Fuair an DPC gearán ó dhuine aonair a mhaígh go raibh sé ina íospartach i gcoir. D’iarr an duine aonair go ndéanfadh An Garda Síochána (AGS) a shonraí pearsanta íogair a phróiseáil de réir a théarmaí áirithe, is é sin, d’iarr sé go gcuirfí cóip iomlán de thorthaí leighis na dtástálacha fóiréinseacha arna dtabhairt faoi ag Eolaíocht Fhóiréinseach Éireann (FSI) ar fáil dó ar an toirt i ndiaidh do AGS na torthaí a fháil. Ina dhiaidh sin, d’iarr sé go ndéanfaí an pacáiste samplaí a scaradh, leis an iarratas seo á leasú ina dhiaidh sin do anailís ó fhiala ar leith a bheith á n-iarraidh.

Thug an DPC faoi deara gurbh é an t-ábhar sonraí céanna a chuir tús leis an bpróiseas ar fad chun anailís de shamplaí fóiréinseacha a lorg, i ndiaidh na coire líomhnaithe . D’fhonn leanúint ar aghaidh leis na tástálacha fóiréinseacha, éilíodh ar an duine aonair foirm a chomhlánú dar teideal ‘Consent for Release of Stored Forensic and a Legal Report to the Custody of An Garda Síochána’ . Chinn an DPC go mbeadh aon sonraí pearsanta a phróiseáil AGS sa chomhthéacs atá leagtha amach ag teacht faoin Treoir maidir le Forfheidh- miú an Dlí (AE) 2016/680 faoi mar a thrasuitear í isteach san Acht um Chosaint Sonraí .

Chomhairligh AGS don DPC maidir le cásanna ina gcuireann duine aonair a sonraí pearsanta faoi bhráid AGS agus FSI lena dtástáil tuilleadh, go gcuirtear aon phróiseáil bhreise ó AGS agus FSI i gcrích d’fhonn cionta coiriúla a chosc, a imscrúdú, a bhrath nó a ionchúiseamh nó pionóis choiriúla a fhorghníomhú .

Mar sin, rialaítear tuairisc arna eisiúint ag Eolaíocht Fhóiréinseach Éirinn le forálacha Alt 94 den Acht, ina leagtar amach srianta maidir le rochtain a d’fhéadfadh ri- alaitheoir sonraí a chur i bhfeidhm, lena n-airítear srianadh chun dul i gcion ar imscrúdú a sheachaint . I ndiaidh don DPC na ceisteanna a ardaíodh a scrúdú, nach ndéantar foráil sa Treoir maidir le Forfheidhmiú an Dlí (AE) 2016/680 faoi mar a thrasuitear i gCodanna 5 agus 6 den Acht do dhaoine aonair na coinníollacha faoina dtoilíonn ábhair sonraí a sonraí pearsanta bheith á bpróiseáil ag údarás forfheidhmithe a leagan síos .

Maidir le samplaí fóiréinseacha a phróiseáil i gcomhthéacs an dlí a fhorfheidhmiú, bhí an DPC sásta go raibh an phróiseáil ar shonraí íogaire i gcomhréir le hailt 71 agus 73(1)(b) (i) den Acht . Thug an DPC faoi deara shainigh an fhoirm ‘Consent for Release of Stored Forensic and a Legal Report to the Custody of An Garda Síochána’ faighteoirí na sonraí ar fad a bhí beartaithe, mar aon leis an bhfíoras go bhféadfaí torthaí na dtástálacha saotharlainne agus an tuairisc dlí a scaoileadh chuig na cúirteanna lena n-úsáid i bhfianaise. Mhol an DPC go gcuirfí Fógra um Chosaint Sonraí san áireamh san fhoirm, chun cur ar chumas ábhar sonraí faisnéis mhionsonraithe a fháil maidir leis an gcreat reachtach agus nósanna imeachta a rialaíonn coinníol- lacha na próiseála i ndáil le samplaí fóiréinseacha agus imscrúduithe AGS .

Déanann an DPC scrúdú ar ghearáin go minic a bhaineann le srianta a chuireann An Garda Síochána agus an Stiúrthóir Ionchúiseamh Poiblí (DPP) i bhfeidhm mar gheall ar ionchúisimh choiriúla atá ar feitheamh. Cuimsíonn na gearáin cásanna ionsaithe ina n-iarrtar doiciméid ar nós taifid PULSE, grianghraif agus tuairiscí ó An Garda Síochána maidir leis na teagmhais, agus iarratais ar phíosaí scannánaíochta CCTV ó laistigh de stáisiúin féin An Gharda Síochána.

I gcásanna áirithe, d’fhéadfadh An Garda Síochána cóip de ráiteas a chur duine aonair ar fáil a sholáthar don duine aonair ach coimeádfaidh sé sonraí eile siar ar bhonn Alt 94(3)(a) den Acht ina bhféadfadh rialaitheoir sonraí rochtain a theorannú, go hiomlán nó i bpáirt, chun críocha “cosc, brath nó imscrúdú cionta, gabháil nó ionchúiseamh ciontóirí nó éifeachtacht modhanna, córas, pleananna nó nósanna imeachta dleathacha a úsáidtear chun críocha na nithe réamhráite .”

I ndiaidh dearbhú a fháil ó rialaitheoir sonraí go bhfuil ionchúisimh phoiblí ar feitheamh, tabharfaidh an DPC comhairle do dhuine aonair go bhféadfadh na daoine aonair iarratas a dhéanamh an athuair ar chóip dá sonraí de réir mar a leagtar amach in Alt 91 den Acht um Chosaint Sonraí 2018 i ndiaidh do na ceisteanna dlí a bhaineann leis na cásanna sin teacht chun críche .

Scrúdaigh an DPC gearán mar ar mhaígh duine aonair go raibh sonraí a bailíodh i gcomhthéacs áirithe amháin forfheidhmithe dhlí á úsáid ag an rialaitheoir sonraí céanna do chuspóir eile forfheidhmithe dhlí. Bhain an gearán le hionchúiseamh duine aonair do chionta i réimse na leigheasanna eachaí agus ainmhithe ag an Roinn Talmhaíochta, Bia & Mara (RTBM) agus atreorú ar leith ag RTBM líomhaintí mí-iompair ghairmiúil do Chomhairle na dTréidlia (CT) maidir leis an duine céanna.

Tar éis don DPC na ceisteanna a tógadh a scrúdú, d´atreoraigh sé an gearánach d´Alt 71(5) den Acht um Chosaint Sonraí 2018:

Nuair a bhailíonn rialaitheoir sonraí pearsanta do chuspóir sonraithe in Alt 70(1)(a), is féidir leis an rialaitheoir nó rialaitheoir eile na sonraí a phróiseáil do chuspóir a sonraíodh seachas an cuspóir dár bailíodh na sonraí, sa mhéid go bhfuil—

1. an rialaitheoir údaraithe chun a leithéid de shonraí pearsanta a phróiseáil le haghaidh a leithéid de chuspóir de réir dhlí an Aontais Eorpaigh nó dlí an Stáit, agus go bhfuil
2. an phróiseáil riachtanach agus comhsheasmhach leis an gcuspóir dá bhfuil na sonraí á bpróiseáil .

Maidir le hAlt 70(1)(a) agus “dlí an Stáit”, thug an DPC faoi deara na forálacha a leagtar amach san Acht um Chleachtas Tréidliachta 2005 i dtaca le cur i gcrích fhiosrúchán ag an CT faoi líomhaintí mí-iompair ghairmiúil . Tugann Alt 76 den Acht um Chleachtas Tréidliachta 2005, go háirithe, achoimre gur féidir leis an CT nó aon duine iarratas a dhéanamh ar fhiosrúchán maidir le hoiriúnacht duine chláraithe chun tréidliacht a chleachtadh . Ar an mbonn seo ní dhearna an DPC machnamh faoi reachtaíocht chosanta sonraí chun atreorú ar leith RTBM a dhícheadú maidir le líomhaintí mí-iompair ghairmiúil don CT i dtaca le duine, i gcomhar le himeachtaí ionchúisimh ag RTBM in aghaidh an duine chéanna do chionta i réimse na leigheasanna eachaí agus ainmhithe .

I gcás amháin a scrúdaigh an DPC, chuir tuismitheoir iarratas isteach chuig An Garda Síochána chun cóipeanna de shonraí pearsanta a pháistí óga a fháil.

Dhiúltaigh An Garda Síochána na sonraí a chur ar fáil . Chomhairligh an DPC don tuismitheoir go gcomhaontódh sé leis an srian a cuireadh i bhfeidhm, toisc go raibh eolas faoi leith ag an rialaitheoir sa chás seo maidir leis na cúinsí a bhain le socrú coimirce chomhroinnte a bhí i bhfeidhm agus toisc gur mheas sé go mbeadh comhthoil gach coimirceora ag teastáil d’fhonn na sonraí a scaoileadh sa chás seo .

Scrúdaigh an DPC cás inar chuir An Garda Síochána srianta i bhfeidhm ar rochtain ar bhonn Ailt 91(7) agus (8) den Acht um Chosaint Sonraí 2018.

Bhain an cás le duine aonair a bhí ag lorg cóipeanna de líomhaintí maidir le mí-úsáid a rinneadh ina choinne maidir le leas a thuismitheoirí . I ndiaidh an cheist seo a scrúdú, ba léir don DPC go scaoilfí sonraí pearsanta tríú páirtí agus go nochtfaí aitheantas an duine a raibh na líomhaintí á ndéanamh aige mar gheall ar an bhfaisnéis a scaoileadh . I ndiaidh don DPC athbhreithniú a dhéanamh, bhí sé sásta gur cuireadh na sonraí a bhí á n-iarraidh ar fáil go huile is go hiomlán faoi rún agus mheas sé go raibh feidhm le forálacha Alt 91(9)(a) freisin .

Taisceadh gearán in aghaidh Twitter International Company (“Twitter”) go díreach leis an gCoimisiún an 02 Iúil 2019. Dá réir sin, láimhseáil an Coimisiún an gearán ina cháil mar phríomhúdarás maoirseachta. Líomhain an gearánach gur tharla sé, tar éis a chuntas ar Twitter a chur ar fionraí, gur mhainnigh Twitter an creat ama reachtúil a chomhlíonadh i leith iarraidh léirscriosta a chuir sé faoina bhráid. Líomhain an gearánach freisin gur iarr Twitter cóip dá aitheantas fótagrafach chun go bhféadfadh sé an iarraidh léirscriosta uaidh a chur i ngníomh gan aon bhunús dlí a bheith aige le déanamh amhlaidh. Ar deireadh, líomhain an gearánach gur choinnigh Twitter a shonraí pearsanta tar éis na hiarrata léirscriosta uaidh gan aon bhunús dlí a bheith aige le déanamh amhlaidh.

Cuireadh cuntas Twitter an ghearánaigh ar fionraí toisc gur mheas Twitter gur sháraigh an gearánach a Bheartas Iompair Ghránna . Tar éis do Twitter an cuntas a chur ar fionraí, d’iarr an gearánach go léirscriosfaí a shonraí pearsanta uile, amhail a sheoladh ríomhphoist agus a uimhir theileafóin . Chuir sé roinnt iarrataí difriúla faoi bhráid Twitter á iarraidh air go léirscriosfaí a shonraí . D’iarr Twitter ar an ngearánach cóip dá aitheantas a chur isteach chun a fhíorú gurbh é an sealbhóir cuntais i ndáiríre é. Dhiúltaigh an gearánach do dhéanamh amhlaidh . Ar deireadh, chomhlíon Twitter an iarraidh léirscriosta gan aitheantas fótagrafach an ghearánaigh a fháil .

Ar dtús, d’fhéach an Coimisiún leis an ngearán seo a réiteach go cairdiúil trína phróiseas láimhseála gearán . Níor éirigh leis teacht ar réiteach cairdiúil, áfach, agus osclaíodh fiosrúchán ar an gcás. Ba iad seo a leanas na saincheisteanna lena n-iniúchadh agus lena gcinneadh ag an bhfiosrúchán ón gCoimisiún: (i) cé acu a bhí nó nach raibh bunús dleathach ag Twitter le haitheantas fótagrafach a iarraidh tar éis iarraidh léirscriosta a fháil de bhun Airteagal 17 RGCS; (ii) cé acu a láimhseáil nó nár láimhseáil Twitter an iarraidh léirscriosta sin i gcomhréir leis an Rialachán Ginearálta agus leis an Acht um Chosaint Sonraí, 2018; agus (iii) cé acu a chomhlíon nó nár chomhlíon Twitter ceanglais trédhearcachta Airteagal 12 RGCS . Agus an seasamh uaidh á chosaint, luaigh Twitter go bhfuil ríthábhacht ag baint le haitheantas an iarrthóra a fhíordheimhniú i gcásanna ina n-iarrann páirtí go ndéanfaí léirscriosadh ar a chuntas . Luaigh sé gurb é an t-aon toradh amháin a bhíonn ar na haitheantóirí uathúla a sholáthraítear nuair a chláraítear cuntas (i .e ., seoladh ríomhphoist agus uimhir theileafóin) ná ceangal a dhéanamh idir úsáideoir agus cuntas . Ní fhíoraítear leo aitheantas aon sealbhóra cuntais . Luaigh Twitter gurb eol dó gur féidir cuntais ríomhphoist a haiceáil agus gur féidir go bhféachfaidh páirtithe leasmhara eile le cuntas a léirscriosadh, go háirithe i gcás den sórt seo inar cuireadh an cuntas ar fionraí mar gheall ar roinnt sáruithe líomhnaithe ar Bheartas Iompair Ghránna Twitter . Thug an chuideachta le fios go gcoinníonn sí faisnéis bhunúsach faoi shíntiúsóirí ar feadh tréimhse éiginnte, ar aon dul leis an leas dlisteanach atá aici i sábháilteacht agus slándáil a hardáin agus a húsáideoirí a chothabháil .

D’áitigh Twitter freisin nár bhain Airteagal 5(1)(c) le hábhar anseo toisc nár bhailigh sé aon aitheantas ar bith ón ngearánach . Ina ainneoin sin, luaigh sé gur chomhréireach agus riachtanach araon a bhí an iarraidh ar aitheantas fótagrafach sa chás seo. Thug sé le fios go mbíonn leibhéal níos airde fíordheimhniúcháin ag teastáil i gcás nach bhfuil duine logáilte isteach ina chuntas, rud a tharlóidh i gcónaí nuair atá cuntas an duine lena mbaineann ar fionraí.

Ag féachaint don iarraidh léirscriosta ón ngearánach agus don oibleagáid ghaolmhar atá ar an gcuideachta aon iarraidh den sórt sin a phróiseáil ‘gan moill mhíchuí’, leag Twitter amach amlíne an chomhfhreagrais idir é féin agus an gearánach maidir leis an iarraidh léirscriosta . Luaigh Twitter go ndearna an gearánach iarrataí dúblacha agus gur chuir sé sin moill ar phróiseas an scriosta/an léirscriosta . Maidir le coinneáil sonraí, chuir Twitter in iúl don Choimisiún gur choinnigh sé uimhir theileafóin agus seoladh ríomhphoist an ghearánaigh tar éis an iarraidh rochtana uaidh a chur i gcrích . Luaigh sé go gcoinníonn sé an fhaisnéis theoranta sin ar feadh tréimhse éiginnte tar éis an cuntas a dhíghníomhachtú agus go ndéanann sé amhlaidh de réir na leasanna dlisteanacha atá aige i sábháilteacht agus slándáil a ardáin agus a úsáideoirí a chothabháil. Dhearbhaigh sé gurbh amhlaidh, dá scriosfadh sé seoladh ríomhphoist nó uimhir theileafóin an ghearánaigh óna chórais, go bhféadfadh an gearánach an fhaisnéis sin a úsáid ansin chun cuntas nua a chruthú, cé gur sainaithníodh é agus gur cuireadh ar fionraí go buan é ón ardán de dheasca sáruithe éagsúla ar Bheartas Iompair Ghránna Twitter .

Tar éis dó an fiosrúchán uaidh a chur i gcrích, ghlac an Coimisiún an cinneadh uaidh i ndáil leis an ngearán seo de réir Airteagal 60(7) RGCS an 27 Aibreán 2022 . Chinn an Coimisiún gur sháraigh Twitter International Company, an rialaitheoir sonraí, an Rialachán Ginearálta maidir le Cosaint Sonraí mar a leanas:

• Airteagal 5(1)(c): Sháraigh Twitter prionsabal an íoslagh- daithe sonraí, de bhun Airteagal 5(1)(c) RGCS, nuair a cheangail sé ar an ngearánach a aitheantas a fhíorú trí chóip dá aitheantas fótagrafach a chur isteach .
• Airteagal 6(1): Níor shainaithin Twitter aon bhunús dleathach bailí faoi Airteagal 6(1) RGCS le cóip d’aithe- antas fótagrafach an ghearánaigh a iarraidh chun an iarraidh léirscriosta uaidh a phróiseáil .
• Airteagal 17(1): Sháraigh Twitter Airteagal 17(1) RGCS, toisc go raibh moill mhíchuí ann ar an iarraidh léirscrio- sta ón ngearánach a phróiseáil .
• Airteagal 12(3): Sháraigh Twitter Airteagal 12(3) RGCS trí mhainneachtain fógra a thabhairt don ábhar sonraí laistigh de mhí amháin faoin ngníomh a rinneadh i dta- ca leis an iarraidh léirscriosta uaidh de bhun Airteagal 17 RGCS .

Chinn an Coimisiún go raibh bunús dlí bailí ag Twitter, de réir Airteagal 6(1) (f), le seoladh ríomhphoist agus uimhir theileafóin an ghearánaigh a bhí bainteach leis an gcuntas a choinneáil . Chinn sé freisin gurbh amhlaidh, gan dochar don chinneadh uaidh thuas maidir le prionsabal an íoslaghdaithe sonraí i ndáil le haitheantas fótagrafach, gur chomhlíon Twitter prionsabal an íoslaghdaithe sonraí toisc go raibh próiseáil an tseolta ríomhphoist agus na huimhreach teileafóin teoranta don mhéid ba ghá maidir leis na críocha dá ndéantar iad a phróiseáil .

I bhfianaise mhéid na sáruithe, d’eisigh an Coimisiún iomardú chuig Twitter International Company, de bhun Airteagal 58(2)(b) RGCS . Ina theannta sin, d’ordaigh an Coimisiún do Twitter International Company, de bhun Airteagal 58(2)(d), leasú a dhéanamh ar a bheartais agus a nósanna imeachta inmheánacha le haghaidh iarrataí léirscriosta a láimhseáil chun a chinntiú nach gceanglófaí ar ábhair sonraí a thuilleadh cóip d’aitheantas fótagrafach a sholáthar nuair a dhéanann siad iarrataí léirscriosta sonraí, ach amháin i gcás go bhféadfaidh sé bunús dlí le déanamh amhlaidh a léiriú . D’ordaigh an Coimisiún do Twitter International Company mionsonraí faoina bheartais agus a nósanna imeachta inmheánacha athbhreithnithe a sholáthar dó faoin 30 Meitheamh 2022 . Chomhlíon Twitter an t-ordú sin faoin spriocdháta socraithe .

Rinne ábhar sonraí gearán leis an gCoimisiún um Chosaint Sonraí (“an Coimisiún”) maidir le foilsiú a íomhá stairiúla i nuachtán (“rialaitheoir sonraí”). Mhínigh an t-ábhar sonraí don Choimisiún gur foilsíodh an t-alt gan fhios dó agus gan toiliú a fháil uaidh. Sula ndearna sé teagmháil leis an gCoimisiún, rinne an t-ábhar sonraí teagmháil leis an rialaitheoir sonraí chun aghaidh a thabhairt ar na húdair imní a bhí aige toisc go raibh sé den tuairim gur próiseáladh a shonraí pearsanta go neamhdhleathach. D’iarr sé go léirscriosfaí an íomhá ón nuachtán faoi Airteagal 17 den Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”). Dhiúltaigh an rialaitheoir sonraí do na heilimintí uile den iarraidh ón ábhar sonraí, áfach.

Mar chuid dá scrúdú, rinne an Coimisiún idirchaid- reamh leis an rialaitheoir sonraí agus d’fhiafraigh sé de cén bunús dleathach a bhí aige faoi Airteagal 6 GDPR le sonraí pearsanta an ábhair sonraí a phróiseáil ar an mbealach atá leagtha amach sa ghearán uaidh . Dúirt an rialaitheoir sonraí leis an gCoimisiún nach raibh sé ag brath ar Airteagal 6 GDPR chun sonraí pearsanta an ábhair sonraí a phróiseáil . Dúirt sé go raibh sé ag brath ar alt 43 den Acht um Chosaint Sonraí, 2018 (“Acht 2018”) (próiseáil sonraí agus saoirse chun tuairimí a nochtadh agus chun saorála faisnéise), is é sin gur díolmhaithe a bheidh próiseáil sonraí pearsanta chun go bhfeidhmeo- far an ceart chun saoirse chun tuairimí a nochtadh agus chun saorála faisnéise, lena n-áirítear próiseáil chun críoch iriseoireachta nó chun críoch léirithe acadúil, ealaíonta nó liteartha . Mhínigh an rialaitheoir sonraí freisin nach raibh an t-ábhar sonraí ina ábhar don alt nuachta a bhí i gceist agus go ndeachaigh roinnt mhaith blianta thart ó tógadh an grianghraf agus, dá bhrí sin, nach bhféadfaí an t-ábhar sonraí a shainaithint go héasca .

Maidir leis an iarraidh léirscriosta ón ábhar sonraí, bhí an rialaitheoir sonraí ag brath ar alt 43 d’Acht 2018 mar bhunús le diúltú don íomhá a léirscriosadh ón alt .

Tar éis dó breithniú a dhéanamh ar na heilimintí uile den ghearán seo, chinn an Coimisiún go raibh bunús dleathach ag an nuachtán faoi alt 43 d’Acht 2018 agus faoi Airteagal 85 GDPR le híomhá stairiúil an ábhair sonraí a fhoilsiú in alt nuachta .

Tugann an Coimisiún faoi deara nach ndíolmhaítear leis an díolúine iriseoireachta aon rialaitheoir sonraí ón Rialachán Ginearálta maidir le Cosaint Sonraí ar fad ná ó na hAchtanna um Chosaint Sonraí ar fad . Ní mór do rialaitheoir sonraí aird a bheith aige ar na hoibleagáidí eile atá air faoi GDPR agus faoi Acht 2018 . Chinn an Coimisiún go ndearna an rialaitheoir sonraí próiseáil chomhréireach ar shonraí pearsanta an ábhair sonraí toisc go bhfuil an íomhá atá i gceist ina híomhá stairiúil inar féidir talamh slán a dhéanamh de le réasún nach féidir an t-ábhar sonraí a shainaithint go héasca a thuilleadh . Aithníonn an Coimisiún gurb é tríú páirtí an príomhdhuine atá i gceist leis an alt agus go luaitear sliocht as go díreach san alt . Dá bhrí sin, ní ionann an t-ábhar sonraí agus ábhar na díospóireachta .

Chuir an Coimisiún in iúl don ábhar sonraí, faoi alt 109(5) (c) d’Acht 2018, gur réasúnach a bhí an míniú a chuir an rialaitheoir sonraí ar aghaidh maidir le próiseáil a shonraí pearsanta in imthosca an ghearáin seo .

Tar éis turas ar shaoráid fóillíochta (an rialaitheoir sonraí), chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) mar go raibh siad míshásta maidir leis an mbealach a ndearna an rialaitheoir sonraí próiseáil ar a gcuid sonraí pearsanta. Theastaigh ón ábhar sonraí a gcearta faoi Airteagal 17 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) a fheidhmiú, go ndéanfadh an eagraíocht a gcuid sonraí féin agus sonraí a dteaghlach a scrios. Roimh theagmháil a dhéanamh leis an DPC, d’iarr an t-ábhar sonraí go díreach ar an rialaitheoir sonraí a sonraí a scrios ach dhiúltaigh an rialaitheoir sonraí an t-iarratas seo.

Mhínigh an t-ábhar sonraí don DPC gur chreid siad, le linn a gcuairte ar an tsaoráid fóillíochta, go raibh a gcuid sonraí pearsanta á bpróiseáil go neamhdhleathach mar gur iarr an fhoireann orthu arís agus arís eile mionsonraí na háirithinte a chur ar fáil ar mhaithe leis na saoráidí a bhí ar an láthair, sé sin bialanna agus gníomhaíochtaí a rochtain . Chreid an t-ábhar sonraí gur próiseáil iomarcach a bhí i gceist anseo mar nár tugadh aon rogha dóibh agóid a dhéanamh ó thaobh próiseáil den sórt sin agus nó ní chuirfí rochtain iomlán chuig na saoráidí ar fáil dóibh .

Ar aon dul lena n-imscrúdú ar an ngearán, rinne an DPC teagmháil agus chomhroinn mionsonraí maidir le gearán an ábhair sonraí leis an rialaitheoir sonraí . Chuir an rialaitheoir sonraí in iúl don DPC gurbh é an bonn dlí a bhí acu le sonraí pearsanta a phróiseáil ná Airteagal 6(1)(f) den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), a dtagraítear do freisin mar leas dlisteanach . Thug an rialaitheoir sonraí míniú breise go n-éilíonn siad sonraí custaiméara roimh shaoráid a rochtain nó roimh mhír éigin a cheannach ar mhaithe “le patrúin a thuiscint agus feabhas a chur ar an raon seirbhísí agus saoráidí atá ar fáil d’aíonna” . Tá an méid sin mionsonraithe ina mbeartas príobháideachais atá ar fáil ar a láithreán gréasáin .

De bhun gearán an ábhair sonraí, rinne an rialaitheoir sonraí athbhreithniú ar a gcuid beartas agus d’aithin bearna oiliúna ó thaobh na foirne de . Tar éis an méid sin a thabhairt ar aird, chuir an rialaitheoir sonraí treoracha ar fáil don fhoireann lena chinntiú go mbíonn siad ar an eolas nach bhfuil aon dualgas ar chustaiméirí mionsonraí maidir lena n-áirithint a sholáthar agus saoráidí áirithe a rochtain . Chuir an rialaitheoir sonraí in iúl freisin go bhfuil an Nós Imeachta Oibríochta Roinne an Rialacháin Ginearálta maidir le Sonraí tugtha cothrom le dáta acu ar mhaithe leis an nós imeachta seo a léiriú níos soiléire .

Maidir le hiarratas scriosta an ábhair sonraí, chuir an rialaitheoir sonraí in iúl don DPC gur bhaineadh an t-ábhar sonraí as gach cumarsáid ó thaobh margaíochta díreach de . Mar sin féin, ní raibh ar a gcumas aon sonraí pearsanta eile maidir leis an ábhar sonraí agus lena dteaghlach a scrios mar go bhfuil na sonraí á gcoinneáil de réir a mbeartas coinneála . Luaitear i mbeartas coinneála an rialaitheora sonraí go bhfuil na mionsonraí pearsanta go léir á gcoinneáil ar chomhad mar go bhféadfadh siad a bheith riachtanach chun éilimh dhlíthiúla a chosaint agus ní scriosfar iad go mbeidh an duine is óige den teaghlach in aois 21 bliain, de réir tréimhsí na teorann reachtúil .

Faoi alt 109(5)(f) d’Acht na bliana 2018, mhol an DPC don rialaitheoir sonraí leanúint ar aghaidh le hoiliúint a chur ar fáil do na fostaithe go léir maidir lena chuid oibleagáidí do chearta ábhar sonraí faoin reachtaíocht cosanta sonraí agus mhol an DPC don rialaitheoir sonraí leanúint leis an oiliúint seo a thabhairt cothrom le dáta .

Mhol an DPC freisin faoi alt 109(5)(f) d’Acht na bliana 2018 don rialaitheoir sonraí na sonraí pearsanta go léir a scriosadh de réir tréimhse choinneála an rialaitheora sonraí .Níor bhreithnigh an DPC go raibh gá le haon ghníomh eile ag tráth eisiúna an toraidh mar gur thug siad ar aird go raibh athoiliúint curtha ar fáil don fhoireann go léir, gabh siad leithscéal leis an ábhar sonraí agus thairg siad cúiteamh dóibh mar thoradh ar a ngearán .

Sa chás seo, rinne an gearánach iarratas ar iasacht chuig banc. Tharraing an gearánach an t-iarratas ar iasacht siar ina dhiaidh sin agus scríobh sé chuig an mbanc á lua go raibh toiliú á tharraingt siar aige i leith aon sonraí pearsanta arna gcoinneáil ag an mbanc a phróiseáil maidir leis an iarratas ar iasacht agus inar iarradh go seolfaí ar ais na doiciméid ar fad ina raibh sonraí pearsanta an ghearánaigh. Mar fhreagra, chuir an banc in iúl don ghearánach gur chuir sé stop le sonraí pearsanta ar fad an ghearánaigh a phróiseáil, seachas na sonraí a coinníodh i dtaifid ar luaigh an banc gur éilíodh air iad a choinneáil agus a phróiseáil faoi Chód um Chosaint Tomhaltóirí Bhanc Ceannais na hÉireann. Ní raibh an gearánach sásta leis an bhfreagra sin, agus d’áitigh sé, ina ghearán chuig an Oifig seo, i gcúinsí ina bhfuair an banc sonraí pearsanta an ghearánaigh ar an mbonn gur thoiligh an gearánach, ní raibh cead ag an mbanc leanúint de na sonraí sin a phróiseáil ar bhunús dlí eile (i.e. próiseáil atá riachtanach d’fhonn oibleagáid dhlíthiúil a bhfuil an banc faoina réir a chomhlíonadh). D’áitigh an gearánach freisin go raibh an phróiseáil leanúnach a rinne an banc ar a shonraí pearsanta le haghaidh críche nach raibh comhoiriúnach leis an gcríoch ar bailíodh na sonraí ina leith ar dtús, de shárú ar an reachtaíocht um chosaint sonraí.

Dheimhnigh an oifig seo gur aithníodh an banc ar an rialai- theoir sonraí ábhartha i ndáil leis an ngearán, ós rud é gur rialaigh an banc sonraí pearsanta a chuir an gearánach ar fáil don bhanc le linn iarratas ar iasacht a dhéanamh . Bhí na sonraí a bhí i gceist ina sonraí pearsanta maidir leis an ngearánach (a chuimsigh, i measc nithe eile, foirm iarratais ar iasacht chomhlánaithe agus doiciméid tacaíochta) toisc go bhféadfaí an gearánach a aithint iontu agus gur bhain na sonraí leis an ngearánach mar dhuine aonair . Dá bhrí sin, bhí an oifig seo sásta gur chóir imscrúdú a dhéanamh ar an ngearán seo lena chinneadh an raibh sárú ar an reachtaíocht um chosaint sonraí i gceist nó nach raibh .

Le linn imscrúdú a dhéanamh ar an ngearán seo, rinne an Oifig seo athbhreithniú ar fhoirm iarratais ar iasacht an bhainc, a raibh foráil intí, tríd an bhfoirm a shíniú, gur thug duine cead don bhanc a shonraí pearsanta a stóráil, a úsáid agus a phróiseáil le haghaidh réimse cuspóirí, lena n-áirítear chun iarratais ar chreidmheas nó seirbhísí airgeadais a phróiseáil. Mar sin féin, thug an Oifig seo faoi deara nár áiríodh leis na cuspóirí ar thug an gearánach cead ina leith próiseáil chun críche oibleagáidí dlíthiúla an bhainc i gcoitinne a chomhlíonadh, agus go háirithe, níor áiríodh leis sonraí pearsanta an ghearánaigh a phróiseáil chun críche an Cód um Chosaint Tomhaltóirí a chomhlíon- adh. Dá réir sin, bhreithnigh an oifig seo gur ag an am ar bailíodh sonraí pearsanta an ghearánaigh, nár mhaígh an Banc go rabhthas ag brath ar thoiliú mar an bunús dlí i leith sonraí pearsanta an ghearánaigh a bhailiú agus a phróiseáil d’fhonn cloí lena oibleagáidí dlí . Ina ionad sin, bhreithnigh an oifig seo go bhféadfadh an banc brath mar is ceart ar an mbunús dlí go raibh an phróiseáil riachtanach d’fhonn céimeanna a ghlacadh arna iarraidh sin ag an ábhar sonraí roimh chonradh a dhéanamh .

Thug an Oifig seo faoi deara, i gcás ina dtarraingítear iarratas siar ina dhiaidh sin nó mura n-éiríonn leis agus nach ndéanann an banc conradh leis an iarratasóir, nach féidir sonraí pearsanta a bhaineann leis an iarratas ar iasacht a choinneáil a thuilleadh ar an mbonn go raibh an phróiseáil riachtanach d’fhonn céimeanna a ghlacadh arna iarraidh sin ag an ábhar sonraí roimh chonradh a dhéanamh, ós rud é nach bhfuil féidearthacht ann a thuilleadh conradh a dhéanamh leis an ábhar sonraí . Mar sin, d’aithin an banc bunús dlí ar leith chun sonraí pearsanta an ghearánaigh a choinneáil maidir leis an iarratas ar iasacht, is é sin go raibh an phróiseáil seo riachtanach d’fhonn oibleagáid dhlíthiúil a raibh an banc faoina réir a chomhlíonadh .

Thug an Oifig seo faoi deara gur tugadh ar eintitis rialáilte faoin gCód um Chosaint Tomhaltóirí sonraí maidir le “idirbhearta aonair” a choinneáil ar feadh sé bliana i ndiaidh an dáta ar a scoirtear den idirbheart ar leith nó ar é a chur i gcrích. Bhreithnigh an Oifig seo áfach, nach bhfuil iarratas ar iasacht a tharraingítear siar ina dhiaidh sin nó nach n-éiríonn leis ar deireadh thiar ina ‘idirbheart’ chun críche an Chóid um Chosaint Tomhaltóirí.

Thug an Oifig seo faoi deara ina dhiaidh sin gur tugadh ar eintitis rialáilte freisin faoin gCód um Chosaint Tomhaltóirí “na taifid eile ar fad” a choinneáil ar feadh sé bliana ón dáta ar chuir an t-eintiteas rialáilte deireadh le haon táirge nó seirbhís a chur ar fáil don tomhaltóir, lena n-airítear tomhaltóir ionchasach, lena mbaineann . Mar sin féin, níor mheas an Oifig seo go mbaineann na taifid maidir le hiarratas ar iasacht a tharraingítear ina dhiaidh sin le raon an riachtanais seo faoin gCód um Chosaint Tomhaltóirí ach an oiread. Dá réir sin, mheas an Oifig seo, nár ghá don bhanc sonraí pearsanta a bhaineann le hiarratas ar iasacht aistarraingthe an ghearánaigh a choinneáil chun críche cloí lena oibleagáidí faoin gCód um Chosaint Tomhaltóirí, agus bhreithnigh an Oifig nár aithin an banc bunús dlí faoin reachtaíocht um chosaint sonraí chun sonraí pearsanta an ghearánaigh a choinneáil a bhain lena iarratas ar iasacht a choinneáil .

Rinne ábhar sonraí teagmháil leis an DPC toisc nach raibh sé sásta leis na freagraí a fuarthas i leith iarratas duine ar a shonraí agus i leith iarratas ar scriosadh. Tugadh an cás seo in aghaidh bailitheoir fiach agus chuir an t-ábhar sonraí ábhar imní in iúl faoin mbealach ina bhfuarthas a chuid sonraí pearsanta. Mhínigh an t-ábhar sonraí gur glanadh an fiach ach go raibh sé fós ag fáil litreacha ó bhailitheoir fiach. Tagraíodh sa litir seo do shuim a bhí fós le réiteach i ndáil le tríú páirtí.

Leag an t-ábhar sonraí amach don DPC go ndearnadh a iarratas duine ar a shonraí trí ardán ar líne . Ní bhfuair an t-ábhar sonraí freagra ar a Iarratas ar Rochtain Airteagal 15 ná ar a iarratas ar scriosadh faoi Airteagal 17 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) . Chuaigh an dá pháirtí i dteagmháil dhíreach lena chéile sula raibh an DPC páirteach . Ina chomhfhreagras leis an ábhar sonraí, mhínigh an bailitheoir fiach go bhfuarthas na sonraí pearsanta ó thríú páirtí . Uaslódáladh na sonraí pearsanta ar a chóras ar líne ina dhiaidh sin agus eisíodh litir chuig an ábhar sonraí .

Mar chuid dá iniúchadh, chuaigh an DPC i dteagmháil leis an mbailitheoir fiach agus d’iarr sé air achoimre a thabhairt ar a chaidreamh leis an tríú páirtí seo . Chuir an bailitheoir fiach in iúl don DPC go raibh sé ag gníomhú mar phróiseálaí sonraí thar ceann an tríú páirtí agus go raibh comhaontú próiseálaí sonraí, i gcomhréir le hAirteagal 28(3) den GDPR, i bhfeidhm ag an tráth a phróiseáil sé na sonraí pearsanta seo. Chuir an bailitheoir fiach in iúl don DPC go raibh deireadh curtha leis an gconradh seo agus nach mbeadh sé ag gníomhú thar ceann an tríú páirtí amach anseo . Ghlac an DPC leis sin agus d’aithin sé an bailitheoir fiach ar an bpróiseálaí sonraí agus an tríú páirtí ar an rialaitheoir sonraí . Luaigh an próiseálaí sonraí gur chun leas an phobail fiacha a bhailiú agus mar sin, go raibh leas dlisteanach aige sonraí pearsanta a phróiseáil i gcás ina bhfuil cuntas ábhair sonraí sannta dó faoin dlí, nó i gcás ina bhfuil sé ag gníomhú faoi chonradh dlí . Luaigh an próiseálaí sonraí go raibh próiseáil shonraí pearsanta an ábhair sonraí riachtanach d’fhonn an fiach a bhailiú agus go gceadaítear é fiú i gcás nach dtugann an t-ábhar sonraí cead i leith na próiseála; arb é is brí leis sin gur bhraith an próiseálaí sonraí ar Airteagail 6(1)(b) agus 6(1)(f) den GDPR chun na sonraí pearsanta a phróiseáil .

Ghlac an próiseálaí sonraí sa chás seo go bhféadfadh sé gur ghlan an t-ábhar sonraí an fiach gan íoc ach luaigh sé nach bhféadfadh sé bheith freagrach má íocann an t-ábhar sonraí an rialaitheoir sonraí go díreach agus nach gcuireann an rialaitheoir sonraí an próiseálaí sonraí ar an eolas chun deireadh a chur leis an bhfiach gan íoc ar a chórais . Tharraing an DPC aird gur chosúil go raibh earráid sa litir a fuair an t-ábhar sonraí . Sa chomhfhreagras seo, thagair an bailitheoir fiach dó féin mar rialaitheoir sonraí. Ghlac an bailitheoir fiach leis an earráid seo agus luaigh sé gur cheart go mbeadh próiseálaí sonraí scríofa, agus gur dearmad ba chúis leis sin nuair a bhí litir teimpléid á húsáid .

Maidir leis an iarratas duine ar a shonraí, mar gheall ar a chaidreamh mar phróiseálaí sonraí, níor thug sé freagra díreach ar iarratas an ábhair sonraí ar a shonraí ach roinn sé é sin leis an tríú páirtí, an rialaitheoir sonraí . Maidir leis an iarratas ar scriosadh, chuir an próiseálaí sonraí in iúl don ábhar sonraí go mbeadh air na sonraí pearsanta a choinneáil ar feadh sé mhí chun críocha cánachais/ airgeadais/iniúchóireachta . Bhí an sé mhí caite sula raibh an DPC páirteach agus dhearbhaigh an próiseálaí sonraí don DPC go raibh na sonraí pearsanta scriosta . Ghabh an próiseálaí sonraí leithscéal leis an ábhar sonraí go díreach agus thairg sé íocaíocht mar chomhartha dea-thola .

Chuir an DPC in iúl don ábhar sonraí faoi alt 109(5)(c) d’Acht 2018 go raibh leas dlisteanach ag an bpróiseálaí sonraí agus an rialaitheoir sonraí fiacha a bhailiú agus sonraí pearsanta a nochtadh chun na fiacha a bhailiú. D’aithin an DPC na hearráidí sa chomhfhreagras a cuireadh ar fáil don ábhar sonraí agus faoi alt109(5)(f) d’Acht 2018, mhol sé go dtabharfadh an próiseálaí sonraí faoi thástáil a dhéanamh ar phróisis eagraíochtúla agus teicniúla go rialta chun comhlíonadh an GDPR a chinntiú d’fhonn cloí le hAirteagal 28 den GDPR .