Caidrimh Rialaitheora agus Próiseálaithe
Treoir Phraiticiúil maidir le Conarthaí idir Rialaitheoir Sonraí agus Próiseálaí Sonraí faoin GDPR
Tabharfaidh an Rialachán Ginearálta um Chosaint Sonraí (“an GDPR”), a thiocfaidh i bhfeidhm an 25 Bealtaine 2018, oibleagáidí méadaithe do rialaitheoirí sonraí (“Rialaitheoirí”) agus próiseálaithe sonraí (“Próiseálaithe”) araon. Oibleagáid amháin de na hoibleagáidí siúd is ea an oibleagáid ar Rialaitheoirí agus Próiseálaithe iontráil isteach i gconradh atá ina cheangal dlí a rialaíonn próiseáil sonraí pearsanta nuair a bhíonn Próiseálaí fostaithe chun sonraí pearsanta a phróiseáil ar threoir Rialaitheora (“Conradh Próiseála Sonraí”).
Tugtar cuntas gearr sa nóta treorach seo ar chomhthéacs na hoibleagáide ar Rialaitheoirí agus Próiseálaithe chun iontráil isteach i gconradh Próiseála Sonraí faoin GDPR, cathain is gá iontráil i gconradh Próiseála Sonraí agus na forálacha íosta ar cheart iad a chur san áireamh sa Chonradh siúd.
Oibleagáid ar Rialaitheoirí agus Próiseálaithe faoin GDPR chun iontráil i gConradh Próiseála Sonraí
Faoi láthair, cuimsítear sna hAchtanna um Chosaint Sonraí, 1988 agus 2003 (“na ACSanna”) oibleagáidí ar Rialaitheoirí agus Próiseálaithe araon a thugann faoi shonraí pearsanta a phróiseáil. Mar thoradh ar an GDPR a thabhairt isteach, déanfar na hoibleagáidí ar Rialaitheoirí agus Próiseálaithe a thugann faoi shonraí pearsanta a phróiseáil a fhairsingiú agus a threisiú. Ceist fíorais a bheidh i cé acu an bhfuil tú ag gníomhú mar Rialaitheoir nó Próiseálaí faoin ACS nó faoin GDPR , go deimhin, a mbeidh ort í a mheas ar bhonn cás ar chás. Níor cheart do phróiseálaithe, mar shampla, sonraí pearsanta a phróiseáil ach ar ordú doiciméadaithe Rialaitheora. Déanann Rialaitheoir, ar an taobh eile den phingin, cuspóirí agus bealaí próiseála na sonraí pearsanta a shainmhíniú.
Oibleagáid amháin faoin GDPR is ea an ceanglas atá ar Rialaitheoirí agus Próiseálaithe iontráil isteach i gconradh atá ina cheangal dlí nuair a fhostaíonn Rialaitheoir Próiseálaí chun sonraí pearsanta a phróiseáil thar a cheann. Nuair a fhostaítear Próiseálaí, ordaítear san GDPR go bhfuil oibleagáid ar Rialaitheoirí gan ach Próiseálaithe a úsáid a sholáthraíonn ráthaíocht dhóthanach chun bearta cuí teicniúla agus eagraíochta a chur i bhfeidhm chun an GDPR a chomhlíonadh agus chun cearta ábhar sonraí a chosaint.
Ba cheart do Rialaitheoirí agus Próiseálaithe aird a thabhairt air go bhfuil roinnt oibleagáidí eile ann a ghearrann an GDPR go díreach ar Rialaitheoirí agus Próiseálaithe (mar shampla, oibleagáidí chun taifead a choimeád, slándáil próiseála sonraí a chinntiú etc.). Bainfidh na hoibleagáidí seo den GDPR le Rialaitheoirí agus Próiseálaithe anuas ar aon oibleagáidí conarthacha a bhféadfadh Rialaitheoir agus Próiseálaí a bheith faoina réir faoi Chonradh Próiseála Sonraí. Ar an gcuma chéanna, má dheimhnítear gur sáraíodh an GDPR, féadfaidh Rialaitheoirí agus Próiseálaithe a bheith faoi dhliteanas íoc as fíneálacha nó féadtar pionóis eile a ghearradh orthu faoin GDPR anuas ar aon Chonradh Próiseála Sonraí a shárú (b’fhéidir) lena bhfuil siad mar pháirtí.
Conas a bheidh conarthaí próiseála sonraí ag athrú faoin GDPR?
Ceanglaítear san ACS gur cheart conradh scríofa a iontráil idir Rialaitheoirí agus Próiseálaithe nuair a phróiseálann Próiseálaí a sonraí pearsanta ar ordú Rialaitheora. Sholáthair an CCS treoir roimhe seo ar an méid ba cheart a chuimsiú sna conarthaí seo.
Ar an gcuma chéanna, ceanglaítear san GDPR , nuair a fhostaíonn Rialaitheoir Próiseálaí chun sonraí pearsanta a phróiseáil thar a cheann, caithfidh an Rialaitheoir agus an Próiseálaí iontráil i gconradh atá ina cheangal dlí a rialaíonn an phróiseáil seo sonraí pearsanta. Athrú tábhachtach amháin ar an oibleagáid seo is ea go bhforordaítear san GDPR níos mó forálacha lena gcuimsiú i gConarthaí Próiseála Sonraí. Sonraítear na forálacha éigeantacha seo le cuimsiú i gConarthaí Próiseála Sonraí faoin GDPR thíos.
Cé ar gá dó/di conarthaí próiseála sonraí a iontráil?
Tá oibleagáid ar gach Rialaitheoir a fhostaíonn Próiseálaithe chun sonraí pearsanta a phróiseáil thar a gceann chun Conradh Próiseála Sonraí a iontráil. Cuimsíonn an oibleagáid seo gach Rialaitheoir agus Próiseálaí, Rialaitheoirí agus Próiseálaithe san earnáil phoiblí agus phríobháideach araon ina measc.
Léargas ginearálta ar fhorálacha éigeantacha Conarthaí Próiseála Sonraí
Forordaítear in Airteagal 28 den GDPR na forálacha nach mór a áireamh i gConradh Próiseála Sonraí idir Rialaitheoir agus Próiseálaí. Ba cheart do Rialaitheoir agus Próiseálaí Conradh Próiseála Sonraí a iontráil nach mór na sonraí seo a leanas a chuimsiú ann:
- Ábhar, fad, cineál agus cuspóir na próiseála sonraí;
- Saghas na sonraí pearsanta atá á bpróiseáil;
- Catagóirí na n-ábhar sonraí a bhfuil a sonraí pearsanta á bpróiseáil; agus
- Oibleagáidí agus cearta an Rialaitheora.
Ba cheart go gcuimseofaí i gConradh Próiseála Sonraí, chomh maith, na forálacha éigeantacha seo a leanas:
- Nach bpróiseálfaidh an Próiseálaí ach sonraí pearsanta a fuarthas ón Rialaitheoir ar orduithe doiciméadaithe an Rialaitheora (murach go gceanglaítear faoin dlí sonraí pearsanta a phróiseáil gan na horduithe siúd) maidir le haistrithe sonraí idirnáisiúnta ina measc;
- Go gcinntíonn an Próiseálaí go mbíonn aon duine/daoine a phróiseálann sonraí pearsanta faoi réir dualgas rúndachta;
- Go dtéann an Próiseálaí i mbun gach birt a cheanglaítear de bhun Airteagal 32 den GDPR (Slándáil na Próiseála) ina measc ach gan bheith teoranta do bearta teicniúla agus eagraíochta cuí a chur i bhfeidhm chun sonraí pearsanta a chosaint a fuarthas ón Rialaitheoir.
- Go bhfaigheann an Próiseálaí údarú sonrach roimh ré nó údarú ginearálta scríofa d’aon fho-phróiseálaithe a fhéadfaidh an Próiseálaí a fhostú chun na sonraí pearsanta a fhaightear ón Rialaitheoir a phróiseáil. Ina theannta sin, caithfidh an Próiseálaí a chinntiú, sa chás go bhfaightear údarú ginearálta scríofa maidir le fo-phróiseálaithe a fhostú ag an bPróiseálaí, go mbíonn an deis ag an Rialaitheoir chun cur i gcoinne, roimh ré, gach Fo-Phróiseálaí aonair a cheapadh ag an bPróiseálaí.
- Go mbíonn aon fho-phróiseálaithe a fhostaíonn an Próiseálaí faoi réir na n-oibleagáidí céanna um chosaint sonraí a bhíonn an Próiseálaí agus go mbíonn an Próiseálaí faoi dhliteanas go díreach i gcónaí i dtaobh tabhairt faoi oibleagáidí um chosaint sonraí an fho-phróiseálaí;
- Go gcabhraíonn an Próiseálaí leis an Rialaitheoir trí bhearta cuí teicniúla agus eagraíochta chun freagairt ar iarrataí ar chearta ábhar sonraí faoin GDPR;
- Go gcabhraíonn an Próiseálaí leis an Rialaitheoir chun comhlíonadh oibleagáidí a chinntiú faoin GDPR maidir le slándáil próiseála sonraí (Airteagal 32 den GDPR), a chinntiú go bhfógraítear sárú ar shonraí (Airteagail 32 den GDPR), a chinntiú go ndéantar measúnuithe ar an tionchar um chosaint sonraí (Airteagal 35 agus 36 den GDPR);
- Go ndéanann an Próiseálaí, i ndiaidh dó/di na sonraí a phróiseáil, agus ar ordú an Rialaitheora, na sonraí pearsanta a scriosadh nó a sheoladh ar ais a fuarthas ón Rialaitheoir; agus
- Go gcuireann an Próiseálaí an fhaisnéis riachtanach go léir ar fáil don Rialaitheoir le comhlíonadh Airteagal 28 den GDPR a léiriú agus go gcuirtear iniúchtaí san áireamh agus go gcuirtear leo siúd a dhéanann an Rialaitheoir nó tríú páirtí thar ceann an Rialaitheora.
Forálacha eile a d’fhéadfaí a chur san áireamh i gconarthaí próiseála sonraí
Tá roinnt forálacha eile ann a bhféadfadh gur mian le Rialaitheoirí agus Próiseálaithe a chur san áireamh i gConarthaí Próiseála Sonraí nach bhfuil éigeantach lena gcuimsiú faoin GDPR.
D’fhéadfaí a áireamh leis na forálacha siúd, ach níl siad teoranta dóibh:
- Forálacha dliteanais (slánaíocht ina measc);
- Forálacha mionsonraithe slándála (teicniúil); agus/nó
- Forálacha breise comhoibrithe idir an Rialaitheoir agus an Próiseálaí.
Na forálacha breise siúd a bhféadfaí comhaontú a dhéanamh orthu idir Rialaitheoirí agus Próiseálaithe ar bhonn cás ar chás.
Cad is gá duit a dhéanamh roimh an GDPR?
Más Rialaitheoir a bhí ionat a fhostaíonn Próiseálaí/Próiseálaithe chun sonraí pearsanta a phróiseáil thar do cheann nó más Próiseálaí a bhí ionat a phróiseálann sonraí pearsanta ar ordú Rialaitheoir/Rialaitheoirí, ba cheart duit a chinntiú go bhfuil Conradh Próiseála Sonraí agat atá ina cheangal dlí a rialaíonn an phróiseáil sonraí seo. Ba cheart duit a chinntiú, chomh maith, go gcuimsítear sa Chonradh/sna Conarthaí Próiseála Sonraí lena bhfuil tú mar pháirtí, ar a laghad, na forálacha a fhorordaítear agus atá éigeantach faoi Airteagal 28 den GDPR.