Cé Muid Féin

Fiosrúchán maidir le Biúró Creidmheasa na hÉireann DAC

Réimse: Banc/Creidmheas/Árachas

Airteagal: 5, 24, 25, 26

Tagairt DPC: IN-19-7-2

Dáta Cinnidh: 23 Márta 2021

Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chuir Biúró Creidmheasa na hÉireann (‘ICB’) in iúl don DPC an 31 Lúnasa 2018. Gníomhaireacht teistiméireachtaí creidmheasa is ea an ICB a choimeádann bunachar sonraí maidir le feidhmíocht comhaontuithe creidmheasa idir institiúidí airgeadais agus iasachtaithe. Tharla an sárú ar shonraí pearsanta nuair a rinne an ICB athrú cóid a chur i bhfeidhm lena bhunachar sonraí, ina raibh earráid theicniúil. Dá bharr sin, idir an 28 Meitheamh 2018 agus an 30 Lúnasa 2018, rinne bunachar sonraí an ICB uasdátú míchruinn ar thaifid 15,120 cuntais dhúnta. Nocht an ICB 1,062 taifid mhíchruinne le hinstitiúidí airgeadais nó ábhair sonraí sular réitíodh an cheist. Luaigh gach ceann de na taifid cuntais mhíchruinne a nochtadh gur dhúnadh na cuntais níos déanaí ná mar a tharla i ndáiríre, ach níor luaigh aon ceann dóibh go mícheart go raibh fuílleach le híoc ar an gcuntas.

  • De réir an chinnidh, sháraigh an ICB Airteagal 25(1) den GDPR nuair nár cuireadh bearta theicniúla agus eagraíochtúla cuí i bhfeidhm chun prionsabal an chruinnis a chur i bhfeidhm i mbealach éifeachtach agus chun cosaintí riachtanacha a imeascadh sa phróiseáil go dtí go ndéanfar riachtanais an GDPR a chomhlíonadh agus cearta ábhar sonraí a chosaint.
  • De réir an chinnidh, sháraigh an ICB Airteagal 5(2) agus 24(1) den GDPR nuair nár léirigh sé comhlíonadh a oibleagáid, de bhun Airteagal 25(1) den GPDR, chun tástáil chuí a dhéanamh ar athruithe atá beartaithe dá bhunachar sonraí.
  • De réir an chinnidh, níor sháraigh an ICB Airteagal 26(1) den GDPR i gcúinsí nach comh-rialaitheoirí iad baill an ICB maidir le bunachar sonraí an ICB.

Na cumhachtaí ceartaitheacha a fheidhmíodh

  • Chuir an cinneadh fíneáil riaracháin de €90,000 ar an ICB mar gheall ar na sáruithe.
  • D'eisigh an cinneadh iomardú don ICB maidir leis na sáruithe.
  • I dtaca leis na bearta a chuir an ICB i bhfeidhm ó tharla an sárú ar shonraí pearsanta agus i rith an fhiosrúcháin, ní raibh gá leis an gcinneadh ordú a thabhairt don ICB gníomh ar leith a dhéanamh chun a chuid gnóthaí próiseála a chur i gcomhlíonadh leis an GDPR.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Biúró Creidmheasa na hÉireann DAC Márta 2021 (PDF, 1,427 KB).

 

Fiosrúchán Maidir le Cuideachta Idirnáisiúnta Twitter ('TIC')

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 33, S 110, S 111

Tagairt DPC: IN-19-1-1

Dáta Cinnidh: 9 Nollaig 2020

Scrúdaigh an Fiosrúchán seo, a chuir an Coimisiún um Chosaint Sonraí (‘an Coimisiún)’ tús leis an 22 Eanáir 2019, ar chomhlíon Cuideachta Idirnáisiúnta Twitter (‘TIC’) a oibleagáidí faoi GDPR maidir lena fhógra, an 8 Eanáir 2019, faoi shárú sonraí pearsanta ('an Sárú') chuig an gCoimisiún. Bhain an Sárú, a tharla ag próiseálaí TIC, Twitter Inc., le fabht a tharlódh dá n-athródh úsáideoir Twitter, le cuntas cosanta, a sheoladh ríomhphoist ag úsáid Twitter do Android, go mbeadh a chuntas gan chosaint.

Ba é cuspóir an Fhiosrúcháin scrúdú a dhéanamh ar shaincheisteanna áirithe a bhain le fógra TIC faoin Sárú, seachas scrúdú a dhéanamh ar na saincheisteanna substainteacha a bhaineann leis an Sárú féin. Maidir leis seo, rinne an Fiosrúchán scrúdú chun a fháil amach ar chomhlíon TIC Airteagal 33 (1) den GDPR, i dtéarmaí tráthúlachta, a fhógra maidir leis an Sárú chuig an gCoimisiún, agus ar chomhlíon sé Airteagal 33 (5) den GDPR, maidir lena dhoiciméadú ar an Sárú.

Chuir an DPC a dhréachtchinneadh san fhiosrúchán seo faoi bhráid Údaráis Maoirseachta Imní eile faoi Airteagal 60 GDPR an 22 Bealtaine 2020. Ba é seo an chéad dréachtchinneadh a chuaigh tríd an bpróiseas um réiteach díospóide Airteagal 65 agus ba é an chéad Dréachtchinneadh é i gcás “big tech” ar chuathas i gcomhairle le húdaráis maoirseachta uile an AE mar Údaráis Maoirseachta Imní. Ghlac an Bord Eorpach um Chosaint Sonraí a chinneadh faoi Airteagal 65 (1) (a) an 9 Samhain 2020. D'eisigh an DPC a chinneadh deiridh chuig TIC an 9 Nollaig 2020.

Fíricí ba chúis le Fiosrúchán

Tugadh fógra TIC faoin Sárú don Choimisiún, as ar eascair an Fiosrúchán, an 8 Eanáir 2019 trí Fhoirm Fógra Sáraithe Trasteorann chomhlánaithe. San Fhoirm, thug TIC breac-chuntas go bhfuair sé tuarascáil ar fhabht trína ‘Chlár Bug Bounty’ á rá “… dá n-athródh úsáideoir Twitter, le cuntas cosanta, a sheoladh ríomhphoist ag úsáid Twitter do Android, bheadh a gcuntas gan chosaint mar thoradh ar an bhfabht. " Rinneadh cur síos breise san Fhoirm Fógra Sáraithe, maidir leis na cúiseanna nár tugadh fógra don Choimisiún laistigh den tréimhse 72 uair a cheanglaítear le hAirteagal 33 (1),

“Níor tugadh aird ar a thromchúisí agus a bhí an tsaincheist - agus go raibh sí intuairiscithe - go dtí an 3 Eanáir 2018 [sic] agus cuireadh próiseas freagartha eachtraí Twitter i ngníomh ag an bpointe sin.”

Shainaithin an Fhoirm Fógra Sáraithe an tionchar a d’fhéadfadh a bheith aige ar dhaoine aonair lena mbaineann, de réir mar a mheas TIC, mar “shuntasach”. I bhfoirm fógra leantach eile a chuir TIC faoi bhráid an Choimisiúin an 16 Eanáir 2019, dheimhnigh TIC gurbh é líon na núsáideoirí AE agus LEE (EEA) a mbaineann sé leo ná 88,726. Dheimhnigh sé freisin gur tugadh isteach an fabht a raibh an Sárú mar thoradh air “an 4 Samhain 2014 agus go raibh sé leasaithe go hiomlán faoin 14 Eanáir 2019” agus, toisc nach raibh sé indéanta gach duine a bhain sé leo a aithint (mar gheall ar theorainneacha coinneála ar na logaí atá ar fáil), chreid sé go raibh tionchar aige ar dhaoine breise le linn na tréimhse sin.

Fiosrúchán faoi Alt 110, an tAcht um Chosaint Sonraí 2018

Mar ba léir ón bhFoirm Fógra Sáraithe a chuir TIC isteach go raibh tréimhse níos mó ná 72 uair caite ón uair a tháinig TIC (mar rialaitheoir) ar an eolas faoin Sárú, agus ag féachaint do líon na n-ábhar sonraí a raibh tionchar orthu, chuir an Coimisiún tús leis an bhFiosrúchán, faoi Alt 110 (1) den Acht um Chosaint Sonraí 2018 (‘Acht 2018’) chun scrúdú a dhéanamh ar chomhlíon TIC a oibleagáidí faoi Airteagal 33, agus go háirithe, lena oibleagáidí faoi Airteagal 33 (1) agus Airteagal 33 (5).

Comhlíonadh Airteagal 33 (1)

Agus measúnú á dhéanamh maidir le comhlíonadh TIC le hAirteagal 33 (1), rinne an Coimisiún scrúdú ar an amlíne a bhain le fógra TIC faoin Sárú don Choimisiún. Maidir leis seo, dheimhnigh TIC don Choimisiún le linn an Fhiosrúcháin go bhfuair conraitheoir seachtrach, a bhí fostaithe ag Twitter, fógra faoin bhfabht den chéad uair an 26 Nollaig 2018, conraitheoir a bhí fostaithe chun fabhtanna a chuardach agus a mheas tríd an gClár Bug Bounty, clár trínar féidir le duine ar bith tuairisc ar fhabht a chur ar aghaidh. Dheimhnigh TIC freisin gur chuir an conraitheoir seachtrach toradh a mheasúnaithe in iúl do Twitter Inc. ar an 29 Nollaig 2018. Dheimhnigh TIC freisin gur chuir Twitter Inc. tús lena athbhreithniú inmheánach ar Shlándáil Faisnéise ar an gceist an 2 Eanáir 2019, agus, ina dhiaidh seo, an 3 Eanáir 2019, go ndearna Twitter Inc. measúnú ar an eachtra mar shárú féideartha ar shonraí pearsanta faoin GDPR agus chinn sé gur cheart an plean freagartha teagmhais a thionscnamh. Dheimhnigh TIC freisin, ina dhiaidh seo (an 4 Eanáir 2019), gur osclaíodh ticéad Bainistíochta Teagmhas (IM) ach, mar gheall ar mhainneachtain (ag foireann Twitter Inc.) céim áirithe a leanúint sa phróiseas bainistíochta teagmhas mar a bhí sé forordaithe, níor cuireadh an tOifigeach Cosanta Sonraí (DPO) de chuid TIC san áireamh ar an ticéad IM, agus mar thoradh air sin cuireadh moill ar an DPO (agus, mar sin TIC mar rialaitheoir) a chur ar an eolas faoin gceist.

Dheimhnigh TIC don Choimisiún gur chuir a phróiseálaí, Twitter Inc., ar an eolas é faoin Sárú den chéad uair an 7 Eanáir 2019. D'áitigh sé, in imthosca inar chuir sé an Sárú ar an eolas don Choimisiún an 8 Eanáir 2019, gur chomhlíon sé an ceanglas fógra a thabhairt faoi Airteagal 33 (1).

Tar éis breithniú a dhéanamh ar an amlíne maidir le fógra TIC faoin Sárú, tháinig an Coimisiún ar an tuairim, d’ainneoin feasacht iarbhír TIC ar an Sárú an 7 Eanáir 2019, gur cheart go mbeadh TIC ar an eolas faoin Sárú ag pointe ama níos luaithe agus, sa chás áirithe seo, faoin 3 Eanáir 2019 ar a dhéanaí. Agus an tuairim seo á fhoirmiú aige, chuir an Coimisiún san áireamh gurb é an 3 Eanáir 2019 an dáta a mheas Twitter Inc. an eachtra ar dtús mar shárú féideartha ar shonraí pearsanta ach, mar gheall ar neamhéifeachtúlacht an phróisis sna cúinsí áirithe agus/nó gur mhainnigh foireann Twitter Inc. a bpróiseas bainistíochta teagmhas féin a leanúint, bhí moill ann an DPO a chur ar an eolas faoin sárú féideartha sonraí, rud a d’fhág nár cuireadh TIC (mar rialaitheoir) ar an eolas faoin Sárú go dtí an 7 Eanáir 2019.

Agus an toradh seo á dhéanamh aige, chuir an Coimisiún san áireamh freisin moill níos luaithe a tháinig chun cinn sa tréimhse ón uair a chuir a chonraitheoir seachtrach an eachtra ar an eolas den chéad uair do Twitter Inc. an 29 Nollaig 2018 go dtí gur chuir Twitter Inc. tús lena athbhreithniú Slándála Faisnéise ar an gceist an 2 Eanáir 2019. Le linn an Fhiosrúcháin, dheimhnigh TIC don Choimisiún go raibh an mhoill seo tagtha chun cinn “mar gheall ar sceideal saoire an gheimhridh” (in imthosca ina raibh trí cinn de na ceithre lá i gceist ina laethanta saoire - deireadh seachtaine agus Lá na Bliana Nua) as ar eascair nár sainaithníodh agus nár formhéadaíodh an cheist mar ba chóir. Mar sin féin, níor ghlac an Coimisiún go raibh an mhoill seo réasúnach, go háirithe in imthosca nach féidir faillí a dhéanamh ar rioscaí féideartha do chosaint sonraí agus do chearta príobháideachta ábhair sonraí, fiú ar feadh tréimhse teoranta laethanta, díreach toisc gur lá saoire oifigiúil a bhí ann/tréimhse nó deireadh seachtaine agus ós rud é nach scorfadh seirbhísí Twitter de bheith ag feidhmiú le linn na n-amanna sin.

Mar a leagadh amach sa Chinneadh, tá cur i bhfeidhm malartach Airteagal 33 (1), agus an fheidhm a mhol TIC le linn an Fhiosrúcháin, trína ndéanann an rialaitheoir a oibleagáid fógra a thabhairt, go bunúsach, ag brath ar chomhlíonadh a phróiseálaí lena oibleagáidí faoi Airteagal 33 (2) an bonn a bhaint d’éifeachtacht oibleagáidí Airteagal 33 ar rialaitheoir. Bheadh cur chuige den sórt sin ag teacht salach ar chuspóir foriomlán an GDPR agus ar rún reachtóir an AE.

Comhlíonadh Airteagal 33 (5)

Agus measúnú á dhéanamh ar chomhlíon TIC Airteagal 33 (5), rinne an Coimisiún athbhreithniú ar an doiciméadacht a chuir TIC ar fáil le linn an Fhiosrúcháin, áit ar mhaígh sé go ndearna sé an Sárú a dhoiciméadú.

Agus é sin á dhéanamh, chinn an Coimisiún nár chomhlíon TIC Airteagal 33 (5). Bhí sé seo in imthosca nach raibh sa doiciméadacht a choinnigh TIC - ina aonar nó i dteannta a chéile - taifead, nó doiciméad, go sonrach, de ‘shárú sonraí pearsanta’ laistigh de théarmaí Airteagal 33 (5), ach ina áit sin ba dhoiciméadú de chineál níos ginearálaithe a bhí ann, lena n-áirítear tuairiscí agus cumarsáid inmheánach, a gineadh le linn bhainistíocht TIC ar an eachtra.

Ina theannta sin, chinn an Coimisiún nach raibh dóthain faisnéise sa doiciméadacht a choinnigh TIC i ndáil leis an Sárú chun an cheist maidir le comhlíonadh TIC le ceanglais Airteagal 33 a fhíorú, mar a cheanglaítear le hAirteagal 33 (5). Go háirithe, chinn an Coimisiún go raibh an doiciméadacht, a d’aithin TIC mar an príomhthaifead inar dhoiciméadaigh sé na fíricí, na héifeachtaí agus an gníomh feabhais a glacadh i leith an tSáraithe, easnamhach in imthosca nach raibh na fíricí ábhartha uile ann a bhain le fógra a thabhairt don Choimisiún faoin Sárú. Go háirithe, ní raibh aon tagairt sa doiciméadacht do na saincheisteanna a d’fhág gur chuir an phróiseálaí moill ar TIC a chur ar an eolas faoin Sárú, ná níor thug sé aghaidh ar an gcaoi a ndearna TIC an riosca d’úsáideoirí a raibh tionchar orthu mar thoradh ar an Sárú a mheas. Chinn an Coimisiún freisin gur léiríodh a thuilleadh na heasnaimh sa doiciméadacht a chuir TIC ar fáil mar thaifead ar an Sárú toisc go raibh ar an gCoimisiún, le linn an Fhiosrúcháin, ceisteanna éagsúla a ardú d’fhonn soiléireacht a fháil maidir leis na fíricí a bhain leis an bhfógra faoin Sárú.

Próiseas faoi Airteagal 60 agus Airteagal 65 den GDPR

An 22 Bealtaine 2020, d’eisigh an Coimisiún dréacht dá Chinneadh (‘an Dréachtchinneadh’) chuig na húdaráis maoirseachta eile lena mbaineann (‘CSAnna’) chun a dtuairimí a fháil de réir an phróisis faoi Airteagal 60 GDPR. Leag an Dréachtchinneadh amach cinneadh beartaithe an Choimisiúin maidir le sáruithe faoi Airteagail 33(1) agus 33(5) agus a mholadh fíneáil riaracháin a ghearradh. Faoi Airteagal 60(4), tá tréimhse ceithre seachtaine ag CSAnna chun agóid ábhartha agus réasúnaithe a chur in iúl i gcoinne dréachtchinnidh.

Chuir roinnt CSAanna agóidí in iúl maidir le gnéithe den Dréachtchinneadh, lena n-áirítear agóidí ar an mbonn gur cheart don Choimisiún, mar chuid dá Fhiosrúchán, forálacha eile den GDPR a mheas; agóidí a bhaineann le hábhair neamhshuntasacha, amhail ról an fhreagróra atá faoi imscrúdú (TIC) a ainmniú agus inniúlacht an Choimisiúin, mar PhríomhÚdarás Maoirseachta, chun déileáil leis an ábhar; agus agóidí i ndáil leis an bhfíneáil riaracháin a mhol an Coimisiún.

Tar éis breithniú a dhéanamh ar na hagóidí a ardaíodh, agus tar éis iarracht a dhéanamh teacht ar chomhthoil leis na CSAnna, ní raibh an Coimisiún in ann na hagóidí a leanúint i nDréachtchinneadh leasaithe. Ar an mbonn seo, tharchuir an Coimisiún an t-ábhar chuig an mBord Eorpach um Chosaint Sonraí (‘EDPB’) lena chinneadh de bhun mheicníocht um réiteach díospóide Airteagal 65. Chuir an EDPB tús le nós imeachta Airteagal 65 an 8 Meán Fómhair 2020. Tar éis dó a chinneadh ceangailteach a ghlacadh faoi Airteagal 65 (1) (a) (‘Cinneadh an EDPB’) an 9 Samhain 2020, chuir an EDPB é sin in iúl don Choimisiún an 17 Samhain 2020. Ina dhiaidh sin, de bhun Airteagal 65 (6), ceanglaíodh ar an gCoimisiún a chinneadh críochnaitheach a ghlacadh ar bhonn Chinneadh an EDPB “gan mhoill mhíchuí agus ar a dhéanaí mí amháin tar éis don Bhord a chinneadh a chur in iúl.”

Foráiltear le hAirteagal 65 (1) (a) go mbainfidh cinneadh ceangailteach an EDPB faoi Airteagal 65 “… maidir leis na hábhair go léir is ábhar don agóid ábhartha agus réasúnaithe, go háirithe an bhfuil sárú ar [an GDPR]”. Maidir leis seo, i dtéarmaí mheasúnú an EDPB ar na hagóidí a d’ardaigh na CSAnna sa chás seo, chinn Cinneadh an EDPB nach raibh cuid de na hagóidí a ardaíodh ‘ábhartha agus réasúnaithe’ de réir bhrí Airteagal 4 (24) ar an mbonn nár thug siad léiriú soiléir maidir le tábhacht na rioscaí a bhaineann leis an Dréachtchinneadh maidir le cearta agus saoirsí bunúsacha ábhar sonraí agus, nuair is infheidhme, saorshreabhadh sonraí pearsanta laistigh den Aontas Eorpach (mar a cheanglaítear le Airteagal 4 (24)).

Maidir le roinnt agóidí eile a ardaíodh, agus a rinneadh ar an mbonn gur cheart go mbeadh machnamh déanta ag an gCoimisiún ar sháruithe breise faoi fhorálacha eile den GDPR (go sonrach, Airteagail 5 (1) (f), 5 (2), 24 agus 32), cé gur chinn an EDPB go raibh na hagóidí seo ábhartha agus réasúnaithe faoi Airteagal 4 (24), chinn sé nach bhféadfadh sé, ar bhonn na ngnéithe fíorasacha sa Dréachtchinneadh nó sna hagóidí féin, a chruthú go raibh sáruithe breise (nó malartacha) den sórt sin ann.

Faoi dheireadh, agus maidir leis na hagóidí a d’ardaigh CSAnna maidir leis an bhfíneáil riaracháin a forchuireadh, chinn an EDPB go raibh cuid de na hagóidí seo ábhartha agus réasúnaithe faoi Airteagal 4 (24). Mar sin, d’eisigh an EDPB treoir cheangailteach don Choimisiún chun athmheasúnú a dhéanamh ar na heilimintí a raibh sé ag brath orthu chun méid na fíneála a ríomh (faoi Airteagal 83 (2) GDPR) agus chun an Dréachtchinneadh a leasú trí leibhéal na fíneála a ardú. (Téigh chuig suíomh idirlín an EDPB, an áit ar foilsíodh Cinneadh an EDPB, chun tuilleadh sonraí ar Chinneadh an EDPB a fháil).

Cinneadh faoi alt 111 d'Acht 2018

Ghlac an Coimisiún a Chinneadh deiridh (‘an Cinneadh’) an 9 Nollaig 2020, ar bhonn Chinneadh an EDPB, de bhun Airteagal 60 (7) i gcomhar le hAirteagal 65 (6). Agus cinneadh á dhéanamh gur sháraigh TIC Airteagal 33 (1) agus Airteagal 33 (5), ghearr an Coimisiún fíneáil riaracháin $500,000 (measta chun na críche seo ag €450,000) a léirigh méadú ar leibhéal na fíneála riaracháin beartaithe a leagadh amach sa Dréachtchinneadh, de réir threoir an EDPB. Nuair a bhí an fhíneáil seo á cinneadh, chinntigh an Coimisiún, mar a cheanglaítear air a dhéanamh faoi Airteagal 83 (1) GDPR, go raibh an fhíneáil a gearradh éifeachtach, comhréireach agus athchomhairleach. Maidir leis seo, agus cinneadh á dhéanamh fíneáil a ghearradh agus méid na fíneála sin á mheas, bhreithnigh an Coimisiún an raon iomlán fachtóirí faoi Airteagal 83 (2) GDPR i gcomhthéacs imthosca an cháis áirithe seo. Agus é sin á dhéanamh, thug an Coimisiún aird ar leith ar chineál, ar dháiríreacht agus ar fhaid na sáruithe lena mbaineann, ag cur san áireamh cineál, scóip agus cuspóir na próiseála agus líon na n-ábhar sonraí a ndearnadh difear dóibh. Thug an Coimisiún aird freisin ar thréith fhaillíoch na sáruithe. Agus an fhíneáil á socrú aige, chuir an Coimisiún tosca áirithe eile san áireamh, lena n-áirítear na céimeanna a ghlac Twitter Inc. chun an fabht a cheartú.

Nuair a bhí a chinneadh á dhéanamh aige sa chás seo, thug an Coimisiún chun suntais freisin go bhfuil tábhacht lárnach ag rialaitheoirí na hoibleagáidí faoi Airteagal 33 (1) agus Airteagal 33 (5) a chomhlíonadh mar chuid d’fheidhmiú foriomlán an chórais maoirseachta agus forfheidhmithe a dhéanann údaráis chosanta sonraí

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Cuideachta Idirnáisiúnta Twitter (‘TIC’) - Nollaig 2020   (PDF, 2,014 KB).

 

Cinneadh maidir le Groupon International Limited

Airteagal: 5, 6, 12, 17

Dáta Cinnidh: 16 Nollaig 2020

Ag gníomhú dó ina cháil mar phríomhúdarás maoirseachta, chuir an Coimisiún um Chosaint Sonraí tús le scrúdú ar ghearán a fuair Údarás Cosanta Sonraí na Polainne ar dtús. Bhain an gearán le próiseáil trasteorann, ar ina leith a bhí an Coimisiún inniúil chun gníomhú mar phríomhúdarás maoirseachta. Bhain an gearán le ceann amháin de na cleachtais a bhí ar bun ag Groupon tráth an ghearáin, áit ar chuir sé ceanglas ar ábhair sonraí a gcéannacht a fhíorú trí chóip leictreonach a sholáthar de chárta aitheantais náisiúnta. Bhí feidhm ag an gceanglas sin nuair a rinne ábhair sonraí iarrataí áirithe, lenar áiríodh iarrataí ar shonraí pearsanta a léirscriosadh. Ní raibh aon fheidhm ag an gceanglas sin, áfach, nuair a chruthaigh ábhair sonraí cuntas Groupon. Agus an cinneadh á dhéanamh, leanadh an nós imeachta maidir le próiseáil trasteorann atá leagtha amach in Airteagal 60 den Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS). Tharla na nithe seo a leanas le linn an nós imeachta a leanúint: rinne an Coimisiún scrúdú ar an ngearán, lenar áiríodh iarracht a dhéanamh an gearán a réiteach go cairdiúil; scaipeadh Dréachtchinneadh i measc na nÚdarás Maoirseachta lena mBaineann; rinne an Coimisiún breithniú cúramach ar gach agóid ábhartha réasúnaithe a fuarthas; scaipeadh Dréachtchinneadh Athbhreithnithe i measc na nÚdarás Maoirseachta lena mBaineann; glacadh an Cinneadh Deiridh; agus, ar deireadh, bhí Údarás Cosanta Sonraí na Polainne freagrach as an ngearánach a chur ar an eolas faoin gcinneadh.

  • Cinneadh gur sháraigh Groupon prionsabal an íoslaghdaithe sonraí faoi Airteagal 5(1)(c) RGCS nuair a chuir sé ceanglas ar an ngearánach a chéannacht a fhíorú trí chóip a chur isteach de dhoiciméad aitheantais náisiúnta in imthosca ina raibh fáil ag Groupon ar réiteach nach raibh chomh sonraíbhunaithe céanna ar cheist an fhíorúcháin céannachta (ba é sin, seoladh ríomhphoist a dheimhniú).
  • Cinneadh freisin gur sháraigh Groupon Airteagail 12(2), 17(1)(a) agus 6(1) in imthosca chás an ghearánaigh.
  • Ina theannta sin, eisíodh iomardú chuig Groupon i leith na sáruithe.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Cinneadh maidir le Groupon International Limited - Nollaig 2020 (PDF, 1,227 KB).

 

Fiosrúchán maidir leis an gColáiste Ollscoile, Baile Átha Cliath

Réimse: Ollscoil

Airteagal: 5, 32, 33

Tagairt DPC: IN-19-7-4

Dáta Cinnidh: 17 Nollaig 2020

Cuireadh tús leis an bhfiosriúchán seo maidir le 7 sáruithe ar shonraí pearsanta a chuireadh in iúl don DPC ag an gColáiste Ollscoile, Baile Átha Cliath (UCD) idir an 8 Lúnasa 2018 agus an 21 Eanáir 2019. Bhain na sáruithe ar shonraí pearsanta le cásanna ina bhfuair tríú páirtithe neamhúdaraithe rochtain ar chuntais ríomhphoist UCD, nó nuair a rinneadh an fhaisnéis logála isteach do chuntais ríomhphoist UCD a phostáil ar line.

  • De réir an chinnidh, sháraigh UCD Airteagail 5(1)(f) agus 32(1) den GDPR nuair nach ndearna sé sonraí pearsanta ar a sheirbhís ríomhphoist a phróiseáil ar bhealach a chinntigh slándáil chuí do na sonraí pearsanta trí úsáid a bhaint as bearta iomchuí teicniúla agus eagraíochtúla.
  • De réir an chinnidh, sháraigh UCD Airteagal 5(1)(3) den GDPR nuair a rinne sé sonraí pearsanta áirithe a stóráil i gcuntas ríomhphoist i bhfoirm a fágadh go bhféadfaí ábhair sonraí a aithint níos faide ná mar ba ghá chun na críocha sin ar chucu a dhéantar na sonraí pearsanta a phróiseáil a bhaint amach.
  • De réir an chinnidh, sháraigh UCD Airteagal 33(1) den GDPR mar gheall nár chuir sé ceann de na sáruithe ar shonraí pearsanta in iúl don DPC gan rómhoill. Fógraíodh an sárú seo 13 lá tar éis do UCD a fháil amach faoi.

Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm

  • De réir an chinnidh, forchuireadh fíneáil riaracháin €70,000 ar UCD maidir leis na sáruithe.
  • De réir an chinnidh, ordaíodh do UCD a chuid oibríochtaí próiseála maidir lena sheirbhís ríomhphoist a chur ar bhonn comhlíonta le hAirteagail 5(1)(f) agus 32(1) den GDPR.
  • De réir an chinnidh, eisíodh iomardú do UCD maidir leis na sáruithe.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): An Coláiste Ollscoile, Baile Átha Cliath - Nollaig 2020 (PDF, 1,347 KB).

 

Cinneadh maidir le Ryanair DAC

Airteagal: 12, 15

Dáta Cinnidh: 10 Samhain 2020

Ag gníomhú dó ina cháil mar phríomhúdarás maoirseachta, chuir an DPC tús le scrúdú ar ghearán a fuair Údarás Cosanta Sonraí na Ríochta Aontaithe ar dtús. Bhain an gearán le próiseáil trasteorann ina raibh an DPC inniúil chun gníomhú ina phríomh-údarás maoirseachta. Bhain an gearán le hiarraidh rochtana ábhair a rinne an gearánach ar Ryanair. Chuir Ryanair sonraí pearsanta áirithe ar fáil don ghearánach de bhun na hiarrata. Níor éirigh leis, áfach, cóip de thaifeadadh de ghlao a rinne an gearánach a sholáthar don ghearánach. Mar gheall ar an moill a bhí ar Ryanair an iarraidh a phróiseáil, bhí an taifeadadh glaonna ón dáta sin scriosta ag Ryanair, de réir bheartas na cuideachta, agus níor éirigh leo é a aisghabháil.

Lean an chinnteoireacht an nós imeachta atá leagtha amach in Airteagal 60 den GDPR maidir le próiseáil trasteorann. Áiríodh sa nós imeachta go ndearna an DPC scrúdú ar an ngearán, lena n-áirítear iarracht an gearán a réiteach go cairdiúil; Dréachtchinneadh a scaipeadh i measc na nÚdarás Maoirseachta Imní; breithniú cúramach an DPC ar gach agóid ábhartha agus réasúnaithe a fuarthas, sa chás seo lean an DPC roinnt de na hagóidí ábhartha agus réasúnaithe a fuarthas, agus dhiúltaigh siad agóidí ábhartha agus réasúnaithe áirithe eile a leanúint; scaipeadh Dréachtchinneadh Athbhreithnithe i measc na nÚdarás Maoirseachta Imní; glacadh leis an gCinneadh Deiridh; agus ar deireadh bhí Údarás Cosanta Sonraí na RA freagrach as an gcinneadh a chur in iúl don ghearánach.

  • Chinn an cinneadh gur sháraigh Ryanair Airteagal 15 den GDPR trí mhainneachtain cóip dá sonraí pearsanta, a bhí á bpróiseáil tráth an iarratais, a sholáthar don ghearánach.
  • Chinn an cinneadh freisin gur sháraigh Ryanair Airteagal 12 (3) den Rialachán Ginearálta maidir le Cosaint Sonraí trí mhainneachtain faisnéis a sholáthar don ghearánach maidir leis an ngníomh a glacadh i ndáil lena iarraidh faoi Airteagal 15 laistigh den chreat ama reachtúil míosa.
  • Rinne an cinneadh iomardú ar Ryanair freisin maidir leis na sáruithe

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Ryanair DAC - Samhain 2020 (PDF, 150 KB).

 

Fiosrúchán maidir le Comhairle Cathrach agus Contae Phort Láirge

Réimse: Údarás Poiblí

Airteagal: S 79

Dáta Cinnidh: 21 Deireadh Fómhair 2020

Tá an fiosrúchán seo ar cheann de líon fiosrúcháin dá dtoil féin maidir le raon leathan saincheisteanna a bhaineann le faireachas teicneolaíochtaí a mbaineann údaráis Stáit úsáid astu. Áirítear ar na torthaí a rinneadh sa chinneadh:

  • Torthaí nach ndéanann an tAcht um Thruailliú ó Bhruscar 1997, an tAcht um Bainistiú Dramhaíola 1996 foráil do bhunús dlí don úsáid a bhaineann Comhairle Cathrach agus Contae Phort Láirge as CCTV faoi cheilt agus ceamaraí deaise le daoine atá ag caitheamh bruscair uathu agus ag dumpáil a bhrath. Bhreithnigh an DPC na hAchtanna seo go cuimsitheach agus fuarthas amach nach bhfuil an phróiseáil seo maidir le sonraí pearsanta á rialú acu mar a cheanglaítear sa Treoir um Fhorfheidhmiú an Dlí, mar atá trasuite ag an Acht um Chosaint Sonraí 2018. Sa bhreis air sin, fuarthas amach sa chinneadh nach bhfreastalaíonn na hAchtanna ar na caighdeáin soiléireachta, cruinnis agus inbhraiteachta maidir le próiseáil den sórt sin mar a cheanglaítear le cásdlí Chúirt Breithiúnais an Aontais Eorpaigh agus na Cúirte Eorpaí um Chearta an Duine.
  • Toradh nach raibh an úsáid a bhain Comhairle Cathrach agus Contae Phort Láirge as ceamaraí áirithe le coireacht a chosc agus a fhiosrú dleathach ceal údarú ó Choimisinéir an Gharda Síochána de réir Alt 38 d’Acht an Gharda Síochána 2005.
  • Toradh go bhfuil Comhairle Cathrach agus Contae Phort Láirge agus an Garda Síochána ina gcomhrialaitheoirí i ndáil le ceamaraí CCTV áirithe údaraithe faoi Alt 38(3)(c) d’Acht an Gharda Síochána 2005. Maidir leis sin, fuarthas amach sa chinneadh gur sháraigh Comhairle Cathrach agus Contae Phort Láirge Alt 79 den Acht um Chosaint Sonraí 2018 nuair nár cuireadh comhaontú i scríbhinn leis an nGarda Síochána.
  • Áirítear ar na torthaí eile sa chinneadh, sáruithe a bhaineann le leordhóthanacht bheartas Chomhairle Chathrach agus Contae Phort Láirge maidir leis an úsáid a bhaineann sí as ladrainn i ndáil le faireachán a dhéanamh ar chomhlíonadh ar láithreáin dramhaíola agus cosc a chur ar dhumpáil ar láithreáin dramhaíola mhídhleathacha, agus a oibleagáid maidir le log sonraí a choinneáil i ndáil le rochtain shonrach ar thaifid CCTV.

Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm:

  • Cosc sealadach ar phróiseáil sonraí pearsanta trí cheamaraí CCTV áirithe sonraithe, ceamaraí CCTV faoi cheilt, agus ceamaraí deaise chun críocha fhorfheidhmiú an dlí.
  • Orduithe tugtha do Chomhairle Cathrach agus Contae Phort Láirge próiseáil sonraí pearsanta a chur ar bhonn comhlíonta tríd an ngníomh áirithe a sonraíodh sa chinneadh.
  • Iomarduithe maidir le sáruithe Chomhairle Cathrach agus Contae Phort Láirge.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Comhairle Cathrach agus Contae Phort Láirge - Deireadh Fómhair 2020  (PDF, 1,251 KB).

 

Fiosrúcháin maidir le Feidhmeannas na Seirbhíse Sláinte

Réimse: Earnáil Slándála/Poiblí

Airteagal: 5, 32

Tagairt DPC: IN-19-9-1 & IN-19-9-2

Dáta Cinnidh: 18 Lúnasa 2020

Dátaí na gCinntí: 18 Lúnasa 2020 & 29 Meán Fómhair 2020

Chuir an DPC tús le fiosrúchán IN-19-9-1 maidir le sárú sonraí pearsanta amháin a chuir an FSS in iúl don DPC. Tharla an sárú sonraí pearsanta nuair a diúscraíodh cáipéisí ina raibh sonraí pearsanta 78 duine, lena n-áirítear sonraí pearsanta de chatagóir speisialta maidir le 6 cinn de na hábhair sonraí sin, in ionad athchúrsála poiblí. Cruthaíodh an liosta in Ospidéal Máithreachais Ollscoil Chorcaí, ach d'aimsigh ball den phobal é i limistéar athchúrsála poiblí i gContae Chorcaí.

  • Chinn an cinneadh gur sháraigh an FSS Airteagail 5 (1) (f) agus 32 (1) den GDPR trí mhainneachtain bearta teicniúla agus eagrúcháin iomchuí a chur i bhfeidhm chun leibhéal slándála a chinntiú a bheadh oiriúnach don riosca a bhaineann le cruachóipeanna doiciméid, ina bhfuil sonraí pearsanta na n-othar, a úsáid agus a dhiúscairt.

Chuir an DPC tús le Fiosrúchán IN-19-9-2 maidir le sárú sonraí pearsanta a chuir an FSS in iúl don DPC an 1 Bealtaine 2019. Tharla an sárú sonraí pearsanta nuair a d'aimsigh ball den phobal cáipéisíocht ina raibh sonraí pearsanta 15 ábhar sonraí, lena n-áirítear sonraí a bhaineann le faisnéis chliniciúil agus cóireálacha a fuaireadar. Cruthaíodh na cáipéisí in Ospidéal Mhuire Lourdes, ach fuair ball den phobal iad ina ghairdín tosaigh.

  • Chinn an cinneadh gur sháraigh an FSS Airteagail 5 (1) (f) agus 32 (1) den GDPR trí mhainneachtain bearta teicniúla agus eagrúcháin iomchuí a chur i bhfeidhm chun leibhéal slándála a chinntiú a bheadh oiriúnach don riosca a bhaineann le cruachóipeanna doiciméid, ina bhfuil sonraí pearsanta na n-othar, a úsáid agus a dhiúscairt.

Na cumhachtaí ceartaitheacha a fheidhmíodh

  • Chuir Cinneadh IN-19-9-1 fíneáil riaracháin de €65,000 ar an FSS mar gheall ar an sárú a bhí déanta acu ar Airteagail 5 (1) (f) agus 32 (1) den GDPR.
  • D'ordaigh Cinneadh IN-19-9-1 don FSS a chuid oibríochtaí próiseála, maidir le húsáid agus diúscairt doiciméad cruachóipe ina bhfuil sonraí pearsanta othar, a chur i gcomhréir le comhlíonadh Airteagail 5 (1) (f) agus 32 (1) den GDPR.
  • D'eisigh Cinneadh IN-19-9-1 iomardú don FSS maidir lena sáruithe ar Airteagal 5 (1) (f) agus 32 (1) den GDPR
  • Níor fheidhmigh Cinneadh IN-19-9-2 cumhachtaí ceartaitheacha breise i bhfianaise an chaoi ar thug cinneadh IN-19-9-1 aghaidh ar chúinsí na sáruithe céanna agus a sainaithníodh ina dhiaidh sin freisin i gcinneadh IN-19-9-1. Baineann an dá chinneadh leis na hoibríochtaí próiseála céanna, a rinne an rialaitheoir céanna, agus baineann siad leis an tréimhse ama chéanna.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Feidhmeannas na Seirbhíse - Lúnasa & Meán Fómhair 2020 (PDF, 1,866 KB).

 

Fiosrúchán maidir leis an Ghníomhaireacht um Leanaí agus an Teaghlach (Tusla)

Réimse: Údarás Poiblí

Airteagal: 5, 32, 33

Tagairt DPC: IN-18-11-4

Dáta Cinnidh: 12 Lúnasa 2020

Cuireadh tús leis an fhiosrúchán seo maidir le 71 sárú ar shonraí pearsanta a chuir Tusla in iúl don DPC. Bhreithníodh raon leathan d’oibríochta próiseála Tusla sa chinneadh agus áirítear ar na torthaí:

  • 5 thoradh shainiúla de sháruithe Airteagal 32(1) den GDPR maidir le hoibleagáidí Tusla bearta eagraíochtúla agus teicniúla cuí a chur i bhfeidhm le leibhéal slándála cuí a chinntiú i leith an riosca a chuir a cuid oibríochtaí próiseála éagsúla i láthair.

  • Toradh gur sháraigh Tusla Airteagal 32(4) den GDPR nuair nár glacadh céimeanna lena chinntiú nach ndéanann aon duine nádúrtha atá ag feidhmiú faoina húdarás próiseáil ar shonraí pearsanta ach amháin ar threoir ó Tusla.

  • Toradh gur sháraigh Tusla Airteagal 5(1)(d) den GDPR ceithre huaire nuair nár cinntíodh go raibh na sonraí pearsanta a bhí á bpróiseáil aici cruinn, agus, sa chás gur gá, coinnithe cothrom le dáta.

  • Toradh gur sháraigh Tusla Airteagal 33(1) den GDPR 8 n-uaire nuair nár cuireadh sáruithe maidir le sonraí pearsanta in iúl gan mhoill mhíchuí.

Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm

  • Forchuireadh leis an gcinneadh, dhá fhíneáil riaracháin shainiúla ar Tusla mar gheall ar sháruithe Airteagal 32(1) agus Airteagal 33(1) in imthosca nach raibh roinnt de na hoibríochtaí próiseála a bhí faoi bhreithniú “mar a chéile nó mar oibríochtaí próiseála nasctha” laistigh de shainmhíniú Airteagal 83(3) den GDPR. Ba €50,000 agus €35,000 faoi seach suim na bhfíneálacha. 

  • Ordaithe do Tusla leis an gcinneadh na hoibríochtaí próiseála a aithníodh sa chinneadh a chur ar bhonn comhlíonta le hAirteagal 32(1) den GDPR trí bhearta eagraíochtúla cuí a chur i bhfeidhm le leibhéal slándála cuí i leith an riosca a chinntiú.

  • Eisíodh, leis an gcinneadh, iomardú do Tusla maidir le sáruithe Airteagail 5(1)(d), 32(1), 32(4), agus 33(1) den GDPR.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán maidir leis an Ghníomhaireacht um Leanaí agus an Teaghlach (Tusla) (PDF, 1.92mb).

Fiosrúchán maidir leis an Ghníomhaireacht um Leanaí agus an Teaghlach (Tusla)

Réimse: Údarás Poiblí

Topaic: Leanaí

Airteagal: 32, 33

Tagairt DPC: IN-19-12-8

Dáta Cinnidh: 21 Bealtaine 2020

Cuireadh tús leis an fhiosrúchán seo maidir le haon sárú amháin ar shonraí pearsanta a chuir Tusla in iúl don DPC. Tharla an sárú maidir le sonraí pearsanta nuair a scríobh oibrí sóisialta de chuid Tusla litir chosanta d’iar-pháirtí duine aonair a raibh líomhaintí maidir le drochíde déanta ina aghaidh/ina haghaidh. Bhí sé mar chuspóir leis an litir seo an t-iarpháirtí a chur ar an eolas maidir leis an drochíde líomhnaithe agus comhairle a chur uirthi maidir le nósanna imeachta cosanta ar mhaithe le sábháilteacht leanúnach a chinntiú. Mar sin féin, bhí ainmneacha triúr duine aonair a rinne na líomhaintí agus mionsonraí maidir leis na líomhaintí a bhí déanta sa litir. Ina dhiaidh sin roinn an t-iar-pháirtí grianghraf den litir cosanta ar na meáin shóisialta.

  • De réir an chinnidh, sháraigh Tusla Airteagal 32(1) den GDPR nuair nár cuireadh bearta eagraíochtúla cuí i bhfeidhm chun le leibhéal slándála cuí a chinntiú i leith an riosca a chuir a cuid oibríocht próiseála maidir le litreacha cosanta i láthair.

  • De réir an chinnidh, sháraigh Tusla Airteagal 33(1) den GDPR freisin nuair nár cuireadh an DPC ar an eolas maidir leis an tríú sárú gan mhoill mhíchuí.

Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm

  • Forchuireadh leis an gcinneadh fíneáil de €40,000 ar Tusla maidir leis na sáruithe ar Airteagal 32(1) agus Airteagal 33(1).

  • Ordaíodh, leis an gcinneadh, do Tusla a cuid oibríochtaí próiseála a chur ar bhonn comhlíonta le hAirteagal 32(1) den GDPR trí bhearta eagraíochtúla cuí a chur i bhfeidhm le leibhéal slándála cuí i leith an riosca a chinntiú.

  • Eisíodh, leis an gcinneadh, iomarduithe do Tusla maidir le sáruithe Airteagail 32(1) agus 33(1) den GDPR.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán maidir leis an Ghníomhaireacht um Leanaí agus an Teaghlach (Tusla) (PDF, 1.90mb).

Fiosrúchán maidir leis an Ghníomhaireacht um Leanaí agus an Teaghlach (Tusla)

Réimse: Údarás Poiblí

Topaic: Leanaí

Airteagal: 32

Tagairt DPC: IN-19-10-1

Dáta Cinnidh: 7 Aibreán 2020

Cuireadh tús leis an fhiosrúchán seo maidir le trí shárú ar shonraí pearsanta a chuir Tusla in iúl don DPC. Tharla na trí shárú ar shonraí pearsanta in imthosca inar theip ar Tusla sonraí pearsanta a leasú agus iad ag soláthar doiciméid do thríú páirtithe.

Tharla an chéad sárú ar shonraí pearsanta nuair a sholáthar Tusla, de thimpiste, seoladh cúramóra altrama d’athair beirt leanbh a bhí i gcúram.

Tharla an dara sárú ar shonraí pearsanta nuair a sholáthar Tusla, de thimpiste, seoladh an linbh a rinne an gearán do dhuine aonair a raibh mí-úsáid ghnéis ar an leanbh curtha ina leith agus uimhir theileafón na máthar.

Tharla an tríú sárú ar shonraí pearsanta nuair a sholáthar Tusla, de thimpiste, seoladh agus mionsonraí teagmhála tuismitheoirí altrama do sheanmháthair leanbh a bhí faoi chúram agus suíomh scoile an linbh.

  • De réir an chinnidh, sháraigh Tusla Airteagal 32(1) den GDPR nuair nár cuireadh na bearta eagraíochtúla cuí i bhfeidhm le leibhéal slándála cuí a chinntiú i leith an riosca a chuir próiseáil a shonraí pearsanta i láthair maidir le doiciméid a chomhroinnt le tríú páirtithe.
  • De réir an chinnidh freisin, sháraigh Tusla Airteagal 33(1) de GDPR mar gheall nár chuir siad an tríú sárú in iúl don DPC gan mhoill mhíchuí.

Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm

  • Forchuireadh, leis an gcinneadh, fíneáil riaracháin de €75,000 ar Tusla mar gheall ar sháruithe Airteagal 32(1) agus Airteagal 33(1).

  • Tugadh ordú, leis an gcinneadh, do Tusla oibríochtaí próiseála a cuid sonraí pearsanta a chur ar bhonn comhlíonta le hAirteagal 32(1) de GDPR trí bhearta eagraíochtúla cuí a chur i bhfeidhm le leibhéal slándála cuí i leith an riosca a chinntiú.

  • Eisíodh, leis an gcinneadh, iomarduithe maidir le sáruithe Airteagal 32(1) agus Airteagal 33(1) den GDPR do Tusla.

Le haghaidh tuilleadh eolais, léigh an cinneadh iomlán i mBéarla: Fiosrúchán maidir leis an Ghníomhaireacht um Leanaí agus an Teaghlach (Tusla) (PDF, 1.91mb).