Sa chás seo, rinne an gearánach gearán le comhlacht rialála gairmiúil maidir le hiompar duine rialáilte. Níor thacaigh an comhlacht rialála gairmiúil leis an ngearán sin. Ina ghearán chuig an DPC, mhaígh an gearánach gur thaifead an comhlacht rialála gairmiúil sonraí pearsanta a bhain leis go míchruinn i miontuairiscí an chruinnithe. Chomh maith leis sin, mhaígh an gearánach gur thaifead an comhlacht rialála gairmiúil na sonraí pearsanta céanna a bhain leis an ngearánach go míchruinn i litir a sheol sé chuig tríú páirtí.

Sular cuireadh tús le himscrúdú i ndáil leis an ngearán seo, rinne an DPC athbhreithniú ar an bhfaisnéis a cuireadh ar fáil agus dheimhnigh sé an comhlacht rialála gairmiúil de réir mar a aithníodh é mar an rialaitheoir sonraí ábhartha i ndáil leis an ngearán, toisc gur rialaigh sé ábhar agus úsáid shonraí pearsanta an ghearánaigh chun críocha imscrúdú a dhéanamh ar an ngearán . Bhí na sonraí a bhí i gceist ina sonraí a bhain leis an ngearánach, bhíothas in ann an gearánach a aithint uathu agus bhain na sonraí leis an ngearánach mar dhuine aonair . Dá bhrí sin, bhí an DPC sásta gur chóir imscrúdú a dhéanamh ar an ngearán lena chinneadh an raibh sárú ar an reachtaíocht um chosaint sonraí i gceist .

Le linn don imscrúdú ar an ngearán seo bheith ar siúl, ghlac an comhlacht rialála gairmiúil leis gur taifeadadh na sonraí pearsanta a bhí i gceist go míchruinn agus, maidir leis na sonraí a taifeadadh sna miontuairiscí, gur ceartaíodh na sonraí trí bhíthin soiléiriú a chur isteach . Ar an mbonn sinn, mheas an oifig seo gur taifeadadh na sonraí pearsanta sna miontuairiscí cruinnithe agus sa litir chuig an tríú páirtí go míchruinn, de shárú ar an reachtaíocht um chosaint sonraí .

Chomh maith leis sin, rinne an oifig seo iniúchadh lena fháil amach ar phróiseáil an comhlacht rialála gairmiúil sonraí pearsanta an ghearánaigh ar bhealach cothrom, de réir mar a éilítear faoin reachtaíocht um chosaint sonraí . D’fhonn cloí leis an riachtanas sonraí pearsanta a phróiseáil ar bhealach cothrom, ní mór do rialaitheoirí sonraí a chinntiú go gcuirtear faisnéis áirithe ar fáil d’ábhair sonraí nó go bhfuil sé furasta teacht uirthi sin . Rinne an oifig seo athbhreithniú ar an bhfaisnéis a luaigh an comhlacht rialála gairmiúil a bhí ar fáil do dhaoine aonair maidir le gearán a dhéanamh, i riocht an leabhráin faisnéise . Ní raibh aon mhionsonraí áirithe sa leabhrán seo maidir le ceart rochtana daoine aonair ar shonraí pearsanta a bhaineann leo agus an ceart atá ag daoine aonair sonraí míchruinne maidir leo a chur i gceart .

Ós rud é nach raibh an fhaisnéis ar fad sa leabhrán a raibh sé riachtanach í a chur ar fáil d’ábhair sonraí faoin reachtaíocht um chosaint sonraí agus ós rud é nár chuir an comhlacht rialála gairmiúil aon mhionsonraí eile ar fáil maidir le bearta eile a bhí i bhfeidhm aige ag an am ábhartha chun aghaidh a thabhairt ar a oibleagáidí i ndáil le próiseáil chothrom, ní raibh an DPC sásta gur chloígh an comhlacht rialála gairmiúil lena chuid oibleagáidí i ndáil le próiseáil chothrom .

Faoin GDPR, ní mór do rialaitheoirí sonraí a chinntiú go bhfuil sonraí pearsanta cruinn agus, nuair is gá, coinnithe cothrom le dáta, agus ní mór gach beart réasúnach a dhéanamh lena chinntiú go ndéantar sonraí pearsanta atá míchruinn, ag féachaint do na críocha a phróiseáiltear iad, a scriosadh nó a chur i gceart gan mhoill . Faoi Airteagal 16 den GDPR, tá an ceart ag ábhar sonraí (faoi réir eisceachtaí áirithe) ceartú sonraí pearsanta a bhaineann leis nó léi a fháil ón rialaitheoir sonraí gan mhoill mhíchuí .

Chomh maith leis sin, éilítear faoin GDPR go ndéanfaí sonraí pearsanta a phróiseáil go cothrom agus ar bhealach trédhearcach . Ba chóir do rialaitheoir sonraí aon fhaisnéis atá riachtanach a chur ar fáil d’ábhar sonraí d’fhonn próiseáil chothrom agus thrédhearcach a chinntiú, agus na cúinsí agus comhthéacs ar leith ina bhfuil na sonraí á bpróiseáil á gcur san áireamh . Go háirithe, i gcás ina mbailítear sonraí pearsanta ón ábhar sonraí, éilítear faoi Airteagal 13 den GDPR go gcuirfeadh an rialaitheoir sonraí faisnéis ar fáil don ábhar sonraí, i measc nithe eile, maidir le sainiúlacht agus sonraí teagmhála an rialaitheora agus a oifigigh cosanta sonraí (i gcás inarb infheidhme), an cuspóir atá leis an bpróiseáil, faighteoirí nó catagóirí faighteoirí na sonraí agus faisnéis maidir leis na cearta i ndáil le sonraí pearsanta a chur ina gceart nó a scriosadh .

Fuair an DPC gearán, trí Údarás Cosanta Sonraí Bheirlín, ó dhuine aonair maidir le hiarratas a rinne sé le rialaitheoir sonraí chun athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena chuntas custaiméara. Rinne an gearánach an iarratas tríd an fheidhm comhrá ar líne de chuid an rialaitheora sonraí agus cuireadh in iúl dó ina dhiaidh sin go mbeadh cóip de cháipéis aitheantais ag teastáil chun úinéireacht an chuntais a fhíordheimhniú sular bhféadfaí leanúint leis an iarratas. Dhiúltaigh an gearánach an t-eolas seo a chur ar fáil agus mar sin níor lean an rialaitheoir sonraí lena iarratas ag an am sin.

Tar éis dó an gearán a fháil, chuaigh an DPC i ngleic leis an rialaitheoir sonraí agus i rith na teagmhála sin fuarthas nach dteastaíonn an rialaitheoir sonraí ó dhaoine aonair cáipéis aitheantais a chur ar fáil chun athrú a dhéanamh leis an seoladh ríomhphoist a bhaineann le cuntas .

Chomh maith leis seo, bhain an gníomhaire um sheirbhís do chustaiméirí úsáid as gnás oibriúcháin mícheart nuair a fhreagair sé iarratas an ghearánaí . De réir gnáthnós imeachta an rialaitheora sonraí, ba cheart do ghníomhairí um sheirbhís do chustaiméirí cur in iúl do chustaiméirí gur féidir leo a sheoladh ríomhphoist a athrú trí shíniú isteach ina chuntas féin agus an athrú a dhéanamh go díreach ar an leathanach socruithe ‘Cuntas’ . Dúirt an rialaitheoir sonraí chomh maith gur i gcás nach féidir nó nach mian le custaiméir a sheoladh ríomhphoist a athrú leis féin, tugann a nós imeachta treoir do ghníomhairí um sheirbhís do chustaiméirí iarraidh ar an gcustaiméir eolas teoranta, a bhfuil á choinneáil ag an rialatheoir sonraí cheana féin, a chur ar fáil chun an sealbhóir cuntais a fhíordheimhniú .

De bharr an ghearáin, thoiligh an rialaitheoir sonraí treoir shoiléir a thabhairt maidir le conas a bhféadfadh an gearánach athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena eolas cuntais gan tuilleadh sonraí pearsanta a chur ar fáil . Chomh maith leis seo, rinne an rialaitheoir sonraí athbhreithniú cuimsitheach ar a chórais um sheirbhís do chustaiméirí agus chur sé oiliúint athnuachana ar fáil dá ghníomhairí uilig maidir leis na gnáthnósanna imeachta gur cheart dóibh a úsáid i gcásanna dá leithéid .

Chuaigh an DPC i ngleic leis an ngearánach ansin, trí Údarás Cosanta Sonraí Bheirlín, chun an t-eolas a fuair sé ón rialaitheoir sonraí a chur ar fáil le réiteach cairdiúil a iarraidh ar an ngearán . Thug an gearánach deimhniú don DPC ansin gur éirigh leis athrú a dhéanamh leis an seoladh ríomhphoist ar a chuntas leis an rialaitheoir sonraí .

Léiríonn an cás-staidéar seo na buntáistí atá ann do rialai- theoirí sonraí agus do ghearánaigh má ghlacann siad páirt sa phróiseas réiteach cairdiúil ar bhealach dáiríre . Sa chás seo, cé go ndearna an rialaitheoir sonraí gníomhartha dearfacha, ar nós eolas mionsonraithe a chur ar fáil don ghearánaí faoi conas athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena chuntas, bhí toradh maith don dá páirtí .

Sa chás seo, bhí morgáiste ar mhaoin ag an ngearánach chomh maith le duine aonair eile. D’fhág an gearánach agus an duine aonair eile an mhaoin bhunaidh agus d’aistrigh an bheirt acu go seoltaí ar leith. In ainneoin gurbh eol don bhanc é sin, sheol banc an ghearánaigh comhfhreagras a bhain le morgáiste an ghearánaigh chuig seanseoladh an ghearánaigh, áit ar oscail na tionóntaí in situ é.

Mar fhreagra, luaigh banc an ghearánaigh gur tógadh córas morgáiste an bhainc ar an mbunús go mbeadh seoladh comhfhreagrais amháin ann agus, i gcásanna nach raibh seoladh comhfhreagrais amháin aontaithe a thuilleadh ag comhpháirtithe an mhorgáiste, gurb éigean é sin a bhainistiú de láimh, lasmuigh den chóras, agus gur eascair earráidí uaidh sin uaireanta . Ba léir gurb é banc an ghearánaigh an rialaitheoir sonraí chun críocha an ghearáin, de bhrí gur rialaigh an banc sonraí pearsanta an ghearánaigh chun morgáiste an ghearánaigh a bhainistiú . Is éard a bhí sna sonraí atá faoi thrácht (i measc nithe eile) ná faisnéis airgeadais i dtaca le morgáiste an ghearánaigh leis an rialaitheoir sonraí . Sonraí pearsanta a bhí sna sonraí de bharr gur bhain siad leis an ngearánach mar dhuine aonair agus de bharr go bhféadfaí an gearánach a aithint astu .

Sa reachtaíocht Cosanta Sonraí, GDPR san áireamh, leagtar amach prionsabail shoiléire dlí nach mór do rialai- theoirí sonraí cloí leo nuair atá sonraí pearsanta duine á bpróiseáil acu . I gcás an éilimh seo, baineann ábharthacht ar leith leis an oibleagáid go gcinnteofaí go bhfuil na sonraí cruinn agus á gcoinneáil suas chun dáta nuair is gá mar aon leis an oibleagáid go mbeadh bearta cuí slándála i bhfeidhm chun sonraí pearsanta a chosaint . Agus na prionsabail sin á gcur i bhfeidhm ar fhíricí an ghearáin seo, trí sheoladh as dáta a choimeád le haghaidh an ghearánaigh agus trí chomhfhreagras don ghearánach a sheoladh chuig an seoladh sin, mhainnigh an rialaitheoir sonraí sonraí pearsanta an ghearánaigh a choinneáil suas chun dáta (Airteagal 5(1)(d)) . Chomh maith leis sin, i bhfianaise na bpíosaí iomadúla comhfhreagrais a seoladh chuig an seoladh mícheart, mhainnigh bearta slándála an rialaitheora sonraí sonraí an ghearánaigh a chosaint mar is cuí (Airteagal 5(1)(f)) . Tá an oibleagáid bearta iomchuí a chur i bhfeidhm faoi Airteagal 5(1)(f) le léiriú i gcomhréir le hAirteagal 32 den GDPR, a leagann ceisteanna amac nach mór don rialaitheoir sonraí a chur san áireamh nuair a bheifear ag deimhniú an bhfuil bearta cuí slándála i bhfeidhm .

Fuaireamar gearán i gcoinne An Cúram Sláinte, mar gheall gur dhiúltaigh sé iarraidh maidir leis an gceart go ndéanfaí ceartúcháin faoi Airteagal 16 den Rialachán Ginearálta maidir le Cosaint Sonraí. Líomhain an gearánach go raibh a ainm á litriú go mícheart ar a ríomhchóras trí bhíthin an síneadh fada, aiceann atá mar chuid de theanga scríofa na Gaeilge, a fhágáil ar lár.

Baineann ospidéil Saolta úsáid as grúpa riaracháin othar chun sonraí othar a thaifeadadh den chéad uair, sonraí a roinntear le córais eile níos faide amach i gcúram na hothar, i .e . Saotharlann, Raideolaíocht agus Cairdeo- laíocht . Chuir Saolta in iúl don ghearánach nach féidir an síneadh fada a thaifeadadh mar gheall go ndéantar carachtair chomhréire a thaifeadadh mar orduithe ar an grúpa riaracháin othar, rud a imríonn tionchar ar an tslí a ndéantar sonraí a stóráil agus a phróiseáil .

Mar chuid dá scrúdú, chuaigh an DPC i mbun caidrimh le Saolta . Chuir Saolta in iúl don DPC go bhfuil an grúpa riaracháin othar le hathsholáthar in 2019/2020 . Ní cheadóidh córas nua Saolta don síneadh fada a úsáid, áfach . Chuir Saolta in iúl don DPC gurbh amhlaidh sin chun críocha aon phointe teagmhála sruthlínithe amháin le haghaidh faisnéis faoi othair a chur ar bun ar feadh chórais éagsúla . Chuirfeadh sin ar chumas gairmithe rochtain a dhéanamh ar an bhfaisnéis sin

laistigh d’ospidéal nó de ghrúpa ospidéal gan na sonraí a ath-iontráil tráth níos déanaí, lena seachnófaí an seans go ndéanfaí earráidí níos déanaí . Ní thacaíonn na córais eile ar feadh líonra reatha Saolta agus/nó an líonra ospidéal níos leithne le húsáid an tsínte fhada . Chuir Saolta in iúl don DPC freisin go ndéanann siad othair a shainaithint le hUimhreacha Aitheantais Othar seachas le hainmneacha ar leithligh .

Rinneadh an tAonad Ceannaireachta Teicneolaíochta (“TLU”) sa DPC scrúdú ar an aighneacht sin ó Shaolta . Mheas TLU go mbeadh costais shuntasacha agus go leor ama i gceist le nuashonrú ar bith a dhéanamh ar an ríomhchóras, chomh maith le hearráidí ó thaobh stórála agus meaitseála taifead de . Chuaigh an DPC i dteagmháil leis an gCoimisinéir Teanga freisin maidir leis an gcomhairle a thugann sé d’eagraíochtaí san earnáil phoiblí i ndáil le ríomhchórais a bheith ag tacú leis an síneadh fada. Thug An Coimisinéir Teanga le fios nach n-eascraíonn ceanglas den sórt sin as Acht na dTeangacha Oifigiúla 2003, ach go bhféadfaidh ceanglas den sórt sin eascairt as scéim teanga — comhaontú a dhéantar idir comhlacht poiblí agus an tAire Cultúir, Oidhreachta agus Gaeltachta .

D’fhiafraigh an DPC de Shaolta an raibh scéim teanga acu agus tugadh cóip de Scéim Teanga HSE do Limistéar an Iarthair 2003-2007 (“scéim teanga HSE”). Leagtar amach sa scéim sin meas ar roghanna na n-othar maidir le hainmneacha, seoltaí agus a rogha teanga . Tugtar gealltanas sa scéim freisin na ríomhchórais a nuashonrú go mbeidh siad “in oiriúint d’fhorálacha Acht na dTeangacha Oifigiúla”. Ní thugtar creat ama i scéim teanga HSE chun an gealltanas sin a chomhlíonadh.

Chuir Saolta in iúl don DPC go bhfuil siad tiomanta do shábháilteacht othar mar ábhar imní príomha agus lárnach . Ar an gcúis sin, chuir Saolta na deacrachtaí a bhainfeadh le faisnéis a stóráil agus a roinnt le córais eile dá ndéanfadh siad nuashonrú ar a gcóras chun úsáid an tsínte fhada a cheadú in iúl don DPC . Chuir Saolta in iúl go ndéanfaidh siad tástáil ar an bhféidearthacht maidir leis an síneadh fada a úsáid i nuashonrú ar bith a dhéanfar ar a ríomhchóras .

Rinne an DPC tagairt d’Airteagal 16 agus d’Airteagal 5(1) (d) den GDPR agus scrúdú á dhéanamh ar an ngearán seo . Sa dá airteagal sin, leagtar amach cearta ábhair sonraí maidir le “cuspóirí na próiseála” . Ní ceart glan é an ceart go ndéanfaí ceartúcháin faoi Airteagal 16 den GDPR . Tá ceanglas ar rialaitheoirí sonraí céimeanna réasúnta a ghlacadh sna himthosca . Rinne an DPC tagairt do chásdlí ón gCúirt Eorpach um Chearta an Duine maidir le cearta teanga agus/nó ainmniúchán . Léirítear sa chásdlí sin go dtagann litriú ainmneacha faoi choimirce Airteagal 8 den Choinbhinsiún Eorpach um Chearta an Duine, ach go mbíonn cur chuige sriantach ag an gCúirt maidir leis sin . Mar sin, luaigh an DPC arís gurbh é cuspóir na próiseála in imthosca an ghearáin, cúram sláinte a thabhairt don ghearánach agus go raibh Uimhreacha Aitheantais Othar i gceist . Níorbh ionann ainm an ghearánaigh agus an t-aon bhealach chun é a shainaithint agus dá bharr sin, go raibh cuspóir na próiseála á baint amach gach marcanna idird- healaitheacha a úsáid .

Chuir an DPC aon bhaol don ghearánach san áireamh agus iad ag diúltú don iarraidh faoi Airteagal 16 freisin . Thug an DPC ar aird go méadófaí an baol don ghearánach mar gheall ar na deacrachtaí a bhain le láimhseáil an tsínte fhada thar chórais éagsúla . Thug siad aird freisin ar an tionchar a bheadh aige sin ar aon chinnteoireacht ó thaobh cúraim sláinte don ábhar sonraí . Sna himthosca sin, ní chuirfí isteach ar chearta bunúsacha an ábhair sonraí mar thoradh ar gan an síneadh fada a úsáid . Faoi alt 109(5) (f) den Acht um Chosaint Sonraí 2018 (“an tAcht”), d’iarr an DPC ar Shaolta a ghníomhartha a chur in iúl don ghearánach maidir le cur i bhfeidhm ríomhchóras a raibh in ann an síneadh fada a léiriú . Chomh maith leis sin, d’iarr an DPC ar Shaolta aguisín a chur le comhad an ábhair sonraí lena taispeáint go bhfuil an síneadh fada mar chuid d’ainm an ábhair sonraí .

Chuir an DPC, faoi alt 109(5)(c) den Acht, in iúl don ghearánach go bhféadfaidh sé teagmháil a dhéanamh leis an gCoimisinéir Teanga faoin scéim teanga agus faoi shárú ar bith ina leith .

Taisceadh gearán in aghaidh Airbnb Ireland UC (“Airbnb”) le Coimisinéir Bheirlín um Chosaint Sonraí agus Saoráil Faisnéise (“Údarás Cosanta Sonraí Bheirlín”). Aistríodh an gearán chuig Coimisiún na hÉireann um Chosaint Sonraí (“an Coimisiún”) ansin lena láimhseáil aige ina cháil mar phríomhúdarás maoirseachta.

Líomhain an gearánach gur mhainnigh Airbnb iarraidh léirscriosta agus iarraidh rochtana ina dhiaidh sin a chuir sé faoina bhráid a chomhlíonadh laistigh den chreat ama reachtúil. Ina theannta sin, luaigh an gearánach gur tharla sé, nuair a chuir sé an iarraidh léirscriosta uaidh isteach, gur iarr Airbnb air a aitheantas a fhíorú trí fhótachóip dá dhoiciméad aitheantais (“aitheantas”) a sholáthar, rud nár soláthraíodh do Airbnb roimhe sin. Ar dtús, d’fhéach an Coimisiún leis an ngearán seo a réiteach go cairdiúil trína phróiseas láimhseála gearán . Níor éirigh leis teacht ar réiteach cairdiúil, áfach, agus osclaíodh fiosrúchán ar an gcás. Ba iad seo a leanas na saincheisteanna lena n-iniúchadh agus lena gcinneadh ag an bhfiosrúchán ón gCoimisiún: (i) cé acu a bhí nó nach raibh bunús dleathach ag Airbnb le cóip d’aitheantas an ghearánaigh a iarraidh tar éis dó iarraidh léirscriosta a chur isteach de bhun Airteagal 17 RGCS; (ii) cé acu a láimhseáil nó nár láimhseáil Airbnb an iarraidh léirscriosta sin i gcomhréir leis an Rialachán Ginearálta agus leis an Acht um Chosaint Sonraí, 2018; agus (iii) cé acu a láimhseáil nó nár láimhseáil Airbnb an iarraidh rochtana ón ngearánach i gcomhréir leis an Rialachán Ginearálta agus leis an Acht um Chosaint Sonraí, 2018. Thug Airbnb freagra ar na líomhaintí ón ngearánach, agus é ag tabhairt údar leis an iarraidh uaidh ar aitheantas fótagrafach mar gheall ar na héifeachtaí díobhálacha a bheadh ann dá scriosfaí cuntas go héagórach. Chuir Airbnb in iúl gur féidir le dochar suntasach fíorshaoil a bheith ag baint le cuntas Airbnb a scriosadh go calaoiseach, lena n-áirítear, i gcás na n-óstach, an dochar eacnamaíoch a bhaineann le háirithintí a chealú agus leis an dea-thoil a gnóthaíodh sa chuntas a chailleadh agus, i gcás na n-aíonna, an baol go gcaillfeadh siad cóiríocht agus iad ag taisteal thar lear. Luaigh Airbnb nach rioscaí beagbhríocha iad sin agus nach mór bearta cuí a dhéanamh chun dul i ngleic leo . Luaigh sé freisin gur cruthúnas iontaofa aitheantais é doiciméad aitheantais a sholáthar chun iarraidh léirscriosta a fhíordheimhniú agus nach gcuireann sé aon ualach díréireach ar an duine aonair atá ag déanamh na hiarrata. D’áitigh sé gur féidir aitheantas fótagrafach a mheas a bheith ina dhroichead fianaiseach idir aitheantas ar líne agus aitheantas as line.

Chomhlíon Airbnb an iarraidh léirscriosta ón ngearánach ar deireadh. Bhailíochtaigh sé aitheantas an ghearánaigh trí rogha a thabhairt dó logáil isteach ina chuntas chun a aitheantas a fhíorú, gan aon ghá le haitheantas a sholáthar. Tar éis idirghabháil ón gCoimisiún, chomhlíon Airbnb an iarraidh rochtana ón ngearánach. Tar éis dó an fiosrúchán uaidh a chur i gcrích, ghlac an Coimisiún an cinneadh uaidh i ndáil leis an ngearán seo de réir Airteagal 60(7) RGCS an 14 Meán Fómhair 2022. Chinn an Coimisiún gur sháraigh Airbnb Ireland UC, an rialaitheoir sonraí, an Rialachán Ginearálta maidir le Cosaint Sonraí mar a leanas:

Airteagal 5(1)(c) RGCS

Chinn an Coimisiún gur sháraigh Airbnb prionsabal an íoslaghdaithe sonraí, de bhun Airteagal 5(1)(c) RGCS, nu- air a cheangail sé ar an ngearánach a aitheantas a fhíorú trí chóip dá aitheantas fótagrafach a chur isteach. Tharla an sárú seo in imthosca ina raibh réitigh nach raibh chomh sonraíbhunaithe céanna ar cheist an fhíorúcháin aitheantais ar fáil do Airbnb.

Airteagal 6(1) RGCS

Chinn an Coimisiún gur tharla sé, in imthosca sonra- cha an ghearáin seo, nach raibh an leas dlisteanach a shaothraigh an rialaitheoir ina bhunús dleathach bailí faoi Airteagal 6 RGCS le cóip d’aitheantas fótagrafach an ghearánaigh a iarraidh chun an iarraidh léirscriosta uaidh a phróiseáil.

Airteagal 12(3) RGCS

Chinn an Coimisiún gur sháraigh Airbnb Airteagal 12(3) RGCS i ndáil leis an dóigh ar láimhseáil sé an iarraidh rochtana ón ngearánach  Tharla an sárú seo nuair a mhainnigh Airbnb faisnéis a sholáthar don ghearánach faoin ngníomh a rinneadh i dtaca leis an iarraidh rochta- na uaidh laistigh de mhí amháin ón iarraidh a fháil.

I bhfianaise mhéid na sáruithe, d’eisigh an Coimisiún iomardú chuig Airbnb Ireland UC, de bhun Airteagal 58(2)(b) RGCS . Ina theannta sin, d’ordaigh an Coimisiún do Airbnb Ireland UC, de bhun Airteagal 58(2)(d), leasú a dhéanamh ar a bheartais agus a nósanna imeachta inmheánacha le haghaidh iarrataí léirscriosta a láimhseáil chun a chinntiú nach gceanglófaí ar ábhair sonraí a thuilleadh cóip d’aitheantas fótagrafach a sholáthar nuair a dhéanann siad iarrataí léirscriosta sonraí, ach amháin i gcás go bhféadfaidh sé bunús dlí le déanamh amhlaidh a léiriú . D’ordaigh an Coimisiún do Airbnb Ireland UC mionsonraí faoina bheartais agus a nósanna imeachta inmheánacha athbhreithnithe a sholáthar dó faoin 4 Samhain 2022 . Chomhlíon Airbnb an t-ordú sin faoin spriocdháta socraithe.

Thug ábhar sonraí gearán chomh fada leis an gCoimisiún um Chosaint Sonraí (DPC) in aghaidh a n-iarfhostóra (an rialaitheoir sonraí). Bhí líon údair imní maidir le cosaint sonraí ag an ábhar sonraí, eadhon:

1 . Nochtadh a seoladh ríomhphoist pearsanta trína bheith san áireamh sa réimse Cóip Charbóin (CC)

2 . A n-íomhá a chur san áireamh ar chuntas meáin shói- sialta an rialaitheora sonraí

3 . Ní raibh an t-ábhar sonraí sásta leis an fhreagra a fuair sé/sí ón rialaitheoir sonraí maidir le hiarratas duine ar a shonraí/a sonraí

Ar aon dul lena n-imscrúdú ar an ngearán, rinne an DPC teagmháil agus chomhroinn mionsonraí maidir le gearán an ábhair sonraí leis an rialaitheoir sonraí . Chuir an rialai- theoir sonraí in iúl don DPC gur shínigh an t-ábhar sonraí comhaontú réitithe roimhe seo, a rinne tarscaoileadh ar a gcearta chun gearán nó éileamh a dhéanamh in aghaidh an chomhlachta faoi na hAchtanna um Chosaint Sonraí 1988, 2003 agus 2018 . Mar fhreagra, chuir an DPC in iúl don rialaitheoir sonraí nach raibh siadsan mar pháirtí sa chomhaontú agus go raibh oibleagáid reachtúil ar an DPC imscrúdú a dhéanamh ar ghearáin a mhéid is cuí . Is ábhar idir an rialaitheoir sonraí agus an ábhar sonraí forfheidh- miú aon chonradh réitithe .

Maidir leis nochtadh seoladh ríomhphoist an ábhair sonraí, i ngrúpa ríomhphoist, d’admhaigh an rialaitheoir sonraí gur chóir feidhm an Chóip Charbóin Fholaithe (BCC) a úsáid sa chás seo . Chuir an rialaitheoir sonraí in iúl freisin gur tuairiscíodh an eachtra seo mar shárú don DPC faoin Airteagal 33 de Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) agus go raibh bearta breise curtha i bhfeidhm ar fhaitíos go dtarlódh an eachtra arís . Rinneadh oiliúint foirne a leathadh amach agus tá seoladh ríomhphoist an ábhair sonraí bainte as na seoltaí ríomhphoist uathbhailithe atá ar chomhad . Thug an DPC imthosca an tsáraithe a d’eascair ar aird mar thoradh ar earráid dhaoine agus níor aithníodh an sárú mar shaincheist chórasach .

D’iarr an t-ábhar sonraí faoi Airteagal 17 den GDPR, go mbainfí a n-íomhá de láithreán meán sóisialta an rialai- theora sonraí gan moill mhíchuí . Tharraing an t-ábhar sonraí a dtoiliú don phróiseáil siar faoi Airteagal 17(1)(b) den GDPR . Thug an rialaitheoir sonraí faoi chuardach ar a meáin shóisialta agus fuair réidh le haon phostálacha lena n-aithneofaí an t-ábhar sonraí . Chuir an rialaitheoir sonraí in iúl, sa chás gur bhain tríú páirtithe tuilleadh úsáide as na híomhánna seo, go mbeidh ar an ábhar sonraí iarratas scriosta a chur faoi bhráid na n-eagraíochtaí seo go díreach .

Rinne an t-ábhar sonraí iarratas duine ar shonraí faoi Airteagal 15 den GDPR ar an rialaitheoir sonraí . Chomhlíon an rialaitheoir sonraí an t-iarratas; mar sin féin, cuireadh srianta i bhfeidhm faoi Alt 162 d’Achtanna na bliana 2018 chun teorannú a dhéanamh ar rochtain an ábhair sonraí chuig comhfhreagras idir an rialaitheoir sonraí agus a gcomhairleoirí dlí . Cé go dtugann an DPC ar aird gur ceart bunúsach atá i gceart an duine aonair sonraí pearsanta a rochtain agus nach mór aon teorannú a léiriú go cruinn, níl an ceanglas go mbeidh teorannú cearta an ábhair sonraí riachtanach agus comhréireacht, laistigh d’alt 162 d’Acht na bliana 2018 . Dá réir sin, ní féidir gach iarratas rochtana a chomhlíonadh agus bunaithe ar an fhaisnéis a cuireadh ar fáil don DPC, tháinig an DPC ar an gcinneadh nár chóir an comhfhreagras idir an rialaitheoir sonraí agus a gcom- hairleoirí dlí a scaoileadh mar fhreagra ar iarratas rochtana duine ar shonraí .

Sa bhreis ar an méid atá thuas, thug an DPC ar aird gur theip ar an rialaitheoir sonraí a gcuid oibleagáidí faoi Airteagal 12(3) den GDPR a chomhlíonadh sa chás seo, ní mór do rialaitheoirí sonraí iarratais cosanta sonraí ó ábhair sonraí a fhreagairt laistigh d’aon mhí amháin ó fhaightear an t-iarratas sin . Mar sin féin, tugadh ar aird gur chuir an rialaitheoir sonraí síneadh le tréimhse freagartha iarratas duine ar shonraí tar éis den tréimhse ama tosaigh d’aon mhí amháin a bheith dulta i léig .

Dá réir sin, scríobh an DPC, faoil alt 109(5)(f) chuig an rialai- theoir sonraí agus mheabhraigh a gcuid oibleagáidí dóibh faoi Airteagal 12(3) agus Airteagal 33 den GDPR .

Sa ghearán seo, rinne an gearánach iarratas chuig banc faoi reachtaíocht um chosaint sonraí le go gcuirfí cóip ar fáil don ghearánach de na sonraí pearsanta ar fad a choinnigh an banc maidir leis. Mhaígh an gearánach, go sonrach, gur theip ar an mbanc aon anailísí inmheánacha a sholáthar dó inar úsáideadh sonraí pearsanta an ghearánaigh chun teacht ar an méid creidmheasa a thabharfadh an banc dó.

Dheimhnigh an Oifig seo gur aithníodh an banc ar an rialaitheoir sonraí ábhartha i ndáil leis an ngearán, ós rud é gur rialaigh sé sonraí pearsanta a chuir an gearánach ar fáil don bhanc le linn iarratas a dhéanamh ar iasacht. Bhí na sonraí a bhí i gceist ina sonraí pearsanta a bhain leis an ngearánach (a chuimsigh, i measc nithe eile, foirm iarratais ar iasacht chomhlánaithe agus doiciméid tacaíochta) toisc go bhféadfaí an gearánach a aithint iontu agus gur bhain na sonraí leis an ngearánach mar dhuine aonair. Dá bhrí sin, bhí an oifig seo sásta gur chóir imscrúdú a dhéanamh ar an ngearán seo lena chinneadh an raibh sárú ar an reachtaíocht um chosaint sonraí i gceist nó nach raibh.

Le linn imscrúdú a dhéanamh ar an ngearán seo, chuaigh an Oifig seo i dteagmháil leis an mbanc i ndáil le cineál ar bith na sonraí pearsanta a d’fhéadfadh an gearánach bheith ina dteideal. Bhí an banc den tuairim nach raibh an gearánach i dteideal shonraí a anailíse inmheánaí agus algartaim ná aon tairseacha cinnteoireachta inmheánacha ar ar bhunaigh sé a chinneadh i leith iasachtú toisc, i dtuairim an bhainc, nach raibh an fhaisnéis seo ina sonraí pearsanta, agus, chomh maith leis sin, go raibh an fhaisnéis íogair don mhargadh agus ina maoin int- leachtúil de chuid an bhainc. Go háirithe, níor chuir an banc mionsonraí ar fáil don ghearánach maidir le scór creidmheasa an ghearánaigh ná an t-áireamh a rinne an banc ar ghlanioncam indiúscartha an ghearánaigh atá mar chuid dá chritéir mheasúnaithe ar chreidmheas.

Bhreithnigh an Oifig seo na míniúcháin a thug an banc agus ghlac an Oifig an tuairim go raibh figiúr glanioncaim indiúscartha agus raon creidmheasa an ghearánaigh araon ina sonraí pearsanta a bhain leis an ngearánach toisc go bhféadfaí an gearánach a aithint ó na sonraí agus gur bhain siad leis an ngearánach mar dhuine aonair . Chomh maith leis sin, ós rud é nár aithin an banc eisceacht ábhartha faoin reachtaíocht um chosaint sonraí ar trí sin a bhféadfadh sé na sonraí seo a choimeád siar ón ngearánach, mheas an Oifig gur theip ar an mbanc cloí le hiarratas an ghearánaigh maidir le teacht a bheith aige ar a chuid sonraí. Mar sin féin, d’aontaigh an Oifig seo nach raibh na samhlacha scórála creidmheasa a d’úsáid an banc ina phróiseas measúnaithe ar chreidmheas ina sonraí pearsanta a bhain leis an ngearánach, agus, dá réir sin, nach raibh an gearánach i dteideal cóip den fhaisnéis seo a fháil.

Ar deireadh, bhreithnigh an oifig seo gur sháraigh an banc a chuid oibleagáidí tuilleadh faoin reachtaíocht um chosaint sonraí toisc nár thug sé freagra ar an iarratas a rinne an gearánach laistigh den teorainn ama reachtúil is infheidhme.

Faoi Airteagal 15 den GDPR, tá sé de cheart ag ábhair sonraí deimhniú a fháil ó rialaitheoirí sonraí cé acu atá sonraí pearsanta a bhaineann leo á bpróiseáil nó nach bhfuil, agus i gcás ina bhfuil, teacht a bheith acu ar na sonraí pearsanta sin. Ní bhaineann an ceart seo ach le sonraí pearsanta an ábhair sonraí, arb é is ciall leis sin aon fhaisnéis a bhaineann leis an ábhar sonraí sin ina n-aithnítear an t-ábhar sonraí nó ina bhfuil an t-ábhar sonraí inaitheanta. Ní mór do rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ó ábhar sonraí gan mhoill mhíchuí agus laistigh de mhí amháin ar an iarratas a fháil i gcás ar bith. Mar sin féin, tá an ceart ar rochtain ar shonraí pearsanta faoi réir líon eisceachtaí faoin GDPR agus faoin Acht um Chosaint Sonraí 2018 (go háirithe, ailt 59 go 61), ar nós cás ina ndéanfaí dochar do chearta agus saoirsí daoine eile an t-iarratas ar rochtain a chomhlíonadh.

Thaisc ábhar sonraí gearán leis an DPC in aghaidh rialaitheoir sonraí i ndiaidh freagra mall ar iarratas duine ar a shonraí. Bhí an t-ábhar sonraí imníoch faoin bpróiseáil a bhí á dhéanamh ar a shonraí pearsanta idir an rialaitheoir sonraí agus tríú páirtí, fiosraitheoir HR (fiosraitheoir). Bhain na hábhair imní leis an mbunús dlíthiúil a bhí le sonraí pearsanta an ábhair sonraí a phróiseáil agus slándáil na próiseála a bhí á déanamh ar na sonraí pearsanta, toisc gur úsáid an fiosraitheoir cuntas Gmail le linn an scrúdaithe.

Chuir an t-ábhar sonraí a cheart i bhfeidhm faoi Airteagal 15 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) trí rochtain ar a shonraí pearsanta a iarraidh. Mar sin féin, ní bhfuair sé freagra ar a iarraidh laistigh de mhí amháin de réir mar a éilítear faoi Airteagal 12(3) den GDPR. I ndiaidh tréimhse dhá mhí gan aon fhreagra a fháil fós, chuir an t-ábhar sonraí an rialaitheoir sonraí ar an eolas go dtaiscfí gearán leis an DPC . I ndiaidh teagmháil a rinne an DPC, chuir an rialaitheoir sonraí na sonraí pearsanta ábhartha a bhí ábhartha don iarratas duine ar a shonraí ar fáil agus mhínigh sé go raibh moill i gceist mar gheall ar earráid theicniúil sa chóras ríomhphoist. Ag an bpointe seo, bhí an t-ábhar sonraí sásta go bhfuair sé na sonraí pearsanta ar fad a iarradh mar aon le roinnt sonraí breise eile . Níor bhain na sonraí seo leis an ábhar sonraí agus rinneadh an t-atheagrú a leasú.

I ndiaidh athbhreithniú a dhéanamh ar na sonraí pearsanta a fuarthas, chuir an t-ábhar sonraí ábhar imní in iúl maidir leis an bpróiseáil a bhí á dhéanamh ar a shonraí pearsanta idir an rialaitheoir sonraí agus an fiosraitheoir. Mar chuid dá iniúchadh, chuaigh an DPC i dteagmháil leis an rialaitheoir sonraí maidir leis an gceist seo. Luaigh an ri- alaitheoir sonraí alt 46 den Acht um Chosaint Sonraí 2018 (Acht 2018) agus Airteagail 6(1)(c) agus Airteagal 9(2)(b) dá bhunús dlíthiúil i leith na sonraí pearsanta a phróiseáil . Chomh maith leis sin, bhí an t-ábhar sonraí ina fhostaí, mar sin, tharraing an rialaitheoir sonraí aird ar a chuid oibleagáidí dlíthiúla faoin Acht um Shábháilteacht, Sláinte agus Leas ag an Obair 2005 de réir mar atá leagtha amach ina Lámhleabhar d’Fhostaithe. Cheistigh an t-ábhar sonraí an bunús dlíthiúil seo toisc nár cuireadh é ar an eolas faoi sin roimhe seo.

Maidir leis an bhfiosraitheoir, mhínigh an t-ábhar imní nár lorgaíodh aon chead i leith na sonraí pearsanta bheith á bpróiseáil idir an rialaitheoir sonraí agus an fiosraitheoir. Mhínigh an rialaitheoir sonraí nach raibh cead ar an aon bhunús dlíthiúil faoin GDPR agus luaigh sé Airteagal 6(1) (b) dá bhunús dlíthiúil. Cheistigh an t-ábhar sonraí an bunús dlíthiúil seo á lua nach raibh an phróiseáil a rinne an fiosraitheoir riachtanach i leith an conradh fostaíochta a chomhlíonadh. Chomh maith leis sin, chuir an t-ábhar sonraí ábhar imní in iúl mar gheall ar thrédhearcacht toisc nach mbeadh sé ag súil go ndéanfadh fiosraitheoir próiseáil ar a shonraí pearsanta nuair a bhí an conradh fostaíochta á shíniú. Nuair a ceistíodh an rialaitheoir sonraí faoi chuntas Gmail bheith á úsáid ag an bhfiosraitheoir, luaigh sé go mbeadh an ríomhphost idir an rialaitheoir sonraí agus an cuntas Gmail criptithe agus nach raibh aon fhianaise ann gur baineadh de shonraí pearsanta an ábhair sonraí.

Le linn an gearán a fhiosrú, tháinig ceist chun cinn maidir leis an bhfiosraitheoir bheith ina chomhrialaitheoir nó ina phróiseálaí sonraí. Ghlac an t-ábhar sonraí an tuairim go raibh an fiosraitheoir ina phróiseálaí sonraí ach luaigh an rialaitheoir sonraí go raibh an fiosraitheoir ina rialai- theoir sonraí as a cheart féin, agus mar thoradh air sin, ní raibh aon riachtanais i gceist faoi Airteagal 28 den GDPR.

Scrúdaigh an DPC fíricí an ghearáin seo agus fuair sé amach gur cuireadh liosta de dhaoine aonair ar fáil don fhiosraitheoir chun agallamh a chur orthu d’fhonn an tuarascáil seo a chur le chéile agus ó na téarmaí tagartha, liostaítear agallaimh ar an bpríomh-mhodh le faisnéis a bhailiú chun a thuarascáil a chur le chéile. Thug an DPC faoi deara freisin gur cuireadh cosc ar an bhfiosraitheoir aon smachtbhannaí a tháinig chun cinn as torthaí na tuarascála a chinneadh ná a chur i bhfeidhm. Bunaithe ar an bhfaisnéis seo, dhearbhaigh an DPC go raibh an fios- raitheoir ina phróiseálaí sonraí thar ceann an rialaitheora sonraí agus thug sé faoi deara gur theip ar an rialaitheoir sonraí conradh a chur ar fáil idir é féin agus an fiosrai- theoir de réir mar a éilítear faoi Airteagal 28(3) den GDPR.

Toisc gur theip ar an rialaitheoir sonraí cloí leis an oibleagáid i leith mí amháin faoi Airteagal 12(3) den GDPR, mheabhraigh an DPC don rialaitheoir sonraí maidir lena chuid oibleagáidí faoi Airteagal 24 chun bearta cuí teicniúla agus eagraíochtúla a chur i bhfeidhm d’fhonn comhlíonadh an GDPR a chinntiú. Agus é sin á dhéanamh, ba chóir don rialaitheoir sonraí a chinntiú freisin nach gcuireann sé ar fáil ach sonraí pearsanta atá ábhartha don iarratas duine ar a shonraí atá idir lámha agus go bhfolaíonn sé sonraí pearsanta ó thríú páirtithe . Ar an dara dul síos, maidir leis an mbunús dlíthiúil ar a raibh an rialaitheoir sonraí ag brath, bhí an DPC sásta go raibh bunúis dhlíthiúla dá leithéid réasúnach; mar sin féin, moladh dó baill foirne a chur ar an eolas ina pholasaithe cosanta sonraí do bhaill foirne go bhféadfadh sé brath ar alt 46 d’Acht 2018 agus na hAirteagail 6(1)(c) agus 9(2) (b) den GDPR maidir le sonraí pearsanta na mball foirne a phróiseáil. Chomh maith leis sin, faoi alt 109(5)(f) d’Acht 2018, mhol an DPC go gcinnteodh an rialaitheoir sonraí go bhfuil conradh i bhfeidhm nuair atá fiosraitheoir rannpháirteach, go ndéanfadh sé tástáil ar phróisis eagraíochtúla agus teicniúla ar bhonn rialta, agus ar deireadh, go gcuirfeadh sé seoladh ríomhphoist de chuid na heagraíochta ar fáil don fhiosraitheoir.

Bhí baint ag an ngearánaí le himscrúdú san ionad oibre i ndiaidh líomhaintí a rinne an gearánaí i gcoinne comhghleacaí. Cheap fostóir an ghearánaí gnólacht comhairleoireachta neamhspleách (“an Chuideachta Chomhairliúcháin”) chun an t-imscrúdú a dhéanamh agus bhí torthaí na Cuideachta Comhairleoireachta faoi réir athbhreithniú ag painéal neamhspleách.

Tar éis an t-imscrúdú san ionad oibre a thabhairt chun críche, rinne an gearánaí iarratas ar rochtain sonraí chuig a bhfostóir agus cuireadh roinnt doiciméad ar fáil i ndiaidh an iarratais sin . Bhí an gearánaí den tuairim, áfach, nár freagraíodh an t-iarratas go hiomlán. Mar shampla, mhaígh an gearánaí go raibh na ráitis a thug finné (le linn an imscrúdaithe), a cuireadh ar fáil don ghearánaí, míchruinn ó thaobh na bhfíricí de agus nár cuireadh doiciméid áirithe ar fáil don ghearánaí (amhail logaí rochtana ar chomhaid phearsanta an ghearánaí). Líomhain an gearánaí freisin gur nocht a fhostóir, le comhghleacaithe an ghearánaí, sonraí faoi fheidhmíocht oibre an ghearánaí, socruithe saoire breoiteachta agus cóipeanna de dhuillíní pá an ghearánaí. Ar deireadh, mhaígh an gearánaí gur theip ar a bhfostóir cloí le hiarratais an ghearánaí ar cheartú na ráitis finné (a líomhnaigh an gearánaí a bhí mícheart ó thaobh fíricí de).

Cruthaíodh gurbh é fostóir an ghearánaí an rialai- theoir sonraí toisc gur rialaigh sé sonraí an ghearánaí i gcomhthéacs an imscrúdaithe san ionad oibre . Sna sonraí sin, bhí faisnéis phárolla an ghearánaí, faisnéis a bhaineann le saoire bhreoiteachta an ghearánaí agus ráitis finné a bhaineann leis an ngearánaí. Sonraí pearsanta a bhí sna sonraí toisc gur bhain siad leis an ngearánaí mar dhuine ar leith agus d’fhéadfaí an gearánaí a aithint uaidh.

Mar fhreagra ar líomhain an ghearánaí nár freagraíodh a iarratas rochtana go hiomlán, dúirt an rialaitheoir sonraí, maidir le ráitis an fhinné, gur cuireadh cóipeanna de ráitis bhunaidh an fhinné ar fáil don ghearánaí a coinníodh ar chomhad an ghearána . Maidir leis na logaí rochtana, bhí an rialaitheoir sonraí den tuairim nach sonraí pearsanta iad sin (toisc gur coinníodh cuntas ar ghluaiseacht dhigiteach fostaithe eile ar chórais TF an rialaitheo- ra sonraí). I dtaca le cáipéisí éagsúla eile a mhaígh an gearánaí nach bhfuair sé, thug an rialaitheoir sonraí le fios, dá bhféadfadh an gearánaí sonraí na ndoiciméad sin a shonrú, go ndéanfadh sé líomhain an ghearánaí a mheas tuilleadh.

Maidir leis an ngearán gur nocht an rialaitheoir sonraí faoi fheidhmíocht oibre an ghearánaí le comhghleacaithe an ghearánaí, d’áitigh an rialaitheoir sonraí go bpléifí feidhmíocht an ghearánaí le bainisteoirí an ghearánaí agus dá bhrí sin, gur nochtadh é ar chúiseanna dlisteanacha gnó. I dtaca leis an ngearán a rinneadh faoi nochtadh sonraí maidir le saoire bhreoiteachta an ghearánaí, thug an rialaitheoir sonraí le fios nár nochtadh aon rud den sórt sin go bhfios dó. Ar deireadh, maidir leis an líomhain gur nochtadh duillíní pá an ghearánaí, d’áitigh an rialai- theoir sonraí gur cuireadh ar fáil iad d’fhostaí de chuid an rialaitheora sonraí le hathbhreithniú a dhéanamh orthu i gcomhthéacs cás ar leith a rinne an gearánaí.

Rinne an gearánaí iarratas freisin ar cheartú ráiteas finné, a líomhnaigh an gearánaí a bhí míchruinn ó thaobh na bhfíricí de. Mar sin féin, chuir an rialaitheoir sonraí in iúl gurbh ionann an méid a taifeadadh sna ráitis finné agus tuairimí na ndaoine a bhí i gceist agus, ar an mbonn sin, dhiúltaigh sé na ráitis finné a leasú. Bhí an DPC den tuairim go raibh cúig shaincheist le scrúdú aige maidir leis an ngearán. Tugtar achoimre thíos ar dhearcadh an DPC ar gach ceann de na saincheisteanna sin (faoi cheannteidil a léiríonn gach ceann de na cúig shaincheist).

Iarratas ar rochtain

Thug an DPC faoi deara go raibh iarratas bailí rochtana déanta ag an ngearánaí . Mar sin féin, tar éis dó an t-ábhar a bhreithniú tríd is tríd, bhí an DPC den tuairim nach raibh aon fhianaise ar fáil a thabharfadh le fios gur choinnigh an rialaitheoir sonraí faisnéis siar go neamhdhleathach.

Thug an DPC faoi deara, áfach, nár láimhseáladh iarratas rochtana sonraí an ghearánaí sa tréimhse ama a éilítear faoin reachtaíocht. Mar sin, bhí sárú cosanta sonraí déanta ag an rialaitheoir sonraí ina thaobh sin.

Faoi Airteagal 12(3) den GDPR, tá sé de cheart ag duine faoi réir sonraí rochtain a fháil ó rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, atá á bpróiseáil . Ní mór don rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ábhair gan aon mhoill agus in aon chás laistigh de mhí amháin tar éis glacadh leis an iarratas:

Líomhain i dtaca le nochtadh neamhúdaraithe ar shonraí pearsanta an ghearánaí

Ní mór do rialaitheoirí bunús dleathach a bheith acu, faoin reachtaíocht um chosaint sonraí chun sonraí pearsanta a phróiseáil, lena n-áirítear na sonraí sin a nochtadh le tríú páirtí . Maidir le sonraí a nochtadh i dtaca le feidhmíocht oibre an ghearánaí, bhí an DPC den tuairim go raibh an phróiseáil sin dleathach ó tharla gur bhain sé le cúiseanna dlisteanacha gnó. Maidir le sonraí saoire breoiteachta a nochtadh, chinn an DPC nár tugadh dóthain faisnéise a bhain leis an teagmhas líomhnaithe chun a chinneadh ar sáraíodh an reachtaíocht. Maidir le nochtadh duillíní pá an ghearánaí, bhí an DPC den tuairim go raibh an nochtadh dleathach toisc gur nochtadh na duillíní pá chun cabhrú leis an rialaitheoir sonraí éileamh dlíthiúil ar leithligh a chosaint a rinne an gearánaí ina choinne.

Faoi Airteagal 6 den GDPR, ceanglaítear ar rialaitheoir sonraí bunús dlí a bheith leis an bpróiseáil ar aon sonraí pearsanta (lena n-áirítear iad a nochtadh). Áirítear ar na bunúis dlí sin atá bailí lena bpróiseáil (a) go bhfuil toiliú tugtha ag an ábhar sonraí, (b) go bhfuil gá leis an bpróiseáil chun conradh a chomhlíonadh a bhfuil an t-ábhar sonraí ina pháirtí ann, (c) go bhfuil gá leis an bpróiseáil chun oibleagáid dhlíthiúil a bhfuil an rialaitheoir sonraí faoina réir a chomhlíonadh, (d) go bhfuil gá leis an bpróiseáil chun leas an duine aonair a chosaint, (e) go bhfuil gá leis an bpróiseáil chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail, nó (f) go bhfuil gá leis an bpróiseáil chun críocha leasanna dlisteanacha a dtugann an rialaitheoir sonraí nó tríú páirtí faoi

.

Próiseáil chóir

Tá oibleagáid ar rialaitheoirí sonraí sonraí pearsanta a phróiseáil go cothrom. Le linn a imscrúdaithe, d’iarr an DPC ar an rialaitheoir sonraí a dheimhniú conas a  chomhlíon sé a oibleagáidí maidir le sonraí an ghearánaí a phróiseáil ar bhealach cóir, i dtaca le gach ceann de na nochtuithe líomhnaithe ar shonraí pearsanta an ghearánaí . Theip ar an rialaitheoir sonraí an fhaisnéis a theastaíonn a chur ar fáil agus mar sin, mheas an DPC gur theip ar an rialaitheoir sonraí sonraí an ghearánaí a phróiseáil, i gcomhréir le hoibleagáidí próiseála córa .

Faoin GDPR, ní mór sonraí pearsanta a phróiseáil go dleathach, go cothrom agus ar bhealach trédhearcach i ndáil leis an ábhar sonraí . Ceanglaítear leis an bprionsabal sin go ndéanfar faisnéis áirithe a chur ar fáil don ábhar sonraí faoi Airteagal 13 agus Airteagal 14 den GDPR maidir leis an oibríocht phróiseála a bheith ann agus chun críocha na hoibríochta sin. Ba cheart na hábhair sonraí a chur ar an eolas faoi rioscaí, rialacha, agus coimircí i ndáil le próiseáil a gcuid sonraí pearsanta . I gcás inar féidir sonraí pearsanta a nochtadh go dlisteanach d’fhaighteoir eile, ba cheart do rialaitheoirí sonraí an t-ábhar sonraí a chur ar an eolas nuair a nochtar na sonraí pearsanta den chéad uair don bhfaighteoir nó do chatagóirí faighteoirí na sonraí pearsanta.

An ceart go ndéanfaí ceartúcháin

Faoin reachtaíocht um Chosaint Sonraí, tá ceart ann chun sonraí pearsanta míchruinne a cheartú . Dheimhnigh an rialaitheoir sonraí anseo, áfach, gurbh ionann an méid a taifeadadh sna ráitis finné agus tuairimí na ndaoine a bhí i gceist. Glacadh leis an dearcadh, i gcás ina dtaifeadtar tuairim i gceart agus i gcás ina bhfuil an tuairim bunaithe go hoibiachtúil ar nithe a chreidfeadh an duine a thugann an tuairim a bheith fíor, nach bhfuil feidhm ag an gceart go ndéanfaí ceartúcháin.

Faoi Airteagal 5 den GDPR, ní mór sonraí pearsanta atá á bpróiseáil a bheith cruinn agus, nuair is gá, iad a bheith cothrom le dáta agus ceanglaítear ar rialaitheoirí sonraí a chinntiú go ndéantar gach beart réasúnta chun a chinntiú go scriostar nó go gceartaítear sonraí míchruinne, agus cuspóir a bpróiseála ar intinn. Faoi Airteagal 16 den GDPR, tá sé de cheart ag ábhar sonraí go gceartóidh rialaitheoir sonraí sonraí pearsanta míchruinne a bhaineann leis nó léi gan aon mhoill. Faoi alt 60 den Acht um Chosaint Sonraí 2018, áfach, tá an ceart seo teoranta sa mhéid is gur léiriú tuairime ó dhuine eile iad na sonraí pearsanta faoin ábhar sonraí a tugadh faoi rún nó ar an tuiscint go gcaithfeadh duine leis i modh rúin agus leas dlisteanach aige an fhaisnéis a fháil.

Sonraí pearsanta an ghearánaí a choimeád

D’iarr an DPC ar an rialaitheoir sonraí breac-chuntas a thabhairt ar an mbunús dlí maidir le sonraí pearsanta an ghearánaí a choinneáil (i .e . próiseáil) i dtaca le himscrúdú an ionaid oibre. Chuir an rialaitheoir sonraí in iúl go raibh na sonraí seo á gcoimeád d’fhonn iarratais agus achomhairc an ghearánaí a láimhseáil faoi phróisis reachtúla éagsúla . Ar an mbonn sin, bhí an DPC den tuairim go raibh sé dleathach go gcoinneofaí sonraí pearsanta an ghearánaí mar go raibh baint aige le cúiseanna dlisteanacha gnó. Faoin GDPR, ní hamháin go gcaithfidh bunús dleathach a bheith ag rialaitheoir sonraí chun sonraí pearsanta duine aonair a fháil ar dtús, ach ní mór bunús dlí leanúnach a bheith leis chun na sonraí sin a choinneáil de réir Airteagal 6, mar a leagtar amach thuas. Faoi Airteagal 5(1)(e) den GDPR, níl cead sonraí pearsanta a chuireann in iúl cé hé / cé hí an t-ábhar sonraí a choinneáil ar feadh tréimhse níos faide ná mar is gá chun na gcríoch dá bpróiseáiltear iad.

Bhain an gearán seo le freagra neamhiomlán a bhí tugtha, a dúradh, ar iarrataí ar rochtain ó ábhar sonraí. Ba é cúlra an ghearáin seo gur chuir an gearánaí iarraidh rochtana faoi bhráid iontaobhaithe scéime pinsin (na “hIontaobhaithe”). Mar chuid dá bhfreagra ar an iarraidh ar rochtain, thagair na hIontaobhaithe do dhréachtlitir a bhain leis an ngearánaí; níor cuireadh an dréachtlitir seo ar fáil don ghearánaí, áfach.

Dearbhaíodh gurbh iad na hIontaobhaithe an rialaitheoir sonraí toisc go raibh smacht acu ar an ábhar agus ar úsáid shonraí pearsanta an ghearánaí chun críocha phinsean an ghearánaí. Is éard a bhí sna sonraí a bhain le hábhar ná (i measc nithe eile) faisnéis a bhain le fostaíocht agus pinsean an ghearánaí agus ba shonraí pearsanta iad toisc gur bhain siad leis an ngearánaí mar dhuine aonair agus go bhféadfaí an gearánaí a aithint uathu.

D’fhéach an rialaitheoir sonraí lena mhaíomh go raibh pribhléid dhlíthiúil ag an dréachtlitir agus, dá bhrí sin, nár ceanglaíodh ar an rialaitheoir sonraí í a chur ar fáil don ghearánaí. Lorg an Coimisinéir um Chosaint Sonraí tuilleadh eolais ón rialaitheoir sonraí maidir leis an maíomh gur bhain pribhléid leis an dréachtlitir. Mar fhreagra air sin, níor thug an rialaitheoir sonraí soiléireacht ar an mbunús a bhí leis an dearbhú go raibh pribhléid dhlíthiúil ag an dréachtlitir, ach thoiligh sé, áfach, na sonraí a chur ar fáil don ghearánaí.

Socraíodh, dá bhrí sin, gur theip ar an rialaitheoir sonraí a chruthú go raibh sé i dteideal brath ar an díolúine i ndáil le sonraí atá faoi phribhléid dhlíthiúil. Dá réir sin, ba cheart go mbeadh an litir curtha ar fáil don ghearánaí, mar fhreagra ar iarraidh rochtana an ghearánaí, laistigh den tréimhse ama atá leagtha amach sa reachtaíocht.

Faoi Airteagal 15 den GDPR, tá sé de cheart ag ábhar sonraí rochtain a fháil ó rialaitheoir sonraí ar shonraí pearsanta a bhaineann leis nó léi, atá á bpróiseáil  Ní mór don rialaitheoir sonraí freagra a thabhairt ar iarratas ar rochtain ón ábhar sonraí gan rómhoill agus pé scéal é laistigh de mhí amháin ó bhí an t-iarratas faighte. Mar sin féin, níl feidhm ag an gceart rochtana ar shonraí pearsanta duine nuair a bhíonn sonraí pearsanta a bpróiseáil chun comhairle dlí a lorg, a fháil nó a thabhairt nó i gcás sonraí pearsanta a bhféadfaí pribhléid a dhearbhú ina leith chun críche imeachtaí dlíthiúla nó le linn imeachtaí dlíthiúla. Nuair a fhéachann rialaitheoir sonraí le pribhléid a dhearbhú i dtaca le faisnéis atá á lorg ag an té lena mbaineann sonraí, cuirfidh an DPC de cheangal ar an rialaitheoir sonraí, agus scrúdú a dhéanamh ar ghearán toisc a dhiúltaithe, faisnéis shuntasach a chur ar fáil, lena n-áirítear míniú ar an mbonn ar a bhfuil pribhléid á dhearbhú ag an rialaitheoir sonraí, ionas gur féidir bailíocht na pribhléide a mheas i gceart.