Baineann Ionad Cúraim Ospíse (Rialaitheoir) úsáid ar seirbhís néalbhunaithe ríomhphoist í. D’fhostaigh sé Sainchomhairleoirí TF tríú páirtí freisin. Fuarthas foláireamh á rá gur braitheadh patrún amhrasach cur ríomhphost, rud a d’eascair as ionsaí lántrialach agus a chuir faisnéis aitheantais úsáideora i mbaol. Shealbhaigh an Rialaitheoir sonraí ar roinnt freastalaithe agus luaigh sé go raibh an riosca íseal toisc nár asbhaineadh aon sonraí. D’iarr an Coimisiún ar na rialaitheoirí mionsonraí faoi na sonraí pearsanta agus na sonraí pearsanta íogaire a bhí i gceist agus/nó cóip díobh a sholáthar dó. Lean an rialaitheoir lena chur in iúl don Choimisiún gur chreid sé nach raibh aon sárú sonraí ann. Rinne an Soláthraí TF Iniúchadh Office 365 gach ráithe, ar lena linn a shainaithin an soláthraí seirbhíse roinnt moltaí. I measc nithe eile, mhol sé go gcuirfí fíordheimhniú ilfhachtóra i bhfeidhm i leith gach cuntais úsáideora agus go ndíchumasófaí rialacha cur ar aghaidh ar gach cuntas.

Agus é ag plé le fíorais an tsáraithe, rinne an Coimisiún athbhreithniú ar an Tuarascáil Fhóiréinseach a fuarthas ó thríú páirtí . Suíodh sa Tuarascáil sin nár chuir an rialai- theoir fíordheimhniú ilfhachtóra chun feidhme, cé gur moladh dó déanamh amhlaidh in iniúchtaí roimhe sin . Ina theannta sin, ní raibh na rialaitheoirí in ann catagóirí ná cineál na sonraí pearsanta a bhí faoi rialú acu a leagan amach go cuí . Shuigh na Sainchomhairleoirí TF gur gnóthaíodh an fhaisnéis aitheantais mar thoradh ar ionsaí lántrialach, rud a d’fhéadfaí a chosc trí fhíordheimhniú ilfhachtóra a thabhairt isteach . Bunaithe ar chomhairle ó na Sainchomhairleoirí TF, athshocraíodh an pasfhocal úsáideora a bhí truaillithe agus tugadh fíordheimhniú ilfhachtóra isteach don úsáideoir seo . Tá fíordheimh- niú ilfhachtóra á thabhairt isteach ag an rialaitheoir do gach úsáideoir anois . D’fhéadfaí an sárú seo a chosc dá dtabharfaí moltaí an iniúchta isteach ar bhealach tráthúil .

Thuairiscigh gnólacht dlí meánmhéide go raibh sé ina íospartach in ionsaí innealtóireachta sóisialta. D’oscail ball den fhoireann ríomhphost ó thríú páirtí mailíseach ar trí sin a suiteáladh bogearraí mailíseacha faoi rún ar an ríomhaire. Mar gheall ar na bogearraí mailíseacha, bhíothas in ann monatóireacht a dhéanamh ar chumarsáid ríomhphoist agus cuireadh ar chumas an drochghníomhaire suim airgid a bhaint de chliant le calaois. Thuairiscigh an gnólacht an sárú don DPC.

Trína theagmháil ón DPC leis an ngnólacht, fuair an DPC amach gur bhain an gnólacht úsáid as seirbhís ríomhphoist néil a úsáidtear go forleathan agus a ndearna conraitheoir bainistíocht uirthi . Níor cuireadh socruithe slándála bunúsacha, ar nós pasfhocail láidre agus fíord- heimhniú ilfhachtóra, i bhfeidhm . I ndiaidh don ghnólacht an teagmhas a thabhairt faoi deara, coimisiúnaíodh imscrúdú iomlán ar an toirt chun bunchúis agus méid an tsáraithe a fháil amach . Bunaithe ar thorthaí an imscrú- daithe, ghníomhaigh an gnólacht go pras agus cuireadh bearta slándála teicniúla breise i bhfeidhm mar aon le hoiliúint bhreise do bhaill foirne maidir le cibearshlándáil agus cosaint sonraí . D’iarr an DPC go gcuirfí nuashon- ruithe ar fáil maidir le bearta slándála eagraíochtúla agus teicniúla cuí a chur i bhfeidhm chun cosc a chur le sárú den chineál céanna an athuair .

Fuair an DPC fógra maidir le sárú ó charthanas a thugann tacaíocht do dhaoine faoi mhíchumais intleachta. Tharla an sárú nuair a úsáideadh an réimse CC seachas an réimse BCC chun nuachtlitir a sheoladh chuig faighteoirí trí ríomhphost. Ba é an toradh a bhí air sin gur nochtadh seoltaí ríomhphoist na bhfaighteoirí ar fad dóibh sin a léigh an ríomhphost. Is coitianta an cineál seo de shárú ar shonraí pearsanta ar minic é bheith ina thoradh ar earráid dhaonna shimplí agus a mbíonn rioscaí ísle ag baint leis de ghnáth. Cé gur dócha nár rioscaí suntasacha na rioscaí a bhain leis an gcás seo, léiríodh trí tuilleadh fiosrúcháin agus anailís a dhéanamh ar aighneachtaí chuig an DPC roimhe seo nach raibh mórán feasachta i measc bhaill foirne agus oibrithe deonacha an charthanais maidir le saincheisteanna agus freagrachtaí i ndáil le cosaint sonraí.

I ndiaidh don eagraíocht bheith i dteagmháil leis an DPC, tugadh isteach oiliúint do bhaill foirne agus oibrithe deonacha maidir le cosaint sonraí, agus tugadh aghaidh ar ról bainistíochta nua a chruthú ar a mbeadh freagracht i ndáil le cosaint sonraí a chomhlíonadh ar fud na heagraíochta .

Bíonn carthanais i mbun sonraí pearsanta daoine leo- chaileacha a phróiseáil go minic, agus is minic gur sonraí catagóire speisialta atá i gceist ar nós faisnéis maidir le sláinte . Ceart bunúsach is ea cosaint sonraí san Aontas Eorpach agus teastaíonn cúram, pleanáil agus bearta ea- graíochtúla cúramacha chun cearta daoine leochaileacha a chosaint . Ní mór acmhainní cuí maidir le bainistíocht agus comhlíonadh bheith ag teacht le dianobair agus dea-thoil na mball foirne agus oibrithe deonacha lena chinntiú go gcosnaítear cearta sonraí pearsanta .

Chuir ollscoil atá dírithe ar an eolaíocht shláinte an DPC ar an eolas maidir le sárú a tharla de bharr ábhair ina raibh sonraí pearsanta bheith curtha de láimh go míchuí.Bhí fostaí ag obair sa bhaile ar thionscadal earcaíochta. Bhí an fostaí ag obair ar chóipeanna clóbhuailte de líon iarratais ar phoist agus na CVanna a bhí a gabháil leo. D’ordaigh an eagraíocht d’fhostaithe a bhí ag obair sa bhaile priontáil a íoslaghdú agus doiciméid a scriosadh sula gcuirfí de láimh iad. Mar sin féin, chuir an fostaí na doiciméid earcaíochta in araid athchúrsála baile gan iad a scriosadh roimh ré. Mar gheall ar ghaoithe arda, scaipeadh ábhair na haraide, na doiciméid earcaíochta san áireamh.

Agus deireadh á chur lena iniúchadh maidir leis an sárú, rinne an DPC líon moltaí . Ní ar chleachtais oibre na bhfostaithe amháin a díríodh na moltaí seo, ach ar an ngné ba thábhachtaí, arbh é sin bearta teicniúla agus eagraíochtúla an rialaitheora . Cé go bhfuil sé tábhachtach go dtuigfeadh baill foirne dea-chleachtais maidir le cosaint sonraí agus go gcuirfeadh siad i bhfeidhm iad, is ar an rialaitheoir atá an fhreagracht a chinntiú go ndéanann siad amhlaidh agus go bhfuil bealach acu — lena n-áirítear gairis ar nós stiallairí, nuair is cuí — d’fhonn an caighdeán cosanta riachtanach a chomhlíonadh .

Fuarthas fógra ó chomhlacht reachtúil a bhfuil feidhmeanna aige gearáin maidir le hiompar gairmiúil, oiliúint nó inniúlacht saineolaí a imscrúdú. Tharla an sárú ar shonraí nuair a rinneadh litir a bhain le gearán in aghaidh speisialtóir a cheangal le ríomhphost agus é a sheoladh chuig seoladh mícheart. Bhí sonraí pearsanta maidir le roinnt daoine aonair, lena n-áirítear sonraí maidir le sláinte, sa cheangaltán, agus bhí sé criptithe. Mar sin féin, eisíodh an pasfhocal don litir chriptithe i ríomhphost ar leith chuig an seoladh mícheart céanna.

Mar gheall ar an gcineál sonraí pearsanta agus an comhthéacs ar fad a bhí i gceist, tugadh le fios go raibh ardriosca i gceist d’ábhair sonraí . Ar an mbonn sin, dhearbhaigh an DPC gur cuireadh gach duine a bhí buailte ar an eolas faoin sárú, na rioscaí agus na bearta a bhí á ndéanamh ina leith, de réir mar a éilítear in Airteagal 34 den GDPR . Mheabhraigh an DPC don eagraíocht faoina hoibleagáid leanúnach maidir le sonraí pearsanta a nochtadh trí thimpiste a dhaingniú, agus faoin tábhacht a bhaineann le slándáil a chinntiú agus sonraí pearsanta á seoladh trí ríomhphost . Rinne an comhlacht reachtúil ath- bhreithniú ar a phróisis, beartais agus nósanna imeachta ar fad maidir le cosaint sonraí .

Tá ríomhphoist a sheoltar chuig an seoladh mícheart ar cheann de na cúiseanna is coitianta i leith sárú a thuairiscítear don DPC . Tá criptiú ina huirlis luachmhar chun cuidiú le cosaint a thabhairt ar nochtuithe trí timpiste. Mar sin féin, moltar meán ar leith a úsáid — ar nós glaoch gutháin nó teachtaireacht SMS — chun an pasfhocal a sheoladh ar aghaidh, mar is féidir na tairbhí a chur ar neamhní mar gheall ar bhotún amháin i seoladh ríomhphoist .

I gcaitheamh tréimhse 12 mhí, fuair an DPC fógraí maidir le sraith sáruithe comhchosúla ó rialaitheoir sonraí a raibh baint aige/aici le ceisteanna airgeadais. Dhíol an rialaitheoir seirbhísí trí líonra náisiúnta miondíola a bhí faoi úinéireacht agus á fheidhmiú ag tríú páirtí, a ghníomhaigh mar phróiseálaí ina thaobh. Tharla na sáruithe nuair a rinne custaiméirí reatha an rialaitheora ceannacháin ag ionaid díola an phróiseálaí, ach d’úsáid siad seoladh difriúil le hais an seoladh a chláraigh siad roimhe sin leis an rialaitheoir.

Níor comhordaíodh go hiomlán athruithe a rinneadh le gairid ar chórais bhunachar sonraí an rialaitheora leis na hathruithe i leith díolacháin, arbh é an toradh a bhí air sin gur seoladh doiciméid maidir le díolacháin chuig seanseoltaí custaiméirí seachas a seoltaí nua . D’ordaigh an rialaitheoir don phróiseálaí gan glacadh le hiarratais che- annacháin go dtí go gclárófaí athruithe ar na seoltaí, ach níor lean cuid de bhaill foirne ag an gcuntar na nósanna imeachta cearta go seasta .

Nuair a nótáil an DPC an patrún a bhain leis na sáruithe, d’aontaigh an rialaitheoir go raibh fadhb córasach ann ar theastaigh cúram ina leith óna ardbhainistíocht . Fad a bhí réiteach teicniúil á leagan amach agus á thástáil, ghlac an rialaitheoir agus an próiseálaí bearta eatramhacha len n-áirítear athoiliúint a chur ar bhaill foirne, maoirseacht a mhéadú, agus fógra a thagadh aníos ar na scáileáin arna n-úsáid ag na baill foirne próiseála nuair a bhí díolacháin  gcur i gcrích, inar meabhraíodh dóibh a dhearbhú go raibh seoladh cláraithe reatha a chustaiméara i gceart . Chuir an rialaitheoir na hathruithe i bhfeidhm ina chórais IT d’fhonn cosc a chur le doiciméid díolacháin bheith á seoladh chuig seoltaí custaiméara míchearta, agus tháinig deireadh leis na sáruithe athfhillteacha .

Fuair an DPC tuairiscí sáraithe ar leith ó 12 chomhar creidmheasa a d´fhostaigh seirbhísí an phróiseálaí chéanna, a bhí lonnaithe sa RA. D´eascair an sárú ag an bpróiseálaí as earráid chódúcháin a rinneadh ag an bpróiseálaí agus bearta á gcur i bhfeidhm a tugadh isteach mar fhreagra ar phaindéim Covid-19.

Tá iachall ar chomhair chreidmheasa eolas a thuairisciú do Bhanc Ceannais na hÉireann a bhaineann lena gcuid iasachtaithe agus le feidhmíocht a gcuid iasachtaí. Baineann an Banc Ceannais úsáid as an eolas seo chun an Clár Creidmheasa Lárnach (nó CCR) a chothabháil . Lena seal baineann iasachtóirí agus gníomhaireachaí rátála creidmheasa úsáid as an eolas seo chun fiacha agus stair chreidmheasa iasachtaithe a dheimhniú . Baineann líon mór iasachtóirí, go háirithe comhair chreidmheasa, úsáid as comhlachtaí próiseála sonraí chun a leithéid d´fhillteáin CCR a ullmhú agus chun iad a chur ar aghaidh chuig an mBanc Ceannais .

Le linn 2020, thug Rialtas na hÉireann sraith bheart isteach chun anás airgeadais a mhaolú a bhfuil mar chúis aige an phaindéim agus na dianghlasálacha a d´eascair aisti sin . Áiríodh i measc na mbeart seo cur ar chumas institiúidí airgeadais aisíocaíochtaí iasachta a stopadh gan cur isteach ar bhealach dochrach ar rátáil chreidmheasa na n-iasachtaithe . Tugadh treoir do na hiasachtóirí cóid ar leith a úsáid sna fillteáin CCR chun bratach a chur le hiasachtaí a stopadh go sealadach . Ba é a bhí i gceist leis sin ná cosc a chur ar léirmhíniú na n-iasachtaí sin mar iasachtaí faillitheora nó a bheith ag cur in iúl ar bhealach eile go raibh acmhainneacht creidmheasa na n-iasach- taithe ábhartha tar éis dul in olcas .

San eachtra seo bhain an próiseálaí a fostaíodh ag na 12 chomhar creidmheasa úsáid as cóid mhíchearta ar fhillteáin CCR a bhí ag plé le hiasachtaí a stopadh go sealadach. Thug na cóid mhíchearta le fios go raibh na hiasachtaithe a bhí buailte tar éis tabhairt faoi ´imeacht athstruchtúraithe´ — is minic a tharlaíonn imeacht ath struchtúraithe nuair nach mbíonn iasachtaí in ann iasacht a aisíoc thar an tréimhse chomhaontaithe, agus aontaíonn an t-iasachtóir téarmaí na hiasachta a athrú chun feabhas a chur ar chumas an iasachtaí an iasacht a aisíoc . Is féidir leis sin rátáil chreidmheasa iasachtaí a laghdú go mór, agus mar sin de d´fhéadfadh iarmhairtí tromchúiseacha a bheith ag baint le taifead míchruinn CCR imeachta ath- struchtúraithe do na daoine atá buailte .

Cuireadh na comhair chreidmheasa faoi thrácht ar an eolas faoi earráid chódúcháin an phróiseálaí maidir lena gcuid fillteán CCR roinnt seachtainí tar éis don phróiseálaí fillteáin CCR a chur chucu den chéaduair agus iad ag úsáid na gcód mícheart don Bhanc Ceannais . Tuairiscíodh an cheist don DPC mar shárú agus thóg na comhair chreid- mheasa an cheist leis an bpróiseálaí go díreach agus trí mheán grúpa úsaideoirí . Cheadaigh sin gurbh fhéidir na taifid a bhí buailte a aithint, gurbh fhéidir na nósanna imeachta cuí códúcháin a oibriú amach, agus fillteáin cheartaithe CCR a chur chuig an mBanc Ceannais .

Léiríonn na cásanna seo an tábhacht a bhaineann le conarthaí próiseála a chuireann i bhfeidhm i gceart riachtanais Airteagail 28 den GDPR . Is é an rud is mó a bhaineann le hábhar sna cásanna seo ná nach mór do na conarthaí próiseála soláthar a dhéanamh dó go mbeidh an próiseálaí ag cabhrú leis an rialaitheoir chun a chuid dualgas a chomhlíonadh i dtaca le slándáil phróiseála, agus i dtaca le tuairisciú agus bheith ag tabhairt freagra ar sháruithe .

Chuir eagraíocht earnála airgeadais príobháidí in iúl don DPC go raibh iarratas déanta ag custaiméir chun a n-uimhreacha IBAN agus BIC a fháil, uimhreacha a bhí á gcoimeád ar comhad. Bhí aithne phearsanta ag an gcustaiméir a bhí ag déanamh an iarratais ar an mball foirne a bhí ag plé leis an iarratas. Ag imeacht ó chleachtais fhaofa, bhain an ball foirne úsáid as a bhfón póca pearsanta chun pictiúr a chur den eolas a bhí á lorg, dar leo, thar ardán curtha teachtaireachtaí (WhatsApp). Go hearráideach, áfach, chuir an ball foirne sonraí a bhain le custaiméir eile chuig an gcustaiméir a rinne an t-iarratas.

Rinne an custaiméir a fuair an t-eolas seo teagmháil leis an eagraíocht chun cur in iúl dóibh nár bhain an t-eolas a fuarthas lena gcuntas siúd agus go raibh siad tar éis glacadh orthu féin an t-ábhar sáraithe ar fad a bhaint dá ngléas . Chuaigh an eagraíocht i dteagmháil le baill fhoirne le cur i gcuimhne dóibh nár chóir ach modhanna údaraithe cumarsáide a úsáid agus iarratais den chineál seo á láimhseáil sa todhchaí . Ghabh an eagraíocht a leithscéal leis na hábhair shonraí go léir a bhí buailte freisin .

D´eisigh an DPC roinnt moltaí a chuimsíonn úsáid uirlisí faofa cumarsáide eagraíochtúla amháin, ag fágáil go bhfuil an fhoireann go hiomlán ar an eolas faoi iompar inghlactha agus do-ghlactha agus uirlisí cumarsáide eagraíochtúla á n-úsáid acu, agus le cinntiú gur cuireadh oiliúint chuí ar an bhfoireann i dtéarmaí a gcuid dualgas/ freagrachtaí faoi fhorálacha an GDPR agus an Achta um Chosaint Sonraí 2018 .

I Mí na Bealtaine 2020, fuair an DPC fógra sáraithe ó phróiseálaí sonraí Éireannach agus ina dhiaidh sin fuair sé fógra ó rialaitheoir sonraí Éireannach atá ag feidhmiú san earnáil dheonach a bhí tar éis an próiseálaí seo a fhostú chun óstáil suíomhanna gréasáin agus seirbhísí bainistithe shonraí a sholáthar.

Bhain an sárú le hionsaí bogearraí éirice a tharla san ionad sonraí a úsáideann an próiseálaí sonraí, agus a tharla de thoradh ar bhogearraí mailíseacha a bhain rochtain amach trí phort 1 RDP* don fhriothálaí .

Chuaigh an DPC i dteagmháil leis an rialaitheoir agus leis an bpróiseálaí agus trí mheán roinnt cumarsáidí — lena n-áirítear eisiúint cheistneoirí teicniúla agus eagraíochtúla a dhíríonn ar réimsí ina bhféadfaí neamhchomhlíonadh na rialachán cosanta sonraí a bheith i gceist . Áiríodh ar na réimsí seo úsáid an phróiseálaí ionaid sonraí laistigh de na Stáit Aontaithe chun sonraí cúltaca a stóráil gan chomha- ontuithe dóthanacha — ná maoirseacht dhóthanach ag an rialaitheoir ar a phróiseálaí — faoi mar a éilítear faoi Airteagal 28 den GDPR .

Chuaigh an DPC i dteagmháil go mion minic leis an dá pháirtí agus thug an DPC an cás seo chun críche trí mholtaí a eisiúint don rialaitheoir agus don phróiseálaí araon . Ina dhiaidh sin lean an DPC air de bheith ag dul i dteagmháil leis an dá pháirtí chun cinntiú go raibh cur i bhfeidhm mholtaí an DPC tar éis tarlú .

*RDP — Prótacal Ciandeisce

Chuir cuideachta bainistíochta maoine tráchtála agus cónaithe in iúl don CCS go raibh fostaí de chuid cuideachta slándála a raibh a chuid seirbhísí coinnithe acu tar éis a bhfón póca pearsanta a úsáid chun píosa scannáin CCTV a thaifeadadh de bheirt den phobal a bhí páirteach i ngníomh pearsanta, a bhí gafa ag an mbainistíocht ceamaraí slándála na cuideachta.

Rinneadh an físeán a tógadh a roinnt ina dhiaidh sin trí WhatsApp le líon teoranta daoine aonair . Chuir an gnó in iúl don CCS gur chuir siad in iúl don fhoireann ad’fhéad- fadh an scannán a fháil go gcaithfidh siad é a scriosadh agus d’iarr siad nach scaipfí an fhíseán a thuilleadh.

Bhí an chuideachta bhainistíochta réadmhaoine agus an chuideachta slándála in ann a thaispeáint go raibh beartais agus nósanna imeachta leordhóthanacha ann, ach bhí easpa maoirseachta agus maoirseachta cuí ann chun comhlíonadh na mbeartas agus na nósanna imeachta seo a chinntiú.