Cé Muid Féin

Fiosrúchán ar Centric Health Ltd. (“Centric”)

Réimse: Earnáil Slándála/Príobháideach

Airteagal: 3, 32

Tagairt DPC: IN-21-2-4

Dáta Cinnidh: 23 Feabhra 2023

Thosaigh an Coimisiún um Chosaint Sonraí (an Coimisiún) an fiosrúchán tar éis ionsaí bogearraí éirice a rinne difear do na sonraí othar a shealbhaítear ar an gcóras riaracháin othar atá i bhfeidhm ag Centric, ar ionsaí é a cuireadh in iúl don Choimisiún an 5 Nollaig 2019. Mar thoradh ar an ionsaí, rinneadh difear do 70,000 ábhar sonraí toisc gur cailleadh rochtain ar a sonraí pearsanta agus a sonraí catagóire speisialta, toisc go ndearnadh athrú neamhúdaraithe ar na sonraí sin agus toisc gur cailleadh infhaighteacht na sonraí sin. Díobh sin, rinneadh difear buan do 2,500 othar toisc gur scriosadh a sonraí gan aon chóip chúltaca a bheith ar fáil.

Breithníodh cé acu a chomhlíon nó nár chomhlíon Centric Airteagail 5(1)(f), 5(2) agus 32(1) GDPR agus, go háirithe, cé acu a chuir nó nár chuir Centric bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal riosca a chinntiú a bheadh iomchuí do na rioscaí a bhaineann lena oibríochtaí próiseála.

Cinneadh gur sháraigh Centric na hoibleagáidí atá air faoi Airteagail 5(1), 5(2) agus 32(1) GDPR agus gur theip ar an bpróiseáil a rinne Centric laistigh dá Chóras Riaracháin Othar a chinntiú go bpróiseálfaí na sonraí pearsanta ar chaoi go gcinntítear slándáil iomchuí na sonraí pearsanta, lena n-áirítear cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach agus ar chailleadh, scrios nó damáiste de thaisme.

Na cumhachtaí ceartaitheacha a feidhmíodh:

  • Leis an gcinneadh, eisíodh iomardú chuig Centric i leith na sáruithe.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €275,000 ar Centric i leith an tsáraithe ar Airteagal 5(1)(f) GDPR.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €50,000 ar Centric i leith an tsáraithe ar Airteagal 5(2) GDPR.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €135,000 ar Centric i leith an tsáraithe ar Airteagal 32(1) GDPR.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Centric Health Ltd. - Feabhra 2023 (PDF, 0.67mb).

Fiosrúchán ar WhatsApp

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 6, 12

Tagairt DPC: IN-18-5-6

Dáta Cinnidh: 12 Eanáir 2023

D’fhógair an Coimisiún um Chosaint Sonraí (“an Coimisiún”) inniu gur cuireadh clabhsúr le fiosrúchán ar an bpróiseáil a rinne WhatsApp Ireland Limited (“WhatsApp Ireland”) i ndáil le soláthar sheirbhís WhatsApp a n-oibríonn sé í, inar fhorchuir sé fíneáil €5.5 milliún ar WhatsApp Ireland (as sáruithe ar GDPR a bhaineann lena sheirbhís). Chomh maith leis sin, tugadh ordú do WhatsApp Ireland a oibríochtaí próiseála sonraí a chur i gcomhréir laistigh de thréimhse sé mhí.

 Bhain an fiosrúchán le gearán a rinne ábhar sonraí Gearmánach an 25 Bealtaine 2018 faoi sheirbhís WhatsApp. Roimh an 25 Bealtaine 2018, arbh é an dáta a tháinig GDPR i ngníomh é, nuashonraigh WhatsApp Ireland a Théarmaí Seirbhíse agus chuir sé in iúl d’úsáideoirí gurbh amhlaidh, dá mba rud é gur mhaith leo leanúint le rochtain a bheith acu ar sheirbhís WhatsApp tar éis thabhairt isteach GDPR, a bheadh ar úsáideoirí a bhí ann cheana (agus ar úsáideoirí nua) cliceáil ar “glac leis agus lean ar aghaidh” chun a chur in iúl go nglacann siad leis na Téarmaí Seirbhíse nuashonraithe. (Ní bheadh rochtain ag úsáideoirí ar na seirbhísí dá mba rud é gur dhiúltaigh siad do dhéanamh amhlaidh).

 Bhí WhatsApp Ireland den tuairim gurbh amhlaidh, ar ghlacadh don úsáideoir leis na Téarmaí Seirbhíse nuashonraithe, a chuathas isteach i gconradh idir WhatsApp Ireland agus an t-úsáideoir. Bhí sé den tuairim freisin gurbh é a bhí i bpróiseáil sonraí úsáideoirí i ndáil le soláthar a sheirbhíse ná cuid riachtanach de chomhlíonadh an chonartha sin, lena n-áirítear feabhsú seirbhíse agus gnéithe slándála a sholáthar, chun go mbeadh oibríochtaí próiseála den sórt sin dleathach faoi threoir Airteagal 6(1)(b) GDPR (an bunús dlí “conartha” don phróiseáil).

 Contrártha do sheasamh sonraithe WhatsApp Ireland, d’áitigh an gearánach go raibh WhatsApp Ireland ag iarraidh i ndáiríre brath ar thoiliú chun bunús dleathach a sholáthar don phróiseáil a dhéanann sé ar shonraí úsáideoirí. D’áitigh an gearánach gurbh amhlaidh, toisc go ndearna sé inrochtaineacht a sheirbhísí coinníollach ar úsáideoirí a bheith ag glacadh leis na Téarmaí Seirbhíse nuashonraithe, a bhí WhatsApp Ireland, i ndáiríre, ag “cur iallach” orthu toiliú le próiseáil a sonraí pearsanta le haghaidh feabhsú seirbhíse agus le haghaidh slándála. D’áitigh an gearánach gur sháraigh sé sin GDPR.

 Ag teacht sna sála ar imscrúdú cuimsitheach, d’ullmhaigh an Coimisiún dréachtchinneadh agus chuir sé é faoi bhráid a rialálaithe piaraí san Aontas Eorpach/sa Limistéar Eorpach Eacnamaíoch, a dtugtar na hÚdaráis Mhaoirseachta lena mBaineann (“CSAnna”) orthu freisin, de réir Airteagal 60 GDPR. Go háirithe, chinn an Coimisiún na nithe seo a leanas:

 

  1. De shárú ar a oibleagáidí i ndáil le trédhearcacht, níor leagadh amach go soiléir d’úsáideoirí an fhaisnéis maidir leis an mbunús dlí a raibh WhatsApp Ireland ag brath air agus, mar thoradh air sin, ní raibh go leor soiléire ag úsáideoirí maidir le cé na hoibríochtaí próiseála a bhí á ndéanamh ar a sonraí pearsanta, maidir le cén chríoch/cé na críocha a raibh na hoibríochtaí próiseála á ndéanamh ina leith agus maidir le cén ceann de na sé bhunús dlí a sainaithníodh in Airteagal 6 GDPR a raibh na hoibríochtaí próiseála á ndéanamh faoina threoir. Bhí an Coimisiún den tuairim go raibh an easpa trédhearcachta maidir le nithe chomh bunúsach sin ina sárú ar Airteagail 12 agus 13(1)(c) GDPR. Bhí fíneáil an-substaintiúil €225 mhilliún forchurtha ag an gCoimisiún ar WhatsApp Ireland cheana féin as sáruithe ar an oibleagáid trédhearcachta sin agus ar oibleagáidí trédhearcachta eile thar an tréimhse chéanna ama, agus níor mhol sé aon fhíneáil bhreise ná aon bhearta ceartaitheacha breise a fhorchur an babhta seo, ós rud é go ndearna sé amhlaidh cheana féin i bhfiosrúchán eile. Chomhaontaigh na 47 CSA uile leis an ngné sin den dréachtchinneadh ón gCoimisiún.

 

  1. In imthosca ina bhfuair an Coimisiún amach nach raibh WhatsApp Ireland ag brath, i ndáiríre, ar thoiliú úsáideoirí chun bunús dlí a sholáthar don phróiseáil a dhéanann sé ar a sonraí pearsanta, níorbh fhéidir gné an “toilithe éigeantaigh” de na gearáin a sheasamh. Ón staid sin, chuaigh an Coimisiún ar aghaidh chun a bhreithniú cé acu a bhí nó nach raibh oibleagáid ar WhatsApp Ireland brath ar thoiliú mar bhunús dlí dó i ndáil le soláthar na seirbhíse, lena n-áirítear chun críocha feabhsúcháin seirbhíse agus chun críocha slándála. Anseo, chinn an Coimisiún nach raibh ceangal ar WhatsApp Ireland brath ar thoiliú. Ní dhearna ceann ar bith de na CSAnna agóid i gcoinne na hanailíse sin agus, dá réir sin, diúltaíodh don ghné sin den ghearán. An tÚdarás Maoirseachta Gearmánach ar cuireadh an gearán faoina bhráid ar dtús, tá freagracht air anois as cinneadh ar leith a ghlacadh i leith na gcodanna sin ar diúltaíodh dóibh, as an gcinneadh sin a chur in iúl don ghearánach agus as eolas a thabhairt do WhatsApp Ireland ina thaobh de réir Airteagal 60(9) GDPR. 

 

Chuaigh an Coimisiún ar aghaidh chun a bhreithniú cé acu is amhlaidh nó nach amhlaidh i bprionsabal a cuireadh cosc ar WhatsApp Ireland le GDPR brath ar an mbunús dlí conartha a mhaígh sé, agus tháinig an Coimisiún ar an gconclúid nár cuireadh cosc ar WhatsApp Ireland leis déanamh amhlaidh.

 Rinne sé cinn de na 47 CSA agóidí agus bhí siad den tuairim nár cheart cead a thabhairt do WhatsApp Ireland brath ar an mbunús dlí conartha ar na mbonn nach bhféadfaí an soláthar feabhsúcháin seirbhíse agus slándála a mheas a bheith riachtanach chun na príomhghnéithe de rud a dúradh a bheith ina chineál conartha i bhfad níos teoranta a chomhlíonadh.

 D’easaontaigh an Coimisiún leis sin, agus an t-easaontú sin ag teacht leis an tuairim a bhí aige go n-áirítear le seirbhís WhatsApp seirbhís a sholáthar a bhfuil feabhsú seirbhíse agus slándáil i gceist léi agus gurb é an chuma atá air go deimhin go bhfuil seirbhís WhatsApp bunaithe ar sheirbhís den sórt sin a sholáthar.  I dtuairim an Choimisiúin, tá an fhíric sin ina cuid lárnach den mhargadh a rinneadh idir úsáideoirí agus a soláthraí seirbhíse roghnaithe, agus tá sí mar chuid den chonradh a tugadh i gcrích ag an bpointe ag a nglacann úsáideoirí leis na Téarmaí Seirbhíse.

 Ag teacht sna sála ar chaidreamh leis na CSAnna, tháinig sé chun solais nach rabhthas in ann teacht ar chomhthoil. I gcomhréir lena oibleagáidí faoi Airteagal 60(4) GDPR, tharchuir an Coimisiún na nithe faoi dhíospóid chuig an mBord Eorpach um Chosaint Sonraí (“EDPB”) ansin.

Ghlac EDPB an cinneadh uaidh an 5 Nollaig 2022.

 Diúltaíodh sa chinneadh ó EDPB roinnt mhaith de na hagóidí a ndearna na CSAnna iad. Sheas sé freisin le seasamh an Choimisiúin i ndáil leis an sárú a rinne WhatsApp Ireland ar a oibleagáidí trédhearcachta, gan a bheith faoi réir ach sárú breise (ar phrionsabal na “cothroime” in Airteagal 5(1)(a)) a chur leis. Ghlac EDPB tuairim dhifriúil leis an gCoimisiún ar cheist an bhunúis dlí, áfach, á chinneadh gurbh amhlaidh, mar phrionsabal, nach raibh WhatsApp Ireland i dteideal brath ar an mbunús dlí conartha mar ní lena soláthraítear bunús dleathach don phróiseáil a dhéanann sé ar shonraí pearsanta chun críocha feabhsúcháin seirbhíse agus chun críocha slándála.

 Maidir leis an gcinneadh críochnaitheach ar ghlac an Coimisiún é an 12 Eanáir 2023, tá sé ag teacht leis an gcinneadh ceangailteach ó EDPB atá leagtha amach thuas. Dá réir sin, áirítear leis an gcinneadh ón gCoimisiún fionnachtana nach bhfuil WhatsApp Ireland i dteideal brath ar an mbunús dlí conartha i ndáil leis an soláthar feabhsúcháin seirbhíse agus slándála (cé is moite de ní a dtugann EDPB “slándáil TF” air) le haghaidh sheirbhís WhatsApp, agus gur sárú ar Airteagal 6(1) GDPR í an phróiseáil a rinne sé ar na sonraí sin go dtí seo, de bhua a spleáchais airbheartaithe ar an mbunús dlí conartha.

 Maidir le smachtbhannaí, agus i bhfianaise an tsáraithe bhreise sin ar GDPR, d’fhorchuir an Coimisiún fíneáil riaracháin €5.5 milliún ar WhatsApp Ireland agus thug sé ordú nach mór do WhatsApp Ireland a oibríochtaí próiseála a chur i gcomhréir le GDPR laistigh de thréimhse sé mhí.

 Ar leithligh uaidh sin, d’airbheartaigh EDPB freisin ordú a thabhairt don Choimisiún imscrúdú úr a dhéanamh lena gcumhdófaí oibríochtaí próiseála uile WhatsApp IE ina sheirbhís chun a chinneadh cé acu is amhlaidh nó nach amhlaidh a phróiseálann sé catagóirí speisialta sonraí pearsanta (Airteagal 9 GDPR) agus a phróiseálann sé sonraí chun críocha fógraíochta iompraíochta, chun críocha margaíochta, chun méadrachtaí a sholáthar do thríú páirtithe agus chun sonraí a mhalartú le cuideachtaí cleamhnaithe chun críocha feabhsuithe seirbhíse, agus chun a chinneadh cé acu a chomhlíonann nó nach gcomhlíonann sé na hoibleagáidí iomchuí faoi GDPR.”

 Ar ndóigh, ní dhéantar tagairt sa chinneadh ón gCoimisiún d’imscrúduithe úra ar oibríochtaí próiseála sonraí uile WhatsApp, ar imscrúduithe iad ar ordaigh EDPB iad sa chinneadh ceangailteach uaidh. Níl ag EDPB ról maoirseachta ginearálta atá cosúil leis sin atá ag cúirteanna náisiúnta i ndáil le húdaráis neamhspleácha náisiúnta agus ní fhéadfaidh EDPB treoir ná ordú a thabhairt d’údarás gabháil d’imscrúdú neamhiata tuairimeach. Dá bharr sin, tá fadhbanna dlínse ag baint leis an ordú, agus is cosúil nach bhfuil sé comhsheasmhach le struchtúir na socruithe comhair agus comhsheasmhachta a leagadh síos le GDPR. A mhéid a d’fhéadfadh cúngach ar thaobh EDPB a bheith i gceist leis an ordú, is cuí leis an gCoimisiún caingean le haghaidh neamhniú a thabhairt os comhair Chúirt Bhreithiúnais an Aontais Eorpaigh chun a iarraidh go gcuirfí an t-ordú ó EDPB ar ceal.

Cinneadh Iomlán i mBéarla: Fiosrúchán ar WhatsApp PDF

 

Fiosrúchán ar Chomhairle Contae Chill Dara

Réimse: Údarás Poiblí

Airteagal: 5, 32

Tagairt DPC: 05/SIU/2018

Dáta Cinnidh: 16 Eanáir 2023

Féachadh san fhiosrúchán seo lena mheasúnú cé acu a bhí nó nach raibh Comhairle Contae Chill Dara ag próiseáil sonraí pearsanta i gcomhréir le GDPR agus leis an Acht um Chosaint Sonraí, 2018. Rinneadh scrúdú san fhiosrúchán ar roinnt d’oibríochtaí próiseála na Comhairle, lena n-áirítear an úsáid a bhaineann sí as ceamaraí TCI in áiteanna poiblí chun coireacht a ionchúiseamh nó chun críocha eile.

Áirítear na nithe seo leis na fionnachtana sa chinneadh:

  • Ní raibh aon bhunús dlí ag an gComhairle do shonraí pearsanta a bailíodh trí cheamaraí TCI ag dhá láthair chun cionta coiriúla a chosc.
  • Ní raibh aon bhunús dlí ag an gComhairle do shonraí pearsanta a bailíodh trí cheamaraí TCI chun críocha bainistíochta tráchta.
  • Sháraigh an Chomhairle Airteagal 5(1)(a) GDPR toisc gur chomhroinn sí an fotha beo de cheamaraí bainistíochta tráchta TCI leis an nGarda Síochána gan aon bhunús dlí bailí a bheith aici.
  • Ní raibh aon bhonn dleathach ag an gComhairle d’fhaireachas a dhéanamh le ceamaraí TCI a bhain úsáid as teicneolaíocht Uathaitheanta Uimhirphlátaí.
  • Níor chomhlíon an Chomhairle na hoibleagáidí trédhearcachta atá uirthi faoi Airteagal 13 toisc gur theip uirthi comharthaíocht a chur suas i ndáil lena hoibríochtaí próiseála TCI.
  • Sháraigh an Chomhairle Airteagal 32(1) GDPR toisc gur theip uirthi loga sonraí a choinneáil ina dtaifeadfaí uaireanta sonracha a fuarthas rochtain ar radhairc ceamaraí TCI agus ar phíosaí scannáin taifeadta ó Stáisiún Gardaí an Náis.
  • Sháraigh an Chomhairle na hoibleagáidí atá uirthi faoi ailt 71(1)(f), 72(1) agus 78 d’Acht 2018 toisc gur theip uirthi bearta slándála teicniúla nó eagraíochtúla a chur chun feidhme chun cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach agus ar chailleadh, scrios nó damáiste de thaisme maidir le sonraí pearsanta a bailíodh trí na fothaí ceamara ó na córais TCI ag dhá láthair.
  • Sháraigh an Chomhairle alt 82(2) d’Acht 2018 toisc gur theip uirthi loga sonraí a choinneáil ina dtaifeadfaí aitheantas aon duine aonair a bhreathnaigh ar shonraí pearsanta atá sna radhairc ceamaraí TCI agus sna píosaí scannáin taifeadta ó dhá láthair.
  • Sháraigh an Chomhairle alt 71(1)(c) agus alt 76(2) d’Acht 2018 toisc gur thaifead sí TCI ar réadmhaoine príobháideacha, gan aon teicneolaíocht masctha príobháideachta a bheith ann, ag láthair amháin.
  • Sháraigh an Chomhairle alt 71(10) d’Acht 2018 toisc gur theip uirthi bheith in ann a thaispeáint gurb amhlaidh, maidir lena próiseáil sonraí pearsanta trí cheamaraí TCI ag láthair amháin, nach raibh sí iomarcach i ndáil leis an gcríoch a bhí aici iompraíocht fhrithshóisialta a chosc.
  • Sháraigh an Chomhairle na hoibleagáidí atá uirthi faoi ailt 71(1)(f), 72(1) agus 78 d’Acht 2018 i ndáil le socruithe maidir le sonraí pearsanta a aistriú chuig an nGarda Síochána trí mhearóga neamhchriptithe USB a úsáid.

Ba mar a leanas a bhí na cumhachtaí ceartaitheacha a feidhmíodh:

  • Toirmeasc sealadach ar shonraí pearsanta a phróiseáil le ceamaraí TCI ag láithreacha éagsúla a úsáidtear chun críocha fhorfheidhmiú an dlí choiriúil go dtí gur féidir bunús dlí a shainaithint.
  • Toirmeasc sealadach ar shonraí pearsanta a phróiseáil le ceamaraí TCI a úsáidtear chun críocha bainistíochta tráchta go dtí gur féidir bunús dlí a shainaithint.
  • Ordú do Chomhairle Contae Chill Dara a próiseáil sonraí pearsanta a chur i gcomhréir trí ghníomhartha áirithe a sonraíodh sa chinneadh a dhéanamh.
  • Fíneáil riaracháin €50,000.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Chomhairle Contae Chill Dara - Eanáir 2023 (PDF, 2.9mb).

Fiosrúchán ar Meta Ireland

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 5, 6

Tagairt DPC: IN-18-5-5 & IN-18-5-7

Dáta Cinnidh: 31 Nollaig 2022

D’fhógair an Coimisiún um Chosaint Sonraí (an Coimisiún) inniu gur cuireadh clabhsúr le dhá fhiosrúchán ar oibríochtaí próiseála sonraí Meta Platforms Ireland Limited (“Meta Ireland”) i ndáil le soláthar sheirbhísí Facebook agus Instagram a n-oibríonn sé iad. (Tugadh Facebook Ireland Limited roimhe sin ar Meta Ireland).

Rinne an Coimisiún cinntí críochnaitheacha inar fhorchuir sé ar Meta Ireland fíneáil €210 milliún (as sáruithe ar an Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) a bhaineann le seirbhís Facebook a n-oibríonn sé í) agus fíneáil €180 milliún (as sáruithe a bhaineann le seirbhís Instagram a n-oibríonn sé í).

Chomh maith leis sin, tugadh ordú do Meta Ireland a oibríochtaí próiseála sonraí a chur i gcomhréir laistigh de thréimhse trí mhí.

Bhain na fiosrúcháin le dhá ghearán maidir le seirbhísí Facebook agus Instagram. Tarraingíodh na saincheisteanna bunúsacha céanna anuas sa dá ghearán. Rinne ábhar sonraí Ostarach gearán amháin (maidir le Facebook); agus rinne ábhar sonraí Beilgeach an gearán eile (maidir le Instagram).

Rinneadh na gearáin an 25 Bealtaine 2018, an dáta ar ar tháinig GDPR i ngníomh.

Roimh an 25 Bealtaine 2018, d’athraigh Meta Ireland na Téarmaí Seirbhíse le haghaidh sheirbhísí Facebook agus Instagram a n-oibríonn sé iad. Luaigh sé freisin go mbeadh sé ag athrú an bhunúis dlí a mbíonn sé ag brath air chun an phróiseáil a dhéanann sé ar shonraí pearsanta úsáideoirí a dhlisteanú. (Faoi Airteagal 6 GDPR, ní bheidh próiseáil sonraí dleathach ach amháin má tá feidhm, agus a mhéid atá feidhm, le ceann amháin de shé bhunús dlí shainaitheanta). Tar éis dó a bheith ag brath roimhe sin ar thoiliú úsáideoirí le próiseáil a sonraí pearsanta i gcomhthéacs sholáthar sheirbhísí Facebook agus Instagram (lena n-áirítear fógraíocht iompraíochta), bhí Meta Ireland ag iarraidh anois a bheith ag brath ar an mbunús dlí “conartha” le haghaidh fhormhór a oibríochtaí próiseála (ach ní gach ceann díobh).

Dá mba rud é gur mhaith leo leanúint le rochtain a bheith acu ar sheirbhísí Facebook agus Instagram tar éis thabhairt isteach GDPR, iarradh ar úsáideoirí a bhí ann cheana (agus ar úsáideoirí nua) cliceáil ar “Glacaim leis” chun a chur in iúl go nglacann siad leis na Téarmaí Seirbhíse nuashonraithe. (Ní bheadh rochtain ag úsáideoirí ar na seirbhísí dá mba rud é gur dhiúltaigh siad do dhéanamh amhlaidh).

Bhí Meta Ireland den tuairim gurbh amhlaidh, ar ghlacadh don úsáideoir leis na Téarmaí Seirbhíse nuashonraithe, a chuathas isteach i gconradh idir Meta Ireland agus an t-úsáideoir. Bhí sé den tuairim freisin gurbh é a bhí i bpróiseáil sonraí úsáideoirí i ndáil le soláthar sheirbhísí Facebook agus Instagram a n-oibríonn sé iad ná cuid riachtanach de chomhlíonadh an chonartha sin, lena n-áirítear seirbhísí pearsantaithe agus fógraíocht iompraíochta a sholáthar, chun go mbeadh oibríochtaí próiseála den sórt sin dleathach faoi threoir Airteagal 6(1)(b) GDPR (an bunús dlí “conartha” don phróiseáil).

Contrártha do sheasamh sonraithe Meta Ireland, d’áitigh na gearánaigh go raibh Meta Ireland ag iarraidh fós brath ar thoiliú chun bunús dleathach a sholáthar don phróiseáil a dhéanann sé ar shonraí úsáideoirí. D’áitigh siad gurbh amhlaidh, toisc go ndearna sé inrochtaineacht a sheirbhísí coinníollach ar úsáideoirí a bheith ag glacadh leis na Téarmaí Seirbhíse nuashonraithe, a bhí Meta Ireland, i ndáiríre, ag “cur iallach” orthu toiliú le próiseáil a sonraí pearsanta le haghaidh fógraíocht iompraíochta agus le haghaidh seirbhísí pearsantaithe eile. D’áitigh na gearánaigh gur sháraigh sé sin GDPR.

Ag teacht sna sála ar imscrúduithe cuimsitheacha, d’ullmhaigh an Coimisiún dréachtchinntí ina ndearna sé roinnt fionnachtana in aghaidh Meta Ireland. Rud suntasach, chinn sé na nithe seo a leanas:

  • 1. De shárú ar a oibleagáidí i ndáil le trédhearcacht, níor leagadh amach go soiléir d’úsáideoirí an fhaisnéis maidir leis an mbunús dlí a raibh Meta Ireland ag brath air agus, mar thoradh air sin, ní raibh go leor soiléire ag úsáideoirí maidir le cé na hoibríochtaí próiseála a bhí á ndéanamh ar a sonraí pearsanta, maidir le cén chríoch/cé na críocha a raibh na hoibríochtaí próiseála á ndéanamh ina leith agus maidir le cén ceann de na sé bhunús dlí a sainaithníodh in Airteagal 6 GDPR a raibh na hoibríochtaí próiseála á ndéanamh faoina threoir. Bhí an Coimisiún den tuairim go raibh an easpa trédhearcachta maidir le nithe chomh bunúsach sin ina sárú ar Airteagail 12 agus 13(1)(c) GDPR. Mheas an Coimisiún freisin gurbh ionann í agus sárú ar Airteagal 5(1)(a), lena gcumhdaítear an prionsabal nach mór sonraí pearsanta úsáideoirí a phróiseáil ar bhealach atá dleathach, cothrom agus trédhearcach. Mhol an Coimisiún go bhforchuirfí fíneálacha an-suntasach ar Meta Ireland i ndáil leis an sárú ar na forálacha sin agus thug an Coimisiún ordú dó a oibríochtaí próiseála a chur i gcomhréir laistigh de thréimhse shainithe ghearr ama. 
  • 2. In imthosca ina bhfuair sé amach nach raibh Meta Ireland ag brath, i ndáiríre, ar thoiliú úsáideoirí chun bunús dlí a sholáthar don phróiseáil a dhéanann sé ar a sonraí pearsanta, níorbh fhéidir gné an “toilithe éigeantaigh” de na gearáin a sheasamh. Ón staid sin, chuaigh an Coimisiún ar aghaidh chun a bhreithniú cé acu atá nó nach bhfuil Meta Ireland ag brath ar “conradh” chun an bunús dlí a sholáthar don phróiseáil a dhéanann sé ar shonraí pearsanta úsáideoirí i ndáil le soláthar a sheirbhísí pearsantaithe (lena n-áirítear fógraíocht phearsantaithe). Anseo, fuair an Coimisiún amach nach raibh ceangal ar Meta Ireland brath ar thoiliú; i bprionsabal, níor cuireadh aon chosc ar Meta Ireland le GDPR brath ar an mbunús dlí conartha.

Faoi nós imeachta a sainordaíodh le GDPR, cuireadh na dréachtchinntí ar ullmhaigh an Coimisiún iad faoi bhráid a rialálaithe piaraí san Aontas Eorpach/sa Limistéar Eorpach Eacnamaíoch, a dtugtar na hÚdaráis Mhaoirseachta lena mBaineann (“CSAnna”) orthu freisin.

Maidir leis an gceist faoi cé acu a ghníomhaigh nó nár ghníomhaigh Meta Ireland de shárú ar a oibleagáidí trédhearcachta, d’aontaigh na CSAnna le cinntí an Choimisiúin, cé go raibh siad den tuairim gur cheart na fíneálacha ar mhol an Coimisiún iad a mhéadú. 

Rinne deich gcinn de na 47 CSA agóidí i ndáil le gnéithe eile de na dréachtchinntí (ar tarraingíodh ceann amháin díobh siar ina dhiaidh sin i gcás an dréachtchinnidh a bhaineann le seirbhís Instagram). Go háirithe, bhí an fothacar CSAnna sin den tuairim nár cheart cead a thabhairt do Meta Ireland brath ar an mbunús dlí conartha ar na forais nach bhféadfaí an soláthar fógraíochta pearsantaithe (mar chuid den mhórshraith seirbhísí pearsantaithe a thairgtear mar chuid de sheirbhísí Facebook agus Instagram) a mheas a bheith riachtanach chun na príomhghnéithe de rud a dúradh a bheith ina chineál conartha i bhfad níos teoranta a chomhlíonadh. 

D’easaontaigh an Coimisiún leis sin, agus an t-easaontú sin ag teacht leis an tuairim a bhí aige go n-áirítear le seirbhísí Facebook agus Instagram seirbhís phearsantaithe a sholáthar a bhfuil fógraíocht phearsantaithe nó fógraíocht iompraíochta i gceist léi agus gurb é an chuma atá air go deimhin go bhfuil seirbhísí Facebook agus Instagram bunaithe ar sheirbhís phearsantaithe den sórt sin a sholáthar.  Go bunúsach, is seirbhísí pearsantaithe iad sin a bhfuil fógraíocht phearsantaithe mar ghné díobh freisin. I dtuairim an Choimisiúin, tá an fhíric sin ina cuid lárnach den mhargadh a rinneadh idir úsáideoirí agus a soláthraí seirbhíse roghnaithe, agus tá sí mar chuid den chonradh a tugadh i gcrích ag an bpointe ag a nglacann úsáideoirí leis na Téarmaí Seirbhíse.

Ag teacht sna sála ar phróiseas comhairliúcháin, tháinig sé chun solais nach rabhthas in ann teacht ar chomhthoil. I gcomhréir lena oibleagáidí faoi GDPR, tharchuir an Coimisiún na pointí faoi dhíospóid chuig an mBord Eorpach um Chosaint Sonraí (“EDPB”) ansin.

D’eisigh EDPB na cinntí uaidh an 5 Nollaig 2022.

Diúltaíodh sna cinntí ó EDPB roinnt mhaith de na haighneachtaí a ndearna na CSAnna iad. Sheas siad freisin le seasamh an Choimisiúin i ndáil leis an sárú a rinne Meta Ireland ar a oibleagáidí trédhearcachta, gan a bheith faoi réir ach sárú breise (ar phrionsabal na “cothroime”) agus ordú go méadódh an Coimisiún suim na bhfíneálacha a mhol sé a fhorchur a chur leis.

Ghlac EDPB tuairim dhifriúil ar cheist an “bhunúis dlí”, á chinneadh gurbh amhlaidh, mar phrionsabal, nach raibh Meta Ireland i dteideal brath ar an mbunús dlí “conartha” mar ní lena soláthraítear bunús dleathach don phróiseáil a dhéanann sé ar shonraí pearsanta chun críche fógraíochta iompraíochta.

Maidir leis na cinntí críochnaitheacha ar ghlac an Coimisiún iad an 31 Nollaig 2022, tá siad ag teacht leis na cinntí ceangailteacha ó EDPB atá leagtha amach thuas. Dá réir sin, áirítear leis na cinntí ón gCoimisiún fionnachtana nach bhfuil Meta Ireland i dteideal brath ar an mbunús dlí “conartha” i ndáil leis an soláthar fógraíochta iompraíochta mar chuid de sheirbhísí Facebook agus Instagram a n-oibríonn sé iad, agus gur sárú ar Airteagal 6 GDPR í an phróiseáil a rinne sé ar shonraí úsáideoirí go dtí seo, de bhua a spleáchais airbheartaithe ar an mbunús dlí “conartha”.

Maidir le smachtbhannaí, agus i bhfianaise an tsáraithe bhreise sin ar GDPR, mhéadaigh an Coimisiún suim na bhfíneálacha riaracháin a forchuireadh ar Meta Ireland go €210 milliún (i gcás Facebook) agus €180 milliún i gcás Instagram. (Tá leibhéil leasaithe na bhfíneálacha sin ag teacht freisin le tuairimí EDPB maidir leis na sáruithe a rinne Meta Ireland ar a oibleagáidí i ndáil le sonraí pearsanta úsáideoirí a phróiseáil ar bhealach cothrom agus trédhearcach).

Coinníodh ceanglas reatha an Choimisiúin nach mór do Meta Ireland a oibríochtaí próiseála a chur i gcomhréir le GDPR laistigh de thréimhse trí mhí.

Ar leithligh uaidh sin, d’airbheartaigh EDPB ordú a thabhairt don Choimisiún imscrúdú úr a dhéanamh, rud lena gcumhdófaí oibríochtaí próiseála sonraí uile Facebook agus Instagram agus lena scrúdófaí catagóirí speisialta sonraí pearsanta a d’fhéadfaí nó nach bhféadfaí a phróiseáil i gcomhthéacs na n-oibríochtaí sin. Ar ndóigh, ní dhéantar tagairt sna cinntí ón gCoimisiún d’imscrúduithe úra ar oibríochtaí próiseála sonraí uile Facebook agus Instagram, ar imscrúduithe iad ar ordaigh EDPB iad sna cinntí ceangailteacha uaidh. Níl ag EDPB ról maoirseachta ginearálta atá cosúil leis sin atá ag cúirteanna náisiúnta i ndáil le húdaráis neamhspleácha náisiúnta agus ní fhéadfaidh EDPB treoir ná ordú a thabhairt d’údarás gabháil d’imscrúdú neamhiata tuairimeach. Dá bharr sin, tá fadhbanna dlínse ag baint leis an ordú, agus is cosúil nach bhfuil sé comhsheasmhach le struchtúir na socruithe comhair agus comhsheasmhachta a leagadh síos le GDPR. A mhéid a d’fhéadfadh cúngach ar thaobh EDPB a bheith i gceist leis an ordú, is cuí leis an gCoimisiún caingean le haghaidh neamhniú a thabhairt os comhair Chúirt Bhreithiúnais an Aontais Eorpaigh chun a iarraidh go gcuirfí na horduithe ó EDPB ar ceal.

Cinneadh Iomlán i mBéarla: Fiosrúchán ar Meta Ireland (Facebook) PDF

Cinneadh Iomlán i mBéarla: Fiosrúchán ar Meta Ireland (Instagram) PD

Fiosrúchán ar A&G Couriers Limited ag trádáil mar Fastway Couriers (Ireland)

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 32

Tagairt DPC: IN-21-6-2

Dáta Cinnidh: 30 Nollaig 2022

Tosaíodh an fiosrúchán seo i ndáil le sárú sonraí pearsanta ar thug A&G Couriers Limited ag trádáil mar Fastway Couriers, Ireland (Fastway), fógra ina thaobh don Choimisiún um Chosaint Sonraí (an Coimisiún) an 4 Márta 2021. Is é is Fastway ann ná cuideachta a sholáthraíonn seirbhísí cúiréireachta, amhail seachadadh beartán, litreacha, pacáistí agus doiciméad, mar aon le roghanna le haghaidh beartáin a rianú. Bhain an sárú sonraí pearsanta lena mbaineann le rochtain neamhúdaraithe ar shonraí pearsanta a bhí i seilbh Fastway, le linn dó caidreamh a dhéanamh lena sholáthraí seirbhíse chun modhnú ar chórais TFC Fastway a ghabháil de láimh chun dearbhuithe dleachta agus CBL a éascú.

  • Cinneadh gur sháraigh Fastway Airteagal 32(1) GDPR toisc gur theip air bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun leibhéal iomchuí slándála a chinntiú i ndáil leis an bpróiseáil a rinne sé ar shonraí pearsanta le haghaidh seirbhísí seachadta a sholáthar, ar sonraí pearsanta iad a bhí á stóráil ina chóras tuairiscithe inmheánach tráth an tsáraithe sonraí pearsanta.

Na cumhachtaí ceartaitheacha a feidhmíodh

  • Leis an gcinneadh, eisíodh iomardú chuig Fastway i leith an tsáraithe.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €15,000 ar Fastway i leith an tsáraithe.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: A&G Couriers Limited ag trádáil mar Fastway Couriers (Ireland) - Nollaig 2022 (PDF, 2.5 MB).

Fiosrúchán ar Virtue Integrated Elder Care Ltd (VIEC)

Réimse: Earnáil Slándála/Príobháideach

Airteagal: 5, 32

Tagairt DPC: IN-21-2-5

Dáta Cinnidh: 20 Nollaig 2022

Tosaíodh an fiosrúchán tar éis do VIEC fógra a thabhairt don Choimisiún faoi shárú sonraí pearsanta an 19 Lúnasa 2020. Déanann VIEC cúig theach altranais a oibriú agus a bhainistiú i mBaile Átha Cliath Theas agus i gContae Lú. Bhain an fógra faoi shárú sonraí le gníomhaí nach bhfuil ar eolas a ghnóthaigh rochtain ar chuntas ríomhphoist bainisteora VIEC trí ionsaí fioscaireachta agus a bhunaigh rialacha lena gcuirfí post ar aghaidh chuig cuntas seachtrach. Mar thoradh air sin, fuair an gníomhaí sin rochtain ar shonraí pearsanta cónaitheoirí, lenar áiríodh sonraí catagóire speisialta amhail sonraí sláinte agus sonraí bithmhéadracha.

Breithníodh cé acu a chomhlíon nó nár chomhlíon VIEC Airteagail 5(1)(f) agus 32(1) GDPR agus, go háirithe, cé acu a chuir nó nár chuir VIEC bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal riosca a chinntiú a bheadh iomchuí do na rioscaí a bhaineann lena oibríochtaí próiseála.

Cinneadh gur sháraigh VIEC na hoibleagáidí atá air faoi Airteagail 5(1) agus 32(1) GDPR. Bhí baol ann go bhfaighfí rochtain neamhdhleathach ar shonraí pearsanta agus ar shonraí catagóire speisialta mar thoradh ar an dóigh ar phróiseáil VIEC sonraí den sórt sin ar a chóras ríomhphoist roimh an ionsaí fioscaireachta, gan bearta leordhóthanacha slándála a bheith i bhfeidhm aige.

Na cumhachtaí ceartaitheacha a feidhmíodh

  • Leis an gcinneadh, eisíodh iomardú chuig VIEC i leith na sáruithe.
  • Leis an gcinneadh, ordaíodh do VIEC a chuid próiseála a chur i gcomhréir le hAirteagail 5(1)(f) agus 32(1) GDPR.
  • Leis an gcinneadh, forchuireadh fíneáil riaracháin €100,000 ar VIEC i leith an tsáraithe ar Airteagal 5(1)(f) GDPR.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán ar Virtue Integrated Elder Care Ltd (“VIEC”) - Nollaig 2022 (PDF, 2.5 MB).

Fiosrúchán ar an nGarda Síochána

Réimse: Garda

Airteagal: S 127

Tagairt DPC: IN-20-1-3

Dáta Cinnidh: 15 Nollaig 2022

Bhain an fiosrúchán seo, a rinneadh faoi Chuid 5 den Acht um Chosaint Sonraí, 2018, le tuairisc a fuair an Coimisiún um Chosaint Sonraí ón nGarda Síochána faoi shárú sonraí pearsanta, tar éis sárú sonraí ag stáisiún de chuid an Gharda Síochána. Bhí sé mar aidhm leis an bhfiosrúchán a chinneadh cé acu a rinneadh nó nach ndearnadh sáruithe ar ailt 71(1)(f), 72(1), 75 agus 78 den Acht um Chosaint Sonraí, 2018, le linn don Gharda Síochána sonraí pearsanta a phróiseáil.

Bhain an sárú sonraí ab ábhar don fhiosrúchán seo le sonraí pearsanta “daoine ab ábhar spéise” don Gharda Síochána i gcomhthéacs imscrúduithe leanúnacha. Próiseáladh na sonraí sin ar Chlár Feasachán Faisnéise a bhí lonnaithe i seomra i stáisiún de chuid an Gharda Síochána, rud nár cheart d’aon duine seachas Garda rochtain neamhthionlactha a bheith aige/aici air. Fuair conraitheoir a bhí ag tabhairt faoi oibreacha deisiúcháin ag an stáisiún rochtain ar na sonraí pearsanta sin, lenar áiríodh ainm agus seoladh 108 n-ábhar sonraí, ábhair sonraí shoghonta ina measc. Comhroinneadh na sonraí pearsanta ar na meáin shóisialta ansin.

I measc nithe eile, rinneadh na cinntí seo a leanas tar éis an imscrúdaithe ón gCoimisiún ar an ní:

  1. Bhí beartais shonracha agus nósanna imeachta sonracha in easnamh maidir leis an dóigh a bpróiseálann an Garda Síochána sonraí pearsanta, rud a d’fhág nár shásaigh sé ceanglais ailt 72(1), 75 agus 78 den Acht um Chosaint Sonraí, 2018, agus, ar an tslí sin, alt 71(1)(f) den Acht. Rud sonrach, mhainnigh an Garda Síochána bearta cuí teicniúla agus eagrúcháin a chur chun feidhme chun na sonraí pearsanta a bhí á bpróiseáil ag an nGarda Síochána tráth an tsáraithe a chosaint.
  2. Bhí bearta sonracha slándála in easnamh tráth an tsáraithe, rud a d’fhág gur mhainnigh an Garda Síochána cur chun feidhme a dhéanamh ar leibhéal slándála ba chuí maidir leis an díobháil a d’fhéadfadh teacht as an dóigh a bpróiseálann an Garda Síochána sonraí pearsanta.
  3. Bhí mainneachtain ann measúnú riosca a dhéanamh sular tosaíodh an phróiseáil, chun a chinneadh cé chomh cuí agus a bhí na bearta slándála maidir leis an díobháil a d’fhéadfadh teacht as an bpróiseáil.
  4. Bhí mainneachtain ann a léiriú go ndearna an Garda Síochána aon mheasúnú réamhsháraithe ar na nithe ar cheart do rialaitheoir aird a bheith aige orthu faoi alt 78(a) go (g) den Acht um Chosaint Sonraí, 2018.
  5. In imthosca inar bhain na sonraí pearsanta a próiseáladh ar an gClár Feasachán Faisnéise le himscrúduithe leanúnacha agus le sonraí pearsanta ábhar sonraí soghonta, cinneadh go raibh na sonraí pearsanta sin de chineál an-íogair.

Na cumhachtaí ceartaitheacha a feidhmíodh

Fuarthas amach sa chinneadh go raibh sé cuí cumhachtaí ceartaitheacha a fheidhmiú de réir alt 124(3) d’Acht 2018 agus leagtar amach ann na cumhachtaí ceartaitheacha a feidhmíodh de bhun alt 127(1) d’Acht 2018. Is iad sin:

  • Iomardú a eisíodh chuig an nGarda Síochána, de bhun alt 127(1)(b) den Acht um Chosaint Sonraí, 2018, i leith na sáruithe. Léirigh cineál na sáruithe a sainaithníodh go raibh mainneachtain ghinearálta ag an nGarda Síochána bearta cuí teicniúla agus eagrúcháin a chur chun feidhme chun a chinntiú go bpróiseálfadh sé sonraí pearsanta de réir an Achta um Chosaint Sonraí, 2018, agus
  • Ordú a eisíodh chuig an nGarda Síochána chun a phróiseáil a chur i gcomhréir leis na forálacha iomchuí den Acht um Chosaint Sonraí, 2018, trí bhearta cuí teicniúla agus eagrúcháin a chur chun feidhme i leith shlándáil na gClár Feasachán Faisnéise ar fud a líonra stáisiún in Éirinn.

Fiosrúchán maidir le Tacar Sonraí Meta - Samhain 2022

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 25

Tagairt DPC: IN-21-4-2

Dáta Cinnidh: 25 Deireadh Fómhair 2022

Ar an 25 Samhain 2022, ghlac an Coimisiún um Chosaint Sonraí (an DPC) le cinneadh chun fíneáil €265 milliún a ghearradh agus cumhachtaí ceartaitheacha eile a chur ar Meta Platforms Ireland Limited (Facebook Ireland Limited roimhe seo) (Meta Platforms).

Chuir an DPC tús leis an bhfiosrúchán seo ar an 14 Aibreán 2021, de bhun tuairiscí sna meáin faoi aimsiú tacar sonraí de shonraí pearsanta Facebook a bhí tiomsaithe agus curtha ar fáil ar an idirlíon. Bhain raon an fhiosrúcháin le scrúdú agus measúnú ar na huirlisí Facebook Search, Facebook Messenger Contact Importer agus Instagram Contact Importer i dtaca le próiseáil a rinne Meta Platforms Ireland (MPIL) le linn na tréimhse idir an 25 Bealtaine 2018 agus Meán Fómhair 2019. Bhain na ceisteanna ábhartha san fhiosrúchán seo le comhlíonadh na hoibleagáide faoin GDPR le haghaidh Cosaint Sonraí de réir Dearadh agus Réamhshocraithe. Rinne an DPC scrúdú ar fheidhmiú beart teicniúla agus eagraíochtúla de bhun Airteagail 25 GDPR (a phléann leis an gcoincheap seo).

Próiseas fiosrúcháin cuimsitheach a bhí ann. Cé gur próiseáil “trasteorann” a bhí i gceist leis an bpróiseáil a scrúdaíodh, bhí cinneadh an DPC faoi réir an chórais comhoibrithe agus comhsheasmhachta a achoimrítear in Airteagal 60 GDPR agus ghlac gach ceann de na húdaráis maoirseachta Eorpacha eile páirt ann. D’aontaigh na húdaráis maoirseachta eile sin le cinneadh an Choimisiúin um Chosaint Sonraí. Dá réir sin, léiríonn cinneadh an DPC tuairimí coiteanna an DPC agus a chomhúdaráis maoirseachta ar fud an AE.

Glacadh leis an gcinneadh Dé hAoine, 25 Samhain 2022, agus cláirítear cinntí ann gur sáraíodh Airteagail 25(1) agus 25(2) den GDPR. Sa chinneadh cuireadh iomardú agus ordú go gcuirfidh Meta Platforms a phróiseáil i gcomhlíonadh trí réimse bearta sonraithe feabhais a dhéanamh laistigh de thréimhse áirithe. Chomh maith leis seo, ghearr an cinneadh fineálacha riaracháin ar Meta Platforms atá €265 milliún san iomlán.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán maidir le Tacar Sonraí Meta - Samhain 2022 (PDF, 1.1 MB).

Fiosrúchán maidir le Cuideachta Árachais Ark Life (Cuideachta Gníomhaíochta Ainmnithe)

Airteagal: 32

Tagairt DPC: IN-21-6-1

Dáta Cinnidh: 26 Meán Fómhair 2022

Tháinig an cinneadh seo chun cinn mar gheall ar fhiosrúchán féintoilithe a thosaigh an Coimisiún um Chosaint Sonraí (DPC) de bhun Alt 110 den Acht um Chosaint Sonraí, 2018 chun breithniú a dhéanamh faoi ar chomhlíon Ark Life an Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) maidir lena n-oibríochtaí próiseála.

Cuireadh tús leis an bhfiosrúchán i ndiaidh do Ark Life 158 sárú i ndáil le sonraí pearsanta a chur in iúl don DPC idir Nollaig na bliana 2018 agus Bealtaine na bliana 2020. Bhain na fógraí sáraithe sonraí go príomha le nochtadh neamhúdaraithe sonraí pearsanta mar thoradh ar mhíchruinneas i seoltaí agus saincheisteanna laistigh de na nósanna imeachta poist agus ríomhphoist atá á bhfeidhmiú ag Ark Life.

Measadh sa chinneadh ar chomhlíon Ark Life Airteagal 32(1) an GDPR agus ar chuir Ark Life go háirithe bearta iomchuí teicniúla agus eagraíochtúla i bhfeidhm ar mhaithe le leibhéal riosca a chinntiú atá oiriúnach do na rioscaí a bhaineann lena n-oibríochtaí próiseála.

Fuarthas amach sa chinneadh gur chomhlíon Ark Life na hoibleagáidí atá acu faoi Airteagal 32(1) an GDPR. Dhearbhaigh Ark Life gur cuireadh beartais i bhfeidhm, beartais a bhí curtha in oiriúint go háirithe do na rioscaí a bhaineann leis an bpróiseáil. Chuir Ark Life oiliúint ar fáil arís agus arís eile d’earnálacha an ghnólachta, a bhí faoi réir den chuid is mó ag sáruithe den chineál sin i ndáil le sonraí pearsanta. Ghlac Ark Life le bearta réamhghníomhacha freisin chun freagra a thabhairt ar phróifíl riosca roinnt aonaid ghnó atá ag méadú trí bhearta slándála breise a chur i bhfeidhm i ndiaidh do roinnt sáruithe i ndáil le sonraí pearsanta tarlú. Tá fabhtanna sna próisis a bhaineann leis na bearta sin ar tugadh aghaidh orthu, maidir le sonraí teagmhála na gcustaiméirí agus ag plé le post ar seoladh ar ais.

Chinn an DPC nár sháraigh Ark Life Airteagal 32(1), agus iad ag tógáil san áireamh candam na sáruithe ar shonraí, na bearta teicniúla agus eagraíochtúla a chuir Ark Life i bhfeidhm agus déine mheasartha nó íseal an riosca do na hábhair sonraí. Dá réir sin, níor feidhmíodh cumhachtaí ceartaitheacha sa chinneadh seo.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Cuideachta Árachais Ark Life (Cuideachta Gníomhaíochta Ainmnithe) - Méan Fómhair 2022 (PDF 352 KB)

 

Fiosrúchán ar Airbnb Ireland UC - Meán Fómhair 2022

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 5, 6, 12

Dáta Cinnidh: 14 Meán Fómhair 2022

An 14 Meán Fómhair 2022, tar éis fiosrúcháin, ghlac an Coimisiún um Chosaint Sonraí (an Coimisiún) cinneadh chun cumhachtaí ceartaitheacha a fheidhmiú i leith Airbnb Ireland UC (Airbnb).

Thosaigh an Coimisiún an fiosrúchán sin an 25 Márta 2021 de bhun gearán a fháil á rá gur mhainnigh Airbnb iarraidh léirscriosta agus iarraidh rochtana ina dhiaidh sin a chuir an Gearánach faoina bhráid a chomhlíonadh laistigh den chreat ama reachtúil agus gur tharla sé, nuair a chuir an Gearánach an iarraidh léirscriosta uaidh isteach, gur iarr Airbnb air a aitheantas a fhíorú trí fhótachóip dá dhoiciméad aitheantais (aitheantas) a sholáthar, rud nár soláthraíodh do Airbnb roimhe sin.

Bhain raon feidhme an fhiosrúcháin le scrúdú agus measúnú a dhéanamh ar na nithe seo a leanas:

  1. Cé acu a bhí nó nach raibh bunús dleathach ag Airbnb le cóip d’aitheantas an Ghearánaigh a iarraidh chun a aitheantas a fhíorú in imthosca inar chuir sé iarraidh léirscriosta isteach de bhun Airteagal 17;
  2. Cé acu a láimhseáil nó nár láimhseáil Airbnb an iarraidh léirscriosta ón nGearánach i gcomhréir leis an Rialachán Ginearálta maidir le Cosaint Sonraí agus leis an Acht; agus
  3. Cé acu a láimhseáil nó nár láimhseáil Airbnb an iarraidh rochtana ón nGearánach i gcomhréir leis an Rialachán Ginearálta maidir le Cosaint Sonraí agus leis an Acht.

Ós rud é gurbh ionann an phróiseáil a bhí i gceist agus próiseáil “trasteorann”, bhí an cinneadh ón gCoimisiún faoi réir an tsásra comhair agus comhsheasmhachta atá leagtha amach in Airteagal 60 RGCS agus, de bhun Airteagal 60(3) RGCS, chuir an Coimisiún an dréachtchinneadh uaidh faoi bhráid na n-údarás maoirseachta lena mbaineann ar mhaithe le tuairim a fháil uathu. Ós rud é nach bhfuair an Coimisiún aon agóidí ábhartha réasúnaithe in aghaidh an dréachtchinnidh ó na húdaráis mhaoirseachta lena mbaineann laistigh den tréimhse reachtúil, measadh gur aontaigh na húdaráis mhaoirseachta leis an dréachtchinneadh ón gCoimisiún agus tá siad faoi cheangal aige de réir Airteagal 60(6) RGCS. Ghlac an Coimisiún an cinneadh uaidh i ndáil leis an ngearán seo de réir Airteagal 60(7) RGCS.

Glacadh an cinneadh Dé Céadaoin an 14 Meán Fómhair 2022 agus taifeadtar na sáruithe seo a leanas ann:

  • Airteagal 5(1)(c) RGCS

Cinneann an Coimisiún gur sháraigh Airbnb prionsabal an íoslaghdaithe sonraí, de bhun Airteagal 5(1)(c) RGCS, nuair a cheangail sé ar an nGearánach a aitheantas a fhíorú trí chóip dá aitheantas fótagrafach a chur isteach. Tharla an sárú seo in imthosca ina raibh réitigh nach raibh chomh sonraíbhunaithe céanna ar cheist an fhíorúcháin aitheantais ar fáil do Airbnb.

  • Airteagal 6(1) RGCS

Cinneann an Coimisiún gur tharla sé, in imthosca sonracha an ghearáin seo, nach bhfuil an leas dlisteanach a shaothraigh an rialaitheoir ina bhunús dleathach bailí faoi Airteagal 6 RGCS le cóip d’aitheantas fótagrafach an Ghearánaigh a iarraidh chun an iarraidh léirscriosta uaidh a phróiseáil.

  • Airteagal 12(3) RGCS

Cinneann an Coimisiún gur sháraigh Airbnb Airteagal 12(3) RGCS i ndáil leis an dóigh ar láimhseáil sé an iarraidh rochtana ón nGearánach. Tharla an sárú seo nuair a mhainnigh Airbnb faisnéis a sholáthar don Ghearánach faoin ngníomh a rinneadh i dtaca leis an iarraidh rochtana uaidh laistigh de mhí amháin ón iarraidh a fháil.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán: Fiosrúchán ar Airbnb Ireland UC - Meán Fómhair 2022 (PDF, 0.5mb).