Bhreithiúnais in iúl roimhe seo gur leas dlisteanach é an tsláinte a chosaint, ba dheimhin leis an gCoimisiún go raibh leas dlisteanach ann in údar a thabhairt leis an bpróiseáil . Chinn an Coimisiún freisin go raibh nochtadh na bpíosaí scannáin TCI sa chás seo riachtanach do na leasanna dlisteanacha a bhí á saothrú ag an bhfostóir ionas go bhféadfadh sé na líomhaintí go ndearna an gearánach éagóir a imscrúdú agus a bhailíochtú . Chinn an Coimisiún, ar aon dul leis na tuairimí ón Abhcóide Ginearálta Bobek i gcás phóilíní slándála réigiún Ríge, go bhfuil sé tábhachtach nach n-úsáidtear cosaint sonraí chun críocha bactha i gcásanna ina bhfuil méid beag sonraí pearsanta i gceist . Sna himthosca sin, chinn an Coimisiún nach mbeadh sé réasúnach a bheith ag súil leis go ndiúltódh an teach tábhairne don iarraidh ón fhostóir amharc ar na píosaí scannáin TCI agus cóip díobh a thógáil i gcomhthéacs líomhaintí faoi ionsaí tromchúiseach ar a áitreabh, go háirithe toisc go raibh na sonraí pearsanta teoranta don teagmhas a bhí i gceist agus nár nochtadh ar shlí eile iad . Maidir le leas an fhostóra a chothromú in aghaidh chearta agus leasanna an ghearánaigh, bhí aird phríomha ag an gCoimisiún ar chomhthéacs na próiseála, áit a bhfuair an teach tábhairne iarraidh go n-amharcfaí ar theagmhas tromchúiseach ar a áitreabh agus go soláthrófaí cóip de na píosaí scannáin den teagmhas, rud ar mheas an teach tábhairne go raibh sé sách tromchúi- seach lena thuairisciú don Gharda Síochána . Dá ndiúltófaí don iarraidh, d’fhéadfadh go gcuirfí bac ar imscrúdú iomlán a dhéanamh ar ionsaí tromchúiseach líomhnaithe agus ar chumas an fhostóra sláinte agus leas a chuid fostaithe a chosaint . Dá réir sin, chinn an Coimisiún gur ghá don teach tábhairne na píosaí scannáin TCI a phróiseáil trí iad a sholáthar don fhostóir agus gur bheart réasúnach a raibh údar leis é sin . Chinn sé freisin go raibh forlámhas ag leas dlisteanach an fhostóra ar chearta agus saoirsí an ghearánaigh, go háirithe toisc nach raibh aon sonraí pearsanta íogaire i gceist leis an bpróiseáil agus nach ndearnadh aon phróiseáil iomarcach .
Maidir leis na fíricí, ba dheimhin leis an gCoimisiún go raibh comharthaí leordhóthanacha in airde ag an teach tábhairne ag an am lenar cuireadh pátrúin san airdeall go raibh TCI in úsáid chun baill foirne agus custaiméirí a chosaint agus chun an choireacht a chosc. Cheal fianaise a fháil uaidh ar a mhalairt, ba dheimhin leis freisin go bhfuair an gearánach fógra go raibh TCI in úsáid ag an am a bhí i gceist .
I gcás a lán gearán a láimhseálann an Coimisiún, creideann ábhair shonraí, agus dul amú orthu, go bhfuil próiseáil a sonraí pearsanta neamhdhleathach i gcás nár thoiligh siad leis an bpróiseáil sin . Mar sin féin, is ann do roinnt bunús dlí, seachas toiliú, lena dtugtar údar le próiseáil, ag brath ar na himthosca ar leith lena mbaineann . Maidir leis an údar le leasanna dlisteanacha, fiosróidh an Coimisiún go dian cé acu a shásaíonn nó nach sásaíonn imthosca na próiseála na gnéithe, dar leis an gCúirt Bhreithiúnais, nach mór a bheith ann ionas go bhféadfaidh rialai- theoirí a bheith ag brath ar an mbunús dlí sin . Mar an gcéanna, i gcás go sásaíonn na himthosca an tairseach a theastaíonn don údar sin, cuireann an Coimisiún béim ar an bhfíric gurb amhlaidh, de réir na dtuairimí ón Abhcóide Ginearálta Bobek ón gCúirt Bhreithiúnais, nár cheart ceanglais chosanta sonraí pearsanta a úsáid chun bac a chur ar fhíorleasanna dlisteanacha sna sonraí lena mbaineann .
Bhain an gearán seo le sonraí pearsanta (sa chás eolas mar gheall ar an gcineál fadhb sláinte a bhí ag an ngearánaí) a bheith próiseáilte ag a fhostóir, chun go bhféadfaí saoire bhreoiteachta agus íocaíochtaí a bhain leis a riar ar son an ghearánaí. Thar aon rud eile, chuir an gearánaí a chuid imní in iúl faoi gur roinn an rialaitheoir sonraí (an fostóir) a thaifead leighis, lena n-áirítear iad a bheith roinnte le baill foirne in oifig áitiúil an rialaitheora sonraí, áit ar oibrigh an gearánaí. Chuir an gearánaí oifigeach sinsearach san eagraíocht ar an eolas faoin imní a bhí air. Ba é dearcadh an oifigigh sinsearaigh, áfach, nach raibh roinnte ach a laghad agus a chaithfí a roinnt den eolas.
Nuair a bhíonn sonraí pearsanta a bhaineann le duine á bpróiseáil ag rialaitheoir sonraí, tá ceanglais dhlíthiúla áirithe a chaithfidh an rialaitheoir sonraí a chomhlíonadh. I gcás an ghearáin seo tá ábharthacht ar leith ag baint leis na hoibleagáidí (1) sonraí pearsanta a phróiseáil go cóir; (2) na sonraí sin a fháil ar mhaithe le cuspóirí sonracha agus gan tuilleadh próiseála a dhéanamh orthu ar bhealach nach luíonn leis na cuspóirí sin; (3) go mbeadh na sonraí ábhartha agus leordhóthanach agus nach ndéanfadh an rialaitheoir níos mó ná mar ba ghá de na sonraí a próiseáil chun an chuspóir faoin ar bailíodh iad a bhaint amach; agus (4) go gcinnteofaí go mbeadh an tslándáil chuí maidir leis na sonraí pearsanta i bhfeidhm . Chomh maith leis na rialacha a mbíonn feidhm acu agus sonraí pearsanta á bpróiseáil, sa chás seo toisc gur bhain na sonraí pearsanta le faisnéis leighis (a dtugtar níos mó cosanta dó faoin reachtaíocht um chosaint sonraí), bhí ceanglais bhreise ann a chaithfeadh an rialaitheoir sonraí a chomhlíonadh .
Measadh gurb é an chéad chuspóir a bhain leis na sonraí pearsanta a bheith á bpróiseáil ag an rialaitheoir sonraí ná scéim reachtúil íocaíochta breoiteachta a riar . Chinn an oifig seo freisin nach raibh sé ag dul i gcoinne an chuspóra ar bailíodh na sonraí ina leith i dtosach, go ndéanfaí tuilleadh próiseála ar shonraí pearsanta an ghearánaí chun bainistiú a dhéanamh ar fhostaithe a bhfuil strus a bhaineann lena gcuid oibre ag cur as dóibh nó atá ar shaoire bhreoiteachta fhadtéarmach agus chun monatóireacht a dhéanamh ar leibhéal an phá breoite- achta . Chomh maith leis sin, chinn an DPC go raibh gá leis an bpróiseáil chun bainistiú a dhéanamh ar strus a bhaineann le hobair agus chun saoire bhreoiteachta fhadtéarmach a bhainistiú agus chun súil a choinneáil ar phá breoiteachta; ar mhaithe le conradh a chomhlíon- adh a raibh an té lenar bhain na sonraí páirteach ann; ó thaobh chomhlíonadh oibleagáide dlíthiúla a raibh an ri- alaitheoir faoina réir agus ar mhaithe le cur i bhfeidhm nó cur i gcrích ceart nó oibleagáid a thugtar nó a fhorchuir- tear le dlí ar an rialaitheoir sonraí i dtaca le fostaíocht .
Measadh, áfach, go raibh sé iomarcach na sonraí (an cineál fadhb sláinte a bhí ag an ngearánaí) a phróiseáil san oifig AD áitiúil ar mhaithe le saoire bhreoiteachta fhadtéarmach agus saoire struis a bhaineann leis an obair a bhainistiú agus chun súil a choinneáil ar leibhéil an phá breoiteachta . Ina theannta sin, chinn an DPC, ar an mbonn gur nocht an soláthraí seirbhísí comhroinnte an iomarca sonraí pearsanta don oifig AD áitiúil agus freisin taobh istigh den oifig, nach raibh an leibhéal slándála cuí i bhfeidhm i dtaca le sonraí pearsanta an ghearánaí . Ar deireadh, measadh, sna cúinsí seo, nár phróiseáil an rialaitheoir sonraí na sonraí pearsanta a bhain leis an ghearánaí ar bhealach cóir . Dá bhrí sin, fuarthas amach gur sháraigh an rialaitheoir sonraí a chuid oibleagáidí cosanta sonraí .
Fuaireamar gearán maidir leis an úsáid a bhain an rialaitheoir sonraí as ceamaraí TCI in áitreabh oibre an ghearánaigh agus maidir leis an gcaoia breathnaíodh ar na píosaí scannáin TCI sin (ina raibh sonraí pearsanta an ghearánaigh, ina raibh, i measc nithe eile, íomhánna den ghearánach) d’fhonn monatóireacht a dhéanamh ar fheidhmíocht an ghearánaigh le linn don ghearánach a bheith i mbun fostaíochta leis an rialaitheoir sonraí.
Tráth a rinneadh an gearán, bhí beartas TCI i bhfeidhm ag an rialaitheoir sonraí, inar luadh slándáil agus sábháil- teacht mar chúis leis an gcóras TCI . Luadh é sin chomh maith ar chomharthaíocht a bhí ann in áiteanna ina raibh na ceamaraí TCI i bhfeidhm . Léirigh na fíricí gur chun críocha slándála agus sábháilteachta a bailíodh sonraí pearsanta an ghearánaigh i dtosach . Le linn cruinniú leis an ngearánach, áfach, chuir bainisteoir in iúl don ghearánach nach ndearnadh athbhreithniú ar phíosaí scannáin TCI ina raibh sonraí pearsanta an ghearánaigh amach amháin chun críocha monatóireacht a dhéanamh ar fheidhmíocht an ghearánaigh le linn don ghearánach a bheith i mbun fostaíochta leis an rialaitheoir sonraí . Ní raibh an críoch sin ar na críocha sonraithe próiseála a leagadh amach sa bheartas TCI agus an chomharthaíocht a bhain leis . D’admhaigh an rialaitheoir go mba shárú ar a bheartais an chaoi inar baineadh úsáid as sonraí pearsanta an ghearánaigh .
I gcás ina bpróiseáiltear sonraí pearsanta chun críoch atá difriúil ón gcríoch ar a bailíodh iad, ní foláir nach mbeadh na críocha is bonn leis an tuilleadh próiseála i neamhréir leis na críocha bunaidh . Maidir leis an úsáid a baineadh as sonraí pearsanta an ghearánaigh, b’ionann mona- tóireacht a dhéanamh ar fheidhmíocht an ghearánaigh agus críoch a bhí leithleach agus sainiúil ó na críocha bunaidh i dtaobh sábháilteachta agus slándála ar ina leith a bailíodh na píosaí scannáin TCI . Ar an mbonn sin, b’ionann an phróiseáil a rinneadh ar shonraí pearsanta an ghearánaigh a bhí sna píosaí scannáin TCI chun críocha monatóireachta feidhmíochta agus tuilleadh próiseála chun críocha a bhí i neamhréir le críocha bunaidh an bhailithe sin .
Tháinig ceist eile chun cinn maidir leis an tslándáil a bhain leis an gcaoi ina raibh rochtain ar an gcóras TCI agus ar logaí TCI . I bhfreagraí i scríbhinn chuig an DPC, dúirt an rialaitheoir go raibh fáil, tráth a rinneadh an gearán, ar rochtain ar phíosaí scannáin TCI ar ríomhaire pearsanta aonair sa roinn, agus nach raibh sonraí logála isteach ag teastáil dó. Thug na freagraí ón rialaitheoir le fios nach ndearnadh logáil ar an rochtain ar phíosaí scannáin TCI de láimh ná go huathoibríoch . Ba easnamh i slándáil sonraí é go ginearálta nach raibh loga rochtana ann i gcomhair na bpíosaí scannáin TCI . Ní mór do rialaitheoirí sonraí bearta cuí slándála agus eagraíochta a chur i bhfeidhm, ag teacht le hAirteagal 32 den GDPR, i dtaca le coinníollacha faoi rochtain ar shonraí pearsanta .
Rinneadh leasú suntasach ar an mbeartas TCI ó shin agus cuireadh beartas nua ina áit . Dhearbhaigh an rialaitheoir gur baineadh agus gur cuireadh as feidhm an ríomhaire pearsanta as ar baineadh an úsáid sin . Tá rochtain ar thaifid TCI teoranta anois do dhuine aonair san aonad sonrach agus déantar athbhreithniú ar na taifid i gcás imeacht slándála nó i gcás timpiste amháin .
Baineann ábharthacht ar leith i gcás dá leithéid leis na hoibleagáidí próiseáil chóir a dhéanamh ar shonraí pearsanta (Airteagal 5(1)(a)), agus sonraí dá leithéid sin a fháil chun críocha sonracha agus gan tuilleadh próiseála a dhéanamh uirthi ar bhealach a bheadh i neamhréir leis na críocha sin (Airteagal 5(1)(b)) . Ina theannta sin, ba cheart bearta slándála cuí a bheith i bhfeidhm chun slándái na sonraí pearsanta a áirithiú (Airteagal 5(1)(f) agus Airteagal 32).
21st Mí Bealtaine 2025
D’eisigh ábhar sonraí gearán chuig an gCoimisiún um Chosaint Sonraí (“an Coimisiún”) i gcoinne a fhostóra (“rialaitheoir sonraí”) maidir le próiseáil a shonraí pearsanta faoin Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”). Mhínigh an t-ábhar sonraí don Choimisiún gur tugadh do thríú páirtí (fostóir ionchasach) mionsonraí faoi ní rúnda mar chuid de theistiméireacht. Sula ndearna sé teagmháil leis an gCoimisiún, rinne an t-ábhar sonraí teagmháil leis an rialaitheoir sonraí chun aghaidh a thabhairt ar na húdair imní a bhí aige toisc go raibh sé den tuairim gur próiseáladh a shonraí pearsanta go neamhdhleathach. Ní bhfuair sé freagra sásúil ar an ngearán uaidh, áfach.
Tugann an Coimisiún dá aire gurb é a bhíonn i gceist le teistiméireacht faoi bhall foirne ó fhostóir reatha/ iarfhostóir a sholáthar do thríú páirtí, amhail fostóir ionchasach, de ghnáth ná sonraí pearsanta a nochtadh . Luaigh an t-ábhar sonraí gur nocht an rialaitheoir sonraí ní rúnda sa teistiméireacht a tugadh don fhostóir ionchasach.
Mar chuid dá scrúdú, rinne an Coimisiún idirchaid- reamh leis an rialaitheoir sonraí agus chomhroinn sé na mionsonraí faoi ghearán an ábhair sonraí. Thug an rialaitheoir sonraí freagra don Choimisiún agus mhínigh sé go bhfuil sé ag brath ar thoiliú agus ar leas dlisteanach i ndáil leis an ní rúnda a nochtadh. Luaigh an rialaitheoir sonraí gurbh amhlaidh, le linn dó cearta an ábhair sonraí a chothromú i gcoinne leasanna an tríú páirtí (agus leasanna na ndaoine sin a dtugann an tríú páirtí cúram dóibh), a chinn sé go bhfuil dualgas cúraim air a chinntiú go bhfaigheadh faighteoir na teistiméireachta (an fostóir ionchasach) teistiméireacht a bheadh fíor, cruinn, cothrom agus ábhartha don ról a ndearna an t-ábhar sonraí iarratas air.
Ba dheimhin leis an rialaitheoir sonraí gur próiseáladh na sonraí ar bhealach cothrom trédhearcach. Luaigh sé freisin gurbh amhlaidh, de bharr chineál na fostaíochta, a bhí dualgas cúraim air do na daoine a dtacaíonn siad leo, mar atá na baill foirne, agus freisin d’fhostóirí ionchasacha a sholáthraíonn seirbhísí tacaíochta don chatagóir chéanna cliant.
Tá sé tábhachtach a bhreithniú cé acu a d’fhéadfadh nó nach bhféadfadh stádas an rialaitheora sonraí nó na hoibleagáidí dlíthiúla nó conartha is infheidhme (nó dearbhuithe eile a tugadh tráth an bhailithe) a bheith mar chúis le hionchais réasúnacha go mbeadh rúndacht níos déine ann nó go mbeadh srianta níos déine ar thuilleadh úsáide ann. Chuir an Coimisiún san áireamh cé acu a bhí nó nach raibh an rialaitheoir sonraí in ann an toradh céanna a bhaint amach gan na mionsonraí rúnda a nochtadh don fhostóir ionchasach. Maidir leis na ráitis a tugadh sa teistiméireacht, bhí siad bunaithe ar fhíorais a d’fhéadfaí a chruthú agus a bhí riachtanach chun leasanna dlisteanacha chliaint an rialaitheora sonraí agus an dualgas cúraim do chliaint an rialaitheora sonraí a bhaint amach.
D’ainneoin an dualgais rúin, agus in imthosca inar ainmnigh an t-ábhar sonraí an rialaitheoir sonraí chun an teistiméireacht a sholáthar, á thoiliú le comhroinnt shonraí pearsanta ábhartha an ábhair sonraí le fostóir ionchasach dá bhrí sin, is deimhin leis an gCoimisiún go bhfuil leas dlisteanach an fhostóra ionchasaigh agus mórleas an phobail ina n-údar le nochtadh an ní rúnda.
Tar éis dó an ní a scrúdú go críochnúil, chuir an Coimisiún in iúl don ábhar sonraí, faoi alt 109(5)(c) d’Acht 2018, gur réasúnach atá an míniú a chuir an rialaitheoir sonraí ar aghaidh in imthosca an ghearáin seo agus nár tharla aon phróiseáil neamhdhleathach. Dá réir sin, measadh nár ghá aon ghníomh eile a dhéanamh i gcoinne an rialaitheora sonraí de bhun an ghearáin ón ábhar sonraí.
Chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) in aghaidh a bhfostóra (an rialaitheoir sonraí) maidir lena gcuid sonraí pearsanta a phróiseáil faoi Airteagal 9 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR). Mhínigh an t-ábhar sonraí don DPC go bhfuair siad teastas breoiteachta ón Dochtúir Teaghlaigh (GP) agus mar sin gur thug siad an teastas breoiteachta dá bhfostóir, i gclúdach litreach le seoladh Oifigeach Leighis na heagraíochta. D’oscail comhalta foirne a bhí ag feidhmiú i ról bainisteora an teastas leighis; ní raibh ról mar oifigeach leighis ag an duine seo, áfach. Sula ndearna sé/sí teagmháil leis an DPC rinne an t-ábhar sonraí teagmháil lena bhfostóir chun aghaidh a thabhairt ar na húdair imní a bhí á mbrath acu go raibh sonraí pearsanta a bhí íogair á bpróiseáil go neamhdhleathach; mar sin féin, ní bhfuair siad aon fhreagra maidir lena ngearán.
Mar chuid dá imscrúdú, rinne an DPC teagmháil leis an rialaitheoir sonraí agus rinne mionsonraí maidir le gearán ábhair sonraí a chomhroinnt leo. D’fhreagair an rialaitheoir sonraí an DPC agus mhínigh, de réir Nósanna Imeachta Oibríochta Caighdeánacha na heagraíochta, mar gheall nach raibh aon oifigeach leighis ar dualgas an lá a bhí i gceist, go dtiteann an fhreagracht agus an t-údarás ó thaobh saoire a cheadú, breoiteachta nó eile, go huathoibríoch ar an mbainisteoir ar an lá, arbh é/í a phróiseáil an teastas leighis.
Níor ghlac an t-ábhar sonraí leis an míniú a chuir an rialaitheoir sonraí ar fáil agus chuir go láidir i gcoinne go ndéanfaidh duine nach oifigeach leighis ainmnithe a bhí i gceist próiseáil ar an teastas leighis.
Trína imscrúdú, chinn an DPC, faoi Airteagail 6(1)(b),(c), (f) agus 9(2)(b) den RGCS go raibh boinn dlisteanacha ag an rialaitheoir sonraí, sonraí pearsanta íogaire an ábhair sonraí a phróiseáil faoin GDPR agus mar sin nár tharla aon phróiseáil neamhdhleathach. Níor breithníodh go raibh aon ghníomh eile riachtanach i gcoinne an rialaitheora sonraí maidir le gearán an ábhair sonraí.
Chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) maidir lena mbanc (an rialaitheoir sonraí) mar gur chreid siad go ndearnadh próiseáil go neamhdhleathach ar a sonraí pearsanta. Mhínigh an t-ábhar sonraí go raibh morgáiste acu leis an rialaitheoir sonraí agus gur díoladh an morgáiste seo le banc eile, mar chuid de chomhaontú maidir le hiasacht a dhíol. Rinne an t-ábhar sonraí gearán gur próiseáladh an díolachán seo i ngan fhios dóibh nó gan toiliú uathu agus bhí údar imní sonrach acu maidir leis an rialaitheoir sonraí a bheith ag comhroinnt a seoladh ríomhphoist pearsanta agus uimhir fón póca le banc eile agus mheas siad gur nochtadh iomarcach sonraí pearsanta a bhí i gceist anseo. Cé nach raibh agóid a dhéanamh ag an ábhar sonraí maidir lena n-ainm, seoladh nó uimhir líne talún a bheidh á n-úsáid, chreid siad go raibh a seoladh ríomhphoist agus uimhir fón póca ina sonraí pearsanta a bhí “íogair” agus go raibh nochtadh an chéanna díréireach.
Bhí an t-ábhar sonraí i gcaidreamh go díreach leis an rialaitheoir sonraí maidir lena ngearán sula ndearna siad teagmháil leis an DPC. D’fhreagair an rialaitheoir sonraí agus chuir in iúl don ábhar sonraí gurbh é an bonn dlí a bhí le próiseáil a gcuid sonraí pearsanta ná Airteagal 6(1)(f) den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), ina luaitear: “Go mbeidh gá leis an bpróiseáil chun críocha leasanna dlisteanacha an ábhair sonraí ag an rialaitheoir.”
Ar thús a chur lena n-imscrúdú, chomhroinn an DPC gearán an ábhair sonraí leis an rialaitheoir sonraí agus rinne éileamh ar fhreagra mionsonraithe. Chuir an rialaitheoir sonraí an DPC ar an eolas go gcuireann an rialaitheoir sonraí mar chuid dá bhFógra maidir le Príobháideachas Sonraí, cóip den Fhógra ar fáil dá gcuid custaiméirí, ina dtugtar mionsonraí go bhféadfadh an rialaitheoir sonraí sócmhainní an chomhlachta a dhíol ar mhaithe lena ngnó a bhainistiú. Tugtar tuilleadh mionsonraí maidir leis seo sa litir thairisceana iasachta d’iarratasóirí morgáiste.
Maidir le comhroinnt sonraí pearsanta iomarcacha, thug an rialaitheoir sonraí breac-chuntas nach mbreithníonn siad seoladh ríomhphoist nó uimhir fón póca mar fhaisnéis atá íogair agus nach dtagann siad faoi chatagóirí speisialta sonraí pearsanta faoi Airteagal 9 den GDPR.
Chuir an DPC in iúl cé go bhfuil toiliú mar cheann de sé bhonn dlí maidir le sonraí pearsanta a phróiseáil, go bhfuil sé dleathach sonraí pearsanta a phróiseáil gan toiliú roimh ré ach ceann de chúig bhonn dlí eile, atá liostaithe faoi Airteagal 6 den GDPR a chomhlíonadh. Sa chás seo bhí an rialaitheoir sonraí ag brath ar Airteagal 6(1)(f) agus dá réir sin, ceanglaítear orthu tabhairt faoi thástáil chothromaíochta chun a chinntiú nach mbíonn an leas dlisteanach atá á leanúint ag an rialaitheoir sonraí ag sárú leasanna, cearta nó saoirsí bunúsacha an ábhar sonraí. Dheimhnigh an DPC go ndearna siad tástáil chothromaíochta agus gur deimhníodh, sa chás seo, nach raibh próiseáil sonraí pearsanta ag sárú leasanna, cearta nó saoirsí bunúsacha an duine is ábhar do na sonraí.
Thug an rialaitheoir sonraí míniú breise go raibh sé riachtanach don rialaitheoir sonraí faisnéis teagmhála an ábhair sonraí a chomhroinnt leis an mbanc eile agus gur iad an banc eile na rialaitheoirí sonraí nua maidir le hiasacht an duine is ábhar do na sonraí. Thug an rialaitheoir sonraí soiléiriú freisin nach ndéanann siad idirdhealú idir cineálacha difriúla faisnéis teagmhála, m.sh. uimhreacha líne talún agus fón póca mar gur cuireadh an fhaisnéis seo ar fáil don rialaitheoir sonraí chun na críche teagmháil a dhéanamh le custaiméirí. Dá réir sin, teastaíonn an fhaisnéis seo ón bhanc chun bainistiú a dhéanamh ar an iasacht. Déantar cur síos in Airteagal 9 GDPR ar chatagóir speisialta sonraí pearsanta mar:
“shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, agus toirmeas- cfar próiseáil ar shonraí géiniteacha, ar shonraí bithm- héadracha chun duine nádúrtha a shainaithint go huathúil, ar shonraí a bhaineann leis an tsláinte nó ar shonraí a bhaineann le saol gnéis agus le gnéaschlaonadh duine nádúrtha.”
Dá réir sin, thug an DPC soiléiriú don ábhar sonraí nach dtagann uimhreacha fón póca nó seoltaí ríomhphoist faoin gcatagóir seo. Chuir an DPC in iúl don ábhar sonraí, tar éis don DPC imscrúdú a dhéanamh ar a ngearán faoi alt 109(5)(c) d’Acht na bliana 2018, nach bhfuair an DPC aon fhianaise go raibh próiseáil neamhdhleathach déanta ar a gcuid sonraí pearsanta. Cé go raibh an rialaitheoir sonraí ag brath ar bhonn dlisteanach chun na sonraí a phróiseáil agus go ndearnadh é sin ar bhealach trédhearcach, agus gur coinníodh an t-ábhar sonraí ar an eolas maidir le príomhchéimeanna go léir an díolacháin, mar sin go ndearnadh é a stiúradh agus an duine is ábhar do na sonraí a choinneáil ar an eolas roimh ré. Níor bhreithnigh an DPC go raibh aon ghníomh eile riachtanach nuair a eisíodh an toradh.
Bhain an gearán seo le sonraí pearsanta an ghearánaigh a phróiseáil i riocht íomhá socair ó phíosa scannánaíochta CCTV a rinneadh i siopa geallghlacadóra, agus an t-íomhá son a scaipeadh ar shiopaí geallghlacadóra eile sa slabhra le nóta rabhaidh do bhaill foirne d’fhonn an gearánach a chosc ar gheallta a chur.
Chinn an Coimisiún go raibh an siopa geallghlacadóra ar an rialaitheoir sonraí toisc go ndearna sé na sonraí pearsanta atá i gceist a rialú agus a phróiseáil. Is éard a bhí sna sonraí (i measc nithe eile) ná íomhá den ghearánach agus nótaí inmheánacha a scaipeadh ar bhaill foirne an rialaitheora sonraí maidir leis an ngearánach. Bhí na sonraí ina sonraí pearsanta toisc gur bhain siad leis an ngearánach mar dhuine aonair agus go bhféadfaí an gearánach a aithint ó na sonraí.
Mar fhreagra ar an ngearán, chuir an rialaitheoir sonraí roinnt cúiseanna chun cinn i leith sonraí pearsanta an ghearánaigh a phróiseáil agus d’fhéach sé le háitiú go raibh bunús dlíthiúil bailí i ndáil le gach aon chuspóir, de réir mar a fhoráiltear ina leith sa reachtaíocht um chosaint sonraí. Áiríodh an méid seo a leanas leis na cúiseanna agus bunúis dhlíthiúla chomhfhreagracha a chuir an rialaitheoir sonraí i láthair:
Chinn an Coimisiún gur aithin an rialaitheoir sonraí bunús dlíthiúil oiriúnach i ndáil le gach aon chuspóir dár phróiseáil sé sonraí pearsanta a bhain lena chuid custaiméirí. Ina dhiaidh sin, bhreithnigh an Coimisiún ar chloígh an rialaitheoir sonraí leis an oibleagáid i ndáil leis na sonraí a phróiseáil ar bhealach cothrom. Sa chomhthéacs seo, thug an Coimisiún faoi deara go bhfuil sé d’oibleagáid ar an rialaitheoir sonraí faisnéis a chur ar fáil don ghearánach maidir leis na príomhghnéithe a bhaineann le sonraí pearsanta an ghearánaigh a bhailiú agus a úsáid. Chuir an rialaitheoir sonraí doiciméad inmheánach den chuideachta ar fáil don ghearánach agus dheimhnigh sé gur próiseáladh sonraí pearsanta an ghearánaigh i gcomhréir leis an doiciméad sin. Mar sin féin, bhí an dáta a cuireadh leis an doiciméad ina dháta i ndiaidh sonraí pearsanta an ghearánaigh a phróiseáil. Ar an mbonn sin, thug an Coimisiún faoi deara nach raibh sé soiléir gur cuireadh an fhaisnéis riachtanach ar fáil don ghearánach agus dá bhrí sin, gur theip ar an rialaitheoir sonraí sonraí pearsanta an ghearánaigh a phróiseáil ar bhealach cothrom.
Ar deireadh, bhreithnigh an Coimisiún an tréimhse ama ar coinníodh na sonraí pearsanta. Maidir leis sin, tugtar faoi deara go n-éilítear faoin reachtaíocht ábhartha ar rialaitheoir sonraí gan sonraí pearsanta a choinneáil níos faide ná mar atá riachtanach do na cuspóirí a phróiseáiltear na sonraí. Coinníodh sonraí pearsanta an ghearánaigh ar feadh thart ar seacht mbliana. Bhreithnigh an Coimisiún gur ghníomhaigh an rialaitheoir sonraí i gcomhréir leis an reachtaíocht i ndáil leis sin toisc go raibh leas dlisteanach (bainistíocht riosca tráchtála) ag an rialaitheoir sonraí sonraí an ghearánaigh a choinneáil.