I mí Aibreáin 2017, fuaireamar gearán ó úinéir gnóthais maidir le ríomhphoist mhargaíochta neamhiarrtha a bhí seoladh ríomhphoist an ghnóthais ag fáil ó Viking Direct (Ireland) Limited. Chuir an gearánach in iúl go ndearna sí teagmháil leis an gcuideachta roimhe sin chun a iarraidh go mbainfí seoladh ríomhphoist a gnóthais ón liosta margaíochta. Dá ainneoin sin, leanadh le tuilleadh ríomhphost margaíochta a sheoladh chuici.

Le linn ár n-imscrúdaithe, dheimhnigh Viking Direct (Ireland) Limited gur iarr an gearánach roinnt uaireanta go mbainfí í dá liosta seachadta . Mhínigh sé gur theip ar na próisis inmheánacha le haghaidh na sonraí a aistriú chuig an liosta sochta. Dá bharr sin, bhí na sonraí ann ar an liosta seachadta fós . Luaigh an chuideachta go ndearnadh na córais a cheartú agus a thástáil ón uair sin, a fhágann nár cheart go dtiocfadh an cás sin chun cinn choíche. Ghabh an chuideachta a leithscéal as aon mhíchao- ithiúlacht a raibh an gearánach thíos léi. Le linn ár n-im- scrúdaithe, aimsíodh fianaise ar thrí iarraidh scar-rogha a sheol an gearánach chuig Viking Direct (Ireland) Limited trí ríomhphost idir an 30 Márta 2017 agus an 11 Aibreán 2017.

Sa bhliain 2012, bhí Viking Direct (Ireland) Limited ina ábhar d’imscrúdú a tionscnaíodh mar thoradh ar ghearán a rinneadh leis an gCoimisinéir Cosanta Sonraí faoi ríomhphoist mhargaíochta neamhiarrtha. Ag an am sin, thugamar an t-imscrúdú sin chun críche ach rabhadh a eisiúint chuig an gcuideachta. I bhfianaise an rabhaidh sin, chinn an Coimisiún go n-ionchúiseodh sé an chuideachta i leith an ghearáin a rinneadh sa bhliain 2017.

I gCúirt Dúiche Limistéar Chathair Bhaile Átha Cliath an 14 Bealtaine 2018, thaifead an chuideachta pléadáil chiontach i gcúis amháin a bhain le ríomhphost margaíochta neamhiarrtha a bheith á sheoladh chuig seoladh ríomhphoist ghnóthais de shárú ar Rialachán 13(4) de I.R. Uimh . 336 de 2011. I gcomhréir leis an Rialachán sin, is cion é cumarsáid margaíochta dírí neamhiarrtha a sheoladh trí ríomhphost chuig síntiúsóir (síntiúsóirí gnó san áireamh) i gcás gur chuir an síntiúsóir in iúl don seoltóir nach dtoilíonn sé/sí le cumarsáid den sórt sin a fháil. Cuireadh an cás ar atráth le haghaidh pianbhreith a ghearradh go dtí an 11 Meitheamh 2018. Ag an éisteacht gearrtha pianbhreithe, bhain an chúirt úsáid as alt 1(1) den Acht um Promhadh Ciontóirí, in ionad ciontú agus fíneáil a ghearradh. D’aontaigh an chuideachta go n-íocfadh sí as na costais ionchúisimh a thabhaigh an Coimisiún.

Fuair an DPC gearán ó thuismitheoir linbh ar nochtadh a shonraí sláinte le tríú páirtí anaithnid trí dhearmad. Bhí na sonraí coinnithe i ndoiciméad a bhí ceangailte le seoladh ríomhphoist mícheart ar sheol fostaí i gcomhlacht poiblí é.

Bhí an leanbh ina ábhar i measúnú sláinte ag teiripeoir a bhí fostaithe ag an gcomhlacht poiblí. D’ullmhaigh an teiripeoir dréacht-tuarascáil, a bhí le seoladh chuig gairmí sinsearach. Sular seoladh í, chinn an teiripeoir tuairim eile a lorg ó chomhghleacaí. Ní raibh an comhghleacaí san oifig, dá bhrí sin, chinn an teiripeoir an dréacht-tuarascáil a sheoladh chuig seoladh ríomhphoist phearsanta an chomhghleacaí. Go gairid ina dhiaidh sin, thuig an teiripeoir go raibh an seoladh ríomhphoist mícheart. Ní raibh seirbhís IT an chomhlachta phoiblí in ann an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart a fháil ar ais. Dheimhnigh soláthraí seirbhíse ríomhphoist an fhaighteora go raibh cuntas an fhaighteora gníomhach, ach níor tugadh freagra ar ríomhphoist ón gcomhlacht poiblí inar iarradh ar an bhfaighteoir an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart a scriosadh. Chuaigh an comhlacht poiblí i dteagmháil leis an tuismitheoir tríd an nguthán, i bpearsa agus i scríbhinn chun an tuismitheoir a chur ar an eolas faoin earráid agus chun leithscéal a ghabháil ina leith. Chomh maith leis sin, chuir an comhlacht poiblí scéala chuig an DPC maidir leis an sárú ar shonraí pearsanta. Ina dhiaidh sin, thaisc an tuismitheoir gearán leis an DPC.

Mar chuid d’iniúchadh a dhéanamh ar an ngearán, d’iarr an DPC ar an gcomhlacht poiblí míniú a thabhairt ar na céimeanna a glacadh lena chinntiú go scriosfaí an ríomhphost a seoladh chuig an seoladh ríomhphoist mícheart, an polasaí a bhí ag an gcomhlacht i ndáil le ríomhphoist a bhaineann le hobair a sheoladh chuig seoltaí pearsanta na mball foirne, agus na bearta a bhí á nglacadh ionas nach dtarlódh an sárú an athuair.

Sa fhreagra a thug an comhlacht poiblí, deimhníodh an tsraith teagmhas a ndéantar cur síos orthu thuas, lena n-áirítear na hiarrachtaí a rinneadh an ríomhphost a fháil ar ais agus a chuid idirghníomhaíochtaí leis an soláthraí seirbhíse ríomhphoist. Chuir sé in iúl don DPC gur atheisigh sé cóip dá pholasaí maidir le cosaint sonraí chuig na baill ar fad den fhoireann ina raibh an teiripeoir ag obair, agus scríobh sé chuig an teiripeoir le meabhrú dó nach bhfuil cead aige aon fhaisnéis a sheoladh chuig seoltaí ríomhphoist phearsanta, fiú i gcás go n-iarrfaí air é sin a dhéanamh. Cuireadh in iúl go soiléir gur áiríodh leis sin tuarascálacha agus doiciméid eile a bhaineann le hobair. Cuireadh cosaint sonraí le clár oibre cruinnithe démhíosúla na foirne mar mhír sheasta, agus sceide- alaíodh baill ar fad na foirne i leith oiliúint maidir le feasacht ar chosaint sonraí.

Le linn measúnú a dhéanamh ar an gceist, ba é an tsaincheist lárnach a d’aithin an DPC ná an oibleagáid atá ar rialaitheoir sonraí bearta slándála cuí a ghlacadh in aghaidh rioscaí, lena n-áirítear sonraí pearsanta a nochtadh gan údarú. Bhí bearta slándála cuí le haithint agus aird á tabhairt ar thosca lena n-áirítear an teicne- olaíocht atá ar fáil, an dochar a d’fhéadfaí a dhéanamh trí nochtadh, agus an cineál sonraí atá i gceist. Chomh maith leis sin, ní mór do rialaitheoirí gach céim réasúnach a ghlacadh lena chinntiú go bhfuil a gcuid fostaithe ar an eolas faoi na bearta sin agus go gcloíonn siad leo.

Ba é tuairim an DPC gur soiléir go raibh sé míchuí dréacht-tuarascáil a sheoladh chuig seoladh ríomhphoist pearsanta agus aird á tabhairt ar an leibhéal slándála riachtanach, agus go raibh sé ag dul in aghaidh polasaithe an chomhlachta phoiblí féin maidir le sonraí pearsanta. Mar sin féin, níor leor na polasaithe bheith ann amháin d’fhonn an oibleagáid a chomhlíonadh i ndáil le céimeanna réasúnacha a ghlacadh lena chinntiú go raibh a chuid fostaithe ar an eolas fúthu agus gur chloígh siad seo. Ní dhearna an comhlacht poiblí é sin ach i ndiaidh don sárú tarlú.

D’eisigh ábhar sonraí gearán chuig an gCoimisiún um Chosaint Sonraí (“an Coimisiún”) i gcoinne a chuideachta bainistíochta úinéirí (“rialaitheoir sonraí”) maidir le nochtadh a shonraí pearsanta faoin Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”). Mhínigh an t-ábhar sonraí don Choimisiún go ndearna cuideachta bainistíochta réadmhaoine ríomhphost inar cuimsíodh a shonraí pearsanta a scaipeadh thar ceann cuideachta bainistíochta úinéirí (“CBÚ”) agus gur cuimsíodh sa ríomhphost faisnéis maidir leis an íoc muirear bliantúil seirbhísí.

Sula ndearna sé teagmháil leis an gCoimisiún, rinne an t-ábhar sonraí teagmháil leis an CBÚ chun aghaidh a thabhairt ar na húdair imní a bhí aige maidir le nochtadh a shonraí pearsanta. Luaigh an CBÚ sa fhreagra uaidh go bhfuil sé de bheartas aige sonraí pearsanta den sórt sin a chur ar áireamh i ríomhphoist chuig gach cliant . Dheimhnigh an t-ábhar sonraí nach ndearna sé an beartas sin a fheiceáil ná a shíniú riamh.

Ag teacht sna sála ar idirchaidreamh an Choimisiúin, luaigh an rialaitheoir sonraí clásal sa Mheabhrán Comhlachais CBÚ uaidh lenar ceadaíodh an t-íoc muirear seirbhíse nó an neamhíoc muirear seirbhíse a nochtadh d’úinéirí eile aonaid.

Sholáthair an Coimisiún treoir ón oifig seo dar teideal “Breithniúcháin Chosanta Sonraí a Bhaineann le Forbairtí Ilaonad agus le Cuideachtaí Bainistíochta Úinéirí” don dá pháirtí lena mbreithniú. Tugadh le fios sa treoir nach mór an nochtadh a chosaint a bheith riachtanach agus comhréireach araon chun cuspóir atá sonrach, follasach agus dlisteanach a bhaint amach, de réir an dlí um chosaint sonraí.

Chuir an rialaitheoir sonraí in iúl don Choimisiún gur seoladh tástáil cothromúcháin agus luaigh sé gur ghá na sonraí pearsanta a phróiseáil chun go mbainfí amach leas dlisteanach na cuideachta bainistíochta in íocaíocht na muirear seirbhíse a fháil.

Faoi alt 109(5)(c) d’Acht 2018, chuir an Coimisiún in iúl nach raibh an rialaitheoir sonraí in ann bunús dleathach leordhóthanach a sholáthar do na sonraí pearsanta a phróiseáil, mar a leagadh amach sa ghearán.

Leis an toradh, meabhraíodh don rialaitheoir sonraí na hoibleagáidí atá air mar rialaitheoir sonraí faoi Airteagail 5, 6 agus 24 GDPR agus faoi alt 109(5)(f) d’Acht 2018. Mhol an Coimisiún go ndéanfadh an rialaitheoir sonraí na nithe seo a leanas: an Meabhrán Comhlachais uaidh a athbh- reithniú chun a chinntiú go gcomhlíontar an treoir ón gCoimisiún; smaoineamh ar mhodhanna malartacha trínar féidir an neamhíoc muirear seirbhíse a réiteach; agus aon oibleagáid dhlíthiúil nó leas dlisteanach a bhreithniú agus a chothromú i gcoinne chearta agus leasanna an ábhair sonraí.

Chuir an t-ábhar sonraí a sonraí pearsanta agus airgeadais ar fáil d’eagraíocht (an rialaitheoir sonraí) mar chuid d’iarratas scéime a nduine muinteartha. Níor éirigh leis an iarratas agus eisíodh litir dhiúltaithe ar an iarratasóir, inar áiríodh, briseadh síos ar shonraí pearsanta agus airgeadais an ábhair sonraí. Rinne an t-ábhar sonraí gearán leis an gCoimisiún um Chosaint Sonraí (DPC) maidir le heaspa trédhearcachta sa phróiseas iarratais agus nochtadh a sonraí pearsanta agus airgeadas dá nduine muinteartha. D’iarr an t-ábhar sonraí ar an rialaitheoir sonraí a sonraí pearsanta a sheoladh ar ais. Rinne an duine t-ábhar sonraí iarratas freisin go scriosfadh an rialaitheoir sonraí a sonraí pearsanta faoi Airteagal 17 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), agus mura raibh scrios mar rogha, an bonn dlí atá acu lena chuid/lena cuid sonraí a choinneáil.

Sular chuir an DPC tús leis an imscrúdú, rinne an t-ábhar sonraí moltaí maidir leis an ngearán a réiteach ar bhealach cairdiúil, inar áiríodh, i measc nithe eile, ‘comhartha dea-thola’ ón rialaitheoir sonraí. Mar sin féin, mar gheall ar ról na heagraíochta, ní raibh ar chumas an rialaitheora sonraí an t-iarratas seo a éascú.

Rinne an DPC, mar chuid dá imscrúdú, caidreamh leis an rialaitheoir sonraí agus d’iarr sé freagra ar ghearán an ábhair sonraí. Dúirt an rialaitheoir sonraí, cé go bhfuil sé mar chuid dá nós imeachta iarratasóirí a chur ar an eolas maidir leis na cúiseanna lena ndiúltú, nár cheart ach páirtnochtadh a dhéanamh ina litreacha maidir le cinneadh sa chás gur bailíodh faisnéis ó thríú páirtí. Maidir le hiarratas scriosta an ábhair sonraí, chuir an rialaitheoir sonraí in iúl go gcoinneofaí na sonraí pearsanta a cuireadh ar fáil, ar feadh saolré an iarratasóra plus deich (10) mbliana.

Mhínigh an rialaitheoir sonraí go gcoinnítear na sonraí ar feadh na tréimhse seo mar go bhféadfadh tionchar a bheith ag na sonraí atá i gceist ar aon iarratais a dhéanann an t-iarratasóir amach anseo.

Ina dhiaidh sin, dhiúltaigh an rialaitheoir sonraí iarratas scriosta an ábhair sonraí mar gur chuir siad in iúl go raibh siad ag brath ar Airteagal 17(3)(b) den GDPR, a chuireann srian ar oibleagáidí rialaitheoirí sonraí pearsanta a scriosadh sa chás go mbíonn na sonraí pearsanta riachtanach do chomhlíonadh oibleagáid dhlíthiúil. Chomh maith leis sin, bhí an rialaitheoir sonraí ag brath ar Airteagal 23(1)(e) den GDPR, ina luaitear go bhféadfaí cearta an ábhair sonraí a theorannú do: “cuspóirí tábhachtacha eile a bhaineann le leas ginearálta phobal an Aontais nó Ballstáit, go háirithe leas tábhachtach eacnamaíoch nó airgeadais de chuid an Aontais nó de chuid Ballstáit, lena n-áirítear, ábhair airgeadaíochta, bhuiséadacha agus chánachais, sláinte phoiblí agus slándáil shóisialta.”

D’eisigh an rialaitheoir sonraí leithscéal don ábhar sonraí, mar gheall a gcuid sonraí pearsanta a nochtadh sa litir dhiúltaithe a eisíodh dá nduine muinteartha, an t-iarratasóir. D’fhiosraigh an t-ábhar sonraí cibé ar tuairiscíodh an nochtadh seo don DPC mar shárú. Ceanglaítear ar rialaitheoir sonraí faoi Airteagal 33 den GDPR, sárú sonraí pearsanta a thuairisciú don údarás inniúil gan moill mhíchuí, murar dóigh nach mbeidh sárú ar shonraí mar bhaol do chearta nó do shaoirsí daoine nádúrtha. Déantar cur síos ar shárú ar shonraí in Airteagal 4(12) den GDPR mar: “Shárú ar shlándáil a dtagann de shonraí pearsanta a dhíothú, a chailleadh nó a athrú, trí thionóisc nó go nea- mhdhleathach, nó iad a nochtadh, nó rochtain a bheith orthu, gan údarú, is sonraí pearsanta a tharchuirtear, a stóráiltear nó a phróiseáiltear ar shlí eile”. Tháinig an DPC ar an gcinneadh gur tharla an nochtadh mar thoradh ar earráid dhaonna agus níor aithníodh an sárú mar shaincheist chórasach.

Trína imscrúdú, Tháinig an DPC ar an gcinneadh, go bhféadfaí an litir dhiúltaithe a raibh nochtadh sonraí pearsanta an ábhair sonraí mar thoradh uirthi, a idirdhealú ó thaifid eile a bhí á gcoinneáil ag an rialaitheoir sonraí mar nár leanadh a dtreoirlínte go díreach sa litir. Mar sin, thug an DPC cuireadh don rialaitheoir sonraí, sonraí pearsanta an ábhair sonraí a scriosadh nó a leasú sa litir i ndáil le cinneadh a bhí á coinneáil ar chomhad. Chomh maith leis sin, d’fhéadfaí litir leasaithe a eisiúint don iarratasóir ina ndéantar leasú ar shonraí pearsanta an ábhair sonraí. Chuir an rialaitheoir sonraí in iúl dóibh go n-eiseodh siad litir dhiúltaithe arís agus go n-iarrfaí ar an iarratasóir an chéad litir a fuair sé/sí a sheoladh ar ais. Chuir an rialaitheoir sonraí in iúl freisin go scriosfadh siad an chéad litir a seoladh amach óna gcuid taifead.

Chuir an DPC, faoi alt 109(5)(c) d’Acht na bliana 2018, in iúl don ábhar sonraí go raibh an míniú a thug an rialaitheoir sonraí réasúnach in imthosca an ghearáin a bhí déanta acu. Fad a d’admhaigh an rialaitheoir sonraí nochtadh sonraí pearsanta an ábhair sonraí dá nduine muinteartha, an t-iarratasóir, d’eisigh siad litir i leith an chéanna, agus thug le fios go leasófaí an litir dhiúltaithe bunaidh, agus go gcuirfear litir atá cothrom le dáta ar fáil don iarratasóir.

Sa bhreis air sin, faoi alt 109(5)(f) d’Acht na bliana 2018, mhol an DPC don rialaitheoir sonraí oiliúint a bhí cothrom le dáta a sholáthar don fhoireann maidir le treoir ó thaobh na litreacha i ndáil le cinneadh.

Bhí an gearánaí sa chás seo ina iriseoir a sheol ríomhphost chuig pearsa poiblí chun ceisteanna a chur maidir le cinntí a rinne an pearsa poiblí i ndáil lena chuid oibre. D’úsáid an pearsa poiblí a chuntas Twitter chun cóip den ríomhphost a fhoilsiú. Bhíothas in ann ainm, seoladh ríomhphoist oibre agus uimhir ghutháin shoghluaiste an iriseora a léamh sa chóip den ríomhphost a foilsíodh. D’inis an t-iriseoir faoi roinnt teachtaireachtaí téacs bagracha a fháil ina dhiaidh sin.

D’iarr an t-iriseoir ar an bpearsa poiblí an chóip fhoilsithe den ríomhphost a scriosadh. Rinne an pearsa poiblí amhlaidh, ach d’fhoilsigh sé Tweet freisin inar dúradh go raibh uimhir ghutháin shoghluaiste an iriseora ar fáil ar líne. Áiríodh leis sin nasc chuig teachtaireacht ar fhóram plé a phostáil an t-iriseoir sé bliana roimhe sin, nuair a bhí sé ina mhac léinn, ina raibh an uimhir ghutháin shoghluaiste chéanna . Rinne an t-iriseoir gearán leis an DPC. Mar chuid den imscrúdú, d’iarr an DPC ar an bpearsa poiblí an bunús dlíthiúil i ndáil le sonraí an iriseora a nochtadh a aithint. Sa fhreagra a thug an pearsa poiblí, ceistíodh arbh ionann ainm agus sonraí teagmhála an iriseora agus sonraí pearsanta. Áitíodh freisin, ós rud é gur chuir an t-iriseoir an fhaisnéis sin ar fáil ar an idirlíon roimhe sin, go raibh sé intuigthe gur thoiligh an t-iriseoir é bheith á foilsiú ag an bpearsa poiblí. Dhiúltaigh an t-iriseoir don dearbhú sin. Ghlac an DPC an seasamh go raibh ainm, seoladh ríomhphoist agus uimhir ghutháin shoghluaiste an iriseora ina sonraí pearsanta toisc go bhféadfaí an t-iriseoir a aithint go soiléir tríothu. Maidir leis an mbunús a bhí lena nochtadh, thug an DPC faoi deara, cé gur foráladh sa dlí um chosaint sonraí do roinnt bunús dlíthiúil i leith próiseáil, toiliú ab ea an t-aon bhunús a d’ardaigh an pearsa poiblí. Ba é tuairim an DPC nárbh ionann fiosrú ó na meáin ar an bpearsa poiblí ó iriseoir a bhí ag gníomhú sa cháil sin agus toiliú bailí i leith aon sonraí pearsanta san fhiosrú a roinnt. Ar na cúiseanna sin, bhí nochtadh na sonraí ag an bpearsa poiblí ina shárú ar an dlí um chosaint sonraí.

Bhí an gearánach sa chás seo ina iasachtaí ó chomhar creidmheasa agus bhí sé maíte ina leith go raibh sé i riaráiste ar iasacht. Mhaígh an comhar creidmheasa nach raibh sé in ann teagmháil a dhéanamh leis an ngearánach. Nocht an comhar creidmheasa sonraí pearsanta de chuid an ghearánaigh le gnólacht imscrúduithe príobháideacha d’fhonn an gearánach a aimsiú agus cumarsáid a dhéanamh leis. Áiríodh leis na sonraí a nochtadh ainm, seoladh, iar-sheoladh, stádas teaghlaigh agus stádas fostaíochta an ghearánaigh. Thart ar ceithre bliana ina dhiaidh sin, fuair an gearánach amach faoin nochtadh sin agus rinne sé gearán leis an DPC.

Chuir an gnólacht imscrúduithe príobháideacha deireadh le trádáil roinnt blianta roimh an ngearán agus dá bhrí sin, ní raibh sé in ann cuidiú le himscrúdú an DPC. D’iarr an DPC ar an gcomhar creidmheasa míniú a thabhairt ar an mbunús dlí ar a nocht sé na sonraí, mar aon leis an bhfáth ar cheap sé go raibh sé riachtanach é sin a dhéanamh. Chuir an comhar creidmheasa in iúl don DPC nach raibh conradh i scríbhinn aige leis an ngnólacht imscrúduithe príobháideacha, mar gheall air sin, d’iarr an DPC air sonraí a chur ar fáil maidir le haon pholasaí nó nós imeachta príobháideach maidir leis an tráth ag a raibh sé iomchuí dul i mbun plé leis an ngnólacht.

Maidir leis an mbunús dlí a bhí leis an nochtadh, mhaígh an comhar creidmheasa go raibh sé riachtanach chun críocha tabhairt faoi leas dlisteanach agus chun a chonradh leis an ngearánach a chomhlíonadh. Chomh maith leis sin, thagair sé d’alt 71(2) den Acht um Chomhar Creidmheasa 1997 ina gceadaítear do chomhar creidmheasa faisnéis chuntais chomhalta a nochtadh nuair atá Banc Ceannais na hÉireann (Clárai- theoir na gComhar Creidmheasa roimhe seo) go bhfuil sé riachtanach é sin a dhéanamh chun airgead scair- shealbhóirí nó taisceoirí a chosaint nó chun leasanna an chomhair chreidmheasa a chosaint. (Ní raibh an comhar creidmheasa in ann a lua ar léirigh an Banc Ceannais tuairim dá leithéid i ndáil leis an gcás seo.)

D’áitigh an comhar creidmheasa go raibh an nochtadh riachtanach toisc nach raibh sé in ann teagmháil a dhéanamh leis an ngearánach trí litir, tríd an nguthán, nó trí aturnae an ghearánaigh. Ina thuairim féin, bhí an gearánach ag féachaint lena iarrachtaí i ndáil lena thaifid a nuashonrú agus an iasacht gan íoc a phlé a sheachaint. (D’easaontaigh an gearánach go láidir leis sin, á thabhairt le fios go ndearna sé aisíocaíochtaí tamall gairid sula ndeachaigh an creidmheasa i dteagmháil leis an ngnólacht imscrúduithe inmheánacha.)

Chuir an comhar creidmheasa in iúl don DPC gur dhéileáil a pholasaí rialaithe creidmheasa le cásanna inar moladh gur chóir iasacht neamhchomhlíonta comhalta a dhíscríobh ina dhrochfhiach. Sula ndéanfaí é sin, tugadh treoir sna forálacha ábhartha gur chóir go ndéanfadh an comhar creidmheasa “gach iarracht…dul i dteagmháil leis an gcomhalta, lena n-áirítear cúnamh a fháil ó thríú páirtí” agus iarracht a dhéanamh leanúint leis na socruithe a comhaontaíodh agus cuidiú a thabhairt i ndáil leis an bhfiach a bhailiú.

Mheas an DPC an bunús dlí a bhí leis an nochtadh agus conradh próiseála sonraí bheith ann bheith ar na saincheisteanna lárnacha sa ghearán.

I bhfianaise na bhfíricí ar fad a cuireadh i láthair, agus ar bhonn na reachtaíochta is infheidhme, chinn an DPC go raibh leas dlisteanach ag an gcomhar creidmheasa agus é ag féachaint le sonraí teagmhála cothrom le dáta a fháil chun teagmháil a dhéanamh leis an ngearánach an athuair d’fhonn aisíoc na hiasachta a phlé. Bhí sé riachtanach sonraí pearsanta a phróiseáil chun críocha tabhairt faoi leas dlisteanach. Ghlac an DPC leis go bhféadfadh an nochtadh dul i gcion ar chearta bunúsacha agus leasanna dlisteanacha an ghearánaigh. Ina choinne sin, áfach, mar chuid den fheidhm shóisialta thábhachtach a chuireann comhair chreidmheasa ar fáil, éilíodh go mbeadh siad in ann gníomh a dhéanamh chun dul i dteagmháil le comhaltaí a dtiteann a n-iasachtaí i riaráiste. Ar an gcúis sin, bhí an nochtadh ag teastáil in ainneoin an dochar a d’fhéadfaí a dhéanamh do chearta agus saoirsí bunúsacha nó leasanna dlisteanacha an ghearánaigh. Dá bhrí sin, tugann an comhar creidmheasa dearbhú i ndáil le tabhairt faoina leas dlisteanach trí dhul i dteagmháil leis an ngearánach agus féachaint le haisíoc na hiasachta mar an bunús dlí i leith sonraí pearsanta a nochtadh le gnólacht imscrúduithe príobháideacha.

Chomh maith leis sin, bhreithnigh an DPC ar cuireadh bunús dlí ar fáil don nochtadh sa chás seo trí alt 71(2) d’Acht na gComhar Creidmheasa 1997. Thug an DPC faoi deara gur féidir bunús dlí a chur ar fáil i leith próiseáil trí oibleagáid dhlíthiúil a chomhlíonadh, ar nós faoi ordú cúirte nó foráil de chuid reachta. Mar sin féin, bhí alt 71(2) (lena n-áirítear an fhoráil a luaigh an comhar creidmheasa ina chuid aighneachtaí chuig an DPC) ceadaitheach seachas éigeantach maidir lena héifeacht: cé gur tugadh cead do chomhair creidmheasa faisnéis a nochtadh i gcúinsí áirithe, níor éilíodh orthu é sin a dhéanamh. Dá réir sin, níor tugadh údar don nochtadh san alt chun críocha na reachtaíochta cosanta sonraí is infheidhme.

Thug an DPC faoi deara nach mór an phróiseáil a dhéanann próiseálaí thar ceann rialaitheora a dhéanamh faoi théarmaí conradh i scríbhinn nó i riocht comhionann ina gcloítear leis an reachtaíocht cosanta sonraí is infheidhme, agus in gcinntítear go háirithe go gcomhlíonann an phróiseáil na hoibleagáidí a chuirtear i bhfeidhm ar an rialaitheoir. I dtuairim an DPC, ní raibh polasaí rialaithe creidmheasa an chomhair chreidmheasa leordhóthanach chun an riachtanas seo a chomhlíonadh, dá bhrí sin, theip ar an gcomhar creidmheasa a oibleagáid reachtúil a chomhlíonadh i ndáil leis sin.

Sa chás seo, tarraingítear aird ar roinnt saincheisteanna tábhachtacha do rialaitheoirí sonraí. Cibé uair a fhostaíonn rialaitheoir próiseálaí chun sonraí a phróiseáil thar a cheann, tá riachtanas soiléir ann go mbeadh conradh próiseála nó beart comhionann ann a chomhlíonann Airteagal 28(3) den GDPR nó reachtaíocht eile is infheidhme. Trí na conarthaí seo, déantar tairbhe do rialaitheoirí agus próiseálaithe araon trí shoiléiriú a thabhairt maidir leis an bpróiseáil atá ag teastáil agus an bealach ina gcuirfear í i gcrích. Chomh maith leis sin, tugtar cosaint d’ábhair sonraí trí shoiléireacht a chur ar fáil maidir leis an mbealach ina bhfuil a sonraí á bpróiseáil agus cé atá á bpróiseáil, mar aon leis na críocha dá bhfuil siad á bpróiseáil.

Rinne ábhar sonraí gearán leis an DPC maidir le foilsiú íomhá, ainm agus cuid de sheoladh a linbh i nuachtán creidimh. Fuarthas an t-íomhá a úsáideadh san fhoilseachán ar dtús ó leathanach Facebook grúpa creidimh. Chuir an t-ábhar sonraí in iúl don DPC nár tugadh cead úsáid níos leithne a bhaint as an íomhá trí é a fhoilsiú sa nuachtán. Bá é príobháideacht an linbh an t-ábhar imní a tháinig chun cinn mar gheall gur úsáid an nuachtán íomhá, ainm agus cuid de sheoladh an linbh. I gcomhfhreagras a seoladh go díreach idir an t-ábhar sonraí agus an nuachtán, luaigh an t-ábhar sonraí Airteagal 9 den GDPR maidir le sonraí pearsanta catagóire speisialta, a bhfuil feidhm aige dá ghearán toisc gur nochtadh faisnéis maidir le creideamh an linbh san íomhá.

Mar chuid dá imscrúdú, chuaigh an DPC i dteagmháil leis an rialaitheoir sonraí agus iarradh freagra ar an ngearán. Chuir an rialaitheoir sonraí in iúl don DPC nach raibh sé i gceist aige riamh cur as don ábhar sonraí ná dá theaghlach. Chonaic tuairisceoir íomhá ar leathanach Facebook an ghrúpa agus d’iarr sé cead é a úsáid ó chomhalta sinsearach sa ghrúpa creidimh, ina dhiaidh sin, thug an comhalta seo céad é a úsáid. Luaigh an nuachtán go raibh an t-íomhá ar fáil ar líne cheana féin trí leathanach Facebook an ghrúpa agus gur tógadh é ag imeacht poiblí agus gurbh é an seoladh a úsáideadh seoladh an grúpa creidimh agus nár seoladh pearsanta an linbh a bhí ann.

Mar fhreagra breise ar cheisteanna an DPC, chuir an nuachtán in iúl don DPC gurbh é an gnáthchleachtas a bhí acu cead a lorg chun íomhánna a thógáil agus a úsáid, agus ainneoin go raibh an íomhá ar fáil ar leathanach oscailte Facebook sa chás seo, chuaigh an nuachtán i dteagmháil leis an ngrúpa creidimh mar sin féin agus d’fhiafraigh an raibh cead faighte chun an t-íomhá a úsáid. Chuir comhalta sinsearach den ghrúpa creidimh a ndeachaigh siad i dteagmháil leis in iúl dóibh gur thug duine eile in loco parentis (ag gníomhú in ionad tuismitheora) cead. Luaigh an nuachtán leis an DPC, go raibh an duine seo “was acting in loco parentis as far as [the newspaper] was concerned and consent had been therefore given .” Chuir an nuachtán in iúl don DPC freisin go mbraitheann sé ar Airteagal 9(2)(a) agus 9(2)(e) den GDPR i leith sonraí pearsanta catagóire speisialta a phróiseáil. Chinn an nuachtán go raibh an leas dlisteanach riachtanach acu chun an grianghraf a fhoilsiú, go raibh an grianghraf san fhearann poiblí tríd an leathanach oscailte Facebook, gur thóg sé céimeanna lena chinntiú go raibh cead faighte chun an grianghraf a fhoilsiú agus go raibh an cead a tugadh leordhóthanach agus go raibh sé i dteideal brath air sin. Dúirt an nuachtán go raibh sé sásta gur chloígh sé lena chuid oibleagáidí ach go ndearna sé athbh- reithniú agus leasú ar a pholasaithe inmheánacha maidir leis an tsaincheist seo.

Chuir an DPC an freagra ar an ngearán ar fáil don ábhar sonraí agus d’fhiafraigh sé den ábhar sonraí ar mheas sé an ndeachthas i ngleic a dhóthain lena ábhar imní maidir le cosaint sonraí agus ar socraíodh go cairdiúil an t-ábhar imní. Chomh maith leis sin, iarradh ar an ábhar sonraí a chuid tuairimí a chur in iúl maidir leis an bhfreagra a thug an rialaitheoir sonraí. Thug an ábhar sonraí freagra lena chur in iúl don DPC nach raibh an cheist socraithe go cairdiúil agus gur cheart go bhfuarthas cead soiléir. Lean an DPC ar aghaidh le deireadh a chur leis an imscrúdú agus toradh a chur ar fáil don dá pháirtí de réir mar a éilítear faoi alt 109(5) den Acht um Chosaint Sonraí 2018 (Acht 2018).

Mhol an DPC don ábhar sonraí faoi alt 109(5)(c) d’Acht 2018 go raibh an míniú a chuir an rialaitheoir sonraí chun cinn maidir le sonraí pearsanta an linbh a phróiseáil i gcúinsí an ghearáin seo ina mhíniú réasúnach. Agus é seo á lua, scríobh an DPC chuig an nuachtán creidimh agus faoi alt 109(5)(f) d’Acht 2018, mhol sé breithniú a dhéanamh ar an gCód Cleachtais ó Chomhairle an Phreasa, go háirithe prionsabal 9, trína chinntítear go dtugtar meas don phrionsabal i leith sonraí a íoslaghdú, agus an beart cothromaíochta idir leas poiblí an fhoil- seacháin agus cearta agus leasanna ábhar sonraí a chur i bhfeidhm agus a thaifeadadh.

Bhí comhchuntas bainc le ball teaghlaigh ag an ngearánach sa chás seo. Ag teacht sna sála ar iarraidh a fháil ó aturnaetha an tsealbhóra eile den chomhchuntas, nocht an banc (an rialaitheoir sonraí) cóipeanna de ráitis bhainc a bhaineann leis an gcuntas, lenar áiríodh sonraí pearsanta an ghearánaigh, do na haturnaetha sin. Bhí imní ar an ngearánach nár chomhlíon an nochtadh sin an dlí um chosaint sonraí.

Le linn don Choimisiún déileáil leis an ngearán seo, leag an banc amach a sheasamh go bhfuil aon sealbhóir comhchuntais i dteideal mionsonraí agus faisnéis idirbhirt an chomhchuntais ina iomláine a rochtain . Bhí an banc den tuairim freisin gurb amhlaidh, maidir le haturnaetha atá ag gníomhú thar ceann a chustaiméirí, gur leor dó glacadh le deimhniú i scríbhinn ó aturnae ar a pháipéar ceannteidil á rá go ngníomhaíonn an t-aturnae thar ceann an chustaiméara mar údarás chun go bhféadfaidh an banc caidreamh a dhéanamh leis an aturnae ina cháil mar ionadaí leis an gcustaiméir de chuid an bhainc. Ceanglaítear leis an dlí um chosaint sonraí go ndéanfaí sonraí pearsanta a bhailiú nó a fháil chun críocha sonraithe sainráite dlisteanacha agus nach ndéanfaí iad a phróiseáil tuilleadh ar shlí atá ar neamhréir leis na críocha sin (prionsabal an “teorannaithe de réir cuspóra”); Sa chás seo, thug an Coimisiún faoi deara go bhfuair an banc sonraí pearsanta an ghearánaigh chun an comhchuntas a bhí ag an ngearánach leis an sealbhóir eile den chuntas a riar, lena n-áirítear íocaíochtaí a dhéanamh, faisnéis idirbhirt a bhailiú agus ráitis bhainc a ullmhú. Chonacthas don Choimisiún go raibh sé comhsheasmhach leis na téarmaí agus coinníollacha a leag an banc síos don chomhchuntas agus le treoracha sínithe an tsealbhóra cuntais ar an gcuntas (lena gceadófaí do cheachtar páirtí síniú le haghaidh idirbheart gan toiliú a fháil ón sealbhóir eile den chuntas) go bhféadfadh sealbhóir amháin den chuntas riar an chuntais a chur i gcrích gan toiliú a fháil ón sealbhóir eile. Ina fhianaise sin, mheas an Coimisiún, maidir le nochtadh ráiteas bainc d’aturnaetha an tsealbhóra eile den chomhchuntas, nach raibh sé sin ar neamhréir leis an gcríoch shonraithe fhollasach dhlisteanach ar chuici a fuair an banc sonraí pearsanta an ghearánaigh, i .e ., chun an comhchuntas a riar. Ar an dara dul síos, bhreithnigh an Coimisiún cé acu a bhí nó nach raibh bunús dleathach ag an mbanc do shonraí pearsanta an ghearánaigh a nochtadh, faoi mar a cheanglaítear faoin dlí um chosaint sonraí. Chuige sin, ba dheimhin leis an gCoimisiún go raibh an banc i dteideal brath ar bhunús dleathach na “leasanna dlisteanacha”, rud lena gceadaítear sonraí pearsanta a phróiseáil i gcás go bhfuil an phróiseáil sin riachtanach chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir sonraí nó ag tríú páirtí. Sa chás seo, nocht an banc sonraí pearsanta an ghearánaigh ar an mbonn go raibh an t-aturnae ag gníomhú thar ceann an tsealbhóra eile den chomhchuntas agus go raibh sé ag lorg na ráiteas chun críocha dlisteanacha, eadhon, iniúchadh a dhéanamh ar ghnóthaí airgeadais an tsealbhóra eile den chuntas. In imthosca inarb amhlaidh, de bhun na dtreoracha sínithe ar an gcuntas, a bheadh an sealbhóir eile den chuntas i dteideal an cuntas a riar, ba dheimhin leis an gCoimisiún nach raibh aon chúis ag an mbanc lena chreidiúint nach mbeadh aon údar leis an nochtadh trí bhíthin aon dochar a dhéanamh do chearta bunúsacha nó saoirí bunúsacha an ghearánaigh. Dá réir sin, mheas an Coimisiún go raibh bunús dleathach ag an mbanc don nochtadh, is cuma cé acu a thug an gearánach toiliú nó nár thug. Sa deireadh, bhreithnigh an Coimisiún cé acu a chomhlíon nó nár chomhlíon an banc na hoibleagáidí atá air faoin dlí um chosaint sonraí maidir le bearta cuí teicniúla agus eagraíochtúla a dhéanamh chun sonraí pearsanta a chosaint ar nochtadh neamhúdaraithe nó neamhdhleathach. Chuige sin, ghlac an Coimisiún le seasamh an bhainc, atá leagtha amach sna beartais uaidh, go raibh sé cuí glacadh le deimhniú i scríbhinn ó aturnae á rá go raibh sé údaraithe chun gníomhú thar ceann sealbhóir cuntais, gan aon chruthúnas breise a iarraidh. Maidir le beartas an bhainc ina leith sin, bhí sé bunaithe ar an bhfíoras go mbíonn dualgais ghairmiúla ar aturnae mar oifigeach de chuid na cúirte agus mar bhall de ghairm rialáilte.

Rinne duine aonair gearán leis an CCS gur nocht Comhlacht Éadaí agus Bia a gcuid faisnéise liachta pearsanta trí chomhfhreagras poist a eisiúint leis na focail “Coeliac Mailing” priontáilte ar an taobh amuigh den chlúdach. Mar chuid d’áis Chárta Luach Stórais, shínigh an duine i gceist le ‘Deimhniú Bliantúil Caiteachais’ a fháil táirgí saor ó ghlútan a ceannaíodh i rith na bliana, a d’fhéadfaí a úsáid chun críocha cánach. Chuir an CCS in iúl don Store, faoi Airteagal 9 den GDPR, go meastar sonraí sláinte a bheith ina sonraí íogaire agus go dtugtar cosaint bhreise dóibh agus go gcaithfí na focail “Cóeliac Mailing” a thaispeáint i bhfianaise an Airteagail 9 den GDPR. Mar fhreagra air sin, chuir an Store in iúl don CCS gur threoraigh sé dá roinn margaíochta scor den fhoclaíocht seo a úsáid ar an taobh amuigh de clúdaigh do gach post amach anseo. Fáiltíonn an CCS roimh thoradh dearfach na rannpháirtíochta seo.

Rinne duine aonair gearán leis an gCoimisiún á rá go ndearna an Biúró um Shócmhainní Coiriúla (CAB) a mhionsonraí pearsanta airgeadais a nochtadh, gan toiliú a fháil uaidh, do roinnt daoine aonair ar ina n-aghaidh a thionscain CAB imeachtaí dlí. Chuir CAB in iúl don Choimisiún gur faoi na hAchtanna um Fháltais ó Choireacht, 1996 go 2016, a tionscnaíodh na himeachtaí a bhí i gceist. Is é an cuspóir atá leis na hAchtanna sin sainaithint agus coigistiú a dhéanamh ar mhaoin ar suíodh chun sástacht na hArd-Chúirte gurb iad na fáltais ó choireacht iad. Luaigh CAB go raibh an fhaisnéis a bhí sna doiciméid ábhair ag teastáil chun foinse na maoine a bhí ina hábhar do na himeachtaí a shuí. Leag CAB amach go raibh sonraí pearsanta an duine aonair a bhí i gceist fite fuaite i sonraí pearsanta na ndaoine aonair a bhí á n-ionchúiseamh agus nach bhféadfaí na sonraí sin a cheilt ó na doiciméid chúirte. Thug an Coimisiún faoi deara go rialaítear imeachtaí den sórt sin le halt 158(1) den Acht um Chosaint Sonraí, 2018 (an tAcht), lena bhforáiltear go bhféadfar srian a chur le GDPR agus leis an Treoir maidir le Cosaint Sonraí i réimse Fhorfheidhmiú an Dlí, mar atá trasuite san Acht, chun cosaint neamhspleáchais bhreithiúnaigh agus imeachtaí breithiúnacha a chinntiú.

Mar atá leagtha amach in alt 101(2) den Acht, níl an Coimisiún inniúil chun maoirseacht a dhéanamh ar oibríochtaí próiseála sonraí na gcúirteanna le linn dóibh gníomhú ina gcáil bhreithiúnach. Chuir an Coimisiún in iúl don ghearánach gur ullmhaigh CAB na doiciméid chúirte chun críocha imeachtaí cúirte agus go sanntar do bhreitheamh a ceapadh de bhun alt 157 den Acht an dualgas chun maoirseacht a dhéanamh ar oibríochtaí próiseála sonraí na gcúirteanna le linn dóibh gníomhú ina gcáil bhreithiúnach.