Cé Muid Féin

Fiosrúchán ar Chomhairle Contae na Gaillimhe

Réimse: Údarás Poiblí

Airteagal: 24

Dáta Cinnidh: 22 Lúnasa 2023

Féachadh san fhiosrúchán seo lena mheasúnú cé acu a bhí nó nach raibh Comhairle Contae na Gaillimhe ag próiseáil sonraí pearsanta i gcomhréir le RGCS agus leis an Acht um Chosaint Sonraí, 2018. Rinneadh scrúdú san fhiosrúchán ar roinnt d’oibríochtaí próiseála na Comhairle, lena n-áirítear an úsáid a bhaineann sí as ceamaraí TCI in áiteanna poiblí chun coireacht a ionchúiseamh nó chun críocha eile.

Áirítear na nithe seo leis na fionnachtana sa chinneadh:

  • Ní raibh aon bhunús dlí bailí ag Comhairle Contae na Gaillimhe le próiseáil a dhéanamh ar shonraí pearsanta ó cheamaraí TCI, ó cheamaraí uathaitheanta uimhirphlátaí agus ó cheamaraí a chaitear ar an gcorp.
  • Mhainnigh Comhairle Contae na Gaillimhe comharthaí a raibh foclaíocht chuí orthu a chur in airde i láithreacha cuí i ndáil le próiseáil na sonraí pearsanta a bailíodh trí na ceamaraí TCI sin chun críocha a bhaineann le forfheidhmiú an dlí.

Cinneadh freisin gur sáraíodh na hoibleagáidí atá ar Chomhairle Contae na Gaillimhe measúnuithe tionchair ar chosaint sonraí a dhéanamh, logaí sonraí a chothabháil le haghaidh rochtain shonrach ar thaifeadtaí TCI, agus bearta cuí teicniúla agus eagrúcháin a chur chun feidhme.

Na cumhachtaí ceartaitheacha a feidhmíodh:

  • Toirmeasc sealadach ar shonraí pearsanta a phróiseáil trí cheamaraí TCI agus trí cheamaraí uathaitheanta uimhirphlátaí ag láithreacha éagsúla go dtí gur féidir bunús dlí bailí a shainaithint.
  • Toirmeasc sealadach ar shonraí pearsanta a phróiseáil trí cheamaraí a chaitear ar an gcorp go dtí gur féidir bunús dlí bailí a shainaithint.
  • Ordú do Chomhairle Contae na Gaillimhe a próiseáil sonraí pearsanta a chur i gcomhréir trí ghníomhartha áirithe a sonraíodh sa chinneadh a dhéanamh.
  • Eisíodh iomardú i leith an tsáraithe a rinne Comhairle Contae na Gaillimhe ar Airteagal 24 RGCS.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Chomhairle Contae na Gaillimhe - Lúnasa 2023 (PDF, 2.6mb).

Fiosrúchán ar Airbnb Ireland UC

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 5, 6, 12, 15

Dáta Cinnidh: 20 Iúil 2023

An 20 Iúil 2023, tar éis fiosrúcháin, ghlac an Coimisiún um Chosaint Sonraí (an Coimisiún) cinneadh chun cumhachtaí ceartaitheacha a fheidhmiú i leith Airbnb Ireland UC (Airbnb).

Thosaigh an Coimisiún an fiosrúchán sin an 22 Nollaig 2022 de bhun gearán a fháil á rá gur mhainnigh Airbnb iarraidh rochtana agus iarraidh léirscriosta ina dhiaidh sin a chomhlíonadh laistigh den chreat ama reachtúil agus gur tharla sé, nuair a chuir an Gearánach na hiarrataí rochtana agus léirscriosta uaidh isteach, gur iarr Airbnb air a chéannacht a fhíorú trí fhótachóip dá dhoiciméad aitheantais (aitheantas) a sholáthar, rud nár sholáthair sé do Airbnb roimhe sin.

Bhain raon feidhme an fhiosrúcháin le scrúdú agus measúnú a dhéanamh ar na nithe seo a leanas:

1) Cé acu a sholáthair nó nár sholáthair Airbnb na sonraí pearsanta agus an fhaisnéis a bhaineann leis na sonraí pearsanta sin a phróiseáil mar fhreagairt don iarraidh rochtana ón nGearánach i gcomhréir leis an Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS) agus leis an Acht um Chosaint Sonraí, 2018.

2) Cé acu a láimhseáil nó nár láimhseáil Airbnb an iarraidh rochtana ón nGearánach i gcomhréir le RGCS agus leis an Acht, a mhéid a bhí an fhaisnéis a soláthraíodh don Ghearánach i bhfoirm a bhí gonta, trédhearcach, intuigthe agus a raibh rochtain éasca uirthi agus ar baineadh feidhm inti as teanga shoiléir agus as gnáthfhriotal, mar a shonraítear le hAirteagal 12(1) RGCS.

3) Cé acu a láimhseáil nó nár láimhseáil Airbnb an iarraidh léirscriosta ón nGearánach i gcomhréir le RGCS agus leis an Acht.

4(a) Cé acu a bhí nó nach raibh bunús dleathach ag Airbnb le cóip d’aitheantas an Ghearánaigh a iarraidh agus, tar éis dó diúltú an céanna a sholáthar, cé acu a bhí nó nach raibh bunús dleathach ag Airbnb le glao teileafóin a iarraidh ina dhiaidh sin chun céannacht an Ghearánaigh a fhíorú in imthosca inar chuir sé iarraidh rochtana agus iarraidh léirscriosta isteach de bhun Airteagail 15 agus 17 RGCS; agus

4(b) Maidir leis an oibleagáid a bhí ar Airbnb faisnéis faoin ngníomhaíocht a rinneadh mar fhreagairt do na hiarrataí rochtana agus léirscriosta a sholáthar gan moill mhíchuí de bhun Airteagal 12(3) RGCS, cé acu a cuireadh nó nár cuireadh an oibleagáid sin ar fionraí go dtí go bhfíorófaí céannacht an Ghearánaigh thar an teileafón.

Ós rud é gurbh ionann an phróiseáil a bhí i gceist agus próiseáil “trasteorann”, bhí an cinneadh ón gCoimisiún faoi réir an tsásra comhair agus comhsheasmhachta atá leagtha amach in Airteagal 60 RGCS agus, de bhun Airteagal 60(3) RGCS, chuir an Coimisiún an dréachtchinneadh uaidh faoi bhráid na n-údarás maoirseachta lena mbaineann ar mhaithe le tuairim a fháil uathu.

Ós rud é nach bhfuair an Coimisiún aon agóidí ábhartha réasúnaithe in aghaidh an dréachtchinnidh ó na húdaráis mhaoirseachta lena mbaineann laistigh den tréimhse reachtúil, measadh gur aontaigh na húdaráis mhaoirseachta leis an dréachtchinneadh ón gCoimisiún agus tá siad faoi cheangal aige de réir Airteagal 60(6) RGCS.

Ghlac an Coimisiún an cinneadh uaidh i ndáil leis an nGearán seo de réir Airteagal 60(7) RGCS. Glacadh an cinneadh an 20 Iúil 2023 agus taifeadtar na sáruithe seo a leanas ann:

  • Airteagal 5(1)(c) RGCS

Cinneann an Coimisiún gur sháraigh Airbnb prionsabal an íoslaghdaithe sonraí, de bhun Airteagal 5(1)(c) RGCS, nuair a d’iarr sé ar an nGearánach a chéannacht a fhíorú trí chóip dá aitheantas a chur isteach. Tharla an sárú seo in imthosca ina raibh réitigh nach raibh chomh sonraíbhunaithe céanna ar cheist an fhíorúcháin céannachta ar fáil do Airbnb.

  • Airteagal 6(1)(f) RGCS

Cinneann an Coimisiún gur tharla sé, in imthosca sonracha an Ghearáin seo, nach raibh an leas dlisteanach a shaothraigh Airbnb ina bhunús dleathach bailí faoi Airteagal 6(1)(f) RGCS le cóip d’aitheantas an Ghearánaigh a iarraidh chun na hiarrataí rochtana agus léirscriosta ón nGearánach a phróiseáil.

  • Airteagal 15(1) RGCS

Cinneann an Coimisiún gur sháraigh Airbnb Airteagal 15(1) RGCS nuair a rinne sé próiseáil ar an iarraidh rochtana ón nGearánach den chéad uair trí mhainneachtain rochtain a thabhairt don Ghearánach ar a shonraí pearsanta uile a bhí á bpróiseáil ag Airbnb ar an dáta a fuarthas an iarraidh rochtana uaidh.

  • Airteagal 12(1) RGCS

Cinneann an Coimisiún gur sháraigh Airbnb Airteagal 12(1) RGCS nuair a rinne sé próiseáil ar an iarraidh rochtana ón nGearánach den chéad uair trí mhainneachtain comhad rochtana a sholáthar don Ghearánach i bhfoirm a bhí gonta, trédhearcach, intuigthe agus a raibh rochtain éasca uirthi.

  • Airteagal 12(3) RGCS

Cinneann an Coimisiún gur mhainnigh Airbnb faisnéis a sholáthar don Ghearánach faoi na gníomhartha a rinneadh i leith na n-iarrataí rochtana agus léirscriosta uaidh laistigh de mhí amháin ó na hiarrataí a fháil agus gur mhainnigh sé, mar sin, na hoibleagáidí atá air faoi Airteagal 12(3) RGCS a chomhlíonadh.

Na cumhachtaí ceartaitheacha a feidhmíodh:

  • Ordú a thabhairt do Airbnb a bheartais agus a nósanna imeachta inmheánacha a athbhreithniú maidir leis an seasamh réamhshocraithe chun ríomhphost cumhdaigh a sholáthar i mBéarla nuair a fhaightear iarraidh ar chearta cosanta sonraí lasmuigh den tairseach príobháideachta.
  • Iomardú a eisiúint chuig Airbnb Ireland UC de bhun Airteagal 58(2)(b) RGCS.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Airbnb Ireland UC - Iúil 2023 (PDF, 4.5mb).

Fiosrúchán ar Airbnb Ireland UC

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 5

Dáta Cinnidh: 21 Meitheamh 2023

An 21 Meitheamh 2023, tar éis fiosrúcháin maidir le gearán a fuarthas in aghaidh Airbnb Ireland UC (Airbnb), ghlac an Coimisiún um Chosaint Sonraí (an Coimisiún) cinneadh.

Thosaigh an Coimisiún an fiosrúchán sin an 4 Márta 2022, tar éis gearán a fháil á rá gur iarr Airbnb go neamhdhleathach cóip d’aitheantas an Ghearánaigh (aitheantas) chun a céannacht a fhíorú, rud nár iarr Airbnb é roimhe sin. Mhaígh an Gearánach freisin go raibh sé sin ag teacht salach ar phrionsabal an íoslaghdaithe sonraí agus gur mhainnigh Airbnb prionsabail na trédhearcachta agus an tsoláthair faisnéise a chomhlíonadh. Dhiúltaigh Airbnb do na hiarrachtaí tosaigh a rinne an Gearánach chun a céannacht a fhíorú toisc nár chomhlíon an t-aitheantas a soláthraíodh a chritéir. D’éirigh leis an nGearánach a céannacht a fhíorú ar deireadh.

Dúirt an Coimisiún le Airbnb gur bhain raon feidhme an Fhiosrúcháin le scrúdú agus measúnú a dhéanamh ar na nithe seo a leanas:

  1. Cé acu a bhí nó nach raibh bunús dleathach ag Airbnb le cóip/cóipeanna d’aitheantas an Ghearánaigh agus/nó dá grianghraf/grianghraif a phróiseáil chun a céannacht a fhíorú, go háirithe i gcás nár sholáthair sí, mar bhall/óstach cláraithe de chuid Airbnb, a haitheantas do Airbnb roimhe sin.
  2. Cé acu a chomhlíon nó nár chomhlíon Airbnb prionsabal an íoslaghdaithe sonraí nuair a d’iarr sé cóip d’aitheantas an Ghearánaigh agus/nó dá grianghraf/grianghraif chun a cuntas a fhíorú agus le linn dó próiseáil a dhéanamh ar shonraí a bhaineann leis an gcéanna.
  3. Cé acu a chomhlíon nó nár chomhlíon Airbnb na Coinníollacha le haghaidh Toilithe nuair a cheangail sé ar an nGearánach a haitheantas agus/nó a grianghraf/grianghraif a chur isteach chun a céannacht a fhíorú agus chun na sonraí pearsanta sin a phróiseáil sula bhféadfadh an Gearánach leanúint le húsáid a bhaint as a cuntas agus an tseirbhís agus iad a rochtain.
  4. Cé acu a chomhlíon nó nár chomhlíon Airbnb prionsabail na trédhearcachta agus an tsoláthair faisnéise nuair a bailíodh sonraí pearsanta an Ghearánaigh.

Ós rud é gurbh ionann an phróiseáil a bhí i gceist agus próiseáil “trasteorann”, bhí an cinneadh ón gCoimisiún faoi réir an tsásra comhair agus comhsheasmhachta atá leagtha amach in Airteagal 60 RGCS agus, de bhun Airteagal 60(3) RGCS, chuir an Coimisiún an dréachtchinneadh uaidh faoi bhráid na n-údarás maoirseachta lena mbaineann ar mhaithe le tuairim a fháil uathu. Ós rud é nach bhfuair an Coimisiún aon agóidí ábhartha réasúnaithe in aghaidh an dréachtchinnidh ó na húdaráis mhaoirseachta lena mbaineann laistigh den tréimhse reachtúil, measadh gur aontaigh na húdaráis mhaoirseachta leis an dréachtchinneadh ón gCoimisiún agus tá siad faoi cheangal aige de réir Airteagal 60(6) RGCS. Ghlac an Coimisiún an cinneadh uaidh i ndáil leis an ngearán seo de réir Airteagal 60(7) RGCS.

Glacadh an cinneadh Dé Céadaoin an 21 Meitheamh 2023 agus taifeadtar na sáruithe seo a leanas ann:

  • Airteagal 5(1)(c) agus Airteagal 5(1)(e) RGCS

Chinn an Coimisiún gur sháraigh Airbnb prionsabal an íoslaghdaithe sonraí atá leagtha amach in Airteagal 5(1)(c) agus prionsabal an teorannaithe stórála atá leagtha amach in Airteagal 5(1)(e) nuair a choinnigh sé cóip de dhoiciméid aitheantais an Ghearánaigh tar éis an próiseas fíorúcháin céannachta a chur i gcrích go rathúil. Ina theannta sin, chinn an Coimisiún gur sáraíodh prionsabal an íoslaghdaithe sonraí atá leagtha amach in Airteagal 5(1)(c) agus prionsabal an teorannaithe stórála atá leagtha amach in Airteagal 5(1)(e) nuair a lean Airbnb le doiciméid aitheantais a bhí folaithe go páirteach agus as dáta a phróiseáil agus a choinneáil, ar dhoiciméid iad nár mheas sé iad a bheith dóthanach nó leordhóthanach chun céannacht an Ghearánaigh a fhíorú.

Tar éis dul i gcomhairle leis na húdaráis mhaoirseachta lena mbaineann, ghlac an Coimisiún an cinneadh uaidh i ndáil leis an ngearán seo de réir Airteagal 60(7) RGCS. I bhfianaise na sáruithe ar Airteagal 5(1)(c) agus ar Airteagal 5(1)(e), d’eisigh an Coimisiún iomardú chuig Airbnb de bhun Airteagal 58(2)(b) RGCS. Ina theannta sin, thug an Coimisiún na horduithe seo a leanas do Airbnb de bhun Airteagal 58(2)(d) chun na sáruithe a sainaithníodh sa chás seo a leigheas agus chun sáruithe den chineál céanna a chosc amach anseo i ndáil le hábhair sonraí atá in imthosca den chineál céanna:

  • Na cóipeanna a bhí folaithe agus as dáta de dhoiciméid aitheantais an Ghearánaigh a ndearna an Gearánach iarracht iad a uaslódáil a scriosadh óna chórais agus óna thaifid uile.
  • Na doiciméid aitheantais ar uaslódáil an Gearánach iad a scriosadh óna chórais agus óna thaifid uile (gan ach taifead ina luaitear gur cuireadh na doiciméid sin isteach, agus ina luaitear an dáta a cuireadh isteach iad, a choinneáil).
  • Faoi réir dlí an Aontais Eorpaigh agus na mBallstát a chomhlíonadh, athbhreithniú a dhéanamh ar a bheartais agus a nósanna imeachta inmheánacha maidir le céannacht úsáideoirí a fhíorú (i) chun a chinntiú, tar éis céannacht ábhar sonraí a fhíorú chun deimhneacht Airbnb, go scoirfidh Airbnb de dhoiciméid aitheantais a choinneáil atá folaithe go míchuí agus/nó as dáta agus a fhaightear ó ábhair sonraí mar chuid den phróiseas fíorúcháin céannachta, agus (ii) chun a chinntiú, maidir leis an tréimhse ar ar a feadh a stórálfar doiciméid aitheantais atá bailí nó calaoiseach/neamhdhlisteanach (lena n-áirítear doiciméid aitheantais atá folaithe go bailí de réir dlíthe lena gceanglaítear nithe áirithe a fholú) agus a fhaightear ó ábhair sonraí mar chuid den phróiseas fíorúcháin céannachta, go mbeidh sí teoranta do dhiantréimhse íosta (de réir Aithris 39 RGCS).

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán: Fiosrúchán ar Airbnb Ireland UC - Meitheamh 2023 (PDF, 0.03mb).

Fiosrúchán ar Roinn Sláinte

Réimse: Údarás Poiblí

Tagairt DPC: IN-21-3-2

Dáta Cinnidh: 16 Meitheamh 2023

Chuir an Coimisiún um Chosaint Sonraí clabhsúr le fiosrúchán ar ghnéithe áirithe den dóigh ar phróiseáil an Roinn Sláinte sonraí pearsanta i 29 gcomhad dlíthíochta. Tosaíodh an fiosrúchán tar éis líomhaintí poiblí a fháil sa bhliain 2021 á rá go ndearna an Roinn bailiú agus próiseáil neamhdhleathach ar shonraí pearsanta faoi ghearánaithe agus faoina dteaghlach i ndlíthíocht a bhain le riachtanais speisialta oideachais.

Sna comhaid a scrúdaíodh, tháinig an Coimisiún ar fhianaise á léiriú gur lorg an Roinn faisnéis ó Fheidhmeannacht na Seirbhíse Sláinte (FSS) faoi sheirbhísí a soláthraíodh do ghearánaithe agus dá dteaghlach. Chuir an Roinn ceisteanna leathana ar áireamh freisin, agus í ag iarraidh ar FSS “aon saincheisteanna eile ar fiú, dar le FSS, trácht a dhéanamh orthu” a chomhroinnt léi. Ba é an toradh a bhí ar an gceist leathan sin ná gur soláthraíodh faisnéis phríobháideach faoi shaol gearánaithe agus faoi shaol a dteaghlaigh.

D’inis an Roinn don Choimisiún gur phróiseáil sí na sonraí pearsanta sin chun a chinneadh cé acu ba cheart nó nár cheart dul i dteagmháil leis an ngearánaí chun féachaint leis an gcás a shocrú. Bhreithnigh an Coimisiún cé acu a chomhlíon nó nár chomhlíon an Roinn an dlí cosanta sonraí nuair a phróiseáil sí sonraí pearsanta ar an gcúis sin. Faoi ailt 41 agus 47 den Acht um Chosaint Sonraí, 2018, féadfaidh rialaitheoirí sonraí pearsanta a phróiseáil i gcás go mbeidh gá leis an bpróiseáil chun comhairle dlí a sholáthar nó a fháil nó i gcomhthéacs imeachtaí dlí. Chun a chinneadh cé acu a rinne nó nach ndearna an Roinn próiseáil dhleathach ar shonraí pearsanta faoin bhforáil sin, chuir an Coimisiún prionsabail an riachtanais agus na comhréireachta faoi dhlí an Aontais Eorpaigh i bhfeidhm.  Chinn an Coimisiún nár sháraigh an Roinn an dlí cosanta sonraí nuair a lorg sí faisnéis faoi na seirbhísí a bhí á soláthar do ghearánaithe i ndáil le cásanna ina raibh dlíthíocht oscailte. Mar sin féin, chinn an Coimisiún gurbh amhlaidh a sháraigh an Roinn an dlí cosanta sonraí nuair a chuir sí ceisteanna leathana arbh é an toradh a bhí orthu gur soláthraíodh faisnéis íogair faoi shaol príobháideach gearánaithe agus faoi shaol príobháideach a dteaghlaigh. Áiríodh leis an bhfaisnéis sin mionsonraí faoi phoist agus imthosca maireachtála an ghearánaí, faisnéis faoi dheacrachtaí pósta tuismitheoirí an ghearánaí agus, i gcás amháin, faisnéis a fuarthas go díreach ó dhochtúir faoi na seirbhísí a bhí á soláthar don ghearánaí. Maidir leis an bpróiseáil a rinneadh ar fhaisnéis a fuarthas de bhun na gceisteanna leathana scóipe a seoladh chuig FSS chun féachaint le cás a shocrú, chinn an Coimisiún go raibh sí iomarcach agus díréireach maidir leis na haidhmeanna a bhí á saothrú ag an Roinn agus nach raibh sí riachtanach chun críocha na dlíthíochta. Dá bhrí sin, chinn an Coimisiún nach raibh aon bhunús dleathach ann leis an bpróiseáil sin sna comhaid a scrúdaíodh agus gur sháraigh an Roinn prionsabal an íoslaghdaithe sonraí trí na sonraí pearsanta sin a phróiseáil. Agus aird á tabhairt ar na tosca ábhartha faoin Rialachán Ginearálta maidir le Cosaint Sonraí agus ar an uasteorainn fíneála ar údaráis phoiblí faoin Acht um Chosaint Sonraí, 2018, chinn an Coimisiún fíneáil €22,500 a fhorchur i leith na sáruithe sin. Chomh maith leis sin, chuir an Coimisiún cosc ar phróiseáil bhreise a dhéanamh ar na sonraí íogaire sna comhaid a scrúdaíodh chun am cuí a chinneadh chun cás a shocrú.

Le linn an fhiosrúcháin, fuair an Coimisiún amach gur choinnigh an Roinn faisnéis eile a bhailigh sí ó FSS agus a fuair sí ó ranna eile rialtais ar a comhaid. Níor tháinig an Coimisiún ar aon fhianaise sna 29 gcomhad dlíthíochta a scrúdaíodh á léiriú gur lorg an Roinn faisnéis go réamhghníomhach ó ranna eile rialtais. Níor tháinig an Coimisiún ach oiread ar aon sárú ar an dlí cosanta sonraí a tháinig as an bhfíoras gur stóráil an Roinn an fhaisnéis sin chun dlíthíocht a chosaint. Baineann na comhaid le dlíthíocht ghníomhach agus d’aithin an Coimisiún gurb ann do roinnt oibleagáidí lena gceanglaítear ar chosantóirí doiciméid a bhaineann le dlíthíocht oscailte a choinneáil.

Tháinig an Coimisiún ar sháruithe ar na hoibleagáidí trédhearcachta faoin Rialachán Ginearálta maidir le Cosaint Sonraí freisin. Fuarthas amach san fhiosrúchán nár chuir an Roinn aon mhionsonraí faoina cleachtais ar áireamh san fhógra príobháideachta uaithi. Go háirithe, níor léiríodh san fhógra príobháideachta an méid comhroinnte faisnéise a bhí ar siúl idir an Roinn agus FSS. Chinn an Coimisiún nach bhféadfadh an Roinn brath ar aon díolúintí faoin Acht um Chosaint Sonraí, 2018, chun gan aon fhaisnéis achomair a sholáthar faoi na cleachtais sin sa bheartas príobháideachta uaithi.

Chinn an Coimisiún freisin gur sháraigh an Roinn na ceanglais atá ann sonraí pearsanta a phróiseáil ar bhealach slán. Cinneadh san fhiosrúchán gur cheart don Roinn a chinntiú go mbeadh srianta rochtana inmheánacha níos fearr i bhfeidhm i ndáil leis na comhaid. 

Mar aon leis an bhfíneáil agus leis an gcosc ar phróiseáil atá leagtha amach thuas, eisíodh iomardú i leith na sáruithe uile.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Roinn Sláinte - Meitheamh 2023 (PDF, 1.35mb).

Fiosrúchán maidir le haistriúcháin sonraí ón AE/LEE chuig na Stáit Aontaithe ag Meta Platforms Ireland Limited le haghaidh a sheirbhís Facebook

Réimse: Cuideachta Phríobháideach Trasteorann

Topaic: Aistrithe

Airteagal: 58

Tagairt DPC: IN-20-8-1

Dáta Cinnidh: 12 Bealtaine 2023

Rinne an fiosrúchán seo scrúdú ar an mbonn ar a n-aistríonn Meta Platforms Ireland Limited (“Meta Ireland”) sonraí pearsanta ón AE/LEE chuig na Stáit Aontaithe i ndáil le soláthar a sheirbhís Facebook.

Taifeadtar sa chinneadh gur sháraigh Meta Ireland Airteagal 46(1) RGCS nuair a lean sé le sonraí pearsanta a aistriú ón Aontas Eorpach/ón Limistéar Eorpach Eacnamaíoch tar éis thabhairt an bhreithiúnais ó Chúirt Bhreithiúnais an Aontais Eorpaigh sa chás An Coimisinéir Cosanta Sonraí v. Facebook Ireland Limited agus Maximillian Schrems. Cé gur thug Meta Ireland na haistrithe sin in éifeacht ar bhonn na gClásal Conarthach Caighdeánach (“SCCanna”) nuashonraithe ar ghlac an Coimisiún Eorpach iad sa bhliain 2021 i gcomhar le bearta forlíontacha breise ar chuir Meta Ireland iad chun feidhme, chinn an Coimisiún nár tugadh aghaidh leis na socruithe sin ar na rioscaí do chearta bunúsacha agus saoirsí bunúsacha ábhar sonraí ar shainaithin Cúirt Bhreithiúnais an Aontais Eorpaigh iad sa bhreithiúnas uaithi.

Cuireadh tús leis an bhfiosrúchán ar dtús i mí Lúnasa 2020, agus cuireadh stop leis ina dhiaidh sin go dtí an 20 Bealtaine 2021 le hOrdú ó Ard-Chúirt na hÉireann, go dtí go réiteofaí sraith imeachtaí dlíthiúla. Tar éis imscrúdú cuimsitheach a dhéanamh, d’ullmhaigh an Coimisiún dréachtchinneadh dar dáta an 6 Iúil 2022. Rud suntasach, chinn sé na nithe seo a leanas:

  1. Bhí na haistrithe sonraí i gceist á ndéanamh de shárú ar Airteagal 46(1) RGCS; agus
  2. Sna himthosca sin, ba cheart na haistrithe sonraí a chur ar fionraí.

Faoi nós imeachta comhair a sainordaíodh le RGCS (Airteagal 60), cuireadh an dréachtchinneadh ar ullmhaigh an Coimisiún é faoi bhráid a rialálaithe piaraí san Aontas Eorpach/sa Limistéar Eorpach Eacnamaíoch, a dtugtar na hÚdaráis Mhaoirseachta lena mBaineann (“CSAnna”) orthu freisin.  Bhí cineál na próiseála a bhí á scrúdú ag an bhfiosrúchán den sórt a d’fhág go raibh gach ceann de na hÚdaráis Mhaoirseachta eile de chuid an Aontais Eorpaigh/an Limistéir Eorpaigh Eacnamaíoch gafa leis mar CSAnna chun críche an nós imeachta comhair.

Maidir le neamhchomhlíonadh RGCS ag Meta Ireland agus leis an moladh ón gCoimisiún go ndéanfaí ordú chun na haistrithe sonraí a chur ar fionraí, d’aontaigh na CSAnna leis an gcinneadh ón gCoimisiún.

Rinne líon beag (ceithre cinn) de na 47 CSA agóidí i ndáil leis an gcumhacht cheartaitheach ar mhol an Coimisiún go bhfeidhmeofaí í trí bhíthin an dréachtchinnidh. Laistigh den fhothacar sin CSAnna, bhí na ceithre CSA uile den tuairim gur cheart Meta Ireland a bheith faoi réir fíneáil riaracháin as an sárú a cinneadh a bheith déanta. Bhí dhá cheann de na CSAnna sin den tuairim freisin gur cheart ordú a thabhairt do Meta Ireland dul i mbun gnímh chun aghaidh a thabhairt ar na sonraí pearsanta a aistríodh go neamhdhleathach cheana féin chuig na Stáit Aontaithe, i.e., na sonraí a aistríodh ó mhí Iúil 2020 go dtí an t-am i láthair.

D’easaontaigh an Coimisiún leis sin, rud a bhí ag teacht lena thuairim gurbh amhlaidh, dá bhfeidhmeofaí cumhachtaí ceartaitheacha breise os cionn an ordaithe fionraí bheartaithe, ba mhó é sin ná méid na gcumhachtaí a d’fhéadfaí a thuairisciú a bheith “cuí, comhréireach agus riachtanach” chun aghaidh a thabhairt ar an sárú ar Airteagal 46(1) RGCS.

Ag teacht sna sála ar phróiseas comhairliúcháin neamhfhoirmiúil, tháinig sé chun solais nach rabhthas in ann teacht ar chomhthoil. I gcomhréir lena oibleagáidí faoi RGCS, tharchuir an Coimisiún na hagóidí chuig an mBord Eorpach um Chosaint Sonraí (“EDPB”) lena gcinneadh de bhun shásra réitigh díospóide Airteagal 65.

Ghlac EDPB an cinneadh uaidh an 13 Aibreán 2023.

Na cumhachtaí ceartaitheacha a feidhmíodh:

I gcomhréir lena oibleagáidí an cinneadh críochnaitheach uaidh a ghlacadh “ar bhonn” an chinnidh ó EDPB, taifeadtar sa chinneadh ón gCoimisiún an 12 Bealtaine 2023 feidhmiú na gcumhachtaí ceartaitheacha seo a leanas ag an gCoimisiún:

  1. Ordú, a rinneadh de bhun Airteagal 58(2)(j) RGCS, lenar ceanglaíodh ar Meta Ireland aon aistriú sonraí pearsanta sa todhchaí chuig na Stáit Aontaithe a chur ar fionraí laistigh den tréimhse cúig mhí ón dáta ar ar tugadh fógra do Meta Ireland i dtaobh an chinnidh ón gCoimisiún;
  2. Fíneáil riaracháin i suim €1.2 billiún (ag teacht leis an gcinneadh ó EDPB gur cheart fíneáil riaracháin a fhorchur chun pionós a ghearradh as an sárú a cinneadh a bheith déanta. Chinn an Coimisiún suim na fíneála a bhí le forchur faoi threoir na measúnuithe agus na gcinntí a bhí ar áireamh sa chinneadh ó EDPB); agus
  3. Ordú, a rinneadh de bhun Airteagal 58(2)(d) RGCS, lenar ceanglaíodh ar Meta Ireland a oibríochtaí próiseála a chur i gcomhréir le Caibidil V RGCS, trí dheireadh a chur leis an bpróiseáil neamhdhleathach, lena n-áirítear stóráil, sna Stáit Aontaithe a bhí á déanamh ar shonraí pearsanta úsáideoirí Aontais Eorpaigh/Limistéir Eorpaigh Eacnamaíoch a aistríodh de shárú ar RGCS, laistigh de shé mhí tar éis an dáta ar ar tugadh fógra do Meta Ireland i dtaobh an chinnidh ón gCoimisiún.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Meta Platforms Ireland Limited (Facebook Ireland Limited roimhe seo) - Bealtaine 2023 (PDF, 1.477mb).

Fiosrúchán ar phróiseáil Taifead Eaglaise ag Ard-Easpag Bhaile Átha Cliath

Tagairt DPC: IN-19-7-6

Dáta Cinnidh: 27 Feabhra 2023

Thosaigh an Coimisiún um Chosaint Sonraí an Fiosrúchán tar éis roinnt gearán a fháil ó ábhair sonraí a bhí ag iarraidh a shocrú go léirscriosfaí na sonraí pearsanta fúthu a bhí á bpróiseáil i gcláir eaglaise. Scríobh gach duine de na hábhair sonraí sin chuig a bparóiste nó chuig an Ard-Deoise chun a iarraidh go léirscriosfaí a sonraí de bhun Airteagal 17 GDPR.
Áirítear iad seo a leanas leis na príomhfhionnachtana laistigh den Chinneadh:

  • Féadfaidh an tArd-Easpag brath go dleathach ar leasanna dlisteanacha faoi Airteagal 6(1)(f) GDPR mar bhunús dlí do phróiseáil a dhéanamh ar shonraí pearsanta ábhar sonraí a thaifeadtar sa Chlár Báistí, fiú amháin i gcás nach mian leis an ábhar sonraí aon bhaint a bheith aige/aici leis an Eaglais Chaitliceach a thuilleadh;
  • Faoi réir coimircí, ní dhéanann leasanna, ábhair bhunúsacha ná saoirsí bunúsacha na n-ábhar sonraí sárú ar na leasanna atá ag an Ard-Easpag sna sonraí pearsanta atá sna Cláir Báistí a choinneáil;
  • Féadfaidh an tArd-Easpag brath ar an mbunús dlí faoi Airteagal 9(2)(d) GDPR do shonraí catagóire speisialta ábhar sonraí a phróiseáil le linn a saoil; Tá coimircí iomchuí i bhfeidhm ag an Ard-Easpag le haghaidh próiseáil a dhéanamh ar na sonraí pearsanta catagóire speisialta atá sna Cláir Báistí, mar a cheanglaítear faoi Airteagal 9(2)(d) GDPR;
  • Féadfaidh ábhair sonraí leas a bhaint as an gceart chun a iarraidh go gceartófaí na sonraí pearsanta atá sna Cláir Báistí, de réir Airteagal 16 GDPR;
  • Ní mór don Ard-Easpag na hoibleagáidí atá air faoi Airteagal 12(3) agus Airteagal 12(4) GDPR a chomhlíonadh maidir le freastal ar iarrataí i ndáil le cearta ábhar sonraí faoi Airteagal 15 go hAirteagal 22 GDPR;
  • Maidir le hábhair sonraí nach mbraitheann siad gur baill den Eaglais Chaitliceach iad a thuilleadh, níl aon cheart acu chun a shocrú go léirscriosfaí a sonraí pearsanta sna Cláir Báistí faoi na forais atá leagtha amach in Airteagal 17(1)(a)-(f) GDPR;
  • I gcás nach mian le hábhar sonraí a bheith ina b(h)all den Eaglais Chaitliceach a thuilleadh, d’fhéadfadh an tArd-Easpag ráiteas forlíontach á rá “Ní mian leis an duine seo go sainaithneofaí mar Chaitliceach Rómhánach é/í a thuilleadh” a chur leis an iontráil sa Chlár Báistí.

Na cumhachtaí ceartaitheacha a feidhmíodh


Ba cheart don Ard-Easpag a chur in iúl go soiléir anois go gcoinneofar go buan na sonraí pearsanta uile a bhailítear agus a thaifeadtar agus a phróiseáiltear ar shlí eile chun na sacraimintí a mhineastráil. Déanfaidh an tArd-Easpag na nithe seo a leanas:


i. Beartas Príobháideachta na hArd-Deoise a nuashonrú chun a shainaithint gurb é an tArd-Easpag an rialaitheoir sonraí le haghaidh próiseáil a dhéanamh ar na sonraí pearsanta agus na sonraí catagóire speisialta a shealbhaítear i ngach Clár Báistí laistigh dá Ard-Deoise;


ii. an bunús dleathach do phróiseáil den sórt sin, agus na tréimhsí coinneála do shonraí pearsanta den sórt sin, a leagan amach sa Bheartas Príobháideachta;


iii. a leagan amach sa Bheartas Príobháideachta go ndéantar aon mhineastráil sacraimintí áirithe ina dhiaidh sin do dhuine aonair – amhail cóineartú, pósadh/neamhniú agus oirniú/dí-eaglaisiú (nó uchtú) a mharcáil ar a t(h)aifead sa Chlár Báistí, agus a mhíniú cén fáth a dtarlaíonn sé sin;


iv. a chinntiú go gcuirfidh na paróistí laistigh den Ard-Deoise an Beartas Príobháideachta ábhartha ar fáil dóibh sin atá ag tabhairt faoi shacraimintí agus go mbeidh an Beartas sin inrochtana acu.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán: Fiosrúchán ar phróiseáil Taifead Eaglaise ag Ard-Easpag Bhaile Átha Cliath ('an tArd-Easpag') Feabhra 2023

2023

Fiosrúchán ar Bank of Ireland 365

Réimse: Banc/Creidmheas/Árachas

Topaic: Slándáil Sonraí

Airteagal: 5, 32

Tagairt DPC: IN-20-7-2

Dáta Cinnidh: 27 Feabhra 2023

Cuireadh tús leis an bhfiosrúchán tar éis do Bhanc na hÉireann fógra a thabhairt don Choimisiún um Chosaint Sonraí faoi shraith 10 sárú sonraí a bhaineann leis an aip baincéireachta BOI365. Bhain na fógraí faoi sháruithe sonraí le rochtain neamhúdaraithe a bheith á fáil ag daoine aonair ar chuntais daoine eile tríd an aip BOI365.

Breithníodh cé acu a chomhlíon nó nár chomhlíon Banc na hÉireann Airteagail 5(1)(f) agus 32(1) GDPR agus, go háirithe, cé acu a chuir nó nár chuir Banc na hÉireann bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal riosca a chinntiú a bheadh iomchuí do na rioscaí a bhaineann leis an bpróiseáil sonraí a dhéanann sé tríd an aip BOI365. Tar éis imscrúdú a dhéanamh, cinneadh sa chinneadh gur sháraigh Banc na hÉireann na hoibleagáidí atá air faoi Airteagail 5(1) agus 32(1) GDPR toisc nár leor na bearta teicniúla agus eagraíochtúla a bhí i bhfeidhm ag an am chun slándáil na sonraí próiseála a phróiseáiltear ar an aip BOI365 a chinntiú.

Ba mar a leanas a bhí na cumhachtaí ceartaitheacha a feidhmíodh:

  • Leis an gcinneadh, eisíodh iomardú chuig Banc na hÉireann i leith na sáruithe ar Airteagail 5(1)(f) agus 32(1) GDPR.
  • Leis an gcinneadh, ordaíodh do Bhanc na hÉireann a chuid próiseála a chur i gcomhréir le hAirteagail 5(1)(f) agus 32(1) GDPR.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €750,000 ar Bhanc na hÉireann i leith an tsáraithe ar Airteagal 5(1)(f) GDPR.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Bank of Ireland 365 - Feabhra 2023 (PDF, 1.8mb).

Fiosrúchán ar Centric Health Ltd. (“Centric”)

Réimse: Earnáil Slándála/Príobháideach

Airteagal: 3, 32

Tagairt DPC: IN-21-2-4

Dáta Cinnidh: 23 Feabhra 2023

Thosaigh an Coimisiún um Chosaint Sonraí (an Coimisiún) an fiosrúchán tar éis ionsaí bogearraí éirice a rinne difear do na sonraí othar a shealbhaítear ar an gcóras riaracháin othar atá i bhfeidhm ag Centric, ar ionsaí é a cuireadh in iúl don Choimisiún an 5 Nollaig 2019. Mar thoradh ar an ionsaí, rinneadh difear do 70,000 ábhar sonraí toisc gur cailleadh rochtain ar a sonraí pearsanta agus a sonraí catagóire speisialta, toisc go ndearnadh athrú neamhúdaraithe ar na sonraí sin agus toisc gur cailleadh infhaighteacht na sonraí sin. Díobh sin, rinneadh difear buan do 2,500 othar toisc gur scriosadh a sonraí gan aon chóip chúltaca a bheith ar fáil.

Breithníodh cé acu a chomhlíon nó nár chomhlíon Centric Airteagail 5(1)(f), 5(2) agus 32(1) GDPR agus, go háirithe, cé acu a chuir nó nár chuir Centric bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal riosca a chinntiú a bheadh iomchuí do na rioscaí a bhaineann lena oibríochtaí próiseála.

Cinneadh gur sháraigh Centric na hoibleagáidí atá air faoi Airteagail 5(1), 5(2) agus 32(1) GDPR agus gur theip ar an bpróiseáil a rinne Centric laistigh dá Chóras Riaracháin Othar a chinntiú go bpróiseálfaí na sonraí pearsanta ar chaoi go gcinntítear slándáil iomchuí na sonraí pearsanta, lena n-áirítear cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach agus ar chailleadh, scrios nó damáiste de thaisme.

Na cumhachtaí ceartaitheacha a feidhmíodh:

  • Leis an gcinneadh, eisíodh iomardú chuig Centric i leith na sáruithe.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €275,000 ar Centric i leith an tsáraithe ar Airteagal 5(1)(f) GDPR.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €50,000 ar Centric i leith an tsáraithe ar Airteagal 5(2) GDPR.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €135,000 ar Centric i leith an tsáraithe ar Airteagal 32(1) GDPR.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Centric Health Ltd. - Feabhra 2023 (PDF, 0.67mb).

Fiosrúchán ar WhatsApp

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 6, 12

Tagairt DPC: IN-18-5-6

Dáta Cinnidh: 12 Eanáir 2023

D’fhógair an Coimisiún um Chosaint Sonraí (“an Coimisiún”) inniu gur cuireadh clabhsúr le fiosrúchán ar an bpróiseáil a rinne WhatsApp Ireland Limited (“WhatsApp Ireland”) i ndáil le soláthar sheirbhís WhatsApp a n-oibríonn sé í, inar fhorchuir sé fíneáil €5.5 milliún ar WhatsApp Ireland (as sáruithe ar GDPR a bhaineann lena sheirbhís). Chomh maith leis sin, tugadh ordú do WhatsApp Ireland a oibríochtaí próiseála sonraí a chur i gcomhréir laistigh de thréimhse sé mhí.

 Bhain an fiosrúchán le gearán a rinne ábhar sonraí Gearmánach an 25 Bealtaine 2018 faoi sheirbhís WhatsApp. Roimh an 25 Bealtaine 2018, arbh é an dáta a tháinig GDPR i ngníomh é, nuashonraigh WhatsApp Ireland a Théarmaí Seirbhíse agus chuir sé in iúl d’úsáideoirí gurbh amhlaidh, dá mba rud é gur mhaith leo leanúint le rochtain a bheith acu ar sheirbhís WhatsApp tar éis thabhairt isteach GDPR, a bheadh ar úsáideoirí a bhí ann cheana (agus ar úsáideoirí nua) cliceáil ar “glac leis agus lean ar aghaidh” chun a chur in iúl go nglacann siad leis na Téarmaí Seirbhíse nuashonraithe. (Ní bheadh rochtain ag úsáideoirí ar na seirbhísí dá mba rud é gur dhiúltaigh siad do dhéanamh amhlaidh).

 Bhí WhatsApp Ireland den tuairim gurbh amhlaidh, ar ghlacadh don úsáideoir leis na Téarmaí Seirbhíse nuashonraithe, a chuathas isteach i gconradh idir WhatsApp Ireland agus an t-úsáideoir. Bhí sé den tuairim freisin gurbh é a bhí i bpróiseáil sonraí úsáideoirí i ndáil le soláthar a sheirbhíse ná cuid riachtanach de chomhlíonadh an chonartha sin, lena n-áirítear feabhsú seirbhíse agus gnéithe slándála a sholáthar, chun go mbeadh oibríochtaí próiseála den sórt sin dleathach faoi threoir Airteagal 6(1)(b) GDPR (an bunús dlí “conartha” don phróiseáil).

 Contrártha do sheasamh sonraithe WhatsApp Ireland, d’áitigh an gearánach go raibh WhatsApp Ireland ag iarraidh i ndáiríre brath ar thoiliú chun bunús dleathach a sholáthar don phróiseáil a dhéanann sé ar shonraí úsáideoirí. D’áitigh an gearánach gurbh amhlaidh, toisc go ndearna sé inrochtaineacht a sheirbhísí coinníollach ar úsáideoirí a bheith ag glacadh leis na Téarmaí Seirbhíse nuashonraithe, a bhí WhatsApp Ireland, i ndáiríre, ag “cur iallach” orthu toiliú le próiseáil a sonraí pearsanta le haghaidh feabhsú seirbhíse agus le haghaidh slándála. D’áitigh an gearánach gur sháraigh sé sin GDPR.

 Ag teacht sna sála ar imscrúdú cuimsitheach, d’ullmhaigh an Coimisiún dréachtchinneadh agus chuir sé é faoi bhráid a rialálaithe piaraí san Aontas Eorpach/sa Limistéar Eorpach Eacnamaíoch, a dtugtar na hÚdaráis Mhaoirseachta lena mBaineann (“CSAnna”) orthu freisin, de réir Airteagal 60 GDPR. Go háirithe, chinn an Coimisiún na nithe seo a leanas:

 

  1. De shárú ar a oibleagáidí i ndáil le trédhearcacht, níor leagadh amach go soiléir d’úsáideoirí an fhaisnéis maidir leis an mbunús dlí a raibh WhatsApp Ireland ag brath air agus, mar thoradh air sin, ní raibh go leor soiléire ag úsáideoirí maidir le cé na hoibríochtaí próiseála a bhí á ndéanamh ar a sonraí pearsanta, maidir le cén chríoch/cé na críocha a raibh na hoibríochtaí próiseála á ndéanamh ina leith agus maidir le cén ceann de na sé bhunús dlí a sainaithníodh in Airteagal 6 GDPR a raibh na hoibríochtaí próiseála á ndéanamh faoina threoir. Bhí an Coimisiún den tuairim go raibh an easpa trédhearcachta maidir le nithe chomh bunúsach sin ina sárú ar Airteagail 12 agus 13(1)(c) GDPR. Bhí fíneáil an-substaintiúil €225 mhilliún forchurtha ag an gCoimisiún ar WhatsApp Ireland cheana féin as sáruithe ar an oibleagáid trédhearcachta sin agus ar oibleagáidí trédhearcachta eile thar an tréimhse chéanna ama, agus níor mhol sé aon fhíneáil bhreise ná aon bhearta ceartaitheacha breise a fhorchur an babhta seo, ós rud é go ndearna sé amhlaidh cheana féin i bhfiosrúchán eile. Chomhaontaigh na 47 CSA uile leis an ngné sin den dréachtchinneadh ón gCoimisiún.

 

  1. In imthosca ina bhfuair an Coimisiún amach nach raibh WhatsApp Ireland ag brath, i ndáiríre, ar thoiliú úsáideoirí chun bunús dlí a sholáthar don phróiseáil a dhéanann sé ar a sonraí pearsanta, níorbh fhéidir gné an “toilithe éigeantaigh” de na gearáin a sheasamh. Ón staid sin, chuaigh an Coimisiún ar aghaidh chun a bhreithniú cé acu a bhí nó nach raibh oibleagáid ar WhatsApp Ireland brath ar thoiliú mar bhunús dlí dó i ndáil le soláthar na seirbhíse, lena n-áirítear chun críocha feabhsúcháin seirbhíse agus chun críocha slándála. Anseo, chinn an Coimisiún nach raibh ceangal ar WhatsApp Ireland brath ar thoiliú. Ní dhearna ceann ar bith de na CSAnna agóid i gcoinne na hanailíse sin agus, dá réir sin, diúltaíodh don ghné sin den ghearán. An tÚdarás Maoirseachta Gearmánach ar cuireadh an gearán faoina bhráid ar dtús, tá freagracht air anois as cinneadh ar leith a ghlacadh i leith na gcodanna sin ar diúltaíodh dóibh, as an gcinneadh sin a chur in iúl don ghearánach agus as eolas a thabhairt do WhatsApp Ireland ina thaobh de réir Airteagal 60(9) GDPR. 

 

Chuaigh an Coimisiún ar aghaidh chun a bhreithniú cé acu is amhlaidh nó nach amhlaidh i bprionsabal a cuireadh cosc ar WhatsApp Ireland le GDPR brath ar an mbunús dlí conartha a mhaígh sé, agus tháinig an Coimisiún ar an gconclúid nár cuireadh cosc ar WhatsApp Ireland leis déanamh amhlaidh.

 Rinne sé cinn de na 47 CSA agóidí agus bhí siad den tuairim nár cheart cead a thabhairt do WhatsApp Ireland brath ar an mbunús dlí conartha ar na mbonn nach bhféadfaí an soláthar feabhsúcháin seirbhíse agus slándála a mheas a bheith riachtanach chun na príomhghnéithe de rud a dúradh a bheith ina chineál conartha i bhfad níos teoranta a chomhlíonadh.

 D’easaontaigh an Coimisiún leis sin, agus an t-easaontú sin ag teacht leis an tuairim a bhí aige go n-áirítear le seirbhís WhatsApp seirbhís a sholáthar a bhfuil feabhsú seirbhíse agus slándáil i gceist léi agus gurb é an chuma atá air go deimhin go bhfuil seirbhís WhatsApp bunaithe ar sheirbhís den sórt sin a sholáthar.  I dtuairim an Choimisiúin, tá an fhíric sin ina cuid lárnach den mhargadh a rinneadh idir úsáideoirí agus a soláthraí seirbhíse roghnaithe, agus tá sí mar chuid den chonradh a tugadh i gcrích ag an bpointe ag a nglacann úsáideoirí leis na Téarmaí Seirbhíse.

 Ag teacht sna sála ar chaidreamh leis na CSAnna, tháinig sé chun solais nach rabhthas in ann teacht ar chomhthoil. I gcomhréir lena oibleagáidí faoi Airteagal 60(4) GDPR, tharchuir an Coimisiún na nithe faoi dhíospóid chuig an mBord Eorpach um Chosaint Sonraí (“EDPB”) ansin.

Ghlac EDPB an cinneadh uaidh an 5 Nollaig 2022.

 Diúltaíodh sa chinneadh ó EDPB roinnt mhaith de na hagóidí a ndearna na CSAnna iad. Sheas sé freisin le seasamh an Choimisiúin i ndáil leis an sárú a rinne WhatsApp Ireland ar a oibleagáidí trédhearcachta, gan a bheith faoi réir ach sárú breise (ar phrionsabal na “cothroime” in Airteagal 5(1)(a)) a chur leis. Ghlac EDPB tuairim dhifriúil leis an gCoimisiún ar cheist an bhunúis dlí, áfach, á chinneadh gurbh amhlaidh, mar phrionsabal, nach raibh WhatsApp Ireland i dteideal brath ar an mbunús dlí conartha mar ní lena soláthraítear bunús dleathach don phróiseáil a dhéanann sé ar shonraí pearsanta chun críocha feabhsúcháin seirbhíse agus chun críocha slándála.

 Maidir leis an gcinneadh críochnaitheach ar ghlac an Coimisiún é an 12 Eanáir 2023, tá sé ag teacht leis an gcinneadh ceangailteach ó EDPB atá leagtha amach thuas. Dá réir sin, áirítear leis an gcinneadh ón gCoimisiún fionnachtana nach bhfuil WhatsApp Ireland i dteideal brath ar an mbunús dlí conartha i ndáil leis an soláthar feabhsúcháin seirbhíse agus slándála (cé is moite de ní a dtugann EDPB “slándáil TF” air) le haghaidh sheirbhís WhatsApp, agus gur sárú ar Airteagal 6(1) GDPR í an phróiseáil a rinne sé ar na sonraí sin go dtí seo, de bhua a spleáchais airbheartaithe ar an mbunús dlí conartha.

 Maidir le smachtbhannaí, agus i bhfianaise an tsáraithe bhreise sin ar GDPR, d’fhorchuir an Coimisiún fíneáil riaracháin €5.5 milliún ar WhatsApp Ireland agus thug sé ordú nach mór do WhatsApp Ireland a oibríochtaí próiseála a chur i gcomhréir le GDPR laistigh de thréimhse sé mhí.

 Ar leithligh uaidh sin, d’airbheartaigh EDPB freisin ordú a thabhairt don Choimisiún imscrúdú úr a dhéanamh lena gcumhdófaí oibríochtaí próiseála uile WhatsApp IE ina sheirbhís chun a chinneadh cé acu is amhlaidh nó nach amhlaidh a phróiseálann sé catagóirí speisialta sonraí pearsanta (Airteagal 9 GDPR) agus a phróiseálann sé sonraí chun críocha fógraíochta iompraíochta, chun críocha margaíochta, chun méadrachtaí a sholáthar do thríú páirtithe agus chun sonraí a mhalartú le cuideachtaí cleamhnaithe chun críocha feabhsuithe seirbhíse, agus chun a chinneadh cé acu a chomhlíonann nó nach gcomhlíonann sé na hoibleagáidí iomchuí faoi GDPR.”

 Ar ndóigh, ní dhéantar tagairt sa chinneadh ón gCoimisiún d’imscrúduithe úra ar oibríochtaí próiseála sonraí uile WhatsApp, ar imscrúduithe iad ar ordaigh EDPB iad sa chinneadh ceangailteach uaidh. Níl ag EDPB ról maoirseachta ginearálta atá cosúil leis sin atá ag cúirteanna náisiúnta i ndáil le húdaráis neamhspleácha náisiúnta agus ní fhéadfaidh EDPB treoir ná ordú a thabhairt d’údarás gabháil d’imscrúdú neamhiata tuairimeach. Dá bharr sin, tá fadhbanna dlínse ag baint leis an ordú, agus is cosúil nach bhfuil sé comhsheasmhach le struchtúir na socruithe comhair agus comhsheasmhachta a leagadh síos le GDPR. A mhéid a d’fhéadfadh cúngach ar thaobh EDPB a bheith i gceist leis an ordú, is cuí leis an gCoimisiún caingean le haghaidh neamhniú a thabhairt os comhair Chúirt Bhreithiúnais an Aontais Eorpaigh chun a iarraidh go gcuirfí an t-ordú ó EDPB ar ceal.

Cinneadh Iomlán i mBéarla: Fiosrúchán ar WhatsApp PDF

 

Fiosrúchán ar Chomhairle Contae Chill Dara

Réimse: Údarás Poiblí

Airteagal: 5, 32

Tagairt DPC: 05/SIU/2018

Dáta Cinnidh: 16 Eanáir 2023

Féachadh san fhiosrúchán seo lena mheasúnú cé acu a bhí nó nach raibh Comhairle Contae Chill Dara ag próiseáil sonraí pearsanta i gcomhréir le GDPR agus leis an Acht um Chosaint Sonraí, 2018. Rinneadh scrúdú san fhiosrúchán ar roinnt d’oibríochtaí próiseála na Comhairle, lena n-áirítear an úsáid a bhaineann sí as ceamaraí TCI in áiteanna poiblí chun coireacht a ionchúiseamh nó chun críocha eile.

Áirítear na nithe seo leis na fionnachtana sa chinneadh:

  • Ní raibh aon bhunús dlí ag an gComhairle do shonraí pearsanta a bailíodh trí cheamaraí TCI ag dhá láthair chun cionta coiriúla a chosc.
  • Ní raibh aon bhunús dlí ag an gComhairle do shonraí pearsanta a bailíodh trí cheamaraí TCI chun críocha bainistíochta tráchta.
  • Sháraigh an Chomhairle Airteagal 5(1)(a) GDPR toisc gur chomhroinn sí an fotha beo de cheamaraí bainistíochta tráchta TCI leis an nGarda Síochána gan aon bhunús dlí bailí a bheith aici.
  • Ní raibh aon bhonn dleathach ag an gComhairle d’fhaireachas a dhéanamh le ceamaraí TCI a bhain úsáid as teicneolaíocht Uathaitheanta Uimhirphlátaí.
  • Níor chomhlíon an Chomhairle na hoibleagáidí trédhearcachta atá uirthi faoi Airteagal 13 toisc gur theip uirthi comharthaíocht a chur suas i ndáil lena hoibríochtaí próiseála TCI.
  • Sháraigh an Chomhairle Airteagal 32(1) GDPR toisc gur theip uirthi loga sonraí a choinneáil ina dtaifeadfaí uaireanta sonracha a fuarthas rochtain ar radhairc ceamaraí TCI agus ar phíosaí scannáin taifeadta ó Stáisiún Gardaí an Náis.
  • Sháraigh an Chomhairle na hoibleagáidí atá uirthi faoi ailt 71(1)(f), 72(1) agus 78 d’Acht 2018 toisc gur theip uirthi bearta slándála teicniúla nó eagraíochtúla a chur chun feidhme chun cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach agus ar chailleadh, scrios nó damáiste de thaisme maidir le sonraí pearsanta a bailíodh trí na fothaí ceamara ó na córais TCI ag dhá láthair.
  • Sháraigh an Chomhairle alt 82(2) d’Acht 2018 toisc gur theip uirthi loga sonraí a choinneáil ina dtaifeadfaí aitheantas aon duine aonair a bhreathnaigh ar shonraí pearsanta atá sna radhairc ceamaraí TCI agus sna píosaí scannáin taifeadta ó dhá láthair.
  • Sháraigh an Chomhairle alt 71(1)(c) agus alt 76(2) d’Acht 2018 toisc gur thaifead sí TCI ar réadmhaoine príobháideacha, gan aon teicneolaíocht masctha príobháideachta a bheith ann, ag láthair amháin.
  • Sháraigh an Chomhairle alt 71(10) d’Acht 2018 toisc gur theip uirthi bheith in ann a thaispeáint gurb amhlaidh, maidir lena próiseáil sonraí pearsanta trí cheamaraí TCI ag láthair amháin, nach raibh sí iomarcach i ndáil leis an gcríoch a bhí aici iompraíocht fhrithshóisialta a chosc.
  • Sháraigh an Chomhairle na hoibleagáidí atá uirthi faoi ailt 71(1)(f), 72(1) agus 78 d’Acht 2018 i ndáil le socruithe maidir le sonraí pearsanta a aistriú chuig an nGarda Síochána trí mhearóga neamhchriptithe USB a úsáid.

Ba mar a leanas a bhí na cumhachtaí ceartaitheacha a feidhmíodh:

  • Toirmeasc sealadach ar shonraí pearsanta a phróiseáil le ceamaraí TCI ag láithreacha éagsúla a úsáidtear chun críocha fhorfheidhmiú an dlí choiriúil go dtí gur féidir bunús dlí a shainaithint.
  • Toirmeasc sealadach ar shonraí pearsanta a phróiseáil le ceamaraí TCI a úsáidtear chun críocha bainistíochta tráchta go dtí gur féidir bunús dlí a shainaithint.
  • Ordú do Chomhairle Contae Chill Dara a próiseáil sonraí pearsanta a chur i gcomhréir trí ghníomhartha áirithe a sonraíodh sa chinneadh a dhéanamh.
  • Fíneáil riaracháin €50,000.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Chomhairle Contae Chill Dara - Eanáir 2023 (PDF, 2.9mb).