Nuacht

Gearrann Coimisiún na hÉireann um Chosaint Sonraí fíneáil €310 milliún ar LinkedIn Ireland

24th Mí Deireadh Fomhair 2024

Inniu, d’fhógair Coimisiún na hÉireann um Chosaint Sonraí (an Coimisiún) an cinneadh críochnaitheach uaidh tar éis fiosrúchán ar LinkedIn Ireland Unlimited Company (LinkedIn). Sheol an Coimisiún an fiosrúchán sin ina ról mar phríomhúdarás maoirseachta do LinkedIn, ag teacht sna sála ar ghearán a rinneadh ar dtús le hÚdarás Cosanta Sonraí na Fraince.

San fhiosrúchán, scrúdaíodh an phróiseáil a dhéanann LinkedIn ar shonraí pearsanta le haghaidh anailís iompraíochta[1] a dhéanamh ar úsáideoirí a chruthaigh próifílí le LinkedIn (‘baill’) agus le haghaidh fógraíocht spriocdhírithe[2] a thaispeáint dóibh. Maidir leis an gcinneadh, rud a rinne an Dr Des Hogan agus Dale Sunderland, na Coimisinéirí um Chosaint Sonraí, agus ar tugadh fógra do LinkedIn faoi an 22 Deireadh Fómhair 2024, baineann sé le dlíthiúlacht, cothroime agus trédhearcacht na próiseála sin. Áirítear leis an gcinneadh iomardú, ordú do LinkedIn a phróiseáil a chur i gcomhréir leis an reachtaíocht agus fíneálacha riaracháin dar luach iomlán €310 milliún.

Chuir an Coimisiún dréachtchinneadh faoi bhráid shásra comhair an Rialacháin Ghinearálta maidir le Cosaint Sonraí (RGCS) i mí Iúil 2024, mar a cheanglaítear faoi Airteagal 60 RGCS[3]. Ní dhearnadh aon agóidí in aghaidh an dréachtchinnidh ón gCoimisiún. Tá an Coimisiún buíoch as an gcomhar agus an cúnamh a fuarthas óna phiarúdaráis mhaoirseachta AE/LEE sa chás seo.

Taifeadtar sa chinneadh críochnaitheach ón gCoimisiún go ndearnadh na sáruithe seo a leanas ar RGCS:

  1. Airteagal 6 RGCS agus Airteagal 5(1)(a) RGCS, a mhéid a cheanglaítear leo go mbeidh próiseáil sonraí pearsanta dleathach, ós rud é:
    • Nach raibh LinkedIn ag brath go bailí ar Airteagal 6(1)(a) RGCS (toiliú) chun sonraí tríú páirtí a bhall a phróiseáil le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe ar an mbonn nach raibh an toiliú a bhfuair LinkedIn é tugtha faoi shaoirse, sonrach nó feasach go leordhóthanach ná gan athbhrí.
    • Nach raibh LinkedIn ag brath go bailí ar Airteagal 6(1)(f) RGCS (leasanna dlisteanacha) le haghaidh na próiseála a dhéanann sé ar shonraí pearsanta céadpháirtí a bhall le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe, nó sonraí tríú páirtí le haghaidh anailísíochta, toisc gur sáraíodh leasanna LinkedIn leis na leasanna agus na cearta agus saoirsí bunúsacha atá ag ábhair sonraí.
    • Nach raibh LinkedIn ag brath go bailí ar Airteagal 6(1)(b) RGCS (riachtanas conarthach) chun sonraí céadpháirtí a bhall a phróiseáil le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe.
  2. Airteagail 13(1)(c) agus 14(1)(c) RGCS, i ndáil leis an bhfaisnéis a sholáthair LinkedIn d’ábhair sonraí maidir leis an méid a bhí sé ag brath ar Airteagal 6(1)(a), Airteagal 6(1)(b) agus Airteagal 6(1)(f) RGCS mar bhunúis dhleathacha.
  3. Airteagal 5(1)(a) RGCS, prionsabal na cothroime.

Dúirt Graham Doyle, Leas-Choimisinéir an Choimisiúin:

Is é is dlíthiúlacht na próiseála ann ná gné bhunúsach den dlí cosanta sonraí agus is é atá i sonraí pearsanta a phróiseáil gan bunús dlí cuí ná sárú soiléir tromchúiseach ar an gceart bunúsach atá ag ábhar sonraí chun cosaint sonraí.”

Foilseoidh an Coimisiún an cinneadh iomlán agus faisnéis ghaolmhar eile in am trátha.

Tuilleadh faisnéise

Baineann an cinneadh seo le fiosrúchán gearánbhunaithe a tosaíodh an 20 Lúnasa 2018, ag teacht sna sála ar ghearán a rinne La Quadrature du Net, eagraíocht neamhbhrabúis Fhrancach. Rinneadh an gearán ar dtús le hÚdarás Cosanta Sonraí na Fraince agus soláthraíodh é ina dhiaidh sin don Choimisiún ina ról mar phríomhúdarás maoirseachta do LinkedIn, a ghníomhaíonn mar rialaitheoir le haghaidh na próiseála sonraí pearsanta atá i gceist.

San fhiosrúchán seo, scrúdaíodh a dhlíthiúla, a chothroime agus a thrédhearcaí atá an dóigh a bpróiseáiltear sonraí pearsanta úsáideoirí ardán LinkedIn le haghaidh anailís iompraíochta agus fógraíocht spriocdhírithe. Cuimsíodh sna sonraí pearsanta atá i gceist sonraí a sholáthair a bhaill go díreach do LinkedIn (sonraí céadpháirtí) agus sonraí a fuarthas trína chomhpháirtithe tríú páirtí a bhaineann lena bhaill (sonraí tríú páirtí).

Ceanglaítear le RGCS go mbeidh próiseáil sonraí pearsanta bunaithe ar cheann de na bunúis dlí a leagtar amach in Airteagal 6(1) RGCS, amhail toiliú, riachtanas conarthach nó leasanna dlisteanacha. Ag brath ar an mbunús dleathach a roghnaíonn rialaitheoirí, ní mór coinníollacha áirithe a chomhlíonadh. Mar shampla, ní mór aon toiliú a fhaightear a bheith ag comhlíonadh an chaighdeáin a cheanglaítear le RGCS go bhfuil sé tugtha faoi shaoirse, sonrach, feasach agus ina léiriú gan athbhrí ar mhianta an ábhair sonraí.

Ceanglaítear le RGCS freisin go ndéanfar próiseáil ar bhealach cothrom. Is é is cothroime ann ná prionsabal uileghabhálach lena gceanglaítear nach bhféadfar sonraí pearsanta a phróiseáil ar shlí atá díobhálach, idirdhealaitheach, neamhthuartha nó míthreorach don ábhar sonraí. Nuair atá cothroime in easnamh, is féidir go gcaillfidh ábhair sonraí neamhspleáchas maidir lena sonraí pearsanta, go gcuirfear ábhair sonraí i staid ar féidir nach mbeidh siad in ann cearta eile RGCS a fheidhmiú inti agus go ndéanfar difear do na cearta bunúsacha atá ag ábhair sonraí chun príobháideachta agus chun cosaint sonraí pearsanta.

Gné ríthábhachtach eile de chosaint sonraí is ea trédhearcacht, agus tugtar léi rialú d’ábhair sonraí ar phróiseáil a sonraí pearsanta. Nuair a chomhlíonann rialaitheoirí na forálacha trédhearcachta, cinntítear go mbíonn ábhair sonraí ar an eolas go hiomlán roimh ré faoi raon feidhme agus iarmhairtí na próiseála a dhéantar ar a sonraí pearsanta agus go mbíonn siad in ann a gcearta a fheidhmiú.

Feidhmíodh na cumhachtaí ceartaitheacha seo a leanas leis an gcinneadh críochnaitheach ón gCoimisiún:

  • iomardú de bhun Airteagal 58(2)(b) RGCS;
  • trí fhíneáil riaracháin dar luach iomlán €310 milliún de bhun Airteagail 58(2)(i) agus 83 RGCS; agus
  • ordú do LinkedIn a phróiseáil a chur i gcomhréir le RGCS de bhun Airteagal 58(2)(d).

NÓTAÍ DON EAGARTHÓIR

[1] Is é is anailís iompraíochta ann ná an próiseas ar fad trína ndéantar faisnéis arna soláthar ag duine aonair, arna tabhairt le fios ó dhuine aonair nó arna mbreathnú faoi dhuine aonair a úsáid chun eolas a dhéanamh do na fógraí a spriocdhírítear ar an duine aonair sin nó a chuirtear le faisnéis eile chun fógraíocht spriocdhírithe a sheoladh.

[2] Is é is fógraíocht spriocdhírithe ann ná an próiseas trína spriocdhírítear fógraí sonracha ar dhuine aonair, bunaithe ar fhaisnéis a shealbhaítear faoin duine aonair, bíodh an fhaisnéis sin soláthartha acu, tugtha le fios uathu agus/nó breathnaithe fúthu.

[3] Rialaítear le hAirteagal 60 RGCS an nós imeachta comhair idir an Príomhúdarás Maoirseachta agus na hÚdaráis Mhaoirseachta eile lena mBaineann.