D’eisigh ábhar sonraí gearán chuig an gCoimisiún um Chosaint Sonraí (“an Coimisiún”) i gcoinne a fhostóra (“rialaitheoir sonraí”) maidir le próiseáil a shonraí pearsanta faoin Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”). Mhínigh an t-ábhar sonraí don Choimisiún gur tugadh do thríú páirtí (fostóir ionchasach) mionsonraí faoi ní rúnda mar chuid de theistiméireacht. Sula ndearna sé teagmháil leis an gCoimisiún, rinne an t-ábhar sonraí teagmháil leis an rialaitheoir sonraí chun aghaidh a thabhairt ar na húdair imní a bhí aige toisc go raibh sé den tuairim gur próiseáladh a shonraí pearsanta go neamhdhleathach. Ní bhfuair sé freagra sásúil ar an ngearán uaidh, áfach.

Tugann an Coimisiún dá aire gurb é a bhíonn i gceist le teistiméireacht faoi bhall foirne ó fhostóir reatha/ iarfhostóir a sholáthar do thríú páirtí, amhail fostóir ionchasach, de ghnáth ná sonraí pearsanta a nochtadh . Luaigh an t-ábhar sonraí gur nocht an rialaitheoir sonraí ní rúnda sa teistiméireacht a tugadh don fhostóir ionchasach.

Mar chuid dá scrúdú, rinne an Coimisiún idirchaid- reamh leis an rialaitheoir sonraí agus chomhroinn sé na mionsonraí faoi ghearán an ábhair sonraí. Thug an rialaitheoir sonraí freagra don Choimisiún agus mhínigh sé go bhfuil sé ag brath ar thoiliú agus ar leas dlisteanach i ndáil leis an ní rúnda a nochtadh. Luaigh an rialaitheoir sonraí gurbh amhlaidh, le linn dó cearta an ábhair sonraí a chothromú i gcoinne leasanna an tríú páirtí (agus leasanna na ndaoine sin a dtugann an tríú páirtí cúram dóibh), a chinn sé go bhfuil dualgas cúraim air a chinntiú go bhfaigheadh faighteoir na teistiméireachta (an fostóir ionchasach) teistiméireacht a bheadh fíor, cruinn, cothrom agus ábhartha don ról a ndearna an t-ábhar sonraí iarratas air.

Ba dheimhin leis an rialaitheoir sonraí gur próiseáladh na sonraí ar bhealach cothrom trédhearcach. Luaigh sé freisin gurbh amhlaidh, de bharr chineál na fostaíochta, a bhí dualgas cúraim air do na daoine a dtacaíonn siad leo, mar atá na baill foirne, agus freisin d’fhostóirí ionchasacha a sholáthraíonn seirbhísí tacaíochta don chatagóir chéanna cliant.

Tá sé tábhachtach a bhreithniú cé acu a d’fhéadfadh nó nach bhféadfadh stádas an rialaitheora sonraí nó na hoibleagáidí dlíthiúla nó conartha is infheidhme (nó dearbhuithe eile a tugadh tráth an bhailithe) a bheith mar chúis le hionchais réasúnacha go mbeadh rúndacht níos déine ann nó go mbeadh srianta níos déine ar thuilleadh úsáide ann. Chuir an Coimisiún san áireamh cé acu a bhí nó nach raibh an rialaitheoir sonraí in ann an toradh céanna a bhaint amach gan na mionsonraí rúnda a nochtadh don fhostóir ionchasach. Maidir leis na ráitis a tugadh sa teistiméireacht, bhí siad bunaithe ar fhíorais a d’fhéadfaí a chruthú agus a bhí riachtanach chun leasanna dlisteanacha chliaint an rialaitheora sonraí agus an dualgas cúraim do chliaint an rialaitheora sonraí a bhaint amach.

D’ainneoin an dualgais rúin, agus in imthosca inar ainmnigh an t-ábhar sonraí an rialaitheoir sonraí chun an teistiméireacht a sholáthar, á thoiliú le comhroinnt shonraí pearsanta ábhartha an ábhair sonraí le fostóir ionchasach dá bhrí sin, is deimhin leis an gCoimisiún go bhfuil leas dlisteanach an fhostóra ionchasaigh agus mórleas an phobail ina n-údar le nochtadh an ní rúnda.

Tar éis dó an ní a scrúdú go críochnúil, chuir an Coimisiún in iúl don ábhar sonraí, faoi alt 109(5)(c) d’Acht 2018, gur réasúnach atá an míniú a chuir an rialaitheoir sonraí ar aghaidh in imthosca an ghearáin seo agus nár tharla aon phróiseáil neamhdhleathach. Dá réir sin, measadh nár ghá aon ghníomh eile a dhéanamh i gcoinne an rialaitheora sonraí de bhun an ghearáin ón ábhar sonraí.

Chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) in aghaidh a bhfostóra (an rialaitheoir sonraí) maidir lena gcuid sonraí pearsanta a phróiseáil faoi Airteagal 9 den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR). Mhínigh an t-ábhar sonraí don DPC go bhfuair siad teastas breoiteachta ón Dochtúir Teaghlaigh (GP) agus mar sin gur thug siad an teastas breoiteachta dá bhfostóir, i gclúdach litreach le seoladh Oifigeach Leighis na heagraíochta. D’oscail comhalta foirne a bhí ag feidhmiú i ról bainisteora an teastas leighis; ní raibh ról mar oifigeach leighis ag an duine seo, áfach. Sula ndearna sé/sí teagmháil leis an DPC rinne an t-ábhar sonraí teagmháil lena bhfostóir chun aghaidh a thabhairt ar na húdair imní a bhí á mbrath acu go raibh sonraí pearsanta a bhí íogair á bpróiseáil go neamhdhleathach; mar sin féin, ní bhfuair siad aon fhreagra maidir lena ngearán.

Mar chuid dá imscrúdú, rinne an DPC teagmháil leis an rialaitheoir sonraí agus rinne mionsonraí maidir le gearán ábhair sonraí a chomhroinnt leo. D’fhreagair an rialaitheoir sonraí an DPC agus mhínigh, de réir Nósanna Imeachta Oibríochta Caighdeánacha na heagraíochta, mar gheall nach raibh aon oifigeach leighis ar dualgas an lá a bhí i gceist, go dtiteann an fhreagracht agus an t-údarás ó thaobh saoire a cheadú, breoiteachta nó eile, go huathoibríoch ar an mbainisteoir ar an lá, arbh é/í a phróiseáil an teastas leighis.

Níor ghlac an t-ábhar sonraí leis an míniú a chuir an rialaitheoir sonraí ar fáil agus chuir go láidir i gcoinne go ndéanfaidh duine nach oifigeach leighis ainmnithe a bhí i gceist próiseáil ar an teastas leighis.

Trína imscrúdú, chinn an DPC, faoi Airteagail 6(1)(b),(c), (f) agus 9(2)(b) den RGCS go raibh boinn dlisteanacha ag an rialaitheoir sonraí, sonraí pearsanta íogaire an ábhair sonraí a phróiseáil faoin GDPR agus mar sin nár tharla aon phróiseáil neamhdhleathach. Níor breithníodh go raibh aon ghníomh eile riachtanach i gcoinne an rialaitheora sonraí maidir le gearán an ábhair sonraí.

Chuir ábhar sonraí gearán faoi bhráid an Choimisiúin um Chosaint Sonraí (DPC) maidir lena mbanc (an rialaitheoir sonraí) mar gur chreid siad go ndearnadh próiseáil go neamhdhleathach ar a sonraí pearsanta. Mhínigh an t-ábhar sonraí go raibh morgáiste acu leis an rialaitheoir sonraí agus gur díoladh an morgáiste seo le banc eile, mar chuid de chomhaontú maidir le hiasacht a dhíol. Rinne an t-ábhar sonraí gearán gur próiseáladh an díolachán seo i ngan fhios dóibh nó gan toiliú uathu agus bhí údar imní sonrach acu maidir leis an rialaitheoir sonraí a bheith ag comhroinnt a seoladh ríomhphoist pearsanta agus uimhir fón póca le banc eile agus mheas siad gur nochtadh iomarcach sonraí pearsanta a bhí i gceist anseo. Cé nach raibh agóid a dhéanamh ag an ábhar sonraí maidir lena n-ainm, seoladh nó uimhir líne talún a bheidh á n-úsáid, chreid siad go raibh a seoladh ríomhphoist agus uimhir fón póca ina sonraí pearsanta a bhí “íogair” agus go raibh nochtadh an chéanna díréireach.

Bhí an t-ábhar sonraí i gcaidreamh go díreach leis an rialaitheoir sonraí maidir lena ngearán sula ndearna siad teagmháil leis an DPC. D’fhreagair an rialaitheoir sonraí agus chuir in iúl don ábhar sonraí gurbh é an bonn dlí a bhí le próiseáil a gcuid sonraí pearsanta ná Airteagal 6(1)(f) den Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), ina luaitear: “Go mbeidh gá leis an bpróiseáil chun críocha leasanna dlisteanacha an ábhair sonraí ag an rialaitheoir.”

Ar thús a chur lena n-imscrúdú, chomhroinn an DPC gearán an ábhair sonraí leis an rialaitheoir sonraí agus rinne éileamh ar fhreagra mionsonraithe. Chuir an rialaitheoir sonraí an DPC ar an eolas go gcuireann an rialaitheoir sonraí mar chuid dá bhFógra maidir le Príobháideachas Sonraí, cóip den Fhógra ar fáil dá gcuid custaiméirí, ina dtugtar mionsonraí go bhféadfadh an rialaitheoir sonraí sócmhainní an chomhlachta a dhíol ar mhaithe lena ngnó a bhainistiú. Tugtar tuilleadh mionsonraí maidir leis seo sa litir thairisceana iasachta d’iarratasóirí morgáiste.

Maidir le comhroinnt sonraí pearsanta iomarcacha, thug an rialaitheoir sonraí breac-chuntas nach mbreithníonn siad seoladh ríomhphoist nó uimhir fón póca mar fhaisnéis atá íogair agus nach dtagann siad faoi chatagóirí speisialta sonraí pearsanta faoi Airteagal 9 den GDPR.

Chuir an DPC in iúl cé go bhfuil toiliú mar cheann de sé bhonn dlí maidir le sonraí pearsanta a phróiseáil, go bhfuil sé dleathach sonraí pearsanta a phróiseáil gan toiliú roimh ré ach ceann de chúig bhonn dlí eile, atá liostaithe faoi Airteagal 6 den GDPR a chomhlíonadh. Sa chás seo bhí an rialaitheoir sonraí ag brath ar Airteagal 6(1)(f) agus dá réir sin, ceanglaítear orthu tabhairt faoi thástáil chothromaíochta chun a chinntiú nach mbíonn an leas dlisteanach atá á leanúint ag an rialaitheoir sonraí ag sárú leasanna, cearta nó saoirsí bunúsacha an ábhar sonraí. Dheimhnigh an DPC go ndearna siad tástáil chothromaíochta agus gur deimhníodh, sa chás seo, nach raibh próiseáil sonraí pearsanta ag sárú leasanna, cearta nó saoirsí bunúsacha an duine is ábhar do na sonraí.

Thug an rialaitheoir sonraí míniú breise go raibh sé riachtanach don rialaitheoir sonraí faisnéis teagmhála an ábhair sonraí a chomhroinnt leis an mbanc eile agus gur iad an banc eile na rialaitheoirí sonraí nua maidir le hiasacht an duine is ábhar do na sonraí. Thug an rialaitheoir sonraí soiléiriú freisin nach ndéanann siad idirdhealú idir cineálacha difriúla faisnéis teagmhála, m.sh. uimhreacha líne talún agus fón póca mar gur cuireadh an fhaisnéis seo ar fáil don rialaitheoir sonraí chun na críche teagmháil a dhéanamh le custaiméirí. Dá réir sin, teastaíonn an fhaisnéis seo ón bhanc chun bainistiú a dhéanamh ar an iasacht. Déantar cur síos in Airteagal 9 GDPR ar chatagóir speisialta sonraí pearsanta mar:

“shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, agus toirmeas- cfar próiseáil ar shonraí géiniteacha, ar shonraí bithm- héadracha chun duine nádúrtha a shainaithint go huathúil, ar shonraí a bhaineann leis an tsláinte nó ar shonraí a bhaineann le saol gnéis agus le gnéaschlaonadh duine nádúrtha.”

Dá réir sin, thug an DPC soiléiriú don ábhar sonraí nach dtagann uimhreacha fón póca nó seoltaí ríomhphoist faoin gcatagóir seo. Chuir an DPC in iúl don ábhar sonraí, tar éis don DPC imscrúdú a dhéanamh ar a ngearán faoi alt 109(5)(c) d’Acht na bliana 2018, nach bhfuair an DPC aon fhianaise go raibh próiseáil neamhdhleathach déanta ar a gcuid sonraí pearsanta. Cé go raibh an rialaitheoir sonraí ag brath ar bhonn dlisteanach chun na sonraí a phróiseáil agus go ndearnadh é sin ar bhealach trédhearcach, agus gur coinníodh an t-ábhar sonraí ar an eolas maidir le príomhchéimeanna go léir an díolacháin, mar sin go ndearnadh é a stiúradh agus an duine is ábhar do na sonraí a choinneáil ar an eolas roimh ré. Níor bhreithnigh an DPC go raibh aon ghníomh eile riachtanach nuair a eisíodh an toradh.

Bhain an gearán seo le sonraí pearsanta an ghearánaigh a phróiseáil i riocht íomhá socair ó phíosa scannánaíochta CCTV a rinneadh i siopa geallghlacadóra, agus an t-íomhá son a scaipeadh ar shiopaí geallghlacadóra eile sa slabhra le nóta rabhaidh do bhaill foirne d’fhonn an gearánach a chosc ar gheallta a chur.

Chinn an Coimisiún go raibh an siopa geallghlacadóra ar an rialaitheoir sonraí toisc go ndearna sé na sonraí pearsanta atá i gceist a rialú agus a phróiseáil. Is éard a bhí sna sonraí (i measc nithe eile) ná íomhá den ghearánach agus nótaí inmheánacha a scaipeadh ar bhaill foirne an rialaitheora sonraí maidir leis an ngearánach. Bhí na sonraí ina sonraí pearsanta toisc gur bhain siad leis an ngearánach mar dhuine aonair agus go bhféadfaí an gearánach a aithint ó na sonraí.

Mar fhreagra ar an ngearán, chuir an rialaitheoir sonraí roinnt cúiseanna chun cinn i leith sonraí pearsanta an ghearánaigh a phróiseáil agus d’fhéach sé le háitiú go raibh bunús dlíthiúil bailí i ndáil le gach aon chuspóir, de réir mar a fhoráiltear ina leith sa reachtaíocht um chosaint sonraí. Áiríodh an méid seo a leanas leis na cúiseanna agus bunúis dhlíthiúla chomhfhreagracha a chuir an rialaitheoir sonraí i láthair:

1. Oibleagáidí Dlíthiúla agus Rialála: D’áitigh an rialaitheoir sonraí go gceanglaítear air sonraí pearsanta a úsáid agus a choinneáil chun cloí le hoibleagáidí dlíthiúla agus rialála áirithe, ar nós gníomhaíocht ghealltóireachta amhrasach agus idirbhearta calaoiseacha a bhrath faoin reachtaíocht um cheartas coiriúil is infheidhme. Ba é an bunús dlíthiúil a chuir an rialaitheoir sonraí chun cinn go raibh an phróiseáil dlíthiúil toisc go raibh sé riachtanach don rialaitheoir sonraí cloí le hoibleagáid dhlíthiúil.
2. Bainistíocht Riosca: Mhaígh an rialaitheoir sonraí go dtaifeadann sé sonraí pearsanta a bhaineann le custaiméirí chun críche bainistíochta riosca tráchtála. Ba é an bunús dlíthiúil a cuireadh chun cinn i ndáil leis sin go raibh an phróiseáil dlíthiúil chun críocha na leas- anna dlisteanacha ar thug an rialaitheoir sonraí fúthu.
3. Próifíliú: Dheimhnigh an rialaitheoir sonraí go ndéanann sé próifíliú ar ghníomhaíocht ghealltóireachta custaiméirí (i measc nithe eile) d’fhonn eispéireas na gcustaiméirí a fheabhsú. D’áitigh an rialaitheoir sonraí go raibh próiseáil dá leithéid ina próiseáil dhlíthiúil chun cloí le hoibleagáidí dlíthiúla agus chun críocha na leasanna dlisteanacha ar thug an rialaitheoir sonraí fúthu.

Chinn an Coimisiún gur aithin an rialaitheoir sonraí bunús dlíthiúil oiriúnach i ndáil le gach aon chuspóir dár phróiseáil sé sonraí pearsanta a bhain lena chuid custaiméirí. Ina dhiaidh sin, bhreithnigh an Coimisiún ar chloígh an rialaitheoir sonraí leis an oibleagáid i ndáil leis na sonraí a phróiseáil ar bhealach cothrom. Sa chomhthéacs seo, thug an Coimisiún faoi deara go bhfuil sé d’oibleagáid ar an rialaitheoir sonraí faisnéis a chur ar fáil don ghearánach maidir leis na príomhghnéithe a bhaineann le sonraí pearsanta an ghearánaigh a bhailiú agus a úsáid. Chuir an rialaitheoir sonraí doiciméad inmheánach den chuideachta ar fáil don ghearánach agus dheimhnigh sé gur próiseáladh sonraí pearsanta an ghearánaigh i gcomhréir leis an doiciméad sin. Mar sin féin, bhí an dáta a cuireadh leis an doiciméad ina dháta i ndiaidh sonraí pearsanta an ghearánaigh a phróiseáil. Ar an mbonn sin, thug an Coimisiún faoi deara nach raibh sé soiléir gur cuireadh an fhaisnéis riachtanach ar fáil don ghearánach agus dá bhrí sin, gur theip ar an rialaitheoir sonraí sonraí pearsanta an ghearánaigh a phróiseáil ar bhealach cothrom.

Ar deireadh, bhreithnigh an Coimisiún an tréimhse ama ar coinníodh na sonraí pearsanta. Maidir leis sin, tugtar faoi deara go n-éilítear faoin reachtaíocht ábhartha ar rialaitheoir sonraí gan sonraí pearsanta a choinneáil níos faide ná mar atá riachtanach do na cuspóirí a phróiseáiltear na sonraí. Coinníodh sonraí pearsanta an ghearánaigh ar feadh thart ar seacht mbliana. Bhreithnigh an Coimisiún gur ghníomhaigh an rialaitheoir sonraí i gcomhréir leis an reachtaíocht i ndáil leis sin toisc go raibh leas dlisteanach (bainistíocht riosca tráchtála) ag an rialaitheoir sonraí sonraí an ghearánaigh a choinneáil.

Bhí an gearánach seo páirteach i dtimpiste i gcarrchlós den fhoirgneamh ina raibh siad ag obair. Rinne bainisteoir an charrchlóis gearán le fostóir an ghearánaigh agus fuair fostóir an ghearánaigh íomhánna ón scannánaíocht CCTV den teagmhas ina dhiaidh sin. Tionscnaíodh imeachtaí araíonachta i gcoinne an ghearánaigh mar gheall ar an teagmhas sa charrchlós. Bhreathnaigh bainisteoir an ghearánaigh agus comhghleacaithe an ghearánaigh ar na híomhánna ón CCTV i gcomhthéacs na n-imeachtaí araíonachta.

Ba é fostóir an ghearánaigh an rialaitheoir sonraí i ndáil leis an ngearán, mar gheall gur rialaigh sé ábhar agus úsáid sonraí pearsanta an ghearánaigh chun críche fostaíocht an ghearánaigh a bhainistiú agus na himeachtaí araíonachta a stiúradh. Íomhánna den ghearánach a bhí sna sonraí pearsanta mar gheall gur bhain siad leis an ngearánach mar dhuine aonair agus gurbh fhéidir an gearánach a shainaithint iontu.

Mar fhreagra ar an ngearán, d’áitigh an rialaitheoir sonraí go raibh bunús dlí le sonraí pearsanta an ghearánaigh a phróiseáil faoin reachtaíocht de bharr gur úsáideadh na híomhánna CCTV chun cód cleachtais an fhostaí a fhorfheidhmiú, a bhí mar chuid de chonradh fostaíochta an ghearánaigh. Sloinneadh freisin, mar gheall ar chineál tromchúiseach an teagmhais a raibh an gearánach páirteach ann, go mba ghá don rialaitheoir sonraí imscrúdú a dhéanamh ar an teagmhas i gcomhréir le beartas araíonachta na cuideachta, a ndearnadh tagairt dó i gconradh fostaíochta an ghearánaigh. D’áitigh an rialaitheoir sonraí freisin go raibh na híomhánna ón CCTV teoranta don teagmhas i gceist agus nár bhreathnaigh ach líon teoranta de na daoine a bhí rannpháirteach sa phróiseas araíonachta orthu.

Thug an DPC ar aird go gceadaítear, faoin reachtaíocht um chosaint sonraí, sonraí pearsanta duine a phróiseáil i gcás gur ghá an phróiseáil a dhéanamh chun conradh ar páirtí ann an t-ábhar sonraí (an duine a bhfuil a shonraí pearsanta á bpróiseáil) a chomhlíonadh. Thug an DPC ar aird gur fhéach an rialaitheoir sonraí anseo lena áitiú go mba ghá na híomhánna ón CCTV a úsáid chun conradh fostaíochta an ghearánaigh a chomhlíonadh. Mar sin féin, ba é tuairim an DPC nár ‘ghá’ don rialaitheoir sonraí pearsanta an ghearánaigh a bhí sna híomhánna ón CCTV a phróiseáil chun an conradh sin a chomhlíonadh. Le go n-éireodh leis an áitiú sin, bheadh ar an rialaitheoir sonraí a thaispeáint nárbh fhéidir leis conradh fostaíochta an ghearánaigh a chomhlíonadh gan sonraí pearsanta an ghearánaigh a phróiseáil. De bharr gur theip ar an rialaitheoir sonraí an DPC a shásamh gurbh amhlaidh an cás, breithníodh gur sháraigh an rialaitheoir sonraí an reachtaíocht um chosaint sonraí.

Thug an DPC ar aird freisin, gur ann do phrionsabail dlí áirithe nach mór do rialaitheoir sonraí cloí leo, sa bhreis ar an gceanglas go mbeadh bunús dlí le próiseáil, agus próiseáil sonraí pearsanta á dhéanamh aige. Tharraing sé aird ar an bhfíoras go gcaithfidh an phróiseáil a bheith leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil. Thug an DPC áitiú an rialaitheora sonraí go raibh na híomhánna ón CCTV teoranta don teagmhas i gceist agus nár bhreathnaigh ach líon teoranta de na daoine a bhí rannpháirteach sa phróiseas araíonachta orthu ar aird. Mar sin féin, bhí an DPC den tuairim gur theip ar an rialaitheoir sonraí a thaispeáint cén fáth go mba ghá na híomhánna ón CCTV a úsáid. Ar an mbunús sin, rinne an rialaitheoir sonraí sárú breise ar an reachtaíocht.

Bhí an gearánaí seo fostaithe i siopa atá lonnaithe in ionad siopadóireachta agus bhí baint aige le heachtra i gcarrchlós an ionaid siopadóireachta a bhain le táille an charrchlóis a íoc. Tar éis na heachtra, rinne bainisteoir an charrchlóis gearán le fostóir an ghearánaí agus cuireadh íomhánna ón scannánaíocht CCTV ar fáil d’fhostóir an ghearánaí. Chuir an gearánaí an cheist faoi bhráid an DPC chun a fháil amach an raibh nochtadh na n-íomhánna CCTV dleathach.

Socraíodh gurbh é an t-ionad siopadóireachta an rialaitheoir sonraí mar go raibh smacht aige ar shonraí pearsanta an ghearánaí agus ar a n-úsáid ar mhaithe leis na stadáin a thaispeáint d’fhostóir an ghearánaí. Is éard a bhí sna sonraí ná íomhánna den ghearánaí agus ba shonraí pearsanta iad toisc gur bhain sé leis an ngearánaí mar dhuine aonair agus go bhféadfaí an gearánaí a aithint uaidh.

D’áitigh an rialaitheoir sonraí go raibh cúis dhlisteanach aige leis na híomhánna CCTV a thaispeáint d’ fhostóir an ghearánaí, mar shampla, chun cosc a chur ar dhaoine imeacht as an gcarrchlós gan íoc agus chun an comhaontú a bhí aige le fostóir an ghearánaí maidir lena fhoireann oibre a bheith ag páirceáil sa charrchlós a tharraingt siar. Thug an DPC faoi deara go gcaithfidh bunús dleathach a bheith ag rialaitheoir sonraí le go bhféadfaidh sé próiseáil a dhéanamh ar shonraí pearsanta duine. Ar cheann de na bunúis dlí ar féidir le rialaitheoir sonraí brath orthu tá go bhfuil gá leis an bpróiseáil chun críocha cúrsaí dlisteanacha a bhfuil an rialaitheoir sonraí ag plé leo. (Ba é seo an bunús dlí a raibh an rialaitheoir sonraí ag brath air anseo.) D’admhaigh an DPC go raibh leas dlisteanach ag an rialaitheoir sonraí, i bprionsabal, maidir le sonraí pearsanta an ghearánaí a nochtadh ar na cúiseanna a chuir sé chun cinn. Mar sin féin, ní raibh sé “riachtanach” don rialaitheoir sonraí an CCTV a nochtadh d’fhostóir an ghearánaí chun na leasanna dlisteanacha sin a shaothrú. Bhí sé seo amhlaidh toisc go raibh sé de rogha ag an bhfreastalaí carrchlóis, a bhí fostaithe ag an rialaitheoir sonraí, céimeanna a ghlacadh i gcoinne an ghearánaí, chun na leasanna dlisteanacha a bhaint amach, agus níor ghá go mbeadh fostóir an ghearánaí páirteach ann. Mar shampla, bhí lánrogha ag an bhfreastalaí carrchlóis cosc a chur ar an ngearánach an carrchlós a úsáid gan fostóir an ghearánaí a bheith bainteach leis. Ar an mbonn sin, chinn an DPC nár ghá don rialaitheoir sonraí fhostóir an ghearánaí a chur ar an eolas faoin eachtra ná na stadáin CCTV a chur ar fáil dó. Dá réir sin, ní raibh aon bhunús dlí ag an rialaitheoir sonraí chun é sin a dhéanamh agus sháraigh sé an reachtaíocht um chosaint sonraí.

Aturnae a d’fhostaigh aturnae eile chun ionadaíocht a dhéanamh orthu in imeachtaí dlíthiúla a bhí sa ghearánach. Chlis ar an gcaidreamh idir an gearánach agus an t-aturnae agus rinne an t-aturnae casaoid maidir le hiompar an ghearánaigh le Dlí-Chumann na hÉireann. Sa chomhthéacs sin, thug an t-aturnae faisnéis áirithe faoin ngearánach do Dhlí-Chumann na hÉireann. Chuir an gearánach an t-ábhar ar aghaidh chuig an DPC, agus líomhain gur sháraigh an t-aturnae reachtaíocht um chosaint sonraí.

Fuarthas gurbh é aturnae an ghearánaigh an rialaitheoir sonraí, de bharr gur rialaigh siad ábhar agus úsáid shonraí pearsanta an ghearánaigh chun críche seirbhísí dlí a chur ar fáil don ghearánach. Bhain na sonraí i gceist le (i measc nithe eile) faisnéis faoi imeachtaí dlíthiúla an ghearánaigh agus ba shonraí pearsanta iad de bharr go bhféadfaí an gearánach a shainaithint leo agus gur bhain siad leis an ngearánach mar dhuine aonair.

Thug an DPC an dlínse atá ag Dlí-Chumann na hÉireann plé le casaoidí a bhaineann le mí-iompar aturnaetha (de bhua na nAchtanna Aturnaethe 1954-2015) ar aird. Ghlac sé leis freisin go bhféadfadh a bheith san áireamh leis an gcineál mí-iompair a fhéadfaidh Dlí-Chumann na hÉireann a imscrúdú, aon iompar a d’fhéadfadh damáiste a dhéanamh do chlú na gairme. Thug an DPC ar aird freisin go nglacann Dlí-Chumann na hÉireann leis an dlínse chun imscrúdú a dhéanamh ar ghearáin a dhéanann aturnaetha faoi aturnaetha eile (agus ní ghearáin a dhéanann cliaint nó a dhéantar thar a gceann agus iad sin amháin) agus ceanglaítear lena chód cleachtais gur cheart, i gcás go gcreideann aturnae go bhfuil mí-iompar ar bun ag aturnae eile, é sin a thuairisciú chuig Dlí-Chumann na hÉireann. Dá bharr sin, mheas an DPC go raibh an gearán a rinne an rialaitheoir sonraí le Dlí-Chumann na hÉireann déantar i gceart agus gur faoi Dhlí-Chumann na hÉireann a bhí sé breith a thabhairt ar fhiúntas ghearáin.

Rinne an DPC breithniú ansin ar cibé an ndearna nó nach ndearna an rialaitheoir sonraí sárú ar an reachtaíocht um chosaint sonraí. Maidir leis sin, thug an DPC ar aird go gcaithfidh rialaitheoirí sonraí cloí le prionsabail dlí áirithe atá leagtha amach sa reachtaíocht ábhartha. Rud a bhí ábhartha go sonrach don ghearán seo ab ea an ceanglas go gcaitear sonraí a fháil le haghaidh críche sonraithe agus nach bhfuil tuilleadh próiseála le déanamh orthu ar shlí a bheadh ar neamhréir leis na críocha sin. Fuair an DPC gurb é an fáth ar bailíodh/próiseáladh sonraí pearsanta an ghearánaigh ar dtús ná chun críche seirbhísí dlí a chur ar fáil don ghearánach. Tharraing an DPC ar aird go ndearna Dlí-Chumann na hÉireann tuilleadh próiseála ar shonraí pearsanta an ghearánaigh nuair a rinne an rialaitheoir sonraí gearán leis. De bharr go raibh an tuilleadh próiseála sin le haghaidh críche a bhí difriúil ón gcríoch ar chuici a bailíodh iad, b’éigean don DPC breithniú a dhéanamh ar cibé an raibh nó nach raibh an chríoch taobh thiar den tuilleadh próiseála ar neamhréir leis an gcríoch bhunaidh.

Dheimhnigh an DPC nach gá gur chríoch ar neamhréir í críoch dhifriúil agus gur chóir neamhréir a mheasúnú ar bhonn de réir an cháis i gcónaí. Sa chás seo, mheas an DPC, de bharr gur chun leas an phobail é a chinntiú go rialáiltear gairm an dlí i gceart, nach raibh an chríoch ar chuici a ndearnadh tuilleadh próiseála ar shonraí an ghearánaigh ar neamhréir leis an gcríoch ar chuici a bailíodh iad ar dtús . Ar an mbonn sin, ghníomhaigh an rialaitheoir sonraí de réir na reachtaíochta um chosaint sonraí.

Thug an DPC ar aird ansin, anuas ar cheanglais dlí eile, go gcaithfidh rialaitheoir sonraí bunús dlí a bheith aige chun sonraí pearsanta a phróiseáil. Ba é an bunús dlí a d’fhéach an rialaitheoir sonraí le brath air sa chás seo, gur ghá an phróiseáil a dhéanamh chun críocha na leasanna dlisteanacha a bhí á saothrú ag an rialaitheoir sonraí.

Maidir leis sin, fuair an DPC go raibh leas dlisteanach ag an rialaitheoir sonraí in aon iompar a d’fhéadfadh míchlú a tharraingt ar ghairm an dlí. Chomh maith leis sin, ceanglaíodh ar an rialaitheoir sonraí le Cód Iompair Dhlí-Chumann na hÉireann mí-iompar tromchúiseach a thuairisciú chuig Dlí-Chumann na hÉireann. Mar thoradh air sin, ba é tuairim an DPC go raibh bunús dlí bailí ag an rialaitheoir sonraí chun sonraí pearsanta an ghearánaigh a nochtadh agus nár sháraigh sé an reachtaíocht.

Faoi Airteagal 6 den GDPR, caithfidh bunús dlí bailí a bheith ag rialaitheoir sonraí chun sonraí pearsanta a phróiseáil. Déantar foráil le bunús dlí amháin den sórt sin, le hAirteagal 6(1)(f) den GDPR, nach mbeidh próiseáil dleathach ach amháin más gá, agus a mhéid is gá í a dhéanamh chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir nó ag tríú páirtí, seachas i gcás ina mbeidh sáraíocht ag na leasanna sin ar leasanna nó ar chearta bunúsacha agus ar shaoirsí bunúsacha an ábhair sonraí. Mar sin féin, déantar foráil le hAirteagal 6(4) den GDPR, i gcás go ndéantar próiseáil sonraí pearsanta chun críche eile seachas an chríoch ar chuici a bailíodh na sonraí pearsanta ar an gcéad dul síos, nach gceadaítear sin ach amháin i gcás go mbeidh an tuilleadh próiseála ag luí leis na críocha sin ar chucu a bailíodh na sonraí pearsanta ar an gcéad dul síos.

Agus rialaitheoirí sonraí ag breithniú cibé an bhfuil próiseáil chun críche eile ag luí leis an gcrích ar chuici a bailíodh na sonraí pearsanta ar an gcéad dul síos, ba cheart dóibh na nithe seo a leanas a chur san áireamh (i) aon nasc idir na críocha ar bailíodh na sonraí pearsanta chucu agus na críocha atá leis an tuilleadh próiseála atá beartaithe, (ii) an comhthéacs inar bailíodh na sonraí pearsanta, (iii) cineál na sonraí pearsanta, (iv) na hiarmhairtí a d’fhéadfadh a bheith ann do na hábhair sonraí ag an tuilleadh próiseála atá beartaithe, agus (v) an bhfuil coimircí iomchuí ann.

Rinne duine aonair gearán in aghaidh eaglais pharóiste maidir le sonraí pearsanta an duine aonair bheith á bpróiseáil mar thoradh ar sheirbhís sochraide duine muinteartha ar fhreastail an duine aonair uirthi bheith á beoshruthú agus á taifeadadh. Rinne an duine aonair gearán freisin maidir le heaspa trédhearcachta faoin taifeadadh bheith á dhéanamh.

Rinne an duine aonair gearán leis an DPC faoi freagra na heaglaise paróiste ar a ábhar imní maidir le húsáid a bhaint as beoshruthú agus taifeadadh do sheirbhísí sochraide. Le linn don DPC an gearán a iniúchadh, chuathas i dteagmháil leis an eaglais pharóiste d’fhonn an bonn dleathach a bhí leis an bpróiseáil a dhearbhú agus soiléiriú a fháil maidir leis an bhfreagra a tugadh i leith an ghearáin maidir le sonraí. Chuir an eaglais pharóiste in iúl don DPC gur úsáideadh beoshruthú do sheirbhísí sochraide le linn shrianta Covid-19 agus go ndéanann an eaglais taifeadadh ar sheirbhísí sochraide nuair a iarrann daoine muinteartha é, rud a tharla sa ghearán seo, nuair nach féidir le duine bheith i láthair ag an tsochraid de ghnáth. Chuir an eaglais pharóiste in iúl don DPC go n-úsáidtear ceamara amháin in áit shocraithe chun na taifeadtaí seo a dhéanamh agus iad a bheoshruthú. Baineann an eaglais pharóiste na taifeadtaí seo dá láithreán gréasáin i ndiaidh 30 lá. Ghabh an eaglais pharóiste leithscéal leis an duine aonair as ucht bheith ina cúis le haon mhíshuaimhneas agus as loiceadh ar an duine aonair a chur ar an eolas faoin tréimhse coinneála 30 lá amháin. Cuireann an eaglais pharóiste an lucht freastail ar an eolas ag tús seirbhísí go mbeidh beoshruthú á dhéanamh orthu agus tá comharthaí leis an eolas sin curtha in airde ag doirse na heaglaise. Chuir an eaglais pharóiste athruithe i bhfeidhm mar thoradh ar an ngearán seo, lena n-airítear an lucht freastail a chur ar an eolas le linn seirbhíse go bhfuil sí á beoshruthú, faisnéis maidir le beoshruthú agus taifeadadh a chur san áireamh i nuacht- litreacha an pharóiste agus ar an láithreán gréasáin, gan freagra a thabhairt ach amháin ar iarratais ar thaifeadtaí i scríbhinn agus pasfhocal chun taifeadtaí a chosaint amach anseo.

Scríobh an DPC chuig an duine aonair agus cuireadh comhairle air go raibh leas dlisteanach ag an eaglais pharóiste agus ag daoine nach raibh in ann freastal ar sheirbhís sochraide breathnú ar an tseirbhís trí bheoshruthú nó trí thaifeadadh faoi alt 109(5)(c) den Acht 2018. Chomh maith leis sin, luaigh an DPC an tréimhse coinneála 30 lá don phíosa scannánaíochta, radharc socraithe agus teoranta an cheamara agus na hathruithe a chuir an eaglais pharóiste isteach mar thoradh ar an ngearán seo, lena n-áirítear an riachtanas iarratas a dhéanamh i scríbhinn chun taifeadadh a dhéanamh agus pasfhocal chun na taifeadtaí sin a chosaint. Chuir an DPC comhairle ar an duine aonair gur thug an eaglais pharóiste freagra réasúnach maidir le cúinsí an ghearáin seo agus thug sé chun suntais gur iarr duine muinteartha eile leis an té a fuair bás go ndéanfaí an taifeadadh. Ina ainneoin sin, mhol an DPC faoi alt 109(5) (f) den Acht 2018 go nuashonródh an eaglais pharóiste a beartas príobháideachais ar a láithreán gréasáin le tuilleadh faisnéis maidir le beoshruthú agus taifeadadh a dhéanamh ar sheirbhísí sochraide.

Fuair an DPC gearán ó dhuine aonair a bhain le foilsiú a ngrianghraif in alt a bhí mar chuid de nuachtlitir ionaid oibre gan a dtoiliú a bheith faighte. Chuir an rialaitheoir sonraí, arbh é fostóir earnála poiblí an duine aonair é, in iúl don duine gur chóir go mbeadh toiliú faighte aige chun an grianghraf a úsáid i nuachtlitir an ionaid oibre, ós rud é nárbh é seo an cuspóir a bhfuarthas an grianghraf lena aghaidh. Chuir an rialaitheoir sonraí in iúl don duine aonair freisin go raibh sárú sonraí tar éis tarlú sa chás seo.

Aithníodh an gearán seo mar cheann a bhfuil seans ann go bhféadfaí é a réiteach go cairdiúil faoi Alt 109 den Acht um Chosaint Sonraí 2018; d´aontaigh an gearánach agus an rialaitheoir sonraí araon go n-oibreodh siad leis an DPC chun iarracht a dhéanamh an cheist a réiteach go cairdiúil. Chuaigh an rialaitheoir sonraí i dteagmháil leis an DPC faoin gceist, agus chomhairligh sé go raibh imscrúdú inmheánach curtha i gcrích aige agus dheimhnigh sé gurbh fhíor gur tharla sárú sonraí agus gur chóir toiliú a bheith faighte chun grianghraf an duine aonair a úsáid i nuachtlitir an ionaid oibre. Ní raibh foilsiú i nuachtlitir i measc na gcuspóirí dá bhfuarthas an grianghraf sa chéad dul síos. Ghabh an fostóir a leithscéal leis an duine aonair . Níor mheas an gearánach, áfach, gur réiteach cuí é seo don ghearán a bhí idir lámha.

Chuir an DPC moltaí ar fáil go ndéanfaí bileog eolais faoi chúrsaí toilithe a dháileadh don fhoireann sula mbainfí úsáid as grianghrafadóireacht, ábhar fuaime agus/nó físeáin, agus go ndéanfaí foirm thoilithe do ghrianghrafadóireacht, ábhar fuaime agus físeáin a chomhlánú agus a shíniú sula bhfaighfí íomhánna nó taifeadtaí; chuir an rialaitheoir an chomhairle seo i bhfeidhm ina dhiaidh sin.

Dearbhaíonn Airteagal 5(1)(b) den GDPR go “ndéanfar sonraí pearsanta a bhailiú chun críocha sonraithe sainráite dlisteanacha agus ní dhéanfar iad a phróiseáil tuilleadh ar shlí atá neamhréir leis na críocha sin (‘teorannú de réir cuspóra’). Bhí an DPC sásta go ndearna an rialaitheoir sonraí tuilleadh próiseála ar shonraí pearsanta an duine aonair gan a dtoiliú (ná bunús eile dlí) chun a leithéid a dhéanamh nuair a d´fhoilsigh sé grianghraf an fhostaí i nuachtlitir an ionaid oibre. D´eisigh an DPC litir thoraidh a chuir an méid sin in iúl don ghearánach. Bhí an DPC sásta leis na bearta eagraíochtúla a tugadh isteach ina dhiaidh sin agus mar sin de níor ghá don rialaitheoir aon bhearta breise a dhéanamh sa chás seo.

Fuaireamar gearán i gcoinne ghlacadóir príobháideach a cheap foras airgeadais maidir le réadmhaoin an ghearánaigh.

Rinneadh líomhaintí sa ghearán gur sáraíodh na hAchtanna ar an mbunús go ndearna an glacadóir na nithe seo a leanas:

• nach raibh siad cláraithe mar rialaitheoir de bhun alt 16 de na hAchtanna,
• nach raibh bonn dleathach acu chun sonraí pearsanta an ghearánaigh a fháil ón bhforas airgeadais,
• go ndearna siad próiseáil bhreise neamhdhleathach ar shonraí pearsanta trí bhíthin faisnéis a nochtadh do chuideachta a d’fhostaigh an glacadóir chun an ghlacadóireacht a bhainistiú (“gníomhaire bainistithe” an ghlacadóra).
• gur oscail siad cuntas bainc in ainm an ghearánaigh,
• go bhfuair siad ID agus PIN na maoine ó na Coimisinéirí Ioncaim, rud a thug rochtain don ghlacadóir ar chuntas pearsanta ar líne an ghearánaigh leis na Coimisinéirí Ioncaim, agus
• gur chuir siad an réadmhaoin faoi árachas in ainm an ghearánaigh.

I ndiaidh imscrúdú a dhéanamh de bhun alt 10 de na hAchtanna, dheimhnigh an DPC gur fhostaigh an foras airgeadais an glacadóir de bhun Ghníomhas Ceapacháin Glacadóra (DOA) rud a dheonaigh cumhachtaí don ghlacadóir de bhun an Conveyancing Act 1881, agus de bhun an ghníomhais mhorgáiste idir an gearánach agus an foras airgeadais. Ar a bheith ceaptha dóibh, scríobh an glacadóir chuig an ngearánach lena chur in iúl dó gur ceapadh iad mar ghlacadóir maidir le réadmhaoin an ghearánaigh agus chuir cóip den DOA faoi iamh. Cheap an glacadóir cuideachta ar leithligh mar ghníomhaire bainistithe chun cabhrú le bainistiú na réadmhaoine. Le linn na glacadóireachta, rinne an glacadóir idirchaidreamh leis na Coimisinéirí Ioncaim d’fhonn aon cháin amuigh ar an réadmhaoin a íoc, amhail an Cháin Mhaoine Áitiúil (LPT). Deimhníodh gur oscail an glacadóir cuntas bainc chun críche ioncam ón réadmhaoin a bhainistiú. Bhí ainm an ghearánaigh mar chuid d’ainm an chuntais bainc. Deimhníodh freisin gur tógadh amach polasaí árachais i ndáil leis an réadmhaoin. Rinneadh tagairt d’ainm an ghearánaigh ar an bpolasaí árachais.

Ar dtús, bhreithnigh an DPC cibé an raibh ceanglas ar ghlacadóir clárú mar rialaitheoir sonraí de bhun alt 16 de na hAchtanna, agus cibé an raibh feidhm leis na díolúintí a tugadh san Acht um Chosaint Sonraí 1988 (Alt 16(1)) Rialacháin 2007 (na “Rialacháin Chlárúcháin”). Ba é tuairim an DPC nach raibh ar ceanglas ar ghlacadóir clárú, mar gheall go raibh feidhm leis an díolúine faoi rialachán 3(1)(g) de na Rialacháin Chlárúcháin don ghlacadóir.

Thug Rialachán 3(1)(g) díolúine do rialaitheoirí sonraí a raibh sonraí á bpróiseáil acu i ndáil lena gcustaiméirí. Agus machnamh déanta aige ar an gcaidreamh idir an gearánach agus an glacadóir, ba é tuairim an DPC é go raibh feidhm leis an díolúine i ndáil le gníomhaíochtaí an ghlacadóra maidir leis an ngearánach.

Ansin, bhreithnigh an DPC cibé an raibh bonn dleathach ag an nglacadóir chun na sonraí pearsanta a fháil ón bhforas airgeadais, chun iad a nochtadh don ghníomhaire bainistithe, agus cibé arbh ionann an phróiseáil sin agus próiseáil bhreise nach raibh ag teacht leis an gcuspóir bunaidh faoina bhfuarthas iad de bhun alt 2(1)(c)(ii) de na hAchtanna. Bhí morgáiste ag an ngearánach leis an bhforas airgeadais a bhí i riaráistí. Faoi alt 19(1)(ii) den Conveyancing Act 1881, d’fhéadfadh an foras airgeadais glacadóir a cheapadh chomh luath agus a bhí an fiachas ar an morgáiste le híoc. Faoi alt 2A(1)(b)(i) de na hAchtanna, ceadaítear sonraí pearsanta a phróiseáil sa chás go bhfuil gá leis an bpróiseáil “chun conradh ar páirtí ann an t-ábhar sonraí a chomhlíonadh”. Ba chonradh idir an t-ábhar sonraí agus an foras airgeadais a bhí sa ghníomhas morgáiste, agus in imthosca nach rabhthas ag cloí le téarmaí an chonartha, bhí ceapadh an ghlacadóra ag an bhforas airgeadais riachtanach chun an conradh a chomhlíonadh. Ba é tuairim an DPC go raibh bonn dleathach ag an nglacadóir chun sonraí pearsanta an ghearánaigh a fháil ón bhforas airgeadais.

Fuair an DPC freisin go raibh bonn dleathach ag an nglacadóir de bhun alt 2A(1)(b)(i) de na hAchtanna maidir le sonraí pearsanta a nochtadh dá ghníomhaire bainistithe, chun cabhrú le bainistiú na glacadóireachta ó lá go lá. Fuair an DPC go bhfuair an foras airgeadais sonraí pearsanta an ghearánaigh chun críocha comhaontú iasachta a dhéanamh. Ba chuspóir sonrach, follasach agus dlisteanach é sin. Bhí nochtadh sonraí pearsanta an ghearánaigh ag an bhforas airgeadais don ghlacadóir, agus ag an nglacadóir don ghníomhaire bainistithe de réir an chuspóra tosaigh dá bhfuarthas na sonraí pearsanta. Ní próiseáil bhreise de bhun alt 2(1)(c)(ii) de na hAchtanna a bhí sa phróiseáil a rinneadh le linn na glacadóireachta.

Rinne an DPC measúnú ar cibé an raibh bonn dleathach ag an nglacadóir cuntas bainc a oscailt in ainm an ghearánaigh. Mhaígh an gearánach gur osclaíodh an cuntas sin gan fios a bheith acu agus gan toiliú uathu. Tá toiliú ar cheann de na boinn dhleathacha chun sonraí pearsanta a phróiseáil faoi na hAchtanna. Bhreithnigh an DPC cibé an raibh bonn dleathach eile ag an nglacadóir chun próiseáil a dhéanamh faoi alt 2A(1)(d) de na hAchtanna, ar bhonn leasanna dlisteanacha. Chun measúnú a dhéanamh ar an mbonn dleathach sin, chuir an DPC cás Chúirt Bhreithiúnais an Aontais Eorpaigh (CJEU), Rīgas C-13/161, san áireamh, ina leagtar amach tástáil trí chéime maidir le próiseáil ar bhonn leasanna dlisteanacha, mar seo a leanas:

• caithfidh próiseáil sonraí pearsanta a bheith ar mhaithe le dul i mbun leasa dlisteanaigh an rialaitheora nó tríú páirtí,
• caithfidh an phróiseáil a bheith riachtanach maidir leis an gcuspóir agus na leasanna dlisteanacha a bhfuiltear ina mbun, agus
• ní bheidh tosaíocht ag cearta agus saoirsí bunúsacha an duine i gceist.

Ba é tuairim an DPC gur bheart réasúnach a bhí in oscailt an chuntais bhainc d’fhonn an t ioncam agus caiteachas le linn glacadóireachta a bhainistiú. Mhaígh an glacadóir gur ghá tagairt a dhéanamh d’ainm an ghearánaigh mar chuid d’ainm an chuntais bainc lena chinntiú go gcuirfí an ghlacadóireacht i gcrích go héifeachtúil agus chun mearbhall a sheachaint maidir le glacadóireachtaí éagsúla. Cé go bhféadfaí cuntas a oscailt gan ainm an ghearánaigh a úsáid, chuir an DPC breithiúnas an CJEU sa chás Huber v Bundesrepublik C-524/062 san áireamh, ina bhfuair an Chúirt go bhféadfaí a mheas go raibh gá le próiseáil sa chás gur thug sin deis an cuspóir ábhartha a bhaint amach ar bhealach níos éifeachtúla. Ba é tuairim an DPC go raibh gá, mar sin, le tagairt a dhéanamh d’ainm an ghearánaigh ar an gcuntas bainc, mar gheall gur thug sin deis dul i mbun leasanna dlisteanacha an ghlacadóra ar bhealach níos éifeachtúla.

Maidir leis an tríú ghné den tástáil i ndáil le leasanna dlisteanacha (a éilíonn cleachtadh comhardaithe, agus cearta agus saoirsí bunúsacha an ábhair sonraí á gcur san áireamh), ba é tuairim an DPC go bhfágfadh an tagairt d’ainm an ghearánaigh ar an gcuntas go mbeadh daoine a raibh rochtain acu ar an gcuntas bainc, nó ar tugadh ainm an chuntais bainc dóibh, ábalta an duine a shainaithint. Rinne an DPC na ceisteanna sin a mheas in aghaidh na gcostas riarachán agus airgeadais a thiocfadh as an ngá go gcuirfeadh an glacadóir nós imeachta eile i bhfeidhm maidir le hainmneacha a bhronnadh ar chuntais. Agus gach rud san áireamh, ní bhfuair an DPC go raibh tosaíocht ag cearta bunúsacha an ghearánaigh ar leasanna dlisteanacha an ghlacadóra. Mar thoradh air sin, bhí bonn dleathach ag an nglacadóir chun ainm an ghearánaigh a phróiseáil chun críocha leasanna dlisteanacha an ghlacadóra.

Maidir leis an líomhain go bhfuair an glacadóir rochtain ar chuntas pearsanta an ghearánaigh leis na Coimisinéirí Ioncaim, fuair an DPC nach bhfuair an glacadóir rochtain ar chuntas pearsanta an ghearánaigh leis na Coimisinéirí Ioncaim, mar a líomhnaíodh. Bhí an glacadóir ag gníomhú mar ghníomhaire cánach i ndáil leis an gCáin Mhaoine Áitiúil agus níor thug sé sin rochtain ar chuntas pearsanta leis na Coimisinéirí Ioncaim. Maidir leis an bpolasaí árachais a tugadh amach in ainm an ghearánaigh, ba é tuairim an DPC nár phróiseáil an glacadóir sonraí pearsanta sa chás sin.

Le linn an imscrúdaithe, scrúdaigh an DPC cibé ar chloígh an glacadóir leis na prionsabail um chosaint sonraí faoi alt 2 de na hAchtanna. I ndáil leis sin, scrúdaigh an DPC an comhfhreagras tosaigh a sheol an glacadóir chuig an ngearánach inar cuireadh a gceapachán in iúl. Is é a bhí sa chomhfhreagras sin, litir chumhdaigh agus cóip den DOA. Rinneadh measúnú ar an litir chumhdaigh agus ar an DOA lena chinneadh cibé ar chomhlíon an glacadóir a oibleagáid maidir leis na sonraí pearsanta a phróiseáil go cothrom. Éilítear faoi alt 2D de na hAchtanna go soláthródh rialaitheoir sonraí faisnéis faoi aitheantas an rialaitheora sonraí, faisnéis faoi na cuspóirí beartaithe dá bhféadfar na sonraí a phróiseáil, na catagóirí sonraí atá i gceist agus aon fhaisnéis eile a mbeadh gá léi le go ndéanfaí próiseáil chothrom. Ba é tuairim an DPC gur leor an comhfhreagras chun aitheantas an rialaitheora sonraí (agus an rialaitheora sonraí tosaigh) a chur in iúl don ghearánach. Mar sin féin, ba é tuairim an DPC, cé nach raibh gá le glacadóir chun faisnéis chomhiomlánaithe a thabhairt faoi gach cuspóir dá raibh na sonraí pearsanta le próiseáil, gur cheart go dtabharfaí imlíne ghinearálta don ghlacadóir ar na cuspóirí dá raibh sé beartaithe na sonraí pearsanta a phróiseáil, agus nach ndearnadh sin sa chás seo. Maíodh freisin gur cheart go mbeadh na catagóirí sonraí pearsanta a bhí á gcoinneáil ag an nglacadóir i ndáil leis an ngearánach curtha ar fáil aige, ach nach ndearnadh sin. I bhfianaise an mhéid sin, ba é tuairim an DPC nár chomhlíon an glacadóir alt 2D de na hAchtanna.

Léiríonn an cinneadh sin ón DPC go bhféadfaidh glacadóirí príobháideacha agus a ngníomhairí sonraí pearsanta iasachtaithe a phróiseáil go dleathach sa chás go bhfuil gá leis an bpróiseáil sin d’fhonn sócmhainní urraithe a réadú nó a bhainistiú. Ba chóir go mbeadh ábhair sonraí ar an eolas go bhféadfaí faisnéis fúthu a phróiseáil gan toiliú uathu in imthosca ina ndéanann gníomhas morgáiste soláthar do ghlacadóir a cheapadh. Ag an am céanna, ní mór do ghlacadóirí cloí lena gcuid oibleagáidí faoi na hAchtanna agus faoin Rialachán Ginearálta maidir le Cosaint Sonraí chun faisnéis faoi phróiseáil a chur ar fáil d’ábhair sonraí ar leithligh ag tús na glacadóireachta. Tá an cinneadh seo ina ábhar achomhairc ón ngearánach chun na Cúirte Cuarda faoi láthair.

1. Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgas pašvaldības SIA ‘Rīgas satiksme’ Cás C-13/16
2. Heinz Huber v Bundesrepublik Deutschland Cás C-524/06
3. Rinneadh measúnú ar phróiseáil sonraí pearsanta i gcás comhchosúil ina ndearna an gearánach céanna gearán i gcoinne an ghníomhaire bhainistithe sa chás seo. Ba é tuairim an DPC, sa chinneadh sin, go raibh leas dlisteanach ag an ngníomhaire bainistithe chun sonraí pearsanta an ghearánaigh a phróiseáil chun críocha an réadmhaoin a chur faoi árachas.