Fuair an DPC gearán maidir le fostóir, ar chuideachta déantúsaíochta a bhí inti, inar maíodh go raibh a fhaisnéis phríobháideach, lena n-áirítear coinní le dochtúir na cuideachta, sonraí maidir le héileamh ar dhíobháil phearsanta a bhí á dhéanamh i gcoinne na cuideachta agus sonraí maidir le próiseas smachta a rinneadh i gcoinne an ghearánaigh curtha ar ‘C-Drive’ comhroinnte na cuideachta, go raibh teacht ag duine ar bith laistigh den chuideachta uirthi, agus gur fágadh cóip de na sonraí ar CD-ROM ar dheasc an ghearánaigh.
Tháinig sé chun solais le linn an gearán a iniúchadh gur úsáideadh roinnt ríomhairí san ionad oibre chun teacht ar na sonraí sa tiomántán comhroinnte, ar luaigh an chuideachta go ndearnadh é a íoslódáil, a chóipeáil nó a sheoladh chuig seoladh ríomhphoist sheachtrach. Thug an eagraíocht le fios go ndearnadh imscrúdú ar an teagmhas, agus gur foirceannadh fostaíocht bheirt fhostaithe, a aithníodh go raibh ról suntasach acu sa teagmhas, agus gur cuireadh An Garda Síochána ar an eolas faoin teagmhas.
Chuir an chuideachta an DPC ar an eolas faoin teagmhas sáraithe inar leagadh amach na sonraí ar leith a raibh teacht ag beirt fostaithe ar a laghad orthu agus ar bhreathnaigh siad orthu. Luadh go raibh na sonraí á n-aistriú go hinmheánach óna rannóg Acmhainní Daonna (HR) chuig a rannóg Dlí toisc go raibh duine dá fostaithe HR a tí imeacht. Le linn an aistrithe, bhí líon mór de chomhaid leictreonacha a bhain le cásanna dlí ina raibh líon mór daoine aonair i gceist a raibh teacht ag líon mór d’fhostaithe orthu agus a bhí in ann breathnú orthu ar fostaithe iad nach mbeadh teacht acu orthu seo de ghnáth.
Bunphrionsabail den dlí maidir le cosaint sonraí is ea bearta a chur i bhfeidhm chun sonraí pearsanta a chosaint agus a dhaingniú, go háirithe ó thaobh cinnte a dhéanamh de nach bhfuil teacht neamhúdaraithe ar shonraí pearsanta nó nach scriosta sonraí pearsanta. Maidir leis an ngearán áirithe seo, thug an DPC faoi deara sa chéad áit go raibh cuid den fhaisnéis i ndáil leis an ngearánach a nochtadh mar chuid den sárú ar shonraí ina faisnéise an-íogair, agus arbh ionann é agus “sonraí catagóire speisialta”, i gcúinsí ina n-áirítear le sonraí catagóire speisialta faisnéis maidir le “sonraí maidir le sláinte nó sonraí maidir le saol gnéis duine nádúrtha”. Áiríodh leis an bhfaisnéis (de shamplaí a cuireadh ar fáil don oifig seo) sonraí maidir le coinní le dochtúir na cuideachta inar nochtadh faisnéis an-phearsanta agus an-íogair maidir le folláine coirp, meabhairshláinte agus cúinsí pearsanta an ghearánaigh. Luadh go raibh an fhaisnéis seo á coinneáil ag an gcuideachta i gcomhthéacs imeachtaí/éilimh dlí a ghlac an duine aonair. I bhfianaise cineál na faisnéise seo, bhí freagracht sách mór ar an gcuideachta a chinntiú nach mbeadh teacht ar fhaisnéis dá leithéid ach ag daoine a raibh teacht ar an bhfaisnéis sin ag teastáil uathu ionas go bhféadfadh siad an fhaisnéis sin a rochtain agus a phróiseáil.
Ba é an tsaincheist a bhain leis an ngearán seo ná comhaid ina raibh sonraí pearsanta an ghearánaigh bheith á gcur ar thiomántán comhroinnte a raibh teacht ar gach fostaí orthu. Bhreithnigh an DPC nár tugadh aird chuí d’íogaireacht na faisnéise san comhaid agus do na riosca a bhain le hiad a chur ar fáil d’fhostaí ar bith sa chuideachta, fiú sa chás nach raibh i gceist ach tréimhse anghearr. Is cosúil gur cúiseanna pragmatacha a bhí i gceist leis an gcinneadh na comhaid a aistriú chuig tiomántán comhroinnte, i .e . dhearbhaigh an chuideachta gur cuireadh é i gcrích ar an mbealach seo toisc go raibh na comhaid ró-mhór le hiad a sheoladh trí ríomhphost. Mar sin féin, níor thug sé sin údar leis na comhaid a chur in áit ina bhféadfadh duine ar bith sa chuideachta teacht a bheith acu orthu, go háirithe mar gheall ar an riosca go ndéanfaí dochar don ábhar sonraí dá mbeadh comhghleacaithe leo in ann faisnéis an-phearsanta agus an-íogair a fháil amach nach mbeadh an gearánach, ar bhealach sách dlisteanach, ag iarraidh nó ag súil go mbeadh sí ar eolas ag fostaithe eile, ach amháin a mhéid go raibh fíorghá ann go mbeadh sé ar eolas ag líon teoranta d’fhostaithe maidir le himeachtaí/ éilimh dlí idir an t-ábhar sonraí agus a fhostóir. Anuas air sin, bhí roinnt roghanna eile ann maidir leis na comhaid a aistriú chuig an rannóg Dlí nach mbeadh an riosca céanna ag baint leo do shábháilteacht na sonraí pearsanta, lena n-áirítear na comhaid a chur ar fhillteán, bíodh sé ar an tiomántán comhroinnte nó ná bíodh ina raibh rochtain srianta do líon teoranta daoine aonair. Níor tugadh aon údar leis na comhaid a chur ar an tiomántán comhroinnte a raibh teacht gan srian ag fostaithe eile orthu mar gheall ar roghanna eile a d’fhéadfadh níos mó ama bheith i gceist leo nó a d’fhéadfadh bheith níos deacra.
Bhí an méid a tharla mar gheall ar chliseadh na sonraí pearsanta a chosaint sa chás seo suntasach a bhí ina chúis leis an duine aonair bainteach bheith ag cur imeachtaí dlí in aghaidh na cuideachta, beirt fostaithe fadtéarmacha bheith briste as a bpost gan trácht a dhéanamh ar an tionchar a imríodh ar an duine aonair a nochtadh a chuid sonraí.
Mhaígh an gearánach go raibh a shonraí pearsanta inrochtana ag daoine neamhúdaraithe, lena n-áirítear iarchomhghleacaithe agus tríú páirtithe seachtracha, mar gheall ar phróiseáil neamhshlán a rinne a iarfhostóir.
Bhí an gearánach i mbun díospóid dhlíthiúil leis an gcuideachta mar thoradh ar a dhífhostú. D’ullmhaigh an chuideachta doiciméid i ndáil leis an ndíospóid sin, lena n-áirítear tuarascáil ar imscrúdú inmheánach agus aighneacht dlí a chur faoi bhráid an Choimisiúin um Chaidreamh san Áit Oibre (WRC). Cé nach raibh mórán de shonraí pearsanta an ghearánaigh san aighneacht chuig an WRC, bhí go leor sonraí sa tuarascáil ar imscrúdú.
Thart ar mhí amháin sula ndearna an gearánach teagmháil ar dtús leis an DPC, chuir an cuideachta an DPC ar an eolas maidir le sárú ar shonraí. Luadh san fhógra gur stóráladh an aighneacht WRC gan mhachnamh i gcomhad a raibh teacht ag na fostaithe ar fad air, seachas i gcomhad nach raibh teacht ach ag baill foirne HR údaraithe air. Tugadh an earráid faoi deara agus ceartaíodh é dhá lá ina dhiaidh sin, agus chuir an chuideachta an DPC ar an eolas go gairid ina dhiaidh sin. Níor taifeadadh ar chórais na cuideachta cibé, cén uair nó cén duine a d’fhéadfadh an aighneacht WRC a rochtain, nó cibé ar cóipeáladh nó ar priontáladh í.
Sa ghearán, mhaígh an gearánach nach ndeachaigh na sárú i gcion ar an aighneacht WRC amháin, ach go ndeachaigh sé i gcion ar an tuarascáil ar imscrúdú inmheánach, agus go raibh teacht orthu seo ó gach chuid d’inlíon na cuideachta, lena n-áirítear gaireas a d’fhéadfadh fostaithe agus cuairteoirí chuig áitreabh na cuideachta a úsáid. Chuir an gearánach ráitis isteach ó iar-chom- hghleacaithe a chuir síos ar theacht a bheith acu ar dhoiciméid maidir le “an t-imscrúdú inmheánach.” Shéan an chuideachta go raibh teacht ag daoine neamhúdaraithe ar an tuarascáil ar imscrúdú inmheánach in am ar bith. Chomh maith leis sin, d’áitigh an chuideachta gurbh amhlaidh go raibh teacht míchuí ar an aighneacht WRC ar feadh achar gairid ar inlíon na cuideachta, ach nach raibh sé sa chuid sin den inlíon a raibh teacht air ag daoine nár fostaithe iad.
Thug an DPC faoi dhá phríomh-shaincheist: cad a bhí i gceist le hábhar agus méid an tsáraithe, agus cibé ar chomhlíon bearta slándála na cuideachta na caighdeáin a éilítear faoin reachtaíocht is infheidhme maidir le cosaint sonraí.
Dúirt iar-chomhghleacaithe an ghearánaigh go raibh teacht acu ar dhoiciméid maidir le “an t-imscrúdú inmheánach”. Mar sin féin, níor tugadh aon chur síos mion sna ráitis seo ar nádúr nó ábhair na ndoiciméad, níor tugadh cur síos ar an am ná ar na daoine a chonaic iad, agus níor tugadh cur síos go raibh teacht ag daoine nár fostaithe iad ar na doiciméid. Ina aghaidh sin, d’áitigh an chuideachta go seasta gurbh é an aighneacht WRC, agus ní an tuarascáil ar imscrúdú inmheánach, a raibh teacht míchuí ag fostaithe uirthi ar feadh roinnt laethanta. Rud suntasach ab ea gur chuir an chuideachta an DPC ar an eolas faoi sin thart ar mhí amháin sular chuir an gearánach a ghearán isteach ar dtús. Ba é tuairim an DPC nach raibh a dóthain fianaise ann chun tacú leis an maíomh gur nochtadh an tuarascáil ar imscrúdú inmheánach, nó go raibh teacht ag daoine nár fostaithe iad agus ag fostaithe neamhúdaraithe ar shonraí pearsanta an ghearánaigh.
Maidir le bearta slándála na cuideachta, luaigh an DPC nár mhór go mbeadh an caighdeán infheidhme ina léiriú ar an dochar a d’fhéadfaí a dhéanamh mar gheall ar rioscaí ábhartha agus go bhféadfaí iad a laghdú, lena n-áirítear nochtadh chuig daoine neamhúdaraithe sa chás seo. Ba léir go raibh an chuideachta ar an eolas faoin riosca maidir le nochtadh, toisc go raibh socruithe déanta chun doiciméid faoi rún a stóráil ar bhealach nach raibh teacht orthu ach ag baill foirne údaraithe HR amháin. Mar sin féin, theip ar an gcuideachta súil chuí bheith acu leis an riosca maidir le hearráid dhaonna agus doiciméid dá leithéid á stóráil, de réir mar a tharla i gcás na haighneach- ta WRC, agus an riosca sin a laghdú. Chomh maith leis sin, mheabhraigh an DPC don chuideachta faoin ngá go mbeadh an pearsanra ábhartha eolach ar an riachtanas sonraí pearsanta a láimhseáil i gcomhréir leis na bearta slándála is infheidhme, agus gníomhú dá réir sin i leith sáruithe.
Léiríonn an cás seo nach mór do rialaitheoirí sonraí na riosca ar fad a d’fhéadfadh bheith i gceist nuair a phróiseálann siad sonraí pearsanta a chur san áireamh, lena n-áirítear an riosca maidir le hearráid dhaonna. Ní mór na bearta a ghlacann siad chun aghaidh a thabhairt ar na rioscaí sin bheith ina léiriú ní hamháin ar na cúiseanna a d’fhéadfadh bheith i gceist le caillteanas nó dochar, ach ar na hiarmhairtí a bhaineann le sárú, agus ní mór dóibh bheith ina léiriú ar na bealaí ina bhféadfaí na hiarmhairtí sin a íoslaghdú nó a leigheas.
Fuair an DPC gearán ó dhuine aonair maidir le nochtadh líomhnaithe shonraí pearsanta an ghearánaigh ag údarás áitiúil. Líomhnaigh an gearánach go raibh ainm an ghearánaigh, a sheoladh poist agus eolas a bhain le híocaíocht cúnaimh tithíochta go hearráideach chuig tríú páirtí nochtaithe ag an údarás áitiúil. Bhí an t-údarás áitiúil tar éis cur in iúl don duine aonair gur tharla an nochtadh seo. Bhí an duine aonair míshásta, áfach, leis na bearta a rinne an t-údarás áitiúil mar fhreagra ar an nochtadh agus níor mhian leis dul i dteagmháil tuilleadh leis an údarás áitiúil agus é i gceist réiteach cairdiúil an ghearáin a lorg.
Scrúdaigh an DPC an gearán agus rinne sé teagmháil leis an údarás áitiúil chun tuilleadh eolais a lorg maidir le líomhaintí an duine aonair. Dheimhnigh an t-údarás áitiúil don DPC go raibh sárú sonraí pearsanta tar éis tarlú nuair a cuireadh sonraí pearsanta an ghearánaigh san áireamh, go hearráideach, i bhfreagra ar iarratas Saorála Faisnéise chuig tríú páirtí. Chomh maith leis an eolas a cuireadh ar fáil ag an údarás áitiúil don DPC i gcomhthéacs a scrúdaithe den ghearán, cuireadh an eachtra faoi thrácht in iúl don DPC ag an údarás áitiúil mar shárú sonraí pearsanta, faoi mar a éilítear ag Airteagal 33 den GDPR. Sa chomhthéacs sin, rinne an DPC teagmháil leitheadach leis an údarás áitiúil maidir le cúinsí an tsáraithe shonraí phearsanta, na bearta slándála sonraí a bhí i bhfeidhm ag an am gur tharla an sárú sonraí pearsanta agus na bearta maolaitheacha a rinne an t-údarás áitiúil, lena n-áirítear iarrachtaí leanúnacha an údaráis áitiúil chun na sonraí a fháil ar ais ón bhfaighteoir.
Bunaithe ar an eolas seo, thug an DPC chun críche a scrúdú den ghearán trí chur in iúl don duine aonair go raibh an DPC sásta nár próiseáladh sonraí pearsanta an ghearánaigh ag an údarás áitiúil ar bhealach a chinntigh slándáil chuí na sonraí pearsanta agus go raibh nochtadh neamhúdaraithe shonraí pearsanta an ghearánaigh tar éis tarlú, rud atá ina shárú sonraí pearsanta. Bunaithe ar na bearta a rinneadh ag an údarás áitiúil mar fhreagra ar an sárú sonraí pearsanta agus, go háirithe, gurbh amhlaidh nár thug faighteoir shonraí pearsanta an ghearánaigh na sonraí ar ais don údarás áitiúil, níor mheas an DPC go raibh gá le haon bheart breise in aghaidh an údaráis áitiúil maidir le hábhar an ghearáin.
D’iarr an gearánach, i rith tréimhse fostaíochta san am atá caite, ar an cuideachta teileachumarsáide (“an cuideachta teileachumarsáide”) a huimhir fóin póca phearsanta a nascadh le cuntas an fhostóra a bhí aici ag an am. Chuir sin ar chumas an ghearánaigh leas a bhaint as lascaine a bhain le cód grúpa An cuideachta teileachumarsáide an fhostóra sin. Cé gur athraíodh an t-ainm ar chuntas an ghearánaigh go dtí ainm an iar-fhostóra, bhain seoladh baile an ghearánaigh leis an gcuntas i gcónaí agus ba é an gearánach a bhí freagrach i gcónaí as aon bhillí a íoc. Nuair a tháinig deireadh leis an gcaidreamh fostaíochta sin, rinne an gearánach teagmháil le An cuideachta teileachumarsáide agus d’iarr (i) go gcuirfí srian ar an rochtain a bhí ag a hiar-fhostóir ar a cuntais fóin póca; agus (ii) an cuntas a dheighilt ó chuntas a hiar-fhostóra. De bhun an iarrata sin, ghlac bainisteoir cuntais de chuid an cuideachta teileachumarsáide roinnt céimeanna ag ceapadh (go mícheart) go ndéanfaí cuntas an ghearánaigh a dheighilt ó chuntas a iar-fhostóra. Tháinig an gearánach chun fios a bheith aici, áfach, gur lean a hiar-fhostóir ar aghaidh ag déanamh rochtana ar a taifid chuntais i ndiaidh di an iarraidh sin a dhéanamh. De bhun fiosrúchán breise ón ngearánach, tháinig an cuideachta teileachumarsáide ar a earráid agus rinne cuntas an ghearánaigh a dheighilt ó chuntas a hiar-fhostóra ar deireadh.
Rinne an gearánach gearán le An cuideachta teileachumarsáide ina dhiaidh sin. I ndiaidh do An cuideachta teileachumarsáide an gearán a fhiosrú, chuir siad in iúl don ghearánach nach raibh taifead acu ar an iarraidh bhunaidh maidir le srian a chur ar rochtain ar an gcuntas. Sna himthosca sin, chuir an gearánach gearán ar aghaidh chuig an oifig seo.
Le linn ár n-imscrúdaithe, d’admhaigh An cuideachta teileachumarsáide nárbh leor an chéad ghníomh a rinne a bhainisteoir cuntais mar nár dheighil sé cuntas an ghearánaigh ó chuntas a hiar-fhostóra agus nár chuir sé cosc ar a hiar-fhostóir rochtain a fháil ar a taifid ríomhshonrasctha. D’admhaigh an cuideachta teileachumarsáide freisin nach raibh taifid iomlána aige nuair a d’imscrúdaigh sé gearán an ghearánaigh. Dhearbhaigh sé, maidir leis sin, go raibh iarraidh bhunaidh an ghearánaigh, maidir le srianadh/deighilt, aimsithe aige.
Dá bharr sin, ba iad na saincheisteanna a bhí le cinneadh, cibé an ndearna an cuideachta teileachumarsáide, mar Rialaitheoir Sonraí, na nithe seo a leanas:
Fuair an oifig seo nár chuir An cuideachta teileachumarsáide bearta slándála cuí i bhfeidhm chun sonraí pearsanta an ghearánaigh a chosaint in aghaidh rochtana neamhúdaraithe ag a iar-fhostóir ná in aghaidh nochta leis. Ba léir sin mar gheall gur lean iar-fhostóir an ghearánaigh ar aghaidh ag déanamh rochtana ar a taifid ríomhshonrasctha d’ainneoin na ngníomhartha thosaigh a rinne An cuideachta teileachumarsáide.
Thug an oifig seo ar aird freisin an oibleagáid, arna leagan amach in Alt 2C(2) de na hAchtanna, go bhfuil ar Rialaitheoir Sonraí maidir le gach céim réasúnach a ghlacadh lena chinntiú — (a) go mbeidh na daoine atá fostaithe aige nó aici … ar an eolas faoi na bearta slándála cuí réamhluaite agus go gcloífidh siad leo. Fuair an oifig seo nár chomhlíon An cuideachta teileachumarsáide a chuid oibleagáidí maidir leis sin. Arís, ba léir é sin mar gheall gur cheap an bainisteoir cuntais a chuaigh i mbun gnímh i ndáil le hiarraidh an ghearánaigh ar an gcéad dul síos, go mícheart, gur leor iad na gníomhartha a rinneadh chun cuntas an ghearánaigh a dheighilt ó chuntas a hiarfhostóra.
Chuir an oifig seo san áireamh freisin, an tráth a ndearna an gearánach a gearán le An cuideachta teileachu- marsáide, nach raibh An cuideachta teileachumarsáide in ann a hiarraidh thosaigh, maidir lena cuntas a shrianadh, a aimsiú. An toradh a bhí air sin, gur tháinig imscrúdú an cuideachta teileachumarsáide féin ar ghearán an ghearánaigh ar an gconclúid mhícheart. Dá réir sin, agus d’ainneoin gur cuireadh cúrsaí ina gceart ina dhiaidh sin, fuair an oifig seo gur theip ar an cuideachta teileachumarsáide cloígh lena oibleagáidí faoi Alt 2(1)(b) de na hAchtanna in imthosca nach raibh taifid an ghearánaigh, amhail an tráth ábhartha, beacht, iomlán ná suas le dáta.
In 2019, fuair an DPC gearán maidir le nochtadh sonraí othair trí theachtaire Facebook ag taisceoir ospidéil maidir lena bheith i láthair ag Aonad Luath- Thoirchis ospidéil. Tar éis scrúdú a dhéanamh ar an ngearán, shoiléirigh FSS don CCS go raibh gníomhaire cúraim sláinte a d’fhoilsigh an FSS i mbun an taisce ospidéil a nocht faisnéis phearsanta an othair. Rinne an DPC teagmháil leis an ngníomhaireacht agus lorg sí nuashonrú maidir lena imscrúdú inmheánach, sonraí ar aon ghníomh feabhais chomh maith le sonraí faoi aon ghníomh araíonachta a rinneadh i gcoinne an fhostaí i gceist. Ag an am céanna, chuir an CCS in iúl don FSS, mar go ndéanann sé conradh ar an gcuideachta atá i gceist chun foireann ghníomhaireachta a chur ar fáil chun obair san ospidéal, gurb é FSS an rialaitheoir sonraí i ndeireadh na dála maidir leis na sonraí pearsanta sa chás seo.
Tarraingíodh siar an gearán ina dhiaidh sin ag an aturnae ag gníomhú thar ceann na mná tar éis comhaontú a bheith comhaontaithe idir an páirtí lena mbaineann agus an t-ospidéal / an ghníomhaireacht cúram sláinte. Féadfaidh rialaitheoirí sonraí / próiseálaithe sonraí a bheith faoi dhliteanas faoi dhuine faoi Alt 117 den Acht um Chosaint Sonraí 2018 maidir le damáistí mura gcom- hlíonann siad an dualgas cúraim atá orthu i ndáil le sonraí pearsanta atá ina seilbh.
Níl aon ról ar bith ag an CCS maidir le déileáil le héilimh chúitimh agus níl feidhm ar bith aige maidir le haon imeachtaí den sórt sin a dhéanamh faoi Alt 117 d’Acht 2018 nó i soláthar aon chomhairle dlí den sórt sin.
Fuaireamar gearán in aghaidh na Roinne Gnóthaí Eachtracha agus Trádála á líomhain gur chomhroinn an misean i gCaireo, an Éigipt, sonraí pearsanta an ghearánaigh le tríú páirtí (a fhostóir) gan a eolas ná a thoiliú agus gur mhainnigh an Roinn sonraí pearsanta an ghearánaigh a choinneáil slán sábháilte, agus WhatsApp á úsáid aici chun na sonraí a tharchur chuig a fhostóir. Bhain an cás seo leis an bpróiseáil ar shonraí pearsanta an ghearánaigh, a tugadh in iarratas ar víosa ghearrthéarmach a chuir sé isteach chun scrúdú a dhéanamh in Éirinn.
Le linn ár n-imscrúdaithe, chuir an Roinn in iúl dúinn go mbíonn sé mar ghnáthchleachtas aici cruinneas agus iomláine na n-iarratas agus bailíocht na ndoiciméad tacaíochta a mheas agus iarratais ar víosa á bpróiseáil aici. Dar leis an Roinn, tháinig amhras chun cinn faoina fhírinní a bhí doiciméad tacaíochta amháin a chuir an gearánach isteach, rud ar airbheartaíodh gur shínigh a fhostóir é. Chun bailíocht an doiciméid a fhíorú, rinne ball foirne i misean Chaireo teagmháil leis an bhfostóir (ar oifigeach de chuid gníomhaireacht rialtais san Éigipt é, a raibh a ainm agus a shíniú le feiceáil ar an doiciméad) thar an teileafón toisc go raibh sé sa riocht is fearr chun an bharántúlacht a fhíorú. Dheimhnigh an fostóir gur ghá dó an doiciméad a fheiceáil sula bhféadfadh sé é a fhíorú. Ós rud é nach raibh aon seoladh ríomhphoist oifigiúil aige, ní raibh sé in ann é a fháil ach amháin trí WhatsApp. D’inis an Roinn dúinn gurbh amhlaidh, sular sheol sí na sonraí trí WhatsApp, go ndearna sí measúnú riosca áitiúil, ar lena linn a d’fhéach sí ar an tslándáil/an criptiú a bhaineann le WhatsApp. Bunaithe ar an gcriptiú ó cheann ceann atá ar fáil ar WhatsApp agus mar gheall ar phráinne an iarratais ar víosa, mar a leag an gearánach amach san iarratas uaidh, tháinig an Roinn ar an gconclúid go raibh sé sin ar an modh tarchuir is sláine a bhí ar fáil. Sa chomhthéacs sin, chuir an Roinn in iúl dúinn nach bhfuil rochtain ag a lán oifigeach rialtais agus státseirbhíseach san Éigipt ar chuntais/córais ríomhphoist oifigiúla agus go n-úsáideann siad seirbhísí amhail Gmail, Hotmail, WhatsApp agus Viber go minic chun gnó oifigiúil a sheoladh. Sa chás seo, dheimhnigh an t-oifigeach rialtais a bhí i gceist go raibh WhatsApp ar an aon mhodh cumarsáide amháin a bhí ar fáil dó. Seoladh na doiciméid trí WhatsApp ach úsáid a bhaint as fón póca an aon bhaill foirne amháin i misean Chaireo a raibh WhatsApp aige. Scriosadh na doiciméid ón ngléas díreach tar éis iad a sheoladh. Mar a tharla ar deireadh, d’inis an t-oifigeach do mhisean Chaireo go raibh na doiciméid calaoiseach agus diúltaíodh don iarratas ar víosa dá bharr sin.
Le linn ár n-imscrúdaithe, dúirt an gearánach linn go raibh cúiteamh arbh fhiú €3,000 é á lorg aige ón Roinn. Ba é sin an costas ar an scrúdú a dhéanamh in Éirinn, costas a chaill sé. Tar éis don Choimisiún a chur in iúl don ghearánach nach raibh sé de chumhacht aici cúiteamh a dhámhachtain, d’iarr an gearánach cinneadh foirmiúil ón gCoimisiún.
Agus é ag breithniú cé acu a rinneadh nó nach ndearnadh sárú ar na hAchtanna nuair a sheol an Roinn sonraí pearsanta an ghearánaigh chuig an oifigeach a bhí i gceist trí WhatsApp, rinne an Coimisiún iarracht teacht ar na fíricí maidir le cé acu ba ghá nó nár ghá an fhaisnéis a bhí i gceist a tharchur ar an gcéad dul síos agus, ar an dara dul síos, cé acu a bhí nó nach raibh an tarchur slán, lenar áiríodh an cheist maidir le cé acu a bhí nó nach raibh an Roinn in ann modhanna níos sláine a úsáid chun na sonraí a tharchur. Ar an gcéad cheist, ba dheimhin leis an gCoimisiún gur ghá don Roinn sonraí pearsanta an ghearánaigh a chomhroinnt leis an oifigeach, a bhí ainmnithe mar fhostóir san iarratas ar víosa ghearrthéarmach agus ar airbheartaíodh gur shínigh sé doiciméid tacaíochta áirithe. Maidir leis sin, thugamar faoi deara go luaitear go sainráite sa bheartas príobháideachta ábhartha (an beartas atá i bhfeidhm ag Seirbhís Eadóirseachta agus Inimirce na hÉireann) gur ar an iarratasóir atá an dualgas cruthúnais i ndáil le haon iarratas ar víosa agus go bhféadfaidh an t-oifigeach víosa fíorú a dhéanamh ar aon fhianaise a chuirfear isteach chun tacú le hiarratas. Luaitear sa bheartas freisin go bhféadfar aon fhaisnéis a thabharfar i bhfoirm iarratais a nochtadh do rialtais eachtracha agus do chomhlachtaí eile, i measc daoine eile, chun críocha inimirce.
Ós rud é nach raibh aon mhodhanna slána eile ar fáil chun teagmháil a dhéanamh leis an oifigeach a bhí i gceist, ba dheimhin leis an gCoimisiún gur ghá an fhaisnéis a tharchur trí WhatsApp chun na sonraí pearsanta a phróiseáil chun na críche ar chuici soláthraíodh iad (incháilitheacht do víosa). Ba dheimhin leis freisin gur tugadh fógra don ghearánach á rá go bhféadfaí doiciméid tacaíochta a chomhroinnt le tríú páirtithe chun barántúlacht a fhíorú. Thug an Coimisiún aird freisin ar an bhfíric go bhfuarthas amach sa mheasúnú riosca áitiúil a rinne an Roinn gur tharla sé, sna himthosca, go raibh WhatsApp ar an modh tarchuir is sláine chun na sonraí pearsanta a sheoladh. Dá réir sin, chinn an Coimisiún gur ghníomhaigh an Roinn i gcomhréir leis na hAchtanna.
Fuaireamar gearán ó ábhar sonraí a ndearna Ryanair an comhrá Gréasáin a bhí aige le fostaí de chuid Ryanair a nochtadh de thaisme i ríomhphost chuig duine eile a bhain úsáid as seirbhís comhrá Gréasáin Ryanair. I dtras-scríbhinn an chomhrá Gréasáin, tugadh ainm an ghearánaigh, ainm a pháirtnéara, a sheoladh ríomhphoist, a uimhir fóin agus a phleananna eitilte. D’inis an gearánach dúinn gurb é an duine ar seoladh tras-scríbhinn a chomhrá Gréasáin chuige trí earráid an duine a tharraing a aird ar an nochtadh.
Le linn dúinn an gearán a scrúdú, fuaireamar amach gurb é tríú páirtí a sholáthraíonn seirbhís comhrá Gréasáin bheo Ryanair, ar páirtí é atá ina phróiseálaí sonraí do Ryanair. Fuaireamar amach freisin go bhfuil feidhm uathlíonta ag an gcóras lena seoltar tras-scríbhinní na gcomhráite Gréasáin trí ríomhphost. Leis an bhfeidhm sin, líontar an réimse faighteora le seoladh ríomhphoist an chustaiméara dheireanaigh ar seoladh ríomhphost chuige . Ar an dáta a bhí i gceist, fuair an próiseálaí sonraí iarrataí ó cheathrar custaiméirí de chuid Ryanair ar thras-scríbhinní a gcomhráite Gréasáin . Phróiseáil an t-aon ghníomhaire amháin na hiarrataí sin. Dá ainneoin sin, ní dhearna an gníomhaire seoladh ríomhphoist an fhaighteora a athrú agus é ag seoladh na dtras-scríbhinní, rud a d’fhág gur seoladh iad chuig na faighteoirí míchearta. Chuir Ryanair in iúl dúinn gurb amhlaidh, chun a chinntiú nach dtiocfadh an fhadhb sin chun cinn choíche, gur dhíchumasaigh an próiseálaí sonraí an córas comhrá Gréasáin bheo agus gur cuireadh oiliúint athnuachana sa Rialachán Ginearálta ar an bhfoireann.
Is as úsáid a bhaint as na feidhmeanna uathlíonta i mbogearraí a eascraíonn an-chuid de na gearáin a fhaigheann an Coimisiún maidir leis an nochtadh neam- húdaraithe sonraí pearsanta i gcomhthéacs leictreonach e .g . ríomhphoist a bhfuil sonraí pearsanta iontu a bheith á seoladh chuig an bhfaighteoir mícheart. Cé go bhféadfadh go measfadh rialaitheoirí sonraí gur uirlis úsáideach sábhála ama í sin le haghaidh sonraí a iontráil, tá rioscaí dúchasacha ag baint léi i gcás go mbaintear úsáid aisti chun sonraí faighteora a líonadh chun críocha sonraí pearsanta a tharchur. Dá bhrí sin, ba cheart feidhmeanna uathlíonta a úsáid go cúramach agus, i gcás go gcinneann rialaitheoirí feidhm den sórt sin a chomhtháthú isteach ina mbogearraí chun críocha próiseála sonraí, ba cheart coimircí eile a úsáid, amhail bréagsheoltaí i dtús an leabhair sheoltaí nó leideanna ar an scáileán chun sonraí an fhaighteora a sheiceáil an athuair. Maidir leis an bprionsabal um shlándáil agus rúndacht sonraí pearsanta a chosaint, téann seisean agus cosaint sonraí trí dhearadh agus mar réamhshocrú i dteannta a chéile. Is amhlaidh sin toisc go ndéantar na caighdeáin is airde le haghaidh sonraí pearsanta a chosaint a úsáid, go háirithe maidir le hiomláine, slándáil agus rúndacht sonraí pearsanta a áirithiú, nuair a bhíonn rialaitheoirí sonraí agus próiseálaithe sonraí ag ceapadh céimeanna i gclár próiseála sonraí pearsanta nó i mbogearraí próiseála sonraí pearsanta.
Fuaireamar roinnt gearán go mall sa bhliain 2017 in aghaidh na Príomh-Oifige Staidrimh. Líomhnaíodh i ngach ceann díobh gur nocht an Phríomh-Oifig Staidrimh sonraí pearsanta na ngearánach lenar bhain gan a fhios dóibh agus gan toiliú a fháil uathu. Bhain na gearáin le sárú sonraí a thuairiscigh an Phríomh-Oifig Staidrimh dúinn (de réir an Chóid Chleachtais um Sháruithe Slándála i nDáil le Sonraí Pearsanta, ar cód cleachtais deonach é) agus do na daoine aonair lenar bhain freisin.
D’eascair an sárú sonraí as gníomhartha a rinne an Phríomh-Oifig Staidrimh chun freagra a thabhairt ar thrí iarraidh a fuarthas thar thréimhse cúig lá ó iar-áiritheoirí daonáirimh ar leith a bhí ag iarraidh a bhfaisnéise P45. Ní hé amháin gur sheol an Phríomh-Oifig Staidrimh faisnéis P45 na ndaoine lenar bhain, ach sheol sí faisnéis P45 na mílte áiritheoirí eile daonáirimh freisin. D’inis an Phríomh-Oifig Staidrimh dúinn gur sainaithníodh an sárú sonraí nuair a bhí ball foirne ag caitheamh súil ar an mbosca ríomhphoist míreanna seolta dá cuid, rud a rinneadh mar chuid de chleachtais chaighdeánacha díchill chuí na Príomh-Oifige Staidrimh. Dheimhnigh an Phríomh-Oifig Staidrimh gur cuimsíodh sonraí pearsanta amhail Uimhreacha PSP, dátaí breithe, seoltaí agus an tuilleamh ón bhfostaíocht mar áiritheoirí daonáirimh san fhaisnéis P45 tríú páirtí a nochtadh.
Le linn ár n-imscrúdaithe, chuir an Phríomh-Oifig Staidrimh in iúl dúinn gurbh amhlaidh, ar an sárú a aimsiú, gur thug sí fógra do na faighteoirí faoin earráid, a dheimhnigh ina dhiaidh sin i scríbhinn gur scrios siad na comhaid. D’inis an Phríomh-Oifig Staidrimh dúinn gur thug sí fógra do gach duine aonair lenar bhain faoi fhíricí an tsáraithe mar a bhain siad le gach duine aonair. Chuir an Phríomh-Oifig Staidrimh in iúl dúinn freisin gurb amhlaidh, tar éis an tsáraithe sonraí, gur chuir sé raon nósanna imeachta nua chun feidhme le haghaidh iarrataí P45 a láimhseáil. Áiríodh leo sin riail nach dtabharfaí freagra ar iarrataí P45 ach amháin trí chasadh an phoist ón uair sin i leith.
Bhí tionchar ag an sárú sonraí sin ar na mílte duine ar cuimsíodh a sonraí pearsanta sna comhaid a nochtadh go neamhdhleathach don triúr iar-áiritheoirí. B’amhlaidh go bunúsach gur i dtriarach a tharla an teagmhas, toisc gur le trí chumarsáid amach ar leith a ceanglaíodh na comhaid a nochtadh go hearráideach. Bheifí in ann an teagmhas sin a chosc dá mba rud é go raibh na próisis chuí i bhfeidhm ag an bPríomh-Oifig Staidrimh le haghaidh formhaoirseacht a dhéanamh ar eisiúint sonraí pearsanta a bhaineann le cáin.
D’eisigh an Coimisiún roinnt cinntí aonair ar na gearáin a fuarthas i dtaca leis an sárú. Chinn sé i ngach cás go ndearnadh sárú ar alt 2A(1) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003, toisc gur próiseáladh sonraí pearsanta gan bunús dlí, mar a bhí soiléir sa tuairisc sáraithe a sheol an Phríomh-Oifig Staidrimh chuig an gCoimisiún. Tar éis dó scrúdú a dhéanamh ar na bearta nua a chuir an Phríomh-Oifig Staidrimh chun feidhme chun a chinntiú nach dtarlódh a leithéid choíche, ba dheimhin leis an gCoimisiún gur thug sí aghaidh go cuim- sitheach ar na mainneachtainí ba chúis leis an teagmhas. Mar sin féin, bhí na nósanna imeachta eagraíochtúla nua sin ina léiriú gurbh amhlaidh, maidir leis na bearta a bhí i bhfeidhm roimhe le haghaidh freagra a thabhairt ar iarrataí ar fhaisnéis a bhaineann le cáin, go raibh siad easnamhach ó thaobh dhlíthiúlacht na próiseála agus shlándáil agus rúndacht na sonraí pearsanta atá á sealbhú ag an bPríomh-Oifig Staidrimh a chinntiú de.
Fuaireamar gearán a bhain le nochtadh líomhnaithe shonraí pearsanta na ngearánach do thríú páirtí ag comhlacht díoltóireachta mótarfheithiclí. Chun carr a cheannach trí Phlean Conartha Pearsanta, thug na gearánaigh cóipeanna dá gceadúnais tiomána agus dá sonraí bainc don chomhlacht díoltóireachta. Áiríodh leis na sonraí sin ráitis bhainc agus lánsonraí cuntais. Cuireadh iad ar áireamh ina dhiaidh sin i ríomhphost a seoladh ón gcomhlacht díoltóireachta chuig seoladh ríomhphoist tríú páirtí, a measadh a bheith ina sheoladh atá bainteach le banc. Cuimsíodh sa ríomhphost sin ceadúnais tiomána agus sonraí bainc na ngearánach. Bhí imní ar na gearánaigh gur sheoladh ríomhphoist de chuid bialainne a bhí i seoladh ríomhphoist an tríú páirtí. Rinne siad teagmháil leis an gcomhlacht díoltóireachta faoi sin. Dearbhaíodh dóibh, áfach, gur le banc a bhain an seoladh ríomhphoist i gceist agus go raibh an seoladh ríomhphoist slán.
Bhí imní ar na gearánaigh fós faoi úinéireacht an tseolta ríomhphoist . Rinne siad taighde ar líne ar an ní agus ba dheimhin leo gur sheoladh ríomhphoist de chuid bialainne a bhí sa seoladh ríomhphoist . Chun na hábhair amhrais a bhí acu a dheimhniú, sheol cara leis na gearánaigh ríomhphost chuig an seoladh i gceist . Deimhníodh sa fhreagra a fuarthas gur sheoladh ríomhphoist de chuid bialainne é.
Le linn ár scrúdaithe, d’admhaigh an comhlacht díoltóireachta gur seoladh an ríomhphost go hearráide- ach chuig an seoladh mícheart . D’ainneoin na hadmhála sin, ba shoiléir nach ndearnadh aon iarracht ina dhiaidh sin dul i dteagmháil leis an mbialann chun a iarraidh go scriosfadh an faighteoir neamhbheartaithe an fhaisnéis a seoladh chuige go hearráideach. Ar ordú a fháil ón oifig seo, fuaireamar deimhniú go ndeachaigh an comhlacht díoltóireachta i dteagmháil leis an mbialann agus d’iarr sé go scriosfaí an ríomhphost, na doiciméid san áireamh. Chuir an comhlacht díoltóireachta moladh ar aghaidh le haghaidh teacht ar réiteach cairdiúil. Ghlac na gearánaigh leis an moladh sin.
02nd Mí Bealtaine 2025