Oifig an Chomisinéara Cosanta Sonraí
Data Protection Commissioner

Treorach ar Sárú Sonraí

 

Tá formheas tugtha ag an gCoimisinéir Cosanta Sonraí do  Cód Cleachtais maidir le  sárú slándála sonraí pearsanta le cuidiú le heagraíochtaí dul i ngleic go hiomchuí nuair a bhíonn siad ar an eolas  maidir le sáruithe ar shlándáil a bhaineann le faisnéis phearsanta chustaiméara nó fostaí. San earnáil phoiblí, tugann treoir ón Roinn Airgeadais maidir le slándáil sonraí comhairle freisin  do ranna agus gníomhaireachtaí saruithe sonraí a thuairisciú láithreach chuig an Oifig seo. Níl feidhm ag an gCód seo maidir le soláthraithe líonraí cumarsáide leictreonaí nó seirbhísí atá ar fáil don phobal . Is cúis le sin ná go gcuireann na Rialacháin na gComhphobal Eorpach ( Líonraí agus Seirbhísí Cumarsáide Leictreonaí) ( Príobháideacht agus na Cumarsáide Leictreonaí ) Rialacháin 2011 (IR 336 de 2011) oibleagáidí sonracha maidir le soláthraithe líonraí cumarsáide leictreonaí nó seirbhísí atá ar fáil don phobal chun slándáil a gcuid seirbhísí a chosaint.  Tá tuilleadh eolais ar fáil ar na h oibleagáidí sin thíos. 

Ceadaíonn nochtadh de sáruithe slándála sonraí pearsanta dúinn comhairle a chur ar an eagraíocht, ag céim luath, ar an tslí is fearr chun déileáil le iarmhairt nochtadh agus conas athrá a shéanadh. Ceadaíonn sé dúinn freisin baill den phobal a chur ar a shuaimhneas go bhfuil eolas againn ar an bhfadhb agus go bhfuil an eagraíocht atá i gceist ag déileáil leis an gceist i ndáiríre.

Ba chóir do eagraíochtaí a bhíonn ag deileáil le sárú slándála le himpleachtaí do shonraí pearsanta staidéar cúramach.a dhéanamh ar an gCód Cleachtais.   Tá roinnt cúinsí tábhachtacha i ndáil le cur i bfeidhm   de théarmaí an Chóid leagtha amach thíos. Beidh  Oifig an Choimisinéara Cosanta Sonraí sásta  tuilleadh comhairle a thairiscint d'eagraíochtaí faoi conas is fearr téarmaí an Chóid a chur i bfeidhm. Tá sonraí teagmhála na hOifige leagtha amach ag deireadh an nóta treorach seo.

Cur i bfeidhm an Cód Cleachtais maidir le Sárú Slándála Sonraí Pearsanta

Leagann alt a haon den Chód Cleachtais amach  na oibleagáid dhlíthiúil maidir le  sonraí pearsanta a phróiseáil go cóir agus chun bearta iomchuí slándála a glacadh chun iad a chosaint.

Tagraíonn  alt a dó don riachtanas bheith ag  díriú ar chearta na n-ábhar sonraí  nuair a bhfuil a gcuid sonraí pearsanta curtha i mbaol.

Deirtear in alt a trí nach foláir do  rialtóirí sonraí gur tharla  teagmhas dóibh   gur feidir teacht as ná riosca nochtadh neamhúdaraithe, chailleadh, scriosadh nó athrú ar sonraí pearsanta aird a thabhairt láithreach chun fógra a thabhairt dos na  hábhair sonraí lena mbaineann . Mar a deirtear sa Chód  " Tugann sé sin deis do ábhair sonraí na hiarmhairtí do gach duine acu a bhreithniú agus na bearta is cuí a ghlacadh chun iad féin a chosaint." Is féidir  bheith san áireamh mar iarmhairtí ná an poitéinseal do chalaois/ goid aitheantais , ach d'fhéadfadh  bheith i gceist freisin  an poitéinseal le haghaidh damáiste do cháil, náiriú poiblí nó fiú bagairtí do sábháilteacht fisiceach.  Tugann na hAchtanna um Chosaint Sonraí  deis do  dhaoine aonair rialú a cleachtadh  maidir le conas a úsáidtear  a gcuid sonraí. Is féidir le sárú slándáil sonraí pearsanta cur isteach ar an gceart sin. Is córas leasúcháin  ábhair sonraí a chur ar an eolais a bhfuil mar aidhm aige   an cothromaíocht a shlánú agus roinnt eolais agus rialaithe a athbhunú.

Comhairlíonn alt a trí freisin gur cheart do rialtóirí sonraí eagraíochtaí a chur ar an eolas  a d'fhéadfadh bheith i riocht cabhrú le ábhair sonraí  a chosaint agus luaitear An Garda Síochána agus institiúidí airgeadais. Ag brath ar na cúinsí, d'fhéadfadh bheith san áireamh freisin  saineolaithe TE gur féidir comhairle a thairiscint  maidir le sríanú  nó cuideachtaí idirlín a d'fhéadfadh cabhrú le deireadh a chur le   naisc taiscthe ábhartha as a n-innill chuardaigh. Mar aon le gach gné eile den Chód, tá Oifig an Choimisinéara Cosanta Sonraí sásta comhairle a chur ar fáil maidir leis seo.

Tugtar faoi deara in alt a ceathair  go bhféadfadh sé go mbeadh imthosca nuair is féidir leis an rialtóir sonraí a thabhairt i gcrích le réasún nach  bhfuil aon bhaol ann do sonraí pearsanta mar gheall ar na bearta ard-chaighdeánach  teicneolaíoch a ghlacadh le héifeachtach  go bhfuil  na sonraí inrochtana. Mar shampla, féadfar a mheas  go bhfuil sonraí pearsanta atá stóráilte ar ríomhaire glúine criptithe, le rialuithe rochtain shlán, inrochtana i gcleachtas agus measann Oifig an Choimisinéara Cosanta Sonraí nach mbeadh i gceist de ghnáth le caillteanas de fheiste den tsórt  aon baol do na  sonraí pearsanta atá stóráilte air. Ach níl aon maitheas le bogearraí criptithe is  láidre [1], má tá an focal faire rochtain á stóráil leis an ngléas nó má tá an focal faire lag [2]Is féidir  le rialuithe rochtain eile (mar shampla, aitheantóirí bithmhéadracha, svaidhpcártaí , cúpóin srl) slándáil a neartú a thuilleadh, go háirithe nuair a úsáidtear iad  i gcomhcheangal le focal faire casta.

Deirtear in alt a cúig  den Cód Cleachtais nach  mór do  phróiseálaí sonraí tuarascáil ar sáruithe ar shlándáil sonraí pearsanta  a chur chuig an rialtóir sonraí ábhartha a luaithe a éireoidh siad ar an eolas ar an dteagmhas. Ba chóir an dualgas seo a léiriú i conarthaí cuí a síníodh idir rialtóirí sonraí agus próiseálaithe sonraí. Ba chóir don rialtóir sonraí leanúint ansin leis na céimeanna a leagtar amach sa Chód.

Deirtear in alt a sé  den Cód Cleachtais nach mór Oifig an Choimisinéara Cosanta Sonraí a chur ar an eolas maidir le gach teagmhas nuair a cuireadh sonraí pearsanta i mbaol. Níl mar eisceachtaí ach amháin i gcás ina bhfuil na  hábhair sonraí  curtha ar an eolas cheana  agus nach mbhaineann sé le níos mó ná 100 ábhair sonraí agus nach bhfuil  i gceist ach sonraí  pearsanta neamh-íogair nó sonraí pearsanta nach bhfuil  de chineál airgeadais. Ba chóir a thabhairt faoi deara i gcás go gcuireann rialtóir  sonraí in iúl do Oifig an Choimisinéara Cosanta Sonraí caillteanas de rialú ar  sonraí pearsanta nach ionann é sin le rá go bhfuil sárú ar na hAchtanna um Chosaint Sonraí 1988 agus 2003  i gceist.  Déanann an Cód léir freisin má tá amhras ann  - go háirithe an bhfuil na bearta teicniúla  chun na sonraí a chosaint den tsórt chun  chonclúid réasúnta  a cheadú nach bhfuil na sonraí pearsanta curtha i mbaol -  gur cóir an t-ábhar a thuairisciú chuig Oifig an Choimisinéara Cosanta Sonraí.  

Leagann alt a seacht  den Cód Cleachtais síos fhráma ama de dhá lá do rialtóir sonraí chun Oifig an Choimisinéara Cosanta Sonraí a chur ar an eolas  tar éis don rialtóir sonraí a bheith ar an eolas faoi eachtra sárú ar shlándáil sonraí. I gcásanna  teagmhais sárú slándála sonraí pearsanta coimpléascaca,  is féidir tréimhse nach beag ama i gcóir imscrúdú iomlán agus réiteach. Níl i gceist ach chéad teagmháil leis an Oifig  le cur síos ar na fíricí mar atá siad ar eolas agus na céimeanna á nglacadh chun aghaidh a thabhairt ar na fíricí sin. Níor cheart sonraí pearsanta a bheith san áireamh i dtuairiscí  dá leithéid chuig Oifig an Choimisinéara Cosanta Sonraí agus is ábhar don rialtóir sonraí cinneadh a dhéanamh  ar an modh teagmhála is slán, bunaithe ar nádúr an fhaisnéis a bhfuil le cur in iúl.  

Leagann alt a hocht  den Cód Cleachtais síos na heilimintí a chur san áireamh in aon tuarascáil fhoirmiúil d'fhéadfadh a bheith á lorg ag Oifig an Choimisinéara Cosanta Sonraí. Ba chóir aird a thabhairt freisin ar  na heilimintí a leagtar amach in alt a hocht nuair a  bhítear ag ullmhú chun  ábhair sonraí a chur  ar an eolas go díreach ar tharlú shárú slándáil sonraí pearsanta . Féadfaidh an Oifig doiciméid eile sa bhreis a lorg bunaithe ar na himthosca a ghabhann leis  an eachtra. Leagfaidh an Oifig síos freisin fhráma ama le haghaidh seachadadh tuarascáil mhionsonraithe bunaithe ar chineál an eachtra agus an méid fhaisnéis is gá.

Deirtear in alt a naoi  den Cód Cleachtais gur féidir leis an gCoimisinéir Cosanta Sonraí mionimfhiosrú a sheoladh ag brath ar nádúr na heachtra sárú slándáil sonraí pearsanta . Is féidir liosta moltaí don rialtóir sonraí ábhartha a bheith mar thoradh ar imscrúduithe den tsórt sin, mar shampla na hábhair sonraí lena mbaineann a chur ar an eolas.  Comhoibríonn  na rialaitheoirí sonraí  seasmhacha go toilteanach le himscrúduithe an Choimisinéara agus bíonn siad  sásta aon moltaí a eisíonn sé  a comhlíonadh.   Mar sin féin, i gcásanna neamhchoitianta  nach bhfuil teacht ar an  gcomhlíonadh sin, féadfaidh an Coimisinéir a chuid cumhachtaí dlíthiúla a úsáid chun gníomhartha cuí a éigniú.

Fiú nuair nach bhfuil an Oifig an Choimisinéara Cosanta Sonraí  curtha ar an eolas,  deirtear in alt a deich  den Cód Cleachtais gur chóir do rialtóirí sonraí taifead achoimre ghairid a choimeád go  lárnach ar gach teagmhas sárú slándáil sonraí pearsanta,  le míniú ar an mbonn nach bhfuil Oifig an Chomisinéara Cosanta Sonraí curtha ar an eolas. Is é cuspóir an taifead seo  gur féidir le Oifig an Choimisinéara Cosanta Sonraí  comhlíonadh  an Cód Cleachtais a dheimhniú le linn iniúchtaí. Ceadaíonn sé freisin  don  Oifig cuardach a dhéanamh ar phatrúin a léiríonn fadhbanna laistigh d'eagraíochtaí nó earnálacha ar leith.

Tá   alt a haondeag  féin-mínitheach, á rá go simplí go bhfuil feidhm ag an gCód do gach catagóir de rialtóir  sonraí agus próiséalaí sonrai a thagann faoi rial na hAchtanna um Chosaint Sonraí.

 


Oibleagáidí ar sholáthróirí  líonraí cumarsáide leictreonaí nó seirbhísí atá ar fáil don phobal

 

Mar a luadh thuas, cuireann na Ríalacháin angComhphobal Eorpach (Líonraí agus Seirbhísí Cumarsáide Leictreonaí) (Príobháideacht agus na Cumarsáide Leictreonaí) Rialacháin 2011 (IR 336 de 2011) oibleagáidí sonracha maidir le sholáthróirí líonraí cumarsáide leictreonaí nó seirbhísí atá ar fáil don phobal chun  slándáil a gcuid seirbhísí a chosaint. Ag leibhéal ginearálta, ní foláir do gnóthais  den sórt sin bearta teicniúla agus eagraíochtúla cuí a bheith i bhfeidhm chun sonraí pearsanta a choimeád sábháilte agus slán. Go sonrach, ní foláir do sholáthróirí líonraí cumarsáide leictreonaí nó seirbhísí atá ar fáil don phobal:   

+ polasaí slándála a bheith  i bhfeidhm (agus a bheith in ann a léiriú go bhfuil an mbeartas slándála curtha i bhfeidhm agus a choimeád le  hábhar);
+ chinntiú nach  féidir sonraí pearsanta a úsáid ach ag pearsanra údaraithe chun críocha údaraithe; agus
+ sonraí pearsanta a chosaint i gcoinne  rochtain nó úsáid neamhdhleathach.

I gcás aon riosca ar leith le slándáil an líonra, ní mór do sholáthróirí   líonraí cumarsáide leictreonaí nó seirbhísí atá ar fáil don phobal eolais a chur ar fáil do shínitheoirí gan mhoill faoi na rioscaí agus aon leigheasanna is féidir (lena n-áirítear na costais i gceist) fiú i gcás go bhfuil na bearta atá molta taobh amuigh rialú díreach an ghnóthais.



I gcás sárú slándála sonraí pearsanta a dhéanann difear fiú do dhuine amháin, ní mór do sholáthróirí   líonraí cumarsáide leictreonaí nó seirbhísí atá ar fáil don phobal gan aon mhoill mhíchuí: 
+ fógra a thabhairt do Oifig an Choimisinéara Cosanta Sonraí ar an sárú (fiú amháin i gcúinsí nuair a mheasann sé go mbeadh na sonraí neamhtuisceanach unintelligible do thríú páirtithe) lena n-áirítear cur síos ar na bearta atá le glacadh chun dul i ngleic leis an sárú; agus
+ fógra a thabhairt d'aon duine aonair a d'fhéadfadh a bheith drochthionchar ag an sárú.

Ní gá do dhaoine aonair a chur ar an eolais má tá Oifig an Choimisinéara Cosanta Sonraí sásta go mbeadh na sonraí neamhtuisceanach  ag tríú páirtithe. Is féidir leis an Coimisinéir cheangal a chur ar ghnóthas fógra a thabhairt do dhaoine aonair fiú muna gceapann an gnóthas go bhfuil sé sin riachtanach. Ní mór a bheith san áireamh ag aon fhógra do dhaoine aonair go bhfuil tionchar ag sárú slándála sonraí pearsanta leo: 

+ cur síos ar an sárú;
+ pointe teagmhála le haghaidh níos mó eolais a fháil; agus
+ aon bearta a mholtar chun aon éifeachtaí dochracha a bhaineann leis an sárú a mhaolú.


Ina theannta sin ní mór do sholáthróirí   líonraí cumarsáide leictreonaí nó seirbhísí atá ar fáil don phobal fardal a choimeád ar bun a bhaineann le sáruithe sonraí pearsanta gur féidir Oifig an Chomisinéara Cosanta Sonraí a sheiceáil .

Is féidir ionchúiseamh coiriúil a bheith mar toradh  ar mainneachtain de réir na hoibleagáidí sin le fíneálacha suas le € 5,000 agus ar díotáil € 250,000 sa chion.


"Is fearr Cosc ná Leigheas"

 Do chustaiméirí agus sinne a chur ar an eolas maidir le sárú,  ní aon ionadach é sin ar   dearadh cuí na córais chun sonraí pearsanta a chosaint ó  nochtadh de thaisme nó d'aon ghnó. Tá  ár comhairle ghinearálta maidir le slándáil sonraí ar fáil ar leithligh. Ach glacaimid  leis, fiú leis an dea-chórais a ceapadh, is féidir botúin a tarlú. Mar chuid de pholasaí shlándáil sonraí, ba chóir don  eagraíocht a bheith ag smaoineamh ar cad a dhéanfadh sé dá dtarlódh  sárú sonraí. Roinnt ceisteanna a d'fhéadfá a iarraidh :
 
· Cad  a dhéanfadh  do eagraíocht i gcás eachtra  sárú sonraí?
· An bhfuil pholasaí i bhfeidhm  agat a shonraítear cad é sárú  sonraí? (Ní amháin   caillteanas eochracha USB / dioscaí / ríomhairí glúine. Freisin, rochtain míchuí ar shonraí pearsanta ar do chórais nó sonraí pearsanta a sheoladh don duine mícheart.)
· Conas a bheadh a fhios agat go raibh  sárú sonraí tite amach i d'eagraíocht? An bhfuil an fhoireann ag gach leibhéal ar an eolas maidir le impleachtaí chailliúint sonraí pearsanta?
· An bhfuil a fhios ag daoine cé gur cóir a chur ar an eolas  má cailltear trealamh ina bhfuil sonraí pearsanta?
· An bhfuil  sé soiléir i do pholasaí cé atá freagrach as déileáil le eachtra?
· An bhfuil do pholasaí soiléir maidir le  custaiméirí  a chur ar an eolas ? Conas a dhéanfaí  é? Cén eolas a dtabharfaí  dóibh?
An bhfuil do pholasaí i gomhréir le  riachtanais an  Cód Cleachtais maidir le  Sárú Slándáil Sonraí Pearsanta atá aontaithe ag an gCoimisinéir  Cosanta Sonraí?

Conas sinn a chur ar an Eolas

R-Phost  eolas@cosantasonrai.ie

Fón - 1890 252231(lo-call); 00 353 (0) 57 8684800

Facs    -  00 353 (0) 57 8684757

 


[1] Aithríonn  an caighdeán criptiú is gá  chun sonraí a shlánú go leordhóthanach  leis an dul chun cinn sa teicneolaíocht. Ba chóir do criptiú Uile-diosca neart 256-giotán an ceanglas a chomhlíonadh faoi láthair.

[2] Bhéadh i gceist  go tipiciúil le focal faire láidir ná a bheith 14 carachtair ar fad, roghnú randamach de litreacha, uimhreacha agus siombailí agus gan seans teacht air le buille faoi thuairim