Fuarthas fógra ó chomhlacht reachtúil a bhfuil feidhmeanna aige gearáin maidir le hiompar gairmiúil, oiliúint nó inniúlacht saineolaí a imscrúdú. Tharla an sárú ar shonraí nuair a rinneadh litir a bhain le gearán in aghaidh speisialtóir a cheangal le ríomhphost agus é a sheoladh chuig seoladh mícheart. Bhí sonraí pearsanta maidir le roinnt daoine aonair, lena n-áirítear sonraí maidir le sláinte, sa cheangaltán, agus bhí sé criptithe. Mar sin féin, eisíodh an pasfhocal don litir chriptithe i ríomhphost ar leith chuig an seoladh mícheart céanna.

Mar gheall ar an gcineál sonraí pearsanta agus an comhthéacs ar fad a bhí i gceist, tugadh le fios go raibh ardriosca i gceist d’ábhair sonraí . Ar an mbonn sin, dhearbhaigh an DPC gur cuireadh gach duine a bhí buailte ar an eolas faoin sárú, na rioscaí agus na bearta a bhí á ndéanamh ina leith, de réir mar a éilítear in Airteagal 34 den GDPR . Mheabhraigh an DPC don eagraíocht faoina hoibleagáid leanúnach maidir le sonraí pearsanta a nochtadh trí thimpiste a dhaingniú, agus faoin tábhacht a bhaineann le slándáil a chinntiú agus sonraí pearsanta á seoladh trí ríomhphost . Rinne an comhlacht reachtúil ath- bhreithniú ar a phróisis, beartais agus nósanna imeachta ar fad maidir le cosaint sonraí .

Tá ríomhphoist a sheoltar chuig an seoladh mícheart ar cheann de na cúiseanna is coitianta i leith sárú a thuairiscítear don DPC . Tá criptiú ina huirlis luachmhar chun cuidiú le cosaint a thabhairt ar nochtuithe trí timpiste. Mar sin féin, moltar meán ar leith a úsáid — ar nós glaoch gutháin nó teachtaireacht SMS — chun an pasfhocal a sheoladh ar aghaidh, mar is féidir na tairbhí a chur ar neamhní mar gheall ar bhotún amháin i seoladh ríomhphoist .

I gcaitheamh tréimhse 12 mhí, fuair an DPC fógraí maidir le sraith sáruithe comhchosúla ó rialaitheoir sonraí a raibh baint aige/aici le ceisteanna airgeadais. Dhíol an rialaitheoir seirbhísí trí líonra náisiúnta miondíola a bhí faoi úinéireacht agus á fheidhmiú ag tríú páirtí, a ghníomhaigh mar phróiseálaí ina thaobh. Tharla na sáruithe nuair a rinne custaiméirí reatha an rialaitheora ceannacháin ag ionaid díola an phróiseálaí, ach d’úsáid siad seoladh difriúil le hais an seoladh a chláraigh siad roimhe sin leis an rialaitheoir.

Níor comhordaíodh go hiomlán athruithe a rinneadh le gairid ar chórais bhunachar sonraí an rialaitheora leis na hathruithe i leith díolacháin, arbh é an toradh a bhí air sin gur seoladh doiciméid maidir le díolacháin chuig seanseoltaí custaiméirí seachas a seoltaí nua . D’ordaigh an rialaitheoir don phróiseálaí gan glacadh le hiarratais che- annacháin go dtí go gclárófaí athruithe ar na seoltaí, ach níor lean cuid de bhaill foirne ag an gcuntar na nósanna imeachta cearta go seasta .

Nuair a nótáil an DPC an patrún a bhain leis na sáruithe, d’aontaigh an rialaitheoir go raibh fadhb córasach ann ar theastaigh cúram ina leith óna ardbhainistíocht . Fad a bhí réiteach teicniúil á leagan amach agus á thástáil, ghlac an rialaitheoir agus an próiseálaí bearta eatramhacha len n-áirítear athoiliúint a chur ar bhaill foirne, maoirseacht a mhéadú, agus fógra a thagadh aníos ar na scáileáin arna n-úsáid ag na baill foirne próiseála nuair a bhí díolacháin  gcur i gcrích, inar meabhraíodh dóibh a dhearbhú go raibh seoladh cláraithe reatha a chustaiméara i gceart . Chuir an rialaitheoir na hathruithe i bhfeidhm ina chórais IT d’fhonn cosc a chur le doiciméid díolacháin bheith á seoladh chuig seoltaí custaiméara míchearta, agus tháinig deireadh leis na sáruithe athfhillteacha .

Fuair an DPC tuairiscí sáraithe ar leith ó 12 chomhar creidmheasa a d´fhostaigh seirbhísí an phróiseálaí chéanna, a bhí lonnaithe sa RA. D´eascair an sárú ag an bpróiseálaí as earráid chódúcháin a rinneadh ag an bpróiseálaí agus bearta á gcur i bhfeidhm a tugadh isteach mar fhreagra ar phaindéim Covid-19.

Tá iachall ar chomhair chreidmheasa eolas a thuairisciú do Bhanc Ceannais na hÉireann a bhaineann lena gcuid iasachtaithe agus le feidhmíocht a gcuid iasachtaí. Baineann an Banc Ceannais úsáid as an eolas seo chun an Clár Creidmheasa Lárnach (nó CCR) a chothabháil . Lena seal baineann iasachtóirí agus gníomhaireachaí rátála creidmheasa úsáid as an eolas seo chun fiacha agus stair chreidmheasa iasachtaithe a dheimhniú . Baineann líon mór iasachtóirí, go háirithe comhair chreidmheasa, úsáid as comhlachtaí próiseála sonraí chun a leithéid d´fhillteáin CCR a ullmhú agus chun iad a chur ar aghaidh chuig an mBanc Ceannais .

Le linn 2020, thug Rialtas na hÉireann sraith bheart isteach chun anás airgeadais a mhaolú a bhfuil mar chúis aige an phaindéim agus na dianghlasálacha a d´eascair aisti sin . Áiríodh i measc na mbeart seo cur ar chumas institiúidí airgeadais aisíocaíochtaí iasachta a stopadh gan cur isteach ar bhealach dochrach ar rátáil chreidmheasa na n-iasachtaithe . Tugadh treoir do na hiasachtóirí cóid ar leith a úsáid sna fillteáin CCR chun bratach a chur le hiasachtaí a stopadh go sealadach . Ba é a bhí i gceist leis sin ná cosc a chur ar léirmhíniú na n-iasachtaí sin mar iasachtaí faillitheora nó a bheith ag cur in iúl ar bhealach eile go raibh acmhainneacht creidmheasa na n-iasach- taithe ábhartha tar éis dul in olcas .

San eachtra seo bhain an próiseálaí a fostaíodh ag na 12 chomhar creidmheasa úsáid as cóid mhíchearta ar fhillteáin CCR a bhí ag plé le hiasachtaí a stopadh go sealadach. Thug na cóid mhíchearta le fios go raibh na hiasachtaithe a bhí buailte tar éis tabhairt faoi ´imeacht athstruchtúraithe´ — is minic a tharlaíonn imeacht ath struchtúraithe nuair nach mbíonn iasachtaí in ann iasacht a aisíoc thar an tréimhse chomhaontaithe, agus aontaíonn an t-iasachtóir téarmaí na hiasachta a athrú chun feabhas a chur ar chumas an iasachtaí an iasacht a aisíoc . Is féidir leis sin rátáil chreidmheasa iasachtaí a laghdú go mór, agus mar sin de d´fhéadfadh iarmhairtí tromchúiseacha a bheith ag baint le taifead míchruinn CCR imeachta ath- struchtúraithe do na daoine atá buailte .

Cuireadh na comhair chreidmheasa faoi thrácht ar an eolas faoi earráid chódúcháin an phróiseálaí maidir lena gcuid fillteán CCR roinnt seachtainí tar éis don phróiseálaí fillteáin CCR a chur chucu den chéaduair agus iad ag úsáid na gcód mícheart don Bhanc Ceannais . Tuairiscíodh an cheist don DPC mar shárú agus thóg na comhair chreid- mheasa an cheist leis an bpróiseálaí go díreach agus trí mheán grúpa úsaideoirí . Cheadaigh sin gurbh fhéidir na taifid a bhí buailte a aithint, gurbh fhéidir na nósanna imeachta cuí códúcháin a oibriú amach, agus fillteáin cheartaithe CCR a chur chuig an mBanc Ceannais .

Léiríonn na cásanna seo an tábhacht a bhaineann le conarthaí próiseála a chuireann i bhfeidhm i gceart riachtanais Airteagail 28 den GDPR . Is é an rud is mó a bhaineann le hábhar sna cásanna seo ná nach mór do na conarthaí próiseála soláthar a dhéanamh dó go mbeidh an próiseálaí ag cabhrú leis an rialaitheoir chun a chuid dualgas a chomhlíonadh i dtaca le slándáil phróiseála, agus i dtaca le tuairisciú agus bheith ag tabhairt freagra ar sháruithe .

Chuir eagraíocht earnála airgeadais príobháidí in iúl don DPC go raibh iarratas déanta ag custaiméir chun a n-uimhreacha IBAN agus BIC a fháil, uimhreacha a bhí á gcoimeád ar comhad. Bhí aithne phearsanta ag an gcustaiméir a bhí ag déanamh an iarratais ar an mball foirne a bhí ag plé leis an iarratas. Ag imeacht ó chleachtais fhaofa, bhain an ball foirne úsáid as a bhfón póca pearsanta chun pictiúr a chur den eolas a bhí á lorg, dar leo, thar ardán curtha teachtaireachtaí (WhatsApp). Go hearráideach, áfach, chuir an ball foirne sonraí a bhain le custaiméir eile chuig an gcustaiméir a rinne an t-iarratas.

Rinne an custaiméir a fuair an t-eolas seo teagmháil leis an eagraíocht chun cur in iúl dóibh nár bhain an t-eolas a fuarthas lena gcuntas siúd agus go raibh siad tar éis glacadh orthu féin an t-ábhar sáraithe ar fad a bhaint dá ngléas . Chuaigh an eagraíocht i dteagmháil le baill fhoirne le cur i gcuimhne dóibh nár chóir ach modhanna údaraithe cumarsáide a úsáid agus iarratais den chineál seo á láimhseáil sa todhchaí . Ghabh an eagraíocht a leithscéal leis na hábhair shonraí go léir a bhí buailte freisin .

D´eisigh an DPC roinnt moltaí a chuimsíonn úsáid uirlisí faofa cumarsáide eagraíochtúla amháin, ag fágáil go bhfuil an fhoireann go hiomlán ar an eolas faoi iompar inghlactha agus do-ghlactha agus uirlisí cumarsáide eagraíochtúla á n-úsáid acu, agus le cinntiú gur cuireadh oiliúint chuí ar an bhfoireann i dtéarmaí a gcuid dualgas/ freagrachtaí faoi fhorálacha an GDPR agus an Achta um Chosaint Sonraí 2018 .

I Mí na Bealtaine 2020, fuair an DPC fógra sáraithe ó phróiseálaí sonraí Éireannach agus ina dhiaidh sin fuair sé fógra ó rialaitheoir sonraí Éireannach atá ag feidhmiú san earnáil dheonach a bhí tar éis an próiseálaí seo a fhostú chun óstáil suíomhanna gréasáin agus seirbhísí bainistithe shonraí a sholáthar.

Bhain an sárú le hionsaí bogearraí éirice a tharla san ionad sonraí a úsáideann an próiseálaí sonraí, agus a tharla de thoradh ar bhogearraí mailíseacha a bhain rochtain amach trí phort 1 RDP* don fhriothálaí .

Chuaigh an DPC i dteagmháil leis an rialaitheoir agus leis an bpróiseálaí agus trí mheán roinnt cumarsáidí — lena n-áirítear eisiúint cheistneoirí teicniúla agus eagraíochtúla a dhíríonn ar réimsí ina bhféadfaí neamhchomhlíonadh na rialachán cosanta sonraí a bheith i gceist . Áiríodh ar na réimsí seo úsáid an phróiseálaí ionaid sonraí laistigh de na Stáit Aontaithe chun sonraí cúltaca a stóráil gan chomha- ontuithe dóthanacha — ná maoirseacht dhóthanach ag an rialaitheoir ar a phróiseálaí — faoi mar a éilítear faoi Airteagal 28 den GDPR .

Chuaigh an DPC i dteagmháil go mion minic leis an dá pháirtí agus thug an DPC an cás seo chun críche trí mholtaí a eisiúint don rialaitheoir agus don phróiseálaí araon . Ina dhiaidh sin lean an DPC air de bheith ag dul i dteagmháil leis an dá pháirtí chun cinntiú go raibh cur i bhfeidhm mholtaí an DPC tar éis tarlú .

*RDP — Prótacal Ciandeisce

Chuir cuideachta bainistíochta maoine tráchtála agus cónaithe in iúl don CCS go raibh fostaí de chuid cuideachta slándála a raibh a chuid seirbhísí coinnithe acu tar éis a bhfón póca pearsanta a úsáid chun píosa scannáin CCTV a thaifeadadh de bheirt den phobal a bhí páirteach i ngníomh pearsanta, a bhí gafa ag an mbainistíocht ceamaraí slándála na cuideachta.

Rinneadh an físeán a tógadh a roinnt ina dhiaidh sin trí WhatsApp le líon teoranta daoine aonair . Chuir an gnó in iúl don CCS gur chuir siad in iúl don fhoireann ad’fhéad- fadh an scannán a fháil go gcaithfidh siad é a scriosadh agus d’iarr siad nach scaipfí an fhíseán a thuilleadh.

Bhí an chuideachta bhainistíochta réadmhaoine agus an chuideachta slándála in ann a thaispeáint go raibh beartais agus nósanna imeachta leordhóthanacha ann, ach bhí easpa maoirseachta agus maoirseachta cuí ann chun comhlíonadh na mbeartas agus na nósanna imeachta seo a chinntiú.

Thuairiscigh duine a fuair rochtain neamhdhleathach ar áitreabh srianta na taifid agus chuir sé grianghraif den chomh-aireacht ina dhiaidh sin ina raibh na comhaid ar na meáin shóisialta.

Chuir eagraíocht na hearnála poiblí a bhí i gceist an CCS ar an eolas, tar éis dó an sárú a bheith ar eolas, gur seoladh ionadaí ón eagraíocht chun na comhaid a aimsiú agus a dhaingniú . Baineadh na comhaid ón áitreabh agus daingníodh iad .

Leagann an sárú seo béim ar an tábhacht a bhaineann le polasaithe bainistíochta taifead cuí a bheith acu; lena n-áirítear meicníochtaí le haghaidh comhaid rianaithe, saoráidí stórála slána cuí agus nósanna imeachta iomlána chun taifid a choinneáil nó a scriosadh. D’eisigh an CCS roinnt moltaí do na heagraíochtaí chun a gcleachtais próiseála sonraí pearsanta a fheabhsú .

Thug an rialaitheoir sonraí, ar comhlacht poiblí é, fógra don Choimisiún faoi theagmhas a bhain le hiompar comhad dlíthiúil cruachóipe ina raibh catagóir speisialta sonraí pearsanta agus an baol ann go dtitfeadh na sonraí pearsanta i lámha daoine aonair neamhúdaraithe.

Rinne an rialaitheoir cuideachta cúiréireachta a chonrú chun na comhaid a iompar chuig roinn eile, ach chuaigh na comhaid ar iarraidh ina dhiaidh sin agus iad faoi bhealach. Tharla sé nár choinnigh an rialaitheoir leagan cúltaca de na comhaid bhunaidh agus cailleadh sonraí pearsanta dá bharr sin . Ní raibh nósanna imeachta dóthanacha i bhfeidhm ag an rialaitheoir le haghaidh comhaid chruachóipe ina bhfuil catagóir speisialta sonraí pearsanta a bhaint agus a stóráil go slán . D’fhéadfaí an sárú a chosc sa chás seo dá mba rud é go ndearna an eagraíocht breithniú cuí ar a riachtanais agus ábhair den sórt sin á n-iompar aici chuig láthair eile agus ar na rioscaí dúchasacha atá i gceist le gníomhaíochtaí den sórt sin agus dá mba rud é gur chuir sí bearta níos sláine chun feidhme chun cosaint sonraí pearsanta a chinntiú

Thug rialaitheoir sonraí san earnáil phríobháideach (oideachas) fógra don Choimisiún faoi theagmhas fioscaireachta, áit ar chliceáil ball foirne ar nasc amhrasach suíomh Gréasáin agus ar chuir sé a dhintiúir isteach.

Cuireadh cuntas ríomhphoist an bhaill foirne i mbaol dá bharr sin . Níor chumasaigh an rialaitheoir sonraí fíord- heimhniú ilfhachtóra ar a chuntais ríomhphoist . D’fhéadfaí an sárú sonraí a chosc sa chás seo dá mba rud é go raibh an beart teicniúil sin agus oiliúint chuí i gcibearshlándáil i bhfeidhm ag an rialaitheoir sonraí ón tús .

Chaill fostaí de chuid an rialaitheora sonraí, ar comhlacht earnála poiblí é, gléas neamhchriptithe USB ina raibh faisnéis phearsanta faoi roinnt comhghleacaithe agus roinnt úsáideoirí seirbhíse.

Bhí i bhfeidhm ag an rialaitheoir poiblí an beartas agus na nósanna imeachta cuí lenar cuireadh cosc ar shonraí pearsanta a stóráil ar a chóras lárnach TF agus ar shonraí pearsanta a bhaint ón gcóras sin ach gléasanna neamhchriptithe a úsáid . Ní raibh i bhfeidhm aige, áfach, an fhormhaoirseacht ná an mhaoirseacht a bhí riachtanach chun a chinntiú go gcloífí lena chuid rialacha . Ba chosúil nach raibh an fostaí ar an eolas faoin mbeartas maidir le gléasanna neamhchriptithe a úsáid ach oiread . Bheifí in ann an sárú a chosc sa chás seo dá mba rud é gur chuir an eagraíocht an beartas chun feidhme ina iomláine agus gur chuir sí an fhoireann ar an eolas faoi .