Cás-Staidéar (Tuarascáil Bhliaintiúil)

Seo leanas liosta de cás-staidéar, de réir bliana, mar a bhí i dTuarascálacha Bliantúla foilsithe ag an DPC. Soláthraíonn na cás-staidéar léargas ar roinnt de na saincheisteanna á imscrúdú ar an DPC ó lá go lá.

  1. Teip freagra a thabhairt ar Iarratas Rochtana
  2. Teip freagra a thabhairt ar Iarratas Rochtana (II)
  3. Gearán déanta i gcoinne Club Gailf
  4. An Ceart go nDéanfaí Ligean i nDearmad (Microsoft)
  5. Iarrataí Rochtana agus Léirscriosta (Pinterest)
  6. An Ceart go nDéanfaí Ligean i nDearmad (Microsoft)
  7. Srianta ar an gCeart Rochtana – Comhaid ón nGarda Síochána chuig an Stiúrthóir Ionchúiseamh Poiblí
  8. Nochtadh Gan Toiliú
  9. Nochtadh Sonraí Íogaire
  10. Ionchúiseamh Guerin Media Limited
  11. Ionchúiseamh Vodafone Ireland Limited
  12. Iarraidh léirscriosta ó ábhar sonraí Gréagach chuig Tinder, rud ar láimhseáil an Coimisiún é mar Phríomhúdarás Maoirseachta
  13. Treoir um Fhorfheidhmiú an Dlí
  14. Nochtadh ráiteas cuntais ag banc don ionadaí le sealbhóir comhchuntais.
  15. Ardriosca féideartha a tháinig as sonraí míchruinne sa Lárchiste Creidmheasa
  16. Hacking seirbhís ríomhphoist tríú páirtí.
  17. Leantach forfheidhmithe: Teicneolaíochtaí Faireachais agus Cosaint Sonraí i Luimneach
  18. Cinneadh Airteagal 60 maidir le Twitter International Company – Iarraidh ar Aitheantas, Iarraidh Léirscriosta
  19. Cinneadh Airteagal 60 maidir le Airbnb Ireland UC – Freagra moillithe ar Iarraidh Rochtana agus Iarraidh Léirscriosta
  20. Cinneadh Airteagal 60 maidir le Airbnb Ireland UC – Freagra moillithe ar Iarraidh Rochtana agus Iarraidh Léirscriosta

1)  Cás-Staidéir 1: Ábhar in easnamh in iarraidh ar rochtain (Réiteach Cairdiúil)

Fuair an CCS gearán ó dhuine aonair maidir le hiarratas rochtana ábhar a rinne sé chuig eagraíocht (an rialtóir sonraí) ar chóip den fhaisnéis go léir a bhí á choinneáil maidir lena rannpháirtíocht leis an rialaitheoir sonraí. Ní bhfuair an duine freagra ar an iarratas seo.

Rinne an CCS idirghabháil féachaint an bhféadfaí an cheist a réiteach go neamhfhoirmiúil. Ní raibh an gearánach sásta go háirithe leis an bhfíric nár soláthraíodh doiciméid áirithe mar fhreagra ar a iarratas rochtana. Ba é seasamh an rialaitheora sonraí nár cuireadh na doiciméid ar fáil toisc gur soláthraíodh na sonraí pearsanta “i bhformáid eile”.

Ní bhaineann cearta rochtana um chosaint sonraí le rochtain ar dhoiciméid per se. Baineann siad le rochtain ar shonraí pearsanta. Féadfar iarratas rochtana a chomhlíonadh trí achoimre iomlán ar a sonraí a sholáthar don duine i bhfoirm intuigthe. Caithfidh an fhoirm ina gcuirtear ar fáil é a bheith leordhóthanach chun ligean don iarratasóir a bheith feasach ar na sonraí pearsanta atá á bpróiseáil, seiceáil go bhfuil siad cruinn agus á bpróiseáil go dleathach.

Tar éis scrúdú a dhéanamh ar na sonraí a chuir an rialaitheoir ar fáil sa chás seo, bhí an CCS sásta a chur in iúl don ghearánach gur soláthraíodh na sonraí go léir a raibh sé ina theideal faoin reachtaíocht um chosaint sonraí dó.

2)  Cás-Staidéir 2: Teip freagra a thabhairt ar Iarratas Rochtana (II) 

Fuair an CCS gearán ó dhuine aonair maidir le hiarratas rochtana ábhar a rinne sí chuig bunaíocht seirbhíse (an rialtóir sonraí) ar chóip de phíosa scannáin TCI a bhain lena gcuairt ar áitreabh an rialaitheora sonraí ar dháta áirithe. Ní bhfuair an duine freagra ar an iarratas seo.

Rinne an CCS seo idirghabháil féachaint an bhféadfaí an cheist a réiteach go neamhfhoirmiúil.

Faoin am a raibh an gearán faighte ag an CCS, tháinig sé chun solais nach raibh aon fhaisnéis ag an rialaitheoir sonraí a bhain léi a thuilleadh toisc nach raibh sé ar an eolas faoin iarratas rochtana go dtí gur chuir an oifig seo a aird air. Tharla sé seo toisc nach raibh an seoladh ríomhphoist ar seoladh an t-iarratas rochtana chuige ná seoladh a bhí in úsáid go rialta, in ainneoin gurb é seo an seoladh ríomhphoist atá i bPolasaí Príobháideachta an rialaitheora sonraí. Dúirt an rialaitheoir sonraí freisin go gcoimeádtar píosaí scannáin TCI ar feadh 14 lá mar gheall ar thoilleadh stórála an chórais agus mar sin ní raibh sé in ann an scannán CCTV iarrtha a sholáthar mar go raibh níos mó ná 14 lá caite.

Tar éis an t-ábhar a scrúdú go críochnúil, ba léir don oifig seo gur sháraigh an rialaitheoir sonraí Airteagal 12(3) den GDPR toisc go bhfuil oibleagáid ar rialaitheoirí freagra a sholáthar ar iarratas rochtana an duine aonair laistigh den fhráma ama reachtúil mar atá leagtha amach in Airteagal 12. den GDPR, fiú mura bhfuil aon sonraí den sórt sin ina sheilbh ag an rialaitheoir. Theip ar an rialaitheoir sonraí monatóireacht a dhéanamh ar an mbosca isteach a bhaineann leis an seoladh ríomhphoist is ba é an toradh a bhí ar a Bheartas Príobháideachta ná gur theip air an scannán TCI ábhartha a fháil sular scriosadh é de réir a pholasaí coinneála. I ndáil leis sin, de bharr mainneachtain bearta eagraíochtúla ábhartha a bheith i bhfeidhm ní raibh an rialaitheoir sonraí in ann iarratas rochtana an ábhair a chomhlíonadh.

D’eisigh an CCS treoracha don rialaitheoir sonraí ag meabhrú dó a oibleagáid monatóireacht a dhéanamh ar aon bhosca ríomhphoist a sholáthraíonn siad d’iarratais ábhar sonraí. Déanfaidh an CCS gníomh forfheidhmithe má thagann an cheist seo chun cinn arís leis an rialaitheoir céanna.

3)  Cás-Staidéir 3:Gearán déanta i gcoinne Club Gailf 

Rinne duine aonair gearán leis an gCoimisiún maidir leis an dóigh ar bhain an rialaitheoir sonraí úsáid as píosaí scannáin TCI chun imscrúdú a dhéanamh ar theagmhas ina raibh an duine aonair páirteach.

D’eagraigh an duine aonair imeacht i saoráid fóillíochta (an rialaitheoir sonraí) agus chuir sé comharthaí ar taispeáint i ndáil le nósanna imeachta Covid-19 chun cúnamh a thabhairt do na daoine a bheadh i láthair. Ag deireadh an imeachta, rinne an duine aonair comhartha eile i ndáil le nósanna imeachta Covid-19 a bhaint gan chuimhneamh nuair a bhí sé ag fáil réidh leis na comharthaí a shuiteáil sé don imeacht. Tar éis gearán a fháil ó dhuine aonair eile, rinne an rialaitheoir sonraí athbhreithniú ar na píosaí scannáin TCI chun a fháil amach cé a bhain an comhartha.

Bhí an duine aonair den tuairim nár phróiseáil an rialaitheoir sonraí a shonraí pearsanta ar bhealach comhréireach ná trédhearcach agus nár chomhlíon sé na hoibleagáidí atá air mar rialaitheoir sonraí i ndáil leis an dóigh ar imscrúdaigh sé an teagmhas. Dá réir sin, rinne an duine aonair gearán a thaisceadh leis an gCoimisiún.

Chuaigh an Coimisiún i dteagmháil leis an rialaitheoir sonraí chun an gearán a scrúdú. Dhírigh sé ar mhainneachtain líomhnaithe an rialaitheora sonraí a chinntiú go gcomhlíonfaí na prionsabail a bhaineann le sonraí pearsanta an duine aonair a phróiseáil de réir Airteagail 5(1)(a), 5(1)(b) agus 13 den Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”). D’inis an Coimisiún do na páirtithe gurb é cur chuige an Choimisiúin ar an gcéad ásc deis a thabhairt do na páirtithe féin féachaint le teacht ar réiteach cairdiúil ar an ngearán de réir alt 109(3) den Acht um Chosaint Sonraí, 2018 (“Acht 2018”).

Tháinig na páirtithe ar réiteach cairdiúil. Rinne an rialaitheoir sonraí iniúchadh ar a chóras TCI agus rinne sé rochtain ar phíosaí scannáin TCI a theorannú do bhaill foirne ainmnithe.

Ghabh an duine aonair buíochas leis an gCoimisiún as an ngearán uaidh a láimhseáil ar bhealach gairmiúil cuidiúil. Luaigh sé freisin go raibh drogall air an gearán a chur isteach ar dtús toisc go raibh sé ar an eolas faoin líon gearán a ndéileálann an Coimisiún leo agus faoi na srianta a chuireann siad sin ar acmhainní. Cuireadh in iúl dó, áfach, gurbh ionann an aird a tugadh ar an ngearán uaidh agus an aird a thugtar ar na mór-shaincheisteanna a ndéileálann an Coimisiún leo. Tá muinín ag an duine aonair nach dtiocfaidh an tsaincheist chun cinn arís eile, a bhuí le rannpháirtíocht an Choimisiúin. Bhí an t-ábhar sonraí ag iarraidh buíochas a ghabháil leis an gCoimisiún agus aitheantas a thabhairt don dóigh éifeachtúil ar dhéileáil sé leis an ní.

4)  Cás-Staidéir 4: An Ceart go nDéanfaí Ligean i nDearmad (Microsoft)

Bhain an gearán le míshástacht an duine aonair leis an bhfreagra a thug an Rialaitheoir Sonraí (cuideachta ilnáisiúnta teicneolaíochta) ar an iarraidh a rinne sé go ndéanfaí ligean i ndearmad de bhun Airteagal 17 GDPR. D’iarr an duine aonair go ndíliostófaí seacht n-aimsitheoir aonfhoirmeacha acmhainne (URL) a tugadh mar thorthaí nuair a cuardaíodh ainm an duine aonair ar inneall cuardaigh an Rialaitheora Sonraí.

Dheimhnigh an Rialaitheoir Sonraí don duine gur díliostáladh na URLanna. Mar sin féin, léirigh cuardach ar ainm an duine aonair, a rinne a n-ionadaí dlíthiúil, gur leanadh de na URLanna a sheoladh ar ais.

Rinne an CCS athbhreithniú ar na URLanna nuair a fuair sé an gearán agus dheimhnigh sé go raibh na URLanna fós á gcur ar ais. Rinne an CCS idirghabháil chun iarracht a dhéanamh an cheist a réiteach go tapa agus go neamhfhoirmiúil.

Rinne an CCS comhfhreagras leis an Rialaitheoir Sonraí agus thug sé faoi deara, in ainneoin deimhnithe go raibh na URLanna díliostaithe, lean siad orthu ag filleadh agus ainm an duine á chuardach. Rinne an Rialaitheoir Sonraí imscrúdú breise ar an iarratas agus dheimhnigh sé don CCS go raibh na URLanna díliostaithe anois.

Tar éis don CCS tuilleadh imscrúdaithe, cinneadh cé nach raibh na URLanna bunaidh a iarradh le díliostú le feiceáil a thuilleadh, go raibh URL difriúil le feiceáil anois, difriúil ó na URLanna eile, á atreorú chuig an ábhar céanna. Dhíliostaigh an Rialaitheoir Sonraí an URL seo freisin ar iarratas a rinne an CCS thar ceann an duine aonair.

Scríobh an CCS chuig an duine aonair agus thug sé breac-chuntas ar ghníomhartha an Rialaitheora Sonraí. Dheimhnigh an CCS go raibh gach ceann de na trí URL díliostaithe ag an Rialaitheoir Sonraí.

Léiríonn an cás seo a thábhachtaí atá sé go ndéanfadh Údaráis Mhaoirseachta, sa chás seo an CCS, a gcuid imscrúduithe féin agus a chinntiú go comhlíontar iarratais daoine aonair i gcomhréir leis an GDPR. Is sampla é an méid thuas den chaoi ar ghlac an CCS bearta breise lena chinntiú go bhféadfadh an duine aonair toradh sásúil a bhaint amach go cuimsitheach, seachas a bheith air gearán nua a chur isteach maidir leis an URL nua.

5)  Cás-Staidéir 5: Iarrataí Rochtana agus Léirscriosta (Pinterest)

Bhain an gearán le míshástacht an duine aonair leis an bhfreagra a thug an Rialaitheoir Sonraí (cuideachta meán sóisialta) ar na hiarrataí rochtana agus léirscriosta a rinne sé de bhun Airteagal 15 GDPR agus Airteagal 17 GDPR faoi seach.

Chuir an duine aonair na hiarrataí uaidh isteach tar éis a chuntas a chur ar fionraí, agus é ag iarraidh cóip a fháil dá shonraí pearsanta uile agus a shocrú go scriosfaí na sonraí sin ó chórais an Rialaitheora Sonraí. Cuireadh cuntas an duine aonair ar fionraí mar thoradh ar shárú ar bheartais turscair an Rialaitheora Sonraí. Thug an Rialaitheoir Sonraí freagra uathoibrithe ar na hiarrataí, inar luadh go ndearna sé athbhreithniú ar an gcuntas agus gur chinn sé gan an cuntas a athghníomhachtú toisc gur thug sé gníomhaíocht a sháraigh a bheartas turscair faoi deara. Mar thoradh air sin, ní raibh an duine aonair in ann a shonraí pearsanta a bhí stóráilte ar a chuntas a rochtain a thuilleadh. Mhaígh an duine aonair nach bhféadfadh an fhaisnéis sin bheith ceart toisc gurbh annamh a d’úsáideadh sé a chuntas, agus d’iarr sé freagra níos substaintiúla ar na hiarrataí rochtana agus léirscriosta uaidh.

Rinne an Coimisiún teagmháil leis an Rialaitheoir Sonraí. Leag sé amach na hábhair imní a bhí ag an duine aonair i ndáil leis na hiarrataí rochtana agus léirscriosta uaidh agus d’iarr sé ar an Rialaitheoir Sonraí freagra níos substaintiúla a thabhairt ar na hábhair imní sin. D’iarr an Coimisiún ar an Rialaitheoir Sonraí freisin a shonrú cé acu a tugadh nó nár tugadh deis don duine aonair achomharc a dhéanamh in aghaidh fhionraí a chuntais agus, má tugadh an deis sin dó, cur síos a dhéanamh ar an nós imeachta le haghaidh achomhairc den sórt sin.

Thug an Rialaitheoir Sonraí freagra don Choimisiún á rá go ndearna sé imscrúdú ar an ní. Mhínigh sé go dtarlaíonn sé, a luaithe a chuirtear cuntas ar fionraí de dheasca sárú ar an mbeartas turscair, go seoltar gach comhfhreagras go huathoibríoch chuig a fhoireann Oibríochtaí Turscair ansin. Mhínigh an Rialaitheoir Sonraí an próiseas achomhairc agus thug sé faoi deara gur sheol an duine aonair comhfhreagras chuig an bhfoireann Oibríochtaí Turscair i ndáil leis an achomharc in aghaidh na fionraí. Níor thug an fhoireann Oibríochtaí Turscair faoi deara, áfach, go raibh sa chomhfhreagras sin freisin na hiarrataí rochtana agus léirscriosta a rinne an duine aonair. Dá bhrí sin, níor pléadh leo sin sa fhreagra uaithi.

Luadh sa fhreagra ón Rialaitheoir Sonraí freisin gur tharla sé, cé gur dhiúltaigh an fhoireann Oibríochtaí Turscair don achomharc a rinne an duine aonair in aghaidh fhionraí a chuntais, go ndearnadh athbhreithniú eile ina dhiaidh sin i bhfianaise a bheartas nuashonraithe turscair. Rinne an Rialaitheoir Sonraí cuntas an duine aonair a athghníomhachtú tar éis an athbhreithnithe sin.

Ghlac an Rialaitheoir Sonraí leis go raibh moill ann ar fhreagra a thabhairt don duine aonair agus dheimhnigh sé go ndearna sé bearta chun a chinntiú nach mbeadh aon mhoill eile den sórt sin ann agus freagra á thabhairt aige ar iarrataí amach anseo. Dheimhnigh an Rialaitheoir Sonraí gur thug sé freagra ar na hiarrataí rochtana agus léirscriosta ón duine aonair.

Dheimhnigh sé freisin go ndearna sé teagmháil leis an duine aonair chun é a chur ar an eolas faoi na bearta a rinne sé mar fhreagra ar an gcomhfhreagras a fuarthas ón gCoimisiún agus gur thug sé na mínithe atá leagtha amach thuas don duine aonair.

Thug an Coimisiún breac-chuntas don duine aonair ar na gníomhartha a rinne an Rialaitheoir Sonraí agus ar na mínithe a thug sé freisin. Dúirt an duine aonair leis an gCoimisiún go raibh sé sásta leis na gníomhartha a rinne an Rialaitheoir Sonraí mar fhreagra ar an gcomhfhreagras ón gCoimisiún toisc gur chumasaigh siad dó a shonraí a íoslódáil agus a chuntas a scriosadh.

Léirítear sa chás-staidéar seo cé chomh minic agus is féidir le nithe simplí – amhail gearán a chur ar aghaidh chuig an aonad mícheart – a éirí ina ngearáin chosanta sonraí mura mbainistítear an ní go cuí nuair a fhaigheann an fhoireann seirbhíse do chustaiméirí an gearán.

6)  Cás-Staidéir 6: An Ceart go nDéanfaí Ligean i nDearmad (Microsoft)

Bhain an gearán le míshástacht an duine aonair leis an bhfreagra a thug an Rialaitheoir Sonraí (cuideachta ilnáisiúnta teicneolaíochta) ar an iarraidh a rinne sé go ndéanfaí ligean i ndearmad de bhun Airteagal 17 GDPR. D’iarr an duine aonair go ndíliostófaí seacht n-aimsitheoir aonfhoirmeacha acmhainne (URL) a tugadh mar thorthaí nuair a cuardaíodh ainm an duine aonair ar inneall cuardaigh an Rialaitheora Sonraí. Luaigh an duine aonair go raibh a uimhir Chéannachta Náisiúnta ar áireamh sna URLanna a tugadh mar thorthaí agus bhí imní air go mbeadh sé i mbaol méadaithe goid chéannachta mar gheall ar an bhfáil a bhí ar an uimhir sin.

D’aontaigh an duine aonair agus an Rialaitheoir Sonraí araon go n-oibreodh siad leis an gCoimisiún chun féachaint leis an ní a réiteach go cairdiúil.

Dhiúltaigh an Rialaitheoir Sonraí don iarraidh díliostaithe ar dtús, á rá go raibh sna URLanna faisnéis a raibh ábharthacht phoiblí ag baint léi agus go raibh an fhaisnéis foilsithe i bhfeasachán oifigiúil ó chomhlacht rialtais, mar atá Rialtas na Spáinne.

Rinne an Coimisiún teagmháil le hÚdarás Cosanta Sonraí na Spáinne i ndáil leis an bhfaisnéis a bhí foilsithe sna URLanna. Luaigh Údarás Cosanta Sonraí na Spáinne gur tharla sé, mar thoradh ar GDPR a thabhairt isteach, gur athraíodh dlí Cosanta Sonraí na Spáinne agus nach gceadaítear don Rialtas a thuilleadh uimhir iomlán Chéannachta Náisiúnta aon saoránach a nochtadh in aice lena gcéadainm ná lena sloinne agus gníomhartha riaracháin á bpoibliú aige.

Tar éis soiléiriú a fháil ó Údarás Cosanta Sonraí na Spáinne, chuir an Coimisiún an Rialaitheoir Sonraí ar an eolas faoin athrú i ndlí Cosanta Sonraí na Spáinne. Bunaithe ar an athrú sin, dúirt an Rialaitheoir Sonraí go ndíliostódh sé na URLanna uile de bhun Airteagal 17 GDPR chun nach dtabharfadh siad aon torthaí nuair a chuardaítear ainm an duine aonair.

Léirítear sa chás seo a thábhachtaí atá sé cumarsáid a dhéanamh le húdaráis mhaoirseachta eile le linn an phróisis réitigh chairdiúil. Sna himthosca seo, tugadh soiléiriú don Choimisiún maidir leis an dóigh ar athraigh an Spáinn a reachtaíocht náisiúnta ar mhaithe le GDPR a chomhlíonadh. Thug sé sin deis don Rialaitheoir Sonraí a nós imeachta reatha a oiriúnú freisin chun a chinntiú gur de réir na reachtaíochta náisiúnta nuashonraithe a láimhseálfaí gach iarraidh a bhaineann le díliostú a dhéanamh ar URLanna ina bhfuil uimhreacha iomlána Céannachta Náisiúnta.

7)  Cás-Staidéir 7: Srianta ar an gCeart Rochtana – Comhaid ón nGarda Síochána chuig an Stiúrthóir Ionchúiseamh Poiblí

Rinne duine aonair gearán leis an gCoimisiún faoi na srianta a chuir an Stiúrthóir Ionchúiseamh Poiblí i bhfeidhm i leith iarraidh rochtana. Dúirt an duine go raibh sé ina íospartach coire ach gur chinn an Stiúrthóir gan an cás a ionchúiseamh.

Thug an Coimisiún faoi deara gur fhorchuir an Stiúrthóir srianta ar rochtain ar an gcomhad imscrúdaithe, ar an ráiteas ó fhinné, ar mheabhráin ar agallaimh a rinneadh mar chuid den imscrúdú, agus ar chomhfhreagras idir an Stiúrthóir agus an Garda Síochána. D’fhiosraigh an Coimisiún na srianta a chuir an Stiúrthóir i bhfeidhm toisc, maidir le haon srian a mbraitheann rialaitheoirí sonraí air, nach mór dó éirim na gceart bunúsach agus na saoirsí bunúsacha a urramú agus a bheith ina bheart riachtanach agus comhréireach i sochaí dhaonlathach chun cuspóirí tábhachtacha a bhaineann le leas ginearálta an phobail a choimirciú.

I gcás na gceart cosanta sonraí a thugtar faoin Treoir maidir le Cosaint Sonraí i réimse Fhorfheidhmiú an Dlí, mar atá trasuite san Acht um Chosaint Sonraí, 2018, níl feidhm acu ach maidir le sonraí pearsanta a bhaineann le faisnéis phearsanta an duine aonair féin agus ní thugtar leo aon cheart rochtana ar na sonraí pearsanta de chuid tríú páirtí. Sa chás seo, shoiléirigh an Stiúrthóir gur chuir sé srian le ceart rochtana an duine aonair a bhí i gceist faoi alt 94(2)(e) den Acht chun cearta agus saoirsí daoine eile a chosaint. Rinne an Stiúrthóir tagairt d’alt 91(7) den Acht freisin, lena bhforáiltear nach soláthróidh rialaitheoir sonraí do dhaoine aonair sonraí pearsanta a bhaineann le duine aonair eile i gcás go ndéanfadh sé sin, nó go bhféadfadh sé sin, céannacht an duine aonair eile a nochtadh. Is iad na haon imthosca amháin nach bhfuil feidhm ag alt 91(7) iontu ná imthosca ina dtoilíonn tríú páirtí lena fhaisnéis nó lena faisnéis a sholáthar don duine aonair a bhfuil an iarraidh á déanamh aige nó aici, mar atá leagtha amach in alt 91(8) den Acht.

Maidir leis an gcomhad imscrúdaithe a chuir an Garda Síochána faoi bhráid an Stiúrthóra agus maidir leis an gcomhfhreagras idir an Stiúrthóir agus an Garda Síochána, is amhlaidh, faoi alt 162 den Acht, nach bhfuil feidhm ag cearta ábhair sonraí aonair ná ag oibleagáidí rialaitheora i gcás go mbaineann siad sin le sonraí pearsanta a phróiseáiltear chun comhairle dlí a lorg, a fháil nó a thabhairt. Mar an gcéanna, níl feidhm ag cearta ná oibleagáidí den sórt sin ar ina leith a fhéadfar pribhléid a éileamh chun críocha imeachtaí dlí nó i gcúrsaí imeachtaí dlí. Thug an Coimisiún faoi deara go leagtar amach go follasach san Acht go n-áirítear leis na himeachtaí dlí sin sonraí pearsanta arb é atá iontu cumarsáidí idir cliant agus a chomhairleoirí dlí nó a comhairleoirí dlí nó idir na comhairleoirí sin. Tar éis tuilleadh soiléirithe a lorg, shoiléirigh an Stiúrthóir an seasamh uaidh go bhféadfaidh éileamh pribhléide teacht faoi alt 162(i) nó (ii) nó faoi alt 94(3)(i) i gcás go mbeidh srian á chur le rochtain de bhun aon cheann de na forálacha faoi alt 94(a) go (e). Tar éis athbhreithniú a dhéanamh ar na nithe i gcoitinne, ba léir don Choimisiún go raibh na srianta a agraíodh bailí agus go raibh feidhm ag pribhléid dhlíthiúil maidir leis na sonraí a seoladh idir an Garda Síochána agus an Stiúrthóir.

Láimhseáil an Coimisiún roinnt gearán den chineál céanna in aghaidh an Stiúrthóra i ndáil le hiarrataí ar rochtain d’ábhair sonraí le linn na bliana 2022. I gcás gach gearáin a scrúdaíodh, d’fhéach an Coimisiún ar aon srianta a chuir an Stiúrthóir i bhfeidhm ar bhonn cás ar chás agus d’fhiosraigh sé cé acu a éilíodh nó nár éilíodh aon phribhléid i leith na sonraí a coimeádadh siar.

Sa bhliain 2022, bhí gearán in aghaidh an Stiúrthóra ar scrúdaigh an Coimisiún é sa bhliain 2020 ina ábhar d’agóid ón ngearánach i gCúirt Chuarda (shibhialta) Chora Droma Rúisc. Bhain an agóid leis an gcinneadh ón gCoimisiún glacadh leis na srianta a chuir an Stiúrthóir i bhfeidhm. Thug an Chúirt faoi deara gur fhiosraigh an Coimisiún na cúiseanna a thug an Stiúrthóir don achomharcóir le sonraí pearsanta áirithe a choimeád siar agus gur thug an Stiúrthóir freagra mionsonraithe breise don Choimisiún. Luaigh an Chúirt go raibh sé soiléir, bunaithe ar na pléadálacha, gur scrúdaigh an Coimisiún na nithe uile agus an gearán á láimhseáil aige. D’fhéach an Chúirt ar gach ceann de na trí dhoiciméad a choimeád an Stiúrthóir siar agus ar an bpribhléid a éilíodh i leith gach ceann díobh, agus níor tháinig sí ar aon earráid i leith aon cheann de na trí chatagóir.

8)  Cás-Staidéir 8: Nochtadh Gan Toiliú

Rinne duine aonair gearán leis an gCoimisiún á rá go ndearna an Biúró um Shócmhainní Coiriúla (CAB) a mhionsonraí pearsanta airgeadais a nochtadh, gan toiliú a fháil uaidh, do roinnt daoine aonair ar ina n-aghaidh a thionscain CAB imeachtaí dlí. Chuir CAB in iúl don Choimisiún gur faoi na hAchtanna um Fháltais ó Choireacht, 1996 go 2016, a tionscnaíodh na himeachtaí a bhí i gceist. Is é an cuspóir atá leis na hAchtanna sin sainaithint agus coigistiú a dhéanamh ar mhaoin ar suíodh chun sástacht na hArd-Chúirte gurb iad na fáltais ó choireacht iad. Luaigh CAB go raibh an fhaisnéis a bhí sna doiciméid ábhair ag teastáil chun foinse na maoine a bhí ina hábhar do na himeachtaí a shuí. Leag CAB amach go raibh sonraí pearsanta an duine aonair a bhí i gceist fite fuaite i sonraí pearsanta na ndaoine aonair a bhí á n-ionchúiseamh agus nach bhféadfaí na sonraí sin a cheilt ó na doiciméid chúirte. Thug an Coimisiún faoi deara go rialaítear imeachtaí den sórt sin le halt 158(1) den Acht um Chosaint Sonraí, 2018 (an tAcht), lena bhforáiltear go bhféadfar srian a chur le GDPR agus leis an Treoir maidir le Cosaint Sonraí i réimse Fhorfheidhmiú an Dlí, mar atá trasuite san Acht, chun cosaint neamhspleáchais bhreithiúnaigh agus imeachtaí breithiúnacha a chinntiú.

Mar atá leagtha amach in alt 101(2) den Acht, níl an Coimisiún inniúil chun maoirseacht a dhéanamh ar oibríochtaí próiseála sonraí na gcúirteanna le linn dóibh gníomhú ina gcáil bhreithiúnach. Chuir an Coimisiún in iúl don ghearánach gur ullmhaigh CAB na doiciméid chúirte chun críocha imeachtaí cúirte agus go sanntar do bhreitheamh a ceapadh de bhun alt 157 den Acht an dualgas chun maoirseacht a dhéanamh ar oibríochtaí próiseála sonraí na gcúirteanna le linn dóibh gníomhú ina gcáil bhreithiúnach.

9)  Cás-Staidéir 9: Nochtadh Sonraí Íogaire

Rinne duine aonair gearán leis an CCS gur nocht Comhlacht Éadaí agus Bia a gcuid faisnéise liachta pearsanta trí chomhfhreagras poist a eisiúint leis na focail “Coeliac Mailing” priontáilte ar an taobh amuigh den chlúdach. Mar chuid d’áis Chárta Luach Stórais, shínigh an duine i gceist le ‘Deimhniú Bliantúil Caiteachais’ a fháil táirgí saor ó ghlútan a ceannaíodh i rith na bliana, a d’fhéadfaí a úsáid chun críocha cánach. Chuir an CCS in iúl don Store, faoi Airteagal 9 den GDPR, go meastar sonraí sláinte a bheith ina sonraí íogaire agus go dtugtar cosaint bhreise dóibh agus go gcaithfí na focail “Cóeliac Mailing” a thaispeáint i bhfianaise an Airteagail 9 den GDPR. Mar fhreagra air sin, chuir an Store in iúl don CCS gur threoraigh sé dá roinn margaíochta scor den fhoclaíocht seo a úsáid ar an taobh amuigh de clúdaigh do gach post amach anseo. Fáiltíonn an CCS roimh thoradh dearfach na rannpháirtíochta seo.

10)  Cás-Staidéir 10: Ionchúiseamh Guerin Media Limited

mí Eanáir 2022, fuair an Coimisiún dhá ghearán ó bheirt aonair maidir le ríomhphoist mhargaíochta gan iarraidh a fuarthas ó Guerin Media Limited. Sa fhreagra uaidh ar an imscrúdú ón gCoimisiún ar na gearáin, mhínigh Guerin Media Limited gur baineadh sonraí teagmhála ríomhphoist na beirte a bhí i gceist cheana féin de na liostaí margaíochta uile a shealbhaigh an chuideachta, seachas liosta teagmhálaithe Gmail a choimeádann sé. Luaigh sé go bhfuair an bheirt aonair ríomhphoist mhargaíochta ó Guerin Media Limited mar gheall ar earráid dhaonna agus mar gheall ar an bhfíoras go raibh a mionsonraí fós ar liosta teagmhálaithe Gmail agus nár cheart iad a sheoladh chucu.

Rinne an Coimisiún Guerin Media a ionchúiseamh sa bhliain 2019 i leith Rialachán 13 de na Rialacháin um Príobháideacht agus Cumarsáid Leictreonach a shárú i ndáil le gearáin roimhe sin maidir le cásanna den chineál céanna inar seoladh amach ríomhphoist mhargaíochta gan iarraidh. Dá réir sin, chinn an Coimisiún ionchúiseamh eile a sheoladh de bhun na ngearán seo.

Ag Cúirt Dúiche an Náis an 5 Nollaig 2022, phléadáil Guerin Media Limited ciontach i dtrí chúiseamh faoi Rialachán 13(1) de na Rialacháin um Príobháideacht agus Cumarsáid Leictreonach. Rinne an Chúirt Dúiche Guerin Media Limited a chiontú i ngach ceann de na trí chúiseamh agus d’fhorchuir sí gearáin arbh fhiú €6,000 san iomlán iad. D’aontaigh Guerin Media Limited €1,000 a íoc i dtreo chostais dlí an Choimisiúin.

11)  Cás-Staidéir 11: Ionchúiseamh Vodafone Ireland Limited

I mí Iúil 2021, fuair an Coimisiún gearán amháin ó dhuine aonair maidir le glao teileafóin margaíochta gan iarraidh a fuarthas ó Vodafone Ireland Limited. Agus é ag tabhairt freagra ar an imscrúdú ón gCoimisiún ar an ngearán, mhínigh Vodafone Ireland Limited gur roghnaigh an custaiméir seo gan cumarsáidí margaíochta a fháil i mí an Mhárta 2018. Ina ainneoin sin, rinne Vodafone Ireland Limited seiceáil de láimh ar shainroghanna pearsanta sular sheol sé feachtas margaíochta agus, mar gheall ar earráid dhaonna, cuireadh an gearánach ar áireamh san fheachtas margaíochta.

Rinne an Coimisiún Vodafone Ireland Limited a ionchúiseamh sna blianta 2021, 2019, 2018, 2013 agus 2011 i leith Rialachán 13 de na Rialacháin um Príobháideacht agus Cumarsáid Leictreonach a shárú i ndáil le gearáin roimhe sin. Dá réir sin, chinn an Coimisiún ionchúiseamh eile a sheoladh de bhun an ghearáin seo.

Ag Cúirt Dúiche Chathrach Bhaile Átha Cliath an 27 Meitheamh 2022, phléadáil Vodafone Ireland Limited ciontach i gcúiseamh amháin faoi Rialachán 13(6) de na Rialacháin um Príobháideacht agus Cumarsáid Leictreonach. Chuir an Chúirt Dúiche an Probation of Offenders Act, 1907, i bhfeidhm sa chás seo, agus síntiús carthanúil €500 á thabhairt do Little Flower Penny Dinners. D’aontaigh Vodafone Ireland Limited costais dlí an Choimisiúin a ghlanadh.

12)  Cás-Staidéir 12: Iarraidh léirscriosta ó ábhar sonraí Gréagach chuig Tinder, rud ar láimhseáil an Coimisiún é mar Phríomhúdarás Maoirseachta.

Baineann an cás-staidéar seo le gearán a fuair an Coimisiún tríd an sásra maidir le hIonaid Ilfhreastail, a cruthaíodh leis an Rialachán Ginearálta, ó dhuine aonair maidir le hiarraidh léirscriosta a rinne sé chuig MTCH Technology Services Limited (Tinder).

Mar fhaisnéis chúlra, chuir Tinder cuntas an duine aonair ar fionraí. Tar éis na fionraí sin, chuir an duine aonair iarraidh faoi bhráid Tinder faoi Airteagal 17 RGCS, á iarraidh go léirscriosfaí na sonraí pearsanta uile a sealbhaíodh i ndáil leis. Nuair a rinne sé teagmháil le Tinder, chuir an duine aonair in iúl freisin gur fadhb é nach féidir teagmháil dhíreach a dhéanamh le hoifigeach cosanta sonraí Tinder. Toisc nach raibh an duine aonair sásta leis an bhfreagra a fuair sé ó Tinder, rinne sé gearán le hÚdarás Maoirseachta na Gréige. Mhaígh an duine aonair nár thug Tinder aghaidh chuí ar an iarraidh léirscriosta uaidh ná ar na hábhair imní a bhí aige maidir le cainéil an oifigigh cosanta sonraí a rochtain. Ós rud é gurb é an Coimisiún an Príomhúdarás Maoirseachta do Tinder, chuir Údarás Maoirseachta na Gréige an gearán ar aghaidh chuige lena láimhseáil aige.

Sainaithníodh an gearán a bheith ina ghearán a d’fhéadfaí a réiteach go cairdiúil faoi alt 109 den Acht um Chosaint Sonraí, 2018. D’aontaigh Tinder obair i gcomhar leis an gCoimisiún chun an gearán ón duine aonair a réiteach go cairdiúil.

Chuir an Coimisiún substaint an ghearáin in iúl do Tinder agus rinne sé caidreamh leis. Mar fhreagra, agus mar réiteach cairdiúil beartaithe, dúirt Tinder go ndéanfadh sé athbhreithniú úr ar an toirmeasc a bhí ina ábhar don chás seo. Tar éis an athbhreithnithe sin, chinn Tinder deireadh a chur leis an toirmeasc. Tar éis do Tinder deireadh a chur le toirmeasc, cumasaítear do dhuine aonair a c(h)untas ar an ardán a rochtain an athuair. Is féidir leis an duine aonair a chinneadh ansin cé acu is mian nó nach mian leis/léi na huirlisí féinscriosta a úsáid chun a c(h)untas a léirscriosadh ó ardán Tinder. Mar aon leis an méid thuas, sholáthair Tinder faisnéis don duine aonair faoina bheartais choinneála.

Maidir leis an gcumas atá ag daoine aonair teagmháil a dhéanamh lena oifigeach cosanta sonraí, tharla sé, de bhun an chaidrimh a rinne an Coimisiún le Tinder, gur aontaigh Tinder na próisis a bhí i bhfeidhm aige a neartú trí leathanach tiomnaithe ceisteanna coitianta a phostáil ar a ardán. Tugtar do dhaoine aonair ar an leathanach sin anois faisnéis bhreisithe faoi shaincheisteanna sonracha a bhaineann le sonraí pearsanta a phróiseáil agus leis na cearta sin a fheidhmiú go díreach le hoifigeach cosanta sonraí Tinder.

Trí Údarás Maoirseachta na Gréige, chuir an Coimisiún an duine aonair ar an eolas faoi na gníomhartha a rinne Tinder. Sa fhreagra uaidh, dheimhnigh an duine aonair go raibh sé sásta an ní a thabhairt i gcrích. Mar sin, réitíodh an ní go cairdiúil de bhun alt 109(3) den Acht um Chosaint Sonraí, 2018 (an tAcht), agus measadh an gearán a bheith tarraingthe siar.

Léirítear arís eile sa chás-staidéar seo na tairbhí a bhaineann gearánaigh aonair as idirghabháil ón gCoimisiún tríd an bpróiseas réitigh chairdiúil. Ba é an toradh a bhí ar an gcaidreamh a rinne an Coimisiún leis an rialaitheoir freisin gur chuir Tinder feabhas ar an bhfaisnéis a chuireann sé ar fáil do na húsáideoirí uile ar a ardán.

13)  Cás-Staidéir 13: Treoir um Fhorfheidhmiú an Dlí

Rinne Coimisiún Ombudsman an Gharda Síochána (GSOC) litir, ina raibh an toradh ar imscrúdú a rinne sé ar ghearán, a chur chuig seoladh nach raibh cónaí ar an ngearánach aige a thuilleadh. Fuair an Coimisiún amach gur cuireadh an litir chuig an seoladh ag a raibh cónaí ar an duine aonair nuair a rinne sé gearán roimhe le GSOC. Thug an duine aonair a bhí i gceist fógra do GSOC ina dhiaidh sin á rá nach raibh cónaí air ag an seoladh sin a thuilleadh agus nach bhféadfaí teagmháil a dhéanamh leis ach trí ríomhphost i ndáil leis an ngearán nua.

Rinne an Coimisiún idirchaidreamh fairsing le GSOC maidir leis an ngearán seo. Thuairiscigh GSOC an sárú sonraí don Choimisiún trí na gnáthbhealaí a úsáidtear chun sárú a thuairisciú. Chun a chinntiú nach dtarlódh teagmhas den sórt seo arís, dúirt GSOC leis an gCoimisiún gur eisíodh ríomhphost inmheánach chuig gach ball foirne chun béim a leagan ar a thábhachtaí atá sé cruinneas na sonraí pearsanta a iontráiltear isteach sa Chóras Bainistíochta Cásanna a chinntiú. Dúirt GSOC freisin gur sheol sé ríomhphost ar leith chuig gach bainisteoir líne i rannán Cásoibre GSOC chun iad a chur ar an eolas faoin ngá atá ann le sonraí pearsanta a chur isteach go cruinn sa chóras agus faoin ngá atá ann leis an bhfaisnéis sin a leasú nuair a fhaightear faisnéis nuashonraithe.

14)  Cás-Staidéir 14: Nochtadh ráiteas cuntais ag banc don ionadaí le sealbhóir comhchuntais.

Bhí comhchuntas bainc le ball teaghlaigh ag an ngearánach sa chás seo. Ag teacht sna sála ar iarraidh a fháil ó aturnaetha an tsealbhóra eile den chomhchuntas, nocht an banc (an rialaitheoir sonraí) cóipeanna de ráitis bhainc a bhaineann leis an gcuntas, lenar áiríodh sonraí pearsanta an ghearánaigh, do na haturnaetha sin. Bhí imní ar an ngearánach nár chomhlíon an nochtadh sin an dlí um chosaint sonraí.

Le linn don Choimisiún déileáil leis an ngearán seo, leag an banc amach a sheasamh go bhfuil aon sealbhóir comhchuntais i dteideal mionsonraí agus faisnéis idirbhirt an chomhchuntais ina iomláine a rochtain. Bhí an banc den tuairim freisin gurb amhlaidh, maidir le haturnaetha atá ag gníomhú thar ceann a chustaiméirí, gur leor dó glacadh le deimhniú i scríbhinn ó aturnae ar a pháipéar ceannteidil á rá go ngníomhaíonn an t-aturnae thar ceann an chustaiméara mar údarás chun go bhféadfaidh an banc caidreamh a dhéanamh leis an aturnae ina cháil mar ionadaí leis an gcustaiméir de chuid an bhainc.

Ceanglaítear leis an dlí um chosaint sonraí go ndéanfaí sonraí pearsanta a bhailiú nó a fháil chun críocha sonraithe sainráite dlisteanacha agus nach ndéanfaí iad a phróiseáil tuilleadh ar shlí atá ar neamhréir leis na críocha sin (prionsabal an “teorannaithe de réir cuspóra”); Sa chás seo, thug an Coimisiún faoi deara go bhfuair an banc sonraí pearsanta an ghearánaigh chun an comhchuntas a bhí ag an ngearánach leis an sealbhóir eile den chuntas a riar, lena n-áirítear íocaíochtaí a dhéanamh, faisnéis idirbhirt a bhailiú agus ráitis bhainc a ullmhú. Chonacthas don Choimisiún go raibh sé comhsheasmhach leis na téarmaí agus coinníollacha a leag an banc síos don chomhchuntas agus le treoracha sínithe an tsealbhóra cuntais ar an gcuntas (lena gceadófaí do cheachtar páirtí síniú le haghaidh idirbheart gan toiliú a fháil ón sealbhóir eile den chuntas) go bhféadfadh sealbhóir amháin den chuntas riar an chuntais a chur i gcrích gan toiliú a fháil ón sealbhóir eile. Ina fhianaise sin, mheas an Coimisiún, maidir le nochtadh ráiteas bainc d’aturnaetha an tsealbhóra eile den chomhchuntas, nach raibh sé sin ar neamhréir leis an gcríoch shonraithe fhollasach dhlisteanach ar chuici a fuair an banc sonraí pearsanta an ghearánaigh, i.e., chun an comhchuntas a riar.

Ar an dara dul síos, bhreithnigh an Coimisiún cé acu a bhí nó nach raibh bunús dleathach ag an mbanc do shonraí pearsanta an ghearánaigh a nochtadh, faoi mar a cheanglaítear faoin dlí um chosaint sonraí. Chuige sin, ba dheimhin leis an gCoimisiún go raibh an banc i dteideal brath ar bhunús dleathach na “leasanna dlisteanacha”, rud lena gceadaítear sonraí pearsanta a phróiseáil i gcás go bhfuil an phróiseáil sin riachtanach chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir sonraí nó ag tríú páirtí. Sa chás seo, nocht an banc sonraí pearsanta an ghearánaigh ar an mbonn go raibh an t-aturnae ag gníomhú thar ceann an tsealbhóra eile den chomhchuntas agus go raibh sé ag lorg na ráiteas chun críocha dlisteanacha, eadhon, iniúchadh a dhéanamh ar ghnóthaí airgeadais an tsealbhóra eile den chuntas. In imthosca inarb amhlaidh, de bhun na dtreoracha sínithe ar an gcuntas, a bheadh an sealbhóir eile den chuntas i dteideal an cuntas a riar, ba dheimhin leis an gCoimisiún nach raibh aon chúis ag an mbanc lena chreidiúint nach mbeadh aon údar leis an nochtadh trí bhíthin aon dochar a dhéanamh do chearta bunúsacha nó saoirí bunúsacha an ghearánaigh. Dá réir sin, mheas an Coimisiún go raibh bunús dleathach ag an mbanc don nochtadh, is cuma cé acu a thug an gearánach toiliú nó nár thug.

Sa deireadh, bhreithnigh an Coimisiún cé acu a chomhlíon nó nár chomhlíon an banc na hoibleagáidí atá air faoin dlí um chosaint sonraí maidir le bearta cuí teicniúla agus eagraíochtúla a dhéanamh chun sonraí pearsanta a chosaint ar nochtadh neamhúdaraithe nó neamhdhleathach. Chuige sin, ghlac an Coimisiún le seasamh an bhainc, atá leagtha amach sna beartais uaidh, go raibh sé cuí glacadh le deimhniú i scríbhinn ó aturnae á rá go raibh sé údaraithe chun gníomhú thar ceann sealbhóir cuntais, gan aon chruthúnas breise a iarraidh. Maidir le beartas an bhainc ina leith sin, bhí sé bunaithe ar an bhfíoras go mbíonn dualgais ghairmiúla ar aturnae mar oifigeach de chuid na cúirte agus mar bhall de ghairm rialáilte.

15)  Cás-Staidéir 15: Ardriosca féideartha a tháinig as sonraí míchruinne sa Lárchiste Creidmheasa

Fuair an Coimisiún fógra ó rialaitheoir a bhí ag plé le nithe airgeadais. Bhain an fógra le duine aonair ar tuairiscíodh a chuntas go mícheart don Lárchiste Creidmheasa. Cheannaigh an rialaitheoir cuntas an duine aonair mar chuid de dhíol punainne sa bhliain 2015 agus níorbh eol dó gur breithníodh an duine aonair ina fhéimheach sa bhliain 2014. Ní thagann daoine aonair a dearbhaíodh a bheith ina bhféimheach faoi raon feidhme na n-oibleagáidí tuairiscithe don Lárchiste Creidmheasa. Ní intuairiscithe don Lárchiste ach oiread atá cuntais ar ina leith a rinneadh tuairisceáin roimh thosach feidhme an Lárchiste Creidmheasa an 30 Meitheamh 2017.

Bhí deacracht ag an duine aonair iasacht a fháil toisc go ndearna an rialaitheoir a thaifead sa Lárchiste Creidmheasa, atá infheicthe ag institiúidí iasachtaí eile, a thuairisciú de bhotún a bheith beo agus i riaráiste. Measadh go raibh ardriosca ann do chearta agus saoirsí an duine aonair. Dá réir sin, chuir an rialaitheoir an duine aonair ar an eolas faoin sárú faoi Airteagal 34 RGCS.

Thug an Coimisiún deimhniú don rialaitheoir gur leasaíodh taifead an duine aonair sa Lárchiste Creidmheasa. Mar mhaolú, thug an rialaitheoir bearta isteach lena gceanglaítear ar dhíoltóirí punann faisnéis faoi dhaoine aonair, amhail féimheachtaí, a nochtadh.

Tá an cás seo mar fhianaise ar a thábhachtaí atá sé go mbeadh córais i bhfeidhm chun slándáil agus sláine sonraí pearsanta a chinntiú faoi Airteagal 5(1)(f) RGCS. Ba cheart do rialaitheoirí bheith ar an eolas faoi na sonraí pearsanta a shealbhaíonn siad faoi dhaoine aonair agus ba cheart dóibh bearta a bheith i bhfeidhm acu chun sonraí a mheas nuair a fhaigheann siad ó pháirtithe eile iad. Tá an cás seo mar fhianaise freisin ar an dualgas atá ar rialaitheoirí a chinntiú nach ndéantar aon athrú ar shonraí pearsanta agus nach ndéantar aon nochtadh neamhúdaraithe orthu don Lárchiste Creidmheasa, is cuma cé acu atá siad ceart nó mícheart, i gcás go gcruthódh sé sin riosca do dhaoine aonair.

16)  Cás-Staidéir 16: Hacking seirbhís ríomhphoist tríú páirtí.

Baineann Ionad Cúraim Ospíse (Rialaitheoir) úsáid as seirbhísí Office 365, ar seirbhís néalbhunaithe ríomhphoist í. D’fhostaigh sé Sainchomhairleoirí TF tríú páirtí freisin. Fuarthas foláireamh ó Fhoireann Office 365 á rá gur braitheadh patrún amhrasach cur ríomhphost, rud a d’eascair as ionsaí lántrialach agus a chuir faisnéis aitheantais úsáideora i mbaol.

Shealbhaigh an Rialaitheoir sonraí ar roinnt freastalaithe agus luaigh sé go raibh an riosca íseal toisc nár asbhaineadh aon sonraí. D’iarr an Coimisiún ar na rialaitheoirí mionsonraí faoi na sonraí pearsanta agus na sonraí pearsanta íogaire a bhí i gceist agus/nó cóip díobh a sholáthar dó. Lean an rialaitheoir lena chur in iúl don Choimisiún gur chreid sé nach raibh aon sárú sonraí ann.

Rinne an Soláthraí TF Iniúchadh Office 365 gach ráithe, ar lena linn a shainaithin an soláthraí seirbhíse roinnt moltaí. I measc nithe eile, mhol sé go gcuirfí fíordheimhniú ilfhachtóra i bhfeidhm i leith gach cuntais úsáideora agus go ndíchumasófaí rialacha cur ar aghaidh ar gach cuntas.

Agus é ag plé le fíorais an tsáraithe, rinne an Coimisiún athbhreithniú ar an Tuarascáil Fhóiréinseach a fuarthas ó thríú páirtí. Suíodh sa Tuarascáil sin nár chuir an rialaitheoir fíordheimhniú ilfhachtóra chun feidhme, cé gur moladh dó déanamh amhlaidh in iniúchtaí roimhe sin. Ina theannta sin, ní raibh na rialaitheoirí in ann catagóirí ná cineál na sonraí pearsanta a bhí faoi rialú acu a leagan amach go cuí.

Shuigh na Sainchomhairleoirí TF gur gnóthaíodh an fhaisnéis aitheantais mar thoradh ar ionsaí lántrialach, rud a d’fhéadfaí a chosc trí fhíordheimhniú ilfhachtóra a thabhairt isteach. Bunaithe ar chomhairle ó na Sainchomhairleoirí TF, athshocraíodh an pasfhocal úsáideora a bhí truaillithe agus tugadh fíordheimhniú ilfhachtóra isteach don úsáideoir seo. Tá fíordheimhniú ilfhachtóra á thabhairt isteach ag an rialaitheoir do gach úsáideoir anois.

D’fhéadfaí an sárú seo a chosc dá dtabharfaí moltaí an iniúchta isteach ar bhealach tráthúil.

17)  Cás-Staidéir 17: Leantach forfheidhmithe: Teicneolaíochtaí Faireachais agus Cosaint Sonraí i Luimneach

Mar a tuairiscíodh i dtuarascáil bhliantúil na bliana seo caite, d’eisigh an Coimisiún cinneadh chuig Comhairle Cathrach agus Contae Luimnigh i mí na Nollag 2021 maidir le raon leathan saincheisteanna a bhaineann le teicneolaíochtaí faireachais a raibh an Chomhairle ag baint úsáid astu. Sa bhliain 2022, rinne an Coimisiún gníomh leantach i ndáil leis an aon ghníomh ceartaitheach is fiche a bhí le déanamh ag Comhairle Cathrach agus Contae Luimnigh de réir an chinnidh chun a chinntiú gur cuireadh na gníomhartha sin chun feidhme laistigh de na tréimhsí ama sonraithe.

Áiríodh na nithe seo a leanas leis na saincheisteanna imní sa chinneadh: an úsáid a bhí an Chomhairle ag baint as ceamaraí TCI i gcás nach bhfuarthas aon údarú ó Choimisinéir an Gharda Síochána ina leith; gan aon bhunús dleathach a bheith ann le ceamaraí TCI a úsáid le haghaidh bainistíocht tráchta; an rochtain ó Stáisiún Gardaí Shráid Anraí ar cheamaraí TCI na Comhairle i láithreacha sonraithe; agus an úsáid a bhíothas ag baint as teicneolaíocht uathaitheanta uimhirphlátaí agus as dróin in áiteanna poiblí, ar rudaí iad a bhíothas ag úsáid chun coireacht a ionchúiseamh nó chun críocha eile. Sa chinneadh uaidh, d’fhorchuir an Coimisiún toirmeasc sealadach ar an bpróiseáil a bhí á déanamh ag an gComhairle ar shonraí pearsanta i ndáil le ceamaraí áirithe TCI, agus thug sé ordú don Chomhairle a próiseáil a chur i gcomhréir trí ghníomhartha sonraithe a dhéanamh. Chomh maith leis sin, d’eisigh an Coimisiún iomardú chuig an gComhairle i ndáil leis na sáruithe, agus forchuireadh fíneáil riaracháin de shuim €110,000.

Mar ghníomh forfheidhmiúcháin leantach i ndáil le cur chun feidhme na ngníomhartha ceartaitheacha, scríobh an Coimisiún chuig Comhairle Cathrach agus Contae Luimnigh agus bhuail sé go fíorúil léi roinnt uaireanta sa bhliain 2022 chun faireachán a dhéanamh ar an dul chun cinn. An 27 Iúil 2022, rinne an Coimisiún cigireacht ar an láithreán ag Comhairle Cathrach agus Contae Luimnigh chun a dheimhniú go ndearnadh na gníomhartha ceartaitheacha uile.

Ag deireadh an phróisis sin, ba dheimhin leis an gCoimisiún gur chuir Comhairle Cathrach agus Contae Luimnigh na gníomhartha ceartaitheacha a ceanglaíodh leis an gcinneadh ón gCoimisiún chun feidhme. Bhí na nithe seo a leanas i measc na saincheisteanna suntasacha chuige sin:

  • Fuarthas údarú ó Choimisinéir an Gharda Síochána faoi alt 38 d’Acht an Gharda Síochána le haghaidh 353 cheamara TCI i gCathair agus Contae Luimnigh. 
  • Cuireadh comhaontú comhrialaitheora idir an Garda Síochána agus Comhairle Cathrach agus Contae Luimnigh i bhfeidhm i ndáil leis na ceamaraí údaraithe. 
  • Baineadh an acmhainn uathaitheanta uimhirphlátaí ar fad de na láithreáin uile a raibh sí i mbun oibre iontu.
  • Dínascadh na ceamaraí bainistíochta tráchta uile.
  • Baineadh na ceamaraí TCI a bhí dírithe roimhe sin ar láithreáin chóiríochta daoine den lucht siúil. 
  • Dínascadh an nasc ó roinnt de cheamaraí TCI na Comhairle le Stáisiún Gardaí Shráid Anraí. 
  • Coinníodh dróin ar talamh. • Cuireadh comharthaíocht nua TCI suas ar fud na láithreán TCI uile. 
  • Cuireadh deireadh le pleananna a raibh sé i gceist leo faireachán fíor-ama ar cheamaraí TCI a chur chun feidhme i gceithre cinn déag de bhailte agus de shráidbhailte i gContae Luimnigh.
  • Níl 126 cinn de cheamaraí TCI i mbun oibre a thuilleadh.

De bhreis air sin, dheimhnigh an Chúirt Chuarda sa chuid deiridh de mhí na Samhna 2022 an cinneadh ón gCoimisiún chun fíneáil riaracháin €110,000 a fhorchur ar Chomhairle Cathrach agus Contae Luimnigh i ndáil leis na sáruithe ar RGCS a luadh sa chinneadh.

18)  Cás-Staidéir 18: Cinneadh Airteagal 60 maidir le Twitter International Company – Iarraidh ar Aitheantas, Iarraidh Léirscriosta

Taisceadh gearán in aghaidh Twitter International Company (“Twitter”) go díreach leis an gCoimisiún an 02 Iúil 2019. Dá réir sin, láimhseáil an Coimisiún an gearán ina cháil mar phríomhúdarás maoirseachta. Líomhain an gearánach gur tharla sé, tar éis a chuntas ar Twitter a chur ar fionraí, gur mhainnigh Twitter an creat ama reachtúil a chomhlíonadh i leith iarraidh léirscriosta a chuir sé faoina bhráid. Líomhain an gearánach freisin gur iarr Twitter cóip dá aitheantas fótagrafach chun go bhféadfadh sé an iarraidh léirscriosta uaidh a chur i ngníomh gan aon bhunús dlí a bheith aige le déanamh amhlaidh. Ar deireadh, líomhain an gearánach gur choinnigh Twitter a shonraí pearsanta tar éis na hiarrata léirscriosta uaidh gan aon bhunús dlí a bheith aige le déanamh amhlaidh.

Cuireadh cuntas Twitter an ghearánaigh ar fionraí toisc gur mheas Twitter gur sháraigh an gearánach a Bheartas Iompair Ghránna. Tar éis do Twitter an cuntas a chur ar fionraí, d’iarr an gearánach go léirscriosfaí a shonraí pearsanta uile, amhail a sheoladh ríomhphoist agus a uimhir theileafóin. Chuir sé roinnt iarrataí difriúla faoi bhráid Twitter á iarraidh air go léirscriosfaí a shonraí. D’iarr Twitter ar an ngearánach cóip dá aitheantas a chur isteach chun a fhíorú gurbh é an sealbhóir cuntais i ndáiríre é. Dhiúltaigh an gearánach do dhéanamh amhlaidh. Ar deireadh, chomhlíon Twitter an iarraidh léirscriosta gan aitheantas fótagrafach an ghearánaigh a fháil.

Ar dtús, d’fhéach an Coimisiún leis an ngearán seo a réiteach go cairdiúil trína phróiseas láimhseála gearán. Níor éirigh leis teacht ar réiteach cairdiúil, áfach, agus osclaíodh fiosrúchán ar an gcás. Ba iad seo a leanas na saincheisteanna lena n-iniúchadh agus lena gcinneadh ag an bhfiosrúchán ón gCoimisiún: (i) cé acu a bhí nó nach raibh bunús dleathach ag Twitter le haitheantas fótagrafach a iarraidh tar éis iarraidh léirscriosta a fháil de bhun Airteagal 17 RGCS; (ii) cé acu a láimhseáil nó nár láimhseáil Twitter an iarraidh léirscriosta sin i gcomhréir leis an Rialachán Ginearálta agus leis an Acht um Chosaint Sonraí, 2018; agus (iii) cé acu a chomhlíon nó nár chomhlíon Twitter ceanglais trédhearcachta Airteagal 12 RGCS.

Agus an seasamh uaidh á chosaint, luaigh Twitter go bhfuil ríthábhacht ag baint le haitheantas an iarrthóra a fhíordheimhniú i gcásanna ina n-iarrann páirtí go ndéanfaí léirscriosadh ar a chuntas. Luaigh sé gurb é an t-aon toradh amháin a bhíonn ar na haitheantóirí uathúla a sholáthraítear nuair a chláraítear cuntas (i.e., seoladh ríomhphoist agus uimhir theileafóin) ná ceangal a dhéanamh idir úsáideoir agus cuntas. Ní fhíoraítear leo aitheantas aon sealbhóra cuntais. Luaigh Twitter gurb eol dó gur féidir cuntais ríomhphoist a haiceáil agus gur féidir go bhféachfaidh páirtithe leasmhara eile le cuntas a léirscriosadh, go háirithe i gcás den sórt seo inar cuireadh an cuntas ar fionraí mar gheall ar roinnt sáruithe líomhnaithe ar Bheartas Iompair Ghránna Twitter. Thug an chuideachta le fios go gcoinníonn sí faisnéis bhunúsach faoi shíntiúsóirí ar feadh tréimhse éiginnte, ar aon dul leis an leas dlisteanach atá aici i sábháilteacht agus slándáil a hardáin agus a húsáideoirí a chothabháil.

D’áitigh Twitter freisin nár bhain Airteagal 5(1)(c) le hábhar anseo toisc nár bhailigh sé aon aitheantas ar bith ón ngearánach. Ina ainneoin sin, luaigh sé gur chomhréireach agus riachtanach araon a bhí an iarraidh ar aitheantas fótagrafach sa chás seo. Thug sé le fios go mbíonn leibhéal níos airde fíordheimhniúcháin ag teastáil i gcás nach bhfuil duine logáilte isteach ina chuntas, rud a tharlóidh i gcónaí nuair atá cuntas an duine lena mbaineann ar fionraí.

Ag féachaint don iarraidh léirscriosta ón ngearánach agus don oibleagáid ghaolmhar atá ar an gcuideachta aon iarraidh den sórt sin a phróiseáil ‘gan moill mhíchuí’, leag Twitter amach amlíne an chomhfhreagrais idir é féin agus an gearánach maidir leis an iarraidh léirscriosta. Luaigh Twitter go ndearna an gearánach iarrataí dúblacha agus gur chuir sé sin moill ar phróiseas an scriosta/an léirscriosta. Maidir le coinneáil sonraí, chuir Twitter in iúl don Choimisiún gur choinnigh sé uimhir theileafóin agus seoladh ríomhphoist an ghearánaigh tar éis an iarraidh rochtana uaidh a chur i gcrích. Luaigh sé go gcoinníonn sé an fhaisnéis theoranta sin ar feadh tréimhse éiginnte tar éis an cuntas a dhíghníomhachtú agus go ndéanann sé amhlaidh de réir na leasanna dlisteanacha atá aige i sábháilteacht agus slándáil a ardáin agus a úsáideoirí a chothabháil. Dhearbhaigh sé gurbh amhlaidh, dá scriosfadh sé seoladh ríomhphoist nó uimhir theileafóin an ghearánaigh óna chórais, go bhféadfadh an gearánach an fhaisnéis sin a úsáid ansin chun cuntas nua a chruthú, cé gur sainaithníodh é agus gur cuireadh ar fionraí go buan é ón ardán de dheasca sáruithe éagsúla ar Bheartas Iompair Ghránna Twitter.

Tar éis dó an fiosrúchán uaidh a chur i gcrích, ghlac an Coimisiún an cinneadh uaidh i ndáil leis an ngearán seo de réir Airteagal 60(7) RGCS an 27 Aibreán 2022. Chinn an Coimisiún gur sháraigh Twitter International Company, an rialaitheoir sonraí, an Rialachán Ginearálta maidir le Cosaint Sonraí mar a leanas:

  • Airteagal 5(1)(c): Sháraigh Twitter prionsabal an íoslaghdaithe sonraí, de bhun Airteagal 5(1)(c) RGCS, nuair a cheangail sé ar an ngearánach a aitheantas a fhíorú trí chóip dá aitheantas fótagrafach a chur isteach.
  • Airteagal 6(1): Níor shainaithin Twitter aon bhunús dleathach bailí faoi Airteagal 6(1) RGCS le cóip d’aitheantas fótagrafach an ghearánaigh a iarraidh chun an iarraidh léirscriosta uaidh a phróiseáil. • Airteagal 17(1): Sháraigh Twitter Airteagal 17(1) RGCS, toisc go raibh moill mhíchuí ann ar an iarraidh léirscriosta ón ngearánach a phróiseáil.
  • Airteagal 12(3): Sháraigh Twitter Airteagal 12(3) RGCS trí mhainneachtain fógra a thabhairt don ábhar sonraí laistigh de mhí amháin faoin ngníomh a rinneadh i dtaca leis an iarraidh léirscriosta uaidh de bhun Airteagal 17 RGCS.

Chinn an Coimisiún go raibh bunús dlí bailí ag Twitter, de réir Airteagal 6(1) (f), le seoladh ríomhphoist agus uimhir theileafóin an ghearánaigh a bhí bainteach leis an gcuntas a choinneáil. Chinn sé freisin gurbh amhlaidh, gan dochar don chinneadh uaidh thuas maidir le prionsabal an íoslaghdaithe sonraí i ndáil le haitheantas fótagrafach, gur chomhlíon Twitter prionsabal an íoslaghdaithe sonraí toisc go raibh próiseáil an tseolta ríomhphoist agus na huimhreach teileafóin teoranta don mhéid ba ghá maidir leis na críocha dá ndéantar iad a phróiseáil.

I bhfianaise mhéid na sáruithe, d’eisigh an Coimisiún iomardú chuig Twitter International Company, de bhun Airteagal 58(2)(b) RGCS. Ina theannta sin, d’ordaigh an Coimisiún do Twitter International Company, de bhun Airteagal 58(2)(d), leasú a dhéanamh ar a bheartais agus a nósanna imeachta inmheánacha le haghaidh iarrataí léirscriosta a láimhseáil chun a chinntiú nach gceanglófaí ar ábhair sonraí a thuilleadh cóip d’aitheantas fótagrafach a sholáthar nuair a dhéanann siad iarrataí léirscriosta sonraí, ach amháin i gcás go bhféadfaidh sé bunús dlí le déanamh amhlaidh a léiriú. D’ordaigh an Coimisiún do Twitter International Company mionsonraí faoina bheartais agus a nósanna imeachta inmheánacha athbhreithnithe a sholáthar dó faoin 30 Meitheamh 2022. Chomhlíon Twitter an t-ordú sin faoin spriocdháta socraithe.

19)  Cás-Staidéir 19: Cinneadh Airteagal 60 maidir le Airbnb Ireland UC – Freagra moillithe ar Iarraidh Rochtana agus Iarraidh Léirscriosta

Taisceadh gearán in aghaidh Airbnb Ireland UC (“Airbnb”) le Coimisinéir Bheirlín um Chosaint Sonraí agus Saoráil Faisnéise (“Údarás Cosanta Sonraí Bheirlín”). Aistríodh an gearán chuig Coimisiún na hÉireann um Chosaint Sonraí (“an Coimisiún”) ansin lena láimhseáil aige ina cháil mar phríomhúdarás maoirseachta.

Líomhain an gearánach gur mhainnigh Airbnb iarraidh léirscriosta agus iarraidh rochtana ina dhiaidh sin a chuir sé faoina bhráid a chomhlíonadh laistigh den chreat ama reachtúil. Ina theannta sin, luaigh an gearánach gur tharla sé, nuair a chuir sé an iarraidh léirscriosta uaidh isteach, gur iarr Airbnb air a aitheantas a fhíorú trí fhótachóip dá dhoiciméad aitheantais (“aitheantas”) a sholáthar, rud nár soláthraíodh do Airbnb roimhe sin.

Ar dtús, d’fhéach an Coimisiún leis an ngearán seo a réiteach go cairdiúil trína phróiseas láimhseála gearán. Níor éirigh leis teacht ar réiteach cairdiúil, áfach, agus osclaíodh fiosrúchán ar an gcás. Ba iad seo a leanas na saincheisteanna lena n-iniúchadh agus lena gcinneadh ag an bhfiosrúchán ón gCoimisiún: (i) cé acu a bhí nó nach raibh bunús dleathach ag Airbnb le cóip d’aitheantas an ghearánaigh a iarraidh tar éis dó iarraidh léirscriosta a chur isteach de bhun Airteagal 17 RGCS; (ii) cé acu a láimhseáil nó nár láimhseáil Airbnb an iarraidh léirscriosta sin i gcomhréir leis an Rialachán Ginearálta agus leis an Acht um Chosaint Sonraí, 2018; agus (iii) cé acu a láimhseáil nó nár láimhseáil Airbnb an iarraidh rochtana ón ngearánach i gcomhréir leis an Rialachán Ginearálta agus leis an Acht um Chosaint Sonraí, 2018.

Thug Airbnb freagra ar na líomhaintí ón ngearánach, agus é ag tabhairt údar leis an iarraidh uaidh ar aitheantas fótagrafach mar gheall ar na héifeachtaí díobhálacha a bheadh ann dá scriosfaí cuntas go héagórach. Chuir Airbnb in iúl gur féidir le dochar suntasach fíorshaoil a bheith ag baint le cuntas Airbnb a scriosadh go calaoiseach, lena n-áirítear, i gcás na n-óstach, an dochar eacnamaíoch a bhaineann le háirithintí a chealú agus leis an dea-thoil a gnóthaíodh sa chuntas a chailleadh agus, i gcás na n-aíonna, an baol go gcaillfeadh siad cóiríocht agus iad ag taisteal thar lear. Luaigh Airbnb nach rioscaí beagbhríocha iad sin agus nach mór bearta cuí a dhéanamh chun dul i ngleic leo. Luaigh sé freisin gur cruthúnas iontaofa aitheantais é doiciméad aitheantais a sholáthar chun iarraidh léirscriosta a fhíordheimhniú agus nach gcuireann sé aon ualach díréireach ar an duine aonair atá ag déanamh na hiarrata. D’áitigh sé gur féidir aitheantas fótagrafach a mheas a bheith ina dhroichead fianaiseach idir aitheantas ar líne agus aitheantas as line. Chomhlíon Airbnb an iarraidh léirscriosta ón ngearánach ar deireadh. Bhailíochtaigh sé aitheantas an ghearánaigh trí rogha a thabhairt dó logáil isteach ina chuntas chun a aitheantas a fhíorú, gan aon ghá le haitheantas a sholáthar. Tar éis idirghabháil ón gCoimisiún, chomhlíon Airbnb an iarraidh rochtana ón ngearánach. Tar éis dó an fiosrúchán uaidh a chur i gcrích, ghlac an Coimisiún an cinneadh uaidh i ndáil leis an ngearán seo de réir Airteagal 60(7) RGCS an 14 Meán Fómhair 2022. Chinn an Coimisiún gur sháraigh Airbnb Ireland UC, an rialaitheoir sonraí, an Rialachán Ginearálta maidir le Cosaint Sonraí mar a leanas:

  • Airteagal 5(1)(c) RGCS

Chinn an Coimisiún gur sháraigh Airbnb prionsabal an íoslaghdaithe sonraí, de bhun Airteagal 5(1)(c) RGCS, nuair a cheangail sé ar an ngearánach a aitheantas a fhíorú trí chóip dá aitheantas fótagrafach a chur isteach. Tharla an sárú seo in imthosca ina raibh réitigh nach raibh chomh sonraíbhunaithe céanna ar cheist an fhíorúcháin aitheantais ar fáil do Airbnb.

  • Airteagal 6(1) RGCS

Chinn an Coimisiún gur tharla sé, in imthosca sonracha an ghearáin seo, nach raibh an leas dlisteanach a shaothraigh an rialaitheoir ina bhunús dleathach bailí faoi Airteagal 6 RGCS le cóip d’aitheantas fótagrafach an ghearánaigh a iarraidh chun an iarraidh léirscriosta uaidh a phróiseáil.

  • Airteagal 12(3) RGCS

Chinn an Coimisiún gur sháraigh Airbnb Airteagal 12(3) RGCS i ndáil leis an dóigh ar láimhseáil sé an iarraidh rochtana ón ngearánach. Tharla an sárú seo nuair a mhainnigh Airbnb faisnéis a sholáthar don ghearánach faoin ngníomh a rinneadh i dtaca leis an iarraidh rochtana uaidh laistigh de mhí amháin ón iarraidh a fháil.

I bhfianaise mhéid na sáruithe, d’eisigh an Coimisiún iomardú chuig Airbnb Ireland UC, de bhun Airteagal 58(2)(b) RGCS. Ina theannta sin, d’ordaigh an Coimisiún do Airbnb Ireland UC, de bhun Airteagal 58(2)(d), leasú a dhéanamh ar a bheartais agus a nósanna imeachta inmheánacha le haghaidh iarrataí léirscriosta a láimhseáil chun a chinntiú nach gceanglófaí ar ábhair sonraí a thuilleadh cóip d’aitheantas fótagrafach a sholáthar nuair a dhéanann siad iarrataí léirscriosta sonraí, ach amháin i gcás go bhféadfaidh sé bunús dlí le déanamh amhlaidh a léiriú. D’ordaigh an Coimisiún do Airbnb Ireland UC mionsonraí faoina bheartais agus a nósanna imeachta inmheánacha athbhreithnithe a sholáthar dó faoin 4 Samhain 2022. Chomhlíon Airbnb an t-ordú sin faoin spriocdháta socraithe.

20)  Cás-Staidéir 20: Cinneadh Airteagal 60 maidir le Airbnb Ireland UC – Freagra moillithe ar Iarraidh Rochtana agus Iarraidh Léirscriosta

Cúlra

I mí Feabhra 2021, thaisc ábhar sonraí gearán leis an gCoimisiún um Chosaint Sonraí de bhun Airteagal 77 GDPR. Bhain an gearán le rialaitheoir sonraí atá lonnaithe in Éirinn. Measadh gurbh é an Coimisiún an t-údarás inniúil chun críche Airteagal 56(1) GDPR. Bhí mionsonraí an ghearáin mar a leanas:

a. Sheol an t-ábhar sonraí ríomhphost chuig an rialaitheoir sonraí i mí Eanáir 2021 chun a iarraidh go léirscriosfaí a shonraí pearsanta.

b. Ní bhfuair an t-ábhar sonraí aon fhreagra ón rialaitheoir sonraí.

Tar éis réamhscrúdú a dhéanamh ar an ábhar ar dhírigh an gearánach a aird air, mheas an Coimisiún go raibh dóchúlacht réasúnach ann go bhféadfadh na páirtithe lena mbaineann ábhar an ghearáin a réiteach go neamhfhoirmiúil laistigh de chreat ama réasúnach.

Réiteach Neamhfhoirmiúil

Rinne an Coimisiún caidreamh leis an ábhar sonraí agus leis an rialaitheoir sonraí araon i ndáil le hábhar an ghearáin. De bhun an chaidrimh sin, fuarthas amach gur tharla sé, le linn na seachtaine inar sheol an t-ábhar sonraí an iarraidh léirscriosta uaidh le ríomhphost chuig an rialaitheoir, gur chuir an rialaitheoir próiseas nua chun feidhme chun iarrataí léirscriosta a bhainistiú ar shlí níos fearr. D’inis an rialaitheoir sonraí don Choimisiún gurbh idirthréimhse í an tseachtain ina bhfuarthas an ríomhphost agus gur chosúil nár tugadh faoi deara é. Le linn na hidirthréimhse sin, bhí pearsana nua á n-oiliúint ar conas na cineálacha iarrataí sin a bhainistiú. Luaigh an rialaitheoir sonraí gur de dhearmad a tharla an earráid agus gurbh fhéidir gur tháinig sí as an aistriú teicniúil nó as earráid an duine. B’oth leis an earráid. Sna himthosca, d’aontaigh an rialaitheoir sonraí na gníomhartha seo a leanas a dhéanamh:

1. D’aontaigh an rialaitheoir sonraí an iarraidh léirscriosta a chomhlíonadh; agus

2. Ghabh an rialaitheoir sonraí leithscéal ó chroí as an earráid.

I mí Eanáir 2022, chuir an Coimisiún an t-ábhar sonraí ar an eolas faoin toradh deiridh ar an gcaidreamh a rinne sé leis an rialaitheoir sonraí. Agus é sin á dhéanamh aige, thug an Coimisiún faoi deara gur chosúil gur thug na gníomhartha a rinne an rialaitheoir sonraí aghaidh leordhóthanach ar na hábhair imní a tarraingíodh anuas sa ghearán uaidh. Sna himthosca, i gcás go raibh sé míshásta leis an toradh, d’iarr an Coimisiún ar an ábhar sonraí fógra a thabhairt dó faoi sin laistigh de dhá mhí ionas go bhféadfadh sé an ní a bhreithniú tuilleadh.

An lá dár gcionn, chuir an t-ábhar sonraí an Coimisiún ar an eolas le ríomhphost gur aontaigh sé leis an réiteach neamhfhoirmiúil toisc gur réitíodh na hábhair imní a bhí aige. D’inis an t-ábhar sonraí don Choimisiún ina dhiaidh sin gur cuireadh an iarraidh léirscriosta i gcrích agus gur léirscriosadh a shonraí pearsanta.

Deimhniú maidir leis an Toradh

Chun críocha nós imeachta comhsheasmhachta agus comhair an Rialacháin Ghinearálta maidir le Cosaint Sonraí, chuir an Coimisiún dréacht den toradh in iúl, rud inar deimhníodh na nithe seo a leanas:

  • Réitíodh an gearán ina iomláine ar shlí chairdiúil idir na páirtithe lena mbaineann;
  • Ba é an toradh a bhí ar an réiteach aontaithe ná nárbh ann d’ábhar an ghearáin a thuilleadh.

Ní bhfuarthas aon agóidí ábhartha réasúnaithe ó na húdaráis mhaoirseachta lena mbaineann maidir leis an dréacht, agus dhún an Coimisiún an comhad sa chás seo ina dhiaidh sin.

 

  1. Ábhar in easnamh in iarraidh ar rochtain (Réiteach Cairdiúil)
  2. Iarratais ar aitheantas nuair atá freagra á thabhairt ar iarratais ar rochtain (Réiteach Cairdiúil)
  3. Píosa scannánaíochta de sheirbhís sochraide bheith á próiseáil ag eaglais pharóiste
  4. Úsáid a bhaint as sonraí faoi shuímh chun éilimh ar chostais a dhearbhú
  5. Nochtadh neamhúdaraithe i dtimpeallacht ionad oibre
  6. Easpa bearta slándála cuí nochtadh neamhúdaraithe i dtimpeallacht ionad oibre
  7. Iarratas ar dhíliostú a rinneadh chuig inneall cuardaigh idirlín
  8. An Roinn Gnóthaí Fostaíochta agus Coimirce Sóisialaí - Neamhspleáchas an DPO
  9. Srianta sonraí – uireasa comhthola ó gach páirtí (Treoir maidir le Forfheidhmiú an Dlí)
  10. Srianta sonraí – sonraí tríú páirtí; tuairim tugtha faoi rún (Treoir maidir le Forfheidhmiú an Dlí)
  11. Srianta Sonraí – ionchúisimh ar feitheamh (Treoir maidir le Forfheidhmiú an Dlí)
  12. Srianta Sonraí (Treoir maidir le Forfheidhmiú an Dlí)
  13. Ionchúiseamh i ndáil le Three Ireland (Hutchison) Limited (ríomh-Phríobháideachas)
  14. Ionchúiseamh i ndáil le Vodafone Ireland Limited (ríomh-Phríobháideachas)
  15. Iarratas ar phíosa scannánaíochta ó chruinniú ar líne (Gearáin maidir le Rochtain)
  16. Díolúintí a bhaineann le scannánaíocht CCTV (Gearáin maidir le Rochtain)
  17. Réiteach cairdiúil maidir le gearáin trasteorann: iarraidh ar rochtain a rinneadh le Airbnb
  18. Réiteach cairdiúil maidir le gearáin trasteorann: Google (YouTube)
  19. Réiteach cairdiúil maidir le gearáin trasteorann - Yahoo EMEA Limited
  20. Sáruithe a dhéantar go minic
  21. Nochtadh neamhúdaraithe mar thoradh ar fhíschomhdháil
  22. Nochtadh mar gheall ar ríomhphost a cuireadh ar míthreoir
  23. Ábhair bheith á gcur de láimh go míchuí ag institiúid oideachais
  24. Seoltaí Ríomhphoist a nochtadh via ríomhphost grúpa
  25. Ionsaí Innealtóireachta Sóisialta
  26. Stádas Vacsaínithe COVID – 19 agus Scoileanna
  27. TikTok agus comhoibriú le húdaráis cosanta sonraí AE eile
  28. Gné Faisnéise maidir le Lá Toghcháin Facebook
  29. Facebook View (Ray-Ban stories)
  30. Féinlagú Úsáideoirí Instagram
  31. Dearcthaí Facebook

1)  Cás-Staidéir 1: Ábhar in easnamh in iarraidh ar rochtain (Réiteach Cairdiúil)

Fuair an DPC gearán ó dhuine aonair maidir le hiarratas duine ar a shonraí a rinne an duine sin chuig rialaitheoir sonraí chun cóip a fháil den fhaisnéis ar fad a bhain leo. Bhí an rialaitheoir sonraí ag obair i mbainistíocht charrchlóis agus tháinig díospóid chun cinn i ndiaidh fheithicil an duine aonair a chlampáil. Bhí an teagmhas maidir leis an gclampáil ina ábhar achomhairc chuig an Údarás Náisiúnta Iompair. Ní bhfuair an duine aonair aon fhreagra ón rialaitheoir sonraí.

Tugadh a ábhar sonraí don duine aonair ina dhiaidh sin ach níor mheas sé gur tugadh na sonraí iomlána dó. I ndiaidh din DPC idirghabháil a dhéanamh, tugadh faoi chuardaigh eile agus d’aithin an rialaitheoir sonraí sonraí breise a cuireadh ar fáil don duine aonair.

Ní raibh an duine aonair sásta fós toisc nár cuireadh cóip de ríomhphost faoi leith a sheol sé chuig an rialaitheoir sonraí ar fáil dó. Luaigh sé go raibh sé tábhachtach dá achomharc go mbeadh sé in ann a chruthú go bhfuair an rialaitheoir sonraí an ríomhphost atá faoi chaibidil. Ina dhiaidh sin, thug an rialaitheoir sonraí tuairisc don oifig seo ón gcuideachta a óstálann a sheirbhísí ríomhphoist inar taispeánadh go bhfuarthas an ríomhphost atá faoi chaibidil ach gur cuireadh ar coraintín é mar gheall ar amhras gur turscar a bhí ann agus níor bhain sé amach aon cheann de na boscaí ríomhphoist a raibh sé beartaithe in leith ná níor oscail aon duine laistigh den eagraíocht é. Ina dhiaidh sin, scriosadh an ríomhphost seo go huathoibríoch dá bhfreastalaithe i ndiaidh 14 lá. Chomh maith leis sin, chuir an rialaitheoir sonraí seatanna scáileáin ar fáil de chuardaigh a rinneadh ar gach aon cheann de na boscaí ríomhphoist beartaithe seo, nár chuir ar ais an ríomhphost atá faoi chaibidil.

Luaitear in Airteagal 12(3) den GDPR “the controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request”.

I diaidh an cheist a scrúdú go mion, ba léir don DPC nár chomhlíon an rialaitheoir sonraí na hoibleagáidí atá air faoi airteagal 12(3) den GDPR agus go raibh sé d’oibleagáid air freagra a thabhairt ar iarratas an duine aonair ar a shonraí laistigh den chreat ama reachtúil, agus sa chás seo, ba lasmuigh den chreat ama seo a tugadh na sonraí a cuireadh ar fáil don duine aonair. Maidir leis an ríomhphost a cuireadh ar coraintín i gcóras an rialaitheora sonraí, ba léir nárbh ann don ríomhphost seo nuair a rinneadh an t-iarratas ar rochtain. Nuair atá cinntí á dhéanamh maidir le ríomhphoist a chur ar coraintín, ní mór don rialaitheoir sonraí aird chuí a thabhairt ar oibleagáidí slándála i gcomhréir le hAirteagal 32 ach a chinntiú freisin nach sáraíonn sé cearta daoine aonair. Sa chás seo, ní raibh aon cheart follasach ar cuireadh isteach ais mar gheall ar an ríomhphost atá faoi chaibidil a chur ar choraintín ar dtús agus a scriosadh.

 

2)  Cás-Staidéar 2: Iarratais ar aitheantas nuair atá freagra á thabhairt ar iarratais ar rochtain (Réiteach Cairdiúil)

Fuarthas gearán ó dhuine aonair a raibh iarratas ar rochtain curtha isteach aige chuig óstán (an rialaitheoir sonraí) chun cóip a fháil den fhaisnéis ar fad a bhain leis. D’iarr an t-óstán ar an iarratasóir cóip de bhille fóntais agus cóip d’aitheantas fótagrafach a bhí deimhnithe ag An Garda Síochána a chur ar fáil. D’iarr an DPC ar an rialaitheoir sonraí na hábhair imní a bhí aige a leagan amach maidir le haitheantas an iarrthóra in imthosca ina raibh an seoladh poist agus an seoladh ríomhphoist a d’úsáid an t-iarrthóir ar na seoltaí céanna a chuir sé ar fáil le linn an phróisis áirithinte agus an phróisis seiceála isteach san óstán. Eisíodh na sonraí chuig ag iarrthóir ina dhiaidh sin.

Maidir leis an gcur chuige ginearálta i leith aitheantas a iarraidh nuair a fhéachann ábhair sonraí lena gcearta a fheidhmiú, níor chóir do rialaitheoirí ach a laghad faisnéise breise atá riachtanach agus cuí a iarraidh chun aitheantas an iarrthóra a chruthú. Ní dócha go mbeadh sé fóirsteanach cruthúnas ar aitheantas a lorg nuair nach bhfuil aon amhras dáiríre i gceist maidir le haitheantas; ach i gcás ina bhfuil amhras ann, nó i gcás gur faisnéis íogair atá san fhaisnéis a bhfuiltear á iarraidh, d’fhéadfadh sé bheith oiriúnach cruthúnas a iarradh.

Agus an prionsabal ginearálta maidir le sonraí a íoslaghdú á chur san áireamh, is dócha go mbeadh sé díréireach faisnéis sa bhreis ar an bhfaisnéis atá á coinneáil cheana féin a iarraidh mar bhealach chun aitheantas a chruthú. Ní dócha go mbeadh sé cuí aitheantas oifigiúil a iarraidh ach amháin sa chás gur faisnéis íogair atá sa chatagóir faisnéise a bhaineann leis an duine aonair agus sa chás go bhféadfaí an fhaisnéis san aitheantas oifigiúil a chomhthacú leis na sonraí pearsanta atá á gcoinneáil ag an rialaitheoir sonraí cheana féin ar nós grianghraf, seoladh nó dáta breithe.

Ba chóir na catagóirí sonraí pearsanta atá á gcoinneáil agus an dóchúlacht go mbeadh rioscaí i gceist lena n-eisiúint a bhreithniú de réir an cháis d’fhonn an t-íosmhéid faisnéise atá ag teastáil a shocrú. I gcás nach bhfuil aon sonraí catagóire speisialta á gcoinneáil, d’fhéadfadh sé bheith leordhóthanach seoladh a dhearbhú. I gcásanna ina bhfuil sonraí catagóire speisialta i gceist, d’fhéadfadh sé bheith cuí faisnéis bhreise a lorg ach ná bíodh an fhaisnéis sin ach ina faisnéis amháin a bheadh leordhóthanach chun aitheantas a dhearbhú.

 

3)  Cás-Staidéar 3: Píosa scannánaíochta de sheirbhís sochraide bheith á próiseáil ag eaglais pharóiste

(An Dlí is Infheidhme – GDPR & an tAcht um Chosaint Sonraí 2018)

Rinne duine aonair gearán in aghaidh eaglais pharóiste maidir le sonraí pearsanta an duine aonair bheith á bpróiseáil mar thoradh ar sheirbhís sochraide duine muinteartha ar fhreastail an duine aonair uirthi bheith á beoshruthú agus á taifeadadh. Rinne an duine aonair gearán freisin maidir le heaspa trédhearcachta faoin taifeadadh bheith á dhéanamh.

Rinne an duine aonair gearán leis an DPC faoi freagra na heaglaise paróiste ar a ábhar imní maidir le húsáid a bhaint as beoshruthú agus taifeadadh do sheirbhísí sochraide. Le linn don DPC an gearán a iniúchadh, chuathas i dteagmháil leis an eaglais pharóiste d’fhonn an bonn dleathach a bhí leis an bpróiseáil a dhearbhú agus soiléiriú a fháil maidir leis an bhfreagra a tugadh i leith an ghearáin maidir le sonraí. Chuir an eaglais pharóiste in iúl don DPC gur úsáideadh beoshruthú do sheirbhísí sochraide le linn shrianta Covid-19 agus go ndéanann an eaglais taifeadadh ar sheirbhísí sochraide nuair a iarrann daoine muinteartha é, rud a tharla sa ghearán seo, nuair nach féidir le duine bheith i láthair ag an tsochraid de ghnáth. Chuir an eaglais pharóiste in iúl don DPC go n-úsáidtear ceamara amháin in áit shocraithe chun na taifeadtaí seo a dhéanamh agus iad a bheoshruthú. Baineann an eaglais pharóiste na taifeadtaí seo dá láithreán gréasáin i ndiaidh 30 lá. Ghabh an eaglais pharóiste leithscéal leis an duine aonair as ucht bheith ina cúis le haon mhíshuaimhneas agus as loiceadh ar an duine aonair a chur ar an eolas faoin tréimhse coinneála 30 lá amháin. Cuireann an eaglais pharóiste an lucht freastail ar an eolas ag tús seirbhísí go mbeidh beoshruthú á dhéanamh orthu agus tá comharthaí leis an eolas sin curtha in airde ag doirse na heaglaise. Chuir an eaglais pharóiste athruithe i bhfeidhm mar thoradh ar an ngearán seo, lena n-airítear an lucht freastail a chur ar an eolas le linn seirbhíse go bhfuil sí á beoshruthú, faisnéis maidir le beoshruthú agus taifeadadh a chur san áireamh i nuachtlitreacha an pharóiste agus ar an láithreán gréasáin, gan freagra a thabhairt ach amháin ar iarratais ar thaifeadtaí i scríbhinn agus pasfhocal chun taifeadtaí a chosaint amach anseo.

Scríobh an DPC chuig an duine aonair agus cuireadh comhairle air go raibh leas dlisteanach ag an eaglais pharóiste agus ag daoine nach raibh in ann freastal ar sheirbhís sochraide breathnú ar an tseirbhís trí bheoshruthú nó trí thaifeadadh faoi alt 109(5)(c) den Acht 2018. Chomh maith leis sin, luaigh an DPC an tréimhse coinneála 30 lá don phíosa scannánaíochta, radharc socraithe agus teoranta an cheamara agus na hathruithe a chuir an eaglais pharóiste isteach mar thoradh ar an ngearán seo, lena n-áirítear an riachtanas iarratas a dhéanamh i scríbhinn chun taifeadadh a dhéanamh agus pasfhocal chun na taifeadtaí sin a chosaint. Chuir an DPC comhairle ar an duine aonair gur thug an eaglais pharóiste freagra réasúnach maidir le cúinsí an ghearáin seo agus thug sé chun suntais gur iarr duine muinteartha eile leis an té a fuair bás go ndéanfaí an taifeadadh. Ina ainneoin sin, mhol an DPC faoi alt 109(5) (f) den Acht 2018 go nuashonródh an eaglais pharóiste a beartas príobháideachais ar a láithreán gréasáin le tuilleadh faisnéis maidir le beoshruthú agus taifeadadh a dhéanamh ar sheirbhísí sochraide.

 

4)  Cás-Staidéar 4: Úsáid a bhaint as sonraí faoi shuímh chun éilimh ar chostais a dhearbhú

Bhí an gearánach sa chás seo ina iarfhostaí de chuid soláthraí seirbhíse reachtúil, a raibh sé i gceist ina chuid oibre tiomáint chuig láithreacha arna sannadh ag a fhostóir. I gcás ina raibh sé sin ina chúis le héilimh ar am breise nó cothabháil, chomhlánaíodh an gearánach foirmeacha arna gur ar fáil ag a fhostóir, inar tugadh mionsonraí maidir le nithe ar nós dátaí agus láithreacha ábhartha, uimhreacha tagartha um sheoladh, agus na méideanna a bhí á n-éileamh.

Bhain an fostóir úsáid as córas seolta a bhí beartaithe chun an úsáid is éifeachtúla a bhaint as tiománaithe agus feithiclí a chinntiú, go háirithe toisc gur thug ghníomhaigh siad i leith cásanna éigeandála. Logáil an córas seo comhlíonadh agus cur i gcrích glaonna seirbhíse, na huaireanta a raibh feithiclí amuigh ag freastal ar ghlaonna nó ar ais sa cheanncheathrú, agus na huaireanta a raibh tiománaithe ar dualgas nó nuair nach raibh siad ar dualgas.

Rinne an gearánach éileamh ar am breise agus cothabháil. Dhiúltaigh an fostóir dó sin toisc go raibh neamhréireanna idir na sonraí ar fhoirm éilimh an ghearánaigh agus na sonraí a taifeadadh ar chóras seolta an fhostóra. Chuir an gearánach i gcoinne úsáid a bhaint as sonraí ón gcóras seolta chun na críche seo agus rinne sé gearán leis an DPC.

Bhreithnigh an DPC cibé an raibh sé i gcomhréir le riachtanais i leith próiseáil chóir úsáid a bhaint as sonraí ón gcóras seolta chun éilimh ar am breise agus cothabháil a dhearbhú. Bhí cothroime na próiseála le measúnú faoi threoir cé acu ar cuireadh nó nár cuireadh an gearánach agus comhfhostaithe ar an eolas faoin úsáid a bhain an fostóir as na sonraí chun na críche sin, cé acu a raibh nó nach raibh an phróiseáil comhoiriúnach leis an gcuspóir a bailíodh na sonraí ina leith, agus cé acu a raibh nó nach raibh bonn dlí ag an bhfostóir maidir leis an bpróiseáil sin.

Ní raibh beartas i scríbhinn ag an bhfostóir maidir le húsáid a bhaint as an gcóra seolta. Ina ionad sin, bhíothas ag brath ar “feasacht ghinearálta” fostaithe go raibh an córas á úsáid chun na críche sin. Chuir an fostóir in iúl gur luadh úsáid dá leithéid i socrú a rinneadh le ceardchumainn a fhostaithe roinnt blianta roimhe sin. Thug an DPC chun suntais gur éilíodh ar fhostaithe na huimhreacha tagartha seolta ábhartha ón gcóras seolta a chur san áireamh in éilimh ar am breise agus cothabháil.

Bhí an DPC den tuairim trí bhíthin uimhreacha tagartha ábhartha bheith á gcur san áireamh ar an gcóras seolta i leith éilimh ar am breise agus cothabháil, gur léiriú a bhí ann go raibh fostaithe ar an eolas nár úsáideadh na sonraí le haghaidh próiseáil lóistíochtúil amháin, ach chun a n-éilimh a dhearbhú freisin. Fiú sa chás gurbh é an príomhchuspóir a bhí leis an gcóras seolta cuidiú le lóistíocht, ní raibh sé neamh-chomhoiriúnach leis an gcuspóir sin é a úsáid chun éilimh ar am breise a dhearbhú, ós rud é go raibh na sonraí sin ar an aon mhodh amháin a bhí ar fáil don fhostóir chun éilimh a dhearbhú.

Thug an DPC ar aird go raibh sé ina riachtanas ag an bhfostóir éilimh ar am breise agus cothabháil a dhearbhú mar gheall ar rialacháin airgeadais infheidhme. Bhí an phróiseáil chun éilimh ar am breise agus cothabháil riachtanach ní hamháin chun cloí leis an riachtanas dlí sin, ach chun conradh fostaithe an ghearánaigh a chomhlíonadh agus ar fhorais leasanna dlisteanacha na bhfostóirí.

Tá an cás seo ina shampla ar chúinse inar féidir sonraí a bailíodh chun críche dlisteanach amháin – rialú lóistíochtúil, sa chás seo – a phróiseáil go cuí chun críche eile, éilimh ar am breise a dhearbhú, sa chás seo. Mar sin féin, ba chóir aird a thabhairt ar an riachtanas uileghabhálach maidir le sonraí pearsanta a phróiseáil go cothrom agus ní mór dóibh a chinntiú go gcuirtear ábhair sonraí ar an eolas faoi na cineálacha sonraí a bhailítear, mar aon le nádúr agus cuspóir na próiseála. Tá sé chomh tábhachtach céanna go mbeadh bonn dlí leis an bpróiseáil, agus beidh sé riachtanach sa chuid is mó de chásanna go bhfuil an phróiseáil riachtanach don chuspóir sonraithe.

 

5)  Cás-Staidéar 5: Nochtadh neamhúdaraithe i dtimpeallacht ionad oibre

Mhaígh an gearánach go raibh a shonraí pearsanta inrochtana ag daoine neamhúdaraithe, lena n-áirítear iarchomhghleacaithe agus tríú páirtithe seachtracha, mar gheall ar phróiseáil neamhshlán a rinne a iarfhostóir.

Bhí an gearánach i mbun díospóid dhlíthiúil leis an gcuideachta mar thoradh ar a dhífhostú. D’ullmhaigh an chuideachta doiciméid i ndáil leis an ndíospóid sin, lena n-áirítear tuarascáil ar imscrúdú inmheánach agus aighneacht dlí a chur faoi bhráid an Choimisiúin um Chaidreamh san Áit Oibre (WRC). Cé nach raibh mórán de shonraí pearsanta an ghearánaigh san aighneacht chuig an WRC, bhí go leor sonraí sa tuarascáil ar imscrúdú.

Thart ar mhí amháin sula ndearna an gearánach teagmháil ar dtús leis an DPC, chuir an cuideachta an DPC ar an eolas maidir le sárú ar shonraí. Luadh san fhógra gur stóráladh an aighneacht WRC gan mhachnamh i gcomhad a raibh teacht ag na fostaithe ar fad air, seachas i gcomhad nach raibh teacht ach ag baill foirne HR údaraithe air. Tugadh an earráid faoi deara agus ceartaíodh é dhá lá ina dhiaidh sin, agus chuir an chuideachta an DPC ar an eolas go gairid ina dhiaidh sin. Níor taifeadadh ar chórais na cuideachta cibé, cén uair nó cén duine a d’fhéadfadh an aighneacht WRC a rochtain, nó cibé ar cóipeáladh nó ar priontáladh í.

Sa ghearán, mhaígh an gearánach nach ndeachaigh na sárú i gcion ar an aighneacht WRC amháin, ach go ndeachaigh sé i gcion ar an tuarascáil ar imscrúdú inmheánach, agus go raibh teacht orthu seo ó gach chuid d’inlíon na cuideachta, lena n-áirítear gaireas a d’fhéadfadh fostaithe agus cuairteoirí chuig áitreabh na cuideachta a úsáid. Chuir an gearánach ráitis isteach ó iar-chomhghleacaithe a chuir síos ar theacht a bheith acu ar dhoiciméid maidir le “an t-imscrúdú inmheánach.” Shéan an chuideachta go raibh teacht ag daoine neamhúdaraithe ar an tuarascáil ar imscrúdú inmheánach in am ar bith. Chomh maith leis sin, d’áitigh an chuideachta gurbh amhlaidh go raibh teacht míchuí ar an aighneacht WRC ar feadh achar gairid ar inlíon na cuideachta, ach nach raibh sé sa chuid sin den inlíon a raibh teacht air ag daoine nár fostaithe iad.

Thug an DPC faoi dhá phríomh-shaincheist: cad a bhí i gceist le hábhar agus méid an tsáraithe, agus cibé ar chomhlíon bearta slándála na cuideachta na caighdeáin a éilítear faoin reachtaíocht is infheidhme maidir le cosaint sonraí.

Dúirt iar-chomhghleacaithe an ghearánaigh go raibh teacht acu ar dhoiciméid maidir le “an t-imscrúdú inmheánach”. Mar sin féin, níor tugadh aon chur síos mion sna ráitis seo ar nádúr nó ábhair na ndoiciméad, níor tugadh cur síos ar an am ná ar na daoine a chonaic iad, agus níor tugadh cur síos go raibh teacht ag daoine nár fostaithe iad ar na doiciméid. Ina aghaidh sin, d’áitigh an chuideachta go seasta gurbh é an aighneacht WRC, agus ní an tuarascáil ar imscrúdú inmheánach, a raibh teacht míchuí ag fostaithe uirthi ar feadh roinnt laethanta. Rud suntasach ab ea gur chuir an chuideachta an DPC ar an eolas faoi sin thart ar mhí amháin sular chuir an gearánach a ghearán isteach ar dtús. Ba é tuairim an DPC nach raibh a dóthain fianaise ann chun tacú leis an maíomh gur nochtadh an tuarascáil ar imscrúdú inmheánach, nó go raibh teacht ag daoine nár fostaithe iad agus ag fostaithe neamhúdaraithe ar shonraí pearsanta an ghearánaigh.

Maidir le bearta slándála na cuideachta, luaigh an DPC nár mhór go mbeadh an caighdeán infheidhme ina léiriú ar an dochar a d’fhéadfaí a dhéanamh mar gheall ar rioscaí ábhartha agus go bhféadfaí iad a laghdú, lena n-áirítear nochtadh chuig daoine neamhúdaraithe sa chás seo. Ba léir go raibh an chuideachta ar an eolas faoin riosca maidir le nochtadh, toisc go raibh socruithe déanta chun doiciméid faoi rún a stóráil ar bhealach nach raibh teacht orthu ach ag baill foirne údaraithe HR amháin. Mar sin féin, theip ar an gcuideachta súil chuí bheith acu leis an riosca maidir le hearráid dhaonna agus doiciméid dá leithéid á stóráil, de réir mar a tharla i gcás na haighneachta WRC, agus an riosca sin a laghdú. Chomh maith leis sin, mheabhraigh an DPC don chuideachta faoin ngá go mbeadh an pearsanra ábhartha eolach ar an riachtanas sonraí pearsanta a láimhseáil i gcomhréir leis na bearta slándála is infheidhme, agus gníomhú dá réir sin i leith sáruithe.

Léiríonn an cás seo nach mór do rialaitheoirí sonraí na riosca ar fad a d’fhéadfadh bheith i gceist nuair a phróiseálann siad sonraí pearsanta a chur san áireamh, lena n-áirítear an riosca maidir le hearráid dhaonna. Ní mór na bearta a ghlacann siad chun aghaidh a thabhairt ar na rioscaí sin bheith ina léiriú ní hamháin ar na cúiseanna a d’fhéadfadh bheith i gceist le caillteanas nó dochar, ach ar na hiarmhairtí a bhaineann le sárú, agus ní mór dóibh bheith ina léiriú ar na bealaí ina bhféadfaí na hiarmhairtí sin a íoslaghdú nó a leigheas.

 

6)  Cás-Staidéar 6: Easpa bearta slándála cuí nochtadh neamhúdaraithe i dtimpeallacht ionad oibre

Fuair an DPC gearán maidir le fostóir, ar chuideachta déantúsaíochta a bhí inti, inar maíodh go raibh a fhaisnéis phríobháideach, lena n-áirítear coinní le dochtúir na cuideachta, sonraí maidir le héileamh ar dhíobháil phearsanta a bhí á dhéanamh i gcoinne na cuideachta agus sonraí maidir le próiseas smachta a rinneadh i gcoinne an ghearánaigh curtha ar ‘C-Drive’ comhroinnte na cuideachta, go raibh teacht ag duine ar bith laistigh den chuideachta uirthi, agus gur fágadh cóip de na sonraí ar CD-ROM ar dheasc an ghearánaigh.

Tháinig sé chun solais le linn an gearán a iniúchadh gur úsáideadh roinnt ríomhairí san ionad oibre chun teacht ar na sonraí sa tiomántán comhroinnte, ar luaigh an chuideachta go ndearnadh é a íoslódáil, a chóipeáil nó a sheoladh chuig seoladh ríomhphoist sheachtrach. Thug an eagraíocht le fios go ndearnadh imscrúdú ar an teagmhas, agus gur foirceannadh fostaíocht bheirt fhostaithe, a aithníodh go raibh ról suntasach acu sa teagmhas, agus gur cuireadh An Garda Síochána ar an eolas faoin teagmhas.

Chuir an chuideachta an DPC ar an eolas faoin teagmhas sáraithe inar leagadh amach na sonraí ar leith a raibh teacht ag beirt fostaithe ar a laghad orthu agus ar bhreathnaigh siad orthu. Luadh go raibh na sonraí á n-aistriú go hinmheánach óna rannóg Acmhainní Daonna (HR) chuig a rannóg Dlí toisc go raibh duine dá fostaithe HR a tí imeacht. Le linn an aistrithe, bhí líon mór de chomhaid leictreonacha a bhain le cásanna dlí ina raibh líon mór daoine aonair i gceist a raibh teacht ag líon mór d’fhostaithe orthu agus a bhí in ann breathnú orthu ar fostaithe iad nach mbeadh teacht acu orthu seo de ghnáth.

Bunphrionsabail den dlí maidir le cosaint sonraí is ea bearta a chur i bhfeidhm chun sonraí pearsanta a chosaint agus a dhaingniú, go háirithe ó thaobh cinnte a dhéanamh de nach bhfuil teacht neamhúdaraithe ar shonraí pearsanta nó nach scriosta sonraí pearsanta. Maidir leis an ngearán áirithe seo, thug an DPC faoi deara sa chéad áit go raibh cuid den fhaisnéis i ndáil leis an ngearánach a nochtadh mar chuid den sárú ar shonraí ina faisnéise an-íogair, agus arbh ionann é agus “sonraí catagóire speisialta”, i gcúinsí ina n-áirítear le sonraí catagóire speisialta faisnéis maidir le “sonraí maidir le sláinte nó sonraí maidir le saol gnéis duine nádúrtha”. Áiríodh leis an bhfaisnéis (de shamplaí a cuireadh ar fáil don oifig seo) sonraí maidir le coinní le dochtúir na cuideachta inar nochtadh faisnéis an-phearsanta agus an-íogair maidir le folláine coirp, meabhairshláinte agus cúinsí pearsanta an ghearánaigh. Luadh go raibh an fhaisnéis seo á coinneáil ag an gcuideachta i gcomhthéacs imeachtaí/éilimh dlí a ghlac an duine aonair. I bhfianaise cineál na faisnéise seo, bhí freagracht sách mór ar an gcuideachta a chinntiú nach mbeadh teacht ar fhaisnéis dá leithéid ach ag daoine a raibh teacht ar an bhfaisnéis sin ag teastáil uathu ionas go bhféadfadh siad an fhaisnéis sin a rochtain agus a phróiseáil.

Ba é an tsaincheist a bhain leis an ngearán seo ná comhaid ina raibh sonraí pearsanta an ghearánaigh bheith á gcur ar thiomántán comhroinnte a raibh teacht ar gach fostaí orthu. Bhreithnigh an DPC nár tugadh aird chuí d’íogaireacht na faisnéise san comhaid agus do na riosca a bhain le hiad a chur ar fáil d’fhostaí ar bith sa chuideachta, fiú sa chás nach raibh i gceist ach tréimhse anghearr. Is cosúil gur cúiseanna pragmatacha a bhí i gceist leis an gcinneadh na comhaid a aistriú chuig tiomántán comhroinnte, i.e. dhearbhaigh an chuideachta gur cuireadh é i gcrích ar an mbealach seo toisc go raibh na comhaid ró-mhór le hiad a sheoladh trí ríomhphost. Mar sin féin, níor thug sé sin údar leis na comhaid a chur in áit ina bhféadfadh duine ar bith sa chuideachta teacht a bheith acu orthu, go háirithe mar gheall ar an riosca go ndéanfaí dochar don ábhar sonraí dá mbeadh comhghleacaithe leo in ann faisnéis an-phearsanta agus an-íogair a fháil amach nach mbeadh an gearánach, ar bhealach sách dlisteanach, ag iarraidh nó ag súil go mbeadh sí ar eolas ag fostaithe eile, ach amháin a mhéid go raibh fíorghá ann go mbeadh sé ar eolas ag líon teoranta d’fhostaithe maidir le himeachtaí/ éilimh dlí idir an t-ábhar sonraí agus a fhostóir. Anuas air sin, bhí roinnt roghanna eile ann maidir leis na comhaid a aistriú chuig an rannóg Dlí nach mbeadh an riosca céanna ag baint leo do shábháilteacht na sonraí pearsanta, lena n-áirítear na comhaid a chur ar fhillteán, bíodh sé ar an tiomántán comhroinnte nó ná bíodh ina raibh rochtain srianta do líon teoranta daoine aonair. Níor tugadh aon údar leis na comhaid a chur ar an tiomántán comhroinnte a raibh teacht gan srian ag fostaithe eile orthu mar gheall ar roghanna eile a d’fhéadfadh níos mó ama bheith i gceist leo nó a d’fhéadfadh bheith níos deacra.

Bhí an méid a tharla mar gheall ar chliseadh na sonraí pearsanta a chosaint sa chás seo suntasach a bhí ina chúis leis an duine aonair bainteach bheith ag cur imeachtaí dlí in aghaidh na cuideachta, beirt fostaithe fadtéarmacha bheith briste as a bpost gan trácht a dhéanamh ar an tionchar a imríodh ar an duine aonair a nochtadh a chuid sonraí.

 

7)  Cás-Staidéar 7: Iarratas ar dhíliostú a rinneadh chuig inneall cuardaigh idirlín

(An dlí is infheidhme – GDPR & an tAcht um Chosaint Sonraí 2018)

Rinne ábhar sonraí gearán in aghaidh inneall cuardaigh idirlín maidir leis an bhfreagra ón inneall cuardaigh i ndáil lena iarratas ar dhíoliostú. Bhain an gearán le dhá URL a tháinig aníos i ndiaidh ainm an duine aonair a chuardach ar an inneall cuardaigh. Le linn an gearán seo bheith á láimhseáil, chuir an duine aonair URL amháin eile san áireamh a raibh sé ag iarraidh ar an inneall cuardaigh é a dhíoliostú.

Is iad na critéir atá le cur i bhfeidhm ag innill chuardaigh nach mór díoliostú tarlú má tá na torthaí neamhábhartha, uireasach nó iomarcach. Ní mór don inneall cuardaigh beart cothromaithe a dhéanamh de réir an cháis ina n-aimsítear cothromaíocht idir cearta rochtana agus cearta na ndaoine aonair sin a gcuireann torthaí cuardaigh isteach orthu.

Ar dtús, chuaigh an duine aonair i dteagmháil leis an inneall cuardaigh chun díoliostú na URLanna a lorg mar gheall gur áitigh an duine aonair go raibh ábhar clúmhillteach sna URLanna, agus go raibh sé neamhdhleathach iad a phróiseáil, agus go raibh na URLanna ag cur isteach ar shaol príobháideach agus gairmiúil an duine aonair mar gheall ar an ábhar a bhí iontu. Dhiúltaigh oibritheoir an innill chuardaigh na URLanna a dhíoliostú toisc gur bhain siad le faisnéise maidir le saol gairmiúil an duine aonair agus go raibh leas poiblí i gceist teacht a bheith ar an bhfaisnéis seo.

Chuaigh an DPC i dteagmháil le hoibritheoir an innill chuardaigh maidir lena ndiúltú díliostú a dhéanamh. Bhrait oibritheoir an innill chuardaigh ar leas dlisteanach tríú páirtithe teacht a bheith acu ar an bhfaisnéis sna URLanna. Ní dheachaigh an duine aonair i mbun aon imeachtaí clúmhillte in aghaidh na daoine a d’fhoilsigh an t-ábhar ábhartha ar dtús agus dá bharr sin, níorbh fhéidir cinneadh críochnúil a dhéanamh maidir leis an gceist cé acu a bhí nó nach raibh ábhar sna URLanna clúmhillteach. Mar sin féin, le linn don ghearán bheith á láimhseáil ag an DPC, dhíliostáil oibritheoir an innill chuardaigh na URLanna in Éirinn amháin bunaithe ar argóintí clúmhillte an duine aonair. Lean an duine aonair dá ghearán DPC ag lorg díliostú ar fud na hEorpa agus ní in Éirinn amháin. Chomh maith leis sin, dhíghníomhachtaigh an máistir gréasáin na leathanaigh ghréasáin atá mar bhunús leis an URLanna le linn an gearán seo a láimhseáil.

Luaitear in Airteagal 17(3)(a) den GDPR nach mbeidh feidhm leis an gceart go ndéanfaí ligean i ndearmad i gcás ina bhfuil próiseáil sonraí pearsanta riachtanach “chun an ceart ar an tsaoirse chun tuairimí a nochtadh agus faisnéis a fháil a fheidhmiú”. Agus an gearán seo á iniúchadh, thug an DPC ar aird go mbaineann an fhaisnéis atá sna leathanaigh gréasáin – ábhar ghearán an duine aonair – lena iompar gnó roimhe seo atá ábhartha dá shaol gnó. Tá an duine aonair gníomhach sa réimse agus gníomhaíocht ghairmiúil céanna i gcónaí. Ghlac an duine aonair leis sin trí áitiú go raibh an t-ábhar ag cur isteach ar a shaol gairmiúil. D’áitigh an duine aonair go raibh an t-ábhar míchruinn toisc go raibh sé clúmhillteach. Thug an DPC ar aird go raibh formhór den ábhar a ndúirt an duine aonair go raibh sé míchruinn ina postáil blag agus tráchtanna ó tríú páirtithe agus gur bhain sé lena ghníomhaíochtaí gairmiúla; agus ar léir gur tuairimí tráchtairí tríú páirtí a bhí iontu. Chinn an DPC dá mba rud é go measfadh tríú páirtí na leathanaigh ghréasáin bheith mar ábhar an ghearáin seo, bheadh sé soiléir gur dúradh na tráchtanna mar ábhar arna ghiniúint ag úsáideoirí agus go mbeidís ina dtuairimí tríú páirtí seachas fíoras dearbhaithe. Ní hé an ról atá ag inneall cuardaigh agus liostú á dhéanamh tuairimí tríú páirtithe a cheistiú nó cinsireacht a dhéanamh orthu seachas sa chás go bhfuil liostú ina chúis leis an inneall cuardaigh bheith ag próiseáil sonraí atá neamhábhartha, uireasach nó iomarcach. Chinn an DPC, i bhfianaise ról gnó an duine aonair agus a ról sa saol poiblí mar gheall ar a shaol gairmiúil, go bhfuil leas poiblí i gceist le teacht a bheith ar faisnéis maidir lena shaol gairmiúil laistigh den Aontas.

Scríobh an DPC chuig an duine aonair faoi alt 109(5)(b) den Acht 2018 agus caitheadh amach gearán an duine aonair bunaithe ar na gnéithe thuas.

 

8)  Cás-Staidéar 8: An Roinn Gnóthaí Fostaíochta agus Coimirce Sóisialaí - Neamhspleáchas an DPO

(An dlí is infheidhme – GDPR & an tAcht um Chosaint Sonraí 2018)

Chuir an DPC tús leis an bhfiosrúchán seo i ndiaidh gearán a fháil ó Digital Rights Ireland inar líomhnaíodh cur isteach ar neamhspleáchas an Oifigigh Cosanta Sonraí (DPO) sa Roinn Gnóthaí Fostaíochta agus Coimirce Sóisialaí (DEASP) (an Roinn Coimirce Sóisialaí sa lá atá inniu ann – D/ SP) i gcomhthéacs an leasaithe a rinne an D/SP ina Ráiteas Príobháideachais an 6 Iúil 2018, inar baineadh an t-aon tagairt maidir leis an bpróiseáil a dhéanann sí ar shonraí bithmhéadracha den Ráiteas. Cuireadh san aireamh sa chinneadh cibé an raibh DPO na Roinne páirteach sa cheist maidir leis an Ráiteas Príobháideachais a leasú ar bhealach cuí agus tráthúil i gcomhréir le hAirteagal 38(1) den GDPR; agus cibé an bhfuair an DPO orduithe maidir lena chuid tascanna a fheidhmiú in aghaidh riachtanais Airteagal 38(3) den GDPR. Níor bhain raon an fhiosrúcháin le cibé ar chomhlíon leasú na Roinne a hoibleagáidí trédhearcachta faoin GDPR. Ag féachaint don fhaisnéis ábhartha ar fad, chinn an DPC gur thug an Roinn rannpháirt dá DPO, ar bhealach cuí agus tráthúil, maidir leis an leasú a rinne an Roinn ar a Ráiteas Príobháideachais de réir mar a cuireadh i bhfeidhm an 6 Iúil 2018. Dá bhrí sin, níor sháraigh an Roinn Airteagal 38(1) den GDPR sna himthosca. Cinneadh freisin nár thug an Roinn aon orduithe don DPO maidir le feidhmiú na dtascanna dá dtagraítear in Airteagal 39 den GDPR i ndáil leis an leasú a rinne an Roinn ar a Ráiteas Príobháideachais de réir mar a cuireadh i bhfeidhm an 6 Iúil 2018. Dá bhrí sin, níor sháraigh an Roinn Airteagal 38(3) den GDPR sna himthosca.

 

9)  Cás-Staidéar 9: Srianta sonraí – uireasa comhthola ó gach páirtí (Treoir maidir le Forfheidhmiú an Dlí)

I gcás amháin a scrúdaigh an DPC, chuir tuismitheoir iarratas isteach chuig An Garda Síochána chun cóipeanna de shonraí pearsanta a pháistí óga a fháil. Dhiúltaigh An Garda Síochána na sonraí a chur ar fáil. Chomhairligh an DPC don tuismitheoir go gcomhaontódh sé leis an srian a cuireadh i bhfeidhm, toisc go raibh eolas faoi leith ag an rialaitheoir sa chás seo maidir leis na cúinsí a bhain le socrú coimirce chomhroinnte a bhí i bhfeidhm agus toisc gur mheas sé go mbeadh comhthoil gach coimirceora ag teastáil d’fhonn na sonraí a scaoileadh sa chás seo.

 

10)  Cás-Staidéar 10: Srianta sonraí – sonraí tríú páirtí; tuairim tugtha faoi rún (Treoir maidir le Forfheidhmiú an Dlí)

Scrúdaigh an DPC cás inar chuir An Garda Síochána srianta i bhfeidhm ar rochtain ar bhonn Ailt 91(7) agus (8) den Acht um Chosaint Sonraí 2018.

Bhain an cás le duine aonair a bhí ag lorg cóipeanna de líomhaintí maidir le mí-úsáid a rinneadh ina choinne maidir le leas a thuismitheoirí. I ndiaidh an cheist seo a scrúdú, ba léir don DPC go scaoilfí sonraí pearsanta tríú páirtí agus go nochtfaí aitheantas an duine a raibh na líomhaintí á ndéanamh aige mar gheall ar an bhfaisnéis a scaoileadh. I ndiaidh don DPC athbhreithniú a dhéanamh, bhí sé sásta gur cuireadh na sonraí a bhí á n-iarraidh ar fáil go huile is go hiomlán faoi rún agus mheas sé go raibh feidhm le forálacha Alt 91(9)(a) freisin.

 

11)  Cás-Staidéar 11: Srianta Sonraí – ionchúisimh ar feitheamh (Treoir maidir le Forfheidhmiú an Dlí)

Déanann an DPC scrúdú ar ghearáin go minic a bhaineann le srianta a chuireann An Garda Síochána agus an Stiúrthóir Ionchúiseamh Poiblí (DPP) i bhfeidhm mar gheall ar ionchúisimh choiriúla atá ar feitheamh. Cuimsíonn na gearáin cásanna ionsaithe ina n-iarrtar doiciméid ar nós taifid PULSE, grianghraif agus tuairiscí ó An Garda Síochána maidir leis na teagmhais, agus iarratais ar phíosaí scannánaíochta CCTV ó laistigh de stáisiúin féin An Gharda Síochána.

I gcásanna áirithe, d’fhéadfadh An Garda Síochána cóip de ráiteas a chur duine aonair ar fáil a sholáthar don duine aonair ach coimeádfaidh sé sonraí eile siar ar bhonn Alt 94(3)(a) den Acht ina bhféadfadh rialaitheoir sonraí rochtain a theorannú, go hiomlán nó i bpáirt, chun críocha “cosc, brath nó imscrúdú cionta, gabháil nó ionchúiseamh ciontóirí nó éifeachtacht modhanna, córas, pleananna nó nósanna imeachta dleathacha a úsáidtear chun críocha na nithe réamhráite.”

I ndiaidh dearbhú a fháil ó rialaitheoir sonraí go bhfuil ionchúisimh phoiblí ar feitheamh, tabharfaidh an DPC comhairle do dhuine aonair go bhféadfadh na daoine aonair iarratas a dhéanamh an athuair ar chóip dá sonraí de réir mar a leagtar amach in Alt 91 den Acht um Chosaint Sonraí 2018 i ndiaidh do na ceisteanna dlí a bhaineann leis na cásanna sin teacht chun críche.

 

12)  Cás-Staidéar 12: Srianta Sonraí (Treoir maidir le Forfheidhmiú an Dlí)

Fuair an DPC gearán ó dhuine aonair a mhaígh go raibh sé ina íospartach i gcoir. D’iarr an duine aonair go ndéanfadh An Garda Síochána (AGS) a shonraí pearsanta íogair a phróiseáil de réir a théarmaí áirithe, is é sin, d’iarr sé go gcuirfí cóip iomlán de thorthaí leighis na dtástálacha fóiréinseacha arna dtabhairt faoi ag Eolaíocht Fhóiréinseach Éireann (FSI) ar fáil dó ar an toirt i ndiaidh do AGS na torthaí a fháil. Ina dhiaidh sin, d’iarr sé go ndéanfaí an pacáiste samplaí a scaradh, leis an iarratas seo á leasú ina dhiaidh sin do anailís ó fhiala ar leith a bheith á n-iarraidh.

Thug an DPC faoi deara gurbh é an t-ábhar sonraí céanna a chuir tús leis an bpróiseas ar fad chun anailís de shamplaí fóiréinseacha a lorg, i ndiaidh na coire líomhnaithe. D’fhonn leanúint ar aghaidh leis na tástálacha fóiréinseacha, éilíodh ar an duine aonair foirm a chomhlánú dar teideal ‘Consent for Release of Stored Forensic and a Legal Report to the Custody of An Garda Síochána’. Chinn an DPC go mbeadh aon sonraí pearsanta a phróiseáil AGS sa chomhthéacs atá leagtha amach ag teacht faoin Treoir maidir le Forfheidhmiú an Dlí (AE) 2016/680 faoi mar a thrasuitear í isteach san Acht um Chosaint Sonraí.

Chomhairligh AGS don DPC maidir le cásanna ina gcuireann duine aonair a sonraí pearsanta faoi bhráid AGS agus FSI lena dtástáil tuilleadh, go gcuirtear aon phróiseáil bhreise ó AGS agus FSI i gcrích d’fhonn cionta coiriúla a chosc, a imscrúdú, a bhrath nó a ionchúiseamh nó pionóis choiriúla a fhorghníomhú.

Mar sin, rialaítear tuairisc arna eisiúint ag Eolaíocht Fhóiréinseach Éirinn le forálacha Alt 94 den Acht, ina leagtar amach srianta maidir le rochtain a d’fhéadfadh rialaitheoir sonraí a chur i bhfeidhm, lena n-airítear srianadh chun dul i gcion ar imscrúdú a sheachaint. I ndiaidh don DPC na ceisteanna a ardaíodh a scrúdú, nach ndéantar foráil sa Treoir maidir le Forfheidhmiú an Dlí (AE) 2016/680 faoi mar a thrasuitear i gCodanna 5 agus 6 den Acht do dhaoine aonair na coinníollacha faoina dtoilíonn ábhair sonraí a sonraí pearsanta bheith á bpróiseáil ag údarás forfheidhmithe a leagan síos.

Maidir le samplaí fóiréinseacha a phróiseáil i gcomhthéacs an dlí a fhorfheidhmiú, bhí an DPC sásta go raibh an phróiseáil ar shonraí íogaire i gcomhréir le hailt 71 agus 73(1)(b) (i) den Acht. Thug an DPC faoi deara shainigh an fhoirm ‘Consent for Release of Stored Forensic and a Legal Report to the Custody of An Garda Síochána’ faighteoirí na sonraí ar fad a bhí beartaithe, mar aon leis an bhfíoras go bhféadfaí torthaí na dtástálacha saotharlainne agus an tuairisc dlí a scaoileadh chuig na cúirteanna lena n-úsáid i bhfianaise. Mhol an DPC go gcuirfí Fógra um Chosaint Sonraí san áireamh san fhoirm, chun cur ar chumas ábhar sonraí faisnéis mhionsonraithe a fháil maidir leis an gcreat reachtach agus nósanna imeachta a rialaíonn coinníollacha na próiseála i ndáil le samplaí fóiréinseacha agus imscrúduithe AGS.

 

13)  Cás-Staidéar 13: Ionchúiseamh i ndáil le Three Ireland (Hutchison) Limited (ríomh-Phríobháideachas)

I mí Feabhra na bliana 2021, fuair an DPC gearán amháin ó dhuine aonair maidir le post margaíochta leictreonach gan iarraidh a fuair sé ón gcuideachta teileachumarsáide Three Ireland (Hutchison) Limited. Roghnaigh an gearánach diúltú do ríomhphoist mhargaíochta a fháil i lár mhí Feabhra na bliana 2021. Mar fhreagra ar imscrúdú an DPC, mhínigh Three Ireland (Hutchison) Limited nuair a rinneadh iarracht an t-iarraidh ar dhiúltú a chur i bhfeidhm tháinig fhadhb chun cinn mar gheall ar chás inar seoladh dhá thaifead ag an tráth céanna agus inar cailleadh an t-ord, arbh é an toradh a bhí leis sin nár nuashonraíodh a chóras i gceart. Mar thoradh air sin, seoladh trí ríomhphost margaíochta eile chuig an ngearánach sna seachtainí ina dhiaidh sin. Luaigh Three Ireland (Hutchison) Limited gur réitigh sé an cheist trí script a chur i bhfeidhm chun éagsúlachtaí idir sonraí maidir le cead a shocrú. Chomh maith leis sin, chuir sé foláireamh ríomhphoist ar bun chun monatóireacht a dhéanamh ar an script agus chun foláireamh a tharraingt anuas mura raibh an script ag obair.

D’ionchúisigh an DPC Three Ireland (Hutchison) Limited roimhe seo sa bhliain 2020 agus 2012 mar gheall ar Rialachán 13 de na Rialacháin um ríomhPhríobháideachas a shárú i ndáil le gearáin roimhe seo. Dá réir sin, chinn an DPC leanúint ar aghaidh chuig ionchúiseamh eile mar thoradh ar an gcás gearáin

seo. Ag Cúirt Dúiche Chathair Bhaile Átha Cliath an 6 Meán Fómhair 2021, phléadáil Three Ireland (Hutchison) Limited ciontach i leith dhá chúiseamh faoi Rialachán 13(1) de na Rialacháin um ríomh-Phríobháideachas. Chuir an Chúirt Dúiche an Probation of Offenders Act 1907 i bhfeidhm, ar bhonn tabhartas carthanachta €3,000 a thabhairt do Little Flower Penny Dinners. Chomhaontaigh Three Ireland (Hutchison) Limited costais dlí an DPC a ghlanadh.

 

14)  Cás-Staidéar 14: Ionchúiseamh i ndáil le Vodafone Ireland Limited (ríomh-Phríobháideachas)

I mí Lúnasa na bliana 2019, agus mí an Mhárta agus Mheán Fómhair na bliana 2020, fuair an DPC trí ghearán ó dhaoine aonair maidir le glaonna gutháin, teachtaireachtaí téacs agus ríomhphoist mhargaíochta gan iarraidh a fuair siad ó Vodafone Ireland Limited. Mar fhreagra ar an imscrúdú a rinne an DPC ar an gcéad ghearán, mhínigh Vodafone Ireland Limited gur ghlaoigh an t-iarchustaiméir ar Vodafone Ireland Limited ar seacht ócáid ar leith ag iarraidh diúltú do ghlaonna gutháin mhargaíochta a fháil ar a ghuthán póca. I ngach ócáid, níor lean an gníomhaire lenar labhair sé na nósanna imeachta cearta agus dá bharr sin, níor tarraingíodh an custaiméir as margaíocht agus as tuilleadh glaonna margaíochta a fháil. Dhún an gearánach a chuntas le Vodafone Ireland Limited agus d’athraigh sé chuig oibritheoir eile mar gheall ar na glaonna gutháin mhargaíochta a fuair sé.

Maidir leis an dá chás eile, is custaiméirí reatha de chuid Vodafone Ireland Limited iad na custaiméirí. I gcás amháin, fuair an custaiméir glao margaíochta ar a ghuthán póca i mí Feabhra 2019 agus le linn an ghlao sin d’inis an custaiméir don ghlaoiteoir nach raibh sé ag iarraidh tuilleadh glaonna margaíochta a fháil. In ainneoin an iarrata seo, chuir Vodafone Ireland Limited dhá ghlao margaíochta dhéag eile ar ghuthán póca an duine aonair toisc nach ndearna a ghníomhaire aon ghníomhaíocht maidir le roghanna margaíochta an ghearánaigh a athrú. Sa chás eile, chomhlánaigh an gearánach foirm maidir le haistriú úinéireachta inar leag sé amach a roghanna margaíochta go soiléir gan aon chumarsáid mhargaíochta a fháil ó Vodafone Ireland Limited. Theip ar an ngníomhaire a láimhseáil an idirbheart próiseas a leanúint maidir le roghanna margaíochta an custaiméara a chur isteach. Dá bharr sin, fuair an custaiméir ceithre cinn déag de theachtaireachtaí margaíochta eile gan iarraidh – seacht ríomhphost agus seacht dteachtaireacht téacs.

D’ionchúisigh an DPC Vodafone Ireland Limited roimhe seo sa bhliain 2019, 2018, 2013 agus 2011 mar gheall ar Rialachán 13 de na Rialacháin um ríomh-Phríobháideachas a shárú i ndáil le gearáin roimhe seo. Dá réir sin, chinn an DPC leanúint ar aghaidh chuig ionchúiseamh eile mar thoradh ar na cásanna gearáin seo.

Ag Cúirt Dúiche Chathair Bhaile Átha Cliath an 6 Meán Fómhair 2021, phléadáil Vodafone Ireland Limited ciontach i leith seacht gcúiseamh faoi Rialachán 13(1) agus 13(6)(a) de na Rialacháin um ríomhPhríobháideachas. Chiontaigh an Chúirt Dúiche Vodafone Ireland Limited i leith seacht gcúis agus gearradh fíneálacha €1,400 ar an iomlán. Chomhaontaigh Vodafone Ireland Limited costais dlí an DPC a ghlanadh.

 

15)  Cás-Staidéar 15: Iarratas ar phíosa scannánaíochta ó chruinniú ar líne (Gearáin maidir le Rochtain)

Ghlac duine aonair páirt i gcruinniú Zoom a ndearna an rialaitheoir sonraí taifeadadh air. Ba é cruinniú cinn bliana an chlub spóirt a bhí i gceist. Rinne an duine aonair iarratas ar rochtain chun cóip den taifeadadh seo a fháil. Dhiúltaigh an rialaitheoir sonraí don iarratas á lua nár tháinig sé laistigh de shainchúram an GDPR. Chreid an duine aonair gurbh iad a shonraí pearsanta na sonraí a bhí sa taifeadadh. Luaigh an rialaitheoir sonraí nach raibh teacht ar na fístaifeadtaí den cruinniú cinn bliana a thuilleadh mar gheall ar thruailliú nuair a bhíothas á sábháil agus mar gheall ar easpa taithí an rialaitheora sonraí maidir leis na bogearraí cianóstála físeáin seo a fheidhmiú. Luaigh sé go mbeadh na miontuairiscí den chruinniú ar fáil lena mbreathnú laistigh de roinnt seachtainí.

Ag an tráth seo, mhol an DPC an cás seo a thabhairt chun críche mar gheall gur léir nach raibh teacht ar na físeáin a d’iarr an duine aonair, ach níor aontaigh an duine aonair leis an gcur chuige seo, á lua go raibh físchomhdháil le linn an chruinnithe cinn bliana ina chleachtas coitianta don rialaitheoir sonraí ar feadh roinnt ama agus nár dhóigh leis an duine aonair go dtarlódh na deacrachtaí a ndearna an rialaitheoir sonraí cur síos orthu. I ndiaidh don DPC tuilleadh ceistiú a dhéanamh, dhearbhaigh an rialaitheoir sonraí gurbh fhíor go raibh scannánaíocht físeáin ar fáil, ach chuir sé Airteagal 15(4) den GDPR chun cinn mar chúis lena shrianadh. Luaigh an rialaitheoir sonraí anois go bhféadfaí scannánaíocht físeáin de thríú páirtithe atá le feiceáil sa taifeadadh a mheas a bheith ina sonraí tríú páirtí agus nach raibh an duine aonair ina theideal. Mar sin féin, bhí sé toilteanach tras-scríbhinní den scannánaíocht a chur ar fáil don duine aonair. Chuir an DPC ina choinne sin, agus é den tuairim, i bhfianaise nádúr poiblí na dtaifeadtaí bunaidh, mar gheall gur mar chuid de chruinniú cinn bliana a bhí siad, go ndearnadh na taifeadtaí le tuiscint na rannpháirtithe go bhféadfaí iad a mheas bheith inrochtana ag tráth níos faide anonn.

Tháinig saincheisteanna eile chun cinn nuair a fuair an duine aonair tras-scríbhinní den fhíseán. Mhaígh an duine aonair nach raibh na tras-scríbhinní cruinn agus nach raibh siad ina léiriú ar ábhar an fhíseáin bhunaidh.

Mar gheall air sin, chuaigh an DPC i dteagmháil leis an rialaitheoir sonraí an athuair, inar tarraingíodh aird ar thuairim an DPC maidir le hAirteagal 15(4) a chur chun cinn agus inar iarradh radharc a fháil ar an bhfíseán ónar cruthaíodh an tras-scríbhinn. Níor chuir an rialaitheoir sonraí ach fuaim an fhíseáin ar fáil. I ndiaidh measúnú a dhéanamh, ba léir go raibh an tras-scríbhinn ina léiriú cruinn ar ábhar fuaime an fhíseáin. D’fhonn réiteach cairdiúil a éascú ag an bpointe seo, mhol an DPC gur chóir don rialaitheoir sonraí an t-ábhar fuaime céanna, a cuireadh ar fáil don DPC roimhe sin, a scaoileadh leis an duine aonair. Chloígh an rialaitheoir sonraí leis sin ach bhí an duine aonair míshásta go fóill, agus a iarratas chun breathnú ar ábhar an fhíseáin á lua aige an athuair. I ndiaidh iarratas eile ón DPC an díolúine ar a raibh sé ag brath chun teacht ar ábhar an fhíseáin a shrianadh, chinn an rialaitheoir sonraí an t-ábhar iomlán den fhíseáin a eisiúint chuig an duine aonair. Ní bhfuair an DPC cóip d’ábhar iomlán an fhíseáin, agus dá bhrí sin, ní raibh sé in ann a mheas go díreach cibé an raibh aon éagsúlacht idir é sin agus an t-ábhar fuaime a cuireadh ar fáil. Mar sin féin, i ndiaidh don duine aonair a dhearbhú go bhfuarthas an físeán, luaigh sé go raibh sé sásta leis an ábhar agus ar an gcaoi sin, tugadh an cheist seo chun críche ar bhealach cairdiúil.

Bhí cumarsáid fhairsing i gceist leis an gcás seo idir an DPC, an rialaitheoir sonraí agus an duine aonair. D’fhéadfadh an rialaitheoir sonraí an cheist seo a réiteach dá mba rud é gur scaoil sé an scannánaíocht físeáin i ndiaidh dó an t-iarratas ar rochtain a fháil. Dá mba rud é go raibh an rialaitheoir sonraí ar an eolas faoina oibleagáidí faoin GDPR sa chéad ásc, ní thaiscfí an cás seo leis an DPC.

 

16)  Cás-Staidéar 16: Díolúintí a bhaineann le scannánaíocht CCTV (Gearáin maidir le Rochtain)

Fuair an DPC gearán ó dhuine aonair maidir le h-iarratas ar rochtain a rinneadh chuig rialaitheoir sonraí, ar miondíoltóir a bhí ann. Ba iad na dlíodóirí a bhí ag gníomhú ar son an duine aonair maidir le héileamh ar dhíobháil phearsanta a chuir an t-iarratas ar rochtain isteach maidir le tréimhse coicíse inar tharla an teagmhas líomhnaithe. Bhí siad ag iarraidh taifid den teagmhas, lena n-airítear scannánaíocht CCTV. Eisíodh sonraí ach d’aithin an duine aonair nár eisíodh an scannánaíocht CCTV, an tuairisc maidir leis an timpiste agus ráitis ó fhinnéithe. Agus freagra á thabhairt ar an gceist ón duine aonair maidir leis na nithe seo, thug an rialaitheoir sonraí comhairle go raibh srian á chur le rochtain ar na nithe toisc go raibh sé riachtanach go seachnófaí aon bhac nó lagú a bheadh i gceist maidir leis na himeachtaí dlí agus/nó pribhléid dhlíthiúil a chur i bhfeidhm.

Aithníodh go bhféadfaí réiteach cairdiúil a bhaint amach i ndáil leis an ngearán seo faoi Alt 109 den Acht um Chosaint Sonraí 2018, tríd an ngearánach agus an rialaitheoir sonraí araon comhaontú chun oibriú leis an DPC d’fhonn an cheist a réiteach ar bhealach cairdiúil.

Mhol an DPC don rialaitheoir sonraí liosta a ullmhú ina gclárófaí aon nithe a raibh an eagraíocht a chur díolúine i bhfeidhm ina leith, agus ina gclárófaí an díolúine ar a raibh sé ag brath freisin. I ndiaidh don DPC an liosta a fháil, rinne an DPC iniúchadh ar na díolúintí a bhí á n-úsáid agus d’fhéach sé le go léireodh an eagraíocht an bealach inar cinntíodh go raibh an srianadh riachtanach agus comhréireach. Chomh maith leis sin, d’iarr an DPC samplaí de na doiciméid a bhí le heisiúint ionas go bhféadfadh muid scrúdú a dhéanamh ar an mbealach ina raibh na díolúintí á gcur i bhfeidhm.

I ndiaidh imscrúdú a dhéanamh, d’aithin an DPC go raibh roinnt sonraí pearsanta de chuid an duine aonair sna doiciméid agus d’iarr sé ar an rialaitheoir sonraí iad a eisiúint le hatheagraithe ábhartha iontu. Maidir leis an scannánaíocht CCTV, luaigh an DPC gurbh é an phríomhchúis a gabhadh na sonraí ná chun críocha slándála agus ní chun éileamh dlíthíochta a chosaint agus dá bharr sin, d’iarr sé go n-eiseofaí an scannánaíocht chuig an duine aonair le hatheagraithe ábhartha iontu. Ghlac an DPC leis go raibh na díolúintí eile á gcur i bhfeidhm mar is ceart de réir mar a rinneadh foráil in a leith sa reachtaíocht.

 

17)  Cás-Staidéar 17: Réiteach cairdiúil maidir le gearáin trasteorann: iarraidh ar rochtain a rinneadh le Airbnb

Fuair an DPC gearán i Meán Fómhair na bliana 2020 a bhain le hiarraidh ar rochtain (faoi Airteagal 15 den GDPR), a bhí déanta ag an ngearánach le Airbnb Ireland UC (“Airbnb”). Rinne duine aonair atá lonnaithe i Málta gearán go díreach leis an DPC. Nuair a rinne an DPC an gearán a mheas, measadh gur gearán trasteorann a bhí i gceist mar gur bhain sé le polasaithe oibriúcháin ginearálta Airbnb, agus mar sin, ós rud é go bhfuil Airbnb ar fáil ar fud an AE, measadh, i leith an ghearáin a ndearnadh maidir leis an bpróiseáil, go raibh “éifeacht shubstainteach ag an bpróiseáil sin ar ábhair sonraí i níos mó ná Ballstát amháin nó gur dóchúil go mbeidh éifeacht shubstainteach aici orthu” (de réir an tsainmhínithe ar phróiseáil trasteorann faoi Airteagal 4(23) den GDPR).

Chuir an gearánach iarraidh ar rochtain ar aghaidh chuig Airbnb. Rinne Airbnb an iarraidh ar rochtain seo a éascú trí nasc chuig comhad rochtana ina raibh a chuid sonraí pearsanta a chur ar fáil don ghearánach. Mar sin féin, nuair a thriail an gearánach úsáid a bhaint as an nasc, ní raibh sé ag feidhmiú. Ina theannta sin, bhí frustrachas ar an ngearánach faoi chomh deacair is a bhí sé aige teagmháil a dhéanamh le Airbnb faoin ábhar seo. Chuir an gearánach a ghearán ar aghaidh chuig an DPC ar an mbonn sin.

Rinne an DPC teagmháil le Airbnb agus d’iarr air iarraidh an ghearánaigh a éascú. Thug an DPC le fios go sonrach nár mhór do Airbnb a chinntiú go bhfuil nasc ar bith a chuireann sé ar aghaidh chuig gearánaigh tástáilte go hiomlán agus ag obair. I bhfreagra, mhínigh Airbnb gur sheol siad nasc athnuaite ar aghaidh chuig an ngearánach chomh luath is a fuair siad amach nach raibh an chéad nasc ag obair agus nach raibh sé ar eolas acu go raibh fadhbanna ag an ngearánach rochtain a fháil ar an dara nasc sin. Mar sin féin, ar mhaithe le réiteach cairdiúil a dhéanamh i leith an ghearáin, chomhaontaigh Airbnb nasc eile a chur ar fáil don ghearánach chuig an gcomhad rochtana agus go gcuirfí comhad criptithe ar aghaidh chuig an ngearánach ar ríomhphost slán.

Mar thoradh air sin, réitíodh go cairdiúil an t-ábhar de bhun alt 109(3) den Acht um Chosaint Sonraí, 2018 (“an tAcht”), agus faoi alt 109(3) den Acht measadh go raibh an gearán tarraingthe siar. Léiríonn an cásstaidéar seo an tairbhe a bhíonn i gceist - do ghearánaigh aonair - nuair a dhéanann an DPC idirghabháil trí bhíthin an phróisis réitigh chairdiúil.

Sa chás seo, bhí an gearánach ábalta rochtain a fháil ar a chuid sonraí mar gheall go raibh an DPC páirteach ann. Léirítear leis an gcás-staidéar seo go mbíonn rudaí simplí go minic ábalta iompú isteach ina ngearán cosanta sonraí mura ndéanann foirne cosanta sonraí agus seirbhís do chustaiméirí rialaitheoirí sonraí tosaigh an cás a bhainistiú go cuí ón tús.

 

18)  Cás-Staidéar 18: Réiteach cairdiúil maidir le gearáin trasteorann: Google (YouTube)

Fuair an DPC gearán i Meán Fómhair 2020, trína fhoirm ghréasáin do ghearáin, i gcoinne Google Ireland Limited (YouTube). Rinne tuismitheoir an gearán thar ceann a linbh, gearán a bhain le cainéal/cuntas YouTube. Bhí an leanbh deich mbliana d’aois nuair a socraíodh suas an cainéal/cuntas, tráth nár thuig an leanbh na hiarmhairtí a bhain le físeáin a phostáil ar líne.

Cé gur duine a chónaíonn in Éirinn a rinne an gearán díreach chuid an DPC, ar mheasúnú an ghearáin sin measadh gur gearán trasteorann a bhí i gceist mar gur bhain sé le polasaithe oibriúcháin ginearálta YouTube agus mar sin, ós rud é go bhfuil YouTube ar fáil ar fud an AE, measadh, i leith an ghearáin a ndearnadh maidir leis an bpróiseáil, go raibh “éifeacht shubstainteach ag an bpróiseáil sin ar ábhair sonraí i níos mó ná Ballstát amháin nó gur dóchúil go mbeidh éifeacht shubstainteach aici orthu” (de réir an tsainmhínithe ar phróiseáil trasteorann faoi Airteagal 4(23) den GDPR).

Dar leis an ngearánach, ní raibh smacht ag an leanbh ar an gcuntas níos mó ós rud é go raibh a phasfhocail caillte aige agus nach raibh an cuntas in úsáid a thuilleadh. Tháinig leanaí a bhí sa rang céanna leis an leanbh ar na físeáin, áfach, físeáin a phostáil an leanbh roimhe sin agus ar cúis náire anois iad dó. Chuaigh tuismitheoir an linbh i mbun comhfhreagrais go forleathan le Google, ag lorg, i measc nithe eile, go nglanfaí an cuntas den ardán YouTube. Chuir an tuismitheoir an URL a bhain le físeán ar leith ar an gcuntas chomh maith le URL an chuntais féin ar fáil. Chuir Google in iúl don tuismitheoir, roinnt uaireanta, gur ghlac sé beart agus gur bhain an t-ábhar den ardán. Rinne an tuismitheoir teagmháil arís agus arís eile áfach chun a thabhairt ar aird nach amhlaidh a bhí an scéal, nach raibh an t-ábhar tógtha anuas agus go raibh sé fós ar fáil ar líne. Ó tharla gur mheas sí nach ndeachthas i ngleic go cuí leis an ngearán d’ardaigh sí an cheist, mar sin, leis an DPC.

Sainaithníodh an gearán seo mar ghearán a d’fhéadfaí a réiteach go cairdiúil faoi Alt 109 den Acht um Chosaint Sonraí 2018, agus d’aontaigh an duine aonair agus an Rialaitheoir Sonraí araon go n-oibreoidís leis an DPC chun iarracht a dhéanamh teacht ar réiteach cairdiúil ar an gceist. Rinne an DPC cúlra an ghearáin a imscrúdú agus thug ar aird, de réir dealraimh, gur bhain Google anuas físeán ar leith ón gcuntas, dár cuireadh an URL ar fáil, ach níor bhain anuas an cuntas ina iomláine, a d’fhág gur fhan físeáin eile ar líne.

Chuaigh an DPC i dteagmháil le Google maidir leis an gceist agus chuir cúlra ar leith an ghearáin in iúl do Google. Ghníomhaigh Google ar an bpointe agus bhain an cuntas YouTube anuas ina iomláine. Dheimhnigh Google gur míthuiscint a bhí ann ós rud é go ndearna foireann tacaíochta Google an URL d’fhíseán ar leith a chuir an gearánach ar fáil a mheas seachas an cuntas ina iomláine, rud a bhí mícheart.

Chuir an DPC an toradh in iúl don tuismitheoir agus mhol réiteach cairdiúil maidir leis an ngearán. Ina dhiaidh sin, chuir an tuismitheoir in iúl don DPC go bhfuair sí amach le déanaí faoi chainéal YouTube eile a shocraigh a leanbh suas, cuntas eile nach raibh in úsáid, agus go raibh an leanbh ag iarraidh é a scriosadh. Mar sin, chuaigh an DPC i mbun tuilleadh comhfhreagrais le Google agus dheimhnigh Google gur ghníomhaigh sé láithreach chun an cuntas a bhaint anuas agus chuir na bearta a bhí glactha aige in iúl don tuismitheoir.

Leagann an cás seo béim ar go bhfuil an DPC ábalta cuidiú le hábhair sonraí le linn an phróisis réitigh chairdiúil a n-iarrataí ar leith a mhíniú don rialaitheoir sonraí, go minic ag an leibhéal cuí, nuair nár éirigh leis an gcéad teagmháil idir duine aonair agus an rialaitheoir sonraí. Fágann sin freisin go bhfuil an DPC ábalta monatóireacht a dhéanamh ar chomhlíontacht na rialaitheoirí sonraí trí nóta a ghlacadh ar aon saincheist a d’fhéadfaí a bheith i gceist freisin ar fud gearán eile.

 

19)  Cás-Staidéar 19: Réiteach cairdiúil maidir le gearáin trasteorann - Yahoo EMEA Limited

Fuair an DPC gearán i mí Márta 2021 ó údarás cosanta sonraí Bavaria thar ceann gearánach as Bavaria i gcoinne Yahoo EMEA Limited. Faoin meicníocht Ionad Ilfhreastail (OSS) a cruthaíodh leis an GDPR, is de réir shuíomh phríomhcheannáras na cuideachta san AE a shocrófar an t-údarás AE a fheidhmeoidh ina Phríomhúdarás Maoirseachta (LSA) i ndáil le gearáin a fhaightear. Nuair a dhéantar an príomhúdarás a cheapadh, feidhmíonn an t-údarás a fuair an gearán ina údarás maoirseachta lena mbaineann (CSA). Is é an CSA an t-idirghabhálaí idir an LSA agus an duine aonair. Sa chás seo, is é an Coimisiún um Chosaint Sonraí an LSA, os rud é go bhfuil príomh-cheannáras na cuideachta lena mbaineann an gearán lonnaithe in Éirinn.

Ní raibh rochtain ag an ngearánach ar a ríomhphost a thuilleadh tar éis dó nuashonrú a dhéanamh ar a ríomhaire. Luaigh an gearánach go ndearna sé teagmháil le Yahoo d’fhonn rochtain a fháil air arís agus iarradh air faisnéis a thabhairt a bhain leis an gcuntas d’fhonn a fhíordheimhniú gur leisean an cuntas. Dheimhnigh an gearánach gur chuir sé an fhaisnéis sin ar fáil. Dúirt Yahoo leis an ngearánach nach bhféadfadh sé a aitheantas a dhearbhú leis an bhfaisnéis a cuireadh ar fáil dó. Níor léir don ghearánach cén fhaisnéis a chuir sé ar fáil nach raibh ceart agus dá bhrí sin lean sé air agus na freagraí céanna á dtabhairt aige ar na ceisteanna slándála. Mar gheall nach raibh Yahoo in ann a fhíordheimhniú gur leis an ngearánach an cuntas, mhol sé go gcruthódh an gearánach cuntas ríomhphoist nua. Ní raibh an gearánach sásta leis an réiteach sin agus dá bhrí sin rinne sé gearán leis an údarás maoirseachta áitiúil, a chuir an gearán ar aghaidh chuig an DPC ina cháil mar Phríomhúdarás Maoirseachta do Yahoo.

Sainaithníodh an gearán seo mar ghearán a d’fhéadfaí a réiteach go cairdiúil faoi Alt 109 den Acht um Chosaint Sonraí 2018, agus d’aontaigh an duine aonair agus an Rialaitheoir Sonraí araon go n-oibreoidís leis an DPC chun iarracht a dhéanamh teacht ar réiteach cairdiúil ar an gceist.

Rinne an DPC teagmháil le Yahoo ar an gceist, agus ghlac Yahoo cur chuige réamhghníomhach agus luaigh láithreach go raibh fonn air teagmháil dhíreach a dhéanamh leis an ngearánach chun féachaint leis an bhfadhb a réiteach a luaithe agus is féidir. Dhearbhaigh Yahoo leis an DPC go gairid ina dhiaidh sin go raibh teagmháil déanta ag an bhfoireann seirbhísí d’úsáideoirí leis an ngearánach, a chuir faisnéis mhalartach ar fáil a chuir ar chumas Yahoo aitheantas an ghearánaigh a dheimhniú agus rochtain ar a chuntas a thabhairt dó arís ina dhiaidh sin.

Léirítear leis an gcás seo gur féidir réiteach gasta a bhaint amach go minic d’ábhair sonraí de thoradh teagmháil dhíreach bhreise a bheith idir páirtithe le linn an phróisis réitigh chairdiúil. Chomh maith leis sin, léirítear leis gur féidir ceisteanna a réiteach agus próiseas láimhseála mór fada a sheachaint go minic má ghlacann rialaitheoirí sonraí cur chuige réamhghníomhach ag luathchéimeanna an ghearáin.

 

20)  Cás-Staidéar 20: Sáruithe a dhéantar go minic

I gcaitheamh tréimhse 12 mhí, fuair an DPC fógraí maidir le sraith sáruithe comhchosúla ó rialaitheoir sonraí a raibh baint aige/aici le ceisteanna airgeadais. Dhíol an rialaitheoir seirbhísí trí líonra náisiúnta miondíola a bhí faoi úinéireacht agus á fheidhmiú ag tríú páirtí, a ghníomhaigh mar phróiseálaí ina thaobh. Tharla na sáruithe nuair a rinne custaiméirí reatha an rialaitheora ceannacháin ag ionaid díola an phróiseálaí, ach d’úsáid siad seoladh difriúil le hais an seoladh a chláraigh siad roimhe sin leis an rialaitheoir. Níor comhordaíodh go hiomlán athruithe a rinneadh le gairid ar chórais bhunachar sonraí an rialaitheora leis na hathruithe i leith díolacháin, arbh é an toradh a bhí air sin gur seoladh doiciméid maidir le díolacháin chuig seanseoltaí custaiméirí seachas a seoltaí nua. D’ordaigh an rialaitheoir don phróiseálaí gan glacadh le hiarratais cheannacháin go dtí go gclárófaí athruithe ar na seoltaí, ach níor lean cuid de bhaill foirne ag an gcuntar na nósanna imeachta cearta go seasta.

Nuair a nótáil an DPC an patrún a bhain leis na sáruithe, d’aontaigh an rialaitheoir go raibh fadhb córasach ann ar theastaigh cúram ina leith óna ardbhainistíocht. Fad a bhí réiteach teicniúil á leagan amach agus á thástáil, ghlac an rialaitheoir agus an próiseálaí bearta eatramhacha lena n-áirítear athoiliúint a chur ar bhaill foirne, maoirseacht a mhéadú, agus fógra a thagadh aníos ar na scáileáin arna n-úsáid ag na baill foirne próiseála nuair a bhí díolacháin á gcur i gcrích, inar meabhraíodh dóibh a dhearbhú go raibh seoladh cláraithe reatha a chustaiméara i gceart. Chuir an rialaitheoir na hathruithe i bhfeidhm ina chórais IT d’fhonn cosc a chur le doiciméid díolacháin bheith á seoladh chuig seoltaí custaiméara míchearta, agus tháinig deireadh leis na sáruithe athfhillteacha.

Léirítear sa chás seo an bealach ina ndéanann an DPC monatóireacht ar sháruithe a dtugtar fógra ina leith faoi Airteagal 33 den GDPR chun fadhbanna córasacha a aithint, bíodh na fadhbanna sin i rialaitheoirí aonair, cineálacha tionscail nó earnálacha geilleagracha. Léirítear freisin an chaoi go bhféadann athruithe a bhfuil sé i gceist leo córais faisnéise a fheabhsú fothorthaí gan choinne bheith leo a dhéanann dochar d’ábhair sonraí agus don rialaitheoir. Ar deireadh, léirítear sa chás nach mór do rialaitheoirí monatóireacht a dhéanamh ar fheidhmíocht na gcomhaontuithe próiseála lena chinntiú go bhfuil tuiscint shoiléir ag próiseálaithe ar nósanna imeachta maidir le sonraí pearsanta a phróiseáil agus go gcloíonn siad leo.

 

21)  Cás-Staidéar 21: Nochtadh neamhúdaraithe mar thoradh ar fhíschomhdháil

Bhain institiúid oideachais úsáid as feidhmchlár físchomhdhála chun cur ar chumas na mac léinn cuir i láthair a thabhairt do léachtóirí nuair a bhí cosc á chur le cruinnithe i bpearsa mar gheall ar shrianta na paindéime. Ionas go mbeifí in ann na cuir i láthair a roinnt le scrúdaitheoirí seachtracha, atá ina riachtanas, rinneadh iad a thaifeadadh. Bhí na rannpháirtithe ar fad ar an eolas faoin socrú seo, cé nach raibh sé beartaithe go mbeadh teacht ag mic léinn ar na taifeadtaí a rinneadh ar a gcuir i láthair.

Thug dhá ghrúpa mac léinn cuir i láthair do léachtóirí le linn seisiúin ar leith. I ndiaidh gach aon seisiúin, phléigh na léachtóirí obair na mac léinn ina measc féin. Taifeadadh na pléití seo freisin, ach bhí sé beartaithe iad a scriosadh amach sula roinnfí iad le scrúdaitheoirí seachtracha. Creideadh go mícheart nach raibh teacht ar thaifeadtaí sábháilte ach ag léachtóirí amháin. Is é fírinne an scéil go raibh teacht ag na rannpháirtithe ar fad ar iarradh orthu, na mic léinn a thug cuir i láthair ina measc, ar na taifeadtaí a rinneadh ar a seisiúin agus seoladh nasc go huathoibríoch chucu ar ríomhphost don chomhad ábhartha ar fhreastalaí na hinstitiúide. Dá bharr sin, bhí teacht ag mic léinn ar an bplé a rinne na léachtóirí maidir le hobair na mac léinn eile, ina raibh ráitis phearsanta maidir le roinnt de na mic léinn. Rinne roinnt mac léinn iad seo a rochtain. Sna laethanta ina dhiaidh sin, cuireadh sleachta thart ar fheidhmchláir teachtaireachta agus ar na meáin shóisialta.

Thuairiscigh an eagraíocht an sárú don DPC, a dhearbhaigh gur scriosadh na taifeadtaí a raibh teacht ag na mic léinn orthu, agus a shoiléirigh na céimeanna a ghlacfadh an eagraíocht chun na sleachta a bhaint de na meáin shóisialta ar ar postáladh iad. Chuir an DPC críoch lena mheasúnú maidir leis an sárú le moltaí cuimsitheacha maidir le trealamh IT a úsáid, físchomhdháil san áireamh, agus maidir le bearta lena gcinnteofaí go dtuigfeadh baill foirne agus mic léinn na beartais ábhartha maidir le cosaint sonraí agus go gcloídís leo.

Léirítear sa chás seo na rioscaí a d’fheadfadh bheith i gceist le húsáid a bhaint as físchomhdháil agus teicneolaíochtaí comhchosúla. Ba chóir do rialaitheoirí sonraí a chinntiú go mbeadh cur amach ag na daoine a reáchtálann na feidhmchláir seo ar an mbealach a n-oibríonn siad agus a chinntiú go bhfuil siad á reáchtáil i gcomhréir leis an dlí maidir le cosaint sonraí. Ba chóir do rialaitheoirí sonraí a chinntiú go mbeadh beartais agus nósanna imeachta maidir le cosaint sonraí ina léiriú iomlán ar na cleachtais agus teicneolaíochta a úsáideann siad nuair atá sonraí pearsanta á bpróiseáil.

 

22)  Cás-Staidéar 22: Nochtadh mar gheall ar ríomhphost a cuireadh ar míthreoir

Fuarthas fógra ó chomhlacht reachtúil a bhfuil feidhmeanna aige gearáin maidir le hiompar gairmiúil, oiliúint nó inniúlacht saineolaí a imscrúdú. Tharla an sárú ar shonraí nuair a rinneadh litir a bhain le gearán in aghaidh speisialtóir a cheangal le ríomhphost agus é a sheoladh chuig seoladh mícheart. Bhí sonraí pearsanta maidir le roinnt daoine aonair, lena n-áirítear sonraí maidir le sláinte, sa cheangaltán, agus bhí sé criptithe. Mar sin féin, eisíodh an pasfhocal don litir chriptithe i ríomhphost ar leith chuig an seoladh mícheart céanna.

Mar gheall ar an gcineál sonraí pearsanta agus an comhthéacs ar fad a bhí i gceist, tugadh le fios go raibh ardriosca i gceist d’ábhair sonraí. Ar an mbonn sin, dhearbhaigh an DPC gur cuireadh gach duine a bhí buailte ar an eolas faoin sárú, na rioscaí agus na bearta a bhí á ndéanamh ina leith, de réir mar a éilítear in Airteagal 34 den GDPR. Mheabhraigh an DPC don eagraíocht faoina hoibleagáid leanúnach maidir le sonraí pearsanta a nochtadh trí thimpiste a dhaingniú, agus faoin tábhacht a bhaineann le slándáil a chinntiú agus sonraí pearsanta á seoladh trí ríomhphost. Rinne an comhlacht reachtúil athbhreithniú ar a phróisis, beartais agus nósanna imeachta ar fad maidir le cosaint sonraí.

Tá ríomhphoist a sheoltar chuig an seoladh mícheart ar cheann de na cúiseanna is coitianta i leith sárú a thuairiscítear don DPC. Tá criptiú ina huirlis luachmhar chun cuidiú le cosaint a thabhairt ar nochtuithe trí timpiste. Mar sin féin, moltar meán ar leith a úsáid – ar nós glaoch gutháin nó teachtaireacht SMS – chun an pasfhocal a sheoladh ar aghaidh, mar is féidir na tairbhí a chur ar neamhní mar gheall ar bhotún amháin i seoladh ríomhphoist.

 

23)  Cás-Staidéar 23: Ábhair bheith á gcur de láimh go míchuí ag institiúid oideachais

Chuir ollscoil atá dírithe ar an eolaíocht shláinte an DPC ar an eolas maidir le sárú a tharla de bharr ábhair ina raibh sonraí pearsanta bheith curtha de láimh go míchuí. Mar gheall ar shrianta na paindéime, bhí fostaí ag obair sa bhaile ar thionscadal earcaíochta. Bhí an fostaí ag obair ar chóipeanna clóbhuailte de líon iarratais ar phoist agus na CVanna a bhí a gabháil leo. D’ordaigh an eagraíocht d’fhostaithe a bhí ag obair sa bhaile priontáil a íoslaghdú agus doiciméid a scriosadh sula gcuirfí de láimh iad. Mar sin féin, chuir an fostaí na doiciméid earcaíochta in araid athchúrsála baile gan iad a scriosadh roimh ré. Mar gheall ar ghaoithe arda, scaipeadh ábhair na haraide, na doiciméid earcaíochta san áireamh.

Agus deireadh á chur lena iniúchadh maidir leis an sárú, rinne an DPC líon moltaí. Ní ar chleachtais oibre na bhfostaithe amháin a díríodh na moltaí seo, ach ar an ngné ba thábhachtaí, arbh é sin bearta teicniúla agus eagraíochtúla an rialaitheora. Cé go bhfuil sé tábhachtach go dtuigfeadh baill foirne dea-chleachtais maidir le cosaint sonraí agus go gcuirfeadh siad i bhfeidhm iad, is ar an rialaitheoir atá an fhreagracht a chinntiú go ndéanann siad amhlaidh agus go bhfuil bealach acu – lena n-áirítear gairis ar nós stiallairí, nuair is cuí – d’fhonn an caighdeán cosanta riachtanach a chomhlíonadh.

Tá an cás seo ina léiriú freisin go bhféadfaí, trí oibriú sa bhaile, timpeallacht oibre nó nósanna daoine a athrú ar bhealaí ina bhféadfadh rioscaí bheith i gceist do shonraí pearsanta. Ní i gcónaí a bhíonn saoráidí oifige, ar nós stialladh faoi rún, priontáil shlán nó seomraí príobháideacha le haghaidh pléití fiú – ar fáil nó indéanta sa bhaile. Dé réir mar a thiocfaidh méadú ar an líon daoine atá ag obair ó chian, beidh ar rialaitheoirí a n-acmhainní, beartais agus nósanna imeachta a athbhreithniú agus a chur in oiriúint lena chinntiú go bhfuil siad leordhóthanach do rioscaí a bhaineann leis an timpeallacht ina dtagann siad chun cinn.

 

24)  Cás-Staidéar 24: Seoltaí Ríomhphoist a nochtadh via ríomhphost grúpa

Fuair an DPC fógra maidir le sárú ó charthanas a thugann tacaíocht do dhaoine faoi mhíchumais intleachta. Tharla an sárú nuair a úsáideadh an réimse CC seachas an réimse BCC chun nuachtlitir a sheoladh chuig faighteoirí trí ríomhphost. Ba é an toradh a bhí air sin gur nochtadh seoltaí ríomhphoist na bhfaighteoirí ar fad dóibh sin a léigh an ríomhphost. Is coitianta an cineál seo de shárú ar shonraí pearsanta ar minic é bheith ina thoradh ar earráid dhaonna shimplí agus a mbíonn rioscaí ísle ag baint leis de ghnáth. Cé gur dócha nár rioscaí suntasacha na rioscaí a bhain leis an gcás seo, léiríodh trí tuilleadh fiosrúcháin agus anailís a dhéanamh ar aighneachtaí chuig an DPC roimhe seo nach raibh mórán feasachta i measc bhaill foirne agus oibrithe deonacha an charthanais maidir le saincheisteanna agus freagrachtaí i ndáil le cosaint sonraí.

I ndiaidh don eagraíocht bheith i dteagmháil leis an DPC, tugadh isteach oiliúint do bhaill foirne agus oibrithe deonacha maidir le cosaint sonraí, agus tugadh aghaidh ar ról bainistíochta nua a chruthú ar a mbeadh freagracht i ndáil le cosaint sonraí a chomhlíonadh ar fud na heagraíochta.

Bíonn carthanais i mbun sonraí pearsanta daoine leochaileacha a phróiseáil go minic, agus is minic gur sonraí catagóire speisialta atá i gceist ar nós faisnéis maidir le sláinte. Ceart bunúsach is ea cosaint sonraí san Aontas Eorpach agus teastaíonn cúram, pleanáil agus bearta eagraíochtúla cúramacha chun cearta daoine leochaileacha a chosaint. Ní mór acmhainní cuí maidir le bainistíocht agus comhlíonadh bheith ag teacht le dianobair agus dea-thoil na mball foirne agus oibrithe deonacha lena chinntiú go gcosnaítear cearta sonraí pearsanta.

 

25)  Cás-Staidéar 25: Ionsaí Innealtóireachta Sóisialta

Thuairiscigh gnólacht dlí meánmhéide go raibh sé ina íospartach in ionsaí innealtóireachta sóisialta. D’oscail ball den fhoireann ríomhphost ó thríú páirtí mailíseach ar trí sin a suiteáladh bogearraí mailíseacha faoi rún ar an ríomhaire. Mar gheall ar na bogearraí mailíseacha, bhíothas in ann monatóireacht a dhéanamh ar chumarsáid ríomhphoist agus cuireadh ar chumas an drochghníomhaire suim airgid a bhaint de chliant le calaois. Thuairiscigh an gnólacht an sárú don DPC.

Trína theagmháil ón DPC leis an ngnólacht, fuair an DPC amach gur bhain an gnólacht úsáid as seirbhís ríomhphoist néil a úsáidtear go forleathan agus a ndearna conraitheoir bainistíocht uirthi. Níor cuireadh socruithe slándála bunúsacha, ar nós pasfhocail láidre agus fíordheimhniú ilfhachtóra, i bhfeidhm. I ndiaidh don ghnólacht an teagmhas a thabhairt faoi deara, coimisiúnaíodh imscrúdú iomlán ar an toirt chun bunchúis agus méid an tsáraithe a fháil amach. Bunaithe ar thorthaí an imscrúdaithe, ghníomhaigh an gnólacht go pras agus cuireadh bearta slándála teicniúla breise i bhfeidhm mar aon le hoiliúint bhreise do bhaill foirne maidir le cibearshlándáil agus cosaint sonraí. D’iarr an DPC go gcuirfí nuashonruithe ar fáil maidir le bearta slándála eagraíochtúla agus teicniúla cuí a chur i bhfeidhm chun cosc a chur le sárú den chineál céanna an athuair.

Léirítear i dtéarmaí follasacha sa chás seo nach féidir le heagraíocht talamh slán a dhéanamh de go bhfuil bearta leordhóthanacha i bhfeidhm díreach mar gheall go n-úsáidtear soláthraí seirbhíse aitheanta dá feidhmeanna ar nós ríomhphost, nó mar gheall go bhfostaítear tríú páirtí chun feidhmchláir a bhainistiú. Ní mór do rialaitheoirí agus próiseálaithe fós féin a chinntiú go bhfuil bearta slándála acu atá oiriúnach d’aon riosca a d’fheadfadh bheith ag gabháil leis na sonraí pearsanta a bhfuil siad freagrach astu.

 

26)  Cás-Staidéar 26: Stádas Vacsaínithe COVID – 19 agus Scoileanna

Le linn na bliana 2021, chuaigh roinnt múinteoirí i dteagmháil leis an DPC chun ábhair imní a léiriú maidir leis an Roinn Oideachais bheith i mbun sonraí vacsaínithe na mball foirne a phróiseáil, de réir mar a mheas siad.

I scoileanna ar fud na tíre, éilíodh ar bhaill foirne ‘Foirmeacha Féindearbhaithe’ a chomhlánú, dá mba rud é gur tugadh comhairle dóibh srian a chur lena ngluaiseachtaí, agus dearbhú ón HSE/dearbhú leighis a chur ar fáil ina leith sin. Ba é ceann de na cúiseanna liostaithe a d’fhéadfadh duine roghnú chun an fáth nach bhféadfadh siad teacht chun na hoibre a mhíniú ná ‘Is dlúththeagmhálaí mé de chás deimhnithe de COVID – 19.’ Ag an am a cuireadh an t-ábhar imní in iúl don DPC, ba é a tugadh le fios sa Chomhairle Sláinte Phoiblí nár ghá duit féin-aonrú a dhéanamh má bhí tú i do dhlúth-theagmhálaí dá mba rud é go raibh tú vacsaínithe go hiomlán agus nach raibh aon airíonna ort. Ba é an t-ábhar imní a cuireadh in iúl don DPC go raibh an Roinn Oideachais ag lorg stádas vacsaínithe trí bhealach ionadach.

De bhun na n-ábhar imní a léiríodh, chuaigh an DPC i dteagmháil leis an Roinn Oideachais maidir leis an bhFoirm Féindearbhaithe, na cúiseanna i leith sonraí pearsanta a bhailiú agus an bunús dlí ar a raibh an Roinn ag brath chun an phróiseáil a chur i gcrích.

Chuir an roinn in iúl dúinn go raibh an Fhoirm Féindearbhaithe riachtanach ionas go bhféadfaí tréimhse neamhláithreachta baill foirne mar aon le fad na gconarthaí a bhí le tairiscint do mhúinteoir ionaid a chinneadh. Chomh maith leis sin, luaigh an Roinn an bonn dleathach a bhí leis an bpróiseáil agus nach raibh aon rún i gceist, intuigthe nó ar bhealach ar bith eile, faisnéis a bhailiú maidir le stádas vacsaínithe na ball foirne scoile.

Bunaithe ar an bhfoclaíocht san fhoirm, mar aon leis an gcuspóir sonraithe a bhí léi, chinn an DPC nárbh ionann an riachtanas a bhí ar bhaill foirne Foirm Féindearbhaithe a chomhlánú agus sonraí catagóire speisialta (sláinte) bheith á bpróiseáil ag an Roinn Oideachais. Bhí trí chúis ag an DPC maidir le teacht ar an gcinneadh sin:

1) níorbh ionann na sonraí pearsanta a bhí á dtaifeadadh ar an bhfoirm agus sonraí catagóire speisialta;

2) ní raibh na rialaitheoirí (scoileanna agus an Roinn Oideachais) i mbun sonraí catagóire speisialta a bhailiú ná a phróiseáil chun críche aitheanta.

3) ní raibh na rialaitheoirí i mbun na sonraí a bailíodh a phróiseáil tuilleadh ar bhealach inar léiríodh nó inar nochtadh tátail maidir le stádas sláinte duine aonair (ar nós sonraí a chomhcheangal le sonraí pearsanta eile).

 

27)  Cás-Staidéar 27: TikTok agus comhoibriú le húdaráis cosanta sonraí AE eile

Le linn na bliana 2021, fuair an DPC iarrataí GDPR Airteagal 61 ar chúnamh frithpháirteach ó údaráis cosanta sonraí na hÍsiltíre agus na Fraince. I ngach aon cheann de na hiarrataí sin, iarradh ar an DPC tuilleadh imscrúdaithe a dhéanamh ar roinnt ábhair imní maidir leis an bpróiseáil a dhéanann TikTok ar shonraí pearsanta a úsáideoirí, go háirithe úsáideoirí linbh.

Bhí na húdaráis bhainteacha ag déanamh imscrúdú ar TikTok sular lonnaigh an chuideachta a príomhbhunaíocht (ceanncheathrú AE) in Éirinn i mí Iúil 2020, ar ina dhiaidh sin a ghlac an DPC an ról mar phríomhúdarás maoirseachta TikTok i mí na Nollag 2020 i ndiaidh d’údaráis mhaoirseachta eile san AE iad féin a shásamh go raibh TikTok lonnaithe go príomha in Éirinn.

Mar thoradh air sin, chinn údaráis na hÍsiltíre agus na Fraince nach raibh siad inniúil a thuilleadh imscrúdú a dhéanamh ar TikTok agus d’aistrigh siad a gcomhaid imscrúdaithe ar an mbonn sin, ag iarraidh ar an DPC tuilleadh imscrúdaithe a dhéanamh. Mar gheall ar na himscrúduithe seo, agus mar gheall gur aithin an DPC féin ábhair imní bharrthábhachtacha trí rannpháirtíocht ghníomhach le TikTok sa bhliain 2021, chuir an DPC tús le dhá fhiosrúchán dá thoil féin de bhun Alt 110 den Acht um Chosaint Sonraí 2018 maidir le TikTok bheith ag comhlíonadh riachtanais an GDPR.

 

28)  Cas-Staidéar 28: Gné Faisnéise maidir le Lá Toghcháin Facebook

De réir mar a tuairiscíodh i dTuarascáil Bhliantúil an DPC don bhliain 2020, chuir Facebook a ghné, Meabhrú Lá Toghcháin, ar fionraí i ndiaidh iarraidh a fháil ón DPC go gcuirfeadh Facebook sásra i bhfeidhm lena chinntiú go gcuirfí faisnéis maidir leis an mbealach ina n-úsáidtear sonraí pearsanta ar fáil d’úsáideoirí ar bhealach atá éasca teacht uirthi sula ndéanann úsáideoir cinneadh idirghníomhú/páirt a ghlacadh sa ghné nó gan sin a dhéanamh. Ábhar imní ar leith don DPC ab ea easpa soiléireachta ó Facebook maidir le cibé a n-úsáidfí aon sonraí a gineadh trí úsáideoir bheith ag idirghníomhú leis an ngné le haghaidh fógraíocht spriocdhírithe agus fotha nuachta a phearsantú.

Sa bhliain 2021, thug Facebook achoimre don DPC maidir le roinnt athruithe a rinneadh ar an ngné, a athainmníodh mar Fhaisnéis maidir le Lá Toghcháin, d’fhonn moltaí an DPC a chur san áireamh. Áiríodh leis na hathruithe suíomh níos feiceálaí bheith ann don nasc ‘Foghlaim Tuilleadh’ chuig alt san Ionad Cúnaimh a bhaineann go sonrach leis an ngné; agus trédhearcacht níos fearr sa táirge ina soiléirítear nach n-úsáideann Facebook sonraí pearsanta a bhailítear trí idirghníomhaíochtaí le EDI chun críocha fógraíochta agus nach roinneann Facebook sonraí dá leithéid le tríú páirtithe.

 

29)  Cas-Staidéar 29: Facebook View (Ray-Ban stories))

I gcaitheamh na bliana 2021, sheol Facebook, i bpáirt le Ray-Ban, spéaclaí cliste ar a dtugtar ‘Ray-Ban stories’. Cuireann na spéaclaí ar chumas an duine atá á gcaitheamh grianghraif agus físeáin a thógáil den méid a fheiceann sé/sí, a chuirtear ar siúl trí ordú teagmhála nó gutha.

Ina dhiaidh sin, is féidir na híomhánna a sheoladh ar aghaidh trí aip Facebook Companion lena stóráil nó lena roinnt ar na meáin shóisialta. Cé go n-aithnítear gur féidir daoine aonair tríú páirtí a thaifeadadh ar go leor gairis, lena n-áirítear fóin chliste, tríd is tríd, is amhlaidh an cás go mbíonn an ceamara nó fón le feiceáil mar ghaireas ina bhfuil taifeadadh á dhéanamh, ar trí sin, a dtugtar foláireamh do na daoine sin atá á ngabháil sna taifeadtaí. Feidhmíonn Ray-Ban stories trí úsáid a bhaint as solas táscaire, a chuirtear ‘ar siúl’ nuair atá grianghraf á ghlacadh nó taifeadadh á dhéanamh. Chuaigh an DPC i dteagmháil le Facebook, inar tarraingíodh aird ar shaincheisteanna maidir le infheictheacht agus fad tréimhse an tsolais seo, agus inar iarradh ar Facebook a dhearbhú go bhfuil an solas táscaire LED seo éifeachtach dá chuspóir agus é sin a léiriú. Mar fhreagra air sin, rinne Facebook athruithe sna bogearraí d’fhonn gile an LED sheachtraigh a láidriú. Chomh maith leis sin, d’fhreagair Facebook ar éileamh ón DPC agus ó Garante na hIodáile go reáchtálfadh Facebook feachtas faisnéise chun an pobal a chur ar an airdeall go bhféadfadh an táirge tomhaltais nua seo bheith ina chúis le taifeadadh a dhéanamh ar a n-íomhánna ar bhealach nach bhfuil chomh follasach céanna. Leanfar de dhul i dteagmháil le Facebook sa bhliain 2022. Chomh maith leis sin, téann an DPC i gcomhairle le Garante na hIodáile i gcónaí i ndáil le haon phróiseáil sonraí pearsanta a dhéanann Luxottica (monaróir na spéaclaí) a bhfuil an Garante inniúil chun maoirseacht a dhéanamh air

 

30)  Cas-Staidéar 30: Féinlagú Úsáideoirí Instagram

I mí na Bealtaine 2021, cuireadh an DPC ar an eolas faoi theagmhais inar cuireadh úsáideoirí Instagram ar míthreoir trína gcáilíochtaí Instagram a chur ar fáil d’aipeanna tríú páirtí a d’fhág go raibh a gcuntais lagaithe.

Cé nár cuireadh isteach ar aon úsáideoirí LEE sa chás áirithe seo, d’fhonn an dóchúlacht go gcuirfí úsáideoirí san LEE ar míthreoir agus teagmhais den chineál céanna bheith ag tarlú a laghdú, mhol an DPC gur chóir do Facebook cur le faisnéis dá úsáideoirí ina mbeadh foláirimh shoiléire maidir leis na rioscaí a bhaineann leis na haipeanna sin. Ina dhiaidh sin, nuashonraigh an rialaitheoir na hailt san Ionad Cúnaimh d’fhonn soiléireacht bhreise a chur ar fáil d’úsáideoirí maidir leis na hiarmhairtí a bhaineann le cead a thabhairt d’aipeanna dá leithéid teacht a bheith acu ar a gcuntais agus comhdhlúthaigh an rialaitheoir na hailt ar fad san Ionad Cúnaimh ina leathanach tiomnaithe aonair san Ionad Cúnaimh.

 

31)  Cas-Staidéar 31: Dearcthaí Facebook

I gcaitheamh na bliana 2021, chuaigh an DPC i dteagmháil le Facebook maidir leis an mbeart Viewpoints a sheoladh san AE.

Luann Facebook go bhfuil Viewpoints ina ardán taighde margaidh nua ina gcúitítear úsáideoirí as páirt a ghlacadh i gcláir taighde, arb iad na torthaí as sin a úsáideann Facebook d’fhonn a dtáirgí a fhorbairt agus/nó a fheabhsú agus deiseanna nua sa mhargadh a mheas. Mar chuid den chomhoibriú leanúnach atá ar bun idir an DPC agus na hÚdaráis Mhaoirseachta AE/LEE eile, lena n-áirítear údaráis na Fraince, na hIodáile, Hamburg, na hIorua agus na hIsiltíre, chuir an DPC roinnt ábhair imní in iúl do Facebook maidir leis an GDPR agus comhlíonadh ríomhPhríobháideachais an táirge Viewpoints. I mí na Nollag 2021, ar an mbonn sin, d’iarr an DPC ar Facebook athbhreithniú a dhéanamh ar an sceideal maidir leis an aip Viewpoint agus na cláir/suirbhéanna a bhaineann leis a leathadh amach tuilleadh san AE/LEE ionas go bhféadfadh an DPC agus údaráis cosanta sonraí eile tuilleadh measúnachta agus teagmhála a dhéanamh le Facebook maidir leis na hábhair imní a cuireadh in iúl. Mar fhreagra air sin, chomhaontaigh Facebook stad a chur le leathadh amach an chláir san AE/LEE.

 

 

  1. Foilsiú neamhúdaraithe grianghraif (Réiteach Cairdiúil)
  2. Ní bhfuarthas aon fhreagra ar iarratas duine ar a shonraí (Réiteach Cairdiúil)
  3. Coimeád sonraí pearsanta duine atá faoi aois ag Gníomhaireacht Stáit (Réiteach Cairdiúil)
  4. Pribhléid Dlíodóra agartha chun sonraí pearsanta a choinneáil siar (Gearáin faoi Iarratas Rochtana)
  5. Monatóireacht Fhreastail agus Aithint Aghaidhe ag meánscoil (Idirghabháil Dhíreach)
  6. Láimhseáil ghearáin duine Éireannaigh is ábhar do na sonraí in aghaidh Cardmarket, atá lonnaithe sa Ghearmáin, ag úsáid mheicníocht Ionaid Ilfhreastail an GDPR.
  7. Feidhmiú Nós Imeachta Airteagail 60 I nGearáin Trasteorann: Groupon
  8. Réiteach Cairdiúil i nGearáin Trasteorann: MTCH
  9. Réiteach Cairdiúil i nGearáin Trasteorann: Facebook Ireland
  10. Neamhfhreagra Airteagail 60 ar Iarratas Rochtana ag Ryanair
  11. Teorannú Cuspóra —An Treoir maidir le Forfheidhmiú Dlí
  12. Nochtadh líomhnaithe shonraí pearsanta an ghearánaigh ag údarás áitiúil (Gearán Sáraithe Shonraí
  13. Fógra Sáraithe (Earnáil Dheonach) — Ionsaí Bogearraí Éirice
  14. Fógra Sáraithe (Earnáil Phoiblí) Foilsiú Mícheart ar Twitter
  15. Fógra Sáraithe (Earnáil Airgeadais) Sonraí Bainc curtha trí WhatsApp
  16. Fógra Sáraithe (12 Chomhar Creidmheasa) Earráid Chódúcháin an Phróiseálaí
  17. Lorgaíonn Vodafone sonraí fostaíochta ó chustaiméirí
  18. Geandáil ar Facebook
  19. Gné Féinmharaithe agus Féinghortaithe Facebook
  20. Meabhrúchán Facebook do Lá an Toghcháin
  21. Teicneolaíocht Chúntóir Gutha Google

1)  Cás-Staidéar 1: Foilsiú neamhúdaraithe grianghraif (Réiteach Cairdiúil)

Fuair an DPC gearán ó dhuine aonair a bhain le foilsiú a ngrianghraif in alt a bhí mar chuid de nuachtlitir ionaid oibre gan a dtoiliú a bheith faighte. Chuir an rialaitheoir sonraí, arbh é fostóir earnála poiblí an duine aonair é, in iúl don duine gur chóir go mbeadh toiliú faighte aige chun an grianghraf a úsáid i nuachtlitir an ionaid oibre, ós rud é nárbh é seo an cuspóir a bhfuarthas an grianghraf lena aghaidh. Chuir an rialaitheoir sonraí in iúl don duine aonair freisin go raibh sárú sonraí tar éis tarlú sa chás seo.

Aithníodh an gearán seo mar cheann a bhfuil seans ann go bhféadfaí é a réiteach go cairdiúil faoi Alt 109 den Acht um Chosaint Sonraí 2018; d´aontaigh an gearánach agus an rialaitheoir sonraí araon go n-oibreodh siad leis an DPC chun iarracht a dhéanamh an cheist a réiteach go cairdiúil. Chuaigh an rialaitheoir sonraí i dteagmháil leis an DPC faoin gceist, agus chomhairligh sé go raibh imscrúdú inmheánach curtha i gcrích aige agus dheimhnigh sé gurbh fhíor gur tharla sárú sonraí agus gur chóir toiliú a bheith faighte chun grianghraf an duine aonair a úsáid i nuachtlitir an ionaid oibre. Ní raibh foilsiú i nuachtlitir i measc na gcuspóirí dá bhfuarthas an grianghraf sa chéad dul síos. Ghabh an fostóir a leithscéal leis an duine aonair. Níor mheas an gearánach, áfach, gur réiteach cuí é seo don ghearán a bhí idir lámha.

Chuir an DPC moltaí ar fáil go ndéanfaí bileog eolais faoi chúrsaí toilithe a dháileadh don fhoireann sula mbainfí úsáid as grianghrafadóireacht, ábhar fuaime agus/nó físeáin, agus go ndéanfaí foirm thoilithe do ghrianghrafadóireacht, ábhar fuaime agus físeáin a chomhlánú agus a shíniú sula bhfaighfí íomhánna nó taifeadtaí; chuir an rialaitheoir an chomhairle seo i bhfeidhm ina dhiaidh sin.

Dearbhaíonn Airteagal 5(1)(b) den GDPR go “ndéanfar sonraí pearsanta a bhailiú chun críocha sonraithe sainráite dlisteanacha agus ní dhéanfar iad a phróiseáil tuilleadh ar shlí atá neamhréir leis na críocha sin (‘teorannú de réir cuspóra’). Bhí an DPC sásta go ndearna an rialaitheoir sonraí tuilleadh próiseála ar shonraí pearsanta an duine aonair gan a dtoiliú (ná bunús eile dlí) chun a leithéid a dhéanamh nuair a d´fhoilsigh sé grianghraf an fhostaí i nuachtlitir an ionaid oibre. D´eisigh an DPC litir thoraidh a chuir an méid sin in iúl don ghearánach. Bhí an DPC sásta leis na bearta eagraíochtúla a tugadh isteach ina dhiaidh sin agus mar sin de níor ghá don rialaitheoir aon bhearta breise a dhéanamh sa chás seo.

Sa chás-staidéar seo, níorbh fhéidir a mheas gurbh ann do bhaol suntasach maidir le cearta agus saoirsí bunúsacha an duine aonair, ach mar sin féin, chuir próiseáil na sonraí pearsanta isteach ar an duine aonair agus is sárú den GDPR é sna cúinsí. Léiríonn sin an gá atá ann le go gcuirfeadh gach eagraíocht oiliúint ar a gcuid foirne — ag gach leibhéal agus i ngach ról — le go mbeidís ar an eolas faoin GDPR agus le go gcuirfidís a chuid prionsabal san áireamh.

 

2)  Cás-Staidéar 2: Ní bhfuarthas aon fhreagra ar iarratas duine ar a shonraí (Réiteach Cairdiúil)

Fuair an DPC gearán ó dhuine aonair maidir le hiarratas duine ar a shonraí a rinne an duine sin do rialaitheoir sonraí, comhlacht ceantála ar bhain an gearánach úsáid as a n-ardán chun earraí a dhíol; ba é ábhar an iarratais ná cóip den eolas ar fad a bhain leo. Ní bhfuarthas aon fhreagra ón rialaitheoir sonraí in ainneoin gur eisigh an duine aonair dhá mheabhrúchán ina dhiaidh sin.

Aithníodh an gearán seo mar cheann a raibh seans ann gurbh fhéidir réiteach cairdiúil a fháil dó faoi Alt 109 den Acht um Chosaint Sonraí 2018; d´aontaigh an gearánach agus an rialaitheoir sonraí araon bheith ag obair leis an DPC chun iarracht a dhéanamh an cheist a réiteach go cairdiúil.

Chuaigh an rialaitheoir sonraí i dteagmháil leis an DPC faoin gceist agus chuir sé in iúl dúinn, cé go raibh caidreamh gnó aige leis an duine aonair i 2016, nach raibh aon eolas a bhain leo á choinneáil aige, ós rud é go raibh córas nua suiteáilte aige i Mí na Bealtaine 2018, agus nár coiméadadh aon sonraí ón tréimhse roimhe sin. Chuir sé in iúl don DPC freisin go raibh gach comhad páipéir stiallta aige agus gur chuir a chomhairleoir dlí in iúl dóibh nach raibh iachall air iad a choimeád.

Sholáthair an rialaitheoir sonraí seatanna scáileáin don DPC freisin óna chóras leictreonach maidir le torthaí cuardaigh in aghaidh ainm an duine aonair, cuardach nár aimsigh aon torthaí le taispeáint. Dearbhaíonn Airteagal 12(3) den GDPR “go soláthróidh an rialaitheoir faisnéis maidir leis an ngníomhaíocht a rinneadh i dtaca le hiarraidh faoi Airteagal 15 go 22 don ábhar sonraí agus déanfaidh sé sin gan mhoill mhíchuí agus in aon chás laistigh d´aon mhí amháin tar éis an iarraidh a fháil.”

Tar éis dó an cheist a scrúdú go mion, ba léir don DPC gur sháraigh an rialaitheoir sonraí Airteagal 12(3) den GDPR ós rud é go bhfuil sé mar dhualgas ar rialaitheoirí freagra a thabhairt ar iarratas duine ar a shonraí laistigh den tráthchlár reachtúil, faoi mar a leagtar amach in Airteagal 12 den GDPR, fiú nuair nach bhfuil a leithéid de shonraí ag an rialaitheoir. Maidir le hiarratas an duine ar a shonraí níor ghá aon bheart breise a dhéanamh maidir leis an gceist seo ós rud é nárbh ann d´aon fhianaise a chuirfeadh in iúl go raibh aon sonraí a bhain leis an duine aonair á gcoinneáil ag an rialaitheoir sonraí.

D´eisigh an DPC comhairle don rialaitheoir sonraí, ag cur a chuid dualgas i gcuimhne dó faoi Ailt 12 agus 15 agus an riachtanas atá ann eolas a sholáthar maidir le bearta a rinneadh i dtaca le hiarratas duine ar a shonraí, fiú nuair nach bhfuil i gceist sna cúinsí ach cur in iúl do dhuine aonair nach bhfuil aon sonraí á gcoinneáil aige.

 

3)  Cás-Staidéar 3: Coimeád sonraí pearsanta duine atá faoi aois ag Gníomhaireacht Stáit (Réiteach Cairdiúil) (Dlí Infheidhme — Na hAchtanna um Chosaint Sonraí, 1988 agus 2003)

Sa chás seo, bhí iarratas déanta ag gearánaigh an cháis roimhe seo go scriosfadh gníomhaireacht stáit Éireannach comhad a bhain le heachtra ar scoil ina raibh a leanbh óg páirteach, agus a cuireadh in iúl don ghníomhaireacht sa chéad dul síos. Cé go raibh cinneadh déanta ag an nGníomhaireacht nár ghá tuilleadh imscrúdaithe a dhéanamh ar an eachtra, dhiúltaigh sí sonraí pearsanta an duine faoi aois a scriosadh — ag tabhairt le fios go gcoimeádtar a leithéid de chomhaid go dtí go mbaineann an duine faoi aois faoi thrácht aois 25 bliana amach.

Rinne an DPC iarratas go dtabharfadh an ghníomhaireacht stáit achoimre ar an mbonn dlí a bhí acu chun sonraí pearsanta an duine faoi aois a choimeád. Sholáthair an ghníomhaireacht an méid sin agus luaigh sí a polasaí coimeádta faoi mar atá dearbhaithe do na gearánaigh, ach níor mheas an DPC go raibh lántréimhse choimeádta infheidhme sna cúinsí ar leith.

Chuir an DPC an dá pháirtí ar an eolas faoin bpróiseas réitigh chairdiúil agus dúirt siad beirt go raibh siad toilteanach tabhairt faoina leithéid. Tar éis do na gearánaigh agus don rialaitheoir teagmháil a dhéanamh lena chéile arís agus arís eile chun an cheist a phlé, dheimhnigh an ghníomhaireacht stáit do na gearánaigh go scriosfaí an comhad ina raibh sonraí pearsanta a linbh le fáil.

 

4)  Cás-Staidéar 4: Pribhléid Dlíodóra agartha chun sonraí pearsanta a choinneáil siar (Gearáin faoi Iarratas Rochtana)

Phléigh an DPC le cás ina raibh i gceist iarratas ag duine aonair ar ospidéal lena gcuid sonraí pearsanta a fháil. Bhí an duine aonair seo tar éis treoir a thabhairt dá ndlíodóir i dtaca le caingean faillí in aghaidh an ospidéil ag eascairt as cúram a bhí faighte acu.

Faoin am a ndearna an duine aonair gearán leis an DPC trína ndlíodóir bhí an t-ospidéal tar éis roinnt taifead leighis a scaoileadh, ach chuir an duine aonair in iúl go raibh siad ag fanacht le nótaí neamhchliniciúla; bhí an t-ospidéal ag diúltú iad sin a scaoileadh ar an mbonn go raibh siad faoi réir ag pribhléid dlíthíochta. Go sonrach ba í tuairim an duine aonair (a raibh a ndlíodóir mar ionadaí acu sa ghearán a rinneadh don DPC) go rabhthas tar éis ráitis éagsúla ó bhaill fhoirne a choinneáil siar. Trí mheán an phróisis láimhseála ghearáin fuair an DPC amach gur ullmhaíodh ráitis bhaill fhoirne le linn athbhreithnithe inmheánaigh ag an ospidéal maidir leis an gcúram a tugadh don othar.

D´iarr an DPC go mbeadh sé in ann — ar bhonn deonach — féachaint ar na doiciméid sin a coinníodh siar ón duine aonair mar fhreagra ar an iarratas rochtana, chun a bheith sásta gur cuireadh a n-ábhar agus a gcáilitheacht maidir le díolúine scaoilte i bhfeidhm ar bhealach bailí.

I gcúinsí nuair a ullmhaíodh an ráiteas don chuspóir ceannasach seo, athbhreithniú inmhéanach, agus nár cuireadh tús le dlíthíocht, ná níor bagraíodh a leithéid ag dáta cruthaithe na ráiteas, ní raibh an DPC sásta gur bhain an phribhléid dlíthíochta le feidhm, agus thug sé treoir go ndéanfaí iad a scaoileadh.

 

5)  Cás-Staidéar 5: Monatóireacht Fhreastail agus Aithint Aghaidhe ag meánscoil (Idirghabháil Dhíreach)

Tar éis tuairiscí meáin chumarsáide i dtaca le tástáil aitheanta aghaidhe do chuspóirí monatóireachta freastail i meánscoil, bhuail an DPC le baill fhoirne agus le Bord Bainistíochta na scoile i Mí Feabhra 2020.

Thug an DPC achoimre ar na ceisteanna cosanta sonraí a bhaineann le húsáid sonraí bithmhéadracha, go sonrach teicneolaíocht aitheanta aghaidhe, i dtimpeallacht oideachasúil, lena n-áirítear próiseáil sonraí daoine atá faoi aois. Thagair an DPC do chéad fhíneáil údarás cosanta sonraí na Sualainne faoin GDPR, i dtaca le tionscadal tástála i meánscoil nuair a baineadh úsáid as teicneolaíocht aitheanta aghaidhe chun freastal na ndaltaí a chlárú.

Chuaigh an DPC trí na céimeanna a bhaineann le sainmhíniú na sonraí bithmhéadracha faoi mar a leagtar iad amach in Airteagal 4(14) den GDPR agus chuir sé béim ar fhorálacha breise GDPR in Airteagal 5 — Teorannú de réir an chuspóra agus íoslaghdú sonraí; Airteagal 9 — Sonraí íogaire; agus Airteagail 35 agus 36 — Measúnú Tionchair ar Chosaint Sonraí (DPIA) agus Réamhchomhairliúchán.

Tar éis an chruinnithe, sholáthair an scoil tuairisc iomlán scríofa don DPC faoin gceist, a raibh mar chuid di deimhniú nach ndeachaigh sí ar aghaidh le tástáil an táirge mhonatóireachta freastail faoi thrácht.

Go traidisiúnta glacann údaráis chosanta sonraí Eorpacha le seasamh láidir i dtaca le haithint aghaidhe i scoileanna agus i dtaca le húsáid chóras bithmhéadrach freastail san earnáil oideachais. In Éirinn, cuireann an DPC iniúchtaí i gcrích go rialta i scoileanna mar a bhfaightear tuairiscí faoi chórais nó faoi thástálacha freastail bhithmhéadraigh. Measann an DPC gur féidir, nuair a bhíonn teagmháil acu le modhanna cunóracha faireachais gan dóthain bhunúis dlí ná boinn chirt, gur féidir leis sin íogaireacht na ndaltaí a laghdú go hóg maidir lena leithéid de theicneolaíocht, rud a d´fhéadfadh iad a spreagadh chun a gcuid ceart cosanta sonraí a ghéilleadh i gcomhthéacsanna eile freisin.

 

6)  Cás-Staidéar 6: Láimhseáil ghearáin duine Éireannaigh is ábhar do na sonraí in aghaidh Cardmarket, atá lonnaithe sa Ghearmáin, ag úsáid mheicníocht Ionaid Ilfhreastail an GDPR. (Dlí infheidhme — an GDPR & an tAcht um Chosaint Sonraí 2018)

Fuair an DPC gearán ó dhuine aonair Éireannach in aghaidh Cardmarket, ardán Gearmánach r-thráchtála agus trádála. Fuair an duine r-phost ó Cardmarket, ag cur in iúl dó go rabhthas tar éis é a haiceáil agus gur féidir gur sceitheadh cuid dá chuid eolais phearsanta úsáideora. Chuir an duine aonair an DPC ar a airdeall agus chuir sé gearán faoina bhráid maidir leis an sárú.

Faoin meicníocht Ionaid Ilfhreastail (OSS) a cruthaíodh ag an GDPR, socraíonn suíomh phríomheagraíocht Eorpach chomhlachta cé acu údarás Eorpach a ghníomhóidh mar an príomhúdarás maoirseachta i dtaca le haon ghearáin a fhaightear. Nuair a dheimhnítear an priomhúdarás (LSA), gníomhaíonn an t-údarás a fuair an gearán mar údarás maoirseachta ábhartha (CSA). Is é an CSA an t-idirghabhálai idir an LSA agus an duine aonair. I measc rudaí eile, is é an fáth atá leis an scaradh seo ná le gur féidir le húdaráis mhaoirseachta cumarsáid a dhéanamh le gearánaigh aonair ina dteanga dhúchais.

Sa chás seo, ghníomhaigh DPA Bheirlín mar an LSA, ós rud é go raibh príomhshuíomh an chomhlachta i limistéar críche Bheirlín. Ghníomhaigh an DPC mar CSA, ag déanamh cumarsáide le DPA Bheirlín agus ag cur ar aghaidh nuashonruithe maidir leis an imscrúdú (tar éis iad a aistriú ó Ghearmáinis go Béarla) don ghearánach in Éirinn.

Thug DPA Bheirlín a imscrúdú chun críche maidir leis an sárú agus maidir le gearán an duine aonair. D´uaslódáil sé dhá dhréachtchinneadh, ceann a bhain leis an sárú iomlán, a chuaigh i bhfeidhm ar a lán úsáideoirí eile de chuid an ardáin ar fud na hEorpa, agus ceann eile maidir leis an ngearán sonrach a taisceadh ag an Éireannach leis an DPC agus a cuireadh in iúl do DPA Bheirlín.

Gné thábhachtach de chuid mheicníocht OSS ná gur féidir le CSA tuairim a chur in iúl maidir le dréachtchinneadh a eisítear ag príomhúdarás maoirseachta. Déantar sin le cinntiú go bhfuil údaráis mhaoirseachta Eorpacha ag cur an GDPR i bhfeidhm go comhsheasmhach, .i. go mbeadh an chonclúid chéanna ag baint leis an gcinneadh deiridh a dhéanann DPA Bheirlín agus a bheadh ag baint le cinneadh de chuid an DPC dá mbeadh an comhlacht lonnaithe in Éirinn agus dá mbeadh an DPC tar éis imscrúdú a dhéanamh ar an ngearán mar an príomhúdarás maoirseachta.

Bhí an DPC sásta le dréachtchinntí DPA Bheirlín agus níor mheas sé é a bheith riachtanach aon phointí soiléirithe nó iarratais leasaithe a lua an uair seo. Chuir an DPC an duine aonair ar an eolas faoi thoradh imscrúdú DPA Bheirlín, ag soláthar dóibh cóip den chinneadh iomlán maidir leis an imscrúdú a rinneadh ar an sárú agus an cinneadh a phléigh lena ngearán sonrach.

Léiríonn an cás seo na gnéithe dúshlánacha ´ná cuir do ladar isteach´ agus aistrithe oibre a bhaineann leis an meicníocht OSS a bunaíodh ag an GDPR. Léiríonn sé méid an chomhoibrithe idir údaráis mhaoirseachta Eorpacha a theastaíonn le haghaidh chur i bhfeidhm comhsheasmhach an GDPR san Eoraip.

 

7)  Cás-Staidéar 7: Feidhmiú Nós Imeachta Airteagail 60 I nGearáin Trasteorann: Groupon

Fuair an DPC gearán i Mí Iúil 2018 ó údarás cosanta sonraí na Polainne ar son gearánaigh Pholannaigh in aghaidh Groupon International Limited (“Groupon”). Bhain an gearán leis na riachtanais a bhí i bhfeidhm ag Groupon ag an am sin chun céannacht daoine aonair a dheimhniú a rinne iarratais chosanta sonraí don chomhlacht. Sa chás seo, mhaígh an gearánach go raibh cleachtas Groupon, is é sin ceangal a chur orthu a gcéannacht a dheimhniú trí chur isteach leictreonach chóip chárta náisiúnta aitheantais, i gcomhthéacs iarratais a bhí déanta acu chun sonraí pearsanta a scriosadh de bhun Airteagail 17 den GDPR, ina shárú ar phrionsabal an íoslaghdaithe shonraí faoi mar a leagtar sin amach in Airteagal 5(1) (c) den GDPR, i gcúinsí nuair nár ghá doiciméad aitheantais a sholáthar agus cuntas Groupon á chruthú. Ina theannta sin, mhaígh an gearánach gur shárú ar a gceart ar scriosadh faoi Alt 17 a bhí i dteip Groupon ina dhiaidh sin gníomhú maidir leis an iarratas scriosta (i gcúinsí nuair a chuir an duine in aghaidh cóip dá gcárta náisiúnta aitheantais a sholáthar).

Chuir an DPC tús le himscrúdú an ghearáin tar éis dó sin a fháil. Le linn a chomhfhreagrais le Groupon faoin gceist, ba léir gur éiríodh as polasaí Groupon ceangal a chur ar iarratasóir cóip a sholáthar de chárta náisiúnta aitheantais, a bhí i bhfeidhm roimh theacht i bhfeidhm an GDPR (agus a bhí i bhfeidhm ag am iarratas scriosta an ghearánaigh), gur éiríodh as sin ó Mhí Dheireadh Fómhair 2018 ar aghaidh. Ina áit sin bhí Groupon tar éis córas fíordheimhnithe r-phoist a chur i bhfeidhm a lig d´úsáideoirí Groupon deimhniú gur leo an cuntas. Rinne an DPC iarracht an gearán a réiteach go cairdiúil (de bhun Ailt 109(2) den Acht um Chosaint Sonraí 2018) ach ní raibh an gearánach toilteanach glacadh le moltaí Groupon maidir leis sin. Dá réir sin, b´éigean cinneadh a dhéanamh faoin gceist trí chinneadh faoi Airteagal 60 den GDPR.

 

(i)Dréachtchinneadh Tosaigh

Bhí i gceist le chéad chéim phróiseas Ailt 60 ná ullmhú dréachtchinnidh ag an DPC i dtaca leis an ngearán. Ina dhréachtchinneadh tosaigh, rinne an DPC cinntí gur sáraíodh Airteagail 5(1)(c) agus 12(2) den GDPR ag Groupon. Chuir an DPC an dréachtchinneadh ar fáil do Groupon le cur ar a chumas aighneachtaí a dhéanamh. Ina dhiaidh sin rinne Groupon roinnt aighneachtaí a cuireadh san áireamh (in éineacht le hanailís an DPC díobh) i leagan breise den dréachtchinneadh.

 

(ii) Soláthar an Dréachtchinnidh Thosaigh do na hÚdaráis Mhaoirseachta Ábhartha

Bhí i gceist le dara céim phróiseas Ailt 60 uaslódáil dréachtchinneadh tosaigh an DPC don IMI lena scaipeadh i measc na nÚdarás Maoirseachta Ábhartha (CSA), de bhun Airteagail 60(3) den GDPR. Rinneadh dréachtchinneadh an DPC a uaslódáil don IMI ar 25 Bealtaine 2020; de bhun Airteagail 60(4) den GDPR, ina dhiaidh sin bhí ceithre seachtaine ag na CSA chun aon agóid ábhartha agus réasúnach a chur isteach maidir leis an gcinneadh.

Ina dhiaidh sin fuair an DPC roinnt agóidí ábhartha agus réasúnacha chomh maith le tuairimí faoina chinneadh ó CSA. Go sonrach, rinne CSA áirithe an cás dó gur chóir sáruithe breise den GDPR a bheith aimsithe, agus ina theannta sin gur chóir iomardú agus/nó fíneáil riaracháin a bheith curtha i bhfeidhm.

 

(iii) Dréachtchinneadh Athbhreithnithe

Chuir an chéad chéim eile de phróiseas Ailt 60 iachall ar an DPC machnamh cúramach a dhéanamh faoi gach agóid ábhartha agus réasúnach agus gach tuairim a fuarthas i dtaca lena dhréachtchinneadh, agus a anailís de na rudaí sin a chorprú i ndréachtchinneadh athbhreithnithe. Agus é ag athbhreithniú a dhréachtchinnidh, thug an DPC aird ar chuid de na hagóidí ábhartha agus réasúnacha a fuarthas, ach níor thug sé aird ar agóidí ábhartha agus réasúnacha áirithe eile. Fuair dréachtchinneadh athbhreithnithe an DPC, agus é ag cur san áireamh a anailís ar na hagóidí ábhartha agus réasúnacha agus na tuairimí maidir lena dhréachtchinneadh, fuair sé sáruithe breise ar Airteagail 17(1)(a) agus 6(1) den GDPR ag Groupon. Ina theannta sin, mhol an DPC ina dhréachtchinneadh athbhreithnithe iomardú a thabhairt do Groupon, de bhun Airteagail 58(2)(b) den GDPR. Sholáthair an DPC a dhréachtchinneadh athbhreithnithe do Groupon chun cur ar a chumas aighneachtaí deiridh a dhéanamh. Fuarthas roinnt aighneachtaí deiridh ó Groupon, a cuireadh san áireamh (in éineacht le hanailís an DPC díobh) i ndréachtchinneadh athbhreithnithe an DPC.

 

(iv) Soláthar Dréachtchinnidh Athbhreithnithe chuig na hÚdaráis Mhaoirseachta Ábhartha

Bhí i gceist le chéad chéim eile phróiseas Airteagail 60 gur uaslódáil an DPC a dhréachtchinneadh athbhreithnithe don IMI, lena scaipeadh i measc na CSA. Faoi Airteagal 60(5) den GDPR, bhí na CSA i dteideal dhá sheachtain bhreise a bheith acu chun aon agóidí breise a chur isteach maidir leis an gcinneadh. Tógadh saincheist amháin eile maidir le dréachtchinneadh athbhreithnithe an DPC. Mar gheall air sin b´ann don fhéidearthacht go mbeadh gá ann leis an nós imeachta Réitigh Achrainn a úsáid faoi Airteagal 65 den GDPR, a thabharfadh isteach rannpháirtíocht an EDPB, agus é ag tabhairt breithe faoin bpointe/ faoi na pointí easaontais, agus a chuirfeadh leis an tréimhse ama inarbh fhéidir an cinneadh a chomhlánú i dtaca leis an gcás. Aistarraingíodh an fiosrúchán breise ina dhiaidh sin, áfach.

 

(v) Glacadh leis an gCinneadh Deiridh

Tar éis aistarraingt na hagóide deiridh ábhartha agus réasúnaí, agus an spriocdháta thart chun aon agóidí breise a fháil, bhí i gceist le céim dheiridh phróiseas Airteagail 60 gur ghlac an DPC leis an gcinneadh deiridh, a ndearnadh é a uaslódáil don IMI agus a cuireadh in iúl do Groupon. Rinneadh an cinneadh deiridh a uaslódáil ar 16 Nollaig 2020. De réir Airteagail 60(6) den GDPR, measadh go raibh na CSA ar aon tuairim ag an bpointe seo leis an gcinneadh agus go raibh orthu cloí leis. De bhun Airteagail 60(7), bhí údarás cosanta sonraí na Polainne, ar taisceadh an gearán leis i dtús báire, freagrach as an gcinneadh a chur in iúl don ghearánach.

Mar achoimre, fuair an DPC sáruithe na nAirteagal seo a leanas den GDPR maidir leis an gcás seo: Airteagail 5(1)(c), 12(2), 17(1)(a) agus 6(1).

Léiríonn an cás-staidéar seo, nuair nach féidir gearán cosanta sonraí trasteorann a réiteach go cairdiúil, go bhfuil an nós imeachta Airteagail 60 a leanann dá bharr sin an-chasta, an-deacair agus an-fhadálach, go háirithe ós rud é gur gá tuairimí na n-údarás maoirseachta eile ar fud an AE/LEE a chur san áireamh agus machnamh cúramach a dhéanamh fúthu i ngach cás dá leithéid. Sa chás seo, tar éis tabhairt chun críche imscrúdú an ghearáin, rinneadh dréacht tosaigh chinneadh an DPC a uaslódáil don IMI ar 25 Bealtaine 2020, agus glacadh leis an gcinneadh deiridh — a chorpraíonn aighneachtaí ó Groupon, agóidí ábhartha agus réasúnacha agus tuairimí ó CSA, agus anailís an DCA díobh — glacadh leis ar 16 Nollaig 2020, seacht mí níos déanaí.

 

8)  Case Study 8: Réiteach Cairdiúil i nGearáin Trasteorann: MTCH

Fuair an DPC gearán i Mí Mheithimh 2020, trí mheán a chuid foirmeacha gréasáin ghearáin, in aghaidh MTCH Technology Services Limited (Tinder). Cé go ndearnadh an gearán go díreach don DPC, ó chónaitheoir Éireannach, tar éis measúnaithe measadh é a bheith ina ghearán trasteorann ós rud é gur bhain sé le polasaithe ginearálta oibriochtúla Tinder agus, ós rud é go bhfuil Tinder ar fáil ar fud an AE, measadh gur chineál próiseála í an phróiseáil a ndearnadh gearán fúithi “ .... a bhfuil éifeacht shubstainteach ag an bpróiseáil sin ar ábhair shonraí i níos mó ná Ballstát amháin nó gur dóchúil go mbeidh éifeacht shubstainteach aici orthu” (de réir shainmhíniú na próiseála trasteorann faoi Airteagal 4(23) den GDPR.)

Bhain an gearán le cosc an ghearánaigh ó ardán Tinder; ina dhiaidh sin bhí iarratas déanta ag an ngearánach do Tinder le go scriosfaí a chuid sonraí pearsanta faoi Airteagal 17 den GDPR. Mar fhreagra ar a iarratas scriosta, d´iarr Tinder ar an ngearánach féachaint ar a pholasaí príobháideachais chun eolas a fháil i dtaca lena chuid polasaithe coimeádta maidir le sonraí pearsanta. Go háirithe, chuir Tinder an méid seo in iúl don ghearánach “tar éis dhúnadh cuntais, cibé cúis a bheadh leis sin (scriosadh ag an úsáideoir, cosc ar an gcuntas srl.), níl sonraí an úsáideora infheicthe ar an tseirbhís níos mó (faoi réir ag cur san áireamh moille réasúnaí) agus cuirtear na sonraí de láimh de réir polasaí príobháideachais [Tinder] ”.

Bhí an gearánach míshásta leis an bhfreagra seo agus chuaigh sé ar ais go Tinder, ag déanamh iarratais go scriosfaí a chuid sonraí pearsanta. D´fhreagair Tinder, ag athdhearbhú an méid seo: “…is gnáth go scriostar sonraí pearsanta “ar scriosadh an chuntais chomhfhreagraigh”, ag lua lena chois sin go bhfuil scriosadh a leithéid de shonraí pearsanta “faoi réir ag cúiseanna dlisteanacha agus dlíthiúla amháin chun iad a choimeád, lena n-áirítear chun cloí lenár gcuid dualgas reachtúil coimeádta shonraí agus do bhunú, cleachtadh nó cosaint éileamh dlí, faoi mar a cheadaítear faoi Airteagal 17(3) den GDPR.” Ina dhiaidh sin rinne an gearánach a ghearán leis an DPC.

Tar éis don DPC dul i dteagmháil le Tinder maidir leis an ngearán seo, chuir Tinder in iúl don DPC go raibh cosc ar an ngearánach an t-ardán a úsáid ós rud é go raibh a chuid eolais logála isteach ceangailte le próifíl choiscthe eile. D´aimsigh Tinder aon chuntas déag eile freisin a bhain le comhartha aitheantais ghléas an ghearánaigh. Bhí na cuntais seo ar fad coiscthe ó ardán Tinder ós rud é go raibh an chuma ar an scéal go raibh cliant neamhoifigiúil á úsáid chun teacht ar Tinder (sin sárú ar théarmaí seirbhíse Tinder). Chuaigh an DPC ar ais don ghearánach leis an eolas seo, agus chuir an gearánach in iúl dó go raibh cliant oifigiúil Tinder úsáidte aige do Android chomh maith le suíomh gréasáin oifigiúil Tinder ar Firefox. Faoi mar a tharla, áfach, leagan saincheaptha Android a bhí á úsáid aige ar a fhón, le roinnt forlíontán slándála agus príobháideachais. Dá thoradh sin bhí comhartha aitheantais gléis dhifriúil ag a fhón tar éis gach nuashonraithe/ athbhútála. Ba í tuairim an ghearánaigh gur dhócha gur sin ba chúis le cosc a bheith air Tinder a úsáid. Agus a leithéid de chosc á chur san áireamh, de réir pholasaí Tinder faoi choimeád sonraí, bheadh a chuid sonraí pearsanta á gcoimeád do thréimhse fhada ama. Sna cúinsí, áfach, mar réiteach cairdiúil beartaithe, d´ofráil Tinder go scriosfadh siad sonraí pearsanta an ghearánaigh láithreach sa tslí go mbeadh sé in ann cuntas nua a oscailt.

Bhí cúis imní áirithe fós ag an ngearánach maidir leis an tslí ina dtugann Tinder freagra ar iarratais scriosta. Nuair a cuireadh in iúl dó go bhfuil a leithéid de cheisteanna á scrúdú ag an DPC mar chuid d´fhiosrúchán reachtúil ar leith, d´aontaigh an gearánach glacadh le moladh Tinder chun an gearán a réiteach go cairdiúil. Dá réir sin, réitíodh an cheist go cairdiúil de bhun Ailt 109(3) den Acht um Chosaint Sonraí 2018 (an tAcht), agus faoi Alt 109(3) den Acht measadh an gearán a bheith aistarraingthe.

Léiríonn an cás-staidéar seo gur féidir, trí dhianscrúdú a dhéanamh ar ghearán a bhfuil cuma doréitithe air, gur féidir é a réiteach go cairdiúil, agus gur minic go mbeidh de thoradh air sin réiteach cothrom agus éifeachtach don duine a mbaineann an cás leo ar bhealach tráthúil. Sa chás seo, chabhraigh an t-eolas sin a fuair an DPC amach nuair a rinne sé iniúchadh níos doimhne maidir le cúinsí chosc an ghearánaigh ó Tinder — is é sin gur bhain an gearánach úsáid as leagan saincheaptha de Android le forlíontáin slándála agus príobháideachais — chabhraigh sin le go mbeadh tuiscint níos fearr idir na páirtithe agus dá thoradh sin rinne Tinder moladh chun an cás a réiteach, moladh ar ghlac an gearánach leis.

 

9)  Cás-Staidéar 9: Réiteach Cairdiúil i nGearáin Trasteorann: Facebook Ireland 

Fuair an DPC gearán ilghnéitheach i Mí Aibreáin 2019 a bhain le hiarratais rochtana (faoi Airteagal 15 den GDPR), coigeartú (faoi Airteagal 16 den GDPR) agus scriosadh (faoi Airteagal 17 den GDPR) a bhí déanta ag an ngearánach le Facebook Ireland Limited (“Facebook”). Rinneadh an gearán go díreach don DPC, ó ábhar sonraí atá lonnaithe sa RA. Tar éis measúnaithe sa DPC, measadh gur ghearán trasteorann a bhí sa ghearán, ós rud é gur bhain sé le polasaithe ginearálta oibríochtúla Facebook agus, mar go bhfuil Facebook ar fáil ar fud an AE, measadh gur chineál próiseála í an phróiseáil a ndearnadh an gearán fúithi ná ceann “…a bhfuil éifeacht shubstainteach ag an bpróiseáil sin ar ábhair sonraí i níos mó ná Ballstát amháin nó gur dóchúil go mbeidh éifeacht shubstainteach aici orthu” (de réir shainmhíniú na próiseála trasteorann faoi Airteagal 4(23) den GDPR).

I dtús báire rinne an gearánach a chuid iarratas do Facebook cionn is go raibh a chuntas Facebook glasáilte le breis is bliain anuas, gan aon chúis i dtuairim an ghearánaigh, agus chreid sé go raibh sonraí pearsanta míchruinne á gcoinneáil ag Facebook a bhain leis. Ba í mian an ghearánaigh, i ndeireadh na dála, go scriosfaí na sonraí pearsanta ar fad a bhí á gcoinneáil ag Facebook a bhain leis, agus ba í barúil an ghearánaigh go raibh an t-eolas míchruinn seo ag cur coisc air ó bheith in ann logáil isteach chuig a chuntas Facebook go rafar chun tús a chur leis an bpróiseas scriosta. Bhí sé tar éis iarratas rochtana a dhéanamh do Facebook, mar sin de, ach ní raibh sé in ann a chéannacht a dheimhniú ar bhealach a shásaigh Facebook. Ina dhiaidh sin rinne an gearánach a ghearán leis an DPC. Tar éis cuid mhór teagmhála ag an DPC le Facebook agus leis an ngearánach araon agus é i gceist an gearán a réiteach go cairdiúil, agus an gearánach tar éis a bheith ábalta a chéannacht a dheimhniú ar bhealach a shásaigh Facebook, d´aontaigh Facebook nasc a chur ar fáil don ghearánach ina raibh na sonraí pearsanta le fáil a bhí á gcoinneáil ag an gcomhlacht agus a bhain leis. D´oscail an gearánach an t-ábhar sa nasc, ach bhí sé fós míshásta mar gur mhaígh sé go raibh an t-ábhar a cuireadh ar fáil easnamhach. Thug an gearánach le fios go háirithe gur mhian leis go gcuirfí ar an eolas é i dtaca le haon sonraí pearsanta á bhí á gcoinneáil ag Facebook seachas na cinn sin a próiseáladh chun a phróifíl Facebook a fheidhmiú.

Thug Facebook freagra ar an DPC, ag tabhairt le fios go raibh na sonraí cuntais ar fad a bhí á gcoinneáil ag an gcomhlacht maidir leis le fáil san ábhar a tugadh don ghearánach trí mheán an naisc. Bhí an gearánach fós míshásta leis an bhfreagra seo, ag tabhairt le fios gur mhian leis eolas a fháil maidir le haon sonraí pearsanta a bhí á gcoinneáil ag Facebook maidir leis féin nár bhain lena chuntas Facebook. Dúirt sé arís gur chreid sé gur féidir go bhfuil cuid de na sonraí pearsanta seo, a líomhnaítear go bhfuil siad á gcoinneáil ag Facebook ach nach mbaineann lena chuntas Facebook, gur féidir go bhfuil cuid acu míchruinn, agus sa chás sin ba mhian leis go ndéanfaí iad a choigeartú.

Mar fhreagra, chuir Facebook in iúl don DPC go raibh feabhsuithe áirithe déanta ag an gcomhlacht maidir leis an uirlis ´Íoslódáil do Chuid Eolais´ ó cuireadh tús leis an ngearán. Tar éis an nuashonraithe seo i dtaca lena chuid uirlisí rochtana, bhí an comhlacht tar éis cinneadh gurbh ann do mhéid an-bheag de shonraí pearsanta breise maidir le cuntas Facebook an ghearánaigh, agus cuireadh nasc nua ar fáil don ghearánach ina raibh na sonraí pearsanta ar fad le fáil a bhí á gcoinneáil ag an gcomhlacht maidir leis an ngearánach, na sonraí breise seo san áireamh. D´oscail an gearánach an t-ábhar breise seo agus lorg an gearánach, agus é i gceist aige a ghearán a réiteach, lorg sé deimhniú nach gcoinneodh Facebook aon sonraí pearsanta a bhain leis a thuilleadh tar éis do scriosadh a chuntais a bheith curtha i gcrích. Tháinig Facebook ar ais agus é mar fhreagra acu gurbh iad na sonraí iomlána a bhí á gcoinneáil ag an gcomhlacht maidir leis an ngearánach agus a bhí laistigh de scóip Ailt 15 a bhí san ábhar a cuireadh ar fáil dó, agus thug an comhlacht le fios go rachadh sé ar aghaidh le scriosadh shonraí pearsanta an ghearánaigh nuair a thabharfadh sé le fios go raibh sé sásta go ndéanfadh an comhlacht a leithéid anois.

Bhí an gearánach sásta an cheist a thabhairt chun críche ar an mbonn seo agus, dá réir sin, réitíodh an cheist go cairdiúil de bhun Ailt 109(3) den Acht um Chosaint Sonraí 2018 (an tAcht), agus faoi Alt 109(3) den Acht measadh an gearán a bheith tarraingthe siar.

Léiríonn an cás-staidéar seo buanna — i dtaca le gearánaigh ar daoine aonair iad — idirghabháil an DPC trí mheán phróiseas an réitigh chairdiúil. Sa chás seo bhí an gearánach in ann, mar gheall ar rannpháirtíocht an DPC, a chéannacht a dheimhniú ar bhealach a shásaigh Facebook, agus sholáthair Facebook naisc dó faoi dhó ina raibh a chuid sonraí pearsanta le fáil. Bhí de thoradh ar rannpháirtíocht an DPC leis an rialaitheoir freisin gur dheimhnigh an rialaitheoir, ar bhealach a shásaigh an gearánach, go rabhthas tar éis na sonraí pearsanta ar fad a bhí le scaoileadh mar fhreagra ar iarratas Airteagail 15 a chur ar fáil dó. Tharla toradh cothrom mar gheall air sin a bhí sásúil don dá pháirtí sa ghearán.

Léiríonn an cás-staidéar seo freisin an dianinfheistíocht acmhainní atá riachtanach ó thaobh na DPA de, chun ceisteanna den chineál seo a réiteach. Tógann an gearánach sa chás seo ceist ar ábhar imní dóibh féin é agus is cuí go dtabharfaí aghaidh air sin. Is í an cheist a thógann an cás ná ar chóir nó nár chóir go mbeadh an rialaitheoir sa chás seo in ann an cheist seo a réiteach gan go mbeadh gá ann acmhainní leitheadacha DPA a úsáid chun idirghabháil a dhéanamh maidir leis an toradh.

 

10)  Cás-Staidéar 10: Neamhfhreagra Airteagail 60 ar Iarratas Rochtana ag Ryanair

Sa chás seo, chuir an gearánach a ngearán faoi bhráid Oifig an Choimisinéara Fhaisnéise (ICO) sa RA i dtús báire, agus fuair an DPC an gearán ina dhiaidh sin, ar 2 Márta 2019. Bhain an gearán le teip a líomhnaítear go ndearna Ryanair DAC (Ryanair) maidir le hiarratas duine ar a shonraí a cuireadh faoina bhráid ag an ngearánach ar 26 Meán Fómhair 2018 de réir Airteagail 15 den GDPR. Sholáthair an ICO cóip den fhoirm ghearáin don DPC a cuireadh faoi bhráid an ICO ag an ngearánach, cóip den admháil, agus dáta 26 Meán Fómhair 2018 air, a fuair an gearánach ón rialaitheoir sonraí nuair a chuir sé an t-iarratas rochtana isteach, agus cóip den ríomhphost a chuir an gearánach don rialaitheoir sonraí ina dhiaidh sin ag iarraidh nuashonraithe maidir lena n-iarratas.

Agus é ag gníomhú ina cháilíocht mar an príomhúdarás maoirseachta, chuir an DPC tús le scrúdú ar an ngearán trí theagmháil a dhéanamh leis an rialaitheoir sonraí, ag tabhairt achoimre ar shonraí an ghearáin agus ag tabhairt treorach don rialaitheoir sonraí freagra iomlán a thabhairt ar an iarratas rochtana agus cóip den litir chlúdaigh a sholáthar don DPC a eisíodh don ghearánach. Sholáthair Ryanair rochtain ar chóipeanna dá gcuid sonraí pearsanta don ghearánach a bhain leis an uimhir thagartha shonrach chur in áirithe a raibh an gearánach tar éis í a chur ar fáil don ICO chomh maith le sonraí a bhain le gearán eile. Chuir Ryanair in iúl nach raibh sé in ann cóip den taifeadadh glao a chur ar fáil don ghearánach a bhí iarrtha acu mar, de bharr na moille ó thaobh Ryanair de maidir le próiseáil an iarratais, bhíothas tar éis an taifeadadh glao a scriosadh de réir pholasaí an chomhlachta agus ní raibh siad in ann é a fháil ar ais. Chuir Ryanair in iúl don DPC go raibh sin tugtha le fios don ghearánach acu trí mheán thairseach ar líne an chomhlachta. Dhearbhaigh Ryanair ag an am gur cuireadh an t-iarratas faoina mbráid, mar gheall ar mhéid na n-ábhar sonraí nár dheimhnigh a seoladh ríomhphoist, nár tugadh iarratais rochtana don rannóg ábhartha go dtí gur deimhníodh an r-phost fhreagair an gearánach an t-iarratas, ag deimhniú a seoladh r-phoist, ach go raibh an gníomhaire a bhí ag obair ar an iarratas tar éis éirí as bheith ag obair ar an tairseach ar líne agus nár tugadh an t-iarratas mar chúram don rannóg ábhartha, mar sin de. Dhearbhaigh Ryanair nach bhfuarthas amach faoin earráid seo go dtí tamall ina dhiaidh sin, nuair a tugadh an t-iarratas do Rannóg na Seirbhísí Custaiméara chun na sonraí riachtanacha a sholáthar, an taifeadadh glao san áireamh, agus faoin am sin bhí an taifead dlí tar éis a bheith scriosta de réir pholasaí coimeádta Ryanair. Sholáthair Ryanair cóip dá pholasaí coimeádta don DPC, mar a ndearbhaítear go gcoinnítear taifeadtaí glao ar feadh tréimhse 90 lá ó dháta an ghlao. Chuir Ryanair an méid seo in iúl: ós rud é go ndearnadh glao an ghearánaigh ar 5 Meán Fómhair 2018, go scriosfaí é go huathoibríoch ar 04 Nollaig 2018. Dhearbhaigh Ryanair freisin nach bhfuil an fheidhmiúlacht acu chun taifeadtaí glao a scriosadh a fháil ar ais.

De bhun Ailt 109(2) den Acht um Chosaint Sonraí 2018, rinne an DPC iarracht réiteach cairdiúil an ghearáin a éascú. Ní raibh an gearánach toilteanach, áfach, glacadh le moltaí Ryanair maidir leis an gceist seo. Dá réir sin, b´éigean cinneadh a dhéanamh faoin gceist trí chinneadh faoi Airteagal 60 den GDPR.

 

(i) Dréachtchinneadh Tosaigh

Ós rud é gur bhain an gearán le próiseáil trasteorann, b´éigean don DPC, de réir phróiseas Airteagail 60, dréachtchinneadh a dhéanamh maidir leis an ngearán. Ina leagan tosaigh den dréachtchinneadh, rinne an DPC an cinneadh gur sáraíodh Airteagal 15 den GDPR sa mhéid gur theip ar Ryanair cóip dá gcuid sonraí pearsanta a bhí á bpróiseáil ag am an iarratais a chur ar fáil don ghearánach. Fuair an DPC freisin gur sáraíodh Airteagal 12(3) den GDPR sa mhéid gur theip ar Ryanair eolas a chur ar fáil don ghearánach maidir le bearta a rinneadh ar iarratas uathu faoi Airteagal 15 laistigh den achar ama reachtúil de mhí amháin. Chuir an DPC an dréachtchinneadh ar fáil do Ryanair le cur ar a chumas aighneachtaí a dhéanamh. Ina dhiaidh sin sholáthair Ryanair roinnt aighneachtaí, a cuireadh san áireamh sa dréachtchinneadh (in éineacht le hanailís an DPC díobh).

 

(ii) Soláthar an Dréachtchinnidh do na hÚdaráis Mhaoirseachta Ábhartha

De réir phróiseas Airteagail 60, lean an DPC ar aghaidh gur chuir sé a dhréachtchinneadh faoi bhráid an IMI lena scaipeadh i measc na CSA, de bhun Airteagail 60(3) den GDPR. Rinneadh dréachtchinneadh an DPC a uaslódáil don IMI ar 25 Bealtaine 2020, agus de bhun Airteagail 60(4) den GDPR, bhí ceithre seachtaine ag na CSA ina dhiaidh sin chun aon agóidí ábhartha agus réasúnacha a chur isteach maidir leis an gcinneadh.

Ina dhiaidh sin fuair an DPC roinnt agóidí ábhartha agus réasúnacha agus roinnt tuairimí maidir lena dhréachtchinneadh ó na CSA. D´áitigh roinnt CSA, go háirithe, gur chóir sáruithe breise ar an GDPR a bheith aimsithe, agus ina theannta sin gur chóir iomardú a bheith curtha i gcrích.

 

(iii) Dréachtchinneadh Athbhreithnithe

De réir Airteagail 60(3) den GDPR, tá iachall ar an DPC tuairimí na CSA a chur san áireamh go cuí. Agus na hagóidí agus tuairimí a fuarthas ó na CSA san áireamh, rinne an DPC machnamh go cúramach faoi gach agóid ábhartha agus réasúnach chomh maith le gach tuairim a fuarthas maidir leis an dréachtchinneadh. Rinne an DPC athbhreithniú ar a dhréachtchinneadh chun achoimre agus anailís de na hagóidí agus na tuairimí a chuirtear in iúl ag na CSA a chur san áireamh. Agus é ag déanamh athbhreithnithe ar a dhréacht tosaigh, ghlac an DPC le cuid de na hagóidi ábhartha agus réasúnacha a fuarthas, ach níor ghlac sé le hagóidí ábhartha agus réasúnacha áirithe eile. Ina dhréachtchinneadh athbhreithnithe, mhol an DPC go ndéanfaí iomardú a eisiúint i leith Ryanair, de bhun Airteagail 58(2) (b) den GDPR. Sholáthair an DPC a dhréachchinneadh athbhreithnithe do Ryanair le cur ar a chumas aighneachtaí deiridh a dhéanamh. Thug Ryanair faoi deara go bhfuair an DPC amach go raibh an GDPR sáraithe aige, agus go raibh a chuid cumhachtaí curtha i bhfeidhm ag an DPC sa chás seo de réir Cuntais 129 agus de réir na riachtanas próise cuí in Airteagal 58 den GDPR. Chuir Ryanair in iúl don DPC gur ghlac sé leis an gcinneadh agus leis an iomardú a bhain leis agus nár mhian leis aon aighneachtaí breise a dhéanamh.

 

(iv) Soláthar Dréachtchinnidh Athbhreithnithechuig na hÚdaráis Mhaoirseachta Ábhartha

De réir Airteagail 60(5) den GDPR, nuair a chuir an DPC a dhréachtchinneadh athbhreithnithe faoi bhráid na CSA lena gcuid tuairimí a fháil, bhí coicís bhreise ag na CSA chun aon agóidí breise a chur isteach maidir leis an gcinneadh. De bhun Airteagail 60(5) den GDPR, chuir an DPC a dhréachtchinneadh athbhreithnithe faoi bhráid na CSA chun a dtuairim a fháil ar 20 Deireadh Fómhair 2020. Ós rud é nach bhfuair an DPC aon agóidí ná tuairimí breise maidir leis an dréachtchinneadh athbhreithnithe ó na CSA laistigh den tréimhse reachtúil, measadh gur aontaigh na CSA le dréachtchinneadh athbhreithnithe an DPC agus go raibh siad ag cloí leis de réir Airteagail 60(6) den GDPR.

 

(v) Glacadh leis an gCinneadh Deiridh

Tar éis don spriocdháta a bheith thart chun aon agóidí breise a fháil, lean an DPC ar aghaidh gur ghlac sé leis an gcinneadh deiridh, de réir Airteagail 60(7) den GDPR. Ansin rinne an DPC a chinneadh deiridh a uaslódáil don IMI agus chuir sé é in iúl do Ryanair. Rinneadh an cinneadh deiridh a uaslódail ar 11 Samhain 2020. De bhun Ailt 60(7), bhí an ICO, lenar taisceadh an gearán i dtús báire, freagrach as an gcinneadh a chur in iúl don ghearánach.

Mar achoimre, fuair an DPC sáruithe ar Airteagal 12(3) agus Airteagal 15 den GDPR maidir leis an ngearán seo.

Léiríonn an cás-staidéar seo, nuair nach féidir le gearán a bhaineann le próiseáil trasteorann sonraí pearsanta a réiteach go cairdiúil, go mbíonn nós imeachta Airteagail 60 a tharlaíonn dá bharr sin an-chasta, an-deacair agus an-fhadálach ar fad. Sa chás seo, rinneadh an dréacht tosaigh de chinneadh an DPC a uaslódáil don IMI ar 25 Bealtaine 2020, agus níor glacadh leis an gcinneadh deiridh go dtí 11 Samhain 2020, 6 mhí níos déanaí.

Léiríonn an cás-staidéar seo — arís eile — méid na n-acmhainní DPA a úsáidtear agus torthaí á seachadadh ar cheisteanna arbh fhéidir iad a réiteach ag an rialaitheoir gan dul i muinín an DPC, ag ardú arís ceist chur amú acmhainní DPA gan chúis, á n-atreorú ó réiteach cheisteanna córasacha níos leithne a bhainfeadh torthaí feabhsaithe amach don líon is mó daoine aonair.

 

11)  Cás-Staidéar 11: Teorannú Cuspóra —An Treoir maidir le Forfheidhmiú Dlí 

Scrúdaigh an DPC gearán mar ar mhaígh duine aonair go raibh sonraí a bailíodh i gcomhthéacs áirithe amháin forfheidhmithe dhlí á úsáid ag an rialaitheoir sonraí céanna do chuspóir eile forfheidhmithe dhlí. Bhain an gearán le hionchúiseamh duine aonair do chionta i réimse na leigheasanna eachaí agus ainmhithe ag an Roinn Talmhaíochta, Bia & Mara (RTBM) agus atreorú ar leith ag RTBM líomhaintí mí-iompair ghairmiúil do Chomhairle na dTréidlia (CT) maidir leis an duine céanna.

Tar éis don DPC na ceisteanna a tógadh a scrúdú, d´atreoraigh sé an gearánach d´Alt 71(5) den Acht um Chosaint Sonraí 2018:

Nuair a bhailíonn rialaitheoir sonraí pearsanta do chuspóir sonraithe in Alt 70(1)(a), is féidir leis an rialaitheoir nó rialaitheoir eile na sonraí a phróiseáil do chuspóir a sonraíodh seachas an cuspóir dár bailíodh na sonraí, sa mhéid go bhfuil—

(a) an rialaitheoir údaraithe chun a leithéid de shonraí pearsanta a phróiseáil le haghaidh a leithéid de chuspóir de réir dhlí an Aontais Eorpaigh nó dlí an Stáit, agus go bhfuil

(b) an phróiseáil riachtanach agus comhsheasmhach leis an gcuspóir dá bhfuil na sonraí á bpróiseáil.

Maidir le hAlt 70(1)(a) agus “dlí an Stáit”, thug an DPC faoi deara na forálacha a leagtar amach san Acht um Chleachtas Tréidliachta 2005 i dtaca le cur i gcrích fhiosrúchán ag an CT faoi líomhaintí mí-iompair ghairmiúil. Tugann Alt 76 den Acht um Chleachtas Tréidliachta 2005, go háirithe, achoimre gur féidir leis an CT nó aon duine iarratas a dhéanamh ar fhiosrúchán maidir le hoiriúnacht duine chláraithe chun tréidliacht a chleachtadh. Ar an mbonn seo ní dhearna an DPC machnamh faoi reachtaíocht chosanta sonraí chun atreorú ar leith RTBM a dhícheadú maidir le líomhaintí mí-iompair ghairmiúil don CT i dtaca le duine, i gcomhar le himeachtaí ionchúisimh ag RTBM in aghaidh an duine chéanna do chionta i réimse na leigheasanna eachaí agus ainmhithe

 

12)  Cás-Staidéar 12: Nochtadh líomhnaithe shonraí pearsanta an ghearánaigh ag údarás áitiúil (Gearán Sáraithe Shonraí)

Fuair an DPC gearán ó dhuine aonair maidir le nochtadh líomhnaithe shonraí pearsanta an ghearánaigh ag údarás áitiúil. Líomhnaigh an gearánach go raibh ainm an ghearánaigh, a sheoladh poist agus eolas a bhain le híocaíocht cúnaimh tithíochta go hearráideach chuig tríú páirtí nochtaithe ag an údarás áitiúil. Bhí an t-údarás áitiúil tar éis cur in iúl don duine aonair gur tharla an nochtadh seo. Bhí an duine aonair míshásta, áfach, leis na bearta a rinne an t-údarás áitiúil mar fhreagra ar an nochtadh agus níor mhian leis dul i dteagmháil tuilleadh leis an údarás áitiúil agus é i gceist réiteach cairdiúil an ghearáin a lorg.

Scrúdaigh an DPC an gearán agus rinne sé teagmháil leis an údarás áitiúil chun tuilleadh eolais a lorg maidir le líomhaintí an duine aonair. Dheimhnigh an t-údarás áitiúil don DPC go raibh sárú sonraí pearsanta tar éis tarlú nuair a cuireadh sonraí pearsanta an ghearánaigh san áireamh, go hearráideach, i bhfreagra ar iarratas Saorála Faisnéise chuig tríú páirtí.

Chomh maith leis an eolas a cuireadh ar fáil ag an údarás áitiúil don DPC i gcomhthéacs a scrúdaithe den ghearán, cuireadh an eachtra faoi thrácht in iúl don DPC ag an údarás áitiúil mar shárú sonraí pearsanta, faoi mar a éilítear ag Airteagal 33 den GDPR. Sa chomhthéacs sin, rinne an DPC teagmháil leitheadach leis an údarás áitiúil maidir le cúinsí an tsáraithe shonraí phearsanta, na bearta slándála sonraí a bhí i bhfeidhm ag an am gur tharla an sárú sonraí pearsanta agus na bearta maolaitheacha a rinne an t-údarás áitiúil, lena n-áirítear iarrachtaí leanúnacha an údaráis áitiúil chun na sonraí a fháil ar ais ón bhfaighteoir.

Bunaithe ar an eolas seo, thug an DPC chun críche a scrúdú den ghearán trí chur in iúl don duine aonair go raibh an DPC sásta nár próiseáladh sonraí pearsanta an ghearánaigh ag an údarás áitiúil ar bhealach a chinntigh slándáil chuí na sonraí pearsanta agus go raibh nochtadh neamhúdaraithe shonraí pearsanta an ghearánaigh tar éis tarlú, rud atá ina shárú sonraí pearsanta. Bunaithe ar na bearta a rinneadh ag an údarás áitiúil mar fhreagra ar an sárú sonraí pearsanta agus, go háirithe, gurbh amhlaidh nár thug faighteoir shonraí pearsanta an ghearánaigh na sonraí ar ais don údarás áitiúil, níor mheas an DPC go raibh gá le haon bheart breise in aghaidh an údaráis áitiúil maidir le hábhar an ghearáin.

 

13)  Cás-Staidéar 13: Fógra Sáraithe (Earnáil Dheonach) — Ionsaí Bogearraí Éirice

I Mí na Bealtaine 2020, fuair an DPC fógra sáraithe ó phróiseálaí sonraí Éireannach agus ina dhiaidh sin fuair sé fógra ó rialaitheoir sonraí Éireannach atá ag feidhmiú san earnáil dheonach a bhí tar éis an próiseálaí seo a fhostú chun óstáil suíomhanna gréasáin agus seirbhísí bainistithe shonraí a sholáthar.

Bhain an sárú le hionsaí bogearraí éirice a tharla san ionad sonraí a úsáideann an próiseálaí sonraí, agus a tharla de thoradh ar bhogearraí mailíseacha a bhain rochtain amach trí phort 1 RDP* don fhriothálaí.

Chuaigh an DPC i dteagmháil leis an rialaitheoir agus leis an bpróiseálaí agus trí mheán roinnt cumarsáidí — lena n-áirítear eisiúint cheistneoirí teicniúla agus eagraíochtúla a dhíríonn ar réimsí ina bhféadfaí neamhchomhlíonadh na rialachán cosanta sonraí a bheith i gceist. Áiríodh ar na réimsí seo úsáid an phróiseálaí ionaid sonraí laistigh de na Stáit Aontaithe chun sonraí cúltaca a stóráil gan chomhaontuithe dóthanacha — ná maoirseacht dhóthanach ag an rialaitheoir ar a phróiseálaí — faoi mar a éilítear faoi Airteagal 28 den GDPR.

Chuaigh an DPC i dteagmháil go mion minic leis an dá pháirtí agus thug an DPC an cás seo chun críche trí mholtaí a eisiúint don rialaitheoir agus don phróiseálaí araon. Ina dhiaidh sin lean an DPC air de bheith ag dul i dteagmháil leis an dá pháirtí chun cinntiú go raibh cur i bhfeidhm mholtaí an DPC tar éis tarlú.

*RDP — Prótacal Ciandeisce

 

14)  Cás-Staidéar 14: Fógra Sáraithe (Earnáil Phoiblí) Foilsiú Mícheart ar Twitter

Chuir eagraíocht earnála poiblí in iúl don DPC go raibh sonraí pearsanta foilsithe acu trí thimpiste trí mheán a n-ardáin mheáin shóisialta (Twitter).

Rinneadh na sonraí pearsanta a phostáil, rud a sháraigh a pholasaí a chuid ábhair go léir a anaithnidiú, rud a d´fhéadfadh duine aonair ar ábhar sonraí iad a aithint. Chuir an eagraíocht faoi thrácht in iúl don DPC gurbh earráid dhaonna ba bhunchúis leis an eachtra seo, agus gur baineadh an tvuít sháraithe gan mhoill mhíchuí.

Bunaithe ar an mbeart a bhí déanta ag an rialaitheoir sonraí chun an riosca a mhaolú go dtarlódh an cineál seo eachtra arís thug an DPC a scrúdú chun críche ar an gceist seo agus d´eisigh sé roinnt moltaí breise don eagraíocht, ag díriú ar úsáid chuí a chuid ardán meáin shóisialta agus conas ba chóir a chuid cuntas meáin shóisialta a chosaint agus a shrianú do líon sonraithe pearsanra údaraithe.

 

15)  Cás-Staidéar 15: Fógra Sáraithe (Earnáil Airgeadais) Sonraí Bainc curtha trí WhatsApp

Chuir eagraíocht earnála airgeadais príobháidí in iúl don DPC go raibh iarratas déanta ag custaiméir chun a n-uimhreacha IBAN agus BIC a fháil, uimhreacha a bhí á gcoimeád ar comhad. Bhí aithne phearsanta ag an gcustaiméir a bhí ag déanamh an iarratais ar an mball foirne a bhí ag plé leis an iarratas. Ag imeacht ó chleachtais fhaofa, bhain an ball foirne úsáid as a bhfón póca pearsanta chun pictiúr a chur den eolas a bhí á lorg, dar leo, thar ardán curtha teachtaireachtaí (WhatsApp). Go hearráideach, áfach, chuir an ball foirne sonraí a bhain le custaiméir eile chuig an gcustaiméir a rinne an t-iarratas.

Rinne an custaiméir a fuair an t-eolas seo teagmháil leis an eagraíocht chun cur in iúl dóibh nár bhain an t-eolas a fuarthas lena gcuntas siúd agus go raibh siad tar éis glacadh orthu féin an t-ábhar sáraithe ar fad a bhaint dá ngléas. Chuaigh an eagraíocht i dteagmháil le baill fhoirne le cur i gcuimhne dóibh nár chóir ach modhanna údaraithe cumarsáide a úsáid agus iarratais den chineál seo á láimhseáil sa todhchaí. Ghabh an eagraíocht a leithscéal leis na hábhair shonraí go léir a bhí buailte freisin.

D´eisigh an DPC roinnt moltaí a chuimsíonn úsáid uirlisí faofa cumarsáide eagraíochtúla amháin, ag fágáil go bhfuil an fhoireann go hiomlán ar an eolas faoi iompar inghlactha agus do-ghlactha agus uirlisí cumarsáide eagraíochtúla á n-úsáid acu, agus le cinntiú gur cuireadh oiliúint chuí ar an bhfoireann i dtéarmaí a gcuid dualgas/freagrachtaí faoi fhorálacha an GDPR agus an Achta um Chosaint Sonraí 2018.

 

16)  Cás-Staidéar 16: Fógra Sáraithe (12 Chomhar Creidmheasa) Earráid Chódúcháin an Phróiseálaí

Fuair an DPC tuairiscí sáraithe ar leith ó 12 chomhar creidmheasa a d´fhostaigh seirbhísí an phróiseálaí chéanna, a bhí lonnaithe sa RA. D´eascair an sárú ag an bpróiseálaí as earráid chódúcháin a rinneadh ag an bpróiseálaí agus bearta á gcur i bhfeidhm a tugadh isteach mar fhreagra ar phaindéim Covid-19.

Tá iachall ar chomhair chreidmheasa eolas a thuairisciú do Bhanc Ceannais na hÉireann a bhaineann lena gcuid iasachtaithe agus le feidhmíocht a gcuid iasachtaí. Baineann an Banc Ceannais úsáid as an eolas seo chun an Clár Creidmheasa Lárnach (nó CCR) a chothabháil. Lena seal baineann iasachtóirí agus gníomhaireachaí rátála creidmheasa úsáid as an eolas seo chun fiacha agus stair chreidmheasa iasachtaithe a dheimhniú. Baineann líon mór iasachtóirí, go háirithe comhair chreidmheasa, úsáid as comhlachtaí próiseála sonraí chun a leithéid d´fhillteáin CCR a ullmhú agus chun iad a chur ar aghaidh chuig an mBanc Ceannais.

Le linn 2020, thug Rialtas na hÉireann sraith bheart isteach chun anás airgeadais a mhaolú a bhfuil mar chúis aige an phaindéim agus na dianghlasálacha a d´eascair aisti sin. Áiríodh i measc na mbeart seo cur ar chumas institiúidí airgeadais aisíocaíochtaí iasachta a stopadh gan cur isteach ar bhealach dochrach ar rátáil chreidmheasa na n-iasachtaithe. Tugadh treoir do na hiasachtóirí cóid ar leith a úsáid sna fillteáin CCR chun bratach a chur le hiasachtaí a stopadh go sealadach. Ba é a bhí i gceist leis sin ná cosc a chur ar léirmhíniú na n-iasachtaí sin mar iasachtaí faillitheora nó a bheith ag cur in iúl ar bhealach eile go raibh acmhainneacht creidmheasa na n-iasachtaithe ábhartha tar éis dul in olcas.

San eachtra seo bhain an próiseálaí a fostaíodh ag na 12 chomhar creidmheasa úsáid as cóid mhíchearta ar fhillteáin CCR a bhí ag plé le hiasachtaí a stopadh go sealadach. Thug na cóid mhíchearta le fios go raibh na hiasachtaithe a bhí buailte tar éis tabhairt faoi ´imeacht athstruchtúraithe´ — is minic a tharlaíonn imeacht athstruchtúraithe nuair nach mbíonn iasachtaí in ann iasacht a aisíoc thar an tréimhse chomhaontaithe, agus aontaíonn an t-iasachtóir téarmaí na hiasachta a athrú chun feabhas a chur ar chumas an iasachtaí an iasacht a aisíoc. Is féidir leis sin rátáil chreidmheasa iasachtaí a laghdú go mór, agus mar sin de d´fhéadfadh iarmhairtí tromchúiseacha a bheith ag baint le taifead míchruinn CCR imeachta athstruchtúraithe do na daoine atá buailte.

Cuireadh na comhair chreidmheasa faoi thrácht ar an eolas faoi earráid chódúcháin an phróiseálaí maidir lena gcuid fillteán CCR roinnt seachtainí tar éis don phróiseálaí fillteáin CCR a chur chucu den chéaduair agus iad ag úsáid na gcód mícheart don Bhanc Ceannais. Tuairiscíodh an cheist don DPC mar shárú agus thóg na comhair chreidmheasa an cheist leis an bpróiseálaí go díreach agus trí mheán grúpa úsaideoirí. Cheadaigh sin gurbh fhéidir na taifid a bhí buailte a aithint, gurbh fhéidir na nósanna imeachta cuí códúcháin a oibriú amach, agus fillteáin cheartaithe CCR a chur chuig an mBanc Ceannais.

Léiríonn na cásanna seo an tábhacht a bhaineann le conarthaí próiseála a chuireann i bhfeidhm i gceart riachtanais Airteagail 28 den GDPR. Is é an rud is mó a bhaineann le hábhar sna cásanna seo ná nach mór do na conarthaí próiseála soláthar a dhéanamh dó go mbeidh an próiseálaí ag cabhrú leis an rialaitheoir chun a chuid dualgas a chomhlíonadh i dtaca le slándáil phróiseála, agus i dtaca le tuairisciú agus bheith ag tabhairt freagra ar sháruithe.

 

17)  Cás-Staidéar 17: Lorgaíonn Vodafone sonraí fostaíochta ó chustaiméirí

Fuair an Coimisiún Cosanta Sonraí roinnt fiosruithe faoi gur iarr Vodafone ar chustaiméirí úra nó ar chustaiméirí reatha a sonraí fostaíochta agus a n-uimhir fóin oibre a chur ar fáil mar cheanglas maidir le soláthar na seirbhíse ón gcuideachta sin.

Ba iad na buarthaí a tháinig chun cinn go raibh na hiarratais iomarcach agus ag teacht salach ar phrionsabal Airteagal 5 de bhailiú dleathach, cóir agus trédhearcach toisc nár bhain próiseáil na sonraí i ndáil lena stádas fostaíochta ar chor ar bith leis an táirge nó an tseirbhís a bhí siad ag fáil ón gcuideachta teileachumarsáide, a bhí faoi choinne a n-úsáid phearsanta nó bhaile amháin.

Sa dara háit, bhí buarthaí ann nach raibh an t-iarratas éigeantach le haghaidh ceird/áit oibre/ uimhir fóin oibre custaiméara dóthanach, ábhartha nó riachtanach faoin gceanglas “íoslaghdú sonraí” agus nár chomhlíonadh sé prionsabal an teorannaithe de réir cuspóra arna leagan amach in Airteagal 5 den RGCS.

Sa tríú háit, bhí buarthaí ann chomh maith i measc custaiméirí nár chomhlíon cosaint sonraí/fógra príobháideachta na cuideachta ceanglas trédhearcachta Airteagal 13(1) den RGCS.

I ndiaidh teagmhála leis an gCoimisiún Cosanta Sonraí, d’admhaigh Vodafone go ndearna sé earráid i mbailiú na faisnéise sin. Shonraigh an chuideachta gur tharla na fadhbanna mar gheall ar chóras oidhreachta TF nár nuashonraíodh chun an ceanglas sin a bhaint agus go raibh rochtain ar bith ar na sonraí sin thar a bheith teoranta agus nár bhain siadsan úsáid astu le haghaidh cuspóirí breise próiseála. Chuir Vodafone tús le plean láithreach chun na fadhbanna a tharla a leigheas agus, ar áitiú an Choimisiúin Cosanta Sonraí, d’fhoilsigh sé sonraí ar a shuíomh gréasáin faoi cad a tharla, ionas go mbeadh custaiméirí ar an eolas faoin bhfadhb.

 

18)  Cás-Staidéar 18: Geandáil ar Facebook

I mí Facebook 2020, cuireadh an Coimisiún Cosanta Sonraí ar an eolas faoi sheoladh a bhí le teacht, ‘Facebook Dating’ san Aontas Eorpach. Ba é an t-ábhar imní an gearrfhógra a tugadh faoina sheoladh, mar aon le faisnéis an-teoranta faoi conas a chinntigh Facebook go gcloífeadh an gné Gheandála le ceanglais um chosaint sonraí. Mar thoradh air sin, rinne an Coimisiún Cosanta Sonraí cigireacht ar an láithreán ar oifigí Facebook i mBaile Átha Cliath chun doiciméid agus faisnéis níos fairsinge a fháil. Cuireadh roinnt fiosruithe agus ábhair imní arna sainaithint ag an gCoimisiún Cosanta Sonraí os comhair Facebook maidir leis an táirge úr agus a ghnéithe. Mar thoradh air sin sholáthair Facebook soiléiriú mionsonraithe maidir le próiseáil sonraí pearsanta agus rinne sé roinnt athruithe ar an táirge sular seoladh é in AE i mí Dheireadh Fómhair 2020.

Áirítear iad seo a leanas ar na hathruithe sin:

  • soiléiriú ar úsáid sonraí catagóire speisialta a bhí an-doiléir sa chéad togra. D’aontaigh Facebook nach mbeadh fógraíocht ar bith ann ag baint úsáid as sonraí catagóire speisialta agus nach mbainfidh príomhsheirbhís Facebook úsáid as sonraí catagóire speisialta;
  • athruithe ar an gcomhéadan úsáideoirí thart ar rogha creidimh reiligiúnaigh úsáideora ionas go gcuirfí an rogha “b’fhearr liom gan é a lua” chuig barr liosta na roghanna;
  • níos mó trédhearcachta d’úsáideoirí trína dhéanamh soiléir sa sreabhadh cláraithe gur táirge Facebook é Geandáil agus go bhfuil sé clúdaithe i dtéarmaí seirbhíse agus beartas sonraí Facebook agus Téarmaí Forlíontacha Geandála Facebook; agus
  • athbhreithnithe ar an gceannteideal ar thoiliú le próiseáil na sonraí catagóire speisialta le bratach a chur go sonrach nach ndéanfar sonraí catagóire speisialta (sa chás seo rogha inscne agus creideamh reiligiúnach) chun críocha fógraíochta (spriocdhírithe nó eile).

 

19)  Cás-Staidéar 19: Gné Féinmharaithe agus Féinghortaithe Facebook 

I dtús 2019, labhair Facebook ar dtús leis an gCoimisiún Cosanta Sonraí agus chuir siad a bpleananna in iúl dó maidir lena nUirlis chun Féinmharú agus Féinghortú a Chosc (SSI) a leathnú, rud a bhain le hard-algartaim a úsáid chun monatóireacht a dhéanamh ar idirghníomhaíocht agus ar phostálacha ar líne úsáideoirí Facebook agus Instagram. Bhí sé beartaithe ag Facebook go gcuideoidh an uirlis le húsáideoirí a bhí i mbaol féinmharaithe nó féinghortaithe a shainaithint. Chuirfí sonraí faoi na húsáideoirí in iúl ansin do pháirtithe seachtracha (na gardaí agus eagraíochtaí deonacha) chun idirghabháil a dhéanamh leis na húsáideoirí sin. D’ardaigh an Coimisiún Cosanta Sonraí líon buarthaí le linn na rannpháirtíochta (2019 — 2020) lena n-áirítear bonn dleathach agus cosaintí dóthanacha i ndáil le próiseáil sonraí catagóire speisialta. Ghlac Facebook an seasamh go mbraithfeadh próiseáil sin na sonraí ar dhíolúine leasa phoiblí faoi Airteagal 9 den RGCS.

Mar chuid de mheasúnú an Choimisiúin Cosanta Sonraí moladh gur cheart do Facebook dul i gcomhairle leis na húdaráis sláinte poiblí san Eoraip sula rachadh siad ar aghaidh. D’admhaigh Facebook go raibh tuilleadh oibre le déanamh acu agus go dtabharfadh siad faoi chomhairliúchán agus tuilleadh taighde leis na húdaráis sláinte poiblí ar fud na hEorpa maidir leis an uirlis SSI. Chuir Facebook in iúl go leanfar leis an rannpháirtíocht sin mar thionscnamh fadtéarmach i bhfianaise na ndúshlán atá ag Rialtais na mBallstát agus na húdaráis náisiúnta sláinte poiblí mar gheall ar phaindéim Covid-19. Tuigeann an Coimisiún Cosanta Sonraí go bhfuil an rannpháirtíocht sin fós ar siúl.

Ag deireadh 2020, labhair Facebook leis an gCoimisiún Cosanta Sonraí agus mhol siad úsáid níos teoranta den uirlis seo chun ábhar a thagann salach ar Chaighdeáin Phobail Facebook agus ar Threoirlínte Pobail Instagram a bhaint amháin, ag feitheamh le réiteach ábhar imní a d’ardaigh an Coimisiún Cosanta Sonraí. Níor shainaithin an Coimisiún Cosanta Sonraí ábhair imní mhóra ar bith fad is gur bhain an phróiseáil le mionathrú ábhair amháin.

 

20)  Cás-Staidéar 20: Meabhrúchán Facebook do Lá an Toghcháin 

Roimh Olltoghchán na hÉireann i mír Feabhra 2020 chuir an Coimisiún Cosanta Sonraí in iúl do Facebook gur ardaigh Meabhrúchán Facebook do Lá an Toghcháin (EDR) buarthaí faoi chosaint sonraí pearsanta go háirithe maidir le trédhearcacht d’úsáideoirí faoin dóigh a mbailítear sonraí pearsanta agus idirghníomhaíocht á déanamh leis an ngné agus an dóigh a n-úsáideann Facebook ina dhiaidh sin iad.

D’iarr an Coimisiún Cosanta Sonraí go gcuirfeadh Facebook sásra chun feidhme ag an bpointe a n-úsáideann (nó a n-úsáidfidh) úsáideoirí an fheidhm EDR lena chinntiú go gcuirfí an fhaisnéis dá dtagraítear in Airteagal 13 den RGCS, lena n-áirítear faisnéis lena dtugtar aghaidh ar na cúinsí sonracha agus an comhthéacs ina ndéantar na hoibríochtaí próiseála, ar fáil d’úsáideoirí ar bhealach ar féidir teacht uirthi go héasca, sula gcinnfidh úsáideoir an fheidhm EDR a úsáid/idirghníomhú léi. Ábhar imní faoi leith a bhí ag an gCoimisiún Cosanta Sonraí ná an easpa soiléireachta ó Facebook ar cé acu an ndéanfaí sonraí ar bith a ghinfeadh úsáideoir agus é nó í ag idirghníomhú leis an ngné a úsáid le haghaidh fógraíocht spriocdhírithe agus pearsantú fotha nuachta nó nach ndéanfaí.

Toisc nárbh fhéidir athruithe a dhéanamh roimh thoghchán na hÉireann, d’fhreagair Facebook ar an gCoimisiún Cosanta Sonraí ag cur in iúl dó go raibh sé beartaithe aige cur i bhfeidhm na gné EDR a aistarraingt agus nach ndéanfaí an ghné a ghníomhachtú le linn aon toghcháin AE ag feitheamh le freagairt ón gCoimisiún Cosanta Sonraí lenar tugadh aghaidh ar na hábhair imní a ardaíodh.

 

21)  Cás-Staidéar 21: Teicneolaíocht Chúntóir Gutha Google 

Leanadh le rannpháirtíocht an Choimisiúin Cosanta Sonraí le Google ar tháirge cúntóra gutha na cuideachta in 2020. Thosaigh an rannpháirtíocht sin i ndiaidh chlúdach na meán i samhradh 2019. D’iarr an Coimisiún Cosanta Sonraí freagairt ar Google ar na bearta breise a d’fhéadfadh Google a dhéanamh chun maolú a dhéanamh i gcoinne na rioscaí do shonraí pearsanta úsáideoirí, go háirithe na cinn a thagann as míghníomhachtú chúntóir Google. Rinne Google roinnt athruithe chun dul i ngleic leis na hábhair imní a ardaíodh.

Áirítear orthu sin:

  • Sreabhadh úr trédhearcach rannpháirtíochta agus toilithe chun faisnéis a chur san áireamh faoin tsraith cosaintí atá i bhfeidhm chun na rioscaí do na hábhair shonraí a laghdú agus rialuithe úsáideoirí a dhéanamh níos inrochtana;
  • Bearta chun míghníomhachtú a laghdú. Is féidir le húsáideoirí cé chomh íogair is atá gléasanna Chúntóir Google i leith nód amhail “Hé Google” a chur in oiriúint anois, rud a thugann níos mó smachta d’úsáideoirí míghníomhachtú neamhbheartaithe a laghdú, nó é a dhéanamh níos éasca d’úsáideoirí cúnamh a fháil i dtimpeallachtaí torannacha. Tá Google ag leanúint chomh maith le feabhas a chur ar bhearta gléasanna agus freastalaí chun gníomhachtú bréagach chúntóir Google a bhrath;
  • Scriosadh trí ordú gutha ar Chúntóir. Tá úsáideoirí ábalta a n-idirghíomhaíocht le Cúntóir a scriosadh óna gcuntas anois trí rudaí a rá amhail “Hé Google, scrios an rud deireanach a dúirt mé” nó “Hé Google, scrios gach rud a dúirt mé leat an tseachtain is a chuaigh thart.” Má iarrann úsáideoirí níos mó ná idirghníomhaíocht ar feadh seachtaine a scriosadh óna gcuntas, treoróidh an Cúntóir iad chuig an leathanach ina socruithe cuntais chun an scriosadh a chríochnú.

 

  1. Iarraidh maidir leis an gceart go ndéanfaí ceartúcháin chuig Cúram Sláinte
  2. Nochtadh neamhúdaraithe taifead ríomhshonrasctha fóin póca, ina raibh sonraí pearsanta, ag cuideachta teileachumarsáide, d’iarfhostóir an ábhair sonraí
  3. Bheith ag brath ar thoiliú maidir le grianghraf linbh a úsáid i bhfoirm ábhair bolscaireachta
  4. Glacadóirí agus próiseáil chothrom
  5. Ionchúiseamh Vodafone Ireland Limited
  6. Ionchúiseamh Cari’s Closet Limited
  7. Ionchúiseamh Just-Eat Ireland Limited
  8. Ionchúiseamh Shop Direct Ireland Limited t/a Littlewoods Ireland/a>
  9. FSS/ Ghníomhaireacht um Chúram Sláinte
  10. Rialú ar chomhaid pháipéir a chailleadh
  11. Ionsaí Ransomware
  12. Píosaí scannáin CCTV a nochtadh trí na meáin shóisialta
  13. Moltaí le haghaidh Bunachair Roinnt Calaoise

1)  Cás-Staidéar 1: Iarraidh maidir leis an gceart go ndéanfaí ceartúcháin chuig Cúram Sláinte (An Dlí is Infheidhme — GDPR & An tAcht um Chosaint Sonraí 2018)

Fuaireamar gearán i gcoinne An Cúram Sláinte, mar gheall gur dhiúltaigh sé iarraidh maidir leis an gceart go ndéanfaí ceartúcháin faoi Airteagal 16 den Rialachán Ginearálta maidir le Cosaint Sonraí. Líomhain an gearánach go raibh a ainm á litriú go mícheart ar a ríomhchóras trí bhíthin an síneadh fada, aiceann atá mar chuid de theanga scríofa na Gaeilge, a fhágáil ar lár.

Baineann ospidéil Saolta úsáid as grúpa riaracháin othar chun sonraí othar a thaifeadadh den chéad uair, sonraí a roinntear le córais eile níos faide amach i gcúram na hothar, i.e. Saotharlann, Raideolaíocht agus Cairdeolaíocht. Chuir Saolta in iúl don ghearánach nach féidir an síneadh fada a thaifeadadh mar gheall go ndéantar carachtair chomhréire a thaifeadadh mar orduithe ar an grúpa riaracháin othar, rud a imríonn tionchar ar an tslí a ndéantar sonraí a stóráil agus a phróiseáil.

Mar chuid dá scrúdú, chuaigh an DPC i mbun caidrimh le Saolta. Chuir Saolta in iúl don DPC go bhfuil an grúpa riaracháin othar le hathsholáthar in 2019/2020. Ní cheadóidh córas nua Saolta don síneadh fada a úsáid, áfach. Chuir Saolta in iúl don DPC gurbh amhlaidh sin chun críocha aon phointe teagmhála sruthlínithe amháin le haghaidh faisnéis faoi othair a chur ar bun ar feadh chórais éagsúla. Chuirfeadh sin ar chumas gairmithe rochtain a dhéanamh ar an bhfaisnéis sin laistigh d’ospidéal nó de ghrúpa ospidéal gan na sonraí a ath-iontráil tráth níos déanaí, lena seachnófaí an seans go ndéanfaí earráidí níos déanaí. Ní thacaíonn na córais eile ar feadh líonra reatha Saolta agus/nó an líonra ospidéal níos leithne le húsáid an tsínte fhada. Chuir Saolta in iúl don DPC freisin go ndéanann siad othair a shainaithint le hUimhreacha Aitheantais Othar seachas le hainmneacha ar leithligh.

Rinneadh an tAonad Ceannaireachta Teicneolaíochta (“TLU”) sa DPC scrúdú ar an aighneacht sin ó Shaolta. Mheas TLU go mbeadh costais shuntasacha agus go leor ama i gceist le nuashonrú ar bith a dhéanamh ar an ríomhchóras, chomh maith le hearráidí ó thaobh stórála agus meaitseála taifead de. Chuaigh an DPC i dteagmháil leis an gCoimisinéir Teanga freisin maidir leis an gcomhairle a thugann sé d’eagraíochtaí san earnáil phoiblí i ndáil le ríomhchórais a bheith ag tacú leis an síneadh fada. Thug An Coimisinéir Teanga le fios nach n-eascraíonn ceanglas den sórt sin as Acht na dTeangacha Oifigiúla 2003, ach go bhféadfaidh ceanglas den sórt sin eascairt as scéim teanga — comhaontú a dhéantar idir comhlacht poiblí agus an tAire Cultúir, Oidhreachta agus Gaeltachta.

D’fhiafraigh an DPC de Shaolta an raibh scéim teanga acu agus tugadh cóip de Scéim Teanga HSE do Limistéar an Iarthair 2003-2007 (“scéim teanga HSE”). Leagtar amach sa scéim sin meas ar roghanna na n-othar maidir le hainmneacha, seoltaí agus a rogha teanga. Tugtar gealltanas sa scéim freisin na ríomhchórais a nuashonrú go mbeidh siad “in oiriúint d’fhorálacha Acht na dTeangacha Oifigiúla”. Ní thugtar creat ama i scéim teanga HSE chun an gealltanas sin a chomhlíonadh.

Chuir Saolta in iúl don DPC go bhfuil siad tiomanta do shábháilteacht othar mar ábhar imní príomha agus lárnach. Ar an gcúis sin, chuir Saolta na deacrachtaí a bhainfeadh le faisnéis a stóráil agus a roinnt le córais eile dá ndéanfadh siad nuashonrú ar a gcóras chun úsáid an tsínte fhada a cheadú in iúl don DPC. Chuir Saolta in iúl go ndéanfaidh siad tástáil ar an bhféidearthacht maidir leis an síneadh fada a úsáid i nuashonrú ar bith a dhéanfar ar a ríomhchóras.

Rinne an DPC tagairt d’Airteagal 16 agus d’Airteagal 5(1) (d) den GDPR agus scrúdú á dhéanamh ar an ngearán seo. Sa dá airteagal sin, leagtar amach cearta ábhair sonraí maidir le “cuspóirí na próiseála”. Ní ceart glan é an ceart go ndéanfaí ceartúcháin faoi Airteagal 16 den GDPR. Tá ceanglas ar rialaitheoirí sonraí céimeanna réasúnta a ghlacadh sna himthosca. Rinne an DPC tagairt do chásdlí ón gCúirt Eorpach um Chearta an Duine maidir le cearta teanga agus/nó ainmniúchán. Léirítear sa chásdlí sin go dtagann litriú ainmneacha faoi choimirce Airteagal 8 den Choinbhinsiún Eorpach um Chearta an Duine, ach go mbíonn cur chuige sriantach ag an gCúirt maidir leis sin. Mar sin, luaigh an DPC arís gurbh é cuspóir na próiseála in imthosca an ghearáin, cúram sláinte a thabhairt don ghearánach agus go raibh Uimhreacha Aitheantais Othar i gceist. Níorbh ionann ainm an ghearánaigh agus an t-aon bhealach chun é a shainaithint agus dá bharr sin, go raibh cuspóir na próiseála á baint amach gach marcanna idirdhealaitheacha a úsáid.

Chuir an DPC aon bhaol don ghearánach san áireamh agus iad ag diúltú don iarraidh faoi Airteagal 16 freisin. Thug an DPC ar aird go méadófaí an baol don ghearánach mar gheall ar na deacrachtaí a bhain le láimhseáil an tsínte fhada thar chórais éagsúla. Thug siad aird freisin ar an tionchar a bheadh aige sin ar aon chinnteoireacht ó thaobh cúraim sláinte don ábhar sonraí. Sna himthosca sin, ní chuirfí isteach ar chearta bunúsacha an ábhair sonraí mar thoradh ar gan an síneadh fada a úsáid. Faoi alt 109(5) (f) den Acht um Chosaint Sonraí 2018 (“an tAcht”), d’iarr an DPC ar Shaolta a ghníomhartha a chur in iúl don ghearánach maidir le cur i bhfeidhm ríomhchóras a raibh in ann an síneadh fada a léiriú. Chomh maith leis sin, d’iarr an DPC ar Shaolta aguisín a chur le comhad an ábhair sonraí lena taispeáint go bhfuil an síneadh fada mar chuid d’ainm an ábhair sonraí.

Chuir an DPC, faoi alt 109(5)(c) den Acht, in iúl don ghearánach go bhféadfaidh sé teagmháil a dhéanamh leis an gCoimisinéir Teanga faoin scéim teanga agus faoi shárú ar bith ina leith.

 

2)  Cás-Staidéar 2: Nochtadh neamhúdaraithe taifead ríomhshonrasctha fóin póca, ina raibh sonraí pearsanta, ag cuideachta teileachumarsáide, d’iarfhostóir an ábhair sonraí (An dlí is infheidhme: Na hAchtanna um Chosaint Sonraí 1988 agus 2003 (“na hAchtanna”))

Cúlra

D’iarr an gearánach, i rith tréimhse fostaíochta san am atá caite, ar an cuideachta teileachumarsáide (“An cuideachta teileachumarsáide”) a huimhir fóin póca phearsanta a nascadh le cuntas an fhostóra a bhí aici ag an am. Chuir sin ar chumas an ghearánaigh leas a bhaint as lascaine a bhain le cód grúpa An cuideachta teileachumarsáide an fhostóra sin. Cé gur athraíodh an t-ainm ar chuntas an ghearánaigh go dtí ainm an iar-fhostóra, bhain seoladh baile an ghearánaigh leis an gcuntas i gcónaí agus ba é an gearánach a bhí freagrach i gcónaí as aon bhillí a íoc.

Nuair a tháinig deireadh leis an gcaidreamh fostaíochta sin, rinne an gearánach teagmháil le An cuideachta teileachumarsáide agus d’iarr (i) go gcuirfí srian ar an rochtain a bhí ag a hiar-fhostóir ar a cuntais fóin póca; agus (ii) an cuntas a dheighilt ó chuntas a hiar-fhostóra. De bhun an iarrata sin, ghlac bainisteoir cuntais de chuid An cuideachta teileachumarsáide roinnt céimeanna ag ceapadh (go mícheart) go ndéanfaí cuntas an ghearánaigh a dheighilt ó chuntas a iar-fhostóra. Tháinig an gearánach chun fios a bheith aici, áfach, gur lean a hiar-fhostóir ar aghaidh ag déanamh rochtana ar a taifid chuntais i ndiaidh di an iarraidh sin a dhéanamh. De bhun fiosrúchán breise ón ngearánach, tháinig An cuideachta teileachumarsáide ar a earráid agus rinne cuntas an ghearánaigh a dheighilt ó chuntas a hiar-fhostóra ar deireadh.

Rinne an gearánach gearán le An cuideachta teileachumarsáide ina dhiaidh sin. I ndiaidh do An cuideachta teileachumarsáide an gearán a fhiosrú, chuir siad in iúl don ghearánach nach raibh taifead acu ar an iarraidh bhunaidh maidir le srian a chur ar rochtain ar an gcuntas. Sna himthosca sin, chuir an gearánach gearán ar aghaidh chuig an oifig seo.

Imscrúdú

Le linn ár n-imscrúdaithe, d’admhaigh An cuideachta teileachumarsáide nárbh leor an chéad ghníomh a rinne a bhainisteoir cuntais mar nár dheighil sé cuntas an ghearánaigh ó chuntas a hiar-fhostóra agus nár chuir sé cosc ar a hiar-fhostóir rochtain a fháil ar a taifid ríomhshonrasctha. D’admhaigh An cuideachta teileachumarsáide freisin nach raibh taifid iomlána aige nuair a d’imscrúdaigh sé gearán an ghearánaigh. Dhearbhaigh sé, maidir leis sin, go raibh iarraidh bhunaidh an ghearánaigh, maidir le srianadh/deighilt, aimsithe aige.

Dá bharr sin, ba iad na saincheisteanna a bhí le cinneadh, cibé an ndearna An cuideachta teileachumarsáide, mar Rialaitheoir Sonraí, na nithe seo a leanas:

  1. Bearta slándála cuí a chur i bhfeidhm, ag féachaint d’Ailt 2(1)(d) agus 2C(1) de na hachtanna d’fhonn sonraí pearsanta an ghearánaigh a chosaint in aghaidh rochtana neamhúdaraithe, agus in aghaidh nochtadh le tríú páirtí (i.e. iar-fhostóir an ghearánaigh); agus
  2. sonraí an ghearánaigh a choinneáil beacht, iomlán agus cothrom le dáta, mar a éilítear faoi Alt 2(1)(b) de na hAchtanna.

Bearta Slándála Cuí

Fuair an oifig seo nár chuir An cuideachta teileachumarsáide bearta slándála cuí i bhfeidhm chun sonraí pearsanta an ghearánaigh a chosaint in aghaidh rochtana neamhúdaraithe ag a iar-fhostóir ná in aghaidh nochta leis. Ba léir sin mar gheall gur lean iar-fhostóir an ghearánaigh ar aghaidh ag déanamh rochtana ar a taifid ríomhshonrasctha d’ainneoin na ngníomhartha thosaigh a rinne An cuideachta teileachumarsáide.

Thug an oifig seo ar aird freisin an oibleagáid, arna leagan amach in Alt 2C(2) de na hAchtanna, go bhfuil ar Rialaitheoir Sonraí maidir le gach céim réasúnach a ghlacadh lena chinntiú — (a) go mbeidh na daoine atá fostaithe aige nó aici … ar an eolas faoi na bearta slándála cuí réamhluaite agus go gcloífidh siad leo. Fuair an oifig seo nár chomhlíon An cuideachta teileachumarsáide a chuid oibleagáidí maidir leis sin. Arís, ba léir é sin mar gheall gur cheap an bainisteoir cuntais a chuaigh i mbun gnímh i ndáil le hiarraidh an ghearánaigh ar an gcéad dul síos, go mícheart, gur leor iad na gníomhartha a rinneadh chun cuntas an ghearánaigh a dheighilt ó chuntas a hiar-fhostóra.

Beacht, iomlán agus suas le dáta

Chuir an oifig seo san áireamh freisin, an tráth a ndearna an gearánach a gearán le An cuideachta teileachumarsáide, nach raibh An cuideachta teileachumarsáide in ann a hiarraidh thosaigh, maidir lena cuntas a shrianadh, a aimsiú. An toradh a bhí air sin, gur tháinig imscrúdú An cuideachta teileachumarsáide féin ar ghearán an ghearánaigh ar an gconclúid mhícheart. Dá réir sin, agus d’ainneoin gur cuireadh cúrsaí ina gceart ina dhiaidh sin, fuair an oifig seo gur theip ar An cuideachta teileachumarsáide cloígh lena oibleagáidí faoi Alt 2(1)(b) de na hAchtanna in imthosca nach raibh taifid an ghearánaigh, amhail an tráth ábhartha, beacht, iomlán ná suas le dáta.

Príomhthátail

Is léir ón gcás-staidéar thuas gur oibleagáid leanúnach í an oibleagáid maidir le sonraí pearsanta a choimeád slán agus sábháilte. Ní mór do rialaitheoirí sonraí a chinntiú go ndéanann siad monatóireacht agus measúnú leanúnach ar éifeachtacht a mbearta slándála, agus a chur san áireamh go bhfuil seans ann go dtiocfaidh athrú ar imthosca nó ar shocruithe maidir lena ngníomhaíochtaí próiseála sonraí ó am go ham. Sa chás seo, theip ar an Rialaitheoir Sonraí an gníomh riachtanach a dhéanamh chun an t-athrú ar imthosca a léiriú, imthosca a chuir an gearánach in iúl nuair a d’iarr sí go gcuirfí srian ar a chuntas agus go ndéanfaí é a dheighilt ó chuntas a hiarfhostóra. Tarraingíonn an cás-staidéar aird bhreise ar an tábhacht a bhaineann le hoiliúint éifeachtach d’fhostaithe i ndáil le prótacail inmheánacha ar bith.

 

3)  Cás-Staidéar 3: Bheith ag brath ar thoiliú maidir le grianghraf linbh a úsáid i bhfoirm ábhair bolscaireachta (An dlí is infheidhme — Na hAchtanna um Chosaint Sonraí 1988 agus 2003)

Fuaireamar gearán ó thuismitheoir ábhair sonraí ar mionaoiseach a bhí ann. D’fhreastail an tuismitheoir ar fhéile a d’eagraigh an Gníomhaireacht Stáit, in éineacht lena leanbh. Ghlac grianghrafadóir grianghraf den leanbh. An bhliain ina dhiaidh sin, d’úsáid an Gníomhaireacht Stáit an grianghraf sin in ábhar bolscaireachta. An tuiscint a bhí ag tuismitheoir an ábhair sonraí, cé gur ghlac siad leis gur labhair siad leis an ngrianghrafadóir an tráth ar glacadh an grianghraf, go ndéanfaí teagmháil leo sula n-úsáidfí an íomhá.

Lelinn an imscrúdaithe, thug an Gníomhaireacht Stáit le tuiscint gur bhraith siad ar thoiliú de bhun alt 2A(1) (a) de na hAchtanna, mar go bhfuair an grianghrafadóir cead ó bhéal ó thuismitheoir an ábhair sonraí. Mar sin féin, ghlac an Gníomhaireacht Stáit leis freisin nárbh léir do thuismitheoir an ábhair sonraí go n-úsáidfí an íomhá chun críocha na meán/caidreamh poiblí. Ghlac an Gníomhaireacht Stáit leis freisin nár tugadh a dhóthain faisnéise don tuismitheoir maidir leis an íomhá a bheith á coinneáil. D’fháiltigh an DPC roimh an méid a chuir Gníomhaireacht Stáit in iúl maidir le hathbhreithniú láithreach a dhéanamh ar a chleachtais agus ar a nósanna imeachta.

Mar fhocal scoir, fuair an DPC nach raibh a dhóthain faisnéise tugtha ag an Gníomhaireacht Stáit do thuismitheoir an ábhair sonraí le toiliú a thabhairt maidir le próiseáil na híomhá in ábhar bolscaireachta Bhord Bia.

 

4)  Cás-Staidéar 4: Glacadóirí agus próiseáil chothrom

Fuaireamar gearán i gcoinne ghlacadóir príobháideach a cheap foras airgeadais maidir le réadmhaoin an ghearánaigh.

Rinneadh líomhaintí sa ghearán gur sáraíodh na hAchtanna ar an mbunús go ndearna an glacadóir na nithe seo a leanas:

  • nach raibh siad cláraithe mar rialaitheoir de bhun alt 16 de na hAchtanna,
  • nach raibh bonn dleathach acu chun sonraí pearsanta an ghearánaigh a fháil ón bhforas airgeadais,
  • go ndearna siad próiseáil bhreise neamhdhleathach ar shonraí pearsanta trí bhíthin faisnéis a nochtadh do chuideachta a d’fhostaigh an glacadóir chun an ghlacadóireacht a bhainistiú (“gníomhaire bainistithe” an ghlacadóra).
  • gur oscail siad cuntas bainc in ainm an ghearánaigh,
  • go bhfuair siad ID agus PIN na maoine ó na Coimisinéirí Ioncaim, rud a thug rochtain don ghlacadóir ar chuntas pearsanta ar líne an ghearánaigh leis na Coimisinéirí Ioncaim, agus
  • gur chuir siad an réadmhaoin faoi árachas in ainm an ghearánaigh.

I ndiaidh imscrúdú a dhéanamh de bhun alt 10 de na hAchtanna, dheimhnigh an DPC gur fhostaigh an foras airgeadais an glacadóir de bhun Ghníomhas Ceapacháin Glacadóra (DOA) rud a dheonaigh cumhachtaí don ghlacadóir de bhun an Conveyancing Act 1881, agus de bhun an ghníomhais mhorgáiste idir an gearánach agus an foras airgeadais. Ar a bheith ceaptha dóibh, scríobh an glacadóir chuig an ngearánach lena chur in iúl dó gur ceapadh iad mar ghlacadóir maidir le réadmhaoin an ghearánaigh agus chuir cóip den DOA faoi iamh. Cheap an glacadóir cuideachta ar leithligh mar ghníomhaire bainistithe chun cabhrú le bainistiú na réadmhaoine. Le linn na glacadóireachta, rinne an glacadóir idirchaidreamh leis na Coimisinéirí Ioncaim d’fhonn aon cháin amuigh ar an réadmhaoin a íoc, amhail an Cháin Mhaoine Áitiúil (LPT). Deimhníodh gur oscail an glacadóir cuntas bainc chun críche ioncam ón réadmhaoin a bhainistiú. Bhí ainm an ghearánaigh mar chuid d’ainm an chuntais bainc. Deimhníodh freisin gur tógadh amach polasaí árachais i ndáil leis an réadmhaoin. Rinneadh tagairt d’ainm an ghearánaigh ar an bpolasaí árachais.

Ar dtús, bhreithnigh an DPC cibé an raibh ceanglas ar ghlacadóir clárú mar rialaitheoir sonraí de bhun alt 16 de na hAchtanna, agus cibé an raibh feidhm leis na díolúintí a tugadh san Acht um Chosaint Sonraí 1988 (Alt 16(1)) Rialacháin 2007 (na “Rialacháin Chlárúcháin”). Ba é tuairim an DPC nach raibh ar ceanglas ar ghlacadóir clárú, mar gheall go raibh feidhm leis an díolúine faoi rialachán 3(1)(g) de na Rialacháin Chlárúcháin don ghlacadóir. Thug Rialachán 3(1)(g) díolúine do rialaitheoirí sonraí a raibh sonraí á bpróiseáil acu i ndáil lena gcustaiméirí. Agus machnamh déanta aige ar an gcaidreamh idir an gearánach agus an glacadóir, ba é tuairim an DPC é go raibh feidhm leis an díolúine i ndáil le gníomhaíochtaí an ghlacadóra maidir leis an ngearánach.

Ansin, bhreithnigh an DPC cibé an raibh bonn dleathach ag an nglacadóir chun na sonraí pearsanta a fháil ón bhforas airgeadais, chun iad a nochtadh don ghníomhaire bainistithe, agus cibé arbh ionann an phróiseáil sin agus próiseáil bhreise nach raibh ag teacht leis an gcuspóir bunaidh faoina bhfuarthas iad de bhun alt 2(1)(c)(ii) de na hAchtanna. Bhí morgáiste ag an ngearánach leis an bhforas airgeadais a bhí i riaráistí. Faoi alt 19(1)(ii) den Conveyancing Act 1881, d’fhéadfadh an foras airgeadais glacadóir a cheapadh chomh luath agus a bhí an fiachas ar an morgáiste le híoc. Faoi alt 2A(1)(b)(i) de na hAchtanna, ceadaítear sonraí pearsanta a phróiseáil sa chás go bhfuil gá leis an bpróiseáil “chun conradh ar páirtí ann an t-ábhar sonraí a chomhlíonadh”. Ba chonradh idir an t-ábhar sonraí agus an foras airgeadais a bhí sa ghníomhas morgáiste, agus in imthosca nach rabhthas ag cloí le téarmaí an chonartha, bhí ceapadh an ghlacadóra ag an bhforas airgeadais riachtanach chun an conradh a chomhlíonadh. Ba é tuairim an DPC go raibh bonn dleathach ag an nglacadóir chun sonraí pearsanta an ghearánaigh a fháil ón bhforas airgeadais.

Fuair an DPC freisin go raibh bonn dleathach ag an nglacadóir de bhun alt 2A(1)(b)(i) de na hAchtanna maidir le sonraí pearsanta a nochtadh dá ghníomhaire bainistithe, chun cabhrú le bainistiú na glacadóireachta ó lá go lá. Fuair an DPC go bhfuair an foras airgeadais sonraí pearsanta an ghearánaigh chun críocha comhaontú iasachta a dhéanamh. Ba chuspóir sonrach, follasach agus dlisteanach é sin. Bhí nochtadh sonraí pearsanta an ghearánaigh ag an bhforas airgeadais don ghlacadóir, agus ag an nglacadóir don ghníomhaire bainistithe de réir an chuspóra tosaigh dá bhfuarthas na sonraí pearsanta. Ní próiseáil bhreise de bhun alt 2(1)(c)(ii) de na hAchtanna a bhí sa phróiseáil a rinneadh le linn na glacadóireachta.

Rinne an DPC measúnú ar cibé an raibh bonn dleathach ag an nglacadóir cuntas bainc a oscailt in ainm an ghearánaigh. Mhaígh an gearánach gur osclaíodh an cuntas sin gan fios a bheith acu agus gan toiliú uathu. Tá toiliú ar cheann de na boinn dhleathacha chun sonraí pearsanta a phróiseáil faoi na hAchtanna. Bhreithnigh an DPC cibé an raibh bonn dleathach eile ag an nglacadóir chun próiseáil a dhéanamh faoi alt 2A(1)(d) de na hAchtanna, ar bhonn leasanna dlisteanacha. Chun measúnú a dhéanamh ar an mbonn dleathach sin, chuir an DPC cás Chúirt Bhreithiúnais an Aontais Eorpaigh (CJEU), Rīgas C-13/161, san áireamh, ina leagtar amach tástáil trí chéime maidir le próiseáil ar bhonn leasanna dlisteanacha, mar seo a leanas:

  • caithfidh próiseáil sonraí pearsanta a bheith ar mhaithe le dul i mbun leasa dlisteanaigh an rialaitheora nó tríú páirtí,
  • caithfidh an phróiseáil a bheith riachtanach maidir leis an gcuspóir agus na leasanna dlisteanacha a bhfuiltear ina mbun, agus
  • ní bheidh tosaíocht ag cearta agus saoirsí bunúsacha an duine i gceist.

Ba é tuairim an DPC gur bheart réasúnach a bhí in oscailt an chuntais bhainc d’fhonn an t ioncam agus caiteachas le linn glacadóireachta a bhainistiú. Mhaígh an glacadóir gur ghá tagairt a dhéanamh d’ainm an ghearánaigh mar chuid d’ainm an chuntais bainc lena chinntiú go gcuirfí an ghlacadóireacht i gcrích go héifeachtúil agus chun mearbhall a sheachaint maidir le glacadóireachtaí éagsúla. Cé go bhféadfaí cuntas a oscailt gan ainm an ghearánaigh a úsáid, chuir an DPC breithiúnas an CJEU sa chás Huber v Bundesrepublik C-524/062 san áireamh, ina bhfuair an Chúirt go bhféadfaí a mheas go raibh gá le próiseáil sa chás gur thug sin deis an cuspóir ábhartha a bhaint amach ar bhealach níos éifeachtúla. Ba é tuairim an DPC go raibh gá, mar sin, le tagairt a dhéanamh d’ainm an ghearánaigh ar an gcuntas bainc, mar gheall gur thug sin deis dul i mbun leasanna dlisteanacha an ghlacadóra ar bhealach níos éifeachtúla.

Maidir leis an tríú ghné den tástáil i ndáil le leasanna dlisteanacha (a éilíonn cleachtadh comhardaithe, agus cearta agus saoirsí bunúsacha an ábhair sonraí á gcur san áireamh), ba é tuairim an DPC go bhfágfadh an tagairt d’ainm an ghearánaigh ar an gcuntas go mbeadh daoine a raibh rochtain acu ar an gcuntas bainc, nó ar tugadh ainm an chuntais bainc dóibh, ábalta an duine a shainaithint. Rinne an DPC na ceisteanna sin a mheas in aghaidh na gcostas riarachán agus airgeadais a thiocfadh as an ngá go gcuirfeadh an glacadóir nós imeachta eile i bhfeidhm maidir le hainmneacha a bhronnadh ar chuntais. Agus gach rud san áireamh, ní bhfuair an DPC go raibh tosaíocht ag cearta bunúsacha an ghearánaigh ar leasanna dlisteanacha an ghlacadóra. Mar thoradh air sin, bhí bonn dleathach ag an nglacadóir chun ainm an ghearánaigh a phróiseáil chun críocha leasanna dlisteanacha an ghlacadóra.

Maidir leis an líomhain go bhfuair an glacadóir rochtain ar chuntas pearsanta an ghearánaigh leis na Coimisinéirí Ioncaim, fuair an DPC nach bhfuair an glacadóir rochtain ar chuntas pearsanta an ghearánaigh leis na Coimisinéirí Ioncaim, mar a líomhnaíodh. Bhí an glacadóir ag gníomhú mar ghníomhaire cánach i ndáil leis an gCáin Mhaoine Áitiúil agus níor thug sé sin rochtain ar chuntas pearsanta leis na Coimisinéirí Ioncaim. Maidir leis an bpolasaí árachais a tugadh amach in ainm an ghearánaigh, ba é tuairim an DPC nár phróiseáil an glacadóir sonraí pearsanta sa chás sin.3

Le linn an imscrúdaithe, scrúdaigh an DPC cibé ar chloígh an glacadóir leis na prionsabail um chosaint sonraí faoi alt 2 de na hAchtanna. I ndáil leis sin, scrúdaigh an DPC an comhfhreagras tosaigh a sheol an glacadóir chuig an ngearánach inar cuireadh a gceapachán in iúl. Is é a bhí sa chomhfhreagras sin, litir chumhdaigh agus cóip den DOA. Rinneadh measúnú ar an litir chumhdaigh agus ar an DOA lena chinneadh cibé ar chomhlíon an glacadóir a oibleagáid maidir leis na sonraí pearsanta a phróiseáil go cothrom. Éilítear faoi alt 2D de na hAchtanna go soláthródh rialaitheoir sonraí faisnéis faoi aitheantas an rialaitheora sonraí, faisnéis faoi na cuspóirí beartaithe dá bhféadfar na sonraí a phróiseáil, na catagóirí sonraí atá i gceist agus aon fhaisnéis eile a mbeadh gá léi le go ndéanfaí próiseáil chothrom. Ba é tuairim an DPC gur leor an comhfhreagras chun aitheantas an rialaitheora sonraí (agus an rialaitheora sonraí tosaigh) a chur in iúl don ghearánach. Mar sin féin, ba é tuairim an DPC, cé nach raibh gá le glacadóir chun faisnéis chomhiomlánaithe a thabhairt faoi gach cuspóir dá raibh na sonraí pearsanta le próiseáil, gur cheart go dtabharfaí imlíne ghinearálta don ghlacadóir ar na cuspóirí dá raibh sé beartaithe na sonraí pearsanta a phróiseáil, agus nach ndearnadh sin sa chás seo. Maíodh freisin gur cheart go mbeadh na catagóirí sonraí pearsanta a bhí á gcoinneáil ag an nglacadóir i ndáil leis an ngearánach curtha ar fáil aige, ach nach ndearnadh sin. I bhfianaise an mhéid sin, ba é tuairim an DPC nár chomhlíon an glacadóir alt 2D de na hAchtanna.

Léiríonn an cinneadh sin ón DPC go bhféadfaidh glacadóirí príobháideacha agus a ngníomhairí sonraí pearsanta iasachtaithe a phróiseáil go dleathach sa chás go bhfuil gá leis an bpróiseáil sin d’fhonn sócmhainní urraithe a réadú nó a bhainistiú. Ba chóir go mbeadh ábhair sonraí ar an eolas go bhféadfaí faisnéis fúthu a phróiseáil gan toiliú uathu in imthosca ina ndéanann gníomhas morgáiste soláthar do ghlacadóir a cheapadh. Ag an am céanna, ní mór do ghlacadóirí cloí lena gcuid oibleagáidí faoi na hAchtanna agus faoin Rialachán Ginearálta maidir le Cosaint Sonraí chun faisnéis faoi phróiseáil a chur ar fáil d’ábhair sonraí ar leithligh ag tús na glacadóireachta. Tá an cinneadh seo ina ábhar achomhairc ón ngearánach chun na Cúirte Cuarda faoi láthair.

1. Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgas pašvaldības SIA ‘Rīgas satiksme’ Cás C-13/16

2. Heinz Huber v Bundesrepublik Deutschland Cás C-524/06

3. Rinneadh measúnú ar phróiseáil sonraí pearsanta i gcás comhchosúil ina ndearna an gearánach céanna gearán i gcoinne an ghníomhaire bhainistithe sa chás seo. Ba é tuairim an DPC, sa chinneadh sin, go raibh leas dlisteanach ag an ngníomhaire bainistithe chun sonraí pearsanta an ghearánaigh a phróiseáil chun críocha an réadmhaoin a chur faoi árachas.

 

5)  Cás-Staidéar 5: Ionchúiseamh Vodafone Ireland Limited

In Aibreán 2019, fuair an DPC dhá ghearán ar leithligh ó dhuine a fuair cumarsáid margaíochta dírí ar téacs agus ar an ríomhphost ón oibritheoir líonra mhóibíligh, Vodafone. Mhaígh an duine go ndearna Vodafone neamhaird dá socruithe rogha custaiméara, a thaifid nár theastaigh uathu margaíocht den sórt sin a fháil.

I rith ár n-imscrúdaithe, dhearbhaigh Vodafone gur roghnaigh an gearánach gan teagmháil margaíochta dírí a fháil ach gur seoladh cumarsáidí chucu mar gheall ar earráid dhaonna i gcás na teachtaireachta téacs agus na bhfeachtas margaíochta ríomhphoist araon.

I gcás na teachtaireachta SMS, dhearbhaigh Vodafone gur seoladh téacs inar tairgeadh deis do na faighteoirí ticéid le haghaidh chluiche rugbaí idir Éirinn agus an Fhrainc a bhuachan chuig tuairim is 2,436 chustaiméir a roghnaigh roimhe sin gan margaíocht dhíreach a fháil ar téacs. Tharla sin mar gheall gur teipeadh scagaire roghanna margaíochta a chur i bhfeidhm ar an bhfeachtas SMS sular seoladh é. I gcás an ríomhphoist a fuair an gearánach, úsáideadh feidhmchlár ar beartaíodh é a úsáid chun margaíocht dhíreach a sheoladh chuig custaiméirí ionchasacha de dhearmad agus seoladh an teachtaireacht chuig custaiméirí reatha Vodafone. Cé nach raibh Vodafone in ann dearbhú a thabhairt maidir leis an líon custaiméirí a ndearnadh teagmháil leo ar an ríomhphost contrártha dá rogha, seoladh an ríomhphost margaíochta chuig 29,289 gcustaiméir reatha Vodafone. Dhearbhaigh an chuideachta go ndearnadh teagmháil le tuairim is 2,523 as 7,615 díobh sin de dhearmad. Ní raibh sí in ann an 21,674 chustaiméir eile ar seoladh an ríomhphost céanna chucu a nascadh lena roghanna margaíochta i stóras sonraí Vodafone chun an líon iomlán daoine a ndearnadh teagmháil leo de dhearmad a dhearbhú.

Bhí gearán ar leithligh faighte ag an DPC i mí Feabhra 2019 ó dhuine eile ar iar-chustaiméir de chuid Vodafone iad. Scoir an duine sin de bheith ina gcustaiméir de chuid Vodafone níos mó ná cúig bliana roimhe sin ach bhí teachtaireachtaí téacs bolscaireachta fós á bhfáil acu. Le linn ár n-imscrúdaithe, dhearbhaigh Vodafone gur de dhearmad a seoladh na teachtaireachtaí margaíochta dírí. Dúirt siad nár baineadh uimhir an ghearánaigh den ardán a úsáideadh chun cumarsáidí margaíochta a sheoladh, sa chás eisceachtúil sin, nuair nach raibh an uimhir gníomhach níos mó ar an líonra.

De bharr gur ionchúisigh an DPC Vodafone roimhe seo, in 2011, 2013 agus 2018, i ndáil le cionta margaíochta leictreonaí dírí, chinneamar imeachtaí ionchúisimh a thionscnamh maidir leis na gearáin sin.

I gCúirt Dúiche Chathrach Bhaile Átha Cliath an 29 Iúil 2019, phléadáil Vodafone ciontach i gcúig chúis maidir le cumarsáidí margaíochta dírí gan iarraidh a sheoladh de shárú ar I.R. Uimh. 336 de 2011 (Rialachán maidir le Príobháideachas agus Cumarsáid Leictreonach). Ciontaíodh an chuideachta agus gearradh fíneáil €1,000 uirthi maidir le gach ceann de na trí chúis. Ciontaíodh í agus gearradh fíneáil €750 an ceann uirthi maidir leis an dá chúis eile.

 

6)  Cás-Staidéar 6: Ionchúiseamh Cari’s Closet Limited

I mí Bealtaine 2018, fuaireamar gearán i gcoinne an mhiondíoltóra faisin ar líne, Cari’s Closet, ó dhuine a chuir ordú ar líne isteach chuig an gcuideachta roimhe sin. Bhain an gearán le trí ríomhphost margaíochta dírí gan iarraidh a fuarthas. Bhí gearán déanta ag an duine céanna leis an DPC i mí Eanáir 2018 maidir le ríomhphoist gan iarraidh ón gcuideachta sin. An t-am sin, dúirt an gearánach go bhfuair siad os cionn daichead teachtaireacht margaíochta in aon mhí amháin. Bhí iarracht déanta ag an duine díchlárú gan cúpla uair, ach níor éirigh leo.

Dúirt Cari’s Closet gur theip orthu an gearánach a dhíchlárú ó ríomhphoist mar gheall ar fhíor-earráid. De bharr gur eisigh an DPC rabhadh i mí Aibreáin 2018 i ndáil leis an ngearán a rinneadh roimhe sin, chinneamar imeachtaí ionchúisimh a thionscnamh i gcoinne na cuideachta.

I gCúirt Dúiche Chathrach Bhaile Átha Cliath an 29 Iúil 2019, phléadáil Cari’s Closet ciontach i gcúis amháin maidir le ríomhphost margaíochta dírí gan iarraidh a sheoladh chuig an ngearánach. In áit ciontaithe agus fíneála, chuir an chúirt alt 1(1) den Probation of Offenders Act i bhfeidhm ar an mbonn go mbronnfadh an chuideachta €600 ar an gcarthanas Little Flower Penny Dinners.

 

7)  Cás-Staidéar 7: Ionchúiseamh Just-Eat Ireland Limited

Fuaireamar gearán ó dhuine i mí na Samhna 2018 maidir le ríomhphoist margaíochta dírí gan iarraidh ó Just-Eat Ireland Limited. Dhíchláraigh an gearánach ó ríomhphoist margaíochta dírí na cuideachta ach fuair ríomhphost margaíochta dírí gan iarraidh cúpla lá ina dhiaidh sin. I rith ár n-imscrúdaithe ar an ngearán sin, chuir an chuideachta in iúl dúinn nár éirigh le hiarracht an ghearánaigh díchlárú mar gheall ar fhadhb theicniúil lena hardán ríomhphoist. Bhí tionchar ag an bhfadhb sin ar 391 chustaiméir in Éirinn.

De bharr gur thug an DPC rabhadh do Just-Eat Ireland Limited in 2013 de bhun gearáin i ndáil le ríomhphoist margaíochta dírí gan iarraidh, chinneamar imeachtaí ionchúisimh a thionscnamh.

I gCúirt Dúiche Chathrach Bhaile Átha Cliath an 29 Iúil 2019, phléadáil Just-Eat Ireland Limited ciontach i gcúis amháin i ndáil le ríomhphost margaíochta dírí gan iarraidh a sheoladh. In áit ciontaithe agus fíneála, chuir an chúirt alt 1(1) den Probation of Offenders Act i bhfeidhm ar an mbonn go mbronnfadh an chuideachta €600 ar an gcarthanas, Peter McVerry Trust.

 

8)  Cás-Staidéar 8: Ionchúiseamh Shop Direct Ireland Limited t/a Littlewoods Ireland

I mí Bealtaine 2019, fuair an DPC gearán ó dhuine a dúirt go raibh teachtaireachtaí margaíochta dírí á bhfáil acu ar téacs ó Littlewoods ó mhí an Mhárta. Dúirt an gearánach gur lean siad na treoracha chun díchlárú agus gur sheol siad an focal ‘STOP’ ar téacs cúig huaire chuig uimhir ainmnithe ar a dtugtar gearrchód, ach nár éirigh leo díchlárú agus go raibh teachtaireachtaí margaíochta ar téacs fós á bhfáil acu.

Le linn ár n-imscrúduithe, dhearbhaigh Shop Direct Ireland Limited (t/a Littlewoods Ireland) go raibh taifead ar théacsanna díchláraithe a chuir an gearánach isteach trí bhíthin a socruithe cuntais ar láithreán gréasáin Littlewoods an 8 Bealtaine 2019. Ní raibh taifead acu, áfach, ar a gcuid iarrachtaí roimhe sin díchlárú ó théacsanna margaíochta dírí agus an gearrchód SMS á úsáid. B’amhlaidh sin de bharr earráid dhaonna agus an t-ábhar do na teachtaireachtaí margaíochta SMS á socrú. Dúirt an chuideachta gur chuir an duine a bhí freagrach as ábhar a bhain le téacsanna margaíochta a ullmhú agus a uaslódáil an eochairfhocal díchláraithe ‘STOP’ san áireamh ag deireadh téacsanna margaíochta de dhearmad, in áit ‘LWISTOP’.

D’ionchúisigh Shop Direct Ireland Limited an DPC in 2016 i ndáil le saincheist cosúil leis sin ina ndearnadh custaiméir iarracht gan rath díchlárú ó ríomhphoist margaíochta dírí. Ba é toradh an cháis cúirte an t-am sin, gur bhronn an chuideachta €5,000 ar charthanas in áit ciontaithe agus fíneála.

Chinn an DPC an chuideachta a ionchúiseamh i ndáil le cionta margaíochta dírí leictreonaí i ndáil leis an ngearán a rinneadh i mí Bealtaine 2019.

I gCúirt Dúiche Chathrach Bhaile Átha Cliath an 29 Iúil 2019, phléadáil Shop Direct Ireland Limited (t/a Littlewoods Ireland) ciontach in dhá chúis a bhain le teachtaireachtaí margaíochta dírí gan iarraidh a sheoladh ar téacs. Rialaigh an chúirt nach gciontófaí an chuideachta agus nach ngearrfaí fíneáil uirthi dá mbronnfadh sí €2,000 ar na carthanais Peter McVerry Trust agus Little Flower Penny Dinners agus cuireadh alt 1(1) den Probation of Offenders Act i bhfeidhm.

 

9)  Cás-Staidéar 9: FSS/ Ghníomhaireacht um Chúram Sláinte

In 2019, fuair an DPC gearán maidir le nochtadh sonraí othair trí theachtaire Facebook ag taisceoir ospidéil maidir lena bheith i láthair ag Aonad Luath- Thoirchis ospidéil. Tar éis scrúdú a dhéanamh ar an ngearán, shoiléirigh FSS don CCS go raibh gníomhaire cúraim sláinte a d’fhoilsigh an FSS i mbun an taisce ospidéil a nocht faisnéis phearsanta an othair. Rinne an DPC teagmháil leis an ngníomhaireacht agus lorg sí nuashonrú maidir lena imscrúdú inmheánach, sonraí ar aon ghníomh feabhais chomh maith le sonraí faoi aon ghníomh araíonachta a rinneadh i gcoinne an fhostaí i gceist. Ag an am céanna, chuir an CCS in iúl don FSS, mar go ndéanann sé conradh ar an gcuideachta atá i gceist chun foireann ghníomhaireachta a chur ar fáil chun obair san ospidéal, gurb é FSS an rialaitheoir sonraí i ndeireadh na dála maidir leis na sonraí pearsanta sa chás seo.

Tarraingíodh siar an gearán ina dhiaidh sin ag an aturnae ag gníomhú thar ceann na mná tar éis comhaontú a bheith comhaontaithe idir an páirtí lena mbaineann agus an t-ospidéal / an ghníomhaireacht cúram sláinte. Féadfaidh rialaitheoirí sonraí / próiseálaithe sonraí a bheith faoi dhliteanas faoi dhuine faoi Alt 117 den Acht um Chosaint Sonraí 2018 maidir le damáistí mura gcomhlíonann siad an dualgas cúraim atá orthu i ndáil le sonraí pearsanta atá ina seilbh.

Níl aon ról ar bith ag an CCS maidir le déileáil le héilimh chúitimh agus níl feidhm ar bith aige maidir le haon imeachtaí den sórt sin a dhéanamh faoi Alt 117 d’Acht 2018 nó i soláthar aon chomhairle dlí den sórt sin. Léiríonn an cás seo go bhfuil oiliúint leanúnach riachtanach don fhoireann go léir maidir lena ndualgais faoin dlí um chosaint sonraí agus go gcaithfidh rialaitheoirí dícheall cuí a dhéanamh agus iad féin a shásamh go bhfuil aon chonraitheoirí / próiseálaithe a bhfuil siad rannpháirteach iontu lánoilte agus sásta cloí le dlíthe cosanta sonraí.

 

10)  Cás-Staidéar 10: Loss of control of paper files

Thuairiscigh duine a fuair rochtain neamhdhleathach ar áitreabh srianta na taifid agus chuir sé grianghraif den chomh-aireacht ina dhiaidh sin ina raibh na comhaid ar na meáin shóisialta. Chuir eagraíocht na hearnála poiblí a bhí i gceist an CCS ar an eolas, tar éis dó an sárú a bheith ar eolas, gur seoladh ionadaí ón eagraíocht chun na comhaid a aimsiú agus a dhaingniú. Baineadh na comhaid ón áitreabh agus daingníodh iad.

Leagann an sárú seo béim ar an tábhacht a bhaineann le polasaithe bainistíochta taifead cuí a bheith acu; lena n-áirítear meicníochtaí le haghaidh comhaid rianaithe, saoráidí stórála slána cuí agus nósanna imeachta iomlána chun taifid a choinneáil nó a scriosadh. D’eisigh an CCS roinnt moltaí do na heagraíochtaí chun a gcleachtais próiseála sonraí pearsanta a fheabhsú.

 

11)  Cás-Staidéar 11: Ionsaí Ransomeware

Chuir eagraíocht a bhí ag feidhmiú sa tionscal fóillíochta in iúl don CCS go raibh ionsaí ransomware air a d’fhéadfadh criptiú / nochtadh sonraí pearsanta suas le 500 custaiméir agus foireann a stóráladh ar fhreastalaí na n-eagraíochtaí. Rianaíodh bealach an insíothlaithe go ródaire móideim a cuireadh i gcontúirt (stóráladh sonraí cúltaca, áfach, go sábháilte trí fhreastalaí scamaill).

Tar éis an eachtra a scrúdú, d’eisigh an CCS roinnt moltaí don eagraíocht. Mhol an CCS go ndéanfadh an eagraíocht anailís ar a infrastruchtúr TFC chun a fháil amach an raibh breis malware i láthair, chun athbhreithniú agus cur i bhfeidhm bearta cuí chun a chinntiú go bhfuil leibhéal slándála leordhóthanach ann maidir le próiseáil sonraí pearsanta, agus chun oiliúint fostaithe a dhéanamh le cuimsiú rioscaí cibearshlándála.

Tá nuashonruithe rialta faighte ag an CCS ón eagraíocht agus tá sé sásta gur glacadh céimeanna suntasacha chun bearta eagraíochtúla agus teicniúla a fheabhsú agus a chur i bhfeidhm maidir le heasnaimh i slándáil a mbonneagair TFC, lena n-áirítear plean oiliúna a fhorbairt don fhoireann uile sa réimse seo.

 

12)  Cás-Staidéar 12: Píosaí scannáin CCTV a nochtadh trí na meáin shóisialta

Chuir cuideachta bainistíochta maoine tráchtála agus cónaithe in iúl don CCS go raibh fostaí de chuid cuideachta slándála a raibh a chuid seirbhísí coinnithe acu tar éis a bhfón póca pearsanta a úsáid chun píosa scannáin CCTV a thaifeadadh de bheirt den phobal a bhí páirteach i ngníomh pearsanta, a bhí gafa ag an mbainistíocht ceamaraí slándála na cuideachta.

Rinneadh an físeán a tógadh a roinnt ina dhiaidh sin trí WhatsApp le líon teoranta daoine aonair. Chuir an gnó in iúl don CCS gur chuir siad in iúl don fhoireann ad’fhéadfadh an scannán a fháil go gcaithfidh siad é a scriosadh agus d’iarr siad nach scaipfí an fhíseán a thuilleadh.

Bhí an chuideachta bhainistíochta réadmhaoine agus an chuideachta slándála in ann a thaispeáint go raibh beartais agus nósanna imeachta leordhóthanacha ann, ach bhí easpa maoirseachta agus maoirseachta cuí ann chun comhlíonadh na mbeartas agus na nósanna imeachta seo a chinntiú.

Tar éis moltaí a rinne an DPC chuig an gcuideachta bainistithe réadmhaoine, chuaigh an chuideachta i mbun oibre lena fhoireann chun oiliúint bhreise ar chosaint sonraí a sheachadadh le béim ar sháruithe sonraí pearsanta. Ina theannta sin, cuireadh comharthaí breise ar taispeáint a chuir cosc ar úsáid gléasanna soghluaiste pearsanta laistigh de theorainneacha an tseomra rialaithe CCTV.

 

13)  Cás-Staidéar 13: Moltaí le haghaidh Bunachair Roinnt Calaoise

Le linn 2019 chuathas i gcomhairle leis an DPC maidir le tograí chun dhá bhunachar sonraí ar leithligh maidir le comhroinnt faisnéise a chruthú.

Is é an chéad mholadh ó Insurance Ireland ná bunachar sonraí atá ann cheana, ar a dtugtar InsuranceLink, a leathnú chun réimsí breise sonraí a chur san áireamh. Tá sonraí ar éilimh árachais a dhéanann daoine aonair le InsuranceLink chun malartú faisnéise idir cuideachtaí árachais a éascú nuair a dhéanann custaiméir éileamh ar chúiteamh chun calaois a shainaithint i gcás ina bhféadfaí éilimh bhréagacha a phróiseáil. Ceann de na tacair shonraí bhreise atá beartaithe ná sonraí pearsanta tríú páirtí ar nós finnéithe ar thimpistí.

Ba é an dara togra ó Chónaidhm Baincéireachta agus Íocaíochtaí na hÉireann (BPFI) thar ceann na bpríomhbhainc mhiondíola, ar mian leo bunachar sonraí comhroinnte calaoise a chruthú a bheadh á oibriú ag tríú páirtí iontaofa neamhspleách. De réir rialacha réamhshainithe, chuirfeadh gach banc a bhunaíonn gníomhaíocht chalaoiseach an fhaisnéis sin ar aghaidh chuig an mbunachar sonraí agus cheadófar do na bainc rannpháirteacha go léir sonraí cliant a sheiceáil i gcoinne an bhunachair sonraí chun calaois a aithint agus a chosc.

Tá béim curtha ag an DPC ar Insurance Ireland agus BPFI araon go gcaithfidh bunachair sonraí calaoise tionscail, a bhaineann le próiseáil méideanna suntasacha sonraí íogaire, riachtanais riachtanais agus comhréireachta a chomhlíonadh faoi dhlí agus dlí-eolaíocht an AE. Tá béim curtha againn freisin go gcaithfidh feidhmiú gach bunachar sonraí, mar is gá, taca reachtúil a bheith aige chun a chinntiú go gcomhlíontar oibleagáidí cosanta sonraí faoin RGCS agus faoin Acht um Chosaint Sonraí 2018, mar shampla, sa chás go bhfuil an phróiseáil ar mhaithe le leas an phobail agus / nó sonraí a bhaineann le cionta nó le cionta líomhnaithe.

Is é tuairim an DPC go gcruthaíonn an dá thogra rioscaí suntasacha do dhaoine aonair, go háirithe do dhaoine a d’fhéadfaí a aithint go mícheart mar dhaoine a ghlacann páirt i ngníomhaíocht chalaoiseach, nó, i gcás éileamh árachais, do dhaoine nach bhfuil baint dhíreach acu le héileamh amhail finné. Chuireamar in iúl do na páirtithe go gcaithfear na rioscaí seo a mheasúnú agus a mhaolú go hiomlán, lena n-áirítear trí chosaintí, rialacha agus nósanna imeachta an-láidre a thógáil agus a chinntiú go gcomhlíontar prionsabail na cosanta sonraí, amhail íoslaghdú sonraí. Ina theannta sin, leagamar béim ar an tábhacht a bhaineann le comhairliúchán poiblí agus feasacht maidir le scóip agus cuspóir na moltaí seo.

 

  1. Sonraí a bheith á dtarchur ag Roinn Rialtais trí WhatsApp
  2. Píosaí scannáin TCI a bheith á soláthar ag teach tábhairne d’fhostóir
  3. Tras-scríbhinn comhrá Gréasáin de chuid Ryanair a bheith á seoladh chuig custaiméir eile
  4. Próiseáil neamhdhleathach a d’eascair as earráid billeála
  5. Freagra mall ar iarraidh ar rochtain
  6. Iarraidh ar rochtain chuig club gailf ar phíosaí scannáin TCI
  7. Faisnéis airgeadais a bheith á seoladh mar chóip charbóin chuig bialann go hearráideach
  8. Sárú sonraí ag an bPríomh-Oifigeach Staidrimh - Nochtadh sonraí P45
  9. Mainneachtain na beartais chosanta sonraí a bhí i bhfeidhm a chur chun Feidhme
  10. Cailleadh gléas neamhchriptithe USB sa phost
  11. Fioscaireacht suíomh Gréasáin
  12. Cailleadh comhaid pháipéir agus iad faoi bhealach
  13. Rinneadh ionsaí chun cárta SIM a bhabhtáil
  14. Gné ‘Lua sa nuacht’
  15. Ionchúiseamh Viking Direct (Ireland) Limited
  16. Ionchúiseamh Clydaville Investments Limited, ag trádáil faoi ainm The Kilkenny Group
  17. Ionchúiseamh DSG Retail Ireland Limited
  18. Ionchúiseamh Vodafone Ireland Limited
  19. Ionchúiseamh Starrus Eco Holdings Limited, ag trádáil faoi ainm Panda agus Greenstar

1)  Cás-Staidéar 1: Sonraí a bheith á dtarchur ag Roinn Rialtais trí WhatsApp (An dlí is infheidhme — na hAchtanna um Chosaint Sonraí, 1988 agus 2003 (na hAchtanna))

Fuaireamar gearán in aghaidh na Roinne Gnóthaí Eachtracha agus Trádála á líomhain gur chomhroinn an misean i gCaireo, an Éigipt, sonraí pearsanta an ghearánaigh le tríú páirtí (a fhostóir) gan a eolas ná a thoiliú agus gur mhainnigh an Roinn sonraí pearsanta an ghearánaigh a choinneáil slán sábháilte, agus WhatsApp á úsáid aici chun na sonraí a tharchur chuig a fhostóir. Bhain an cás seo leis an bpróiseáil ar shonraí pearsanta an ghearánaigh, a tugadh in iarratas ar víosa ghearrthéarmach a chuir sé isteach chun scrúdú a dhéanamh in Éirinn.

Le linn ár n-imscrúdaithe, chuir an Roinn in iúl dúinn go mbíonn sé mar ghnáthchleachtas aici cruinneas agus iomláine na n-iarratas agus bailíocht na ndoiciméad tacaíochta a mheas agus iarratais ar víosa á bpróiseáil aici. Dar leis an Roinn, tháinig amhras chun cinn faoina fhírinní a bhí doiciméad tacaíochta amháin a chuir an gearánach isteach, rud ar airbheartaíodh gur shínigh a fhostóir é. Chun bailíocht an doiciméid a fhíorú, rinne ball foirne i misean Chaireo teagmháil leis an bhfostóir (ar oifigeach de chuid gníomhaireacht rialtais san Éigipt é, a raibh a ainm agus a shíniú le feiceáil ar an doiciméad) thar an teileafón toisc go raibh sé sa riocht is fearr chun an bharántúlacht a fhíorú. Dheimhnigh an fostóir gur ghá dó an doiciméad a fheiceáil sula bhféadfadh sé é a fhíorú. Ós rud é nach raibh aon seoladh ríomhphoist oifigiúil aige, ní raibh sé in ann é a fháil ach amháin trí WhatsApp. D’inis an Roinn dúinn gurbh amhlaidh, sular sheol sí na sonraí trí WhatsApp, go ndearna sí measúnú riosca áitiúil, ar lena linn a d’fhéach sí ar an tslándáil/an criptiú a bhaineann le WhatsApp. Bunaithe ar an gcriptiú ó cheann ceann atá ar fáil ar WhatsApp agus mar gheall ar phráinne an iarratais ar víosa, mar a leag an gearánach amach san iarratas uaidh, tháinig an Roinn ar an gconclúid go raibh sé sin ar an modh tarchuir is sláine a bhí ar fáil. Sa chomhthéacs sin, chuir an Roinn in iúl dúinn nach bhfuil rochtain ag a lán oifigeach rialtais agus státseirbhíseach san Éigipt ar chuntais/córais ríomhphoist oifigiúla agus go n-úsáideann siad seirbhísí amhail Gmail, Hotmail, WhatsApp agus Viber go minic chun gnó oifigiúil a sheoladh. Sa chás seo, dheimhnigh an t-oifigeach rialtais a bhí i gceist go raibh WhatsApp ar an aon mhodh cumarsáide amháin a bhí ar fáil dó..

Seoladh na doiciméid trí WhatsApp ach úsáid a bhaint as fón póca an aon bhaill foirne amháin i misean Chaireo a raibh WhatsApp aige. Scriosadh na doiciméid ón ngléas díreach tar éis iad a sheoladh. Mar a tharla ar deireadh, d’inis an t-oifigeach do mhisean Chaireo go raibh na doiciméid calaoiseach agus diúltaíodh don iarratas ar víosa dá bharr sin.

Le linn ár n-imscrúdaithe, dúirt an gearánach linn go raibh cúiteamh arbh fhiú €3,000 é á lorg aige ón Roinn. Ba é sin an costas ar an scrúdú a dhéanamh in Éirinn, costas a chaill sé. Tar éis don Choimisiún a chur in iúl don ghearánach nach raibh sé de chumhacht aici cúiteamh a dhámhachtain, d’iarr an gearánach cinneadh foirmiúil ón gCoimisiún.

Agus é ag breithniú cé acu a rinneadh nó nach ndearnadh sárú ar na hAchtanna nuair a sheol an Roinn sonraí pearsanta an ghearánaigh chuig an oifigeach a bhí i gceist trí WhatsApp, rinne an Coimisiún iarracht teacht ar na fíricí maidir le cé acu ba ghá nó nár ghá an fhaisnéis a bhí i gceist a tharchur ar an gcéad dul síos agus, ar an dara dul síos, cé acu a bhí nó nach raibh an tarchur slán, lenar áiríodh an cheist maidir le cé acu a bhí nó nach raibh an Roinn in ann modhanna níos sláine a úsáid chun na sonraí a tharchur. Ar an gcéad cheist, ba dheimhin leis an gCoimisiún gur ghá don Roinn sonraí pearsanta an ghearánaigh a chomhroinnt leis an oifigeach, a bhí ainmnithe mar fhostóir san iarratas ar víosa ghearrthéarmach agus ar airbheartaíodh gur shínigh sé doiciméid tacaíochta áirithe. Maidir leis sin, thugamar faoi deara go luaitear go sainráite sa bheartas príobháideachta ábhartha (an beartas atá i bhfeidhm ag Seirbhís Eadóirseachta agus Inimirce na hÉireann) gur ar an iarratasóir atá an dualgas cruthúnais i ndáil le haon iarratas ar víosa agus go bhféadfaidh an t-oifigeach víosa fíorú a dhéanamh ar aon fhianaise a chuirfear isteach chun tacú le hiarratas. Luaitear sa bheartas freisin go bhféadfar aon fhaisnéis a thabharfar i bhfoirm iarratais a nochtadh do rialtais eachtracha agus do chomhlachtaí eile, i measc daoine eile, chun críocha inimirce.

Ós rud é nach raibh aon mhodhanna slána eile ar fáil chun teagmháil a dhéanamh leis an oifigeach a bhí i gceist, ba dheimhin leis an gCoimisiún gur ghá an fhaisnéis a tharchur trí WhatsApp chun na sonraí pearsanta a phróiseáil chun na críche ar chuici soláthraíodh iad (incháilitheacht do víosa). Ba dheimhin leis freisin gur tugadh fógra don ghearánach á rá go bhféadfaí doiciméid tacaíochta a chomhroinnt le tríú páirtithe chun barántúlacht a fhíorú. Thug an Coimisiún aird freisin ar an bhfíric go bhfuarthas amach sa mheasúnú riosca áitiúil a rinne an Roinn gur tharla sé, sna himthosca, go raibh WhatsApp ar an modh tarchuir is sláine chun na sonraí pearsanta a sheoladh. Dá réir sin, chinn an Coimisiún gur ghníomhaigh an Roinn i gcomhréir leis na hAchtanna.

Ba chás eisceachtúil é seo, a d’eascair as na himthosca ar leith ar an talamh sa tír a bhí i gceist. B’amhlaidh go raibh WhatsApp ar an modh is sláine a bhí ar fáil chun faisnéis a tharchur chun críocha oifigiúla agus, cé gur oifigeach rialtais é, ní raibh aon rochtain ag fostóir an ghearánaigh ar chóras cumarsáide oifigiúil trína bhféadfaí na sonraí pearsanta a tharchur. Sa chás seo, cuireadh na príomhphrionsabail chosanta sonraí um riachtanas agus um chomhréireacht agus comhthéacs uathúil na próiseála a bhí i gceist sa mheá agus chinn an Coimisiún gur ghníomhaigh an Roinn i gcomhréir leis na hAchtanna. Ní dóigh go ndéanfaí an cinneadh céanna i gcás coibhéiseach ina raibh cainéil chumarsáide oifigiúla eile ar fáil chun na sonraí pearsanta a bhí sna doiciméid tacaíochta a tharchur.

 

2) Cás-Staidéar 2: Píosaí scannáin TCI a bheith á soláthar ag teach tábhairne d’fhostóir (An dlí is infheidhme — na hAchtanna um Chosaint Sonraí, 1988 agus 2003 (na hAchtanna))

Fuaireamar gearán in aghaidh teach tábhairne i lár na cathrach á líomhain go ndearna sé sonraí pearsanta an ghearánaigh, mar a bhí i bpíosaí scannáin TCI, a nochtadh dá fhostóir gan a eolas ná a thoiliú agus nach raibh comharthaí cuí TCI in airde aige lenar tugadh fógra don phobal go raibh ábhar TCI á thaifeadadh.

Le linn ár n-imscrúdaithe, fuaireamar amach gur óstáil eagraíocht is fostóir imeacht sóisialta dá foireann sa teach tábhairne ar an oíche a bhí i gceist. Bhí an gearánach ina fhostaí de chuid na heagraíochta sin agus d’fhreastail sé ar an imeacht sóisialta sa teach tábhairne. Bhí teagmhas ann idir an gearánach agus fostaí eile le linn an imeachta shóisialta agus líomhnaíodh go raibh ionsaí tromchúiseach ann. Cuireadh fios ar an nGarda Síochána teacht chun an áitribh ar an oíche a bhí i gceist. Thuairiscigh an bainisteoir agus an príomhfhreastalaí ag an am an teagmhas do stáisiún áitiúil an Gharda Síochána arís an lá dár gcionn. Fuaireamar amach gur tháinig an fostóir ar an eolas faoin teagmhas agus go ndearna sé teagmháil leis an teach tábhairne chun na tuairiscí a fuair sé a fhíorú. Ar deireadh, lig bainisteoir an tí thábhairne d’oifigeach acmhainní daonna ón bhfostóir amharc ar na píosaí scannáin TCI ar an áitreabh. Tar éis dó amharc orthu, mheas an t-oifigeach acmhainní daonna gur theagmhas tromchúiseach é an teagmhas agus d’iarr sé cóip de na píosaí scannáin ionas go bhféadfadh an fostóir an tsaincheist a phlé leis an ngearánach. Lig an bainisteoir don oifigeach acmhainní daonna cóip de na píosaí scannáin a thaifeadadh ar a fhón póca toisc nár éirigh leis na píosaí scannáin a íoslódáil.

Bhreithnigh an Coimisiún cé acu a bhí nó nach raibh bunús dlí ann, faoi fhoras ‘leasanna dlisteanacha’ an rialaitheora sonraí nó aon tríú páirtí faoi alt 2A(1)(d) de na hAchtanna, lena gceadófaí don teach tábhairne sonraí pearsanta an ghearánaigh a phróiseáil trí phíosaí scannáin TCI a sholáthar don fhostóir. Faoin bhforáil sin, is ceadmhach próiseáil a dhéanamh i gcás gur gá déanamh amhlaidh ‘chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir sonraí nó ag tríú páirtí nó páirtithe a bhfuil na sonraí á nochtadh dóibh, seachas i gcás nach mbeidh údar ann leis an bpróiseáil in aon chás ar leith de bhrí go ndéanfaí dochar do chearta bunúsacha nó saoirsí bunúsacha an ábhair shonraí’.

Le linn dó anailís a dhéanamh ar an gcás seo, bhí aird ag an gCoimisiún ar an mbreithiúnas ón gCúirt Bhreithiúnais i gcás phóilíní slándála réigiún Ríge. Sa chás sin, bhreithnigh an Chúirt Bhreithiúnais cur i bhfeidhm Airteagal 22 7(f) den Treoir um Chosaint Sonraí (95/46/CE), ar a bhfuil alt 2A(1)(d) bunaithe, agus shainaithin sí trí choinníoll nach mór a chomhlíonadh sa phróiseáil chun údar a thabhairt léi, is iad sin:

a) Ní mór go mbeidh leas dlisteanach ann a thabharfaidh údar leis an bpróiseáil;

b) Ní mór go mbeidh próiseáil na sonraí pearsanta riachtanach chun an leas dlisteanach a réadú; agus

c) Ní mór go mbeidh forlámhas ag an leas sin ar chearta agus leasanna an ábhair shonraí.

Fuair an Coimisiún amach le linn a imscrúdaithe gurb amhlaidh, ag eascairt as an teagmhas a bhí i gceist, gur líomhnaíodh go ndearna an gearánach ionsaí tromchúiseach ar chomhghleacaí dá chuid agus gur sholáthair an teach tábhairne cóip de na píosaí scannáin TCI d’fhostóir an ghearánaigh ionas go bhféadfadh an fostóir imscrúdú cuí a dhéanamh ar an teagmhas agus ar na líomhaintí. Ós rud é gur tharla an timpiste le linn imeacht sóisialta de chuid an fhostóra, thug an Coimisiún aird ar an mbaol go bhféadfadh an fostóir bheith faoi dhliteanas i leith aon díobhálacha a d’fhulaing aon fhostaí le linn an teagmhais. Dá réir sin, próiseáladh na píosaí scannáin TCI ar mhaithe leis an oibleagáid a bhí ar an bhfostóir sláinte agus sábháilteacht a chuid fostaithe a chosaint. Ós rud é gur chuir an Chúirt Bhreithiúnais in iúl roimhe seo gur leas dlisteanach é an tsláinte a chosaint, ba dheimhin leis an gCoimisiún go raibh leas dlisteanach ann in údar a thabhairt leis an bpróiseáil. Chinn an Coimisiún freisin go raibh nochtadh na bpíosaí scannáin TCI sa chás seo riachtanach do na leasanna dlisteanacha a bhí á saothrú ag an bhfostóir ionas go bhféadfadh sé na líomhaintí go ndearna an gearánach éagóir a imscrúdú agus a bhailíochtú. Chinn an Coimisiún, ar aon dul leis na tuairimí ón Abhcóide Ginearálta Bobek i gcás phóilíní slándála réigiún Ríge, go bhfuil sé tábhachtach nach n-úsáidtear cosaint sonraí chun críocha bactha i gcásanna ina bhfuil méid beag sonraí pearsanta i gceist. Sna himthosca sin, chinn an Coimisiún nach mbeadh sé réasúnach a bheith ag súil leis go ndiúltódh an teach tábhairne don iarraidh ón fhostóir amharc ar na píosaí scannáin TCI agus cóip díobh a thógáil i gcomhthéacs líomhaintí faoi ionsaí tromchúiseach ar a áitreabh, go háirithe toisc go raibh na sonraí pearsanta teoranta don teagmhas a bhí i gceist agus nár nochtadh ar shlí eile iad. Maidir le leas an fhostóra a chothromú in aghaidh chearta agus leasanna an ghearánaigh, bhí aird phríomha ag an gCoimisiún ar chomhthéacs na próiseála, áit a bhfuair an teach tábhairne iarraidh go n-amharcfaí ar theagmhas tromchúiseach ar a áitreabh agus go soláthrófaí cóip de na píosaí scannáin den teagmhas, rud ar mheas an teach tábhairne go raibh sé sách tromchúiseach lena thuairisciú don Gharda Síochána. Dá ndiúltófaí don iarraidh, d’fhéadfadh go gcuirfí bac ar imscrúdú iomlán a dhéanamh ar ionsaí tromchúiseach líomhnaithe agus ar chumas an fhostóra sláinte agus leas a chuid fostaithe a chosaint. Dá réir sin, chinn an Coimisiún gur ghá don teach tábhairne na píosaí scannáin TCI a phróiseáil trí iad a sholáthar don fhostóir agus gur bheart réasúnach a raibh údar leis é sin. Chinn sé freisin go raibh forlámhas ag leas dlisteanach an fhostóra ar chearta agus saoirsí an ghearánaigh, go háirithe toisc nach raibh aon sonraí pearsanta íogaire i gceist leis an bpróiseáil agus nach ndearnadh aon phróiseáil iomarcach.

Maidir leis na fíricí, ba dheimhin leis an gCoimisiún go raibh comharthaí leordhóthanacha in airde ag an teach tábhairne ag an am lenar cuireadh pátrúin san airdeall go raibh TCI in úsáid chun baill foirne agus custaiméirí a chosaint agus chun an choireacht a chosc. Cheal fianaise a fháil uaidh ar a mhalairt, ba dheimhin leis freisin go bhfuair an gearánach fógra go raibh TCI in úsáid ag an am a bhí i gceist.

I gcás a lán gearán a láimhseálann an Coimisiún, creideann ábhair shonraí, agus dul amú orthu, go bhfuil próiseáil a sonraí pearsanta neamhdhleathach i gcás nár thoiligh siad leis an bpróiseáil sin. Mar sin féin, is ann do roinnt bunús dlí, seachas toiliú, lena dtugtar údar le próiseáil, ag brath ar na himthosca ar leith lena mbaineann. Maidir leis an údar le leasanna dlisteanacha, fiosróidh an Coimisiún go dian cé acu a shásaíonn nó nach sásaíonn imthosca na próiseála na gnéithe, dar leis an gCúirt Bhreithiúnais, nach mór a bheith ann ionas go bhféadfaidh rialaitheoirí a bheith ag brath ar an mbunús dlí sin. Mar an gcéanna, i gcás go sásaíonn na himthosca an tairseach a theastaíonn don údar sin, cuireann an Coimisiún béim ar an bhfíric gurb amhlaidh, de réir na dtuairimí ón Abhcóide Ginearálta Bobek ón gCúirt Bhreithiúnais, nár cheart ceanglais chosanta sonraí pearsanta a úsáid chun bac a chur ar fhíorleasanna dlisteanacha sna sonraí lena mbaineann.

 

3) Cás-Staidéar 3: Tras-scríbhinn comhrá Gréasáin de chuid Ryanair a bheith á seoladh chuig custaiméir eile (An dlí is infheidhme — an Rialachán Ginearálta maidir le Cosaint Sonraí agus an tAcht um Chosaint Sonraí, 2018)

Fuaireamar gearán ó ábhar sonraí a ndearna Ryanair an comhrá Gréasáin a bhí aige le fostaí de chuid Ryanair a nochtadh de thaisme i ríomhphost chuig duine eile a bhain úsáid as seirbhís comhrá Gréasáin Ryanair. I dtras-scríbhinn an chomhrá Gréasáin, tugadh ainm an ghearánaigh, ainm a pháirtnéara, a sheoladh ríomhphoist, a uimhir fóin agus a phleananna eitilte. D’inis an gearánach dúinn gurb é an duine ar seoladh tras-scríbhinn a chomhrá Gréasáin chuige trí earráid an duine a tharraing a aird ar an nochtadh.

Le linn dúinn an gearán a scrúdú, fuaireamar amach gurb é tríú páirtí a sholáthraíonn seirbhís comhrá Gréasáin bheo Ryanair, ar páirtí é atá ina phróiseálaí sonraí do Ryanair. Fuaireamar amach freisin go bhfuil feidhm uathlíonta ag an gcóras lena seoltar tras-scríbhinní na gcomhráite Gréasáin trí ríomhphost. Leis an bhfeidhm sin, líontar an réimse faighteora le seoladh ríomhphoist an chustaiméara dheireanaigh ar seoladh ríomhphost chuige. Ar an dáta a bhí i gceist, fuair an próiseálaí sonraí iarrataí ó cheathrar custaiméirí de chuid Ryanair ar thras-scríbhinní a gcomhráite Gréasáin. Phróiseáil an t-aon ghníomhaire amháin na hiarrataí sin. Dá ainneoin sin, ní dhearna an gníomhaire seoladh ríomhphoist an fhaighteora a athrú agus é ag seoladh na dtras-scríbhinní, rud a d’fhág gur seoladh iad chuig na faighteoirí míchearta. Chuir Ryanair in iúl dúinn gurb amhlaidh, chun a chinntiú nach dtiocfadh an fhadhb sin chun cinn choíche, gur dhíchumasaigh an próiseálaí sonraí an córas comhrá Gréasáin bheo agus gur cuireadh oiliúint athnuachana sa Rialachán Ginearálta ar an bhfoireann.

Is as úsáid a bhaint as na feidhmeanna uathlíonta i mbogearraí a eascraíonn an-chuid de na gearáin a fhaigheann an Coimisiún maidir leis an nochtadh neamhúdaraithe sonraí pearsanta i gcomhthéacs leictreonach e.g. ríomhphoist a bhfuil sonraí pearsanta iontu a bheith á seoladh chuig an bhfaighteoir mícheart. Cé go bhféadfadh go measfadh rialaitheoirí sonraí gur uirlis úsáideach sábhála ama í sin le haghaidh sonraí a iontráil, tá rioscaí dúchasacha ag baint léi i gcás go mbaintear úsáid aisti chun sonraí faighteora a líonadh chun críocha sonraí pearsanta a tharchur. Dá bhrí sin, ba cheart feidhmeanna uathlíonta a úsáid go cúramach agus, i gcás go gcinneann rialaitheoirí feidhm den sórt sin a chomhtháthú isteach ina mbogearraí chun críocha próiseála sonraí, ba cheart coimircí eile a úsáid, amhail bréagsheoltaí i dtús an leabhair sheoltaí nó leideanna ar an scáileán chun sonraí an fhaighteora a sheiceáil an athuair. Maidir leis an bprionsabal um shlándáil agus rúndacht sonraí pearsanta a chosaint, téann seisean agus cosaint sonraí trí dhearadh agus mar réamhshocrú i dteannta a chéile. Is amhlaidh sin toisc go ndéantar na caighdeáin is airde le haghaidh sonraí pearsanta a chosaint a úsáid, go háirithe maidir le hiomláine, slándáil agus rúndacht sonraí pearsanta a áirithiú, nuair a bhíonn rialaitheoirí sonraí agus próiseálaithe sonraí ag ceapadh céimeanna i gclár próiseála sonraí pearsanta nó i mbogearraí próiseála sonraí pearsanta.

 

4) Cás-Staidéar 4: Próiseáil neamhdhleathach a d’eascair as earráid billeála(An dlí is infheidhme — na hAchtanna um Chosaint Sonraí, 1988 agus 2003 (na hAchtanna))

I mí Aibreáin 2018, fuaireamar gearán ó ábhar sonraí a scoir dá bheith ina custaiméir de chuid an rialaitheora sonraí. Dá ainneoin sin, d’aimsigh sí go raibhná sonraí á bpróiseáil fós toisc go raibh sí ag fáil billí ón rialaitheoir sonraí fós. Fuair an gearánach dearbhuithe ó bhéal agus i scríbhinn araon á rá nach raibh uirthi an tsuim sa bhille a íoc.

Mar sin féin, fuair an gearánach teachtaireacht téacs ó chuideachta bailithe fiach ina dhiaidh sin, rud inar iarradh uirthi teagmháil a dhéanamh leis an gcuideachta. Nuair a chuir an gearánach glao ar an gcuideachta bailithe fiach, dhiúltaigh an chuideachta d’fhaisnéis ar bith faoin bhfiach líomhnaithe a thabhairt di go dtí go dtabharfadh sí dóibh sonraí pearsanta lena bhfíorófaí a haitheantas. Dhiúltaigh sí do dhéanamh amhlaidh. Ní ba mhoille an lá sin, fuair an gearánach litir ón gcuideachta bailithe fiach á dheimhniú go raibh an chuideachta ag iarraidh airgead a bhí le híoc aici leis an rialaitheoir sonraí a aisghabháil.

Sainaithníodh an gearán sin mar ghearán a d’fhéadfaí a réiteach go cairdiúil faoi alt 109 den Acht um Chosaint Sonraí, 2018. D’aontaigh an gearánach agus an rialaitheoir sonraí araon go n-oibreodh siad leis an gCoimisiún chun féachaint leis an ní a réiteach go cairdiúil.

Dheimhnigh Cuideachta A don Choimisiún gur de bharr earráide a léiríodh go raibh iarmhéid cuntais an ghearánaigh le glanadh fós. Luaigh an chuideachta gur baineadh an t-iarmhéid amuigh den chuntas a luaithe a shainaithin an rialaitheoir sonraí an earráid. Dheimhnigh an rialaitheoir sonraí gur thug sé ordú don chuideachta bailithe fiach scor d’aon ghníomhaíochtaí bailithe agus aon sonraí a bhaineann leis an ngearánach a scriosadh.

Cé go raibh an gearánach sásta leis an toradh deiridh, tharraing an Coimisiún aird an rialaitheora sonraí ar an bhfíric gur cuireadh in iúl don ghearánach dhá uair ar a laghad roimhe sin gur réitíodh an ní. Dá ainneoin sin, próiseáladh a sonraí go héagórach toisc gur cuireadh ar aghaidh iad chuig cuideachta bailithe fiach gan aon údar a bheith ann leis an nochtadh sin.

Ag aithint a mhainneachtainí dó, ghabh an rialaitheoir sonraí a leithscéal leis an ngearánach, thug sé dearbhuithe áirithe di á rá nach mbeadh éifeacht ar bith ag an ní ar a rátáil chreidmheasa agus thug sé bronntanais do charthanais is rogha léi.

Chun go mbeadh rialaitheoir in ann próiseálaí a fhostú go dleathach chun sonraí pearsanta a phróiseáil, ní mór údar a bheith ann le próiseáil na sonraí pearsanta a dhéanamh ar an gcéad dul síos. Sa chás seo, rinne an rialaitheoir neamhaird d’ábhair imní a tharraing an gearánach anuas roimhe sin nuair a chuir sí in iúl go raibh billí á n-eisiúint chuici fós, cé nach raibh sí ag fáil seirbhísí ón rialaitheoir a thuilleadh, agus gur theip air féachaint ar úsáid leantach a sonraí pearsanta chun críocha billeála in imthosca nach raibh sí ina custaiméir a thuilleadh iontu. Molann an Coimisiún do dhaoine aonair ábhair imní cosanta 26 sonraí a tharraingt anuas go díreach leis an rialaitheoir ar an gcéad dul síos chun go mbeidh sé in ann aghaidh a thabhairt orthu. Mar sin féin, tarlaíonn sé go minic go ndéanann rialaitheoirí sonraí neamhiontas nó neamhaird d’iarrachtaí a dhéanann an t-ábhar sonraí gearáin a tharraingt anuas go díreach go dtí go n-éiríonn an Coimisiún páirteach sa ní. Is ní do-ghlactha é sin. Mar chuid de na hoibleagáidí cuntasachta atá ar gach eagraíocht, ba cheart di bearta fiúntacha éifeachtúla a bheith i bhfeidhm aici chun déileáil le gearáin chosanta sonraí agus aghaidh a thabhairt orthu i gcás go dtarraingíonn ábhar sonraí anuas iad go díreach, gan aon ghá a bheith ag an ábhar sonraí le dul i muinín idirghabháil ón gCoimisiún.

 

5)  Cás-Staidéar 5: Freagra mall ar iarraidh ar rochtain (An dlí is infheidhme — an Rialachán Ginearálta maidir le Cosaint Sonraí agus an tAcht um Chosaint Sonraí, 2018)

Leis an Rialachán Ginearálta, leagtar tréimhsí ama ar rialaitheoirí sonraí ar lena linn nach mór dóibh freagra a thabhairt ar iarrataí ó ábhair shonraí agus iad ag feidhmiú a gceart. I gcás ábhar sonraí amháin a d’iarr taifeadadh de ghlao teileafóin a reáchtáladh idir an t-ábhar sonraí agus an líne oibritheora seirbhíse do chustaiméirí de chuid cuideachta ilnáisiúnta teicneolaíochta chun dul chun cinn a dhéanamh ar ghearán faoi sheirbhís do chustaiméirí, rinneadh gearán leis an gCoimisiún á rá nár próiseáladh laistigh den tréimhse ama a leagtar amach sa Rialachán Ginearálta an iarraidh ar rochtain a cuireadh isteach de bhun Airteagal 15 den Rialachán Ginearálta.

Ar an ngearán a fháil, chuaigh an Coimisiún i dteagmháil leis an gcuideachta chun í a chur ar an eolas faoin ngearán agus chun a fhiosrú di cé acu is amhlaidh nó nach amhlaidh gurbh ann d’aon ghníomh ba mhaith léi a dhéanamh ar an ní seo. Thug an chuideachta don ábhar sonraí cóip den ghlao teileafóin a d’iarr sé agus, dá réir sin, bhí an t-ábhar sonraí sásta gur réitíodh an gearán go cairdiúil. Bunaithe ar imthosca an cháis aonair seo, mheas an Coimisiún nach raibh sé riachtanach tuilleadh gníomhaíochta rialála a dhéanamh.

 

6) Cás-Staidéar 6: Iarraidh ar rochtain chuig club gailf ar phíosaí scannáin TCI (An dlí is infheidhme — an Rialachán Ginearálta maidir le Cosaint Sonraí agus an tAcht um Chosaint Sonraí, 2018)

I mí na Samhna 2018, fuaireamar gearán ó ábhar sonraí maidir le hiarraidh ar rochtain ar a shonraí pearsanta, rud a bhí comhdhéanta de phíosaí scannáin TCI ar am agus dáta ar leith. Rinneadh an iarraidh chuig club gailf, an rialaitheoir sonraí.

Chuir an t-ábhar sonraí ar fáil dúinn an comhfhreagras tosaigh a fuarthas ón gclub gailf. Sa chomhfhreagras sin, fiafraíodh den ábhar sonraí cén fáth a raibh na píosaí scannáin ag teastáil uaidh. I gcomhfhreagras a fuarthas ina dhiaidh sin, chuir an club in iúl don ábhar sonraí gur tháinig sé ar fhadhb leis na bogearraí córais TCI agus nach raibh an club in ann na píosaí scannáin a iarradh a sholáthar don ábhar sonraí dá bharr.

Measadh go bhféadfaí an gearán a réiteach go cairdiúil faoi alt 109 den Acht um Chosaint Sonraí, 2018.

Mar chuid den phróiseas réitigh chairdiúil, d’iarramar míniúchán ón gclub gailf ar cén fáth nach rabhthas in ann na píosaí scannáin TCI a iarradh a sholáthar don ghearánach.

D’inis an club gailf dúinn nach raibh a chóras TCI i mbun feidhme ar an dáta ar ina leith a d’iarr an t-ábhar sonraí na píosaí scannáin agus gurbh amhlaidh nár tháinig sé ar an eolas faoi sin ach ag an am a bhí sé ag iarraidh cloí leis an iarraidh ar rochtain. Ní raibh an Coimisiún sásta le cé chomh ginearálta is a bhí an míniúchán sin agus d’éiligh sé míniúchán níos mionsonraithe i scríbhinn ar na fadhbanna a bhí ag dul i bhfeidhm ar an gcóras TCI, ar mhíniúchán é a d’fhéadfaí a thabhairt don ghearánach freisin. Mar fhreagra ar an iarraidh sin, sheol cuideachta slándála an chlub gailf litir chugainn. Tugadh breac- chuntas inti ar na fadhbanna a bhí ann leis an gcóras TCI, lenar áiríodh an fhíric gur theip ar an tiomántán crua ar an gcóras TCI agus nach raibh an córas TCI i mbun feidhme le tamall roimhe sin. Bhí an Coimisiún sásta leis an míniúchán teicniúil a tugadh. D’aontaigh an club gailf go bhféadfaí an litir sin a chomhroinnt leis an ngearánach freisin. Bhí an gearánach sásta leis an míniúchán, rud as ar tháinig réiteach cairdiúil ar an ngearán.

Léirítear sa chás seo gurb amhlaidh, fiú i gcás go bhfuil sé ag obair ar son réiteach cairdiúil ar ghearán a éascú nó a shocrú, go mbeidh an Coimisiún ag súil fós le cuntasacht thar ceann an rialaitheora nó an phróiseálaí agus go háirithe go mionscrúdóidh an Coimisiún na míniúcháin agus na cúiseanna a thugtar maidir le neamhchomhlíonadh a oibleagáidí ag an rialaitheoir nó ag an bpróiseálaí. Déanfaidh sé amhlaidh chun a chinntiú gurb infhíoraithe agus intaispeánta atá an seasamh a chuirtear ar aghaidh.

 

7) Cás-Staidéar 7: Faisnéis airgeadais a bheith á seoladh mar chóip charbóin chuig bialann go hearráideach (An dlí is infheidhme — na hAchtanna um Chosaint Sonraí, 1988 agus 2003 (na hAchtanna))

Fuaireamar gearán a bhain le nochtadh líomhnaithe shonraí pearsanta na ngearánach do thríú páirtí ag comhlacht díoltóireachta mótarfheithiclí. Chun carr a cheannach trí Phlean Conartha Pearsanta, thug na gearánaigh cóipeanna dá gceadúnais tiomána agus dá sonraí bainc don chomhlacht díoltóireachta. Áiríodh leis na sonraí sin ráitis bhainc agus lánsonraí cuntais. Cuireadh iad ar áireamh ina dhiaidh sin i ríomhphost a seoladh ón gcomhlacht díoltóireachta chuig seoladh ríomhphoist tríú páirtí, a measadh a bheith ina sheoladh atá bainteach le banc. Cuimsíodh sa ríomhphost sin ceadúnais tiomána agus sonraí bainc na ngearánach. Bhí imní ar na gearánaigh gur sheoladh ríomhphoist de chuid bialainne a bhí i seoladh ríomhphoist an tríú páirtí. Rinne siad teagmháil leis an gcomhlacht díoltóireachta faoi sin. Dearbhaíodh dóibh, áfach, gur le banc a bhain an seoladh ríomhphoist i gceist agus go raibh an seoladh ríomhphoist slán.

Bhí imní ar na gearánaigh fós faoi úinéireacht an tseolta ríomhphoist. Rinne siad taighde ar líne ar an ní agus ba dheimhin leo gur sheoladh ríomhphoist de chuid bialainne a bhí sa seoladh ríomhphoist. Chun na hábhair amhrais a bhí acu a dheimhniú, sheol cara leis na gearánaigh ríomhphost chuig an seoladh i gceist. Deimhníodh sa fhreagra a fuarthas gur sheoladh ríomhphoist de chuid bialainne é.

Le linn ár scrúdaithe, d’admhaigh an comhlacht díoltóireachta gur seoladh an ríomhphost go hearráideach chuig an seoladh mícheart. D’ainneoin na hadmhála sin, ba shoiléir nach ndearnadh aon iarracht ina dhiaidh sin dul i dteagmháil leis an mbialann chun a iarraidh go scriosfadh an faighteoir neamhbheartaithe an fhaisnéis a seoladh chuige go hearráideach. Ar ordú a fháil ón oifig seo, fuaireamar deimhniú go ndeachaigh an comhlacht díoltóireachta i dteagmháil leis an mbialann agus d’iarr sé go scriosfaí an ríomhphost, na doiciméid san áireamh. Chuir an comhlacht díoltóireachta moladh ar aghaidh le haghaidh teacht ar réiteach cairdiúil. Ghlac na gearánaigh leis an moladh sin.

Léirítear sa chás seo go bhfuil sé ríthábhachtach go ndéanann rialaitheoirí sonraí (agus a bhfostaithe) cleach28 tas beart réamhchúramach a chur chun feidhme agus a úsáid agus iad ag tarchur sonraí pearsanta, agus faisnéis airgeadais go háirithe, go leictreonach. Is le nochtadh neamhúdaraithe a bhaineann céatadán suntasach de na fógraí faoi sháruithe sonraí a fhaigheann an Coimisiún. Cúis choitianta leo sin is ea ríomhphoist a bheith á seoladh go hearráideach chuig an seoladh mícheart. I gcás go sainaithníonn rialaitheoir sonraí gur tháinig teagmhas den sórt sin chun cinn, ní leor é a admháil, is cuma cé acu a admhaítear é don ábhar sonraí nó a admhaítear é don Choimisiún. Ina ionad sin, tá sé de dhualgas ar an rialaitheoir sonraí gach beart réasúnach a dhéanamh chun sárú den sórt sin a leigheas. Áirítear leo sin ríomhphost a athghairm ón seoltóir, iarraidh ar an bhfaighteoir neamhbheartaithe a dheimhniú gur scrios sé/sí an ríomhphost agus, ina dhiaidh sin, bearta a chur i bhfeidhm chun a chinntiú nach dtarlódh a leithéid choíche. Is iad earráidí daonna a dhéanann baill foirne is cúis leanúnach le hardriosca go ndéanfaí sáruithe sonraí. Tá sé ríthábhachtach go ndéantar iarracht na rioscaí sin a mhaolú trí fheasacht ar chosaint sonraí a bhrú chun cinn ar fud na heagraíochta, go háirithe i ndáil le baill foirne nua.

 

8) Cás-Staidéar 8: Cás-Staidéar 9: Sárú sonraí ag an bPríomh-Oifigeach Staidrimh - Nochtadh sonraí P45 (An dlí is infheidhme — na hAchtanna um Chosaint Sonraí, 1988 agus 2003)

Fuaireamar roinnt gearán go mall sa bhliain 2017 in aghaidh na Príomh-Oifige Staidrimh. Líomhnaíodh i ngach ceann díobh gur nocht an Phríomh-Oifig Staidrimh sonraí pearsanta na ngearánach lenar bhain gan a fhios dóibh agus gan toiliú a fháil uathu. Bhain na gearáin le sárú sonraí a thuairiscigh an Phríomh-Oifig Staidrimh dúinn (de réir an Chóid Chleachtais um Sháruithe Slándála i nDáil le Sonraí Pearsanta, ar cód cleachtais deonach é) agus do na daoine aonair lenar bhain freisin.

D’eascair an sárú sonraí as gníomhartha a rinne an Phríomh-Oifig Staidrimh chun freagra a thabhairt ar thrí iarraidh a fuarthas thar thréimhse cúig lá ó iar-áiritheoirí daonáirimh ar leith a bhí ag iarraidh a bhfaisnéise P45. Ní hé amháin gur sheol an Phríomh-Oifig Staidrimh faisnéis P45 na ndaoine lenar bhain, ach sheol sí faisnéis P45 na mílte áiritheoirí eile daonáirimh freisin. D’inis an Phríomh-Oifig Staidrimh dúinn gur sainaithníodh an sárú sonraí nuair a bhí ball foirne ag caitheamh súil ar an mbosca ríomhphoist míreanna seolta dá cuid, rud a rinneadh mar chuid de chleachtais chaighdeánacha díchill chuí na Príomh-Oifige Staidrimh. Dheimhnigh an Phríomh-Oifig Staidrimh gur cuimsíodh sonraí pearsanta amhail Uimhreacha PSP, dátaí breithe, seoltaí agus an tuilleamh ón bhfostaíocht mar áiritheoirí daonáirimh san fhaisnéis P45 tríú páirtí a nochtadh.

Le linn ár n-imscrúdaithe, chuir an Phríomh-Oifig Staidrimh in iúl dúinn gurbh amhlaidh, ar an sárú a aimsiú, gur thug sí fógra do na faighteoirí faoin earráid, a dheimhnigh ina dhiaidh sin i scríbhinn gur scrios siad na comhaid. D’inis an Phríomh-Oifig Staidrimh dúinn gur thug sí fógra do gach duine aonair lenar bhain faoi fhíricí an tsáraithe mar a bhain siad le gach duine aonair. Chuir an Phríomh-Oifig Staidrimh in iúl dúinn freisin gurb amhlaidh, tar éis an tsáraithe sonraí, gur chuir sé raon nósanna imeachta nua chun feidhme le haghaidh iarrataí P45 a láimhseáil. Áiríodh leo sin riail nach dtabharfaí freagra ar iarrataí P45 ach amháin trí chasadh an phoist ón uair sin i leith.

Bhí tionchar ag an sárú sonraí sin ar na mílte duine ar cuimsíodh a sonraí pearsanta sna comhaid a nochtadh go neamhdhleathach don triúr iar-áiritheoirí. B’amhlaidh go bunúsach gur i dtriarach a tharla an teagmhas, toisc gur le trí chumarsáid amach ar leith a ceanglaíodh na comhaid a nochtadh go hearráideach. Bheifí in ann an teagmhas sin a chosc dá mba rud é go raibh na próisis chuí i bhfeidhm ag an bPríomh-Oifig Staidrimh le haghaidh formhaoirseacht a dhéanamh ar eisiúint sonraí pearsanta a bhaineann le cáin.

D’eisigh an Coimisiún roinnt cinntí aonair ar na gearáin a fuarthas i dtaca leis an sárú. Chinn sé i ngach cás go ndearnadh sárú ar alt 2A(1) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003, toisc gur próiseáladh sonraí pearsanta gan bunús dlí, mar a bhí soiléir sa tuairisc sáraithe a sheol an Phríomh-Oifig Staidrimh chuig an gCoimisiún. Tar éis dó scrúdú a dhéanamh ar na bearta nua a chuir an Phríomh-Oifig Staidrimh chun feidhme chun a chinntiú nach dtarlódh a leithéid choíche, ba dheimhin leis an gCoimisiún gur thug sí aghaidh go cuimsitheach ar na mainneachtainí ba chúis leis an teagmhas. Mar sin féin, bhí na nósanna imeachta eagraíochtúla nua sin ina léiriú gurbh amhlaidh, maidir leis na bearta a bhí i bhfeidhm roimhe le haghaidh freagra a thabhairt ar iarrataí ar fhaisnéis a bhaineann le cáin, go raibh siad easnamhach ó thaobh dhlíthiúlacht na próiseála agus shlándáil agus rúndacht na sonraí pearsanta atá á sealbhú ag an bPríomh-Oifig Staidrimh a chinntiú de.

 

9)  Cás-Staidéar 9: Mainneachtain na beartais chosanta sonraí a bhí i bhfeidhm a chur chun Feidhme

Chaill fostaí de chuid an rialaitheora sonraí, ar comhlacht earnála poiblí é, gléas neamhchriptithe USB ina raibh faisnéis phearsanta faoi roinnt comhghleacaithe agus roinnt úsáideoirí seirbhíse.

Bhí i bhfeidhm ag an rialaitheoir poiblí an beartas agus na nósanna imeachta cuí lenar cuireadh cosc ar shonraí pearsanta a stóráil ar a chóras lárnach TF agus ar shonraí pearsanta a bhaint ón gcóras sin ach gléasanna neamhchriptithe a úsáid. Ní raibh i bhfeidhm aige, áfach, an fhormhaoirseacht ná an mhaoirseacht a bhí riachtanach chun a chinntiú go gcloífí lena chuid rialacha. Ba chosúil nach raibh an fostaí ar an eolas faoin mbeartas maidir le gléasanna neamhchriptithe a úsáid ach oiread. Bheifí in ann an sárú a chosc sa chás seo dá mba rud é gur chuir an eagraíocht an beartas chun feidhme ina iomláine agus gur chuir sí an fhoireann ar an eolas faoi.

 

10)  Cás-Staidéar 10: Cailleadh gléas neamhchriptithe USB sa phost

Thug rialaitheoir sonraí san earnáil phríobháideach fógra don Choimisiún gur seoladh pacáiste ina raibh foirmeacha toilithe agus gléas neamhchriptithe USB ach úsáid a bhaint as seirbhísí gnáthphoist.

Rinneadh damáiste don phacáiste agus é faoi bhealach, áfach, agus thit an gléas USB amach as an bpacáiste agus cailleadh é dá bharr sin. Ba é a bhí sa ghléas USB ná pictiúir de mhionaoisigh agus iad ag glacadh páirt in imeacht oideachasúil eagraithe. D’fhéadfaí cailleadh/ nochtadh féideartha na sonraí pearsanta a bhí sa ghléas USB a chosc/a mhaolú sa chás seo dá mba rud é go raibh beartas criptithe i bhfeidhm ag an rialaitheoir sonraí maidir le gléasanna cuimhne iniompartha a úsáid agus go raibh beartas leordhóthanach i bhfeidhm aige maidir le hábhar íogair a sheoladh le casadh an phoist, e.g. an post cláraithe/seirbhís cúiréireachta.

 

11)  Cás-Staidéar 11: Fioscaireacht suíomh Gréasáin

Thug rialaitheoir sonraí san earnáil phríobháideach (oideachas) fógra don Choimisiún faoi theagmhas fioscaireachta, áit ar chliceáil ball foirne ar nasc amhrasach suíomh Gréasáin agus ar chuir sé a dhintiúir isteach.

Cuireadh cuntas ríomhphoist an bhaill foirne i mbaol dá bharr sin. Níor chumasaigh an rialaitheoir sonraí fíordheimhniú ilfhachtóra ar a chuntais ríomhphoist. D’fhéadfaí an sárú sonraí a chosc sa chás seo dá mba rud é go raibh an beart teicniúil sin agus oiliúint chuí i gcibearshlándáil i bhfeidhm ag an rialaitheoir sonraí ón tús.

 

12)  Cás-Staidéar 12: Cailleadh comhaid pháipéir agus iad faoi bhealach

Thug an rialaitheoir sonraí, ar comhlacht poiblí é, fógra don Choimisiún faoi theagmhas a bhain le hiompar comhad dlíthiúil cruachóipe ina raibh catagóir speisialta sonraí pearsanta.

Rinne an rialaitheoir cuideachta cúiréireachta a chonrú chun na comhaid a iompar chuig roinn eile, ach chuaigh na comhaid ar iarraidh ina dhiaidh sin agus iad faoi bhealach. Tharla sé nár choinnigh an rialaitheoir leagan cúltaca de na comhaid bhunaidh agus cailleadh sonraí pearsanta dá bharr sin. Ní raibh nósanna imeachta dóthanacha i bhfeidhm ag an rialaitheoir le haghaidh comhaid chruachóipe ina bhfuil catagóir speisialta sonraí pearsanta a bhaint agus a stóráil go slán. D’fhéadfaí an sárú a chosc sa chás seo dá mba rud é go ndearna an eagraíocht breithniú cuí ar a riachtanais agus ábhair den sórt sin á n-iompar aici chuig láthair eile agus ar na rioscaí dúchasacha atá i gceist le gníomhaíochtaí den sórt sin agus dá mba rud é gur chuir sí bearta níos sláine chun feidhme chun cosaint sonraí pearsanta a chinntiú.

 

13) Cás-Staidéar 13: Rinneadh ionsaí chun cárta SIM a bhabhtáil

Thug ábhar sonraí fógra don rialaitheoir sonraí (ar oibritheoir líonra fón póca é) á rá gur iarr tríú páirtí neamhúdaraithe babhtáil cárta SIM ar a cuntas fón póca agus gur údaraíodh an bhabhtáil sin.

Bhí imní ar an ábhar sonraí toisc gur úsáideadh a huimhir fón póca chun teachtaireachtaí téacs a fháil óna banc le haghaidh fíordheimhniú dhá fhachtóir i dtaca lena seirbhís baincéireachta. Tugadh le fios san imscrúdú breise a rinne an rialaitheoir sonraí ar an gcás go bhfuair tríú páirtí neamhaithnid méid beag sonraí pearsanta de chuid an ábhair shonraí ach modhanna seachtracha a úsáid. Tugadh le fios ann freisin gur éirigh leis an tríú páirtí sin dul trí phróisis bhailíochtaithe aitheantais an rialaitheora sonraí. Níor chloígh an gníomhaire um sheirbhís do chustaiméirí de chuid an rialaitheora sonraí leis an bpróiseas bailíochtaithe ina iomláine agus gur éascaigh an gníomhaire babhtáil cárta SIM ar chuntas an chustaiméara ar bhealach a bhí contrártha do bheartas an rialaitheora sonraí. Ní tharlódh an sárú sa chás seo dá mba rud é go raibh próisis níos láidre i bhfeidhm ag an rialaitheoir sonraí lena gcuirtear cosc ar rochtain ar fhaisnéis thábhachtach cuntais agus dá mba rud é go bhfuair an gníomhaire um sheirbhís do chustaiméirí oiliúint dhóthanach i gcosaint sonraí, lena n-áirítear oiliúint ar na rioscaí a thagann chun cinn ó thaobh sonraí pearsanta custaiméirí de nuair a imítear ó bheartas bailíochtaithe na cuideachta.

 

14) Cás-Staidéar 14: Gné ‘Lua sa nuacht’ (An dlí is infheidhme — an Rialachán Ginearálta maidir le Cosaint Sonraí agus an tAcht um Chosaint Sonraí, 2018)

Sa bhliain 2018, fuair an Coimisiún dhá ghearán a bhain le gné ar ardán líonraithe ghairmiúil (an rialaitheoir sonraí), áit a seolann an rialaitheoir sonraí ríomhphoist agus fógraí chuig na naisc agus na leantóirí atá ag ball chun a chur in iúl dóibh gur luadh an ball sa nuacht agus chun a rá cén uair a luadh é/í.

Rinneadh ceann amháin de na gearáin leis an gCoimisiún i mí an Mhárta 2018, roimh chur i bhfeidhm an Rialacháin Ghinearálta. Fuair an Coimisiún an gearán eile i mí Dheireadh Fómhair 2018. D’eascair an dá ghearán as cásanna inar cheangail an rialaitheoir sonraí na baill go mícheart le hailt mheán nár bhain leo. I gceann amháin de na gearáin, scaip an rialaitheoir sonraí alt meán ar na naisc agus na leantóirí a bhí ag ball foirne. Tugadh sonraí san alt faoin saol príobháideach agus gairm neamhrathúil a bhí ag duine arb ionann a ainm agus ainm an ghearánaigh. Chuir an gearánach an ní in iúl don rialaitheoir sonraí agus, nuair nár réitíodh é chun a shástachta, chuir sé an Coimisiún ar an eolas faoin ngearán. Luaigh an gearánach go ndeachaigh an t-alt chun dochair dá sheasamh gairmiúil agus gur chaill sé conarthaí dá ghnóthas dá bharr. Ba é a bhí i gceist leis an dara gearán gur scaipeadh alt a d’fhéadfadh dochar a dhéanamh, dar leis, dá ionchais ghairme sa todhchaí, ar alt é nach ndearna an rialaitheoir sonraí grinnfhiosrú cuí air. Ba é an príomhábhar imní a d’eascair as na gearáin sin ná gur theip ar an rialaitheoir sonraí meaitseanna a shainaithint i gceart idir baill agus na daoine sin ar tagraíodh dóibh in ailt mheán tríú páirtí ar leith. Ba é an toradh a bhí air sin gur ceanglaíodh baill le scéalta nuachta nár bhain leo. Ba léir ó na gearáin nár leor meaitseáil trí ainmn amháin, rud a chruthaigh ábhair imní a bhain go príomha le dlíthiúlacht, cothroime agus cruinneas na próiseála sonraí pearsanta ar baineadh úsáid aisti sa ghné ‘Lua sa nuacht’.

Mar thoradh ar na gearáin sin agus an idirghabháil a rinne an Coimisiún, rinne an rialaitheoir sonraí athbhreithniú ar an ngné. Ba é an toradh a bhí ar an athbhreithniú sin ná gur cuireadh an ghné ar fionraí do bhaill atá lonnaithe san Aontas Eorpach, ar feitheamh feabhsuithe chun sonraí a bhall a chosaint.

 

15)  Cás-Staidéar 15: Ionchúiseamh Viking Direct (Ireland) Limited

I mí Aibreáin 2017, fuaireamar gearán ó úinéir gnóthais maidir le ríomhphoist mhargaíochta neamhiarrtha a bhí seoladh ríomhphoist an ghnóthais ag fáil ó Viking Direct (Ireland) Limited. Chuir an gearánach in iúl go ndearna sí teagmháil leis an gcuideachta roimhe sin chun a iarraidh go mbainfí seoladh ríomhphoist a gnóthais ón liosta margaíochta. Dá ainneoin sin, leanadh le tuilleadh ríomhphost margaíochta a sheoladh chuici.

Le linn ár n-imscrúdaithe, dheimhnigh Viking Direct (Ireland) Limited gur iarr an gearánach roinnt uaireanta go mbainfí í dá liosta seachadta. Mhínigh sé gur theip ar na próisis inmheánacha le haghaidh na sonraí a aistriú chuig an liosta sochta. Dá bharr sin, bhí na sonraí ann ar an liosta seachadta fós. Luaigh an chuideachta go ndearnadh na córais a cheartú agus a thástáil ón uair sin, a fhágann nár cheart go dtiocfadh an cás sin chun cinn choíche. Ghabh an chuideachta a leithscéal as aon mhíchaoithiúlacht a raibh an gearánach thíos léi. Le linn ár n-imscrúdaithe, aimsíodh fianaise ar thrí iarraidh scar-rogha a sheol an gearánach chuig Viking Direct (Ireland) Limited trí ríomhphost idir an 30 Márta 2017 agus an 11 Aibreán 2017.

Sa bhliain 2012, bhí Viking Direct (Ireland) Limited ina ábhar d’imscrúdú a tionscnaíodh mar thoradh ar ghearán a rinneadh leis an gCoimisinéir Cosanta Sonraí faoi ríomhphoist mhargaíochta neamhiarrtha. Ag an am sin, thugamar an t-imscrúdú sin chun críche ach rabhadh a eisiúint chuig an gcuideachta. I bhfianaise an rabhaidh sin, chinn an Coimisiún go n-ionchúiseodh sé an chuideachta i leith an ghearáin a rinneadh sa bhliain 2017.

I gCúirt Dúiche Limistéar Chathair Bhaile Átha Cliath an 14 Bealtaine 2018, thaifead an chuideachta pléadáil chiontach i gcúis amháin a bhain le ríomhphost margaíochta neamhiarrtha a bheith á sheoladh chuig seoladh ríomhphoist ghnóthais de shárú ar Rialachán 13(4) de I.R. Uimh. 336 de 2011. I gcomhréir leis an Rialachán sin, is cion é cumarsáid margaíochta dírí neamhiarrtha a sheoladh trí ríomhphost chuig síntiúsóir (síntiúsóirí gnó san áireamh) i gcás gur chuir an síntiúsóir in iúl don seoltóir nach dtoilíonn sé/sí le cumarsáid den sórt sin a fháil. Cuireadh an cás ar atráth le haghaidh pianbhreith a ghearradh go dtí an 11 Meitheamh 2018. Ag an éisteacht gearrtha pianbhreithe, bhain an chúirt úsáid as alt 1(1) den Acht um Promhadh Ciontóirí, in ionad ciontú agus fíneáil a ghearradh. D’aontaigh an chuideachta go n-íocfadh sí as na costais ionchúisimh a thabhaigh an Coimisiún.

 

16)  Cás-Staidéar 16: Ionchúiseamh Clydaville Investments Limited, ag trádáil faoi ainm The Kilkenny Group

I mí na Samhna 2017, fuaireamar gearán ó dhuine aonair a fuair ríomhphost margaíochta ó The Kilkenny Group. Cuireadh sladmhargadh réamh-Nollag chun cinn sa ríomhphost, a seoladh go pearsanta chuige. Cuireadh in iúl ann gur laghdaíodh na praghsanna faoi suas go dtí 50% agus gur laghdaíodh praghas gach míre. D’inis an gearánach dúinn nár chreid sé gur roghnaigh sé ríomhphoist mhargaíochta a fháil.

Le linn ár n-imscrúdaithe, tháinig sé chun solais gur seoladh ríomhphost margaíochta chuig an ngearánach céanna i mí na Samhna 2016, bliain amháin roimhe sin. Tugadh cuireadh dó sa ríomhphost freastal ar ócáid chorparáideach i siopa na cuideachta i gCorcaigh. D’inis an gearánach dúinn ina dhiaidh sin gur chuimhnigh sé gur thug sé freagra ar an ríomhphost, á iarraidh go scriosfaí a sheoladh ríomhphoist.

Ag teacht sna sála ar ár n-imscrúdú ar ghearán faoi theachtaireachtaí téacs margaíochta neamhiarrtha a sheol The Kilkenny Group chuig cuideachta eile, d’eisíomar rabhadh chuig an gcuideachta i mí Mheán Fómhair 2012. Ina fianaise sin, chinn an Coimisiún go n-ionchúiseodh sé an chuideachta i leith an ghearáin a rinneadh sa bhliain 2017.

Éisteadh an ní i gCúirt Dúiche Thrá Lí an 15 Deireadh Fómhair 2018. Cuireadh ceithre chúis san iomlán i leith an chosantóra. Bhain dhá chúis le sáruithe líomhnaithe ar Rialachán 13(1) de I.R. Uimh. 336 de 2011 i leith ríomhphoist mhargaíochta neamhiarrtha a bheith á seoladh chuig an ngearánach i mí na Samhna 2016 agus i mí na Samhna 2017 gan a thoiliú a fháil. Bhain dhá chúis eile le sáruithe líomhnaithe ar Rialachán 13(12)(c) de I.R. Uimh 336 de 2011. Foráiltear leis an Rialachán sin nach seolfaidh duine ríomhphost margaíochta leictreonaí nach dtugtar ann seoladh bailí a bhféadfaidh an faighteoir iarraidh a sheoladh chuige á rá go scoirfí den chumarsáid sin. Ós rud é nár taifeadadh pléadálacha ciontacha i leith ceann ar bith de na cúiseanna, tugadh an ní ar aghaidh chuig éisteacht iomlán lenar bhain triúr finnéithe cosanta agus beirt fhinnéithe ionchúisimh, an gearánach san áireamh. Ag deireadh na n-imeachtaí, chinn an chúirt gur cruthaíodh na fíricí i ndáil le dhá shárú ar Rialachán 13(1) i leith dhá ríomhphost margaíochta a bheith á seoladh gan toiliú. Ar an tuiscint go n-íocfadh an cosantóir as na costais ionchúisimh, a bhí cothrom le €1,850, bhain an chúirt úsáid as alt 1(1) den Acht um Promhadh Ciontóirí i leith an dá chúis, in ionad ciontú agus fíneáil a ghearradh. Dhiúltaigh an chúirt don dá chúis a bhain le Rialachán 13(12)(c).

 

17) Cás-Staidéar 17: Ionchúiseamh DSG Retail Ireland Limited

Oibríonn DSG Retail Ireland Limited faoi ainmneacha difriúla trádála agus faoi ainmneacha difriúla cláraithe gnó amhail Dixons, Currys, PC World agus Currys PC World. I mí na Samhna 2017, fuaireamar gearán ó bhean a cheannaigh teilifís ó Currys bliain amháin roimhe sin. Chuir sí in iúl dúinn gur thug sí a seoladh ríomhphoist don chuideachta chun críocha admháil a fháil agus nár thoiligh sí le ríomhphoist mhargaíochta a fháil. Luaigh sí gur dhíliostáil sí ó thuilleadh ríomhphost a fháil. Dá ainneoin sin, lean sí leis na ríomhphoist neamhiarrtha a fháil.

Le linn ár n-imscrúdaithe, d’inis an chuideachta dúinn gur éirigh leis an gcustaiméir díliostáil óna liosta seachadta i mí na Samhna 2016. Tar éis di mír eile a cheannach i mí Eanáir 2017 agus a roghnú an athuair gan cumarsáidí margaíochta a fháil, áfach, cruthaíodh taifead dúbailte de bharr an dara hidirbheart a bhí ag an gcustaiméir. Dar 68 leis an gcuideachta, ba é an toradh a bhí ar an taifead dúbailte sin agus ar fhabht sa chóras a tháinig chun cinn le linn nuashonrú a córas i mí na Bealtaine 2017 ná go ndearnadh earráid maidir le taifeadadh shainroghanna margaíochta an chustaiméara. Mar thoradh air sin, bhí tréimhse ann idir mí Lúnasa agus mí na Samhna 2017 ar lena linn a bhíothas ag seoladh ríomhphoist mhargaíochta chuici.

Le linn ár n-imscrúdaithe, d’inis an chuideachta dúinn gur éirigh leis an gcustaiméir díliostáil óna liosta seachadta i mí na Samhna 2016. Tar éis di mír eile a cheannach i mí Eanáir 2017 agus a roghnú an athuair gan cumarsáidí margaíochta a fháil, áfach, cruthaíodh taifead dúbailte de bharr an dara hidirbheart a bhí ag an gcustaiméir. Dar 68 leis an gcuideachta, ba é an toradh a bhí ar an taifead dúbailte sin agus ar fhabht sa chóras a tháinig chun cinn le linn nuashonrú a córas i mí na Bealtaine 2017 ná go ndearnadh earráid maidir le taifeadadh shainroghanna margaíochta an chustaiméara. Mar thoradh air sin, bhí tréimhse ann idir mí Lúnasa agus mí na Samhna 2017 ar lena linn a bhíothas ag seoladh ríomhphoist mhargaíochta chuici.

Le linn ár n-imscrúdaithe, d’inis an chuideachta dúinn gur éirigh leis an gcustaiméir díliostáil óna liosta seachadta i mí na Samhna 2016. Tar éis di mír eile a cheannach i mí Eanáir 2017 agus a roghnú an athuair gan cumarsáidí margaíochta a fháil, áfach, cruthaíodh taifead dúbailte de bharr an dara hidirbheart a bhí ag an gcustaiméir. Dar 68 leis an gcuideachta, ba é an toradh a bhí ar an taifead dúbailte sin agus ar fhabht sa chóras a tháinig chun cinn le linn nuashonrú a córas i mí na Bealtaine 2017 ná go ndearnadh earráid maidir le taifeadadh shainroghanna margaíochta an chustaiméara. Mar thoradh air sin, bhí tréimhse ann idir mí Lúnasa agus mí na Samhna 2017 ar lena linn a bhíothas ag seoladh ríomhphoist mhargaíochta chuici.

 

18) Cás-Staidéar 18: Ionchúiseamh Vodafone Ireland Limited

I mí na Bealtaine 2018, fuaireamar gearán ó dhuine a luaigh go raibh sé ag fáil glaonna neamhiarrtha ó fhoireann margaíochta Vodafone ar bhonn rialta. Mhaígh sé gur thug Vodafone glao air ar dtús an 10 Bealtaine 2018, ar lena linn a dúirt sé nach raibh suim aige sa tairiscint ón gcuideachta. Ón uair sin i leith, áfach, thosaigh an chuideachta ag tabhairt glaonna air gach lá. Rinne sé neamhiontas den chumarsáid ar fad.

Le linn ár n-imscrúdaithe, dheimhníomar, bunaithe ar thaifeadadh den ghlao teileafóin margaíochta an 10 Bealtaine 2018, gur inis an gearánach don ghníomhaire a thug an glao nach raibh suim aige i seirbhís leathanbhanda Vodafone. D’inis Vodafone dúinn gurbh é an gníomh ba cheart a bheith déanta ag an ngníomhaire ná an uimhir theileafóin a bhaint den fheachtas margaíochta ach cód cuí a úsáid agus é ag dúnadh an ghlao. Mar thoradh ar earráid dhaonna, dúnadh an glao teileafóin le cód mícheart le haghaidh glao ar ais. D’fhág sé sin gur coinníodh uimhir theileafóin an ghearánaigh ar comhad, rud ba chúis leis na glaonna breise.

Fuaireamar gearán ar leith ó chustaiméir de chuid Vodafone i mí Iúil 2018. Luaigh sé go bhfuair sé glao teileafóin margaíochta neamhiarrtha ó Vodafone i mí an Mheithimh 2018, cé gur roghnaigh sé le linn glao teileafóin margaíochta neamhiarrtha roimhe a tugadh air i mí na Bealtaine 2018 gan glaonna teileafóin margaíochta a fháil. Seoladh deimhniú ina leith sin chuige trí ríomhphost tamall beag ina dhiaidh sin.

Mar fhreagra ar ár gceisteanna, thagair Vodafone do thuarascáil sáraithe sonraí a chuir sé faoi bhráid an Choimisiúin an 21 Meitheamh 2018. Sa tuarascáil sin, cuireadh in iúl don Choimisiún gur go hearráideach a seoladh cumarsáidí margaíochta chuig roinnt custaiméirí a roghnaigh idir an 18 Bealtaine agus an 11 Meitheamh 2018 gan cumarsáidí margaíochta a fháil. Míníodh inti gur tháinig an earráid sin chun cinn mar thoradh ar dheacrachtaí a bhí ann le hathruithe córais a chur chun feidhme mar chuid de chlár na cuideachta um an Rialachán Ginearálta a chomhlíonadh. Ba é an toradh a bhí air sin ná nár léadh go soiléir ar gach ceann de chórais Vodafone na sainroghanna margaíochta a athraíodh tamall beag roimhe sin. Dá réir sin, cuireadh na custaiméirí lenar bhain ar áireamh i bhfeachtais mhargaíochta.

Chinn an Coimisiún go n-ionchúiseodh sé Vodafone i dtaca leis an dá chás. I gCúirt Dúiche Limistéar Chathair Bhaile Átha Cliath an 22 Deireadh Fómhair 2018, thaifead an chuideachta pléadálacha ciontacha in dhá chúis a bhain le sáruithe ar Rialachán 13(6)(a) de I.R. Uimh. 336 de 2011 i leith glaonna teileafóin neamhiarrtha a bheith á dtabhairt ar theileafóin phóca na beirte gearánach gan a dtoiliú a fháil. Chiontaigh an chúirt Vodafone sa dá chúis agus ghearr sí fíneálacha €1,000 air i leith an dá chúis ar leith (fíneáil iomlán €2,000). D’aontaigh Vodafone go n-íocfadh sí as costais ionchúisimh an Choimisiúin.

 

19)  Cás-Staidéar 19: Ionchúiseamh Starrus Eco Holdings Limited, ag trádáil faoi ainm Panda agus Greenstar

I mí Aibreáin 2018, rinne custaiméir de chuid Panda, soláthraí seirbhíse bailithe araidí, gearán á rá go bhfuair sé teachtaireachtaí margaíochta neamhiarrtha trí theachtaireacht téacs agus trí ríomhphost inar fógraíodh gnó leictreachais Panda. Níor thoiligh sé leis na teachtaireachtaí sin. Luaigh sé nach raibh rogha díliostála ann sna teachtaireachtaí.

Le linn ár n-imscrúdaithe, chuir Panda in iúl dúinn nár cheart na teachtaireachtaí margaíochta a bheith faighte ag an ngearánach. D’inis sé gurbh amhlaidh, mar thoradh ar earráid dhaonna, gur chreid ball foirne sa rannóg margaíochta go mícheart gur thoiligh an gearánach le teachtaireachtaí margaíochta dírí a fháil. B’oth leis gur theip air scar-rogha a chur ar áireamh sna teachtaireachtaí agus mhínigh sé gur theip ar a sholáthraí seirbhíse ríomhphost margaíochta gníomhú de réir na dtreoracha a thug sé scar-rogha a chur ar áireamh.

I mí na Bealtaine 2018, fuaireamar gearán ó chustaiméir de chuid Greenstar, soláthraí seirbhíse bailithe araidí eile. Rinne an duine sin gearán linn roimhe sin sa bhliain 2011 faoi theachtaireachtaí téacs margaíochta neamhiarrtha a seoladh chuige gan toiliú. Thugamar an gearán roimhe sin chun críche ach rabhadh a eisiúint chuig Greenstar i mí Mheán Fómhair 2011. D’inis an gearánach dúinn gur cuireadh tús an athuair le margaíocht dhíreach ó Greenstar trí bhíthin teachtaireachtaí téacs a bhíothas ag seoladh go dian.

Mar fhreagra ar ár gceisteanna, chuir Greenstar in iúl dúinn gurbh amhlaidh, mar thoradh ar an méid ama a bhí imithe thart ón uair a rinneadh an gearán sa bhliain 2011 (rud a d’admhaigh sé nach raibh inleithscéil), nach raibh a thaifid maidir leis an ngearánach chomh cruinn agus ba cheart iad a bheith, ós rud é gur roghnaigh an gearánach cheana féin gan margaíocht a fháil ón gcuideachta. Luaigh Greenstar nach raibh sonraí an ghearánaigh ná na sonraí faoin ngearán a rinneadh sa bhliain 2011 cruinn agus cothrom le dáta, a mhéid nár cheart uimhir theileafóin phóca an ghearánaigh a úsáid chun críocha margaíochta.

I bhfianaise an rabhaidh roimhe a d’eisíomar, chinn an Coimisiún go n-ionchúiseodh sé Starrus Eco Holdings Limited, ag trádáil faoi ainm Panda agus faoi ainm Greenstar i leith cionta a rinneadh sa dá chás. I gCúirt Dúiche Limistéar Chathair Bhaile Átha Cliath an 24 Deireadh Fómhair 2018, thaifead an chuideachta pléadálacha ciontacha i gcúiseanna a bhain le sáruithe ar Rialachán 13(1) de I.R. Uimh. 336 de 2011 i leith teachtaireachtaí téacs margaíochta neamhiarrtha a bheith á seoladh chuig beirt ghearánach gan a dtoiliú a fháil. In ionad ciontú agus fíneáil a ghearradh, d’ordaigh an chúirt don chuideachta síntiús carthanúil €2,000 a thabhairt d’Iontaobhas Peter McVerry. D’aontaigh an chuideachta cosanta go n-íocfadh sí as costais ionchúisimh an Choimisiúin. Rinneadh deimhniú á léiriú gur tugadh an síntiús carthanúil don charthanas a chur ar fáil don chúirt an 15 Samhain 2018 agus caitheadh an ní amach.

 

  1. Ionchúiseamh Guerin Media Limited
  2. Ionchúiseamh AA Ireland Limited
  3. Ionchúiseamh Dublin Mint Office Limited
  4. Iarrata Rochtana a rinneadh chuig NAMA
  5. Scannánaíocht CCTV a nochtadh ó ionad soláthar díreach
  6. An tábhacht a bhaineann le sásraí cuí a bheith I bhfeidhm ag rialtóirí sonraí chun freagairt d'iarrataí ar rochtain agus comhlíonadh doiciméad

1)  Cás-Staidéar 1: Ionchúiseamh Guerin Media Limited

Fuair an DPC gearáin nach raibh baint acu lena chéile ó thriúr daoine faoi ríomhphoist mhargaíochta gan iarraidh a fuair siad ó Guerin Media Limited. I ngach cás, fuair na gearánaithe na ríomhphoist mhargaíochta ag a seoltaí ríomhphoist oibre. Ní raibh caidreamh gnó le Guerin Media Limited roimhe sin ag ceachtar den triúr. Níor thug na ríomhphoist mhargaíochta rogha chun díliostáil ná scar-rogha do na faighteoirí maidir le cumarsáid den sórt sin a fháil. D'fhreagair roinnt de na gearánaithe an seoltóir ag iarraidh go mbainfí a seoladh ríomhphoist ó liosta margaíochta na cuideachta. Mar sin féin, ní dhearnadh gníomh ar bith i leith na n-iarrataí sin agus lean an chuideachta ar aghaidh ag seoladh ríomhphoist mhargaíochta chuig na daoine. I gcás amháin, seoladh naoi ríomhphost margaíochta chuig seoladh ríomhphoist oibre duine i ndiaidh dó iarraidh ar ríomhphost a sheoladh chuig Guerin Media Limited ar a sheoladh a bhaint óna liosta seachadta.

Fuair imscrúdú an DPC ar na gearáin sin nach raibh toiliú dhuine ar bith de na gearánaithe ag Guerin Media Limited chun ríomhphoist mhargaíochta gan iarraidh a sheoladh chucu agus gur theip uirthi i ngach cás sásra scar-rogha a chur san áireamh ina ríomhphoist mhargaíochta.

Bhí ceithre ghearán chomhchosúla in aghaidh Guerin Media Limited faighte ag an DPC i rith 2013 agus 2014 inar sheol an chuideachta ríomhphoist mhargaíochta gan iarraidh gan toiliú ó na faighteoirí cumarsáid den sórt sin a fháil agus gan sásra scar-rogha a bheith sna ríomhphoist. De bhun imscrúduithe an DPC an tráth sin, thug an DPC rabhadh do Guerin Media Limited gur dhócha go ndéanfadh an DPC ionchúiseamh ina choinne dá dtarlódh sáruithe den sórt sin ar na Rialacháin r-Phríobháideachta arís. Ar an rabhadh roimhe agus torthaí an DPC a chur san áireamh ina imscrúdú reatha, chinn an DPC Guerin Media Limited a ionchúiseamh as 42 shárú ar leithligh ar na Rialacháin r-Phríobháideachta.

Tháinig na hionchúisimh os comhair Chúirt Dúiche an Náis an 5 Feabhra 2018 agus phléadáil an chuideachta ciontach i gceithre chúiseamh shamplacha as an líon iomlán de 42 chúiseamh. Bhain trí cinn de na cúisimh shamplacha le sáruithe ar Rialachán 13(1) de na Rialacháin r-Phríobháideachta as ríomhphoist mhargaíochta gan iarraidh a sheoladh chuig daoine gan toiliú uathu. Bhain an ceathrú chúiseamh shamplach le sárú ar Rialachán 13(12)(c) de na Rialacháin r-Phríobháideachta as teip maidir le sásra scar-rogha a chur san áireamh sa ríomhphoist mhargaíochta. Chiontaigh an Chúirt Guerin Media Limited i ngach ceann de na ceithre chúiseamhm agus ghearr ceithre fhíneáil €1,000, ar gach ceann i.e. finéal iomlán €4,000. Tugadh sé mhí don chuideachta an fhíneáil a íoc. D'aontaigh sí freisin ranníocaíocht a dhéanamh i dtreo na gcostas ionchúisimh a thabhaigh an DPC.

Margaíocht chuig seoltaí ríomhphoist oibre

Tá míthuiscint choitianta amuigh gur cineál cumarsáid gnó-le-gnó é cumarsáid ar ríomhphost a sheoladh chuig daoine ag seoladh ríomhphoist oibre agus nach bhfuil toiliú ón duine de dhíth. Tugann na Rialacháin r-Phríobháideachta deis don riail réamhshocraithe a ghearradh amach (i.e. go gcaithfidh an eagraíocht a sheolann an ríomhphoist toiliú an fhaighteora a bheith faighte aici), rud a cheadaíonn do chumarsáid den sort sin a sheoladh chuig seoladh ríomhphoist a dhealraítear go réasúnta gurb é an ceann é a úsáideann duine I gcomhthéacs a ghníomhaíochta tráchtála nó oifigiúla. Mar sin féin, d'fhonn brath ar an eisceacht seo ar an riail ghinearálta a éilíonn toiliú o, ní mór don seoltóir bheith in ann a thaispeáint nach bhain an ríomhphost a seoladh ach le gníomhaíocht tráchtála nó oifigiúil an fhaighteora agus sin amháin, is é sin le rá, gur fíor-chumarsáid gnó-le-gnó a bhí ann. Go héifeachtach, ciallaíonn sin go bhfeadfaidh an eagraíocht ábhar margaíochta atá ábhartha go díreach do ról an fhaighteora i gcomhthéacs a ghníomhaíochta tráchtála nó oifigiúla (i.e. ina áit oibre) a sheoladh gan toiliú roimh ré ón bhfaighteoir. Mar sin féin, ní hamhlaidh a bhí an cás sna himthosca i gceist. Ina áit sin, bhain na cumarsáidí margaíocht a sheol Guerin Media Limited le hiarrachtaí na cuideachta sin spás fógraíochta i bhfoilseacháin éagsúla a dhíol agus seastáin ag taispeántais a dhíol. Mar sin féin, ní raibh ról ag duine ar bith de na gearánaithe a fuair an chumarsáid sin le cúrsaí margaíochta ina n-áiteanna oibre féin.

Cé nach bhfuil sé infheidhme go díreach anseo, de bharr gur dhaoine aonair a bhí sna gearánaithe, is ceart d'eagraíochtaí riail eile sna Rialacháin r-Phríobháideachta a thabhairt ar aird maidir le cásanna nach duine aonair é faighteoir chumarsáid margaíochta gan iarraidh (e.g. go n-úsáidtear an seoladh ríomhphoist mar cheann cuideachta/corparáideach amháin agus nach mbaineann sé le cuntas ríomhphoist duine aonair, bíodh sin ag an obair nó in áit ar bith eile). I gcás mar sin nuair a thugann an faighteoir, ar cuideachta/corparáideach é, fógra don seoltóir nach dtugtar toiliú ríomhphoist den sórt sin a fháil, is neamhdhleathach don seoltóir é ríomhphoist den sórt sin a sheoladh ina dhiaidh sin.

Léiriú tábhachtach é an cás seo gur cheart d'eagraíocht ar bith a théann i mbun gníomhaíochtaí margaíochta dírí go leictreonach an bunús a mheasann sí nach bhfuil feidhm i gcás ar bith ag an riail réamhshocraithe phríomhúil a cheanglaíonn ar eagraíocht is seoltóir toiliú an fhaighteora a fháil, a chinneadh go cúramach, chomh maith leis an tslí is féidir léi sin a chruthú. Léiriú é an cás freisin ar a thábhachtach atá sé sásra scar-rogha a chur i ngach cumarsáid margaíochta dírí leictreonach mar gheall gur cion ar leithligh é teip maidir leis sin a dhéanamh (anuas ar chionta ar bith i ndáil le teip ó thaobh toiliú a fháil) i ndáil le gach ríomhphost/teachtaireacht den sórt sin.

2)  Cás-Staidéar 2: Ionchúiseamh AA Ireland Limited

I mí na Nollag 2017, fuair an DPC gearán ó dhuine a fuair teachtaireachtaí téacs margaíochta gan iarraidh ó AA Ireland Limited. Chuir sé in iúl don DPC go raibh a luachan athnuachana árachais gluaisteán faighte aige le déanaí óna sholáthraí árachais reatha agus gur chin sé an margadh is fearr a chuardach agus luachan níos iomaíche a lorg. AA Ireland Limited ceann de na cuideachtaí a ghlaoigh sé orthu ag lorg luachana. Chuir an gearánaí in iúl don DPC gur dhúirt sé go soiléir leis an ngníomhaire a d'fhreagair a ghlaoch go raibh sé ag iarraidh dearbhú nach n-úsáidfí a chuid mionsonraí chun críocha margaíochta agus gur thug an gníomhaire an dearbhú sin dó. Leanadh leis an nglaoch agus thug an gníomhaire luachan. Thug an gearánaí ar aird go raibh an luachan níos airde ná an luachan athnuachana óna sholáthraí árachais reatha agus thug an gearánaí le tuiscint don ghníomhaire nach leanfadh sé ar aghaidh leis an luachan a thairg AA Ireland Limited. Chuir an gearánaí in iúl don DPC gur dhúirt sé leis an ngníomhaire arís, ag an bpointe seo den ghlaoch, nár chóir dó ábhar margaíochta a fháil agus thug an gníomhaire dearbhú dó arís nach dtarlódh sin.

Croílár ghearán an ghearánaí, áfach, go bhfuair sé teachtaireacht téacs margaíochta ó AA Ireland Limited an lá ina dhiaidh sin, ag tairiscint lascaine €50 ar an luachan a tugadh dó. Seoladh teachtaireacht téacs chomhchosúil eile chuig a fón póca an chéad lá eile. Dúirt an gearánaí ina ghearán gur bhraith sé gur sárú follasach é an gníomh sin ar a threoracha a bhí soiléir agus cruinn nach raibh sé ag iarraidh aon chumarsáid margaíochta. I rith an imscrúdú a rinneamar, dheimhnigh AA Ireland Limited gur sheol sé an dá theachtaireacht téacs chuig ngearánaí agus d'admhaigh nach bhfuair sé toiliú chun na teachtaireachtaí sin a sheoladh chuig an ngearánaí. D'aithin an chuideachta gur iarr an gearánaí gan teachtaireachtaí margaíochta a fháil, gur chóir déanamh de réir iarraidh an ghearánaí agus nár chóir a chuid mionsonraí a úsáid chun críocha margaíochta. Mhaígh an chuideachta gur tharla an eachtra mar gheall ar earráid dhaonna. Mhínigh sí nár lean an gníomhaire an próiseas ceart agus dá bharr sin gur taifeadadh mionsonraí an ghearánaí mar rogha déanta go raibh sé sásta teachtaireachtaí margaíochta a fháil, agus mar sin gur seoladh teachtaireachtaí téacs margaíochta chuige.

De bharr gur eisigh an DPC rabhadh chuig AA Ireland Limited cheana, in imthosca eile, i ndáil le cumarsáid margaíochta gan iarraidh, chinn an DPC sa chás seo imeachtaí ionchúisimh a thionscain. Ag Cúirt Dúiche Chathrach Bhaile Átha Cliath an 14 Bealtaine 2018, phléadáil AA Ireland Limited ciontach i gcion amháin. D'aontaigh sé freisin na costais ionchúisimh a thabhaigh an DPC a íoc. In áit chiontú agus fíneáil, d'fheidhmigh an Chúirt Alt 1(1) den Probation of Offenders Act.

3) Cás-Staidéar 3: Ionchúiseamh Dublin Mint Office Limited

Fuair an DPC gearán an 13 Deireadh Fómhair 2017 ó dhuine a fuair dhá ghlaoch gutháin mhargaíochta an lá céanna sin, ceann amháin dírithe air féin agus an ceann eile dírithe ar a mhac, ó The Dublin Mint Office Limited. Rinne an glaoiteoir iarracht i ngach cás boinn chuimhneacháin a dhíol. Mhínigh an gearánaí ina ghearán gur chláraigh sé ar líne leis an gcuideachta cúpla mí roimhe sin le haghaidh tairiscint ar líne thar a cheann agus thar ceann a mhic. Thug sé an uimhir chéanna don bheirt i rith an phróisis chláraithe ar líne. Dúirt an gearánaí gur chuir sé tic sa bhosca scar-rogha le linn an phróisis chláraithe ar líne sin.

I rith imscrúdú an DPC, d'admhaigh The Dublin Mint Office Limited go ndearna sé na glaonna gutháin margaíochta. Mhínigh sé nár thairg an fhoirm ordaithe ach rogha chun glacadh le margaíocht tríd an bpost agus ar ríomhphost, an tráth ar thug an gearánaí a uimhir ghutháin i rith an phróisis iarratais ar líne i mí na Bealtaine 2017. Dheimhnigh an chuideachta nár roghnaigh an gearánaí an rogha glactha agus mar sin gur taifeadadh go ndearna sé scor-rogha maidir le margaíocht tríd an bpost agus ar ríomhphost agus sin amháin. Mhínigh an chuideachta go raibh bearna sa chóras an tráth sin a cheadaigh rogha glacadh le margaíocht tríd an bpost agus ar ríomhphost agus sin amháin, ach nach scor-rogha maidir le teilidhíol a bhí ann. Mar thoradh air sin, cuireadh mionsonraí an ghearánaí ar liosta le haghaidh glaoch teilidhíola. Chuir an chuideachta in iúl don DPC gur scríobh siad chuig an ngearánaí chun leithscéal a ghabháil as an míchaoithiúlacht dósan agus dá mhac de bharr an bhotúin a rinneadh.

Bhí rabhadh eisithe ag an DPC chuig The Dublin Mint Office Limited i mí Mheán Fómhair 2017 maidir le gearáin eile a bhí déanta chuig an DPC faoi chumarsáid margaíochta gan iarraidh ón gcuideachta. Dá bharr sin, chinn an DPC The Dublin Mint Office Limited a ionchúiseamh. Phléadáil an chuideachta ciontach in dhá chúiseamh i ndáil leis an dá ghlao gutháin margaíochta i gCúirt Dúiche Chathrach Bhaile Átha Cliath an 14 Bealtaine 2018. D'aontaigh sé freisin costais ionchúisimh an DPC a íoc. In áit chiontú a dhéanamh agus fíneáil a ghearradh, d'fheidhmigh an Chúirt Alt 1(1) den Probation of Offenders Act.

4) Cás-Staidéar 4: Iarrata Rochtana a rinneadh chuig NAMA

Cúlra

I bhFeabhra 2018, d'eisigh an DPC cinneadh ar ghearán a rinneadh chuige ag beirt daoine in aghaidh na Gníomhaireachta Náisiúnta um Bainistíocht Sócmhainní (NAMA). Bhain an gearán le líomhaintí faoi neamhchomhlíonadh le hiarrata comhrochtana a rinneadh chuig NAMA i mí Mheán Fómhair 2014 ag na gearánaithe a bhí ina stiúrthóirí agus/nó scairshealbhóirí i gcuideachtaí ar aistríodh a n-iasachtaí chuig NAMA. Aistríodh iasachtaí pearsanta áirithe na ndaoine sin chuig NAMA freisin. Rinneadh tagairt shoiléir san iarraidh comhrochtana a bhí déanta chuig NAMA do shonraí pearsanta a bhí ag NAMA i ndáil leis na hiasachtaí pearsanta agus leis na hiasachtaí cuideachta.

D'fhreagair NAMA na gearánaithe i nDeireadh Fómhair 2014, agus d'iarr orthu catagóir a shainaithint as measc roinnt catagóirí sonraí pearsanta (a shainaithin NAMA é féin) mar an ceann ar mian leo a fháil. D'fhreagair na gearánaithe agus chuir siad in aghaidh an bealach a rinne freagra NAMA iarracht srian a chur ar raon feidhme an iarraidh. Thug NAMA cóip de na sonraí pearsanta a mheas sé teideal a bheith ag na gearánaithe orthu do na gearánaithe ina dhiaidh sin ach thug sé ar aird nach raibh ceanglas air sonraí pearsanta a chur ar fáil a bhí faoi réir ag pribhléid dhlíthiúil, agus a bhí comhdhéanta de thuairimí rúnda nó a rachadh chun dochair do leasanna NAMA i ndáil le héileamh nó a rachadh chun dochair do chumas NAMA airgead a bhí ag dul don Stát a aisghabháil. Mar sin féin, níor shainaithin NAMA na sonraí pearsanta a mheas sé go raibh feidhm ag díolúintí den sórt sin ón gceart rochtana ina leith. Cé gur bhain na sonraí pearsanta a chuir NAMA ar fáil do na gearánaithe le hiasachtaí pearsanta na ngearánaithe a bhí aistrithe chuig NAMA roimhe sin, níor thug sé sonraí pearsanta a bhain leis na gearánaithe ina gcáil mar stiúrthóirí agus/nó scairshealbhóirí sna cuideachtaí ar aistríodh a n-iasachtaí chuig NAMA.

Gearán leis an DPC

Rinne na hábhair shonraí gearán ina dhiaidh sin leis an DPC inar líomhnaíodh:

  • gur theip ar NAMA sonraí pearsanta uile na ngearánaithe a thabhairt dóibh;
  • gur fheidhmigh NAMA díolúintí faoi na hAchtanna um Chosaint Sonraí 1988 agus 2003 go mícheart;
  • go raibh oibleagáid ar NAMA, fiú sa chás go mbeadh sé i dteideal brath ar dhíolúine amháin nó níos mó, cur síos ar na sonraí pearsanta a thabhairt do na gearánaithe ionas go mbeadh deis réasúnta, choir acu machnamh a dhéanamh ar cibé an raibh sé faoi dhíolúine; agus
  • gur theip ar NAMA cuardaigh a dhéanamh le haghaidh sonraí pearsanta a bhain le deich gcatagóir eile faisnéise a d'aithin na gearánaithe.

Seasamh NAMA ar an ngearán

Dúirt NAMA gur chomhlíon sé go hiomlán leis an iarraidh ar rochtain. I ndiaidh comhfhreagras leis an DPC, mhaígh NAMA:

  • nach raibh “sonraí corparáideacha”, i.e. faisnéis a bhain leis na hiasachtaí cuideachta a raibh nasc acu leis na gearánaithe san áireamh sa sainmhíniú ar “shonraí pearsanta”;
  • go raibh sé saor óna oibleagáidí rochtain a sholáthar ar shonraí pearsanta a bhí mar chuid de mhéid iomlán na dtaifead a bhí ar coimeád aige i ndáil leis na hiasachtaí pearsanta agus leis na hiasachtaí cuideachta, ar an mbunús go n-éileodh cuardaigh den sórt sin ‘iarracht neamhréireach' ó NAMA chun é a dhéanamh; agus
  • gur chuí do NAMA é brath ar dhíolúintí reachtúla maidir le ceart rochtana, mar a ndéantar foráil faoi Ailt 5(1)(a), 5(1)(f) agus 5(1)(g) de na hAchtanna um Chosaint Sonraí 1988 agus 2003.

Imscrúdú an DPC

In aighneacht chuig an DPA, thug NAMA meastacháin faoi líon taifead ábhartha a bhí ar coimeád aige, chomh maith leis an gcostas airgeadais a bheadh i gceist le cuardach cuimsitheach a dhéanamh ar na sonraí pearsanta uile a iarraidh. Dheimhnigh NAMA nach ndearnadh sé cuardach ar shonraí pearsanta na ngearánaithe a bhí ar coimeád i ndáil le hiasachtaí cuideachta.

D'fhonn bunús a thabhairt lena sheasamh, d'aontaigh NAMA cuardaigh shamplacha ar shonraí pearsanta a dhéanamh i ndáil le tréimhse áirithe dhá mhí. Rinne oifigigh údaraithe thar ceann an DPC trí imscrúdú ar an láthair ar áitreabh NAMA chun comhthacú le seasamh NAMA ar shaincheisteanna a bhain lena gcuardaigh.

I ndiaidh athbhreithniú ar na cuardaigh shamplacha a rinneadh, ní raibh oifigigh an DPC sásta go mbeadh iarracht neamhréireach ó NAMA i gceist le cuardach cuimsitheach, ná nach raibh sonraí pearsanta na ngearánaithe san áireamh leis an bhfaisnéis a bhí ar coimeád ag NAMA maidir le hiasachtaí cuideachta na ngearánaithe.

I ndiaidh caidreamh idir an DPC agus NAMA, scaoileadh sonraí pearsanta breise chuig na gearánaithe. Mar sin féin, níor éirigh le hiarrachtaí an cheist seo a réiteach go neamhfhoirmiúil. D'eisigh an DPC cinneadh reachtúil fada ina raibh 67 leathanach ina dhiaidh sin, i ndáil leis an ngearán. Thug an cinneadh aghaidh ar na trí cheist lárnacha dá dtagraítear thuas. Mar seo a leanas a bhí cinntí an DPC ar gach ceann de na ceisteanna.

Cinneadh an Choimisinéara

(1) Ceist na Sonraí Corparáideacha

Cé gur aithin NAMA go raibh ainmneacha na ngearánaithe le feiceáil i dtaifid a bhain leis na hiasachtaí cuideachta, ag léiriú gur stiúrthóirí agus/nó scairshealbhóirí iad sna cuideachtaí i gceist agus cé gur ghlac NAMA leis gur sonraí pearsanta iad ainmneacha na ngearánaithe, mhaígh sé nár fágadh gur sonraí pearsanta a bhí san fhaisnéis eile sna taifid sin dá bharr. Ba é seasamh na ngearánaithe nach raibh amhras ar bith ach gur sonraí pearsanta atá i bhfaisnéis a bhaineann le duine ina cháil mar stiúrthóir cuideachta. Thug said ar aird freisin gur sonraí pearsanta a bhí i bhfaisnéis a rinne tagairt dá bhfeidhmíocht nó dá n-iompar nó do mheastóireacht ar a sócmhainní, fiú sa chás gur bhain sé sin le hiasachtaí cuideachta nó le gnó na gcuideachtaí sin. Mhaígh na gearánaithe freisin, cé gur coimeádadh taifid i ndáil leis na hiasachtaí cuideachta agus lena n-iasachtaí pearsanta ar leithligh óna chéile, go raibh plé NAMA leo idirnasctha.

Thug an DPC ar aird ina cinneadh nár leor an fhíric amháin go raibh ainm dhuine de na gearánaithe le

feiceáil sna taifid a bhain leis na hiasachtaí cuideachta (mar shampla sa chás gur shínigh siad comhaontú tráchtála ina gcáil mar stiúrthóir cuideachta) aisti féin a d'fhágfadh gur sonraí pearsanta a bhí i bhfaisnéis eile sa chomhaontú sin. Mar sin féin, léirigh na taifid a sainaithníodh trí bhíthin na cuardaigh shamplacha maíomh na ngearánaithe, nach bhféadfaí glacadh leis nach raibh sonra pearsanta ar bith sna taifid sin. Thug an DPC ar aird le sampla gur léir ó dhoiciméad, a ndearna an teideal tagairt do chruinniú boird NAMA, cé gur phléigh agus gur mheas lucht an chruinnithe boird plean gnó a d'fhéadfaí a lua le ceann de na cuideachtaí, go raibh faisnéis sa doiciméad sin a bhain le sócmhainní airgeadais na ngearánaithe ina gcáil phearsanta. Ghlac an DPC le seasamh na ngearánaithe go raibh ar a laghad roinnt sonraí pearsanta a bhain leo sna taifid a bhí ar coimeád ag NAMA maidir leis na hiasachtaí cuideachta. Dá bharr sin, mheas an DPC go gcaithfeadh NAMA ar an méid is lú, na taifid nó na cineálacha taifead inar sainaithníodh na gearánaithe, trí bhíthin a n-ainmneacha a thabhairt nó ar bhealach ar bith eile, ach nár mheas NAMA gur sonraí pearsanta a bhí iontu, a shainaithint agus faisnéis leordhóthanach a thabhairt le go dtuigfeadh na ngearánaithe an fáth a dúradh nach sonraí pearsanta a bhí sna taifid sin nó sna cineálacha taifead sin.

(2) Ceist na hIarrachta Neamhréirí

Rinne an DPC machnamh ansin ar cibé an mbeadh an costas airgeadais agus ama a bheadh i gceist le NAMA ag déanamh cuardaigh ar na taifid ar coimeád i ndáil leis na hiasachtaí cuideacht neamhréireach i gcomhréir leis an méid sonraí pearsanta a bhféadfaí teacht orthu agus a scaoileadh chuig na ngearánaithe. Thug an DPC ar aird, cé nach bhfuil oibleagáid fhollasach ar rialtóir sonraí cuardach a dhéanamh ar shonraí pearsanta chun iarraidh ar rochtain a rinneadh i gceart a chomhlíonadh, ghlac sí leis go bhfuil oibleagáid intuigthe ar rialtóir sonraí tabhairt faoi chuardaigh leis na sonraí pearsanta a d'fhéadfadh bheith aige ar iarrthóir a shainaithint. Bhain an cheist faoi bhreithniú le nádúr agus méid an dualgais intuigthe sin. Thug an DPC ar aird nach raibh feidhm ag an oibleagáid um iarracht neamhréireach a fuarthas in Alt 4(9)(a) de na hAchtanna um Chosaint Sonraí 1988 agus 2003, i ndáil leis an soláthar sin, ach amháin d'fhonn srian a chur ar an oibleagáid chun na sonraí arb iad na sonraí pearsanta i bhfoirm bhuan a sholáthar. Mar sin féin, níor chuir sé srian ar na céimeanna níos luaithe sa phróiseas amhail an oibleagáid maidir leis na sonraí a chuardach. Cé go ndearna an DPC tagairt do dhlí-eolaíocht ó Chúirteanna sa Ríocht Aontaithe a bhunaigh go bhfuil an oibleagáid maidir le sonraí pearsanta a chuardach teoranta do chuardach réasúnta, comhréireach, thug sí ar aird nach raibh ar eol di aon údarás breithiúnach in Éirinn a phléann le nádúr ná méid oibleagáidí rialtóra cuardaigh a dhéanamh d'fhonn Alt 4 de na hAchtanna um Chosaint Sonraí 1988 agus 2003 a chomhlíonadh. Cé gur ghlac sí leis nach raibh oibleagáid uirthi na prionsabail a bhunaigh na húdaráis sa Ríocht Aontaithe, thug an DPC ar aird go ndearnadh Ard-Chúirt na hÉireann tagairt cheana do chinneadh a bhí thar a bheith ábhartha ina leith sin (Deer v. University of Oxford) (i mbreithiúnas Coffey J. a tugadh an 26 Feabhra 2018 sa chás Nowak v. Coimisinéir Cosanta Sonraí). Mheas an DPC go raibh an cinneadh sin áisiúil ó thaobh ailt 4(1) agus 4(9) de na hAchtanna um Chosaint Sonraí 1988 agus 2003 a léirmhíniú, go háirithe i bhfianaise a hanailís ar chásdlí ón CJEU. Ar an mbonn sin, ghlac an DPC le maíomh NAMA nach raibh teorainn leis an oibleagáid maidir le sonraí pearsanta a chuardach ach go raibh ceanglas ar NAMA cuardaigh réasúnta agus comhréireacha a dhéanamh chun sonraí pearsanta na ngearánaithe a bhí ar coimeád aige a shainaithint.

Rinne an DPC breithniú ansin ar cibé an raibh an oibleagáid sin curtha i gcrích ag NAMA, trí bhíthin an cineál cleachtaidh cothromaíochta a ndearnadh i gcásdlí na Ríochta Aontaithe a dhéanamh, idir seasamh le ceart rochtana an ábhair shonraí agus an t-ualach a chuirfeadh sin ar an rialtóir sonraí. Rinne an DPC machnamh, mar sin, ar roinnt fachtóirí a bhí i gceist leis an gcleachtadh cothromaíochta sin, ina measc suntas bunúsach na sonraí pearsanta agus a dtábhacht do na hiarrthóirí. Maidir leis sin, thug an DPC ar aird gur bhain na sonraí pearsanta i gceist le leasanna gnó agus airgeadais na ngearánaithe go pearsanta agus i ndáil leis na cuideachtaí ina raibh siad ina stiúrthóirí agus/nó scairshealbhóirí. Measadh gur ábhartha freisin é (mar ba léir sa chomhfhreagras a chonaic oifigigh an DPC) go raibh na ngearánaithe ag iarraidh a chinntiú go bpléifeadh NAMA leis na hiasachtaí cuideachta ar bhealach a chinnteodh marthanas na gcuideachtaí agus a gcoimeádfadh cumas na ngearánaithe roinnt úinéireachta nó rialaithe sna cuideachtaí sin a choinneáil. Mar thoradh air sin, mheas an DPC go raibh tábhacht shuntasach ag na sonraí pearsanta a bhí ar coimeád ag NAMA do na ngearánaithe.

Rinne an DPC machnamh ansin ar na pointí frithchúiteacha a rinne NAMA, lenar áiríodh meastacháin shonracha (a ríomhadh ar bhonn thorthaí na gcuardach samplach) a tugadh don DPC maidir leis an líon amas a bhfaighfí dá ndéanfaí cuardaigh (tuairim is 62,000), an líon taifead ábhartha measta a sainaithneofaí i ndiaidh athbhreithniú a dhéanamh ar na hamais sin (tuairim is 12,600) agus an t-aga ama measta a bheadh i gceist chun athbhreithniú ag dhéanamh ar an ábhar, é a chur i dtoll a chéile agus é a chur in eagar lena scaoileadh chuig na gearánaithe (breis is 2,700 uair an chloig). Thug an DPC ar aird freisin, cé go ndearna NAMA tagairt don fhéidearthacht réitigh theicniúla a úsáid chun an t-ionchur láimhe a bheadh de dhíth a fhritháireamh, gur dhúirt NAMA nach raibh measúnú déanta aige air sin agus gurbh é a thuairim go mbeadh costas neamhréireach i gceist le réitigh den sort sin a chur i bhfeidhm, dá mba ann dóibh.

Fuair an DPC go raibh meastacháin NAMA maidir leis an am agus an iarracht a bheadh i gceist leis an tréimhse iomlán a chuardach tuairimeach agus gan mionsonraí sainiúla, agus gur theip air an dualgas cruthúnais a bhí air maidir leis sin a chur i gcrích. B'amhlaidh sin go háirithe mar gheall gurbh é seasamh NAMA roimhe sin (sula ndearnadh na cuardaigh shamplacha) nár cruthaíodh trí bhíthin thagairt do na cuardaigh shamplacha sin nach raibh aon sonra pearsanta de chuid na ngearánaithe ar coimeád sna taifid a bhain leis na hiasachtaí cuideachta. Tugadh ar aird gur chomhaontaigh NAMA ar dtús go ndéanfadh sé cuardach ar an tréimhse iomlán a raibh na hiasachtaí cuideachta ar coimeád aige sa chás go léireodh na cuardaigh shamplacha go raibh sonraí pearsanta na ngearánaithe ar coimeád sna taifid a bhain leis na hiasachtaí cuideachta. Mar sin féin, d'athraigh NAMA a sheasamh tuairim is 14 mhí ina dhiaidh sin agus chinn sé gan aon chuardach eile a dhéanamh d'ainneoin gur léiríodh leis na cuardaigh shamplacha gurbh ann do shonraí pearsanta i dtaifid na n-iasachtaí cuideachta. Mheas an DPC freisin i ndáil leis an méid a mhaígh NAMA (ceal measúnú a léirigh sin) (1) nach raibh réiteach teicniúil indéanta agus (2) go ndéanfadh an maíomh neamhshonraithe, go mbeadh iarracht neamhréireach i gceist leis na cuardaigh a dhéanamh agus na sonraí pearsanta arna sainaithint a chur in iúl, a acmhainní a atreorú óna shainchúram reachtúil, nár chuir sé i gcrích an dualgas cruthúnais a raibh sé faoi réir aige i ndáil lena maíomh maidir le hiarracht neamhréireach.

Fuair an DPC, mar gheall gur dhiúltaigh NAMA na cuardaigh a dhéanamh nár fhéach sé lena chearta a chothromú in aghaidh chearta na ngearánaithe ach gur shocraigh sé ag nialas iad. Níor chuir NAMA a oibleagáid i gcrích trí bhíthin cuardaigh réasúnta, comhréireacha a dhéanamh chun teacht ar shonraí pearsanta ábhartha agus iad a sholáthar. Ní raibh an DPC sásta ar bhonn na n-argóintí agus na fianaise a chuir NAMA ar aghaidh gur iarracht neamhréireach ar a shon a bheadh i gceist leis na cuardaigh a dhéanamh.

(3) Ceist na nDíolúintí Reachtúla

Ag eascairt as na cuardaigh shamplacha a rinne NAMA, sainaithníodh 14 dhoiciméad cruachóipe ina raibh sonraí pearsanta na ngearánaithe, tarraingthe as taifid NAMA a bhain leis na hiasachtaí pearsanta agus na hiasachtaí cuideachta araon. Mar sin féin, choinnigh NAMA siar nó leasaigh sé 3 cinn de na doiciméid sin ar bhonn díolúintí áirithe ar an gceart rochtana. Bhain na díolúintí sin le hAlt 5(1)(g), Alt 5(1)(f) agus Alt 5(1)(a) de na hAchtanna um Chosaint Sonraí 1988 agus 2003. Mar ní réamhráite fuair an DPC go gcaithfeadh NAMA a chruthú go sochreidte, agus le fianaise, go raibh i gceist leis an gcás sin comhlíonadh leis an gcaighdeán sibhialta cruthúnais a raibh feidhm leis maidir le gach ceann de na díolúintí ar fhéach sé le brath orthu agus gur sháraigh sin ceart rochtana na ngearánaithe.

I gcás dhíolúine na pribhléide dlíthiúla a mhaígh NAMA a raibh feidhm leis i gcás ríomhphost inmheánach idir dhlíodóirí a bhí fostaithe ag NAMA, thug an DPC ar aird go raibh lipéad ar éadan an doiciméid sin mar cheann a raibh pribhléid dlíthíochta i gceist leis. Mar sin féin, mar gheall nárbh ann do dhlíthíocht ar bith idir gearánaithe agus NAMA an tráth ar cruthaíodh é (agus go deimhin nár tháinig an t-aon dlíthíocht arbh ann di chun cinn go dtí 2 nó 3 bliana ina dhiaidh sin), ní raibh an DPC sásta gur chuir NAMA an dualgas cruthúnais a bhí air i gcrích lena thaispeáint go raibh feidhm ag an bpribhléid dlíthíochta leis sonraí pearsanta i gceist. Mar sin féin, rinne an DPC machnamh ansin ar cibé an raibh feidhm le pribhléid comhairle dlí agus tháinig sí ar an tátal go raibh, mar gheall gur leagadh amach le hábhar an ríomhphoist i gceist an bunús ar a bhféadfaí saincheisteanna áirithe a bhain leis na hiasachtaí pearsanta a bhreithniú agus aghaidh a thabhairt orthu. Bhí an DPC sásta, mar sin, go raibh an ríomhphost i gceist faoi phribhléid agus dhíolúine óna scaoileadh faoi Alt 5(1)(g) de na hAchtanna um Chosaint Sonraí 1988 agus 2003.

Maidir le dhá dhoiciméad bhreise, mhaígh NAMA go raibh feidhm ag an díolúine in Alt 5(1)(a). Tugtar foráil, leis sin, nach bhfuil feidhm ag an gceart rochtana le sonraí pearsanta arna gcoimeád chun críocha cionta a chosc, a bhrath ná a imscrúdú; ciontóirí a ghabháil ná a ionchúiseamh; ná cáin, dleacht nó airgead ar bith eile atá dlite nó le híoc leis an Stát, le húdarás áitiúil nó le bord sláinte a bhailiú, i gcás ar bith ina rachadh rochtain ar na sonraí pearsanta a dheonú chun dochair do nithe den sórt sin. Chuir an DPC an tástáil i bhfeidhm maidir leis an díolúine sin a fheidhmiú a bhí leagtha amach i mbreithiúnas Guriev & duine eile v. Community Safety Development (UK) Limited [2016] EWHC 643 sa Ríocht Aontaithe. Bhain an cás sin leis an díolúine coibhéiseach faoi Acht um Chosaint Sonraí 1998 sa Ríocht Aontaithe. Fuair an DPC gur mhaígh NAMA, i gcás an dá thaifead i gceist, go mbeadh mar éifeacht ag rochtain ar na sonraí pearsanta a dheonú go scaoilfí a straitéis maidir le plé le dliteanais. Ní dhearna NAMA iarracht ar bith, áfach, míniú a thabhairt ar nádúr agus ar éifeacht an dochair a bhfulaingeofaí dá scaoilfí na sonraí pearsanta i gceist, an tslí a dtiocfadh an dochar as an scaoileadh sin, ná an fáth gur cur isteach riachtanach agus comhréireach ar chearta na ngearánaithe a bhí i bhfeidhmiú na díolúine, ag féachaint do dhéine na bagartha do leas an phobail. Mar gheall ar

an easpa fianaise sin, chinn an DPC nach nárbh fhéidir le NAMA brath ar an díolúine sin.

Alt 5(1)(f) an díolúine dheiridh ar bhraith NAMA air agus a ndearna an DPC breithniú air, lena bhforáiltear nach bhfuil feidhm ag an gceart rochtana le sonraí pearsanta atá comhdhéanta de mheastachán nó a choimeádtar chun críocha dliteanas rialtóir sonraí a ríomh de bhun éileamh ar dhamáistí nó ar chúiteamh sa chás gur dhócha go rachadh rochtain a dheonú chun dochair do leasanna an rialtóra sonraí i ndáil leis an éileamh. Fuair an DPC nár chuir NAMA fianaise ar bith ar aghaidh maidir le bonn fíriciúil chun brath ar an díolúine. Mar shampla, níor shainaithin NAMA an dochar a bhfulaingeodh sé dá gcuirfeadh sé na sonraí pearsanta ar fáil, ná an tslí ná an comhthéacs a dtiocfadh an dochar chun cinn. Mar gheall gur theip ar NAMA an dualgas cruthúnais air a chomhlíonadh i ndáil lena éileamh ar an díolúine sin, fuair an DPC nárbh fhéidir le NAMA brath uirthi.

Cinneadh

Ag eascairt as cinntí an DPC, tháinig an DPC ar an tátal gur sháraigh NAMA a oibleagáidí faoi Alt 4(1)(a) agus Alt 4(9) de na hAchtanna um Chosaint Sonraí 1988 agus 2003.

5) Cás-Staidéar 5: Scannánaíocht CCTV a nochtadh ó ionad soláthar díreach

Fuaireamar gearán ó dhlíodóirí chónaitheoir in ionad cóiríochta soláthar díreach i ndáil le nochtadh líomhnaithe de scannánaíocht CCTV ina raibh íomhánna den ghearánaí. Is é an Stát úinéir an ionaid chóiríochta i gceist (agus is í an Gníomhaireacht Fáiltithe agus Imeasctha (RIA) laistigh den Roinn Dlí agus Cirt agus Comhionannais atá freagrach aisti). Aramark Ireland (Aramark) a bhainistíonn an t-ionad ó lá go lá. Tháinig nochtadh líomhnaithe shonraí pearsanta an ghearánaí chun solais le linn di páirt a ghlacadh i gclár raidió. Ba é ábhar an chláir raidió sin ceist a tháinig chun cinn idir cónaitheoirí agus baill foirne an ionaid chóiríochta. I rith an chláir raidió, mhaígh an láithreoir go raibh cóip den scannánaíocht CCTV aige, ar taifeadadh é de réir dealraimh ó sheomra san ionad cóiríochta agus a thaispeáin, líomhnaíodh, achrann idir an gearánaí agus cónaitheoir eile san ionad soláthar díreach.

Rinne an gearánaí gearáin ina dhiaidh sin le RIA, le Aramark agus leis an stáisiún raidió a chraol an clár raidió i gceist. Rinneadh iarraidh ar rochtain ar thuairisc ar gach faighteoir dá nochtadh sonraí pearsanta an ghearánaí freisin, thar ceann an ghearánaí, faoi Alt 4 de na hAchtanna um Chosaint Sonraí 1988 agus 2003 le RIA. Mar sin féin, thug an gearánaí ar aird nár fhreagair RIA an iarraidh ar rochtain sin.

Chuireamar tús le himscrúdú ar an ngearán agus lorg faisnéis ó Aramark agus RIA araon. Chuir RIA in iúl dúinn go raibh sé i mbun caidrimh le Aramark agus gur iarr tuarascáil uaidh. I rith an imscrúdaithe, fuaireamar amach gur phróiseálaí sonraí é Aramark a bhí ag próiseáil sonraí thar ceann RIA. Mhínigh Aramark go n-úsáidtear CCTV chun críocha slándála agus chun monatóireacht a dhéanamh ar shláinte agus sábháilteachta san ionad cóiríochta. Chuir Aramark in iúl dúinn go bpróiseálann sé sonraí pearsanta ag teacht le treoracha RIA agus go raibh rochtain ar an modh stórála san ionad cóiríochta teoranta do phearsanra sonracha agus go raibh ainm úsáideora agus pasfhocail de dhíth.

Maidir leis an líomhain shonrach gur nochtadh an scannánaíocht CCTV, d'inis Aramark dúinn go ndearna pearsanra údaraithe scannánaíocht CCTV d'achrann a raibh baint ag an ngearánaí leis a íoslódáil agus a chur ar aghaidh chuig RIA. An chúis leis an íoslódáil agus leis an tarchur ná gur bhain na himeachtaí taifeadta le saincheisteanna slándála, sláinte agus sábháilteachta. Dar le Aramark, de bharr méid an chomhaid i gceist, shábháil an fostaí an scannánaíocht chuig nasc Google chun í a chur ar aghaidh chuig RIA.

Chuir Aramark ar an eolas sinn faoi fhiosrúchán IT fóiréinseach mionsonraithe a rinneadh i ndáil leis an ngearán ar feadh a gcórais IT lena fháil amach cibé an ndearnadh nochtadh ar bith eile ar an scannánaíocht CCTV. Chuir sé in iúl, ar bhonn a fhiosrúchán féin, nár seoladh an nasc ó chuntas ríomhphoist ar bith de chuid Aramark chuig páirtí seachtrach seachas RIA. I measc nithe eile, mar chuid den fhiosrúchán fóiréinseach, dúirt Aramark gur sheiceáil sé logaí idirlín ar an ríomhaire de chuid Aramark arna úsáid san ionad cóiríochta, gur chuardaigh sé boscaí poist na mball foirne de chuid Aramark a d'oibrigh san ionad cóiríochta agus gur chuardaigh sé comhfhreagras ríomhphoist isteach agus amach a bhain leis an eachtra. Suiteáladh ríomhchlár athshlánú sonraí ar an ríomhaire i gceist chun gach ábhar léirscriosta ar an ríomhaire a athbhreithniú. Níor sainaithníodh gníomhaíochta ar bith a thug le tuiscint gur nochtadh an scannánaíocht CCTV chuig tríú páirtí ar bith. Chuir Aramark ar an eolas sin chomh maith nárbh ann don nasc Google a thuilleadh agus nach raibh rochtain air dá bharr.

Mhaígh Aramark freisin gur dheimhnigh an pearsanra údaraithe a d'íoslódáil an scannánaíocht nár nochtadh an scannánaíocht chuig tríú páirtí ar bith agus gur léirscriosadh í i ndiaidh í a chur ar aghaidh chuig RIA.

Ar leithligh, dheimhnigh RIA dúinn i rith an imscrúdaithe go raibh tagairt don ghearánaí agus do chónaitheoir eile sa nasc Google chuig an scannánaíocht CCTV a fuair sé. Dúirt sé nár choimeád RIA cóip den scannánaíocht.

Maidir le bainistiú an chórais CCTV san ionad cóiríochta, thug RIA doiciméadúchán áirithe dúinn, lenar áiríodh beartais Aramark maidir le cosaint sonraí agus CCTV, chomh maith le comhaontú rúndachta le Aramark a bhí i bhfeidhm. Mar sin féin, d'aithin RIA i rith an imscrúdaithe nach raibh aon bheartas ná doiciméad cleachtaidh i bhfeidhm maidir le bainistiú CCTV a bhí á oibriú in ionaid

chóiríochta.

Ar deireadh, ní raibh Aramark ná RIA in ann deimhniú cinntitheach a thabhairt nár nochtadh an scannánaíocht CCTV i gceist chuig an stáisiún raidió. Maidir lena neamhchomhlíonadh leis an iarraidh ar rochtain, ba é seasamh RIA go raibh sé ag feitheamh ar thuarascáil mhionsonraithe ó Aramark agus nárbh fhéidir leis freagairt don iarraidh ar rochtain go dtí go raibh an tuarascáil sin

faighte aige.

Ina cinneadh, fuair an DPC nár fhreagair RIA an iarraidh ón ngearánaí ar thuairisc faoi Alt 4 de na hAchtanna um Chosaint Sonraí 1988 agus 2003 ar gach faighteoir dá nochtadh na sonraí pearsanta laistigh den chreat ama forordaithe, 40 lá. Sárú follasach ar oibleagáid RIA faoin bhforáil sin a bhí i gceist.

Maidir leis an maoirseacht ar an bpróiseáil arna déanamh ag Aramark mar phróiseálaí do RIA, bunaithe ar na haighneachtaí a rinne RIA agus Aramark araon le linn imscrúdú an DPC, ní raibh aon fhianaise ar chonradh i scríbhinn a bheith ar bun inar leagadh amach na hoibleagáidí faoi seach a bhí i bhfeidhm le RIA agus Aramark i ndáil le próiseáil sonraí pearsanta ag Aramark thar ceann RIA. Sárú ag RIA, mar an rialtóir sonraí, ar Alt 2C(3) de na hAchtanna um Chosaint Sonraí 1988 agus 2003 a bhí ansin.

Cé nach raibh an DPC in ann a fháil amach an tslí a fuair stáisiún raidió an scannánaíocht CCTV i gceist, fuair an DPC gur cuireadh isteach ar chearta an ghearánaí, go bunúsach. Maidir leis sin, theip ar RIA agus Aramark araon ina ndualgas cúraim don ghearánaí trí bhíthin teip maidir lena chinntiú gur cuireadh bearta slándála cuí i bhfeidhm i gcoinne an nochtadh neamhúdaraithe mar a éilítear faoi Alt 2(1)(d). Chinn an DPC freisin go ndearnadh sárú ar Alt 2C(2) de na hAchtanna um Chosaint Sonraí 1988 agus 2003. Éilítear ar rialtóir, leis an bhforáil seo, bearta réasúnta a dhéanamh lena chinntiú go bhfuil a fhostaithe agus daoine eile ag an áit oibre ar an eolas faoi bhearta slándála agus go gcloíonn siad leo. Ba iad an easpa nósanna imeachta comhaontaithe agus bearta doimhne ar bun idir RIA agus Aramark a bhain le sonraí pearsanta a aistriú thar líonra ba chúis leis an gcinneadh sin.

Léirítear sa chás seo na hiarmhairtí neamhbheartaithe nach mbítear ag súil leo a fhéadfaidh tarlú mar thoradh ar easpa beartas agus nósanna imeachta soiléire, doiciméadaithe a rialaíonn tarchur sonraí pearsanta thar líonra. Sa chás seo, cuireadh leis an teip le teip eile RIA comhaontú i scríbhinn a bheith aige ina leagfaí amach go soiléir paraiméadair threoracha Aramark ó thaobh sonraí pearsanta a phróiseáil thar ceann RIA. Mar a léirítear sa chás seo, ní sáruithe riaracháin ná rialála amháin iad teipeanna den sórt sin ag rialtóir a oibleagáidí cosanta sonraí a chomhlíonadh, ach féadfaidh cur isteach tromchúiseach ar cheart duine, atá faoi chosaint ag Cairt, go ndéanfaí a shonraí pearsanta a chosaint, cur isteach a d'fhéadfaí a sheachaint.

6) Cás-Staidéar 6: An tábhacht a bhaineann le sásraí cuí a bheith I bhfeidhm ag rialtóirí sonraí chun freagairt d'iarrataí ar rochtain agus comhlíonadh doiciméad.

Fuaireamar gearán ó ábhar sonraí maidir le teip eir iarraidh ar rochtain a chomhlíonadh go hiomlán. Chuir an gearánaí in iúl dúinn go bhfuair sé ó eir, mar fhreagra ar a iarraidh ar rochtain, “beart leathanach faisnéise randamach gan míniú ar bith ar an ábhar”.

I rith an imscrúdú a rinneamar, fuaireamar amach go raibh eir ag iarraidh brath ar dhíolúintí reachtúla áirithe maidir leis an gceart rochtana. Mar sin féin, ina fhreagra ar iarraidh ar rochtain an iarrthóra, ní dhearna sé tagairt ar bith don fhíric gur choinnigh sé siar sonraí pearsanta áirithe. Ba i gcomhfhreagras le eir, i rith an imscrúdaithe, tuairim is cúig mhí i ndiaidh do eir an iarraidh ar rochtain a fháil, gur thug eir le tuiscint go raibh siad ag coinneáil siar sonraí pearsanta bunaithe ar dhíolúintí agus leag siad amach na díolúintí sin ar liosta ceangailte.

I rith an imscrúdaithe, tháinig sé chun solais freisin nach raibh eir in ann a chinneadh cé na sonraí pearsanta a cuireadh ar fáil don ghearánaí, de bharr nach raibh cóip de na sonraí pearsanta a cuireadh ar fáil coinnithe aige. De bharr an easpa taifead arna gcoimeád ar na sonraí pearsanta a scaoileadh, ní raibh eir in ann cé na sonraí pearsanta a bhí coinnithe siar/nár cuireadh ar fáil a shainaithint, agus é ag brath ar dhíolúine faoi na hAchtanna um Chosaint Sonraí 1988 agus 2003, nó ar bhealach eile.

Chuireamar in iúl do eir go mbeadh sé deacair a cheapadh go mbeadh eir in ann soiléiriú a thabhairt dúinn maidir le cur i bhfeidhm airbheartaithe acu de dhíolúine reachtúil ar bith ar an iarraidh ar rochtain áirithe sin, mar gheall nach ar eolas acu go soiléir cé na sonraí pearsanta a cuireadh ar fáil don ghearánaí sa chéad dul síos. Dá bharr sin, thugamar treoir do eir tús a chur an athuair leis an bpróiseas chun freagra as an nua a thabhairt ar an iarraidh ar rochtain. Shonraíomar gur cheart do eir:

  1. Scrúdú a dhéanamh ar a chórais, idir láimhe agus leictreonacha, agus athbhreithniú a dhéanamh ar na sonraí pearsanta uile atá ar coimeád aige, I bhfoirm láimhe nó leictreonach, a bhaineann leis an ngearánaí;
  2. Scríobh chuig an ngearánaí laistigh de thréimhse nach mó ná ceithre lá déag ó dháta ár n-iarraidh, ag freagairt d'ábhar a iarrata ar rochtain de réir fhorálacha Alt 4 de na hAchtanna. Agus sin á dhéanamh aige, cheanglaíomar ar eir rochtain a thabhairt ar na sonraí pearsanta uile atá ar coimeádnó á rialú aige, agus míniú a thabhairt don iarrthóir ar an gcúis le hatheisiúint na sonraí pearsanta a tugadh dó cheana féin, i.e. nach raibh eir in ann a fháil amach cé na sonraí pearsanta a eisíodh chuige cheana féin. Thugamar treoir freisin do eir ráiteas ar na cúiseanna leis an diúltú rochtain ar aon sonraí pearsanta a sholáthar a thabhairt don ghearánaí, agus aon díolúine reachtúil ar bhraith eir uirthi a shainaithint, chomh maithleis an mbunús ar a mhaígh eir go raibh feidhm ag an díolúine/na díolúintí sa chás sin. Ar deireadh, cheanglaíomar go gcaithfí cóip de litir eir chuig an iarrthóir a thabhairt dúinn.

Cé gur tharraing an gearánaí sa chás seo a ghearán in aghaidh eir siar ar deireadh, léiríonn na saincheisteanna a aithníodh i rith an imscrúdaithe an ríthábhacht a bhaineann le sásraí eagraíochtúla agus oibríochtúla leordhóthanach a bheith ag rialtóirí sonraí chun deis a thabhairt dóibh a n-oibleagáidí reachtúla i ndáil le hiarrataí ar rochtain a chomhlíonadh. Mar sin féin, tá sé chomh tábhachtach céanna go bhfuil rialtóir sonraí in ann a léiriú, post facto, (sa chás go n-éilíonn an DPC sin, amhail i gcomhthéacs gearáin) gur chomhlíon sé a chuid oibleagáidí. Ní mór do rialtóir sonraí a bheith in ann údar a thabhairt leis na cinntí atá déanta aige maidir le rochtain ar shonraí pearsanta a dhiúltú agus é ag brath ar dhíolúine reachtúil amháin nó níos mó. Mar phointe tosaigh bunúsach de bheith in ann údar a thabhairt maidir leis an seasamh a thugtar i ndáil le hiarraidh ó ábhar sonraí ceart a chleachtadh, is ceart do rialtóirí sonraí córais agus próisis chuí a bheith ar bun acu chun taifid a choimeád. Is ceart do na sásraí sin deis a thabhairt dóibh rianú a dhéanamh ar aon chomhfhreagras le hábhar sonraí, agus cóipeanna de a sholáthar, I ndáil leis an iarraidh ar rochtain nó le hiarraidh ar cheart cosanta sonraí ar bith eile a chleachtadh.

Léirítear sa chás seo freisin nach mbaineann ceart duine rochtain a fháil ar shonraí pearsanta faoi atá ar coimeád le rochtain ar na sonraí féin a sholáthar dóibh agus sin amháin. Is tábhachtach go mbaineann sé freisin le faisnéis leordhóthanach, bhríoch a thabhair don ábhar sonraí freisin, ionas go mbeidh sé in ann a thuiscint, i measc nithe eile, cé na sonraí pearsanta faoi atá á bpróiseáil, cé na himthosca agus cad chuige. Sa chás seo, níor shásaigh beart doiciméad gan míniú a bheith tugtha mar fhreagra ar an iarraidh ar rochtain na riachtanais íosta a bhí infheidhme le eir mar rialtóir sonraí faoi Alt 4 de na hAchtanna um Chosaint Sonraí 1988 agus 2003, rud a chruthaigh mearbhall don ábhar sonraí agus a spreag gearán chuig an DPC.

  1. An ceart go ligfí i ndearmad
  2. Ionchúiseamh Eamon O'Mordha & Company Limited agus duine dá Stiúrthóirí
  3. Caillteanas sonraí pearsanta íogaire a bhí le fáil i gcomhad fianaise a bhí á choimeád ag An nGarda Síochána
  4. Úsáid scannánaíochta TCI i bpróiseas disciplíneach
  5. Nochtadh sonraí pearsanta íogaire ag ospidéal do thríú páirtí
  6. Foilsiú faisnéise pearsanta - díolúine iriseoireachta
  7. Comhlíonadh Iarratais Teacht ar Dhuine is Ábhar & Nochtadh sonraí/íomhánna pearsanta ag úsáid TCI
  8. Teip maidir le freagra iomlán a thabhairt ar iarratas rochtana
  9. Sonraí pearsanta tríú páirtí a coimeádadh siar ó iarratas rochtana a rinneadh ag tuismitheoir linbh mhionaoisigh
  10. Nochtadh Sonraí Pearsanta trí mheán Aip Mheán Sóisialta
  11. Teip ag an Roinn Dlí agus Cirt agus Comhionannais na srianta cuí rochtana a chur i bhfeidhm maidir le rochtain ar shonraí leighis fhostaí
  12. Virgin Media Ireland Limited
  13. Sheldon Investments Limited (ag trádáil mar River Medical)
  14. Tumsteed Unlimited Company (ag trádáil mar EZ Living Furniture)
  15. Cunniffe Electric Limited
  16. Argos Distributors (Ireland) Limited
  17. Expert Ireland Retail Limited

1) Cás-Staidéar 1: An ceart go ligfí i ndearmad

Fuaireamar gearán ó náisiúnach de chuid na Liotuáine i dtaca le hailt faoin duine aonair sin a d'fhoilsigh roinnt foinsí nuachta na Liotuáine deich mbliana roimhe. Sna torthaí cuardaigh i leith ainm an duine aonair ar inneall cuardaigh áirigh, tugadh naisc chuig na hailt seo. Tugadh mionsonraí sna hailt bhainteacha faoi scor fhostaíocht an duine aonair mar oifigeach I roinn rialtais bhardasaigh i dtaca le rannpháirtíocht an duine aonair i ngníomhaíochtaí a raibh poitéinseal leo gur gníomhaíochtaí calaoiseacha a bhí iontu. Tugadh mionsonraí chomh maith faoi chúisimh choiriúla a tugadh i leith an duine aonair as ucht na líomhna gur ghlac sé le breabanna i gcomhthéacs a gcuid fostaíochta.

Le linn ár n-imscrúdaithe ar an ngearán seo, d'áitigh an t-oibreoir innill cuardaigh gur bhain an fhaisnéis a bhí mionsonraithe sna hailt bhainteacha le drochiompar gairmiúil éagóiritheoireachta déanta ag duine páirteach sa riarachán poiblí. D'áitigh sé sa chás go raibh pionóis choiriúla mar thoradh ar dhrochiompar den chineál seo, gurb amhlaidh go raibh sé sách trom go measfaí an fhaisnéis a bheith chun leasa an phobail, agus dá bhrí sin go raibh údar le haon idirghabháil i leith cearta an duine is ábhar do na sonraí.

Le linn ár n-imscrúdaithe, áfach, thug an gearánaí cáipéisí oifigiúla cúirte ar a léiríodh go bhfuarthas iad neamhchiontach i leith na gcúiseamh uile a ndearnadh tagairt dóibh sna hailt. Thug an gearánaí chomh maith cáipéisí dúinn ar a léiríodh gur ar bhonn saorálach a bhí scoir a bhfostaíochta leis an roinn rialtais bhardasaigh, agus gur éirigh an gearánaí as mar gheall ar chúiseanna pearsanta. Chuireamar san áireamh gur léirigh an fhaisnéis dhoiciméadach seo go raibh faisnéis phearsanta an ghearánaí, a raibh próiseáil á déanamh uirthi trí inneall cuardaigh a bhí ag tabhairt torthaí do na hailt bhainteacha, go raibh an fhaisnéis seo míchruinn, neamhiomlán agus as dáta agus ar an mbonn sin d'iarramar go mbainfeadh oibreoir an innill chuardaigh na naisc ó na leathanaigh ghréasáin bhainteacha ó na torthaí cuardaigh, ar torthaí iad ó ainm an ghearánaí a chuardach. Chomhlíon an t-oibreoir innill cuardaigh lenár n-iarratas agus rinne sé na naisc bhainteacha a dhíliostú.

Léiríonn an cás seo go bhfuil an fhreagracht ar inneall cuardaigh, mar rialaitheoir sonraí, é féin a shásamh de réir an leibhéil chuí, go gcloíonn na sonraí pearsanta a dtugann torthaí innill cuardaigh naisc chuige, go hiomlán leis na dlíthe ar chosaint sonraí. Sa chás seo, ba chosúil nach ndearna oibreoir an innill chuardaigh scrúdú ceart ar an ngearán, ach go simplí gur thóg sé an chur chuige de bheith ag glacadh leis, toisc go raibh an gearánaí fostaithe roimhe sin i ról oifigigh phoiblí, go raibh an fhaisnéis i gceist go huathoibríoch chun leasa an phobail, is cuma cé acu an raibh sé cruinn, iomlán agus suas chun dáta, nó nach raibh. Ghlac an t-oibreoir innill cuardaigh leis, gan cúlra na bhfíricí a sheiceáil is cosúil, gur ciontaíodh an gearánaí as na coireanna coiriúla.

2) Cás-Staidéar 2: Ionchúiseamh Eamon O'Mordha & Company Limited agus duine dá Stiúrthóirí

Tháinig imscrúdú an cháis seo aníos i gcomhthéacs imscrúdú leathan ar an earnáil Imscrúdaitheoirí Príobháideacha ar cuireadh tús leis in 2016. Mar chuid den imscrúdú sin, rinne an tAonad Imscrúduithe Speisialta cóipeanna a fháil agus a scrúdú de thuairiscí roinnt imscrúdaitheoirí príobháideacha a scríobh Eamon O'Mordha & Company Limited in 2014 agus 2015 (an comhlacht) dá chuid cliant san earnáil árachais. Tháinig amhras ar an Aonad Imscrúduithe Speisialta faoi bhunús cuid de na sonraí pearsanta sna tuairiscí sin agus chuir tús láithreach le himscrúdú a raibh an Roinn Coimirce Sóisialaí agus an Garda Síochána páirteach ann.

Ina dhiaidh sin, tháinig sé chun solais don imscrúdú go raibh rochtain ag an gcomhlacht ar thaifid leasa shóisialaigh a bhí coinnithe ar bhunachair sonraí sa Roinn Coimirce Sóisialaí. Chuir Oifigigh Údaraithe de chuid an Choimisinéara Cosanta Sonraí agallamh ar oifigeach sa Roinn sin. Le linn an agallaimh sin, nocht an t-oifigeach gur beirt chairde léi iad stiúrthóirí an chomhlachta agus d'admhaigh sí gur bhuail duine de na stiúrthóir cuideachta léi ar bhonn rialta agus gur an stiúrthóir uirthi eolas ar bhunachar na Roinne a sheiceáil. D'admhaigh an t-oifigeach go ndearna sí na seiceálacha sin agus gur thug sí sonraí pearsanta don stiúrthóir cuideachta.

Chomh maith leis sin, tháinig sé chun solais don imscrúdú go raibh rochtain ag an gcomhlacht ar thaifid a bhí coinnithe ar bhunachar PULSE an Gharda Síochána. Chuir Oifigigh Údaraithe de chuid an Choimisinéara Cosanta Sonraí agallamh ar bheirt ag fónamh mar chomhaltaí den Gharda Síochána (ar deartháireacha agus nianna iad le duine de stiúrthóirí na cuideachta). Le linn na n-agallamh sin, dheimhnigh an bheirt Gharda go ndearna a n-aintín teagmháil leis chun eolas a fháil uathu i dtaca le daoine aonair agus uimhreacha clárúcháin feithicle. D'admhaigh siad beirt go raibh rochtain acu ar bhunachar PULSE an Gharda Síochána agus gur thug siad ina dhiaidh sin faisnéis phearsanta dá n-aintín, stiúrthóir na cuideachta.

Cúisíodh Eamon O'Mordha & Company Limited as seacht scór is tríocha de shárú ar na hAchtanna um Chosaint Sonraí, 1988 agus 2003 (na hAchtanna). Bhain na cúiseanna uile le sáruithe 22 de na hAchtanna as ucht rochtain a fháil ar shonraí pearsanta gan údarú a fháil roimh ré ón rialaitheoir sonraí a choinníonn na sonraí, agus na sonraí sin a nochtadh do dhuine eile. Bhí na sonraí á gcoinneáil ag an Roinn Coimirce Sóisialaí agus ag an nGarda Síochána. Nochtadh na sonraí pearsanta d'eintitis san earnáil árachais. Cúisíodh ar leithligh beirt stiúrthóirí de chuid na cuideachta, Eamonn O'Mordha agus a bhean chéile Ann O'Mordha as ucht tríocha a seacht scór de shárú ar alt 29 de na hAchtanna as ucht an ról a bhí acu sna coireanna a rinne an chuideachta. Foráiltear faoin gcuid seo den Acht go ndéantar stiúrthóirí cuideachta a ionchúiseamh sa chás go gcruthaítear go ndearna cuideachta coir le toiliú nó le cúlcheadú, nó go bhfuil sé inchurtha síos d'aon fhaillí ar thaobh aon duine de stiúrthóirí na cuideachta nó d'oifigigh eile.

Ar an 8 Bealtaine 2017, ag Cúirt Dhúiche Chathrach Bhaile Átha Cliath, taifeadadh pléadálacha ciontachta ar son na cuideachta i leith dhá chúis déag i leith coireanna faoi alt 22 de na hAchtanna. Chiontaigh an Chúirt an chuideachta i leith deich gcinn de chúiseanna agus chuir sé an dá chúis eile san áireamh. Ghearr an Chúirt deich bhfíneáil €1,000 ar an gcuideachta (€10,000 ar an iomlán). Scriosadh amach na cúiseanna uile eile a bhí fanta. Phléadáil stiúrthóir na cuideachta, Ann O'Mordha, ciontach i leith 12 chúis i leith coireanna faoi alt 29 de na hAchtanna. Chiontaigh an Chúirt Ann O'Mordha i Leith deich gcinn de chúiseanna agus chuir sé an dá chúis eile san áireamh. Ghearr an Chúirt deich bhfíneáil €1,000 ar Ann O'Mordha (€10,000 ar an iomlán). Scriosadh amach na cúiseanna uile eile a bhí fágtha. Níor leanadh leis na cúiseanna in aghaidh a fir chéile, stiúrthóir eile na cuideachta.

3) Cás-Staidéar 3: Caillteanas sonraí pearsanta íogaire a bhí le fáil i gcomhad fianaise a bhí á choimeád ag An nGarda Síochána

Fuaireamar gearán ó lánúin in aghaidh An Gharda Síochána (AGS), a bhain le caillteanas comhaid fhianaise a bhí ag coimeád, i measc rudaí eile, sonraí pearsanta íogaire na lánúine a bhain le sonraí córa leighis. Fuaireamar amach go raibh gearán coiriúil curtha faoi bhráid AGS ag an lánúin roimhe seo agus go raibh iarratas rochtana déanta acu ina dhiaidh sin.  Mar fhreagra ar an iarratas rochtana, áfach, cuireadh in iúl dóibh go raibh an comhad fianaise a bhain lena ngearán, agus a raibh gcuid bunráiteas le fáil ann, chomh maith le DVD agus doiciméid phoist tar éis a bheith caillte le linn dóibh bheith i seilbh AGS. Rinne na gearánaithe iarratas go ndéanfaimis fiosrú foirmeálta faoin gceist.

Chuir AGS in iúl dúinn go ndearnadh, tar éis dóibh fáil amach go raibh an comhad fianaise faoi thrácht ar iarraidh, cuardach cuimsitheach trí gach comhad a choimeádtar ag an leibhéal áitiúil san Oifig Ceantair, agus i rannóga ábhartha eile den AGS, chun iarracht a dhéanamh an comhad a aimsiú. Sa deireadh thiar thall, áfach, níor aimsíodh an comhad.

Le linn ár bhfiosraithe, rinneamar staidéar ar line chúraim an tsampla a soláthraíodh dúinn ag an AGS agus fuaireamar amach gur i seilbh an oifigigh fhiosraithe a bhí an comhad an uair dheireanach a raibh tásc ná tuairisc air. Tugadh treoir don oifigeach sin ag oifigeach uachtarach an lánúin a chur ar an eolas faoin ngearán coiriúil agus an comhad a chur ar ais chuig an Oifig Ceantair ansin lena chomhdú. Theip ar an oifigeach, áfach, an comhad a chur ar ais chuig an Oifig Ceantair lena chomhdú. Chuir AGS in iúl dúinn gur sháraigh teip seo an oifigigh an comhad a chur ar ais chuig an áit ábhartha san Oifig Ceantair beartas agus gnáthaimh an Gharda ag an am sin, agus gur cuireadh i gcrích, dá bharr sin, fiosrú de chuid Choimisiún Ombudsman an Gharda Síochána. Tar éis an fhiosraithe sin, smachtaíodh agus gearradh pionós ar an oifigeach faoi thrácht as an sárú céanna.

Ceann de riachtanais lárnacha an dlí chosanta sonraí is ea é go bhfuil sé de dhualgas ar rialaitheoirí sonraí bearta cuí slándála a bheith i bhfeidhm acu chun cinntiú go gcoimeádtar sonraí pearsanta atá ina seilbh slán sábháilte. Cuireann sin iachall ar an rialaitheoir idir bhearta teicniúla agus eagraíochtúla a chur san áireamh agus, rud atá tábhachtach, gach gníomh réasúnta a dhéanamh le cinntiú go bhfuil a chuid fostaithe, i measc daoine eile, ar an eolas faoi agus ag cloí leis na bearta slándála. Mar chuid den chinneadh a rinne sí, chinn an Coimisinéir go raibh AGS, mar an rialaitheoir sonraí, tar éis sárú a dhéanamh ar Alt 2(1)(d) de na hAchtanna um Chosaint Sonraí 1988 agus 2003, ós rud é gur theip air bearta cuí slándála a dhéanamh chun stóráil shábháilte shonraí pearsanta íogaire na ngearánaithe a chinntiú, sonraí a bhí le fáil sa chomhad fianaise faoi thrácht.

Léiríonn an cás seo go dtéann an dualgas atá ar rialaitheoir sonraí bearta cuí slándála a chothabháil thar bheith díreach ag cur i bhfeidhm gnáthaimh a bhaineann le stóráil agus le láimhseáil sonraí pearsanta. Ní bhíonn a leithéid de ghnáthaimh éifeachtach mar rialú slándála ach amháin má chloítear leo go comhsheasmhach, agus mar sin de ní mór do rialaitheoirí sonraí monatóireacht a dhéanamh ar an tslí a gcloíonn an fhoireann leis na bearta seo, agus gníomhartha bríocha a dhéanamh (mar shampla oiliúint, iniúchadh agus, b´fhéidir, bearta disciplíneacha sa chás go n-aithnítear neamhchomhlíonadh) chun cinntiú go gcuireann an fhoireann a leithéid de ghnáthaimh i gcrích go córasach.

4) Cás-Staidéar 4: Úsáid scannánaíochta TCI i bpróiseas disciplíneach.

Fuaireamar gearán ó dhuine maidir le húsáid scannánaíochta TCI ag a bhfostóir i bpróiseas disciplíneach in aghaidh an duine chéanna. Chuir an gearánaí in iúl dúinn gur úsáid a bhfostóir a gcuid sonraí pearsanta, le linn dóibh bheith fostaithe mar oifigeach slándála, i bhfoirm scannánaíochta TCI, chun iad a smachtú agus chun iad a bhriseadh as a bpost sa deireadh thiar. Dhearbhaigh an gearánaí nár tugadh fógra dóibh roimh ré gurbh fhéidir scannánaíocht TCI a úsáid in imeachtaí araíonachta.

Le linn ár bhfiosraithe, chuir an fostóir in iúl dúinn go raibh an gearánaí ag obair mar oifigeach oíche agus iad sannta ar áitreabh cliaint, is go raibh iachall ar an bhfostaí monatóireacht a dhéanamh ar an gcóras TCI don áitreabh ó sheomra rialaithe. Ba é seasamh an fhostóra gur iarradh ar an ngearánaí, nuair a sannadh an t-áitreabh cliaint faoi thrácht ar an duine, tacar “Buannósanna Imeachta” a léamh a thug le fios gurbh fhéidir scannánaíocht TCI a úsáid i bpróiseas imscrúdaitheach a bhaineann le fostaí. Iarradh ar an bhfostaí freisin deimhniú tuisceana a shíniú chun dearbhú go raibh a chuid freagrachtaí léite agus tuigthe aige. D´áitigh an fostóir nár baineadh úsáid as an gcóras TCI a bhí i bhfeidhm in áitreabh an chliaint chun maoirseachta dhéanamh ar an bhfoireann, ós rud é go raibh maoirseoir i láthair san áitreabh le linn uaireanta oifige idir an Luan agus an Aoine.

Chuir an fostóir in iúl d´ár gcuid imscrúdaitheoirí gur ar an ngearánaí a bhí an fhreagracht, mar an t-aon oifigeach slándála oíche a bhí ar dualgas in áitreabh an chliaint, faireachán a dhéanamh ar an gcóras TCI don áitreabh ón seomra rialaithe. Téarma de chuid chonradh an fhostóra lena chliant a bhí sa riachtanas oifigeach slándála oíche a bheith ar dualgas sa seomra rialaithe sin don chuspóir sin.

Bhí dualgas conartha ar an bhfostóir freisin faoina chonradh lena chliant gnáthiniúchtaí a chur i gcrích ar chártaí rochtana na bhfostaithe (cárta í a ndéantaí iad a svaidhpeáil ag an sealbhóir chun rochtain a fháil ar ionaid éagsúla in áitreabh an chliaint). Dúirt an fostóir linn gur aimsíodh aige, le linn a leithéid d´iniúchadh, mírialtachtaí sna sonraí a fuarthas ó chárta rochtana an ghearánaí nárbh fhéidir gur bhain siad le tuisle teicniúil, ós rud é nach raibh na mírialtachtaí céanna le tabhairt faoi deara i sonraí cárta rochtana chomhghleacaithe an ghearánaí ar oifigigh oíche iad freisin. Thug na mírialtachtaí seo le fios go raibh an gearánaí as láthair óna phost sannta sa seomra rialaithe ar feadh tréimhsí fada ama ar roinnt ócáidí éagsúla. Bunaithe ar mhírialtachtaí shonraí an chárta rochtana, agus tar éis dó asláithreacht dealramhach an fhostaí ón seomra rialaithe ar feadh tréimhsí fada a thabhairt faoi deara, bhí tús curtha ag an bhfostóir le fiosrú faoi iompar an fhostaí. Le linn an fhiosraithe seo, cheistigh an gearánaí cruinneas na sonraí cárta rochtana, agus d´iarr sé go soláthródh an fostóir tuilleadh fianaise maidir lena asláithreacht fhada líomhnaithe ón seomra rialaithe. Fuair an fostóir, mar sin de, stadáin TCI ó amanna nuair a thug sonraí an chárta rochtana le fios go raibh an gearánaí as láthair óna bpost chun láthair an ghearánaí a dhearbhú. D´áitigh an fostóir, ós rud é go raibh an córas TCI neamhspleách ar an gcóras sonraí cárta rochtana, gurbh é sin an t-aon slí neamhspleách chun sonraí an chárta rochtana a dhearbhú. Sholáthair an fostóir miontuairiscí cruinnithe araíonachta leis an ngearánaí dúinn freisin, cruinniú inar admhaigh siad a bheith as láthair ón seomra rialaithe ar feadh tréimhsí fada. Chuir an fostóir in iúl dúinn freisin go raibh an gearánaí tar éis admháil níos déanaí, i ríomhphost a soláthraíodh dúinn freisin, gurbh é an fáth a bhain leis na tréimhsí seo asláithreachta ná go ndeachaigh an gearánaí isteach i seomra eile chun luí síos ar dhromchla crua chun faoiseamh a fháil ó phian droma a d´eascair as gortú droma.

Cheistíomar leis an bhfostóir cad é an bunús dlí a bhí ann chun sonraí pearsanta an ghearánaí a phróiseáil ón scannánaíocht TCI. Ba é seasamh an fhostóra ná, de thoradh ar a chuid dualgas conartha i leith a chliaint (ar leis an áitreabh a raibh monatóireacht á déanamh air), dá dtarlódh teagmhas díobhálach le linn tréimhse asláithreachta an oifigigh shannta slándála (an fostaí) ón seomra rialaithe, gur féidir go mbeadh an fostóir neamhchosanta ar chaingean dlí a bhaineann le sárú conartha óna chliant, caingean arbh fhéidir go mbeadh mar thoradh air iarmhairtí suntasacha airgeadais agus clú don fhostóir. Ar an mbunús seo d´áitigh an fostóir gurbh é a leas dlisteanach scannánaíocht TCI an fhostaí a phróiseáil do chuspóir an phróisis araíonachta.

Faoi Alt 2A(1)(d) is féidir le rialaitheoir sonraí na sonraí pearsanta a bhaineann le duine a phróiseáil, in ainneoin nach bhfuil comhthoil an duine is ábhar do na sonraí ag an rialaitheoir, nuair a bhíonn an phróiseáil riachtanach do chuspóirí an leasa dhlisteanaigh sin a bhfuil an rialaitheoir á chur i gcrích. Chun bheith ag brath, áfach, ar an leas dlisteanach mar bhunús dlí le haghaidh próiseála, ní mór critéir áirithe a chomhlíonadh, mar seo a leanas:

  • ní mór gurbh ann do leas dlisteanach a thugann údar leis an bpróiseáil;
  • ní mór go mbeadh próiseáil na sonraí pearsanta riachtanach do chur i gcrích an leasa dhlisteanaigh;

agus

  • ní mór go mbeadh tús áite ag an leas dlisteanach thar chearta agus thar leasanna an duine is ábhar

do na sonraí.

Agus an tástáil 3 chéim thuasluaite curtha san áireamh aici, bhí an Coimisinéir sásta go raibh leas dlisteanach ag an bhfostóir maidir le fiosrú a dhéanamh ar agus maidir le dearbhú más amhlaidh go raibh nó nach raibh mí-iompar ar siúl ó thaobh an fhostaí de (nó más amhlaidh go raibh locht ar an gcóras slándála cárta rochtana). Ina theannta sin, bhí an Coimisinéir den tuairim go raibh úsáid na scannánaíochta TCI riachtanach agus i gcomhréir leis an gcuspóir a rabhthas á chur i gcrích, ag cur san áireamh a thromchúisí is a bhí an líomhain, ós rud é gurbh é an t-aon mhodh neamhspleách chun cruinneas na sonraí cárta rochtana a dhearbhú. Thug an Coimisinéir faoi deara gur úsáideadh an scannánaíocht TCI ar bhealach teoranta chun faisnéis eile a dhearbhú agus go ndearnadh de réir phrionsabal íoslaghdú na sonraí. Go deireanach, ag cur san áireamh an riosca a d´fhéadfadh a bheith ann go ndéanfaí dochar do chlú an fhostóra agus an gá atáann chun slándáil áitreabh a chliaint a chinntiú, bhí an Coimisinéir sásta go raibh tús áite sna í seo cúinsí seo ag úsáid na scannánaíochta TCI do chuspóir an fhiosraithe faoi mhí-iompar a d´fhéadfadh a bheith déanta ag fostaí, mí-iompar a d´ardódh ceisteanna a d´fhéadfadh a bheith ann in áitreabh cliaint thar chearta agus shaoirse an ghearánaí mar dhuine is ábhar do na sonraí. Maidir leis an gceist ar shólathair an rialaitheoir fógra don ghearánaí gurbh fhéidir go ndéanfaí a gcuid sonraí pearsanta a phróiseáil trí úsáid scannánaíochta TCI, bhí an Coimisinéir sásta gur tugadh fógra sásúil i dtaca leis sin trí mheán an doiciméid BNO, rud a aithníodh ag an ngearánaí ar shíniú an deimhnithe thuisceana dó.

Tháinig an Coimisinéir seo ar an tuairim, mar sin de, go raibh bunús dlí ag an bhfostóir chun sonraí pearsanta an ghearánaí a phróiseáil a bhí le fáil sa scannánaíocht TCI faoi Alt 2A(1)(d) de na hAchtanna um Chosaint Sonraí 1988 agus 2003.

Léiríonn an cás seo nach mbeidh bunús dlí na leasanna dlisteanacha ar fáil ach amháin chun údar a thabhairt le próiseáil sonraí pearsanta sa chás go bhfuil, agus cothromaíocht á déanamh idir leasanna dlisteanacha faoi seach an rialaitheora agus cearta agus saoirse an duine is ábhar do na sonraí, go bhfuil cúinsí ar leith an cháis ualaithe go soiléir ar son tosaíocht a dhéanamhde leasanna dlisteanacha an rialaitheora. Tá sé bunriachtanach, chun údar a thabhairt leis an tuilleamaí ar an mbunús dlí seo go bhfuil an phróiseáil atá faoi thrácht comhréireach agus go bhfuil sí riachtanach chun leasanna dlisteanacha an rialaitheora a chur i gcrích.

5) Cás-Staidéar 5: Nochtadh sonraí pearsanta íogaire ag ospidéal do thríú páirtí

Fuaireamar gearán a bhain le nochtadh neamhúdaraithe líomhnaithe sonraí pearsanta íogaire othair ag ospidéal do thríú páirtí. D´fhreastail an gearánaí ar an ospidéal le haghaidh gnáthamh leighis agus chuir siad in iúl dúinn gur cuireadh na tuairiscí leighis do na gnáthaimh seo chuig a seoladh baile i gclúdach nach raibh aon stampa air. Bhí seoladh lámhscríofa ar an gclúdach a raibh luaite ann ainm Dochtúra Teaghlaigh (DT) agus a raibh mar chuid de freisin seoladh baile chomharsa an ghearánaí. Bhí leasú lámhscríofa tar éis a bheith déanta ar an seoladh, ag dearbhú gurbh é an seoladh mícheart. Chuir an gearánaí in iúl dúinn go raibh fiosruithe déanta acu lena gcomharsa maidir leis an gcomhfhreagras; dhearbhaigh an comharsa go raibh an comhfhreagras faighte acu roinnt laethanta roimhe sin ach nár seachadadh ag fear poist é. Lena chois sin, chuir an comharsa in iúl don ghearánaí gur osclaíodar an clúdach agus gur bhreathnaíodar ar an ábhar mar chuid d´iarracht an faighteoir/seoladh ceart a aimsiú.

Tar éis an ghearáin tosaigh, sholáthair an gearánaí comhfhreagras dúinn a fuair siad ina dhiaidh sin ón ospidéal, inar gabhadh leithscéal leo gur cuireadh comhfhreagras ina raibh torthaí leighis an ghearánaí le fáil chuig an seoladh mícheart gan chuimhneamh. Thug an t-ospidéal le fios go raibh an chuma ar an scéal gur tharla sin mar gheall ar earráid chléireachais mar ar meascadh suas cuid de sheoladh an DT agus cuid de sheoladh an ghearánaí. Chuireamar tús le fiosrú chun fail amach conas a tharla an earráid, cad iad na gnáthaimh a bhí i bhfeidhm ag an ospidéal ag an am agus cad é a bhí déanta ag an ospidéal ó shin le nach dtarlódh a leithéid de theagmhas arís.

Chuir an t-ospidéal in iúl dúinn gurb é an gnáthghnáthamh atá acu ná tuairiscí leighis a eisiúint I mbaisceanna chuig an DT ábhartha, ar an tslí sin cuirtear tacair iomadúla tuairiscí leighis d´othair éagsúla isteach I gclúdach a bhfuil fuinneog air, a thaispeánann seoladh an DT ábhartha san fhuinneog. Sa chás seo, áfach, cuireadh an tuairisc leighis isteach i gclúdach nach raibh fuinneog air agus scríobhadh an seoladh de láimh ar an tosach. Agus sin á dhéanamh acu, mheasc an ball foirne a scríobh an seoladh ar an gclúdach de láimh, mheasc said suas go hearráideach ainm an DT, cuid de sheoladh an DT agus cuid de sheoladh an ghearánaí ar an gclúdach. Chuir an t-ospidéal in iúl dúinn freisin go ndéantar na clúdaigh sin a bhfuil torthaí iontu atá le seoladh chuig DT, go ndéantar iad a fhrainceáil ag seomra poist an ospidéil. Sa chás seo, áfach, ós rud é nach raibh an clúdach a raibh faisnéis leighis an ghearánaí le fáil ann frainceáilte, ba é an tátal a bhain an t-ospidéal as sin ná gur cuireadh amach go díreach óna seomra poist é, agus chuir siad in iúl gurbh fhéidir gur cuireadh chun tosaigh é trí mheán an DT ábhartha, cé gur aithníodar nárbh fhéidir leo bheith cinnte faoi sin. Ní rabhamar in ann fail amach le linn an fhiosraithe faoi cén dóigh go díreach ar seachadadh an clúdach a raibh tuairiscí leighis an ghearánaí le fáil iontu go teach chomharsa an ghearánaí. Chuir an t-ospidéal in iúl dúinn gur tugadh faisnéis dá bhfoireann riaracháin ó shin maidir leis an ngnáthamh ceart chun tuairiscí leighis a eisiúint, agus nach mbainfí úsáid as clúdaigh gan fhuinneog as seo amach don chuspóir seo.

Dhiúltaigh an gearánaí don leithscéal a thug an t-ospidéal dóibh trí mheán tairisceana réitigh chairdiúil agus ina áit sin d´iarr siad socrú foirmeálta ón gCoimisinéir. Mar chuid dá cinneadh, chinn an Coimisinéir go raibh sárú déanta ag an ospidéal ar Alt 2(1)(b) (riachtanas maidir le sonraí pearsanta a choimeád cruinn, iomlán agus suas chun dáta), Alt 2(1)(d) (riachtanas maidir le bearta cuí slándála a dhéanamh) agus Alt 2B(1) (riachtanas maidir le bunús dlí do phróiseáil sonraí pearsanta íogaire) de na hAchtanna um Chosaint Sonraí 1988 agus 2003 nuair a rinne sé sonraí pearsanta íogaire an ghearánaí a phróiseáil trí mheán a gcuid sonraí pearsanta a nochtadh gan chuimhneamh do thríú páirtí.

Léiríonn an cás an méid seo: is féidir le hathrú, atá neafaiseach de réir dealraimh, a dhéanann ball foirne amháin ar bhuan-nós i dtaca le heisiúint chomhfhreagrais, iarmhairtí suntasacha a bheith aige don duine ábhartha is ábhar do na sonraí. Sa chás seo, bhí teacht ag tríú páirtí ar fhaisnéis leighis an-phearsanta ar fad faoi chúinsí arbh fhéidir iad a sheachaint go hiomlán. Dá mbeadh rialú cuí caighdeáin agus meicníochtaí cuí maoirseachta i bhfeidhm ag an ospidéal chun cinntiú go gcloíonn gach ball foirne go docht lena chuid buan-nósanna, ní dócha go mbeadh an nochtadh neamhúdaraithe seo sonraí pearsanta íogaire tar éis tarlú.

6) Cás-Staidéar 6: Foilsiú faisnéise pearsanta - díolúine iriseoireachta

Fuaireamar gearán a bhain le halt a foilsíodh sa Sunday World (sa nuachtán clóite agus ar líne araon) a d´ainmnigh an gearánaí agus a d´fhoilsigh a ngrianghraf. Ba é fócas an ailt ná gearáin oifigiúla a rinneadh ag príosúnaigh Éireannacha faoi Acht na bPríosún 2007 a bhain leis an tslí inar caitheadh leo sa phríosún (tugtar gearáin “Catagóir A” orthu seo), agus bhí sonraí ann faoi líon na ngearán “Catagóir A” a bhí déanta ag an ngearánaí. Líomhnaíodh ag an ngearánaí go raibh teacht neamhúdaraithe faighte ag an Sunday World ar a gcuid sonraí pearsanta ó Sheirbhís Phríosúin na hÉireann.

Sholáthair an gearánaí litir dúinn a bhí scríofa acu chuig eagarthóir an Sunday World, inar maíodh go raibh an fhaisnéis a bhí le fáil san alt míchruinn agus gur sháraigh sí an ceart a bhí acu ar phríobháideachas agus inar iarradh go mbainfí an nasc don alt ar líne. Cuireadh cinneadh ar fáil dúinn freisin a rinne Ombudsman an Phreasa roimhe seo a phléigh le sáruithe éagsúla líomhnaithe ar Chód Cleachtais Chomhairle Preasa na hÉireann (an Cód) ó thaobh an Sunday World de, líomhaintí a bhain le sáruithe a d´eascair as an alt faoi thrácht san áireamh. Bhí cinneadh déanta ag Ombudsman an Phreasa go ndearnadh sárú ar Phrionsabal 5 den Chód, a bhaineann le cúrsaí príobháideachais, agus gurbh fhéidir an t-alt a scríobh gan ainm ná grianghraf an ghearánaí a fhoilsiú. Ba é an seasamh a bhí glactha ag Ombudsman an Phreasa ná, ós rud é nach cuid den taifead poiblí iad gearáin “Catagóir A”, go rabhthas tar éis sárú ar an méid príobháideachais arbh fhéidir leis an ngearánaí bheith ag súil leis go réasúnta ag foilsiú a n-ainm agus a ngrianghraif.

Le linn ár bhfiosraithe chuireamar ceist ar lucht an Sunday World cén fáth nach raibh leagan ar líne an ailt bainte óna shuíomh gréasáin acu, ag cur san áireamh cinneadh Ombudsman an Phreasa agus ag cur san áireamh iarratas scríofa an ghearánaí chun a leithéid a dhéanamh. Chuireamar ceist freisin conas a fuair an Sunday World sonraí pearsanta an ghearánaí. Ina fhreagra, dhearbhaigh an Sunday World an seasamh a bhí aige, go raibh an foilsiú ar mhaithe le leas an phobail ós rud é gur bhain sé le réimis chúram agus bhainistiú na gcimí chomh maith le foireann na bpríosún. Mhaígh sé freisin go raibh an t-alt tar éis béim a chur ar an tslí ina raibh ró-úsáid agus mí-úsáid á baint as córas na [ngearán]. Chuir an Sunday World in iúl dúinn gur baineadh leagan ar líne an ailt tar éis dóibh an t-iarratas foirmeálta a fháil ón ngearánaí. Bhí an Sunday World ag brath, áfach, ar an bhforáil a bhaineann le díolúine iriseoireachta faoi Alt 22A de na hAchtanna um Chosaint Sonraí 1988 & 2003 (na hAchtanna) maidir le fáil na faisnéise i dtaca leis na gearáin “Catagóir A” agus le sonraí pearsanta an ghearánaí.

D´eisigh an Coimisinéir cinneadh foirmeálta maidir leis an ngearán agus go sonrach maidir le cur i bhfeidhm dhíolúine Ailt 22A. Is é an bunús atá leis an díolúine in Alt 22A ná cosaint an phríobháideachais agus saoirse cainte a thabhairt chun réitigh. Tar éis d´fheidhm a bheith le Conradh Liospóin, bhain cosaint sonraí stádas amach mar cheart bunúsach. Is ceart bunúsach é an ceart ar shaoirse cainte freisin. Aithnítear an dá cheart freisin sa Choinbhinsiún Eorpach um Chearta an Duine, agus déantar tagairt dóibh freisin i dTreoir um Chosaint Sonraí an AE 95/46/EC a dtugtar éifeacht di i ndlí na hÉireann trí na hAchtanna.

Sonraíonn Alt 22A de na hAchtanna go mbeidh sonraí pearsanta a phróiseáiltear do chuspóirí iriseoireachta amháin saor ó chomhlíonadh fhorálacha áirithe na reachtaíochta sin (lena n-áirítear an riachtanas bunús dlí a bheith ag an bpáirtí chun na sonraí pearsanta a phróiseáil), a fhad is go gcomhlíontar 3 chritéar charnacha. Faoi Alt 22A(1)(b), ceann de na 3 chritéar is ea é gur gá go gcreideann an rialaitheoir sonraí, sa chás seo an Sunday World, go réasúnta, ag cur san áireamh go háirithe tábhacht ar leith leas an phobail i dtaca le saoirse cainte, go mbeadh a leithéid de phróiseáil (sa chás seo trína fhoilsiú sa nuachtán) ar mhaithe le leas an phobail. Mhaígh an Sunday World gurbh é cuspóir an ailt faoi thrácht, go bunúsach, ná béim a chur ar mhí-úsáid próise laistigh de Sheirbhís Phríosúin na hÉireann, dar leis. Mar chuid dá cinneadh, chinn an Coimisinéir nach raibh sé réasúnta go gcreidfeadh an rialaitheoir sonraí go mbeadh foilsiú shonraí pearsanta an ghearánaí, trí fhoilsiú a n-ainm agus a ngrianghraif, ar mhaithe le leas an phobail, chun cuspóir dearbhaithe an Sunday World a bhaint amach. Ba é tuairim an Choimisinéara gurbh fhéidir an tábhacht ar leith a bhaineann le Saoirse cainte a shásamh dá mbeadh meáin eile úsáidte ag an iriseoir faoi thrácht chun an cuspóir inmhianta a bhaint amach, mar shampla trí staitisticí a úsáid maidir le líon na bpríosúnach a rinne gearáin ‘Catagóir A' agus nár cuireadh feabhas ar ná níor cuireadh isteach ar leas an phobail trí aithint an ghearánaí trí mheán a n-ainm agus a ngrianghraif. Ós rud é nár sásaíodh critéar amháin as na 3 chritéar charnacha do chur i bhfeidhm na díolúine iriseoireachta faoi Alt 22A de na hAchtanna, chinn an Coimisiún nár ghá an dá chritéar eile a chur san áireamh.

Ós rud é nach raibh an rialaitheoir sonraí in ann bheith ag brath ar Alt 22A de na hAchtanna mar dhíolúine ón riachtanas go mbeadh bunús dlí próiseála ann trí fhoilsiú shonraí pearsanta an ghearánaí, ina cinneadh chuaigh an Coimisinéir ar aghaidh go ndearna sí breithniú faoin gceist an raibh a leithéid de bhunús ann don phróiseáil le fírinne. Cé gur mheas an Coimisinéir go raibh leas dlisteanach ag an Sunday World maidir le fáil agus le próiseáil faisnéise staitisticiúla ghearáin ‘Catagóir A' do chuspóir an taighde don alt faoi thrácht, mheas sí go raibh an Sunday World tar éis sárú ar Alt 2(1)(c)(iii) trí phróiseáil bhreise a dhéanamh ar shonraí pearsanta an ghearánaí, trína fhoilsiú. D´eascair an sárú seo ós rud é go raibh próiseáil na sonraí trí fhoilsiú iomarcach agus neamhriachtanach do chuspóir an phointe a bhí á dhéanamh ag an Sunday World san alt, . i. go raibh mí-úsáid á baint as an gcóras.

Léiríonn an cás seo nach lándíolúine í an díolúine iriseoireachta faoi Alt 22A de na hAchtanna ar féidir le foilsitheoirí nó iriseoirí bheith ag brath uirthi, agus iad ag iarraidh údar a thabhairt le foilsiú sonraí pearsanta neamhriachtanacha. Ní leor alt foilsithe a bheith ann le go mbeadh sé laistigh de scóip na díolúine seo, agus ina áit sin ní mór go mbeadh rialaitheoir sonraí in ann léiriú go sásaíonn siad gach ceann de na 3 chritéar charnacha san alt seo, mar seo a leanas:

(i) ní thugtar faoin bpróiseáil ach amháin agus é i gceist ábhar iriseoireachta, liteartha nó ealaíonta a fhoilsiú;

(ii) creideann an rialaitheoir sonraí go réasúnta go mbeadh a leithéid d´fhoilsiú, ag cur san áireamh go háirithe an tábhacht ar leith a bhaineann le Saoirse cainte, ar mhaithe le leas an phobail; agus

(iii) creideann an rialaitheoir sonraí go réasúnta nach réiteofaí, sna cúinsí ar fad, le cuspóirí iriseoireachta, ealaíonta nó liteartha dá mbeadh iachall ar an bpáirtí cloí le riachtanas ábhartha na nAchtanna.

7) Cás-Staidéar 7: Comhlíonadh Iarratais Teacht ar Dhuine is Ábhar & Nochtadh sonraí/íomhánna pearsanta ag úsáid TCI

Fuaireamar gearán ó dhuine atá fostaithe mar innealtóir seirbhíse ag comhlacht, a fuair conradh chun seirbhísí áirithe a chur ar fáil do chomhlacht arbh oibritheoir dola-phláis é (an Comhlacht Dola). Líomhain an gearánaí, i measc rudaí eile, gur nocht an Comhlacht Dola sonraí pearsanta an ghearánaí (a raibh i gceist leis taifeadadh fuaime agus scannánaíocht CTI chomhrá idir an gearánaí agus duine a bhí ag feidhmiú dolabhotha ag an dolaphlás) d´fhostóir an ghearánaí gan faisnéis nó comhthoil an ghearánaí.

Le linn ár bhfiosraithe fuaireamar amach gur tharla teagmhas ina raibh an gearánaí páirteach, a raibh de thoradh air gur chuir an Comhlacht Dola iarratas faoi bhráid fhostóirí an ghearánaí a d´iarr nach mbeadh an gearánaí ag freastal ar áitreabh an dola-phláis arís ina chumas mar innealtóir seirbhíse. Fuaireamar amach go raibh i gceist leis an teagmhas faoi thrácht achrann ag dolabhoth idir an gearánaí agus duine a bhí i mbun an dolabhotha, maidir le praghas an dola a gearradh ar an ngearánaí. Mhaígh an Comhlacht Dola gur bhagair an gearánaí le linn an teagmhais faoi thrácht (a gabhadh ar TCI agus trí mheán taifeadta fuaime) córas an dolaphláis a “leagan”. Dheimhnigh fostóir an ghearánaí go gcloífeadh sé le hiarratas an Chomhlachta Dhola nach mbeadh an gearánaí ag freastal ar áitreabh an dolaphláis arís agus dheimhnigh an Comhlacht Dola dúinn gur ghlac siad leis go raibh deireadh leis an gceist ag an bpointe sin. Thart ar dhá mhí tar éis an teagmhais, áfach, d´iarr fostóirí an ghearánaí an scannánaíocht TCI agus taifeadadh fuaime an teagmhais líomhnaithe, agus sholáthair an Comhlacht Dola sin don fhostóir ansin. D´áitigh an Comhlacht Dola go raibh sé ar mhaithe lena leas dlisteanach sonraí pearsanta an ghearánaí a phróiseáil ós rud é go ndearnadh bagairt ina leith ag an ngearánaí agus gur chuir duine dá chuid fostaithe tuairisc faoi bhráid na nGardaí faoin mbagairt, a glaodh chuig an dolaphláis ag an ngearánaí ag am an teagmhais. Mhaígh an Comhlacht Dola freisin gur cheadaigh Alt 8(b) agus Alt 8(d) de na hAchtanna um Chosaint Sonraí 1988 agus 2003 (na hAchtanna) próiseáil seo shonraí pearsanta an ghearánaí ós rud é go raibh an phróiseáil riachtanach chun cosc a chur ar dhochar a bheith déanta do réadmhaoin an Chomhlachta Dhola. Dhearbhaigh an Comhlacht gur cuireadh sonraí pearsanta an Ghearánaí (an scannánaíocht TCI agus an taifeadadh fuaime) chuig fostóir an ghearánaí dhá mhí tar éis an teagmhais ós rud é nár iarradh é ag an bhfostóir roimhe sin.

Mar chuid d´ár bhfiosrú, thugamar faoi deara gur fhógair comharthaí ag an dolabhoth don phobal go raibh TCI I bhfeidhm. Scrúdaíomar freisin polasaí cosanta sonraí an Chomhlachta Dhola, a bhí ar fáil ar a shuíomh gréasáin agus a dhearbhaigh go nglactar grianghraf de/ go dtaifeadtar le físeán gach feithicil a úsáideann an dolaphlás faoi thrácht, agus go gcoimeádtar íomhánna do chuspóirí forfheidhmithe agus chun aghaidh a thabhairt ar aon aighneas, agus chun é a réiteach, ar féidir go n-eascródh sé maidir le feithicil nó le cuntas.

Mar chuid dá socrú chuir an Coimisinéir san áireamh an tuilleamaí a bhí luaite ag an gComhlacht Dola lena chuid leasanna dlisteanacha mar an bunús dlí faoi Alt 2A(1)(d) de na hAchtanna don phróiseáil. Ag cur san áireamh an tréimhse dhá mhí a d´imigh thart idir an teagmhas faoi thrácht agus déanamh an iarratais ar an scannánaíocht TCI agus ar an taifeadadh fuaime ag an bhfostóir, agus ag cur san áireamh freisin deimhniú an Chomhlachta Dhola gur mheas sé (sula bhfuair sé iarratas an fhostóra ar an scannánaíocht TCI agus ar an taifeadadh fuaime) deireadh a bheith leis an teagmhas, chinn an Coimisinéir nárbh fhéidir bheith ag brath ar an mbunús dlí seo le haghaidh phróiseáil na sonraí pearsanta. Dá bharr sin, tharla sárú ar Alt 2A (1) ós rud é nach raibh aon bhunús eile dlí (m.sh. comhthoil an ghearánaí), ós rud é nár léir ón bpolasaí príobháideachais chosanta sonraí ná leoga ó na comharthaí poiblí ag an dolabhoth cad é méid na próiseála, go raibh taifeadadh fuaime i bhfeidhm ná níor tugadh le fios cérbh é an rialaitheoir sonraí. Dá bharr sin bhí Alt 2D(1) sáraithe ag an gComhlacht Dola, ag eascairt as an easpa seo trédhearcachta. Go deireanach, chin an Coimisinéir freisin gur sáraíodh ar Alt 2(1)(c)(ii) de na hAchtanna cionn is go ndearnadh tuilleadh próiseála ar shonraí pearsanta an ghearánaí do chuspóir (a roinnt le fostóir an ghearánaí) nár réitigh leis an mbunchuspóir a bhain lena bhailiú (cuspóirí forfheidhmithe agus réiteach aighnis).

Léiríonn an cás seo treocht coitianta i measc rialaitheoirí sonraí de bheith ag iarraidh bheith ag brath ar leasanna dlisteanacha mar an bunús dlí chun sonraí pearsanta a phróiseáil mar shaghas freagra uileghabhálaigh chun suíomh a chlúdach ina ndearnadh próiseáil ar shonraí pearsanta go frithghníomhach agus gan breithniú ceart a bheith déanta roimh ré maidir leis an gceist an bhfuil sé dlisteanach an phróiseáil a dhéanamh. Faoi mar a léiríonn an cás seo, áfach, ní mór do rialaitheoir sonraí bheith in ann fianaise a sholáthar chun tacú lena ndearbhú maidir leis an leas dlisteanach a bhfuiltear ag brath air. Anseo, mar gheall ar an méid ama a d´imigh thart ó bhí an teagmhas ann agus mar gheall air gur admhaigh an rialaitheoir sonraí as a stuaim féin go raibh deireadh leis an gceist bréagnaíodh an tuilleamaí ar an mbunús dlí seo a bhí luaite leis. Cuireann an cás seo béim freisin ar phrionsabal na hintuarthachta maidir le próiseáil sonraí pearsanta mar eilimint thábhachtach den phrionsabal uileghábhalach den phróiseáil chothrom I réimse na cosanta sonraí. Go bunúsach ciallaíonn sin nár chóir go gcuirfí iontas ar dhuine is ábhar do na sonraí ag nádúr, méid nó slí phróiseála a gcuid sonraí pearsanta.

8) Cás-Staidéar 8: Teip maidir le freagra iomlán a thabhairt ar iarratas rochtana

Fuaireamar gearán nár chomhlíon eagraíocht oideachais go hiomlán iarratas rochtana a cuireadh faoina braid ag an ngearánaí, ar fhostaí de chuid na heagraíochta sin iad. Chuir an gearánaí in iúl dúinn gur lorgaíodar go sonrach san iarratas rochtana scannánaíocht TCI ó áitreabh na heagraíochta oideachais do thréimhse 4 uair an chloig; le linn na tréimhse sin líomhnaítear go ndearnadh ionsaí ar an ngearánaí ag fostaí eile. Chuir an gearánaí in iúl dúinn, cé go raibh 8 gceamara ar an áitreabh, mar fhreagra ar a n-iarratas rochtana ní bhfuair siad ach gearrthóg 11 soicind ón scannánaíocht TCI don áitreabh, gearrthóg a chríochnaigh díreach sula raibh an t-ionsaí líomhnaithe le feiceáil. Dúirt an gearánaí linn gur cheistíodar an méid teoranta scannánaíochta TCI agus gur chuir siad i gcuimhne don eagraíocht oideachais gur bhain an t-iarratas rochtana leis an scannánaíocht ar fad laistigh den tréimhse 4 uair an chloig sin. Ba é freagra na heagraíochta oideachais, áfach, ná go bpléifí leis an bhfiosrúchán seo mar iarratas nua rochtana. Mheas an gearánaí gur coimeádadh siar an scannánaíocht TCI d´aon ghnó agus gur glacadh leis an gcur chuige seo mar bheart moilleadóireachta, sa tslí nach mbeadh orthu an scannánaíocht TCI a scaoileadh sa deireadh thiar thall ar an gcúis go raibh sí caillte nó nach raibh sí á coimeád a thuilleadh.

Le linn ár bhfiosraithe, fuaireamar amach go raibh iarratas rochtana ar dhuine is ábhar curtha ag an ngearánaí faoi bhráid na heagraíochta oideachais, a ghlac leis seo mar iarratas bailí. Ba é seasamh na heagraíochta oideachais ná gurbh í an tuiscint a bhain siad as iarratas an ghearánaí ná gur bhain sin le scannánaíocht an teagmhais faoi thrácht amháin. D´aithin an eagraíocht oideachais, áfach, go mbeadh an gearánaí taifeadta ag ceamaraí eile TCI nár cuireadh an scannánaíocht TCI ar fáil dóibh. Ar an mbunús seo, fuaireamar amach gurbh ann, ag dáta iarratais rochtana an ghearánaí, do shonraí pearsanta breise i bhfoirm scannánaíochta breise TCI nár cuireadh ar fáil don duine is ábhar do na sonraí. Chuir an eagraíocht oideachais in iúl dúinn, ós rud é nár coimeádadh an scannánaíocht TCI ach ar feadh 28 lá, faoin am ar tháinig an gearánaí ar ais chun ceist a chur faoin méid teoranta scannánaíochta TCI a fuarthas mar fhreagra ar an iarratas rochtana, gur forscríobhadh an scannánaíocht bhreise TCI ina dhiaidh sin gan í a choimeád lena scaoileadh don ghearánaí.

Mar chuid dá cinneadh thug an Coimisinéir faoi deara go raibh sé soiléir go raibh an gearánaí, in iarratas rochtana an ghearánaí, ag lorg go sonrach teacht ar scannánaíocht TCI thar thréimhse ceithre uair an chloig agus gur choir don eagraíocht oideachais, tar éis dóibh an t-iarratas tosaigh a fháil, an scannánaíocht a chaomhnú don tréimhse sin agus iarracht a dhéanamh soiléiriú leis an ngearánaí cad é go díreach an scannánaíocht TCI a bhí á lorg acu seachas bheith ag cinneadh na ceiste sin go haontaobhach. Sháraigh an eagraíocht oideachais, mar sin de, Alt 4 de na hAchtanna um Chosaint Sonraí 1988 agus 2003 cionn is gur theip orthu a gcuid sonraí pearsanta ar fad a chur ar fáil don ghearánaí laistigh den tréimhse reachtúil 40 lá.

Léiríonn an cás seo go soiléir seasamh CCS, is é sin le rá nuair a fhaightear iarratas rochtana a bhaineann le scannánaíocht TCI ó lá ar leith, bíonn sé de dhualgas ar rialaitheoir sonraí aon scannánaíocht den chineál sin a chaomhnú ón lá sin, ag feitheamh le réiteach an iarratais rochtana. Baineann an dualgas seo le feidhm, beag beann an mbeadh a leithéid de scannánaíocht faoi réir scriosta de ghnáth (bíodh an scrios sin uathoibrithe nó ná bíodh) tar éis tráthchlár áirithe faoi fhorálacha bheartas coinneála an rialaitheora shonraí. Nuair a mheasann rialaitheoir sonraí gur chóir soiléiriú breise a lorg ón duine is ábhar do na sonraí maidir le scóip na sonraí pearsanta a iarradh, nár chóir riachtanas soiléirithe a mhíniú faoi mura ndéanfaí an t-iarratas rochtana fós, ós rud é, dá ndéanfaí a leithéid, gurbh fhéidir an bonn a bhaint de cheart an duine is ábhar do na sonraí teacht a bheith acu ar a gcuid sonraí pearsanta nó cur ar chumas rialaitheora sonraí dul timpeall ar a chuid dualgas maidir leis an iarratas rochtana.

9) Cás-Staidéar 9: Sonraí pearsanta tríú páirtí a coimeádadh siar ó iarratas rochtana a rinneadh ag tuismitheoir linbh mhionaoisigh

Fuaireamar gearán ó dhuine a raibh iarratas rochtana curtha faoi bhráid club spóirt acu do shonraí pearsanta a linbh mhionaoisigh, arbh é an tuismitheoir a gcomhchaomhnóir dlíthiúil. Tar éis idirghabhála ón oifig seo, bhí sonraí pearsanta faighte ag an ngearánaí a bhain lena leanbh ón gclub spóirt, sonraí a bhí le fail in iarratas ar bhallraíocht an chlub spóirt a cuireadh faoi bhráid an chlub spóirt ar son an linbh. Leasaíodh faisnéis áirithe ón bhfoirm iarratais sin, áfach, is é sin le rá ainmneacha na ndaoine a cuireadh faoi bhráid an chlub spóirt mar theagmhálacha éigeandála don leanbh, síniú an duine a chomhthoiligh úsáid íomhánna an linbh sna meáin dhigiteacha ag an gclub spóirt agus seoladh an linbh mhionaoisigh. Mhaígh an gearánaí gur shonraí pearsanta de chuid a linbh a bhí sna sonraí tríú páirtí agus sa seoladh, agus go raibh an gearánaí mar an comhchaomhnóir dlíthiúil i dteideal teacht a bheith acu orthu, mar sin de. Ba é seasamh an chlub spóirt ná nach raibh aon fhoráil shoiléir laistigh d´Alt 4 de na hAchtanna um Chosaint Sonraí 1988 agus 2003 (na hAchtanna), alt a bhaineann leis an gceart rochtana, a cheadaíonn do dhuine teacht a bheith acu ar shonraí pearsanta páirtí eile gan a gcomhthoil. Rinne an club spóirt teagmháil freisin leis na tríú páirtithe sin a bhí faoi réir ag na leasuithe ar an bhfoirm iarratais le fáil amach ar chomhthoiligh siad scaoileadh na sonraí don ghearánaí ach gur dhiúltaigh siad a gcomhthoil a thabhairt.

Cuireadh Alt 4(4) de na hAchtanna a chuireann cosc ar scaoileadh sonraí tríú páirtí gan comhthoil an pháirtí sin ar a súile don ghearánaí. Ba í an argóint a bhí ag an ngearánaí, áfach, cionn is gur bhain an fhaisnéis le ceisteanna a bhain le leas an linbh mhionaoisigh, agus ós rud é gurbh é an tríú páirtí ionadaí dlíthiúil an linbh mhionaoisigh sin, gur fhág sin gur shonraí pearsanta de chuid an linbh a bhí sna sonraí sin. Thugamar achoimre ar shainmhíniú na sonraí pearsanta don ghearánaí agus chuireamar béim ar chásdlí a bhfuil sé deimhnithe aige gurb ionann ainm duine agus sonraí pearsanta an duine sin. Cuireadh in iúl don ghearánaí freisin nárbh fhéidir seoladh a linbh a chur ar fáil gan sonraí pearsanta tríú duine a chur ar fáil agus nach raibh ceart rochtana ag an ngearánaí air, mar sin de.

Lorg an gearánaí cinneadh faoina ngearán ón gCoimisinéir. Mar chuid dá cinneadh, chuir an Coimisinéir in iúl gurb é seasamh a hoifige, ag cur san áireamh Alt 8(h) de na hAchtanna (a bhaineann srianta maidir le próiseáil sonraí pearsanta nuair a dhéantar an phróiseáil le comhthoil an duine is ábhar do na sonraí nó duine atá ag gníomhú ar a son), ná go bhfuil tuismitheoir nó caomhnóir dlíthiúil linbh óig i dteideal an ceart rochtana a chleachtadh ar son an linbh sin. Sa chás seo, áfach, ós rud é nárbh fhéidir an leanbh faoi thrácht a aithint ag ainmneacha na tríú páirtithe a bhí liostaithe mar theagmhálacha éigeandála leis an gclub spóirt, níorbh iad sonraí pearsanta leanbh an ghearánaí iad an fhaisnéis a raibh an gearánaí ag lorg rochtana di. Mar chuid dá cinneadh chuir an Coimisinéir in iúl an méid seo: dá gcloífí le loighic an ghearánaí agus dá measfaí gur shonraí pearsanta tríú páirtí é sonraí teagmhála éigeandála, go mbeadh ceart rochtana ag duine fásta a liostaigh duine fásta eile mar theagmháil éigeandála ar ainm, ar uimhir theileafóin, ar sheoladh etc. an tríú páirtí sin. Chinn an Coimisinéir nár tharla aon sárú ar na hAchtanna maidir leis na leasuithe a rinneadh ar dhoiciméid a scaoileadh ag an gclub spóirt de bhun an iarratais rochtana.

Léiríonn an cás seo nach féidir a mheas gur sonraí pearsanta duine is ábhar do na sonraí é ainm tríú páirtí, beag beann ar an gcaidreamh, ar an tuilleamaí nó ar an nasc idir dhá pháirtí. Faoi mar ar cuireadh béim air I gcinneadh an Choimisinéara, dá ndéanfaí a leithéid ní bheadh smacht ag an tríú páirtí sin ar a gcuid sonraí pearsanta féin agus cheadófaí do dhuine eile cearta an duine is ábhar do na sonraí a chleachtadh, lena n-áirítear an ceart rochtana, thar shonraí pearsanta an tríú páirtí. Bheadh a leithéid de thoradh ag teacht salach ar chroíphrionsabal na cosanta sonraí, is é sin le rá go bhfuil sé de cheart ag gach duine is ábhar do na sonraí úsáid a gcuid sonraí pearsanta a chinneadh. Tá sé tábhachtach, áfach, an prionsabal seo a idirdhealú ó na cúinsí teoranta sin inar féidir cearta duine is ábhar do na sonraí a chleachtadh go dlíthiúil ag duine eile a cheadaítear chun a leithéid a dhéanamh ar a son. Fiú sa chás go gcleachtaítear cearta an duine is ábhar do na sonraí ag tríú páirtí (leithéidí tuismitheoirí linbh óig mhionaoisigh), ní fhágfaidh sin go bhfuil sonraí pearsanta an duine is ábhar do na sonraí mar chuid de shonraí pearsanta an tríú duine atá údaraithe chun cearta an duine is ábhar do na sonraí a chleachtadh ar a son.

10) Cás-Staidéar 10: Nochtadh Sonraí Pearsanta trí mheán Aip Mheán Sóisialta

Fuaireamar gearáin ó bheirt a mhaígh araon gur nochtadh a gcuid sonraí pearsanta go neamhdhleathach nuair a craoladh é ar “Snapchat”, aip mhóibíleach churtha teachtaireachtaí meandracha agus ilmheánach.

Bhí na gearánaithe cairdiúil lena chéile agus chuir said in iúl dúinn go raibh a CV, in éineacht le litir mhínithe curtha faoi bhráid miondíoltóra áirithe, go pearsanta, agus iarratas ar fhostaíocht leis an miondíoltóir sin á dhéanamh acu. Rinneadh na hiarratais ag na gearánaithe ar an lá céanna agus fuarthas iad ag an bhfostaí céanna de chuid an mhiondíoltóra. Níos déanaí ar an lá céanna d´fhoghlaim na gearánaithe ó thríú páirtí go raibh grianghraf a thaispeáin an dá litir mhínithe le feiceáil ar “Snapchat” le teachtaireacht a dhírigh aird ar chosúlachtaí sna litreacha mínithe. Ba é an chomhthuiscint a bhí ag na gearánaithe ná gur ghlac an fostaí de chuid an mhiondíoltóra a raibh a CV curtha faoina mbráid acu an grianghraf seo agus gurbh iad a phostáil ar “Snapchat” é.

Le linn ár bhfiosraithe faoi na gearáin seo, fuaireamar amach gur le déanaí a fógraíodh ag an miondíoltóir go raibh deireadh le cur le fostaíocht an fhostaí sin de chuid an mhiondíoltóra ar thug na gearánaithe a CV agus a litreacha mínithe dóibh. In aghaidh bheartas an mhiondíoltóra agus in aghaidh théarmaí a gconartha fostaíochta, bhí fón póca ina seilbh ag an bhfostaí le linn na n-uaireanta oibre agus leas bainte acu as chun grianghraf a ghlacadh den dá litir chlúdaigh agus lena phostáil go “Snapchat”. Chuir an miondíoltóir in iúl d´ár gcuid imscrúdaitheoirí gur thuig an fostaí go raibh an gníomh seo in aghaidh a gconartha fhostaíochta agus go ndearnadh gníomhartha an fhostaí i gcúinsí ina raibh an fostaí ar tí éirí as a gcuid fostaíochta. Dhearbhaigh an miondíoltóir nárbh fhéidir leo, sa chás seo, aon cheo eile a dhéanamh chun cosc a chur ar an teagmhas seo.

Mar chuid dá cinneadh chinn an Coimisinéir gur sháraigh an miondíoltóir, mar an rialaitheoir sonraí do shonraí pearsanta na ngearánaithe, Alt 2A(1) de na hAchtanna um Chosaint Sonraí 1988 agus 2003, ós rud é nár réitigh próiseáil sonraí pearsanta na ngearánaithe, trí mheán ghlacadh agus phostáil an ghrianghraif ag fostaí an mhiondíoltóra, leis na cuspóirí dár soláthraíodh iad don mhiondíoltóir ag na gearánaithe.

Ba chóir go bhfeidhmeodh an cás mar mheabhrú rabhaidh do rialaitheoirí sonraí go bhfuil siad freagrach, mar phrionsabal ginearálta faoin dlí um chosaint sonraí, as gníomhartha a gcuid fostaithe i dtaca le próiseáil sonraí pearsanta a bhfuil siadsan ina rialaitheoir sonraí dóibh. Ní bhaintear a leithéid de fhreagracht de rialaitheoirí sonraí mar gheall ar spreagadh fostaí nó nádúr d´aon ghnó nó fánach na ngníomhartha sin ar thug siad fúthu i dtaca le sonraí pearsanta. Bíonn sé de dhualgas ar rialaitheoirí sonraí cinntiú go gcomhlíonann a gcuid fostaithe an dlí um chosaint sonraí maidir leis na sonraí pearsanta sin atá ina seilbh, is cuma más é chéad lá nó lá deireanach fostaíochta an fhostaí leis an rialaitheoir sonraí. Leanfaidh an dualgas seo ar aghaidh, leoga, fiú tar éis d´fhostaí éirí as fostaíocht le rialaitheoir sonraí, más rud é go bhfuil an fostaí sin fós in ann teacht a bheith acu ar na sonraí pearsanta a rialaítear ag a n-iarfhostóir.

11) Cás-Staidéar 11: Teip ag an Roinn Dlí agus Cirt agus Comhionannais na srianta cuí rochtana a chur i bhfeidhm maidir le rochtain ar shonraí leighis fhostaí

Fuaireamar gearán ó dhuine a bhain le nochtadh líomhnaithe a gcuid sonraí pearsanta íogaire ag an Roinn Dlí agus Cirt agus Comhionannais (an Roinn). Maíodh ag an ngearánaí, arbh fhostaí de chuid na Roinne iad, go ndearnadh tuairisc, ina raibh faisnéis le fáil faoi shláinte an ghearánaí, a uaslódáil go bunachar sonraí bainistíochta ginearálta doiciméad oscailte de chuid na roinne i 2012, agus go raibh an tuairisc le fáil ar an mbunachar sonraí sin ar feadh suas le trí bliana, áit a raibh thart ar 80 fostaí in ann teacht a bheith acu air. D´inis an gearánaí dúinn gur iarr siad míniú ón Roinn faoin bhfáth a raibh an tuairisc curtha ar bhunachar sonraí oscailte ach nach raibh deimhniú oifigiúil faighte acu gur baineadh an tuairisc ó shin.

Chuireamar tús le fiosrú faoin ngearán. Dheimhnigh an Roinn gur stóráileadh nótaí a bhain le plé a tharla idir an gearánaí agus a mbainisteoir líne i 2012 (nóta faoi shláinte an ghearánaí san áireamh) sa bhunachar sonraí faoi thrácht agus gur cuireadh síos ar na nótaí seo mar nótaí príobháideacha. Gan chuimhneamh, áfach, níor theorannaigh an bainisteoir líne rochtain ar an doiciméad; bhí de thoradh air sin go raibh thart ar 80 ball foirne ón Roinn in ann teacht air. Chuir an Roinn in iúl dúinn gur baineadh an doiciméad den bhunachar sonraí faoi thrácht thart ar 3 bliana tar éis dó bheith curtha air. Ós rud é gur fhág an bainisteoir líne an Roinn ó shin, ní raibh an Roinn in ann fáil amach go díreach cén fáth gur cuireadh an doiciméad ann ar an gcéad dul síos, ach mhaígh an Roinn gur earráid dhaonna ba chúis leis. Ní raibh an Roinn ábalta fáil amach ach an oiread cá mhéad daoine a d´oscail an doiciméad le linn na tréimhse 3 bliana ina raibh sé inrochtana, ós rud é nach raibh rannóg TF na Roinne in ann na sonraí stairiúla faoi thrácht a thabhairt ar ais.

Chun réiteach cairdiúil a dhéanamh, rinne an Roinn tairiscint go scríobhfaidís chuig an ngearánaí le deimhniú go raibh an doiciméad faoi thrácht bainte den bhunachar sonraí agus go ngabhfaidís a leithscéal as aon mhíshuaimhneas a spreagadh. Roghnaigh an gearánaí gan glacadh leis an tairiscint seo; ina áit sin lorgaíodar cinneadh foirmeálta an Choimisinéara. Mar chuid dá cinneadh ba é tátal an Choimisinéara gur sháraigh an Roinn ar Alt 2A(1) agus 2B(1) de na hAchtanna um Chosaint Sonraí 1988 & 2003 trí phróiseáil sonraí pearsanta íogaire an ghearánaí gan an chomhthoil riachtanach a fháil nó gan bunús dlí bailí eile a bheith acu, agus trí nochtadh shonraí pearsanta íogaire an ghearánaí do thríú páirtí amháin, ar a laghad. Tharla na sáruithe seo trí chur doiciméad faoi rún ina raibh sonraí le fáil maidir le sláinte an ghearánaí ar bhunachar sonraí oscailte, áit a bhfuil an chuma ar an scéal go raibh sé inrochtana ar feadh 3 bliana, agus é oscailte ag comhoibrí amháin, ar a laghad.

Is léiriú follasach é an cás seo maidir leis na hiarmhairtí a bhíonn i gceist do dhuine is ábhar do na sonraí agus maidir leis an míshuaimhneas ginearálta ar féidir leis tarlú nuair a theipeann ar an rialaitheoir sonraí cinntiú gur chloígh a chuid foirne le, agus go leanann said orthu de bheith ag cloí le, prótacail chuí bhainistíochta doiciméad do dhoiciméid ina bhfuil sonraí pearsanta le fáil, agus ar a bharr sin, sonraí pearsanta íogaire. Cé nach raibh an rialaitheoir faoi thrácht in ann aithint cá mhéad uair agus ag cá mhéad ball éagsúil foirne a osclaíodh an doiciméad faoi thrácht le linn na tréimhse 3 bliana nuair a bhí sé inrochtana ag thart ar 80 ball foirne, bhí an fhéidearthacht fós ann le linn na tréimhse seo go gcuirfí isteach tuilleadh agus ar bhonn leanúnach le cearta bunúsacha agus le saoirse bhunúsach an duine is ábhar do na sonraí. Sa chás seo, dá mbeadh bearta sásúla rialta iniúchta agus athbhreithnithe i bhfeidhm ag an rialaitheoir chun measúnú a dhéanamh ar cé chomh iomchuí is atá sé doiciméid a stóráil ar bhunachair shonraí rochtana oscailte, d´aimseofaí láithreacht an doiciméid faoi rún seo níos túisce ná mar a tharla. Ina theannta sin, dá mbeadh córas sásúil oiliúna agus cinntithe fheasachta ag bainisteoirí foirne maidir le bunrialacha cosanta sonraí i bhfeidhm, is féidir nach mbeadh an cheist seo tagtha chun cinn sa chéad dul síos.

12) Cás-Staidéar 12: Virgin Media Ireland Limited

Fuaireamar gearán i Mí na Bealtaine 2016 ó dhuine a fuair glaonna teileafóin margaíochta gan iarraidh ó Virgin Media Ireland Limited i Mí Mhárta agus i Mí na Bealtaine 2016 tar éis di iarraidh ar an gcomhlacht gan glaoch a chur uirthi arís. Is custaiméir de chuid Virgin Media Ireland Limited í an gearánaí agus chuir sí in iúl dúinn go raibh na glaonna ag déanamh bolscaireachta faoi tháirgí de chuid Virgin Media. Thug sí le fios dúinn gur iarr sí, nuair a chuir an comhlacht glaoch uirthi den chéaduair i Mí Eanáir 2016 go gcuirfí a cuid sonraí ar an liosta “Ná Cuir Glaoch”, ós rud é nach raibh sí ag iarraidh aon ghlaonna eile margaíochta a fháil. Dhearbhaigh sí an méid seo: nuair a chuir an comhlacht glaoch uirthi arís I Mí Mhárta 2016 dúirt sí arís gur mhian léi go gcuirfí a cuid sonraí ar an liosta “Ná Cuir Glaoch”, ach in ainneoin an dá iarratas a bhí déanta aici fuair sí glaoch teileafóin breise margaíochta gan iarraidh chuig a fón póca ar 27 Bealtaine 2016.

Le linn ár bhfiosraithe faoin ngearán seo, thug Virgin Media Ireland Limited le fios dúinn nár nuashonraíodh i gceart cuntas an ghearánaí, mar gheall ar earráid dhaonna, chun na hiarratais “Ná Cuir Glaoch” a thaifeadadh. Thug an comhlacht le fios dúinn gur cuireadh athbhreithniú i gcrích ar gach iarratas “Ná Cuir Glaoch” a láimhseáileadh ag an bhfoireann faoi thrácht don tréimhse ó Mhí Eanáir 2016 go Mí Iúil 2016 chun cinntiú gur comhlánaíodh gach iarratas díliostáilte I gceart. Dheimhnigh an comhlacht gur baineadh sonraí an ghearánaí ón mbunachar sonraí margaíochta agus ghabh sé a leithscéal as aon mhíchaoithiúlacht a bhí i gceist di.

Roimh Mhí Mheán Fómhair 2015 bhíodh Virgin Media Ireland Limited ag trádáil faoin ainm UPC Communications Ireland Limited. Rinneadh an comhlacht sin a ionchúiseamh, a chiontú agus a fhíneáil roimhe sin, i Mí Mhárta 2011 agus i Mí Aibreáin 2010 as fiche cion margaíochta den chineál céanna, a raibh i gceist leo glaonna teileafóin ar shíntiúsóirí nár thoiligh a leithéid de ghlaonna teileafóin a ghlacadh. Shocraigh an Coimisinéir Cosanta Sonraí, mar sin de, Virgin Media Ireland Limited a ionchúiseamh maidir leis na cionta a aithníodh tar éis an fhiosraithe a rinneadh ar an ngearán is déanaí.

Ag Cúirt Dhúiche Chathrach Bhaile Átha Cliath ar 3 Iúil 2017, phléadáil Virgin Media Ireland Limited ciontach I dtaca le dhá chúiseamh de bheith ag déanamh glaonna teileafóin mhargaíochta gan iarraidh chuig a custaiméir tar éis di fógairt don chomhlacht nár mhian léi a leithéid de ghlaonna a ghlacadh. Chiontaigh an Chúirt an comhlacht ar an dá chúiseamh agus ghearr sí fíneálacha ar luach €1,500 agus €1,000 faoi seach maidir leis na cúisimh. Thoiligh an cosantóir costais ionchúisimh an Choimisinéara Cosanta Sonraí a chlúdach.

13) Cás-Staidéar 13: Sheldon Investments Limited (ag trádáil mar River Medical)

I Mí Mheán Fómhair 2015 fuaireamar gearán in aghaidh Sheldon Investments Limited, ag trádáil mar River Medical, ó dhuine a raibh ríomhphoist mhargaíochta gan iarraidh faighte aige nár thoiligh sé, agus a fuarthas tar éis dó iarrachtaí a dhéanamh díliostáil ó bheith ag fáil a leithéid de ríomhphoist. Agus gearán á dhéanamh aige, mhínigh an duine go raibh comhairliúchán aige le River Medical roimhe sin, nuair a bhí air foirm a chomhlánú. Agus é ag comhlánú na foirme dhearbhaigh sé go soiléir nár mhian leis aon ríomhphoist mhargaíochta a fháil uathu. Ina dhiaidh sin fuair sé ríomhphost margaíochta ó River Medical i Mí Aibreáin 2015 agus thug sé freagra ar an ríomhphost le hiarratas go mbainfí a sheoladh dá liosta margaíochta láithreach. Fuair sé deimhniú dhá lá ina dhiaidh sin go raibh a chuid sonraí teagmhála bainte. Ina ainneoin sin, fuair sé ríomhphost eile margaíochta gan iarraidh ó River Medical i Mí Mheán Fómhair 2015, rud a spreag é le gearán a chur faoi bhráid an Choimisinéara Cosanta Sonraí.

Agus muid ag fiosrú an ghearáin seo, dúirt River Medical linn gur tharla an teip maidir le hiarratas díliostáilte an ghearánaí a chomhlíonadh mar gheall ar earráid dhaonna. Mhíníodar go raibh a chomhad déanta ‘neamhghníomhach' acu tar éis a iarratas díliostáilte a fháil, ach níor thuig siad gur ghá a chomhad a bhaint de láimh chun cosc a chur ar sheoladh tuilleadh ábhair mhargaíochta chuige. Dhearbhaigh siad dúinn, de bhun ár bhfiosraithe faoin ngearán, gur baineadh seoladh ríomhphoist an duine dá gcuid córas. Chuireamar deireadh le fiosrú an ghearáin sin i Mí na Nollag 2015 le rabhadh don chomhlacht gur dócha go ndéanfaí é a ionchúiseamh dá ndéanfaidís tuilleadh cionta faoi na rialacháin mhargaíochta.

Bliain níos déanaí, i Mí na Nollag 2016, chuir an gearánaí gearán nua faoinár mbráid nuair a fuair sé ríomhphost breise margaíochta gan iarraidh ó River Medical. D´fhiosraíomar an gearán seo agus arís eile cuireadh in iúl dúinn gur tharla an sárú is déanaí mar gheall ar earráid dhaonna nuair a roghnaíodh an liosta seachadta mícheart ar Newsweaver, an córas a úsáideann an comhlacht chun ríomhphoist a eisiúint. Ghabh an comhlacht a leithscéal maidir leis an teagmhas.

Ós rud é go raibh rabhadh eisithe againn don chomhlacht cheana féin, shocraigh an Coimisinéir Cosanta Sonraí é a ionchúiseamh maidir leis an dá ríomhphost margaíochta gan iarraidh a eisíodh i Mí na Nollag 2016 agus i Mí Mheán Fómhair 2015. Ag Cúirt Dúiche Chathrach Bhaile Átha Cliath ar 3 Iúil 2017, phléadáil Sheldon Investments Ireland Limited ciontach as dhá chúiseamh de bheith ag cur ríomhphost margaíochta gan iarraidh gan chomhthoil. Lorg an Chúirt íocaíocht ar luach €800 i bhfoirm thabhartais charthanúil chuig Focus Ireland agus cuireadh an cheist ar atráth. D´aontaigh an cosantóir go gclúdódh sé costais ionchúisimh an Choimisinéara Cosanta Sonraí. Ag an éisteacht ar atráth sholáthair an cosantóir fianaise gur íocadh an tabhartas carthanúil agus cuireadh na cúisimh ar neamhní.

14) Cás-Staidéar 14: Tumsteed Unlimited Company (ag trádáil mar EZ Living Furniture)

I Mí Mheithimh 2016 fuaireamar gearán ó dhuine a fuair teachtaireachtaí téacs margaíochta gan iarraidh ó EZ Living Furniture in ainneoin gur iarr siad orthu, trí iarraidh roimhe sin, éirí as. Chuir an gearánaí in iúl dúinn go raibh ceannach déanta aici ón gcomhlacht san am a chuaigh thart.

Mar chuid d´ár bhfiosrú maidir leis an ngearán seo, d´iarramar ar EZ Living Furniture fianaise a thaispeáint dúinn faoi thoil an ghearánaí teachtaireachtaí téacs margaíochta a fháil sa chéad dul síos. Bhíomar ag lorg mínithe freisin maidir leis an gcúis nár cuireadh i gcrích a cuid iarratas bheith díliostáilte.

Mar fhreagra ar ár bhfiosrú, dhearbhaigh EZ Living Furniture go nglacann custaiméirí, i dtaca le comhthoil mhargaíochta, le téarmaí agus le coinníollacha an chomhlachta atá priontáilte ar chúl na bhfáltas. Dhíríodar ár n-aird ar cheann de na téarmaí agus coinníollacha a chiallaíonn go gcoimeádfar faisnéis chustaiméara ag rannóg mhargaíochta EZ Living agus go gcuirfear sin lena bhunachar sonraí lena húsáid do liostaí seachadta agus do theachtaireachtaí téacs. Maidir leis an gceist an amhlaidh nach rabhthas ag comhlíonadh iarratais díliostáilte an ghearánaí, mhínigh EZ Living Furniture gur athraíodh an soláthróir seirbhíse agus go raibh modh éagsúil ag an soláthróir nua seirbhíse chun díliostáil a dhéanamh. Mhaígh an comhlacht nach raibh siad ar an eolas ar chor ar bith nach raibh an áis díliostáilte ag obair go dtí go bhfuair siad ár litir fhiosraithe. Dhearbhaigh siad dúinn go raibh ceiste an díliostáilte réitithe anois agus go raibh a leithscéal gafa acu leis an ngearánaí. Inár bhfreagra ar EZ Living Furniture, chomhairlíomar dóibh, i dtaca le comhthoil chustaiméara, cé go raibh siad ag brath ar théarmaí agus ar choinníollacha díolacháin, go raibh dualgas dlí orthu deis a sholáthar dá gcuid custaiméirí bheith díliostáilte ó bheith ag fáil cumarsáide margaíochta nuair a bhailítear a gcuid sonraí pearsanta. Thugamar le fios go gciallaíonn sin go praiticiúil nach mór bosca díliostáilte a sholáthar do chustaiméirí ar féidir leo tic a chur leis chun bheith díliostáilte ón margaíocht, más é sin atá uathu. I bhfreagra a fuaireamar ina dhiaidh sin, chuir an comhlacht in iúl dúinn go raibh an cheist scrúdaithe tuilleadh acu agus go raibh socrú déanta acu stampa a thabhairt isteach a chuirfí ar an duillín díolacháin chun ticbhosca a sholáthar chun cur ar chumas na gcustaiméirí bheith díliostáilte ó bheith ag fail ríomhphost agus teachtaireachtaí téacs margaíochta.

Roimhe seo bhí rabhadh eisithe ag an gCoimisinéir Cosanta Sonraí do EZ Living Furniture i Mí Aibreáin 2015 tar éis fiosraithe ar ghearán ó dhuine eile maidir le teachtaireachtaí téacs margaíochta gan iarraidh a cuireadh chuici gan a comhthoil. Dá bharr sin, chinn an Coimisinéir Cosanta Sonraí an comhlacht a ionchúiseamh maidir leis na cionta a tháinig chun solais ag eascairt as an ngearán is déanaí.

I gCúirt Dúiche na Gaillimhe ar 4 Iúil 2017, phléadáil Tumsteed Unlimited Company, ag trádáil mar EZ Living Furniture, ciontach maidir le dhá chúiseamh de bheith ag cur teachtaireachtaí téacs margaíochta gan iarraidh gan chomhthoil. Chiontaigh an Chúirt an comhlacht agus gearradh fíneálacha air ar luach €500 do gach ceann den dá chúiseamh. D´aontaigh an comhlacht go ndéanfaidís ranníocaíocht i dtreo chostais ionchúisimh an Choimisinéara Cosanta Sonraí.

15) Cás-Staidéar 15: Cunniffe Electric Limited

I Mí na Nollag 2016 rinne duine gearán linn go raibh teachtaireachtaí téacs margaíochta gan iarraidh faighte aige ó Cunniffe Electric Limited ó Lárionad Siopadóireachta na Gaillimhe in ainneoin gur dúradh leis roimhe sin de bhun gearáin a bhí déanta níos luaithe gur baineadh a uimhir ghutháin dá mbunachar sonraí margaíochta. Go luath i 2015 bhí chéad ghearán an ghearánaí faighte againn inar chuir sé in iúl dúinn gur thug sé a uimhir fhóin phóca do Cunniffe Electric Limited roinnt blianta ó shin chun seachadadh gléis leictrigh a éascú a bhí ceannaithe aige ón gcomhlacht. Dhearbhaigh sé nár thug sé comhthoil don chomhlacht a uimhir fhóin phóca a úsáid le haghaidh cuspóirí margaíochta.

Tar éis ár bhfiosraithe faoin gcéad ghearán, fuaireamar deimhniú ó Cunniffe Electric Limited gur baineadh uimhir fhóin phóca an ghearánaí óna mbunachar sonraí margaíochta. Chuireamar deireadh leis an ngearán sin le heisiúint rabhaidh don chomhlacht gur dócha go mbeadh orthu aghaidh a thabhairt ar ionchúiseamh dá sáróidís na rialacháin mhargaíochta arís.

Tar éis dúinn dara gearán an ghearánaí a fháil, chuireamar tús le fiosrú nua ina rabhamar ag lorg ó Cunniffe Electric Limited míniú ar chur na dteachtaireachtaí téacs margaíochta is déanaí i gcúinsí mar ar cuireadh in iúl dúinn cheana go raibh uimhir fhóin phóca an chustaiméara tar éis a bheith bainte dá bunachar sonraí margaíochta. Mar fhreagra, d´admhaigh an comhlacht nach raibh comhthoil an ghearánaí acu chun teachtaireachtaí téacs margaíochta a chur chuige. Dúirt siad nach raibh a uimhir fhóin phóca ar a mbunachar sonraí ach gur chosúil go raibh earráid déanta ó thaobh an tsoláthróra sheirbhíse a bhí á úsáid aige chun teachtaireachtaí téacs a chur agus gur eascair an earráid seo as ceisteanna athraithe seirbhíse nuair a ceannaíodh an soláthróir ag comhlacht eile. Ghabh siad a leithscéal as an míchaoithiúlacht a spreagadh i leith an ghearánaí.

Ós rud é go raibh rabhadh faighte ag an gcomhlacht roimhe sin, shocraigh an Coimisinéir Cosanta Sonraí é a ionchúiseamh maidir leis na cionta is déanaí. Ag Cúirt Dúiche na Gaillimhe ar 4 Iúil 2017, phléadáil Cunniffe Electric Limited ciontach as cur teachtaireachta téacs margaíochta gan iarraidh gan chomhthoil. In áit ciontaithe agus fíneála, d´iarr an Chúirt ar an gcomhlacht ranníocaíocht ar luach €500 a íoc le Bosca Bochtanais na Cúirte agus ansin cuireadh na hionchúisimh ar neamhní. D´aontaigh an comhlacht ranníocaíocht a dhéanamh I dtreo chostais ionchúisimh an Choimisinéara Cosanta Sonraí.

16) Cás-Staidéar 16: Argos Distributors (Ireland) Limited

Rinne cúigear gearán linn idir Mí na Nollag 2016 agus Mí Feabhra 2017, ag eascairt as deacrachtaí a bhí acu maidir le díliostáil ó chumarsáid mhargaíochta ríomhphoist ó Argos Distributors (Ireland) Limited. Bhí a seoladh ríomhphoist curtha ar fáil ag na gearánaithe i gcomhthéacs ceannaigh ar líne agus ag an am sin ní raibh díliostáil déanta acu i dtaca le cumarsáid mhargaíochta. Nuair a rinne siad iarracht ina dhiaidh sin, áfach, díliostáil ó bheith ag fáil ríomhphost margaíochta, theip ar an gcóras ‘díliostáilte'. Ina dhiaidh sin chuir cuid de na gearánaithe ríomhphost breise chuig an gcomhlacht agus iad ag iarraidh go mbainfí a seoladh ríomhphoist den bhunachar sonraí agus fuair said freagraí ríomhphoist a chuir in iúl dóibh gur cuireadh a n-iarratas i gcrích. Lean siad orthu, áfach, de bheith ag fáil margaíochta ríomhphoist ó Argos Distributors (Ireland) Limited.

Mar fhreagra ar ár bhfiosrú, d´aithin an comhlacht nach raibh a gcóras ‘díliostáilte' ag obair i gceart ar feadh tréimhse ama. Tháinig siad ar fhadhb freisin maidir le próiseáil iarratas ‘díliostáilte' do chustaiméirí atá lonnaithe in Éirinn. Fuair siad amach go raibh iarratais ó chustaiméirí Éireannacha á gcur leis an liosta ‘díliostáilte' do chúrsaí margaíochta na Ríochta Aontaithe. I ngach cás, dheimhníodar go raibh iarratais díliostáilte na ndaoine ábhartha á bpróiseáil i gceart anois.

Ós rud é gur tugadh rabhadh don chomhlacht cheana féin i 2013 tar éis fiosraithe faoi ghearán den chineál céanna a bhain le sárú ar na rialacháin mhargaíochta, shocraigh an Coimisinéir Cosanta Sonraí an comhlacht a ionchúiseamh maidir leis na cionta seo. I gCúirt Dúiche na hUaimhe ar 14 Iúil 2017, phléadáil Argos Distributors (Ireland) Limited ciontach maidir le cúig chúiseamh de bheith ag cur ríomhphost margaíochta gan iarraidh chuig cúigear gan a gcomhthoil. In áit ciontaithe agus fíneála, d´ordaigh an Chúirt don chosantóir €5,000 a íoc do charthanas a roghnaigh an Chúirt. D´aontaigh an cosantóir na costais ionchúisimh sin a íoc a tabhaíodh ag an gCoimisinéir Cosanta Sonraí.

17) Cás-Staidéar 17: Expert Ireland Retail Limited

I Mí Dheireadh Fómhair 2016 rinne duine gearán linn faoi theachtaireachtaí téacs margaíochta rialta a bhí faighte aici ó Expert Ireland Retail Limited. Chuir sí in iúl dúinn gur cheannaigh sí triomadóir rothlaim I siopa Expert i Nás na Rí agus dhearbhaigh sí gur thug sí a huimhir fhóin phóca agus í i mbun ceannaigh ar chuspóir amháin – chun seachadadh an ghléis a eagrú. Dhearbhaigh sí nár cuireadh ceist uirthi an raibh sí ag iarraidh teachtaireachtaí téacs margaíochta a fháil, agus níor iarr sí ná níor chomhaontaigh sí a leithéid. Chuir sí in iúl dúinn gur thosaigh sí ag fáil teachtaireachtaí téacs margaíochta rialta ó Mhí na Nollag 2015 ar aghaidh, agus in ainneoin gur thug sí freagra trí mheán teachtaireachta téacs roinnt uaireanta leis an eochairfhocal díliostáilte, lean teachtaireachtaí téacs breise orthu de bheith á gcur chuig a fón. Chuir sí in iúl dúinn gur thug a fear céile, go luath i Mí Dheireadh Fómhair 2016, cuairt ar shiopa Expert i Nás na Rí agus gur iarr sé ar an bhfoireann ansin a huimhir a bhaint dá mbunachar sonraí margaíochta. In ainneoin an iarratais seo fuair an gearánaí teachtaireacht téacs margaíochta breise thart ar choicís ina dhiaidh sin, rud a spreag í chun gearán a chur faoi bhráid an Choimisinéara Cosanta Sonraí.

Mar fhreagra ar ár bhfiosrú, mhaígh an comhlacht go mbeadh ceist tar éis a bheith curtha ar an ngearánaí le linn an díolacháin ar mhaith leo go ndéanfaí teagmháil leo trí theachtaireacht téacs do chuspóirí margaíochta. Ní raibh siad in ann, áfach, aon fhianaise a sholáthar gur tugadh deis don ghearánaí díliostáil ó mhargaíocht ag am an díolacháin. Ina theannta sin, d´admhaíodar gur bhotún a bhí i gcur amach na chéad teachtaireachta téacs margaíochta tar éis tréimhse de bhreis is dhá mhí déag. Ní raibh an comhlacht in ann míniú cén fáth nach ndearnadh aon ghníomh chun uimhir fhóin phóca an ghearánaí a bhaint as an mbunachar sonraí margaíochta tar éis dá fear céile cuairt a thabhairt ar an siopa i Nás na Rí.

Ós rud é gur eisíodh rabhadh don chomhlacht roimhe seo, i Mí na Bealtaine 2010, de bhun gearáin den chineál céanna a fuaireamar faoi theachtaireachtaí téacs margaíochta gan iarraidh a cuireadh chuig iarchustaiméir eile de chuid siopa Expert i Nás na Rí gan a comhthoil, shocraigh an Coimisinéir Cosanta Sonraí an gearán is déanaí seo a ionchúiseamh. I gCúirt Dúiche an Mhuilinn gCearr ar 13 Deireadh Fómhair 2017, phléadáil Expert Ireland Retail Limited ciontach as cúiseamh amháin de bheith ag cur teachtaireacht téacs mhargaíochta gan iarraidh chuig an ngearánaí gan a comhthoil. Chiontaigh an Chúirt an comhlacht agus gearradh fíneáil air ar luach €500. D´aontaigh an cosantóir na costais dlí sin a íoc a tabhaíodh ag an gCoimisinéir Cosanta Sonraí i dtaca leis an ionchúiseamh seo.

  1. Ionchúiseamh an Imscrúdaitheora Phríobháidigh James Cowley
  2. Sonraí pearsanta a nochtadh do thríú páirtí mar fhreagairt d'iarraidh ar rochtain ar ábhar
  3. Sárú ar Shonraí ag Miondíoltóir agus Soláthraí Seirbhíse ar Líne
  4. Ionchúiseamh Yourtel Limited ar Chionta Margaíochta
  5. Ionchúiseamh Glen Collection Investments Limited agus duine amháin dá Stiúrthóirí
  6. Ionchúiseamh Shop Direct Ireland Limited ag trádáil mar Littlewoods Ireland i gCionta Margaíochta
  7. Próiseáil breise sonraí pearsanta duine aonair ar bhealach neamh-chomhoiriúnach
  8. Nochtadh faisnéise pearsanta le tríú páirtí ag próiseálaithe sonraí
  9. Cás-Staidéar 9 – An riachtanas chun fógra soiléir a thabhairt nuair a bhailítear sonraí bithmhéadrach ag pointe iontrála
  10. Nochtadh faisnéise pearsanta le tríú páirtí ag próiseálaithe sonraí
  11. Mainneachtain le rialtóir sonraí chun faisnéis phearsanta duine aonair a choinneáil cruinn agus nuashonraithe ónar tháinig nochtadh sonraí pearsanta le tríú páirtí
  12. Mainneachtain le Banc na hÉireann chun aitheantas duine aonair ar an bhfón a fhíorú i gceart ónar tháinig nochtadh faisnéise pearsanta le tríú páirtí
  13. B'éigean do Rialtóir Sonraí a léiriú go ndearnadh iarracht chun sonraí a aimsiú laistigh den tréimhse reachtúil 40 lá
  14. Sonraí pearsanta coinnithe siar ó iarratas rochtana le Airbnb ar bhunús tuairime a tugadh faoi rún
  15. Ionsaí le Bogearraí Éirice Cripteacha ar Bhunscoil
  16. Sárú Sonraí ag Miondíoltóir ar Líne
  17. Comhbhaint mhícheart mionsonraí pearsanta duine aonair le comhad éigin eile
  18. Ionchúiseamh Irish Times Limited i gCionta Margaíochta
  19. Ionchúiseamh Coopers Marquees Limited i gCionta Margaíochta
  20. Ionchúiseamh Robert Lynch ag trádáil mar The Energy Centre i gCionta Margaíochta
  21. Ionchúiseamh Paddy Power Betfair Public Limited Company i gCionta Margaíochta
  22. Ionchúiseamh Trailfinders Ireland Limited i gCionta Margaíochta
  23. Ionchúiseamh Topaz (Local Fuels) Limited i gCionta Margaíochta
  24. Ionchúiseamh Dermaface Limited i gCionta Margaíochta

1) Cás-Staidéar 1: Ionchúiseamh an Imscrúdaitheora Phríobháidigh James Cowley

Cuireadh seasca a haon chás de sháruithe ar na hAchtanna um Chosaint Sonraí, 1988 agus 2003 i leith James Cowley. Bhain gach cúiseamh le hAlt 22 de na hAchtanna um Chosaint Sonraí chun rochtain a fháil ar shonraí pearsanta gan údarás a bheith faighte roimh ré ón rialaitheoir sonraí a choimeádann na sonraí, agus na sonraí a nochtadh do dhuine eile. Bhí na sonraí pearsanta á gcoimeád ag an Roinn Coimirce Sóisialaí. Nochtadh na sonraí pearsanta d'aonáin san earnáil árachais – an Ghníomhaireacht um Éilimh ar an Stát, Zurich Plc agus Allianz Plc.

An 13 Meitheamh 2016, ag Cúirt Dúiche Chathair Bhaile Átha Cliath, phléadáil James Cowley ciontach do thrí chúiseamh shamplacha dhéag. Ciontaíodh é ar na chéad cheithre chúiseamh agus ghearr an Chúirt fíneáil €1,000 maidir le gach ceann de na ceithre chúiseamh seo. Cuireadh na naoi gcúiseamh eile san áireamh sa phianbhreith a gearradh.

Rinne an t-imscrúdú sa chás seo rochtain a nochtadh ag an gcosantóir ar thaifid leasa shóisialaigh a bhí á gcoimeád ar bhunachair shonraí na Roinne Coimirce. Chun rochtain a fháil ar na taifid seo, d'úsáid an cosantóir teagmhálaí foirne a raibh aithne aige air. D'úsáid an tUasal Cowley an fhaisnéis, ina dhiaidh sin, a fuair sé ar mhaithe le tuairiscí ar imscrúdaitheoirí príobháideacha a chur le chéile dá chliaint. Lean na gníomhaíochtaí seo ar aghaidh ar feadh roinnt blianta a fhad le Meán Fómhair 2015 nuair a rinne ár bhfoireann imscrúdaithe teagmháil leis den chéad uair faoi ábhair bhuartha na foirne maidir leis an bpróiseáil a bhí á déanamh aige ar shonraí pearsanta.

 

2) Cás-Staidéar 2: Sonraí pearsanta a nochtadh do thríú páirtí mar fhreagairt d'iarraidh ar rochtain ar ábhar

Rinne iarfhostaí de chuid Stobart Air gearán i Lúnasa 2015 linn maidir le nochtadh neamhdhleathach a sonraí iomarcaíochta do chomhalta eile foirne i ndiaidh go ndearna an duine sin iarraidh ar rochtain leis an gcuideachta. Chuir an gearánaí ar an eolas sinn, chomh maith, go bhfuair siad faisnéis phearsanta tríú páirtí, ina theannta sin, mar fhreagairt d'iarraidh ar rochtain ar ábhar a rinne siad féin leis an gcuideachta i mBealtaine 2015.

Dheimhnigh Stobart Air, ar thosú ár n-imscrúdaithe, dúinn go ndearnadh sárú ar shonraí an ghearánaí i Samhain 2014. Luaigh sé nár chuir sé an gearánaí ar an eolas ar an sárú nuair b'eol dó go ndearnadh an sárú mar gheall nach raibh na treoirlínte um chosaint sonraí ar an eolas aige ina moltar na hábhair shonraí atá i gceist a chur ar an eolas ar nochtadh sa chás go mbaineann ardriosca leis an nochtadh i leith cearta an duine aonair agus ina moltar don tríú páirtí a fuair an fhaisnéis chun na sonraí atá i gceist a mhilleadh nó a thabhairt ar ais.

Dhiúltaigh an gearánaí sa chás seo an tsaincheist a réiteach go cairdiúil, faoi mar a rinneadh a thairiscint, agus iarradh ar chinneadh foirmiúil an Choimisinéara. Ina cinneadh, cheap an Coimisinéir gur thug Stobart Air, trí shonraí pearsanta an ghearánaí a chur san áireamh i litir a seoladh chuig iarfhostaithe, faoi phróiseáil agus nochtadh neamhúdaraithe shonraí pearsanta an ghearánaí. Sháraigh seo Alt 2A(1) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003, trí fhaisnéis phearsanta an ghearánaí a phróiseáil gan toiliú an ghearánaí nó bonn eile dlíthiúil faoi na hAchtanna um Chosaint Sonraí, 1988 agus 2003 i ngeall ar amhlaidh a dhéanamh.

Shainaithin Stobart Air féin nach raibh oiliúint agus cosaintí dóthanacha maidir le cosaint sonraí i bhfeidhm agus lorg sé leis seo a chur ina cheart ó shin i leith.

I ngearán ar leith a fuair an CCS i Meán Fómhair 2015, cuireadh ar an eolas sinn go ndearna Stobart Air sonraí airgeadais tríú páirtí a nochtadh don ghearánaí mar fhreagairt d'iarraidh ar rochtain ar ábhar. Leanamar ar aghaidh lena oibleagáidí mar rialaitheoir sonraí a mheabhrú do Stobart Air agus shainaithin Stobart Air roinnt daoine aonair a ndearna na saincheisteanna seo difear dóibh. Thug Stobart Air fógra, ina dhiaidh sin, do gach duine de na tríú páirtithe siúd a ndearnadh difear dóibh ar an sárú a rinneadh ar a sonraí pearsanta. Rinne Stobart Air sonraí an ghearánaí a nochtadh, áfach, nuair a bhí iarrachtaí á ndéanamh aige chun na hoibleagáidí a chomhlíonadh trí fhógra a thabhairt do na daoine aonair a ndearnadh difear dóibh, trína sceitheadh gurbh é an gearánaí faighteoir na sonraí seo, i litir a chuir na daoine aonair a nochtadh a sonraí i dtosach báire, ar an eolas.

Ní raibh aon bhonn dlíthiúil ag Stobart Air chun sonraí pearsanta an ghearánaí a nochtadh do na tríú páirtithe a bhí i gceist ná ní raibh toiliú aige ón duine aonair a ndearnadh difear dó. Ní raibh gá le haitheantas an ghearánaí a nochtadh do na daoine aonair a ndearna an sárú tosaigh difear dóibh faoi na cúinsí agus sháraigh sé Alt 2A(1) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003.

 

3) Cás-Staidéar 3: Sárú ar Shonraí ag Miondíoltóir agus Soláthraí Seirbhíse ar Líne

In Iúil 2016, fuaireamar tuairisc ar shárú ó eagraíocht a sholáthraíonn seirbhísí miondíola agus ar líne.

Bhí an eagraíocht thíos le hionsaí “lántrialach”, inar bhain na hionsaitheoirí triail as meascáin éagsúla d'ainmneacha úsáideora/phasfhocail i gcaitheamh tréimhse choicíse, agus d'éirigh leo úsáid a bhaint as roinnt meascán chun rochtain a fháil ar chuntais úsáideora. Nuair a rinneadh na cuntais seo a rochtain, rinne na hionsaitheoirí iarracht chun iarmhéideanna úsáideora a aistarraingt. Rinne an t-ionsaitheoir na haistarraingtí seo a chumasú mar gheall go raibh ar chumas aige modhanna nua íocaíochta a chur leis. Bhí an t-ionsaitheoir in ann rochtain a fháil, chomh maith, ar na sonraí pearsanta a bhain leis an gcuntas.

Ar an sárú a mheasúnú, shainaithníomar go raibh easnaimh ann san eagraíocht sna bearta faoinar thug sí chun sonraí pearsanta úsáideoirí a choimeád slán, an méid a leanas ina measc:

  • Bearta neamhleora maidir le beartas pasfhocail agus fíordheimhniú úsáideora;
  • Bearta neamhleora rialaithe chun athruithe a bhailíochtú ar chuntas úsáideora; agus
  • Bearta neamhleora rialaithe i dtaobh cuntais dhíomhaoine úsáideora a choimeád.

Mheasamar gur sháraigh an eagraíocht Alt 2(1)(d) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 mar gheall gur theip orthu bearta cuí slándála a ghlacadh i gcoinne rochtain neamhúdaraithe ar, nó athrú neamhúdaraithe a dhéanamh ar, nochtadh nó milleadh, shonraí pearsanta a n-úsáideoirí.

Eisíodh moltaí don eagraíocht go rachaidh sé i mbun beart chun na heasnaimh a shainaithnítear a mhaolú nó go rachfaí i mbun gníomh forfheidhmithe ina leith. Chuir an eagraíocht sinn ar an eolas ina dhiaidh sin go ndeachaigh sé i mbun na mbeart a leanas bunaithe ar ár moltaí:

  • Pasfhocail a chur i bhfeidhm óna dteastaíonn breis agus toisc amháin
  • Beartas cuimsitheach coinneála sonraí a chur i bhfeidhm

Leagann an cás seo an bhéim ar an ngá atá leis go gcinntíonn eagraíochtaí go bhfuil bearta cuí teicniúla, eagraíochtúla agus slándála i bhfeidhm acu chun cosc a chur ar shonraí a chailleadh trí ionsaithe “lántrialacha” nó ionsaithe athúsáide pasfhocail. Sa chás seo, d'fhéadfaí na rioscaí a mhaolú dá mbainfí úsáid as na rialúcháin chuí rochtana agus fíordheimhnithe, ar nós fíordheimhniú iltosca, teorannú ráta líonra agus foláireamh a thabhairt nuair a dhéantar logáil isteach. De bhreis air sin, soláthraíonn drochbheartais choinneála “veicteoir ionsaí” do haiceálaithe ar nós é sin a úsáideadh mar bhealach iontrála sa sárú seo.

 

4) Cás-Staidéar 4: Ionchúiseamh Yourtel Limited ar Chionta Margaíochta

Fuaireamar gearán i mí na Nollag 2014 ó dhuine aonair a fuair glaonna gutháin mhargaíochta ó Yourtel Limited, soláthraí seirbhíse gutháin a tháinig chun margadh na hÉireann sa bhliain 2013, tar éis dó treoir a thabhairt don chomhlacht le linn glao roimhe sin gan glao air in athuair. Chuir an gearánaí in iúl dúinn gur bhain na glaonna le tairiscint chun malartú idir soláthraithe seirbhíse gutháin.

Fuarthas gearán ar leithligh i mí Feabhra na bliana 2015 thar ceann duine aonair eile a fuair glaonna gutháin mhargaíochta ó Yourtel Limited tar éis dó treoir a thabhairt don chomhlacht le linn glao margaíochta chomhchosúil Oíche Nollag 2014 gan glao ar a uimhir in athuair. Bhain na glaonna margaíochta chuig an duine aonair sin le malartú idir soláthraí seirbhíse gutháin freisin.

D'admhaigh Yourtel Limited go ndearnadh glaonna gutháin mhargaíochta le linn ár n-imscrúdaithe ar na gearáin úd. Mhaígh sé gur bhlocáil sé na huimhreacha gutháin ó fháil tuilleadh glaonna margaíochta tráth an ghlao dheireanaigh i ngach aon chás nuair a thug na daoine i gceist le fios dó nár theastaigh uathu go ndéanfaí teagmháil leo chun cuspóirí margaíochta. Níor ghlac sé leis i gceachtar den dá chás gur choinnigh sé air ag glaoch ar na daoine aonair tar éis dóibh treoir a thabhairt do Yourtel Limited gan glaoch orthu arís.

Chinn an Coimisinéir um Chosaint Sonraí chun na cionta a ionchúiseamh óir gur tháinig Yourtel Limited chun airde dúinn roimhe sin sa bhliain 2014 de bhun gearáin faoi ghlao gutháin mhargaíochta a dhéanamh chuig uimhir ghutháin a bhí taifeadta i gClár Díliostála an Bhunachair Eolaire Náisiúnta (BEN). Thugamar foláireamh don chomhlacht tar éis imscrúdú an ghearáin úd gur dhócha go mbeadh ionchúiseamh i ndán dó dá ndéanfadh sé cionta breise faoi Rialachán 13 de I.R. 336 de 2011 (ar ar tugadh na Rialacháin ríomh-Phríobháideachais) ag tráth ar bith ina dhiaidh sin.

Phléadáil Yourtel Limited ciontach in dá chúis os comhair Chúirt Dúiche Chathrach Bhaile Átha Cliath an 21 Eanáir 2016 i leith dhá ghlao gutháin mhargaíochta gan iarraidh a dhéanamh tar éis don bheirt dhaoine ar ghlaoigh sé orthu fógra a thabhairt don chomhlacht nár thoiligh siad d'fháil na nglaonna úd. Chiontaigh an Chúirt an comhlacht sa dá chúis, agus ghearr sí dhá fhíneáil €2,500 an ceann air. D'aontaigh an cosantóir chun costais ionchúisimh an Choimisinéara um Chosaint Sonraí a chumhdach.

5) Cás-Staidéar 5: Ionchúiseamh Glen Collection Investments Limited agus duine amháin dá Stiúrthóirí

Fuarthas amach leis an imscrúdú sa chás seo go bhfuair an chuideachta ba chosantóir rochtain ar thaifid i seilbh na mbunachar sonraí ríomhaireachta sa Roinn Coimirce Sóisialaí thar achar fada ama, agus gur bhain stiúrthóir cuideachta leas as gaol teaghlaigh a bhí fostaithe sa Roinn Coimirce Sóisialaí chun rochtain a fháil ar na taifid. Bhí cuideachta aturnaetha bunaithe i mBaile Átha Cliath tar éis an chuideachta ba chosantóir a earcú chun seoltaí reatha na gcustaiméirí bainc a lorg, a raibh spéis ag na bainc faoi seach chun dul sa tóir orthu i ndáil le fiachais gan íoc. Tar éis di faisnéis faoi sheoladh reatha a fháil nó seoltaí reatha na gcustaiméirí bainc i gceist a dheimhniú ó na taifid i seilbh na Roinne Coimirce Sóisialaí, thaisc an chuideachta ba chosantóir tuairiscí lorgtha ina bhfuarthas an fhaisnéis sin leis an gcuideachta aturnaetha a d'fheidhmigh thar ceann na mbanc. Tháinig an cás aníos de bhun gearáin a fuaireamar i mí Feabhra na bliana 2015 ó chustaiméir le Banc AIB a líomhnaigh gur nochtadh seoladh a bhain leis agus nach raibh ar eolas ach ag an Roinn Coimirce Sóisialaí, agus gur nocht an roinn sin é le gníomhaire ag feidhmiú thar ceann bhanc AIB.

Chinn an Coimisinéir Cosanta Sonraí chun ionchúiseamh a thabhairt i gcoinne na cuideachta agus an stiúrthóra i gceist, An tUas. Michael Ryan. Cúisíodh Glen Collection Investments Limited le sé scór déag is trí fichid um sháruithe de na hAchtanna um Chosaint Sonraí, 1988 & 2003. Bhain cúis amháin is trí fichid le sáruithe d'Alt 19(4) de na hAchtanna um Chosaint Sonraí i leith phróiseáil sonraí pearsanta mar phróiseálaí sonraí, agus níor taifeadadh iontráil ar bith don chuideachta sa chlár poiblí arna chothabháil ag an gCoimisinéir Cosanta Sonraí faoi Alt 16(2) de na hAchtanna um Chosaint Sonraí. Bhain cúig chúis déag le sáruithe d'Alt 22 de na hAchtanna um Chosaint Sonraí as rochtain a fháil ar shonraí pearsanta gan údarás an rialtóra sonraí a choinníonn na sonraí roimh ré, agus as nochtadh na sonraí úd le duine éigin eile.

Cúisíodh an tUas. Michael Ryan, stiúrthóir le Glen Collection Investments Limited, ar leithligh le sé scór déag is trí fichid de sháruithe d'Alt 29 de na hAchtanna um Chosaint Sonraí 1988 & 2003 dá pháirt sna cionta a rinne an chuideachta. Foráiltear san Alt sin freisin d'ionchúiseamh stiúrthóirí cuideachta mar a gcruthaítear cion le cuideachta bheith déanta le toiliú nó le cúlcheadú, nó bheith inchurtha i leith faillí ar bith ag na stiúrthóirí cuideachta nó ag oifigigh eile.

Glaodh na cásanna i gcoinne Glen Collection Investments Limited agus a stiúrthóra i gCúirt Dúiche Thuama i míonna Eanáir, na Bealtaine agus Iúil den bhliain 2016 sular thaifid na cosantóirí pléadálacha ciontacha faoi dheireadh an 10 Deireadh Fómhair 2016. Cé go raibh ionadaíocht ag an gcuideachta ba chosantóir sa chúirt gach aon uair, d'eisigh an Chúirt barántas binse do ghabháil an stiúrthóra cuideachta, an tUas. Ryan, an 10 Bealtaine 2016 tar éis dó mainneachtain chun teacht i láthair faoi dhó. Cuireadh an barántas i bhfeidhm ag Cúirt Dúiche Thuama an 10 Deireadh Fómhair 2016 roimh thosú imeachtaí an lae úd.

Phléadáil Glen Collection Investments Limited ciontach i gcúig chúis shamplacha is fiche ag Cúirt Dúiche Thuama an 10 Deireadh Fómhair 2016 – trí cinn déag i ndáil le cionta faoi Alt 22 agus dhá cheann déag i ndáil le cionta faoi Alt 19(4). Ciontaíodh an chuideachta sna chéad chúig scór, leis an bhfuílleach á dtabhairt san áireamh. Ghearr an chúirt cúig fhíneáil €500 an ceann. Phléadáil an tUas. Ryan ciontach i ndeich gcúis shamplacha faoi Alt 29. Ciontaíodh é sna deich gcúis go léir, agus ghearr an chúirt deich bhfíneáil €500 an ceann air. B'ionann méid iomlán na bhfíneálacha a gearradh i ndáil leis an ionchúiseamh sin go hachomair agus €7,500.

 

6) Cás-Staidéar 6: Ionchúiseamh Shop Direct Ireland Limited ag trádáil mar Littlewoods Ireland i gCionta Margaíochta

Fuaireamar gearán i mí Eanáir 2015 i gcoinne Shop Direct Ireland Limited ag trádáil mar Littlewoods Ireland ó dhuine aonair a fuair ríomhphost margaíochta gan iarraidh tar éis di díliostáil ón margaíocht leis an gcuideachta. Thug an duine aonair, ar chustaiméir le Littlewoods Ireland í, gearán breise cúpla seachtain ina dhiaidh sin go bhfuair sí ríomhphost margaíochta ag cur chun cinn tairiscintí do Lá na Máithreacha ó Littlewooods Ireland. D'eisíomar foláireamh roimhe sin le Littlewoods Ireland i mí na Nollag 2014 tar éis imscrúdú ar ghearán a fuarthas ón ngearánaí céanna maidir le ríomhphoist mhargaíochta gan iarraidh a fuair sí tar éis di díliostáil ó fháil na margaíochta. Tháinig imscrúdú ón ngearán roimhe sin, ina bhfuarthas amach nár tugadh an deis don chustaiméir chun díliostáil ón margaíocht le Littlewoods nuair a d'oscail sí a cuntas. (Níor tugadh an deis di chun díliostáil ach amháin ón margaíocht tríú páirtí – rogha a thapaigh sí). Ag éirí as ár n-imscrúdú i leith an ghearáin úd, chuir Littlewoods Ireland in iúl dúinn gur díliostáladh seoladh ríomhphoist an chustaiméara ón margaíocht dhíreach ó 7 Márta 2014 i leith.

Chuir na haturnaetha ag feidhmiú thar ceann Littlewoods Ireland i rith imscrúdú na ngearán ón mbliain 2015 in iúl dúinn, tar éis chríochnú an ghearáin roimhe sin i mí na Nollag 2014, go ndearna Littlewoods Ireland athbhreithniú ar chuntas an chustaiméara. Fuarthas amach cé go raibh sí díliostáilte i gceart ón margaíocht ríomhphoist, ní raibh sí díliostáilte ón margaíocht le tríú páirtí. Ghlac sí bearta ansin chun an custaiméir a dhíliostáil ón margaíocht le tríú páirtí. Nuair a cuireadh an nuashonrú i leith rogha margaíochta tríú páirtí chun feidhme chuntas an chustaiméara i mí Eanáir 2015, cuireadh luach nialasach chun feidhme sa réimse don mhargaíocht ríomhphoist. B'éard ba rún leis an luach nialasach sin a chur chun feidhme ná chun comhartha a thabhairt nach rabhthas chun athrú ar bith a dhéanamh sa réimse sin. Bhain an iarmhairt neamhbheartaithe le cur chun feidhme an luacha sin ámh gur liostáladh an custaiméir ar ais isteach sa mhargaíocht ríomhphoist. B'amhlaidh ina dhiaidh sin mar thoradh ar an nuashonrú mícheart sin, a seoladh dhá ríomhphost margaíochta chun an chustaiméara i míonna Eanáir agus an Mhárta 2015.

Chinn an Coimisinéir Cosanta Sonraí chun an chuideachta a ionchúiseamh. Phléadáil Shop Direct Ireland Limited ag trádáil mar Littlewoods Ireland ciontach i gcúis amháin de sheoladh ríomhphoist mhargaíochta gan iarraidh gan toiliú ag Cúirt Dúiche Chathrach Bhaile Átha Cliath an 4 Aibreán 2016. D'ordaigh an Chúirt íocaíocht €5,000 i bhfoirm deonaithe charthanachta le Pieta House, agus chuir sí an t-ábhar ar athlá ar feadh seacht seachtaine. D'aontaigh an cosantóir chun costais ionchúisimh an Choimisinéara um Chosaint Sonraí a chumhdach. Thug an cosantóir cruthúnas íocaíochta i leith an deonaithe charthanachta ag an éisteacht ar athlá, agus chaith an Chúirt an chúis amach.

 

7) Cás-Staidéar 7: Próiseáil breise sonraí pearsanta duine aonair ar bhealach neamh-chomhoiriúnach

Thaisc duine aonair gearán maidir le próiseáil éagórach a sonraí pearsanta. Mhaigh an duine aonair go bhfuair siad litreacha ó Thronton's Recycling agus ó Oxigen Environmental faoi seach inar míníodh go mbeadh aistriú sna seirbhísí bailithe dramhaíola idir Oxigen Environmental agus Thornton's Recycling laistigh de sheachtain amháin ó eisiúint na litreacha. Thug an gearánaí le comhairle nár thug siad údarú d'aistriú a sonraí pearsanta, agus nár cuireadh in iúl roimhe sin dóibh i leith an aistrithe úinéireachta sin.

hugamar an t-ábhar aníos le hOxigen Environmental ag iarraidh mhíniú na cúise do phróiseáil sonraí pearsanta ar an mbealach sin i bhfianaise na gceangaltas cosanta sonraí d'fháil chóir agus do phróiseáil chóir na sonraí pearsanta. Dheimhnigh Oxigen Environmental gurbh ainm, seoladh agus aon iarmhéid a bhí fós i gcuntas réamhíoctha an chustaiméara a bhí sna sonraí custaiméara a aistríodh chuig Thornton's. Thug siad le fios nár tugadh aon sonraí baincéireachta ar láimh ag tráth ar bith. Líomhnaigh siad freisin gur seoladh litir chuig gach custaiméir á gcur ar an eolas faoin aistriú, agus gur eisíodh an litir sin sular aistríodh sonraí custaiméara ar bith, ach ní raibh siad in ann an dáta ar ar líomhnaíodh gur tharla sé sin a thabhairt le fios.

Thug Oxigen Environmental le fios go ndearnadh an chéad fhógra agus an t-aon fhógra amháin a fuair custaiméirí maidir le haistriú seirbhísí idir Oxigen Environmental agus Thornton's Recycling trí mheán dhá litir, ceann amháin ó Oxigen Environmental agus ó Thorntons Recycling faoi seach, a fuarthas sa chlúdach céanna a seachadadh le custaiméirí. Ba lú ná ceithre lá oibre an t-eatramh idir an fógra sin agus aistriú na seirbhísí. Mheasamar nár leor é sin mar thráthchlár do chustaiméirí chun an t-aistriú a bhreithniú agus chun socruithe malartacha a bheartú chun tuilleadh próiseála na sonraí pearsanta a chosc. Cé gur minic a chlúdaítear saincheist na dtáthcheangal/gcumasc faoi théarmaí conarthacha cuideachta lena custaiméirí, fuaireamar amach nár clúdaíodh na saincheisteanna úd faoi théarmaí agus coinníollacha agus faoi Chairt Custaiméirí Oxigen Environmental.

Ag tabhairt san áireamh an tráthchlár gairid a d'imigh idir fógra aistriú na seirbhísí agus an dáta ónar tháinig an t-aistriú i bhfeidhm, bhíomar den tuairim nár comhlíonadh na riachtanais phróiseála faoi na hAchtanna. Cé gur moladh togra do réiteach síochánta, níorbh fhéidir linn teacht ar réiteach síochánta i leith an ghearáin, agus eisíodh cinneadh foirmiúil leis an gCoimisinéir i mí Iúil 2016. Bhreithnigh an Coimisinéir go raibh Oxigen Environmental ag sárú Alt 2(1)(a) de na hAchtanna um Chosaint Sonraí 1988 agus 2003 sa mhéid is gur phróiseáil sé sonraí pearsanta go héagórach gan dóthain fógra dá chustaiméirí.

Is réamhriachtanas bunúsach é an ceangaltas chun fógra cuí a thabhairt i leith na próiseála do na daoine is ábhar do na sonraí i gcomhréir le hAlt 2(1)(a) agus le hAlt 2d de na hAchtanna um Chosaint Sonraí 1988 agus 2003 mar chuid de phróiseáil dhlíthiúil na sonraí pearsanta. Bíonn an ceart ag duine is ábhar do na sonraí chun bheith curtha ar an eolas go cuí le fógra leordhóthanach d'athrú um úinéireacht ina gcoinnítear a s(h)onraí pearsanta, chun is go mbeidís in ann tarraingt siar ó na seirbhísí á soláthar, agus chun próiseáil breise a sonraí pearsanta a chosc (lena n-áirítear cosc an aistrithe chuig úinéir nua) agus socruithe malartacha a cheapadh. Bíonn a bhfuil i gceist le fógra leordhóthanach éagsúil ó chás amháin dá chéile, ach caitheann sé bheith ag tréimhse íosta leordhóthanach i gcás ar bith chun ligean don duine is ábhar do na sonraí deis cheart a fháil ná chun na hathruithe ceaptha a bhreithniú, agus chun bearta a ghlacadh chun a roghanna a chleachtadh i ndáil leis na hathruithe molta.

 

8) Cás-Staidéar 8: Nochtadh faisnéise pearsanta le tríú páirtí ag próiseálaithe sonraí.

Fuaireamar gearán maidir le nochtadh neamhúdaraithe líomhnaithe d'fhaisnéis phearsanta an ghearánaí ag An Post chuig tríú páirtí. Chuir an gearánaí in iúl dúinn, ar cailleadh gaol leo le déanaí, gur eisigh An Post ráiteas luachála go hearráideach i ndáil le comhchuntas taisce coigiltis a bhí acu roimhe sin lena gcomhpháirtí nach maireann, d'aturnae ag feidhmiú thar ceann mhac a gcomhpháirtí nach maireann. Fuarthas sa ráiteas sonraí airgeadais an ghearánaí i ndáil lena gcomhchuntas Coigiltis Stáit le Gníomhaireacht Bainistíochta an Chisteáin Náisiúnta (GBCN). Sula ndearna an gearánaí gearán leis an Oifig seo, fuair siad leithscéal ó An Post, thar ceann NTMA, inar aithníodh gur nochtadh faisnéis phearsanta an ghearánaí trí dhearmad. B'amhlaidh ámh toisc gur bheag faisnéis a fuair an gearánaí faoin gcaoi ar tharla an nochtadh a d'iarr siad orainn an cás seo a imscrúdú.

Cé gur thaisc an gearánaí gearán i gcoinne An Post, fuaireamar amach lenár réamhscrúdú go dtairgeann An Post táirgí agus seirbhísí thar ceann State Savings (Coigilteas Stáit), arb é an t-ainm branda leis an NTMA chun cur síos ar réimse táirgí coigiltis a thairgeann an NTMA le coigilteoirí pearsanta. Is amhlaidh dá réir ar “próiseálaí sonraí” atá in An Post, faoi mar a shainmhínítear faoi na hAchtanna um Chosaint Sonraí 1988 agus 2003, óir go bpróiseálann sé sonraí pearsanta custaiméirí thar ceann an NTMA. Is é an NTMA an “rialtóir sonraí” faoi mhar shainmhínítear faoi na hAchtanna um Chosaint Sonraí 1988 agus 2003, óir gurb iadsan a rialaíonn ábhar agus úsáid sonraí pearsanta a gcustaiméirí chun críocha bhainistiú a gcuntais State Savings (Coigilteas Stáit).

Chuireamar tús le himscrúdú ach scríobh chuig an NTMA, agus níor chuir an NTMA in aghaidh na fírice gur nochtadh faisnéis phearsanta an ghearánaí. Mhaigh an NTMA, tar éis dóibh tuairisc iomlán a fháil óna bpróiseálaí sonraí, An Post, gur dheimhnigh siad, d'ainneoin nósanna imeachta caighdeánacha State Savings (Choigilteas Stáit), gur seoladh ráiteas luachála, lenar áiríodh mionsonraí de chomhchuntas leis an ngearánaí agus lena gcomhpháirtí nach maireann, chuig aturnae ag feidhmiú thar ceann tríú páirtí. D'aithin an NTMA nár cheart go seolfaí an fhaisnéis úd chuig an tríú páirtí, agus nár chloígh na próiseálaithe sonraí leis na nósanna imeachta cearta sa chás seo.

Roghnaigh an gearánaí gan glacadh le leithscéal agus le comhartha dea-mhéine ón NTMA mar réiteach síochánta dá ngearán cosanta sonraí, agus roghnaigh siad ina ionad sin chun cinneadh foirmiúil a lorg ón gCoimisinéir Cosanta Sonraí.

Eisíodh cinneadh leis an gCoimisinéir Cosanta Sonraí i mí Iúil 2016. Ina cinneadhsa, tháinig an Coimisinéir chun na tuairime gur sháraigh an NTMA Alt 2A(1) de na hAchtanna um Chosaint Sonraí 1988 agus 2003 ach faisnéis phearsanta an ghearánaí a phróiseáil gan a gcomhthoil trí mheán an nochta, le An Post mar ghníomhaire leis an NTMA, i leith faisnéis phearsanta an ghearánaí le tríú páirtí.

Léirítear leis an gcás seo go mbíonn ríthábhachtach do rialtóirí sonraí chun a chinntiú go gcloíonn gach ball foirne go cuí agus go rialta lena mbeartais agus lena nósanna imeachta um chosaint sonraí pearsanta. Is eochairchuid de sin an fheasacht i measc na foirne, ach ba cheart go gcinnteodh na fostóirí freisin go ndéantar athbhreithnithe rialta ar an gcaoi ina gcuirtear na beartais agus na nósanna imeachta sin chun feidhme sa ghnáthchleachtadh, ionas go n-aithneofaí saincheisteanna féideartha agus go gcumasófaí an glacadh le bearta/hathruithe leigheasacháin do na cleachtais, beartais agus nósanna imeachta

 

9) Cás-Staidéar 9: An riachtanas chun fógra soiléir a thabhairt nuair a bhailítear sonraí bithmhéadrach ag pointe iontrála

Fuaireamar gearán i mí Dheireadh Fómhair 2015 ó chonraitheoir i ndáil le fáil agus próiseáil éagórach a gcuid sonraí pearsanta. Mhaigh an gearánaí gur bhailigh an chuideachta a gcuid sonraí bithmhéadracha gan a dtoil i gcaitheamh a bhfreastail ar lárionad sonraí i gcomhair cuspóirí a bhain lena n-obair, agus gur choinnigh siad a bpas freisin nó gur chríochnaigh siad an cúrsa oiliúna. Cé gur thug an rialtóir sonraí comhairle don ghearánaí roimh ré chun aitheantas a thabhairt leo lá an fhreastail ar an lárionad sonraí chun cuspóirí slándála, níor cuireadh ar an eolas ag an tráth sin iad go mbeadh an rialtóir sonraí ag bailiú a gcuid sonraí bithmhéadracha nuair a thiocfaidís chun an lárionaid sonraí.

Fuaireamar amach i gcaitheamh ár n-imscrúdaithe gur bhailigh an rialtóir sonraí sonraí bithmhéadracha an ghearánaí nuair a tháinig siad chun an lárionaid sonraí ach scanadh méarloirg a fháil. Níor soláthraíodh faisnéis ar bith faoin bpróiseas sin don ghearánaí faoin tráth sin ámh – dúradh go simplí leo nach bhféadfaidís dul tríd an tslándáil gan an mhéarlorgaireacht bhithmhéadrach sin. Dheimhnigh an rialtóir sonraí dúinne nár coinníodh sonraí an scanta méarloirg sin, gur baineadh leas astu ina ionad sin chun teimpléad uimhriúil a ghiniúint, a stóráladh ansin i bhfoirm chriptithe; agus gur comhtháthaíodh an fhaisnéis uimhriúil úd le suaitheantas rochtana sealadach a tugadh don ghearánaí ar feadh an achair a raibh an gearánaí ag freastal ar an lárionad sonraí. Dheimhnigh an rialtóir sonraí gur scrios siad an fhaisnéis sin dá gcóras agus dá gcomhaid chúltaca ach iarratas an duine is ábhar do na sonraí a fháil nuair a d'fhág an duine is ábhar do na sonraí an lárionad sonraí féin. Dheimhnigh an rialtóir sonraí ina theannta sin, cé gur choinnigh siad pas an ghearánaí ar feadh achar freastail an ghearánaí ag an lárionad sonraí de bhun beartais chun tabhairt ar ais na suaitheantas rochtana sealadach a chinntiú, nach ndearna siad cóip ná nár choinnigh siad cóip de phas an ghearánaí.

Níor mhian leis an ngearánaí sa chás seo glacadh leis an tairiscint de réiteach síochánta a rinne an rialtóir sonraí, agus d'iarr ina ionad sin go nglacfadh an Coimisinéir le cinneadh foirmiúil faoina ngearán.

Breithníodh i gcinneadh an Choimisinéara Cosanta Sonraí i mí Dheireadh Fómhair 2016 gur sháraigh an rialtóir sonraí Alt 2(1)(a) agus Alt 2D(1) de na hAchtanna um Chosaint Sonraí 1988 agus 2003, óir go mba cheart go soláthródh an rialtóir sonraí don ghearánaí na cuspóirí a bhain le bailiú agus le próiseáil na sonraí bithmhéadracha, an tréimhse a gcoinneofaí iad agus an bealach ina gcoinneofaí iad, ina mbainfí leas astu, agus ina nochtfaí iad le tríú páirtithe dá mb'infheidhmithe. D'fhéadfadh an rialtóir sonraí é sin a dhéanamh nuair a bhí sé i dteagmháil leis an ngearánaí chun comhairle a thabhairt dóibh faoin riachtanas chun aitheantas a thabhairt leo chun iontráil a fháil ar an lárionad sonraí, nó ag a dhéanaí, nuair a bhí an gearánaí tar éis teacht chuig an lárionad sonraí.

I ndáil le fáil agus le próiseáil sonraí bithmhéadracha an ghearánaí ámh, tar éis dóibh an fhaisnéis a sholáthair an rialtóir sonraí a athbhreithniú i gcaitheamh an imscrúdaithe leis an oifig seo, bhreithnigh an Coimisinéir Cosanta Sonraí go raibh leas dlisteanach ag an rialtóir sonraí faoi Alt 2A(1)(d) de na hAchtanna chun nósanna imeachta slándála iomchuí a chur i bhfeidhm chun críocha chumhdach na slándála sa lárionad sonraí, go háirithe chun críoch rialáil agus rialú na rochtana ag tríú páirtithe ar an lárionad sonraí. I bhfianaise nár baineadh leas as na sonraí bithmhéadracha ach amháin chun críocha na rochtana ar an lárionad sonraí, nár aistríodh iad le páirtí ar bith eile agus gur scriosadh iad ina n-iomláine ach iarratas a fháil ón duine is ábhar do na sonraí nuair a d'fhág siad an lárionad sonraí, ba í tuairim an Choimisinéara Cosanta Sonraí nárbh ionann sin agus réamhchlaonadh féideartha ba threise é ná leasanna dlisteanacha an rialtóra sonraí chun sláine an lárionaid sonraí a chosaint agus chun rochtain neamhúdaraithe air a chosc. B'amhlaidh dá réir a tháinig an Coimisinéir Cosanta Sonraí chun na conclúide go raibh bunús dlíthiúil ag an rialtóir sonraí do phróiseáil sonraí bithmhéadracha an ghearánaí.

Maidir le coinneáil phas an ghearánaí ar feadh achar a gcuairte ar an lárionad sonraí, bhreithnigh an Coimisinéir nár éirigh aon sárú as sin ar na hAchtanna um Chosaint Sonraí 1988 agus 2003, óir go raibh leas dlisteanach ag an rialtóir sonraí chun é sin a dhéanamh, agus nár tháinig aon bhac díréireach le bunchearta an ghearánaí le próiseáil theoranta fhaisnéis pas an ghearánaí (.i. coinneáil an phas féin).

Is eochairphrionsabal faoin dlí cosanta sonraí í an trédhearcacht, agus is cuid mhór de léiriú an chomhlíonta leis an bprionsabal seo í tabhairt fógra i leith phróiseáil na sonraí pearsanta do dhuine is ábhar do na sonraí. Ba cheart go háirithe go múnlófaí gach gné d'oibríochtaí próiseála sonraí rialtóra sonraí leis an dearbhphrionsabal nach mbeadh “ionadh” ar na daoine aonair a mbailítear agus a bpróiseáiltear a sonraí leis an mbailiú agus leis an bpróiseáil ná lena scála ná lena raon feidhme.

 

10)Cás-Staidéar 10: Nochtadh faisnéise pearsanta le tríú páirtí ag próiseálaithe sonraí

Fuaireamar dhá ghearán ó sheirbhísigh phoiblí (fear céile agus bean chéile) ar nocht PeoplePoint a sonraí pearsanta, na seirbhísí comhroinnte um acmhainní daonna agus pinsin d'fhostaithe seirbhíse poiblí. Maíodh sa ghearán tosaigh i mí na Samhna 2015 go ndearna sé iarratas chun a iarratas ar shaoire breoiteachta a athrú tar éis dó iarratas a dhéanamh ar shaoire breoiteachta. Chuaigh an t-oifigeach in PeoplePoint a bhí freagrach as an rannóg sin ar aghaidh chun ríomhphost a sheoladh chuig bainisteoir líne an ghearánaí ag an roinn rialtais inar oibrigh an gearánaí. Chuaigh an t-oifigeach ar aghaidh tar éis dóibh freagra “as láthair” a fháil chun ríomhphost a sheoladh chuig comhpháirtí neamh-mhaoirseach an ghearánaí. Bhí PeoplePoint tar éis fógra a thabhairt dúinn i leith an tsáraithe sin i mí an Mheithimh 2015. Fuaireamar amach nuair a chuireamar tús leis an imscrúdú agus nuair a fuaireamar cóip den ríomhphost arbh é príomhábhar an tsáraithe é, go raibh sonraí pearsanta chéile an ghearánaí, a bhí ina seirbhíseach poiblí freisin i roinn éagsúil, le fáil sa ríomhphost agus gur seoladh an ríomhphost chuig triúr tríú páirtithe. Dealraíodh go bhfuair an t-oifigeach in PeoplePoint rochtain ar fhaisnéis phearsanta a chéile nuair a bhíothas ag breithniú saoire bliantúla an chéad ghearánaí, gan údarú óna fostóir ná gan a toiliú féin.

Dealraíodh le tuilleadh imscrúdaithe san ábhar gur chuir an t-oifigeach in PeoplePoint céile an ghearánaí agus a gcomhghleacaithe ar an eolas faoi fhaisnéis i ndáil leis an ngearánaí nuair nach raibh bunús dlíthiúil acu chuige sin, agus gan aon údarás ó rialtóir sonraí a gcuid sonraí pearsanta, .i. an fostóir féin.

Rinne an Oifig seo iniúchadh ar PeoplePoint. Chuir siad in iúl dúinn i dtaca leis an ngearán seo, gur bheartaigh siad chun na sonraí a aisghabháil nuair a cuireadh iad ar an eolas faoin sárú, agus dheimhnigh siad gur scriosadh na sonraí i measc gach páirtí lenar bhain siad. Shloinn siad freisin gur glacadh beart ceartaitheach chun feasacht an oifigigh ábhartha faoin bpríobháideachas sonraí a fheabhsú. Cé gur mhol PeoplePoint togra i gcomhair réitigh shíochánta, dhiúltaigh na gearánaithe dó agus d'iarr cinneadh foirmiúil a fháil ón gCoimisinéir.

Tháinig an Coimisinéir chun na conclúide leis an tuairim gur sáraíodh Alt 21(1) de na hAchtanna um Chosaint Sonraí 1988 agus 2003. Is próiseálaí iad PeoplePoint a bhfostaíonn an rialtóir sonraí iad (arb í an roinn rialtais ábhartha is fostóir í) agus is amhlaidh dá réir a bhíonn dualgas cúraim ar an rialtóir sonraí i leith na ndaoine is ábhar do na sonraí a bpróiseálann siad a sonraí. pearsanta Caithfidh próiseálaí sonraí faoi Alt 21 gan sonraí pearsanta a nochtadh gan údarás an rialtóra sonraí roimh ré, a bpróiseáiltear na sonraí thar a cheann.

Is meabhrúchán lom é an cás seo do phróiseálaithe sonraí faoin tábhacht a bhaineann le gan sonraí a phróiseáil ach amháin le toiliú roimh ré an duine is ábhar do na sonraí nó an rialtóra sonraí. Féadann iarmhairtí tromchúiseacha bheith le bearta i ndáil le sonraí pearsanta do na daoine is ábhar do na sonraí, a dhealrófaí bheith neamhurchóideach d'fhoireann mhí-eolach. Níl sé inghlactha do phróiseálaithe sonraí agus do rialtóirí sonraí chun bheith ag brath ar an leithscéal nár thuig fostaí gur shárú an dlí chosanta sonraí a bhí sa mhéid a bheartaigh siad. Luíonn an fhreagracht ar na fostóirí úd chun a chinntiú go mbíonn gach ball foirne oilte agus maoirsithe go hiomchuí i ndáil le próiseáil sonraí pearsanta, chun na baoil do bhunchearta agus bhunsaoirse na ndaoine is ábhar do na sonraí a íoslaghdú an oiread agus is féidir, arb iad a sonraí pearsanta a bhíonn á bpróiseáil acu.

 

11) Cás-Staidéar 11: Mainneachtain le rialtóir sonraí chun faisnéis phearsanta duine aonair a choinneáil cruinn agus nuashonraithe ónar tháinig nochtadh sonraí pearsanta le tríú páirtí

Fuaireamar gearán i mí Feabhra na bliana 2015 maidir le nochtadh neamhúdaraithe líomhnaithe ag Permanent TSB (PTSB) d'fhaisnéis phearsanta an duine is ábhar do na sonraí le tríú páirtí. Mhaígh an duine ab ábhar do na sonraí sa ghearán seo gur chónaigh sí ag réadmhaoin lena hiar-fhear céile, go raibh an morgáiste don réadmhaoin sin ina chomhchuntas ina hainm féin agus in ainm a hiar-fhir chéile araon, agus gur baineadh í den mhorgáiste sin mar chuid den socrú colscartha. Chuir an duine ab ábhar do na sonraí in iúl don Oifig seo go bhfuair sí morgáiste ar leithligh ina dhiaidh le PTSB, ina hainm féin amháin, i leith réadmhaoine éagsúla. Tá an PTSB tar éis litir éilimh a sheoladh ámh, le seoladh uirthi ag a réadmhaoin nua, agus le seoladh uirthi freisin do réadmhaoin le tríú páirtí nach raibh baint ar bith aici léi. Tógadh iar-fhear céile an ghearánaí ag an réadmhaoin úd; bhí a leasmháthair fós ina chónaí ann, agus d'oscail sí litir éilimh an PTSB agus thug sí fógra di dá leasmhac (iar-fhear céile an duine ab ábhar do na sonraí), a thug fógra ar a sheal féin don duine ab ábhar do na sonraí. Chuireamar tús le himscrúdú, agus ghlac PTSB leis gur nochtadh sonraí pearsanta an duine ab ábhar do na sonraí le tríú páirtí. Thug an PTSB le fios dúinn gur tharla sé sin toisc go raibh an seoladh tríú páirtí (ar sholáthair an duine ab ábhar do na sonraí don PTSB mar sheoladh comhfhreagrais nuair a bhíothas ag cur isteach ar an iasacht roimhe sin a raibh ina seilbh lena hiar-fhear céile), nasctha go mícheart le hiasacht mhorgáiste iomlán ar leithligh ina dhiaidh sin faoi ainm aonair an duine ab ábhar do na sonraí.

D'fhéachamar le réiteach síochánta a fháil don ghearán seo, ach diúltaíodh don mholadh a rinne PTSB leis an duine ab ábhar do na sonraí, agus d'fhéach sí ina ionad sin chun cinneadh foirmiúil a fháil ón gCoimisinéir.

Rialaigh an Coimisinéir gur sháraigh PTSB Alt 2A(1) de na hAchtanna um Chosaint Sonraí 1988 agus 2003 ach sonraí pearsanta an duine ab ábhar do na sonraí a phróiseáil gan a toiliú nó gan údar dlisteanach eile dó sin agus Alt 2(1)(b) chomh maith ach mainneachtain chun sonraí pearsanta a choinneáil cruinn, iomlán agus nuashonraithe.

Is cás iad na cúinsí leis an ngearán seo a bhaineann le hábhar don réasúnaíocht laistiar den phrionsabal nach foláir sonraí pearsanta a choinneáil cruinn, iomlán agus nuashonraithe. Buanaítear an baol go dtiocfaidh breis teipeanna cosanta sonraí (ar nós nochtadh neamhúdaraithe le tríú páirtithe) ón neamh-chomhlíonadh úd má mhainnítear chun cloí leis an bprionsabal sin, go háirithe i gcomhthéacs na faisnéise teagmhála.

 

12) Cás-Staidéar 12: Mainneachtain le Banc na hÉireann chun aitheantas duine aonair ar an bhfón a fhíorú i gceart ónar tháinig nochtadh faisnéise pearsanta le tríú páirtí

Fuaireamar gearán gur nocht Banc na hÉireann (BOI) faisnéis phearsanta an ghearánaí le tríú páirtí. D'fhógair BOI don ghearánaí faoin nochtadh úd a tharla nuair a ghlaoigh ball foirne BOI ar a fhón póca agus nach bhfuair freagra, mar chuid d'iarracht chun teagmháil a dhéanamh leis maidir lena chuntas. Mhaígh BOI toisc nárbh fhéidir leis an mball foirne teagmháil a dhéanamh leis ar a fhón póca, go ndearna siad iarracht ansin chun teagmháil a dhéanamh leis trí mheán líne talún a liostaíodh ar a chuntas. De réir fhógra an BOI, ba í máthair an ghearánaí a d'fhreagair an fón, agus d'iarr an comhairleoir BOI chun labhairt leis an ngearánaí, a bhfuil an t-ainm céanna air lena athair, agus mhínigh do mháthair an ghearánaí nárbh fhéidir leo an cuntas a phlé léise óir nach raibh sí liostaithe ar an gcuntas. Nuair a rinneadh tagairt don ghearánaí lena shloinne An tUas. X, shíl a mháthair go mícheart gur bhain an glao leis an gcuntas a bhí ina seilbh lena fear céile ar a dtugtar An tUas. X freisin. Ba é seasamh BOI gur áitigh máthair an ghearánaí go diongbháilte go raibh liostaithe ar an gcuntas agus go mba cheart go labhródh an chomhairle léi mar gheall air dá réir. Soláthraíodh faisnéis áirithe ansin do mháthair an ghearánaí maidir lena chuntas-san.

Chuireamar tús leis an imscrúdú den ghearán sin ach scríobh chuig an BOI ag iarraidh air chun deimhniú gur thuairiscigh siad an sárú sin cheana féin dúinne, óir go meastar é bheith mar dhea-chleachtas faoinár “Cód Cleachtais um Shlándáil Sonraí Pearsanta”. Níor chuir an BOI in aghaidh na fírice gur nochtadh sonraí pearsanta an ghearánaí, agus dheimhnigh siad dúinn gur tuairiscíodh an sárú dúinne roimhe seo. Thug an BOI le fios gur tháinig roinnt mearbhaill aníos, de bharr an céadainm céanna bheith ag athair an ghearánaí leis-sean, agus caidreamh baincéireachta bheith aige leis an mbrainse céanna, agus gur mhainnigh ar an BOI mar thoradh ar an mearbhall sin chun an duine a aithint i gceart lena raibh siad ag plé, agus gur nochtadh faisnéise phearsanta an ghearánaí le tríú páirtí. Mhaígh an BOI nár cuireadh iad ar an eolas faoi nochtadh a fhaisnéise pearsanta nuair a chuir máthair an ghearánaí glao gutháin ar an gcomhairleoir ní ba dhéanaí an lá úd chun an BOI a chur ar an eolas gurbh í a macsa a bhí sa ghearánaí, agus gur bhain an fhaisnéis lena chuntais iasachta. Thug an BOI le fios dúinn freisin gur eisíodh litir leithscéil leis an ngearánaí.

Shéan an gearánaí sa chás seo an tairiscint de réiteach síochánta a cheap an BOI, agus d'iarr cinneadh foirmiúil a fháil ón gCoimisinéir.

Tháinig an Coimisinéir chun na conclúide ina cinneadh i mí an Mheithimh 2016 gur sháraigh an BOI Alt 2A(1) de na hAchtanna um Chosaint Sonraí 1988 agus 2003 nuair a phróiseáil siad faisnéis phearsanta an ghearánaí gan a thoiliú ach í a nochtadh le tríú páirtí.

Is léiriú breise atá sa chás seo ar an gcaoi inar féidir nochtadh neamhúdaraithe sonraí pearsanta teacht mar thoradh ar mhainneachtain shaonta ag ball foirne chun cloí go docht leis an riachtanas chun aitheantas an duine is ábhar do na sonraí a fhíorú sula nochtar a sonraí pearsanta. Cé gur bhain nochtadh labhartha neamhúdaraithe sonraí pearsanta le ball teaghlaigh leis an duine is ábhar do na sonraí i gceist le cúinsí an cháis seo, ní chiallaíonn sé sin nach níos tromchúisí í dá mba nochtadh scríofa le tríú páirtí neamhmhuinteartha a bhí ann.

 

13) Cás-Staidéar 13: B'éigean do Rialtóir Sonraí a léiriú go ndearnadh iarracht chun sonraí a aimsiú laistigh den tréimhse reachtúil 40 lá

Fuaireamar gearán ó dhuine aonair maidir le hiarratas rochtana a rinne siad le Meteor ag lorg cóipe dá sonraí pearsanta, agus go sonrach na taifeadtaí glaonna de ghlaonna a rinne siad le Cúram Custaiméirí Meteor i gcomhair tréimhse faoi leith. D'fhreagair Meteor ar dtús dá iarratas ach maíomh a thabhairt nach raibh ach 10% de na glaonna chun a líne Chúraim Chustaiméirí taifeadta agus coinnithe ar feadh 30 lá, agus nach raibh aon ráthú ann gur taifeadadh a ghlaonna ó na 30 lá roimhe sin. D'fhreagair Meteor ina dhiaidh sin d'iarratas rochtana an ghearánaí, ag maíomh go cinnte nach raibh glao ar bith taifeadta agus infhaighte i ndáil leis an ngearánaí.

Chuireamar tús le himscrúdú i leith iarratas an ghearánaí ar fhaisnéis ó Meteor i ndáil leis na hiarrachtaí a rinne sé chun na taifeadtaí glao a aisghabháil a tháinig faoi ábhar an iarratais rochtana chomh maith le faisnéis i leith na suíomhanna agus/nó na n-aonad gnó lena ndearnadh fiosruithe i ndáil le hiarratas rochtana an iarratasóra. Sholáthair Meteor asphrionta dúinn ina dtaispeántar na cuardaigh a rinneadh agus d'fhreagair siad nach raibh aon ghlao ina seilbh acu i ndáil leis an ngearánaí.

B'éard a bhí i gceist sa chás seo ná saincheist an chomhlíonta leis na 40 lá d'fhreagairt ar iarratas rochtana faoi na hAchtanna um Chosaint Sonraí 1988 agus 2003. Rinne an gearánaí iarratas rochtana bailí le Meteor trí ríomhphost ón dáta 24 Lúnasa 2015. D'fhreagair Meteor faoi dheireadh don iarratasóir trí ríomhphost an 29 Deireadh Fómhair le freagra substainteach. Tháinig an freagra substainteach don iarratas rochtana beagnach ceithre seachtaine lasmuigh den tréimhse reachtúil 40 lá d'fhreagairt. Ina theannta sin, níor sholáthair Meteor aon fhianaise dúinn gur thosaigh siad an cuardach ar na taifeadtaí glao a d'fhéach an gearánaí lena bhfáil laistigh den tréimhse 40 lá, ach ina ionad sin roghnaigh siad chun brath ar a mbeart nach dtaifeadtar ach 10% de ghlaonna ar an líne Chúraim Chustaiméirí, agus glacadh leis go simplí nár taifeadadh glaonna an ghearánaí féin.

In ainneoin iarracht a dhéanamh chun an gearán seo a réiteach go síochánta níorbh fhéidir linn é sin a dhéanamh, agus d'iarr an duine is ábhar do na sonraí cinneadh foirmiúil a fháil ón gCoimisinéir Cosanta Sonraí. Tháinig an Coimisinéir Cosanta Sonraí chun na conclúide ina cinneadh gur sháraigh Meteor na hAchtanna um Chosaint Sonraí 1988 agus 2003 gan freagra a thabhairt d'iarratas rochtana an ghearánaí laistigh den tréimhse 40 lá mar a foráladh faoi Alt 4(1)(a).

Léirítear sa chás seo nach foláir do rialtóir sonraí gan caitheamh le hiarratas bailí ar rochtain sonraí leis an tuairim shimplí nach bhfuil na sonraí pearsanta a bhfuiltear á lorg ina seilbh acu. In ainneoin chúinsí an iarratais, bheartais ar bith a fheidhmíonn an rialtóir sonraí nó tuairimí ina seilbh, caithfidh siad gach beart riachtanach a ghlacadh chun fáil amach an bhfuil na sonraí iarrtha nó nach bhfuil siad i seilbh an rialtóra sonraí agus freagra substainteach a thabhairt don iarratas rochtana laistigh den tréimhse reachtúil 40 lá. Tá an ceart rochtana ag duine is ábhar do na sonraí ar cheann de na bunchlocha do chosaint sonraí pearsanta an duine aonair, agus caithfidh nach gcuirtear bac leis an gceart sin le gníomhartha na rialtóirí sonraí, bídís neamhbheartaithe nó a malairt.

 

14) Cás-Staidéar 14: Sonraí pearsanta coinnithe siar ó iarratas rochtana le Airbnb ar bhunús tuairime a tugadh faoi rún

Fuaireamar gearán i mí Iúil 2016 ó dhuine aonair (aoi Airbnb) maidir le hiarratas rochtana a thaisc sé le Aribnb. Ba é ábhar an ghearáin nár sholáthair Airbnb ríomhphost sonrach don aoi faoi féin, a seoladh chuig Airbnb leis an óstach de chóiríocht Airbnb a bhí ar cíos ag an aoi. Bhain an ríomhphost úd le gearán ag an óstach faoin aoi. Agus freagra á thabhairt d'iarratas rochtana an aoi, choinnigh Airbnb siar a ríomhphost ar an mbunús gur bhain léiriú tuairime leis a thug an t-aoi faoi rún dóibh.

Bhain ábharthacht anseo le hAlt 4(4A)(a) de na hAchtanna um Chosaint Sonraí 1988 agus 2003, ina gceadaítear do shonraí pearsanta lena mbaineann nochtadh tuairime faoin duine is ábhar do na sonraí le duine éigin eile chun bheith nochta ag an rialtóir sonraí leis an duine is ábhar do na sonraí mar fhreagra ar iarratas rochtana gan an t-éileamh chun toiliú an duine a fháil arbh iadsan a thug an tuairim. Bhain an ábharthacht chéanna le hAlt 4(4A)(b)(ii) de na hAchtanna um Chosaint Sonraí 1988 agus 2003, ina bhforáiltear do dhíolúine ón gceart chun rochtain a fháil ar shonraí pearsanta mar a mbaineann léiriú tuairime faoin duine is ábhar do na sonraí le duine éigin eile, a tugadh faoi rún nó leis an tuiscint go bhféadfaí caitheamh leo mar ábhar rúnda.

Chuireamar tús le himscrúdú ina ndearnadh iniúchadh sonrach ar bhain léiriú tuairime rúnda leis an óstach faoin aois leis an ríomhphost i gceist ón óstach chuig an rialtóir sonraí Airbnb. Fuaireamar amach go raibh ábhar an ríomhphoist i gceist fíorasach ina chineál den chuid ba mhó. Cé gur bhain léiriú tuairime le gné amháin den ríomhphost, ní raibh aon tagairt ná tásc sa ríomhphost d'ionchas leis an óstach go gcoinneofaí an ríomhphost go rúnda nó nach nochtfadh Aribnb leis an aoi é. Thugamar faoi deara i ríomhphost éigin eile díreach ón óstach chuig an aoi, gur thug an t-óstach le fios don aois go ndearna siad teagmháil le Airbnb faoin aoi.

Cé go raibh Airbnb ag iarraidh cheart an aoi a chothromú go cóir le cearta an óstaigh sa chás seo, ba í ár dtuairim bunaithe ar ár n-iniúchadh de na saincheisteanna agus den chumarsáid i gceist, agus ní raibh fianaise ar bith ann d'ionchas ná tuiscint ag an óstach nach scaoilfí a ríomhphost faoin aoi leis-sean. Ní raibh feidhm sna cúinsí úd le díolúine ón gceart rochtana faoi Alt 4(4A)(b)(ii). Ghlac Airbnb lenár seasamh, agus scaoil an ríomhphost i gceist leis an aois dá réir. Ba leis sin a ceadaíodh do réiteach síochánta an ghearáin.

Faoi mar a léirítear sa chás seo, sula gcoinnítear siar sonraí pearsanta ar an mbunús go mbaineann léiriú tuairime faoi rún nó leis an tuiscint go gcaithfí leis go rúnda, ní foláir go gcinnteodh an rialtóir sonraí go bhfuil bunús maith leis an dearbhú sin. Ní leor go nglacfadh an rialtóir sonraí leis gurbh amhlaidh an cás d'uireasa aon tuairisce chun na críche sin ón duine a léirigh an tuairim sin.

Ina theannta sin, ní chiallaíonn áireamh tuairime lena mealltar an díolúine sin go mbíonn gach sonra pearsanta eile a fhaightear laistigh den cháipéis chéanna díolmhaithe cosúil leis sin ón gceart rochtana. Is amhlaidh i gcomhthéacs cáipéise iomláine de shonraí pearsanta, bíonn an duine is ábhar do na sonraí i dteideal rochtain a fháil ar na sonraí pearsanta laistigh di nach tuairim í a tugadh faoi rún, agus ní féidir leis an rialtóir sonraí ach an chuid nó na codanna dá bhfeidhmíonn an díolúine go bailí a cheilt. Na tuairimí faoi dhaoine aonair nach féidir ionchas rúndachta bheith ag feidhmiú ina leith, ná go deimhin faisnéis rúnda í féin; ní bhíonn siad díolmhaithe ó iarratas rochtana.

Faoi mar a tugadh mar achoimre lenár dtreoir fhoilsithe, an tuairim a thugtar go rúnda faoin tuiscint go gcoinneofar go rúnda í; ní foláir di tairseach rúndachta ard a shásamh. Ní hamhlaidh go mbíonn na sonraí rúnda má chuirtear an friotal “faoi rún” ag barr an leathanaigh, mar shampla. Agus feidhmiú molta na díolúine sin ar cheart rochtana á bhreithniú, déanfaimid iniúchadh ar na sonraí agus ar a gcomhthéacs, agus caithfear bheith sásta nach dtabharfaí na sonraí amach ar shlí éigin eile ach amháin an tuiscint rúndachta sin bheith ann.

 

15) Cás-Staidéar 15: Ionsaí le Bogearraí Éirice Cripteacha ar Bhunscoil

Fuaireamar tuairisc faoi shárú i mí Dheireadh Fómhair 2016 ó bhunscoil a bhí ina híospartach d'ionsaí “le Bogearraí Éirice Cripteacha”, inar criptíodh codanna de chórais faisnéise na scoile le tríú páirtí, lenar éirigh comhaid na scoile dorochtana. Fuarthas sonraí pearsanta sna comhaid sin lenar áiríodh ainmneacha, dátaí breithe agus Uimhreacha Pearsanta Seirbhíse Poiblí (UPSPí). Éilíodh éiric ón scoil chun na comhaid chriptithe a scaoileadh.

Aithníodh inár measúnacht den ionsaí go raibh easnaimh ag an scoil sna bearta a ghlac sí chun sonraí pearsanta na ndaltaí a shlánú, lenar áiríodh:

  • Ní raibh beartais ná nósanna imeachta ann chun cúltacaí leordhóthanacha a chothabháil;
  • Ní raibh nósanna imeachta ná cáipéisí beartais ann inar díríodh ar ionsaithe córais ar nós bogearraí éirice nó víreas;
  • Ní raibh conarthaí ar bith leis na próiseálaithe sonraí ann (na soláthraithe seirbhísí TFC)(faoi mar ba ghá faoi Alt 2C(3) de na hAchtanna um Chosaint Sonraí 1988 agus 2003) inar leagadh amach a gcuid oibleagáidí, agus dá thoradh sin, ghlac na soláthraithe TFC bearta neamhdhóthanacha mar fhreagra don ionsaí; agus
  • Bhí easpa oiliúna agus feasachta foirne ann faoi na baoil a bhaineann le hoscailt ceangaltán nó comhad neamhaitheanta le ríomhphoist.

Bhreithníomar gur sháraigh an scoil forálacha Alt 2(1)(d) de na hAchtanna, tar éis dóibh mainneachtain chun a chinntiú go mbeadh bearta slándála leordhóthanacha ann, chun cosaint i gcoinne phróiseáil agus nochtadh neamhúdaraithe na sonraí pearsanta.

Eisíodh moltaí don scoil go nglacfadh sí bearta chun na baoil aitheanta a mhaolú. Thug an scoil le fios dúinn gur ghlac sí na bearta seo a leanas bunaithe ar na moltaí a eisíodh:

  • Clár oiliúna agus feasachta foirne a chur chun feidhme faoi na baoil a bhaineann le ríomhphost agus le húsáid na n-eochracha USB pearsanta.
  • Tá forfheidhmiú phróiseas athbhreithnithe conartha ann chun a chinntiú go mbíonn conarthaí iomchuí ann lena soláthraithe TFC.
  • hinntiú gurb iad próiseálaithe sonraí inniúla a fheidhmíonn aon tacaíocht TFC arna fostú ag an scoil ar bhunús áitiúil nó mar a mhol an Bord di.

Léirítear sa chás seo go gcaithfidh scoileanna, cosúil le haon eagras eile - tráchtála, san earnáil phoiblí nó phríobháideach, a oibríonn córais stórála sonraí agus a idirghníomhaíonn ar líne; go gcaithfidh siad a chinntiú go mbíonn bearta iomchuí slándála agus eagrúcháin teicniúla ann chun cailliúint sonraí pearsanta a chosc, agus chun a chinntiú gur féidir leo sonraí a aischur dá dtarlódh ionsaithe Bogearraí Éirice Cripteacha.

 

16) Cás-Staidéar 16: Sárú Sonraí ag Miondíoltóir ar Líne

Fuaireamar tuairisc faoi shárú i mí Iúil 2016 ó eagras ag feidhmiú díolachán miondíola agus ar líne. D'fhógair custaiméir don eagras gur baineadh leas as a gcárta creidmheas in idirbheart calaoiseach i ngan fhios dóibh, agus chreid siad gur tháinig sé ó sholáthar a mionsonraí Íocaíochta ar líne leis an eagras.

D'fhostaigh an t-eagras tríú páirtí saineolach chun anailís a dhéanamh ar a láithreán gréasáin. Breithníodh gur chuir bogearraí mailíseacha an córas íocaíochta ar an láithreán gréasáin i mbaol leis na 6-8 seachtaine roimhe sin. Cóipeáladh sna bogearraí mailíseacha sonraí a d'iontráil custaiméirí i rith na céime íocaíochta ar líne chuig sprioc sheachtrach.

Aithníodh inár measúnacht den ionsaí go raibh easnaimh ag an eagras sna bearta a ghlac sé chun sonraí pearsanta na n-úsáideoirí a shlánú, lenar áiríodh::

  • Ní raibh aon chomhaontú ag leibhéal conartha ná seirbhíse ann idir an rialtóir sonraí agus an próiseálaí sonraí;
  • Níor glacadh bearta ar bith chun a chinntiú gur chomhlíontach é an próiseálaí sonraí leis na bearta slándála agus eagrúcháin teicniúla;
  • Bhí bearta neamhdhóthanacha ann a bhain leis na bearta slándála teicniúla agus na bearta slándála eagrúcháin iomchuí i leith:
    • a chinntiú gur cothabháladh an freastalaí agus an t-ardán láithreáin ghréasáin, agus go raibh na leaganacha bogearraí nuashonraithe;
    • a chinntiú go mbeadh bearta iomchuí fíordheimhnithe úsáideora agus rialála rochtana ann;
    • a chinntiú go mbeadh slándáil theicniúil iomchuí ann, ar nós chumraíocht shlán an ardáin láithreáin ghréasáin, bearta chun bogearraí mailíseach a bhrath, beart chun monatóireacht a dhéanamh ar ghníomhaíocht amhrasach agus ar bhearta chun a chinntiú gur glacadh cúltacaí rialta; agus
    • a chinntiú go mbíonn próisis rialachais ann ar nós athbhreithnithe tréimhsiúla ar an bpróiseálaí sonraí agus ar a shlándáil theicniúil agus ar bhearta eagrúcháin.

I bhfianaise an mhéid thuas, mheasamar gur sháraigh an t-eagras Alt 2(1)(d) de na hAchtanna um Chosaint Sonraí 1988 agus 2003, ach mainneachtain chun bearta slándála iomchuí a ghlacadh i gcoinne rochtana neamhúdaraithe ar, nó athraithe neamhúdaraithe, nochtadh nó scriosadh sonraí pearsanta na n-úsáideoirí.

Eisíodh moltaí don eagras go nglacfadh sé bearta chun na baoil aitheanta a mhaolú. Thug an t-eagras le fios dúinn gur ghlac sé na bearta seo a leanas bunaithe ar na moltaí a eisíodh:

  • Tá conarthaí ann anois chun a chinntiú go mbíonn na bearta slándála agus eagrúcháin teicniúla iomchuí ag feidhmiú;
  • Déanann an t-eagras athbhreithnithe rialta ar ardáin freastalaí agus láithreáin ghréasáin chun a chinntiú go gcothabháiltear iad agus go mbíonn na leaganacha bogearraí nuashonraithe;
  • Déanann an t-eagras athbhreithnithe bliantúla le saineolaí tríú páirtí chun comhlíonadh a chinntiú, agus chun a bhailíochtú go neamhspleách go mbíonn bearta slándála agus eagrúcháin teicniúla iomchuí ann.

Leagtar béim sa chás seo ar an ngá go gcinnteodh eagrais go mbíonn bearta slándála agus eagrúcháin teicniúla iomchuí ann acu don tslándáil TFC, go háirithe nuair a fhostaítear próiseálaí sonraí. Ba cheart go mb'fheasach do na heagrais i leith na mbeart a imlíníodh faoi Alt 2C de na hAchtanna chun tuiscint a fháil ar a gcuid oibleagáidí, go sonrach:

  • Chun a chinntiú go mbíonn bearta slándála iomchuí ann;
  • Glactar bearta réasúnta chun a chinntiú gur feasach faoina n-oibleagáidí d'fhostaithe an Rialtóra Sonraí agus do dhaoine ar bith eile, mar shampla, fostaithe Próiseálaí Sonraí, a bhaineann leis an bpróiseáil;
  • Chun a chinntiú go mbíonn socruithe conarthacha iomchuí ann chun an phróiseáil a rialú;
  • Go nglactar bearta réasúnta chun comhlíonadh leis na bearta a chinntiú.

 

17) Cás-Staidéar 17: Comhbhaint mhícheart mionsonraí pearsanta duine aonair le comhad éigin eile

Fuaireamar gearán maidir le sárú líomhnaithe de chearta cosanta sonraí an duine aonair le cuideachta árachais.

B'amhlaidh i rith ár n-imscrúdaithe, a thug an t-árachóir (Árachóir X) mar chomhairle dúinn gur iarr an gearánaí roimhe sin luachan d'árachas teaghlaigh ó chuideachta árachais éigin eile (Árachóir Y), ar aistríodh a gealltanais chuig Árachóir X. Mhainnigh ar Árachóir Y chun an luachan a scriosadh (ní dheachaigh an gearánaí ar aghaidh chun polasaí a ghlacadh) i gcomhréir lena bheartas coinneála sonraí féin. Ina theannta sin, cheangail Árachóir Y sonraí pearsanta an ghearánaí trí dhearmad sa luachan le comhad éilimh árachais i ndáil le héileamh a fuair sé ó dhuine éigin leis an ainm céanna.

Nuair a bhíothas ag cur aistriú ghealltanais Árachóir Y chuig Árachóir X i gcrích, aistríodh an comhad éilimh árachais lenar áiríodh trí dhearmad an gearánaí mar an t-éilitheoir (seachas duine aonair eile leis an ainm céanna) chuig Árachóir X. D'éirigh an t-éileamh calaoiseach nuair a rinneadh measúnú air ní ba dhéanaí, agus scríobh aturnaetha Árachóir X leis an ngearánaí ag tabhairt le fios gur measadh a n-éileamh bheith calaoiseach, agus inar táscadh beart leantach a bhí ar intinn ag Árachóir X chun a dhéanamh chun a leasanna a chosaint.

Bhain láimhsiú tútach na sonraí pearsanta le croílár an cháis sin. Tá an t-ainm agus an sloinne céanna ag go leor daoine in Éirinn, agus ní raibh fáth ar bith ann go gcuirfí sonraí pearsanta an ghearánaí a bailíodh nuair a fuair an gearánaí luachan le comhad éilimh árachais. Ba chóir go mbeadh dóthain srianta agus ceartúchán ann i bpróisis láimhsithe sonraí le hÁrachóir Y. Ba í an tsaincheist ba shuntasaí a tháinig aníos don ghearánaí seo nárbh fhéidir leo a fháil amach, roimh ár mbaint leis, an chaoi inar tháinig a gcuid sonraí i seilbh Árachóir X agus an chaoi inar tháinig an tsaincheist i gceist aníos.

Tharla roinnt sáruithe sa chás seo dá réir – sárú an cheangaltais ar thréimhse choinneála réasúnach de bharr an luachan a choinneáil ní b'fhaide ná mar ba ghá agus mar a leagadh amach i mbeartas coinneála na cuideachta féin; próiseáil breise neamhdhleathaí na sonraí pearsanta ach iad a chur leis an gcomhad éilimh; mainneachtain chun freagairt ar bhealach soiléir agus tráthúil leis an ngearánaí chun a mhíniú dóibh an chaoi ar foinsíodh a gcuid sonraí agus an chaoi ar próiseáladh iad ar an gcaoi sin. Bhain iarmhairtí cuibheasacha tromchúiseacha don ghearánaí sa chás seo, óir gur thabhaigh siad costais dlíthiúla suntasacha ag cosaint an chúisimh go ndearna siad éileamh calaoiseach agus ón mbagairt le hÁrachóir X chun nósanna imeachta a thionscnamh sa Chúirt Chuarda ina gcoinne.

18) Cás-Staidéar 18: Ionchúiseamh Irish Times Limited i gCionta Margaíochta

Fuaireamar gearán an 28 Aibreán 2015 ó dhuine aonair a fuair ríomhphost margaíochta gan iarraidh ní ba luaithe an lá úd ó The Irish Times Limited i bhfoirm nuachtlitir “Get Swimming”. Mhínigh sé gur ghlac sé síntiús don nuachtlitir “Get Swimming” roinnt míonna roimhe sin, agus dúirt sé linn gur dhíliostáil sé uaithi tar éis fháil an tríú nó an ceathrú heagrán ach leas a bhaint as an treoir dhíliostála ag bun na nuachtlitreach. D'éiligh sé ámh gur choinnigh The Irish Times Limited orthu ag seoladh na nuachtlitreach “Get Swimming” dó gach seachtain ina dhiaidh sin, agus lean sé ar aghaidh ag díliostáil ach leas a bhaint as an treoir dhíliostála. Chuir sé in iúl dúinn gur sheol sé ríomhphost chuig Cúram Custaiméirí in The Irish Times Limited an 21 Aibreán 2015 ag iarraidh a bhaint den nuachtlitir, agus thug sé foláireamh go dtuairisceodh sé an cás don Choimisinéir Cosanta Sonraí mura ndéanfaí amhlaidh. D'fhreagair an Cúram Custaiméirí an lá céanna ag maíomh go mbainfidís é den nuachtlitir láithreach bonn. Fuair sé nuachtlitir breis an tseachtain dár gcionn ámh.

Mar fhreagra dár n-imscrúdú, mhaígh The Irish Times Limited gur shaincheist amháin a bhí i gceist leis seo a tháinig aníos trí earráid dhaonna le cumrú an phróisis díliostála, ar deisíodh ina dhiaidh sin é. Dheimhnigh siad go ndeachthas i bhfeidhm ar cheathrar úsáideoirí is trí fichid eile. Thug siad le fios dúinn gur cuireadh nós imeachta i bhfeidhm chun atarlú a chosc.

D'eisigh an Coimisinéir Cosanta Sonraí foláireamh roimhe sin le The Irish Times Limited i mí na Samhna 2012 tar éis imscrúdú gearáin ó dhuine aonair éagsúil i ndáil le ríomhphoist mhargaíochta a fuair sé go leanúnach tar éis dó díliostáil ó fháil na ríomhphost úd.

Chinn an Coimisinéir Cosanta Sonraí chun an chuideachta a ionchúiseamh. Phléadáil The Irish Times Limited ciontach i gcúis amháin de sheoladh ríomhphoist mhargaíochta gan iarraidh gan toiliú ag Cúirt Dúiche Chathrach Bhaile Átha Cliath an 4 Aibreán 2016. D'ordaigh an Chúirt íocaíocht €3,000 i bhfoirm deonaithe charthanachta le Pieta House, agus chuir sí an t-ábhar ar athlá ar feadh seacht seachtaine. D'aontaigh an cosantóir chun costais ionchúisimh an Choimisinéara um Chosaint Sonraí a chumhdach. Thug an cosantóir cruthúnas íocaíochta i leith an deonaithe charthanachta ag an éisteacht ar athlá, agus chaith an Chúirt an chúis amach.

 

19)Cás-Staidéar 19: Ionchúiseamh Coopers Marquees Limited i gCionta Margaíochta

Fuaireamar gearán ó dhuine aonair i mí Mheán Fómhair 2015 faoi ríomhphost margaíocht a fuair sí bhí cúpla seachtain roimhe sin ó Coopers Marquees Limited. Thug an duine céanna gearán dúinn roimhe sin i mí Eanáir 2014 tar éis di ríomhphost margaíochta a fháil ón gcuideachta sin, faoinar mhaígh sé nár thug siú toiliú dá fháil. I gcaitheamh ár n-imscrúdaithe sa chéad ghearán, gheall an chuideachta chun seoladh ríomhphoist an duine a bhaint dá bunachar sonraí margaíochta. Chuireamar conclúid leis an ngearán ach foláireamh a eisiúint don chuideachta gur dhóichí go dtabharfadh an Coimisinéir Cosanta Sonraí ionchúiseamh ina haghaidh dá ndéanfadh sí cion in athuair.

Mar fhreagra dár n-imscrúdú den dara gearán, cuireadh sinn ar an eolas gur bhain feidhmeannach margaíochta nua don chuideachta leas as sealeagan den bhunachar sonraí margaíochta i gcomhair an fheachtais mhargaíochta. Tháinig seoladh an ríomhphoist mhargaíochta chiontaigh dá bharr sin chuig seoladh ríomhphoist an duine ar baineadh a mionsonraí le breis agus bliain amháin anuas. Ghlac an chuideachta nach raibh toiliú aici chun teagmháil a dhéanamh leis an duine i gceist trí ríomhphost agus mhaígh sé gur tharla earráid dhaonna ag an mball foirne nua ba chúis le seoladh an ríomhphoist. Chinn an Coimisinéir Cosanta Sonraí chun an chuideachta a ionchúiseamh.

Phléadáil Coopers Marquees Limited ciontach i gcúis amháin de sheoladh ríomhphoist mhargaíochta gan iarraidh gan toiliú ag Cúirt Dúiche Achadh an Iúir an 7 Meitheamh 2016. D'ordaigh an Chúirt ranníocaíocht arbh ionann agus €300 í mar dheonú carthanachta le Trúpa Gasóg Mhullaigh, agus thug le fios go gcuirfeadh sí An tAcht um Promhadh Ciontóirí i bhfeidhm in ionad ciontaithe. D'aontaigh an chuideachta ba chosantóir chun ranníocaíocht a thabhairt do chostais ionchúisimh an Choimisinéara um Chosaint Sonraí.

 

20) Cás-Staidéar 20: Ionchúiseamh Robert Lynch ag trádáil mar The Energy Centre i gCionta Margaíochta

Thug beirt dhaoine gearán dúinn i mí Eanáir 2015 faoi ghlaonna margaíochta gan iarraidh a fuair siad ó The Energy Centre ar a ngutháin líne talún. B'amhlaidh i leith na beirte gearánaithe a bhí a n-uimhreacha gutháin taifeadta i gClár Bunachair Shonraí Díliostála an Eolaire Náisiúnta (NDD). Thug an chéad ghearánaí le fios dúinn go bhfuair sé glao margaíochta gan iarraidh an 5 Eanáir 2015 inar thairg an glaoiteoir chun stiúradh suirbhé ar a bhail a eagrú chun na críche tionscnaimh choigiltis fuinnimh a mholadh, arbh é The Energy Centre a dhíolfadh leis iad. Dúirt an gearánaí gur inis sé don ghlaoiteoir gan glaoch air arís, agus thug sé le fios go raibh a uimhir ar Chlár Díliostála NDD. Rinne sé gearán trí lá ní ba dhéanaí go bhfuair sé glao margaíochta breise gan iarraidh ó The Energy Centre. I gcás an dara gearánaí, fuair sé glao gutháin mhargaíochta gan iarraidh an 23 Eanáir 2015 ó ghlaoiteoir ó The Energy Centre a d'inis dó go raibh gníomhairí díolachán ina cheantar, agus gur mhian léi coinne a chur in áirithe le go dtabharfadh duine amháin acu cuairt ar a bhaile. Thug an gearánaí céanna gearán dúinn roimhe sin i mí na Samhna 2013 go bhfuair siad glao gutháin mhargaíochta gan iarraidh ón aonán céanna ag an tráth úd. Réitíodh a chéad ghearán go síochánta nuair a fuair sé litir leithscéil, comhartha dea-mhéine agus ráthaíocht gur glacadh bearta chun a chinntiú nach bhfaigheadh sé a thuilleadh glaonna margaíochta.

Thug The Energy Centre le fios mar mhíniú i rith ár n-imscrúdaithe sa dá ghearán a fuarthas i mí Eanáir 2015 go ndearna a shaineolaí TF iniúchadh sa chás, agus gur tháinig sé chun na conclúide gur tharla earráid dhaonna áit ar bith ar feadh na líne nuair a d'aistrigh duine éigin roinnt uimhreacha gutháin ó liosta neamhtheagmhála ar ais go dtí an córas chun teagmháil a dhéanamh leo.

D'eisigh an Coimisinéir Cosanta Sonraí foláireamh le The Energy Centre roimhe sin tar éis imscrúdú gearáin ó dhuine aonair éagsúil i ndáil le glaonna margaíochta gan iarraidh a fuair sé ar ghuthán líne talún agus a uimhir bheith taifeadta ar an gClár Díliostála NDD.

Chinn an Coimisinéir Cosanta Sonraí chun ionchúiseamh a thabhairt. Phléadáil Robert Lynch ag trádáil mar The Energy Centre ciontach i dtrí chúis de ghlaonna gutháin mhargaíochta gan iarraidh a dhéanamh chuig uimhreacha gutháin bheirt dhaoine ar taifeadadh a n-uimhreacha ar Chlár Díliostála NDD ag Cúirt Dúiche Dhroichead Átha an 21 Meitheamh 2016. I ndáil leis an gcéad chás inar glaodh uimhir an ghearánaí faoi dhó trí lá óna chéile, chiontaigh an Chúirt an cosantóir i ndáil leis an gcúis don dara glao gutháin, chuir sí fíneáil €100 chun feidhme, agus ghlac sí san áireamh an chúis eile i ndáil leis an gcéad ghlao gutháin. Chuir an Chúirt an tAcht um Promhadh Ciontóirí i bhfeidhm i ndáil leis an gcúis sa dara cás. D'aontaigh an cosantóir chun costais ionchúisimh an Choimisinéara um Chosaint Sonraí a íoc.

21) Cás-Staidéar 21: Ionchúiseamh Paddy Power Betfair Public Limited Company i gCionta Margaíochta

Thug duine aonair gearán dúinn i mí an Mheithimh 2016 faoi theachtaireachtaí téacs margaíochta a bhí sé ag fáil ó Paddy Power Betfair Plc, agus líomhnaigh sé freisin nach raibh an t-ordú ‘stopadh' ag bun na dteachtaireachtaí téacs ag oibriú freisin. Mhaígh sé nár chuir sé geall riamh le Paddy Power Betfair Plc, ach ba chuimhin leis gur bhain sé leas as a Wi-Fi uair amháin.

D'admhaigh an chuideachta le linn ár n-imscrúdaithe den chás, i dtaca leis an líomhaint nach raibh an t-ordú ‘stop' ag feidhmiú, gur bhain roinnt saincheisteanna teicniúla don tseirbhís dhíliostála dá soláthraí téacs, agus mhaígh gur bheartaigh siad láithreach bonn chun é sin a cheartú ach ar éirigh siad feasacht fúthu sin. Maidir leis an toiliú don mhargaíocht, thug an chuideachta le fios dár n-imscrúdú gur logáil an gearánaí isteach ar an Wi-Fi ag a siopa ar Shráid Bhagóid Íochtarach, Baile Átha Cliath i mí Aibreáin 2016. Thuairiscigh siad an chaoi nach foláir d'úsáideoir uimhir a bhfóin phóca a iontráil sa leathanach isteach, agus go bhfaigheann siad uimhir PIN dá bhfón ina dhiaidh sin chun cur ar a gcumas chun dul ar aghaidh. Tar éis dóibh an PIN a iontráil i gceart, tugtar ticbhosca don chustaiméir chun glacadh leis na téarmaí seirbhíse lena n-áirítear beartas príobháideachais. Tar éis dúinn an cás a iniúchadh, thugamar le fios do Paddy Power Betfair Plc nach bhfacamar fianaise ar bith gur tugadh an deis don úsáideoir chun díliostáil ón margaíocht faoi mar is gá faoi I.R. 336 de 2011 (Na Rialacháin ríomh-Phríobháideachais). Thángamar chun na tuairime nárbh fhéidir leis an gcuideachta a léiriú gur thoiligh an gearánaí go glan soiléir le fáil na cumarsáide margaíochta. Thuig an chuideachta ár seasamh, agus gheall siad chun saothrú lena soláthraithe Wi-Fi chun an ticbhosca margaíochta riachtanach a chur lena leathanach clárúcháin. D'eisiaigh siad láithreach bonn freisin gach uimhir fhóin phóca a fuair siad trí na tairseacha Wi-Fi óna thuilleadh cumarsáide margaíochta.

Chinn an Coimisinéir Cosanta Sonraí chun an chuideachta a ionchúiseamh. Eisíodh foláireamh leis an gcuideachta roimhe sin sa bhliain 2015 tar éis imscrúdú gearáin ó dhuine aonair éagsúil a fuair teachtaireachtaí téacs margaíochta go leanúnach tar éis dóibh díliostáil

Phléadáil Paddy Power Betfair Plc ciontach i gcúis amháin de sheoladh teachtaireachta téacs margaíochta gan iarraidh gan toiliú, agus i gcúis amháin gan bealach bailí a thabhairt don fhaighteoir chun díliostáil óna thuilleadh teachtaireachtaí margaíochta ag Cúirt Dúiche Chathrach Bhaile Átha Cliath an 28 Samhain 2016. In ionad ciontaithe agus fíneála, d'ordaigh an Chúirt don chosantóir ranníocaíocht €500 a thabhairt do Chlann Shíomóin faoi 12 Nollaig 2016, agus chuir sí an t-ábhar ar athlá ar feadh coicíse. D'aontaigh an chuideachta chun costais ionchúisimh an Choimisinéara um Chosaint Sonraí a íoc. Thug an cosantóir cruthúnas íocaíochta i leith an deonaithe charthanachta ag an éisteacht ar athlá, agus chaith an Chúirt na cúiseanna amach.

 

22) Cás-Staidéar 22: Ionchúiseamh Trailfinders Ireland Limited i gCionta Margaíochta

aisceadh gearán linn i mí an Mheithimh 2016 le duine aonair a fuair ríomhphoist mhargaíochta gan iarraidh an tráth úd ó Trailfinders Ireland Limited d'ainneoin gur cuireadh ar an eolas í roimhe sin gur baineadh a seoladh ríomhphoist de bhunachar sonraí margaíochta na cuideachta i mí Lúnasa 2015. D'aithin an chuideachta ina freagra dár n-imscrúdú gur seoladh na ríomhphoist inar sáraíodh an dlí trí dhearmad. Mhínigh siad go bhfuair siad cumarsáid scríofa faoi shaincheist maidir le cúram custaiméirí ón ngearánaí cúpla lá sular seoladh na ríomhphoist mhargaíochta, agus gur nuashonraigh a bhfoireann Cúraim Chustaimeirí a cás i dtaca leis an tsaincheist úd. Tionscnaíodh próiseas uathoibrithe leis an nuashonrú sin, lenar iontráladh seoladh ríomhphoist an ghearánaí ina mbunachar sonraí margaíochta. Ghabh Trailfinders Ireland Limited leithscéal as an earráid chórasach, agus dúirt siad nár cheart go dtarlódh a leithéid faoi chúinsí ar bith.

De bhun gearáin roimhe sin sa bhliain 2015 i gcoinne Trailfinders Ireland Limited ón ngearánaí céanna maidir le ríomhphoist mhargaíochta gan iarraidh nár thoiligh sí leo, bhí an Coimisinéir Cosanta Sonraí tar éis foláireamh a eisiúint don chuideachta i mí Eanáir 2016. Ba tar éis ár n-imscrúdaithe den dara gearán a chinn an Coimisinéir Cosanta Sonraí chun ionchúiseamh a thabhairt i gcoinne na cuideachta.

Phléadáil Trailfinders Ireland Limited ciontach in dá chúis de sheoladh ríomhphoist mhargaíochta gan iarraidh gan toiliú ag Cúirt Dúiche Chathrach Bhaile Átha Cliath an 28 Samhain 2016. In ionad ciontaithe agus fíneála, d'ordaigh an Chúirt don chosantóir ranníocaíocht €500 a thabhairt do Chlann Shíomóin faoi 12 Nollaig 2016, agus chuir sí an t-ábhar ar athlá ar feadh coicíse. D'aontaigh an chuideachta chun costais ionchúisimh an Choimisinéara um Chosaint Sonraí a íoc. Thug an cosantóir cruthúnas íocaíochta i leith an deonaithe charthanachta ag an éisteacht ar athlá, agus chaith an Chúirt na cúiseanna amach.

 

23) Cás-Staidéar 23: Ionchúiseamh Topaz (Local Fuels) Limited i gCionta Margaíochta

Rinne daoine aonair gearán linn i mí Iúil 2016 faoi ghlao gutháin mhargaíochta gan iarraidh a fuair sé ar a fhón póca ó Topaz (Local Fuels) Limited. Rinne sé gearán linn roimhe sin i mí na Samhna 2015 faoi theachtaireachtaí téacs margaíochta a sheol an chuideachta dó gan a thoiliú, agus chuir sé in iúl dúinn in ainneoin iarracht chun díliostáil ach freagra ‘Stop' a sheoladh go raibh sé ag fáil a thuilleadh teachtaireachtaí téacs. Ina bhfreagra dár gcéad imscrúdú, dúirt an chuideachta gur tháinig áireamh uimhir fhóin phóca an ghearánaí lena bhfeachtas chur chun cinn mar thoradh ar earráid dhaonna, agus d'aithin siad an mhainneachtain ina gcóras chun a chuid iarrachtaí díliostála a chlárú. Thug siad le fios dúinn i mí Feabhra 2016 gur bhain siad an uimhir fhóin phóca i gceist dá mbunachar sonraí margaíochta. Chuireamar conclúid leis an ngearán an tráth sin le foláireamh chuig Topaz (Local Fuels) Limited.

Nuair a fuaireamar an dara gearán, chuireamar tús le himscrúdú breise ach míniú a lorg do ghlao gutháin mhargaíochta chuig fón póca an duine aonair sna cúinsí inar tugadh le fios dúinn roimhe sin gur baineadh an uimhir theileafóin de bhunachar sonraí margaíochta na cuideachta. Dúirt an chuideachta gur glaodh ar an uimhir sa lárionad glaonna de bharr í bheith ar liosta custaiméirí ionchasacha/as feidhm a soláthraíodh don lárionad glaonna ó limistéar éigin eile den ghnó. Mhaígh siad nach ndearna siad a ndóthain chun a chinntiú nach dtarlódh teip ina gcórais arís i ndáil leis an duine sin. Ghlac siad leis nár chóir go dtarlódh teagmháil margaíochta eile in uireasa thoiliú an duine aonair. Chinn an Coimisinéir Cosanta Sonraí chun an chuideachta a ionchúiseamh.

Phléadáil Topaz (Local Fuels) ciontach i gcúis amháin de sheoladh teachtaireachta téacs margaíochta gan iarraidh gan toiliú, agus i gcúis amháin gan bealach bailí a thabhairt don fhaighteoir chun díliostáil óna thuilleadh teachtaireachtaí margaíochta ag Cúirt Dúiche Chathrach Bhaile Átha Cliath an 28 Samhain 2016. In ionad ciontaithe agus fíneála, d'ordaigh an Chúirt don chosantóir ranníocaíocht €500 a thabhairt d'Ospidéal Naomh Muire um Leanaí Breoite faoi 12 Nollaig 2016, agus chuir sí an t-ábhar ar athlá ar feadh coicíse. D'aontaigh an chuideachta chun costais ionchúisimh an Choimisinéara um Chosaint Sonraí a íoc. Thug an cosantóir cruthúnas íocaíochta i leith an deonaithe charthanachta ag an éisteacht ar athlá, agus chaith an Chúirt na cúiseanna amach.

 

24) Cás-Staidéar 24: Ionchúiseamh Dermaface Limited i gCionta Margaíochta

Fuaireamar gearán i mí Lúnasa 2016 ó iarchustaiméir le Dermaface Limited tar éis di ríomhphost margaíochta gan iarraidh a fháil. Tugadh le fios don ghearánaí roimhe sin sa bhliain 2014 de bhun gearáin roimhe sin faoi ríomhphoist mhargaíochta gan iarraidh gur bhain Dermaface Limited a mionsonraí dá liosta margaíochta. D'fhéachamar le míniú a fháil ó Dermaface Limited inár n-imscrúdú. Chuir siad in iúl dúinn gur seoladh an ríomhphost margaíochta arbh é ab ábhar don ghearán deireanach trí chóras bogearraí na clinice ar cheannaigh siad. Mhaígh siad go ndeachaigh an córas nua i dteagmháil le hothair agus le hiarothair a dhíliostáil roimhe sin ó fháil cumarsáide margaíochta uathusan. D'admhaigh siad gur dhuine de na hothair/hiarothair úd lenar seoladh ríomhphost margaíochta í an gearánaí. Sheol siad leithscéal don ghearánaí.

Tar éis imscrúdú thiar sa bhliain 2011 ar ghearán ó dhuine aonair éagsúil a fuair roinnt teachtaireachtaí téacs margaíochta ó Dermaface Limited, d'eisigh an Coimisinéir Cosanta Sonraí foláireamh don chuideachta. Chinn an Coimisinéir dá réir chun an chuideachta a ionchúiseamh i ndáil leis an gcion ba dhéanaí.

Phléadáil Dermaface Limited ciontach i gcúis amháin de sheoladh ríomhphoist mhargaíochta gan iarraidh gan toiliú ag Cúirt Dúiche Chathrach Bhaile Átha Cliath an 28 Samhain 2016. In ionad ciontaithe agus fíneála, d'ordaigh an Chúirt don chosantóir ranníocaíocht €300 a thabhairt d'Ospidéal Naomh Muire um Leanaí Breoite faoi 12 Nollaig 2016. Thug an Chúirt le fios freisin go raibh sí ag dúil go nglanfadh an chuideachta na costais ionchúisimh a thabhaigh an Coimisinéir Cosanta Sonraí, agus chuir sí an t-ábhar ar athlá ar feadh coicíse. Thug an cosantóir cruthúnas íocaíochta i leith an deonaithe charthanachta agus i leith chostais an Choimisinéara Cosanta Sonraí ag an éisteacht ar athlá. Chaith an Chúirt amach an chúis.

  1. Cionta margaíochta ag MTS Property Management Limited – ionchúiseamh
  2. Cionta margaíochta ag Greyhound Household – ionchúiseamh
  3. Cionta margaíochta ag Imagine Telecommunications Business Limited – ionchúiseamh
  4. Cionta margaíochta ag Eircom Limited – ionchúiseamh
  5. Fórsaí Cosanta na hÉireann – teip ar shonraí a choimeád slán agus sábháilte
  6. Breis próiseála a dhéanamh ar shonraí pearsanta ag comhlacht stáit
  7. Úsáid iomarcach a bhaint as CCTV ag ollmhargadh chun monatóireacht a dhéanamh ar chomhalta foirne
  8. Faisnéis phearsanta a nochtadh do thríú páirtí ag an Roinn Coimirce Sóisialaí
  9. CCTV ceilte suiteáilte gan an bhainistíocht a bheith curtha ar an eolas
  10. Roinneann Danske Bank faisnéis faoi chuntas le tríú páirtithe go hearráideach
  11. Baineann teip ar sheoladh custaiméara a nuashonrú de rúndacht sonraí pearsanta
  12. Úsáid éagórach a bhaint as sonraí CCTV

Cás-Staidéar 1: Cionta margaíochta ag MTS Property Management Limited – ionchúiseamh

Rinne duine aonair gearán linn i bhFeabhra 2013 ar seoladh teachtaireachtaí margaíochta i dteachtaireachtaí téacs chuici ó MTS Property Management Limited a rinne fógraíocht ar sheirbhísí bainistíochta réadmhaoine na cuideachta. Chuir an gearánaí ar an eolas sinn gur dhéileáil sí leis an gcuideachta uair amháin breis agus cúig bliana ó shin ach níor thug sí toiliú go n-úsáidfí a huimhir ghutháin ar mhaithe le cuspóirí margaíochta. Thug sé le fios, lena chois sin, nár sholáthair na teachtaireachtaí téacs a fuair sí bealach chun diúltú a bheith páirteach.

Rinne imscrúdú fadálach den ghearán a rinneamar ar an ngearán seo mar gheall gur shéan an chuideachta go raibh eolas acu ar an uimhir ghutháin ar seoladh na teachtaireachtaí téacs chuici agus shéan siad go raibh cur amach acu ar shealbhóir cuntais na huimhreach gutháin a sheol na teachtaireachtaí. Ar a shon sin, tháinig ár n-imscrúdú ar dhóthain fianaise lena shásamh dó féin go raibh MTS Property Management Limited freagrach as na teachtaireachtaí margaíochta téacs a sheoladh chuig an ngearánaí. Rinneamar an cinneadh chun ionchúiseamh a dhéanamh i leith na gcionta.

Cuireadh MTS Property Management Limited ar ár n-aird cheana féin i samhradh 2010 nuair a rinne beirt daoine aonair gearán faoi theachtaireachtaí margaíochta téacs gan iarraidh a bheith seolta chucu gan toiliú agus gan meicníocht a bheith ar fáil chun roghnú gan bheith páirteach. I ndiaidh imscrúdú a dhéanamh ar na gearáin siúd, thugamar rabhadh don chuideachta gur dhóchúil go ndéanfaí iad a ionchúiseamh dá ndéanfaidís aon chionta breise faoi Rialachán 13 de I.R. Uimh. 336 de 2011 ag dáta ar bith amach anseo.

Ag Cúirt Dúiche Chathair Bhaile Átha Cliath an 23 Feabhra 2015, phléadáil MTS Property Management Limited ciontach i leith cúiseamh amháin inar seoladh teachtaireachtaí téacs margaíochta gan iarraidh gan toiliú agus phléadáil siad ciontach i leith cúiseamh amháin inar theip orthu meicníocht um roghnú gan bheith páirteach sa teachtaireacht téacs. Chiontaigh an Chúirt an chuideachta sa dá chúiseamh agus ghearr sí dhá fhíneáil €1,000 an ceann uirthi. Chomhaontaigh an cosantóir chun íoc as costais ionchúisimh an Choimisinéara Cosanta Sonraí.

 

Cás-Staidéar 2: Cionta margaíochta ag Greyhound Household – ionchúiseamh

I mBealtaine 2014, rinne duine aonair gearán i gcoinne Greyhound Household ar chuir rannóg díolachán na cuideachta glao guthán margaíochta gan iarraidh air ar a ghuthán póca. Rinne an duine aonair céanna gearán linn roimhe seo i Nollaig 2013 mar gheall go raibh teachtaireachtaí margaíochta téacs á bhfáil aige ó Greyhound Household nár thug sé toiliú lena bhfáil. Chuir sé ar an eolas sinn gur chuir sé deireadh le bheith mar chustaiméir den chuideachta i mBealtaine 2013. Ag eascairt ón imscrúdú a rinneadh ar an ngearán a rinneadh roimhe seo, thug Greyhound Household gealltanas sonraí an iar-chustaiméara a scriosadh agus ghabh siad leithscéal leis i scríbhinn. Ar an mbonn sin, thugamar an cheist chun críche tar éis rabhadh foirmiúil a thabhairt inar sonraíodh gur dhóchúil go ndéanfaí aon chionta a dhéanfaí amach anseo a ionchúiseamh.

I ndiaidh an gearán is déanaí a fháil, chuireamar tús le himscrúdú breise. D'admhaigh Greyhound Household gur cuireadh glao gutháin ar ghuthán póca an ghearánaí gan toiliú ach níorbh fhéidir leo a mhíniú cén fáth nár scriosadh a shonraí ar aon dul leis an ngealltanas a thug an chuideachta roimhe sin. Rinneamar an cinneadh chun ionchúiseamh a dhéanamh i leith an chiona.

Ag Cúirt Dúiche Chathair Bhaile Átha Cliath an 23 Feabhra 2015, phléadáil Greyhound Household ciontach i leith cúiseamh amháin inar cuireadh glao margaíochta gan iarraidh ar uimhir ghuthán póca gan toiliú. Rinne an Chúirt Alt 1(1) den Acht um Promhadh Ciontóirí a chur i bhfeidhm faoi réir go ndearna an cosantóir tabhartas carthanúil €1,000 le Pieta House. Chomhaontaigh an cosantóir chun íoc as costais ionchúisimh an Choimisinéara Cosanta Sonraí.

 

Cás-Staidéar 3: Cionta margaíochta ag Imagine Telecommunications Business Limited – ionchúiseamh

I Márta 2015, rinne cuideachta ar ar chuir Imagine Telecommunications Business Limited glaonna margaíochta gan iarraidh gearán linn. Rinne an chuideachta chéanna gearán linn in 2014 faoi ghlaonna leantacha mangaireachta gutháin a chur ar a hoifigí. In ainneoin gur sheol an chuideachta iarratas um roghnú gan bheith páirteach chuig Imagine Telecommunications Business Limited, leanadh le glaonna gutháin mhargaíochta a chur uirthi. I ndiaidh dúinn imscrúdú a dhéanamh ar an gcéad ghearán, agus i ndiaidh gur dearbhaíodh dúinn gur baineadh uimhir ghutháin chuideachta an ghearánaí ón mbunachar sonraí margaíochta, d'eisíomar rabhadh foirmiúil do Imagine Telecommunications Business Limited gur dhóchúil go ndéanfaí aon chionta a dhéanfaí amach anseo a ionchúiseamh.

Tar éis dúinn imscrúdú a dhéanamh ar an ngearán reatha, chuir Imagine Telecommunications Business Limited ar an eolas sinn gur theip orthu an uimhir ghutháin a bhí i gceist a mharcáil mar ‘ná déan teagmháil leis' ar an dara liosta de dhá liosta ar a raibh sí le sonrú. Mar thoradh air sin, cuireadh glao ar an uimhir arís i Márta agus i Meitheamh 2015. Luaigh siad gurbh í an t-aon chúis gur glaodh ar an uimhir i ndiaidh an rabhaidh a tugadh roimhe sin ná mar gheall ar an earráid seo agus ghlac siad le freagracht iomlán as.

Rinneamar na cionta a ionchúiseamh ag Cúirt Dúiche Chathair Bhaile Átha Cliath an 2 Samhain 2015. Phléadáil Imagine Telecommunications Business Limited ciontach i leith cúiseamh amháin inar cuireadh glao gutháin mhargaíochta gan iarraidh gan toiliú. Rinne an Chúirt Alt 1(1) den Acht um Promhadh Ciontóirí a chur i bhfeidhm faoi réir go ndearnadh tabhartas carthanúil €2,500 le Tionscadal Ché na gCeannaithe. Rinneadh costais an ionchúisimh a aisghabháil ón gcosantóir.

 

Cás-Staidéar 4: Cionta margaíochta ag Eircom Limited – ionchúiseamh

Rinne beirt daoine aonair gearán linn i bhFeabhra agus in Aibreán 2015 maidir le glaonna gutháin mhargaíochta ar chuir Eircom Limited orthu ar a ngutháin líne thalún. Sa dá chás, agus sular sheol siad a ngearáin ar aghaidh, sheol na daoine aonair ríomhphoist chuig Eircom Limited inar iarr siad orthu gan glao orthu arís. Thug Foireann Riaracháin Chúram Custaiméirí Eircom freagra ar gach iarratas agus chuir siad na daoine aonair ar an eolas gur baineadh a n-uimhreacha ó bhunachar sonraí margaíochta Eircom. Ina ainneoin seo, cuireadh glao breise margaíochta ina dhiaidh sin ar gach duine aonair i gcaitheamh na míonna dá éis sin, agus spreag seo a gcuid gearán a dhéanamh leis an Oifig seo.

Chuir Eircom in iúl dár n-imscrúduithe nár nuashonraigh na gníomhairí ina Fhoireann Riaracháin Chúram do Chustaiméirí a láimhseáil na hiarratais um roghnú gan bheith páirteach an córas chun an rogha nua margaíochta a chur i gcuntas i ndiaidh an ríomhphost freagartha a sheoladh chuig na daoine aonair a bhí i gceist. Thug sé gealltanas chun an oiliúint riachtanach athnuachana a chur ar na gníomhairí a bhí i gceist.

Ar leithligh, rinne iar-chustaiméir de chuid Eircom gearán i mBealtaine 2013 gur lean Eircom le glaonna gutháin mhargaíochta gan iarraidh a chur air ar a ghuthán líne thalún in ainneoin gur chuir sé in iúl go soiléir do gach glaoiteoir nár mhian leis go gcuirfear breis glaonna air. Luaigh sé gur cuireadh roinnt glaonna air agus gurbh ionann iad agus ionradh gan údar i leith a phríobháideachais. Lean Eircom le deich nglao gutháin mhargaíochta gan iarraidh a chur ar an duine aonair i ndiaidh gur chuireamar tús le himscrúdú a dhéanamh ar a ghearán. Dheimhnigh ár n-imscrúdú, ina dhiaidh sin, gur ndearna Eircom breis agus 50 teagmháil mhargaíochta leis ó 2009 i leith nuair a stop sé de bheith ina chustaiméir de chuid Eircom. Mhínigh Eircom gur eascair na glaonna leantacha ó mhíthuiscint ar cén córais ar roghnaigh uimhir ghutháin an iar-chustaiméara gan bheith páirteach inti a thuilleadh.

I nDeireadh Fómhair 2014, rinne custaiméir de chuid Eircom gearán gur sheol Eircom teachtaireacht téacs margaíochta chuige nár sholáthair bealach dó lena roghnú gan bheith páirteach i dteachtaireachtaí breise téacs margaíochta a fháil. Chuir Eircom in iúl dár n-imscrúdú ar an ngearán seo gur gnáthchleachtas é bealach lena roghnú gan bheith páirteach i ngach ceann dá fheachtais mhargaíochta leictreonaí ach, sa chás seo, agus i ngeall ar earráid an duine, níor socraíodh i gceart an nasc leis an rogha gan bheith páirteach riachtanach. Dheimhnigh ár n-imscrúdú go ndearna an earráid seo difear do bhreis agus 11,600 teachtaireacht mhargaíochta a seoladh san fheachtas a bhí i gceist.

Leanamar ar aghaidh leis na cionta a sainaithníodh a ionchúiseamh de bhun na ngearán a fuarthas sna cásanna thuasluaite. Ag Cúirt Dúiche Chathair Bhaile Átha Cliath an 2 Samhain 2015, phléadáil Eircom Limited ciontach i leith sé chúiseamh inar cuireadh glaonna margaíochta gan iarraidh gan toiliú agus phléadáil sé ciontach i leith cúiseamh amháin inar seoladh teachtaireacht téacs margaíochta gan seoladh bailí go bhféadfadh an faighteoir iarratas um roghnú gan bheith páirteach a sheoladh chuige. Rinne an Chúirt Alt 1(1) den Acht um Promhadh Ciontóirí a chur i bhfeidhm faoi réir go ndearna an cosantóir tabhartais charthanúla arbh ionann iad ar an iomlán agus €35,000, ina measc: €15,000 le Pieta House, €10,000 le LauraLynn (Ospís Leanaí) agus €10,000 le hOpsidéal Mhuire do Leanaí, Cromghlinn. Chomhaontaigh an chuideachta chun an costais ionchúisimh a íoc a thabhaigh an Oifig seo.

 

Cás-Staidéar 5: Fórsaí Cosanta na hÉireann – teip ar shonraí a choimeád slán agus sábháilte

Rinne comhalta de na Fórsaí Cosanta gearán leis an Oifig seo nár coimeádadh roinnt sonraí pearsanta a bhain leis sábháilte agus slán ag na Fórsaí Cosanta.

Tháinig cúinsí ghearán an duine aonair chun solais dár nOifig nuair a ceapadh Oifigeach Imscrúdaithe Míleata (OIM) chun athbhreithniú a dhéanamh ar ghearán inmheánach a rinne sé mar chomhalta de na Fórsaí Cosanta. Ina dhiaidh sin, ceapadh Ombudsman na bhFórsaí Cosanta chun athbhreithniú a dhéanamh ar phróiseas láimhseála an ghearáin agus, i gcaitheamh athbhreithniú an ghearáin, deimhníodh nach bhféadfadh an OIM sonraí a sholáthar faoi nótaí agallaimh faoinar thug sé leis an ngearánaí mar gheall gur stóráil sé iad ag láthair neamhshlán agus go ndearnadh díobháil dóibh nó gur cailleadh iad i ndiaidh tuile agus buirgléireachta ag an láthair sin nuair a bhí an OIM ar misean thar lear. Ba é teach príobháideach an OIM an láthair neamhshlán, i bhfírinne.

Thugamar an cheist chun solais leis na Fórsaí Cosanta, a dheimhnigh líomhain an ghearánaí gur stóráladh na nótaí ag láthair neamhshlán agus go ndearnadh díobháil dóibh nó gur cailleadh iad, faoi mar a luadh.

Chuir na Fórsaí Cosanta ar an eolas sinn ar na bearta a glacadh chun sonraí a choimeád slán agus sábháilte, agus thagair siad dá nOrdú Riaracháin, a dhéanann soláthar do thoirmeasc a chur ar thaifid a bhaint.

Luaigh na Fórsaí Cosanta, anuas air sin, go sáródh baint taifead óna n-áit choimeádta go dtí áit chónaithe phríobháideach an t-ordú seo agus go bhféadfadh gurbh ionann sárú na forála seo agus cion faoi Alt 168 den Acht Cosanta, 1954. Chuir siad in iúl, mar gheall nach raibh an OIM ag fónamh a thuilleadh mar chomhalta de na Fórsaí Cosanta, nach bhfuil sé faoi réir an dlí mhíleata.

D'aithin na Fórsaí Cosanta go díreach nár cheart gur tharla caillteanas na sonraí sa chás seo agus b'ábhar mór aiféala é. Chuir siad ar an eolas sinn gur thug siad faoi athbhreithniú iomlán, le déanaí, ar chleachtais agus nósanna imeachta maidir le próiseáil agus nochtadh sonraí chun an fhéidearthacht a mhaolú go ndéanfar aon nochtadh neamhúdaraithe nó de thimpiste ar shonraí pearsanta amach anseo.

Eisíodh cinneadh an Choimisinéara sa ghearán seo i Meitheamh 2015, agus deimhníodh gur sháraigh na Fórsaí Cosanta Alt 2(1)(d) de na hAchtanna um Chosaint Sonraí mar gheall gur theip orthu bearta cuí slándála a ghlacadh i gcoinne rochtain neamhúdaraithe ar, nó athrú neamhúdaraithe a dhéanamh ar, nochtadh nó milleadh, shonraí pearsanta an ghearánaí nuair a cheadaigh siad na sonraí a stóráil ag láthair neamhshlán, is é sin, teach príobháideach.

Aithníonn an Oifig seo go bhfuil nósanna imeachta i bhfeidhm ag na Fórsaí Cosanta maidir le sonraí pearsanta a chosaint, faoi mar a leagtar amach ina nOrdú Riaracháin. Níor cloíodh leis na nósanna imeachta siúd sa chás seo, áfach, agus nuair a baineadh taifead oifigiúil dá áit choimeádta, d'eascair gur cailleadh nó gur goideadh sonraí pearsanta an ghearánaí mar gheall nár cloíodh leis na bearta cuí slándála.

Is iomaí cás san áit oibre atá ann ina bhféadfadh gur ghá don fhoireann agus do bhainisteoirí, ach go háirithe, comhaid, sonraí pearsanta ina measc, a thabhairt abhaile leo. Ba cheart a bheith fíor-chúramach i gcónaí sna cásanna siúd lena chinntiú nach ann d'aon riosca i leith shlándáil na sonraí pearsanta cibé acu fad a bhíonn na comhaid á n-iompar nó fad a bhíonn na comhaid i dteach an fhostaí. Ní mór do rialaitheoirí sonraí a chinntiú go ngníomhaíonn fostaithe ar bhealach freagrach maidir le coimeád agus láimhseáil shlán chomhaid na háite oibre. Teastaíonn córas ceart uaidh seo ina gcuirtear i dtaifead comhaid a ghlacadh agus a thabhairt ar ais agus na nósanna imeachta forordaithe a leanúint chun sonraí pearsanta a choimeád slán fad nach mbíonn na comhaid san áit oibre. Ar an gcuma chéanna, is ríthábhachtach go gcuirtear toirmeasc ar fhostaithe ó chomhaid oifigiúla a sheoladh ar ríomhphoist óna gcuntas ríomhphoist áit oibre chuig a gcuntas ríomhphoist pearsanta chun tabhairt faoi obair i ndiaidh uaireanta oibre nó ar chúis ar bith eile. Sna cásanna siúd, ní bhíonn smacht ag rialaitheoirí sonraí ar shonraí pearsanta a leagann an dlí dualgas orthu a chosaint.

 

Cás-Staidéar 6: Breis próiseála a dhéanamh ar shonraí pearsanta ag comhlacht stáit

I bhFeabhra 2015, rinne fostaí de chuid comhlacht stáit gearán linn maidir le próiseáil líomhnaithe éagórach a shonraí pearsanta. Luaigh an gearánaí, i gcaitheamh cruinnithe, gur cuireadh in iúl dó gur iarr a bhainisteoir rochtain ar a shonraí óna svaidhpchárta slándála d'fhonn iad a chur i gcomparáid lena bhileoga ama a chomhlánaigh sé de láimh. Mhínigh an gearánaí gur tugadh faoi seo gan dul i gcomhairle leis nó lena bhainisteoir líne roimh ré. I dtaobh cúlra de, chuir an gearánaí ar an eolas sinn gurb ar mhaithe le rochtain a fháil ar an bhfoirgneamh agus ar limistéir shlána amháin a úsáideann na fostaithe na svaidhpchártaí, agus nach n-úsáidtear iad mar chóras bainistíochta ama/tinrimh.

Lorgaíomar míniú ón gcomhlacht a bhí i gceist maidir le conas a mheas siad a chomhlíon siad a chuid dualgas faoi na hAchtanna um Chosaint Sonraí agus faisnéis phearsanta an ghearánaí á próiseáil a fuarthas ó na sonraí a bhí ar a svaidhpchárta. Chuireamar in iúl don chomhlacht, anuas air sin, go raibh an mhír ábhartha dá lámhleabhar foirne léite againn agus gur thugamar faoi deara nach raibh aon tagairt ann don svaidhpchárta a úsáid ar mhaithe le tinreamh a sheiceáil.

Fuaireamar freagra inar míníodh gur tugadh na sonraí ón svaidhpchárta a bhain leis an ngearánaí do bhainisteoir an ghearánaí le dea-intinn ar an mbonn gurbh ionann agus sonraí corparáideacha, seachas sonraí pearsanta a bhí i gceist. Dheimhnigh an eagraíocht, anuas air sin, gur sheiceáil siad an lámhleabhar foirne agus aon fhaisnéis eile a d'fhéadfaí a scaipeadh ar an bhfoireann i dtaobh chuspóirí an svaidhpchárta agus nár luadh úsáid svaidhpchártaí maidir le ham nó tinreamh a chur i dtaifead in áit ar bith. Chuir an comhlacht in iúl go raibh an fhaisnéis a scaipeadh maidir le svaidhpchártaí dírithe ar shlándáil agus rochtain amháin.

I ndiaidh breithniú a dhéanamh ar an bhfreagra a fuarthas, anuas ar ábhar an ghearáin, chuireamar an eagraíocht ar an eolas gur mheasamar gur sáraíodh na hAchtanna um Chosaint Sonraí nuair a soláthraíodh sonraí svaidhpchárta an fhostaí dá bhainisteoir chun a uaireanta oibre a fhíordheimhniú. Thagraíomar d'fhorálacha Alt 2(1)(c)(ii) de na hAchtanna um Chosaint Sonraí, ina luaitear nár cheart próiseáil bhreise a dhéanamh ar shonraí ar bhealach nach bhfuil comhoiriúnach don chuspóir lena bhfuarthas iad. Nuair a chuirtear san aireamh gur mheasamar gur sháraigh próiseáil na faisnéise a bhí i gceist na hAchtanna um Chosaint Sonraí, 1988 agus 2003, lorgaíomar dearbhú go scriosfaí gach taifead ríomhphoist a cruthaíodh maidir le próiseáil bhreise na sonraí svaidhpchárta a bhí i gceist óna chórais; soláthraíodh an dearbhú seo mar ba chuí.

Chomhaontaigh an gearánaí sa chás seo, mar réiteach cairdiúil lena ghearán, go nglacfadh sé le leithscéal scríofa óna fhostóir. Aithníodh sa leithscéal seo gur sáraíodh cearta um chosaint sonraí an ghearánaí agus deimhníodh ann gur ghlac an eagraíocht bearta lena chinntiú nach dtarlóidh an saghas seo d'earráid arís amach anseo.

Tugann an cás seo an cathú a bhíonn ar eagraíochtaí chun sonraí pearsanta a úsáid a chuirtear ar fáil dóibh ar mhaithe le cuspóir eile seachas an cuspóir dá bhfuarthas agus dá bpróiseáladh na sonraí siúd i dtosach báire. Tagann an cás a dtugtar cuntas thuas air chun solais go minic, ar an drochuair. Is dealraitheach go mbaineann deacracht le monatóireacht a dhéanamh ar am agus ar thinreamh do bhainisteoirí, agus tagann saincheisteanna conspóideacha aníos ó thráth go chéile. Nuair a bhíonn na saincheisteanna siúd á réiteach, níor cheart go ndéanfaí sárú ar chearta um chosaint sonraí fostaithe faoina mhacasamhail de chúinsí nó faoi chúinsí éagsúla leo siúd a sonraíodh sa chás seo.

 

Cás-Staidéar 7: Úsáid iomarcach a bhaint as CCTV ag ollmhargadh chun monatóireacht a dhéanamh ar chomhalta foirne

Chuir iar-chomhalta foirne d'ollmhargadh gearán faoi bhráid na hOifige seo maidir leis an úsáid a bhain a fostóir as CCTV.

Chuir an gearánaí ar an eolas sinn go ndearna a fostóir í a dhífhostú mar gheall gur chlúdaigh sí ceamara CCTV le mála páipéir i gceaintín na foirne. Chui sí ar an eolas sinn gurbh í an chúis a chlúdaigh sí an ceamara CCTV go ndearna comhghleacaí í a stíleáil i gceaintín na foirne fad a bhí sí ar sos oifigiúil. Luaigh an gearánaí, anuas air sin, gur suiteáladh an ceamara i gcúinne cheaintín na foirne agus nach raibh aon chomharthaíocht ann leis an bhfoireann a chur ar an eolas go raibh faireachas ar bun. Chuir sí ar an eolas sinn nár cuireadh ar an eolas go hoifigiúil riamh í gurbh ann don cheamara ná níor chuir a fostóir ar an eolas í ar chuspóir an CCTV sa cheaintín.

Mar fhreagairt ar ár n-imscrúdú, chuir an t-ollmhargadh ar an eolas sinn gur dífhostaíodh an gearánaí i ngeall ar mhí-iompar tromchúiseach a tharla nuair a chlúdaigh sé an ceamara sa cheaintín le mála plaisteach chun cosc a chur ar a gníomhartha a thaifeadadh, agus gur sáraíodh beartas ionracais an siopa faoi mar a dtugtar breac-chuntas air sa lámhleabhar. Chuir úinéir an ollmhargaidh ar an eolas sinn go ndearnadh ceamaraí CCTV a oibriú laistigh den timpeallacht mhiondíola chun cosc a chur ar chrapadh, ar féidir leis titim amach i ngeall ar ghoid ag custaiméirí, cur amú agus goid ag an bhfoireann. Luaigh sé gur úsáideadh é, chomh maith leis sin, ar mhaithe le sláinte agus sábháilteacht, chun bulaíocht agus ciapadh a chomhrac agus ar mhaithe le sláinteachas foriomlán an cheaintín. Maidir leis an teagmhas a bhain leis an ngearánaí, chuir an t-úinéir ar an eolas sinn, ar an lá a bhí i gceist, gur thug bainisteoir an tsiopa faoi deara go raibh roinnt custaiméirí ag gníomhú go hamhrasach timpeall ar an limistéar saincheadúnais agus go ndearnadh an píosa scannáin CCTV a athbhreithniú an lá dar gcionn. Fad a bhíothas ag amharc ar an bpíosa scannáin a bhain leis an ngníomhaíocht amhrasta sa limistéar saincheadúnais, thug sé an gearánaí faoi deara agus an ceamara á chlúdach ag mála.

I ndiaidh do dhuine dár nOifigigh Údaraithe imscrúdú a dhéanamh, chuireamar úinéir an ollmhargaidh ara n eolas, inár dtuairim, nach raibh aon údar ó pheirspictíocht slándála de, le ceamara a bheith suiteáilte i limistéar an cheaintín.

Dhiúltaigh an gearánaí sa chás seo tairiscint de réiteach cairdiúil agus d'iarr sí ar chinneadh foirmiúil an Choimisinéara.

Dheimhnigh cinneadh an Choimisinéara in Eanáir 2015 gur sháraigh an t-ollmhargadh Alt 2(1)(c)(iii) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003, trí phróiseáil iomarcach a dhéanamh ar shonraí pearsanta an ghearánaí trí cheamara CCTV i gceaintín na foirne.

Bíonn cathú ar rialaitheoirí sonraí faisnéis phearsanta a úsáid a ghabhtar ar chórais CCTV ar mhaithe le réimse iomlán cuspóirí. Bíonn cúiseanna ag go leor gnólachtaí ar féidir údar a thabhairt leo, a bhaineann le slándáil de ghnáth, chun córais CCTV a úsáid ar a n-áitreabh ach má bhaintear aon úsáid bhreise as sonraí pearsanta a ghabhtar ar an mbealach seo, tá an dlí á shárú faoi na hAchtanna um Chosaint Sonraí murar chuir an rialaitheoir sonraí in iúl, ar a laghad, ag tráth an taifeadta, gur féidir íomhánna a gabhadh a úsáid do na cuspóirí breise siúd, anuas ar chothromaíocht a bhaint amach idir cearta bunúsacha fostaithe i leith príobháideachais ag an obair i gcásanna áirithe, ar nós ceaintíní foirne agus seomraí feistis.

 

Cás-Staidéar 8: Faisnéis phearsanta a nochtadh do thríú páirtí ag an Roinn Coimirce Sóisiala

Rinneadh gearán leis an Oifig seo in Iúil 2014 a bhain le nochtadh neamhúdaraithe líomhnaithe d'fhaisnéis phearsanta an ghearánaí ag an Roinn Coimirce Sóisialaí le tríú páirtí. Chuir an gearánaí ar an eolas sinn, i gcaitheamh éisteacht an Bhinse Achomhairc Fostaíochta, gur sholáthair a fostóir don éisteacht ráiteas um shochar breoiteachta a bhain léi. Cuimsíodh sa ráiteas faisnéis ar nós a hainm, a seolta, a UPSP, a dáta breithe, a sonraí bainc agus líon na gcleithiúnaithe linbh. Luaigh sí gur fiafraíodh dá fostóir conas a fuair sé an ráiteas um shochar breoiteachta seo. Luaigh sé gur chuir sé glao ar an Roinn Coimirce Sóisialaí agus gur seoladh an ráiteas chuige ina dhiaidh sin ar ríomhphost. Sula ndearna sí an gearán leis an Oifig seo, gabhadh leithscéal leis an ngearánaí, trína haturnaetha, ón Roinn, a d'aithin gur nochtadh a sonraí go hearráideach agus nár leanadh nósanna imeachta cearta. Chuir sí ar an eolas sin go raibh fíor-bheagán faisnéise aici maidir le conas a tharla an nochtadh agus gur chruthaigh an cheist suaitheadh suntasach di.

Chuireamar tús le himscrúdú trí scríobh chuig an Roinn Coimirce Sóisialaí. Mar fhreagairt, luaigh an Roinn gur ghlac sí leis gur nochtadh ráiteas um shochar breoiteachta d'fhostóir an ghearánaí go hearráideach de bhun glao gutháin a chuir an fostóir ar an Roinn. D'aithin an Roinn nár cheart gur seoladh an fhaisnéis chuig an bhfostóir agus nár leanadh na nósanna imeachta cearta an babhta seo. Luaigh an Roinn nach raibh an comhalta foirne a sholáthair an fhaisnéis ag oibriú sa Roinn ach ar feadh tamaill. Mhínigh an Roinn nárbh ionann agus gnáthchleachtas é chun gabháil scáileáin a eisiúint don fhostóir, ba é an nós imeachta ceart chun ráiteas a eisiúint don fhostaí anuas ar nóta a chuireann an fostaí ar an eolas gur iarr a bhfostóir ar an bhfaisnéis.

Roghnaigh an t-ábhar sonraí gach glacadh le leithscéil ón Roinn mar réiteach cairdiúil ar a gearán um chosaint sonraí, agus roghnaigh sí, ina ionad sin, chun cinneadh foirmiúil a lorg ón gCoimisinéir Cosanta Sonraí.

Eisíodh cinneadh an Choimisinéara Cosanta Sonraí i nDeireadh Fómhair 2015. Ina cinneadh, bhí an Coimisinéir faoin tuairim gur sháraigh an Roinn Coimirce Sóisialaí Alt 2(1)(c)(ii) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 mar gheall go ndearnadh próiseáil bhreise ar shonraí pearsanta an ghearánaí ar bhealach nach raibh comhoiriúnach don chuspóir lena bhfuarthas iad. Tharla an sárú nuair a nocht an Roinn Coimirce Sóisialaí sonraí pearsanta an ghearánaí do thríú páirtí neamhúdaraithe.

Is ionann an cás seo agus meabhrúchán do rialaitheoirí sonraí ar an tábhacht a bhaineann lena chinntiú go gcuirtear an oiliúint iomlán ar an bhfoireann nua agus go ndéantar iad a mhaoirsiú i ngach tasc a dhéanann siad, go háirithe sna tascanna siúd lena mbaineann sonraí pearsanta a phróiseáil. Cruthaíonn earráidí ag an bhfoireann ardriosca i leith sáruithe ar shonraí ar bhonn leanúnach agus tá sé ríthábhachtach go ndéantar iarrachtaí chun maolú a dhéanamh i gcoinne na rioscaí siúd trí fheasacht um chosaint sonraí a chur chun cinn ar fud na heagraíochta, agus béim ar leith ar fhoireann nua nó athshannta.

 

Cás-Staidéar 9: CCTV ceilte suiteáilte gan an bhainistíocht a bheith curtha ar an eolas

Rinne foireann Ospidéal Ginearálta Leitir Ceanainn gearán leis an Oifig seo maidir le faireachas ceilte CCTV ag an mbainistíocht laistigh de Rannóg Chothabhála Ospidéal Ginearálta Leitir Ceanainn.

Chomh maith leis sin, fuaireamar ‘Tuairisc Theagmhais um Shárú Sonraí' ó Fheidhmeannacht na Seirbhíse Sláinte (FSS) faoin gceist seo. Cuireadh i gcuntas sa tuairisc seo ar shárú an teagmhas mar ‘Faireachas Neamhúdaraithe CCTV ar Limistéar na hOifige' agus luadh inti gur shuiteáil beirt saoistí cothabhála ceamara ceilte CCTV ina n-oifig beirt fhear mar gheall ar bhuarthaí a raibh orthu maidir le slándáil a n-oifige.

Chuireamar tús le himscrúdú ar an ngearán trí scríobh chuig Feidhmeannacht na Seirbhíse Sláinte (FSS), ina dtugtar breac-chuntas ar shonraí an ghearáin. Lorgaíomar faisnéis ó FSS a bhain leis na socruithe tuairiscithe idir an fhoireann chothabhála in Ospidéal Ginearálta Leitir Ceanainn agus an saoiste cothabhála a shuiteáil an CCTV ceilte; an áit ar ghabháil an píosa scannáin CCTV ceilte; toradh an imscrúdaithe inmheánaigh; conas a suiteáladh an CCTV ceilte gan fógra a thabhairt do lucht bainistíochta Ospidéal Ginearálta Leitir Ceanainn; agus sonraí faoi aon ordú nó fógra a eisíodh don fhoireann de bhun imscrúdú inmheánach.

Mar fhreagairt, luaigh FSS gur mhaoirseoirí díreacha fhoireann na rannóige cothabhála a bhí sna saoistí a shuiteáil an ceamara agus go raibh an píosa scannáin a taifeadadh stóráilte ar DVD agus go raibh sé á choimeád i dtaisceadán faoi ghlas. Luaigh sa tuairisc, lena chois sin, go raibh sé ina chonclúid ag imscrúdú inmheánach gur shuiteáil beirt chomhaltaí foirne an CCTV ceilte gan údarás, toiliú nó eolas lucht bainistíochta Ospidéal Ginearálta Leitir Ceanainn, i ngeall ar bhuarthaí a bhain le rochtain/slándáil neamhúdaraithe ina n-oifig. Dheimhníomar gur suiteáladh an ceamara a bhí faoi chaibidil roimhe sin i limistéar den ospidéal nach n-úsáidtear faoi láthair, go ndearnadh é a dhíchoimisiúnú agus gur athshuiteáladh é san oifig atá i gceist.

Anuas ar a dheimhniú gur ghabháil an píosa scannáin a ghabháil an ceamara ceilte gnáthghníomhaíochtaí laethúla isteach agus amach ón oifig cothabhála, luaigh FSS gurbh ionann seo agus gníomh neamhúdaraithe ag an bhfoireann sa rannóg cothabhála agus go raibh siad an-fheasach ar a ndualgas i leith na foirne uile chun áit oibre a sholáthar atá saor ó fhaireachas neamhúdaraithe. Dheimhnigh FSS go gcuirfidís tús le bearta lena chinntiú nach dtarlódh an gníomh seo arís.

Ghabh leithscéal scríofa leis na gearánaithe, ina dhiaidh sin, inar dheimhnigh siad gur milleadh na taifeadtaí, chomh maith.

Eisíodh cinneadh an Choimisinéara Cosanta Sonraí in Aibreán 2015. Ina cinneadh, bhí an Coimisinéir faoi tuairim gur sháraigh FSS Alt 2(1)(a) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 mar gheall gur theip orthu sonraí daoine aonair a fháil nó a phróiseáil, ar ghabh agus ar thaifead CCTV ceilte a n-íomhánna a suiteáladh i ngan fhios dóibh nó gan a dtoiliú.

Ní gnách go gceadaítear faireachas ceilte ach ar bhonn cás ar chás, sa chás go gcoimeádtar na sonraí ar mhaithe le cosc a chur ar chionta, cionta a bhrath nó imscrúdú a dhéanamh ar chionta, nó chun ciontóirí a ghabháil nó a ionchúiseamh. Tugann seo le fios nach mór beartas sonrach scríofa a chur i bhfeidhm ina sonraítear an cuspóir, an fírinniú, na nósanna imeachta, na bearta agus na cosaintí a chuirfear i bhfeidhm maidir le faireachas ceilte arb é an cuspóir deiridh go mbíonn baint ghníomhach ag an nGarda Síochána nó ag údarás ionchúisimh eile. Is soiléir gur cheart go ndéanfadh rialaitheoir sonraí aon chinneadh chun ceamaraí ceilte a shuiteáil mar rogha deiridh i ndiaidh triail a bhaint as gach beart imscrúdaithe uile eile atá ar fáil.

 

Cás-Staidéar 10: Roinneann Danske Bank faisnéis faoi chuntas le tríú páirtithe go hearráideach

Rinneadh gearán linn i gcoinne Danske Bank inar líomhnaíodh gur nocht sé sonraí pearsanta agus faisnéis chuntais maidir le morgáiste ar réadmhaoin a bhí faoi úinéireacht an ghearánaí le tríú páirtithe. Chuireamar tús le himscrúdú na ceiste trí scríobh chuig Danske Bank agus cuntas a thabhairt dóibh ar shonraí an ghearáin. Fuaireamar freagra mear ó Danske Bank, inar luadh gur chomhiasachtaithe an gearánaí agus an duine aonair a fuair a shonraí pearsanta ar shaoráidí áirithe iasachta agus gurb i gcaitheamh cumarsáid ríomhphoist a dhéanamh leis an duine aonair eile maidir le riaráistí iasachta an duine aonair sin gur nochtadh na sonraí pearsanta a bhain leis an ngearánaí do dhá thríú páirtí. D'admhaigh Danske Bank gurbh ionann seo agus earráid thar a gceann agus luaigh siad go raibh an mí-ádh orthu gur tharla sé. Lean siad ar aghaidh lena mhíniú, fad a bhí siad ag déileáil leis na ceisteanna a thug an duine aonair eile chun solais maidir lena riaráistí agus a nochtadh iomlán le Danske Bank, chuir an bainisteoir caidrimh faisnéis san áireamh, chomh maith, ar gach riaráiste maidir le ceangail an duine aonair sin, an gearánaí ina measc. Léirigh an comhalta foirne a bhí i gceist go raibh aiféala air gur tharla an teagmhas agus dheimhnigh Danske Bank gur mheabhraíodh don chomhalta foirne a chuid nósanna imeachta maidir le cosaint sonraí agus an gá a bheith aireach nuair a dhéileáiltear le sonraí pearsanta custaiméirí. Ghabh Danske Bank leithscéal as an teagmhas agus dhearbhaigh sé go dtabharfadh sé faoin chinntiú nach dtarlódh a leithéid arís amach anseo.

Luaigh Danske Bank, lena chois sin, go raibh rialúcháin dhaingne i bhfeidhm aige lena chinntiú nach dtarlaíonn na teagmhais sin; ach d'admhaigh sé, áfach, in ainneoin na rialúchán siúd, gurbh earráid an duine a bhí i gceist leis an gcás seo agus níor chreid sé go ndearnadh an earráid d'aon turas ar bhealach ar bith.

D'iarr an gearánaí go n-eiseodh an Coimisinéir Cosanta Sonraí cinneadh foirmiúil ar a ghearán. Eisíodh cinneadh an Choimisinéara in Eanáir 2015, agus luadh ann, i ndiaidh imscrúdú a dhéanamh ar an ngearán, gur sháraigh Danske Bank Alt 2(1)(d) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 trí shonraí pearsanta an ghearánaí a nochtadh do líon tríú páirtithe gan é a bheith curtha ar an eolas nó toiliú a bheith tugtha aige.

Léiríonn an cás seo gur gá d'institiúidí airgeadais a bheith aireach nuair a dhéileálann siad le sonraí pearsanta daoine aonair a bhfuil caidreamh coiteann baincéireachta acu le daoine eile, agus lena chinntiú go bhfuil na cosaintí cuí i bhfeidhm chun cosc a chur ar shonraí pearsanta a roinnt go hearráideach nó de thimpiste.

 

Cás-Staidéar 11: Baineann teip ar sheoladh custaiméara a nuashonrú de rúndacht sonraí pearsanta

Rinneadh gearán leis an Oifig seo gur theip ar Bhanc-Aontas Éireann (AIB) sonraí pearsanta an ghearánaí a choimeád cothrom le dáta i gcaitheamh tréimhse fhadálach, in ainneoin gur iarr an duine aonair go ndéanfaí amhlaidh, agus gur theip orthu slándáil fhaisnéis phearsanta an duine aonair a choimeád. Chuir an gearánaí ar an eolas sinn gur iarr sé go leanúnach ar AIB chun a shonraí seolta a nuashonrú ach gur theip orthu amhlaidh a dhéanamh. Mar thoradh air sin, leanadh lena chomhfhreagras ó AIB a sheoladh chuig a iar-sheoladh. Líomhnaigh an gearánaí, ag eascairt ón teip ar AIB chun a sheoladh a nuashonrú, gur nochtadh a chomhfhreagras inar cuimsíodh a shonraí pearsanta, a sheol AIB chuig a iar-sheoladh, do thríú páirtithe anaithnid ag a iar-sheoladh.

Chuireamar tús le himscrúdú na ceiste trí scríobh chuig AIB, agus cuntas a thabhairt ar shonraí an ghearáin. Dheimhnigh AIB dúinn, i ngeall ar chliseadh ar phróisis inmheánacha, nár nuashonraíodh seoladh comhfhreagrais an ghearánaí ar a gcórais go léir ar bhealach tráthúil, as ar eascair gur leanadh le litreacha uathoibrithe riaráistí a eisiúint do sheanseoladh. Faoi chúinsí inar cuireadh in iúl do AIB gur athraigh an gearánaí a sheoladh, sásaíodh dár n-imscrúdú gur theip ar sheoladh leanúnach comhfhreagrais sa phost nó comhfhreagras a sheachadadh de láimh ag AIB a bhí beartaithe don ghearánaí, chuig an iar-sheoladh sonraí pearsanta an ghearánaí a choimeád slán i gcoinne rochtain neamhúdaraithe ag páirtithe a raibh rochtain acu ar an mbosca litreacha ag an iar-sheoladh.

Níor éirigh le hiarrachtaí chun an gearán a réiteach trí réiteach cairdiúil agus lorg an gearánaí cinneadh foirmiúil. Ina cinneadh, bhí an Coimisinéir faoin tuairim gur sháraigh AIB Alt 2(1)(b) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 mar gheall gur theip orthu sonraí pearsanta an ghearánaí a choimeád cothrom le dáta. Tharla an sárú seo nuair a theip ar AIB iarsheoladh an ghearánaí a bhaint óna chuntas in ainneoin gur chuir sé in iúl amhlaidh a dhéanamh. Bhí an Coimisinéir faoin tuairim, chomh maith, gur sháraigh AIB Alt 2(1)(d) mar gheall gur theip ar bearta slándála tosaíochta a ghlacadh i gcoinne rochtain neamhúdaraithe i leith shonraí pearsanta an ghearánaí trí chomhfhreagras a sheoladh sa phost agus a sheachadadh de láimh chuig seoladh nár chónaigh sé ann a thuilleadh, agus é sin a dhéanamh agus AIB feasach air nárbh é seo a sheoladh cónaithe a thuilleadh.

Léiríonn an cás seo an gá atá leis go gcinntíonn gach rialaitheoir sonraí go gcoimeádtar sonraí pearsanta cruinn agus cothrom le dáta ag gach tráth. Má theipeann orthu amhlaidh a dhéanamh, d'fhéadfaí sonraí pearsanta a nochtadh do dhaoine neamhúdaraithe anuas ar bheith ina údar le suaitheadh agus buairt neamhriachtanach ar ábhair shonraí a nuashonraigh an rialaitheoir sonraí leis an bhfaisnéis is cruinne, seachas nach raibh na cosaintí riachtanacha i bhfeidhm chun cosc a chur ar chomhghéilleadh a dhéanamh ar a sonraí pearsanta trí iar-sheoladh a úsáid, faoi mar a tharla sa chás seo.

 

Cás-Staidéar 12: Úsáid éagórach a bhaint as sonraí CCTV

Ba é ábhar an ghearáin seo gur bhain an rialaitheoir sonraí úsáid as píosa scannáin CCTV i bpróiseas disciplíne ina raibh duine dá thiománaithe i gceist. Chuir an rialaitheoir sonraí, Aircoach, go raibh athbhreithniú á dhéanamh aige ar phíosa scannáin CCTV ó cheann dá chóistí fad a bhíothas ag déileáil le saincheist neamhghaolmhar ghearáin ó chustaiméir nuair a thug an rialaitheoir sonraí faoi deara go raibh a guthán póca a úsáid ag tiománaí fad a bhí cóiste á thiomáint aici.

Faoi mar a bhíonn i gceist go minic i dtaobh na ngearán seo, chuir an gearánaí in aghaidh an phíosa scannáin CCTV a úsáid i bpróiseas disciplíne faoinar thug Aircoach ina leith. Ba é bunús a haighneachta ná go bhfuarthas an fhianaise seo ar bhealach éagórach.

Chuir Aircoach ar an eolas sinn gur thug sé CCTV isteach ar fud a fhlít d'fhonn feabhas breise a chur ar shábháilteacht agus slándáil don fhoireann agus do chustaiméirí araon. Thug sé le fios, ina theannta sin, go gcuirtear an fhoireann go léir ar an eolas go bhfuil CCTV suiteáilte agus ar na cúiseanna atá le úsáid, ach d'admhaigh sé nach ndearnadh iarrachtaí suntasacha ach go dtí lár na bliana 2014 chun an fhoireann agus na custaiméirí a chur ar an eolas go hiomlán maidir le láithreacht CCTV ar a chóistí.Sholáthair Aircoach cóip dúinn dá bheartas nua CCTV agus sholáthair sé grianghraif dúinn ar a dtaispeántar an chomharthaíocht CCTV ag doirse iontrála na gcóistí, agus luaigh sé, anuas air sin, gur cuireadh tús leis an bpróiseas inar cuireadh an chomharthaíocht chuí i bhfeidhm ar a chóistí in Eanáir 2014 agus gur tugadh chun críche é faoi Dheireadh Fómhair 2014.

Foráiltear don dlí a rialaíonn próiseáil sonraí pearsanta, íomhánna CCTV ina measc, faoi Alt 2 de na hAchtanna um Chosaint Sonraí, 1988 agus 2003. Is éard atá i gceist le próiseáil, i measc rudaí eile, sonraí pearsanta a fháil agus a úsáid ag rialaitheoir sonraí agus ní mór go mbeadh sé dlisteanach trí thagairt a dhéanamh do cheann amháin de na coinníollacha a dtugtar cuntas orthu faoi Alt 2A(1) de na hAchtanna. Anuas air sin, ní mór do rialaitheoir sonraí na ceanglais um próiseáil chóir a shásamh a leagtar amach faoi Alt 2D(1) de na hAchtanna, a cheanglaíonn go soláthraítear faisnéis áirithe ríthábhachtach d'ábhar sonraí sula gcuirtear aon sonraí pearsanta i dtaifead.

Dheimhnigh an t-imscrúdú sa chás seo, ag tráth an teagmhais ábhartha an 19 Feabhra 2014, go raibh tús curtha le tabhairt isteach na Comharthaíochta CCTV ag Aircoach; ach gur theip ar an gcuideachta an fhoireann a chur ar an eolas go hiomlán go bhféadfadh go n-úsáidfí CCTV in imeachtaí disciplíneacha. Ba cheart go dtabharfaí faoi aon mhonatóireacht ar iompar fostaithe trí cheamaraí CCTV a úsáid faoi chásanna eisceachtúla seachas mar ghnáthamh agus ní mór gurb ionann agus freagairt chomhréireach í ag fostóir ar an riosca a bhíonn i gceist, agus aird á tabhairt ar an bpríobháideachas dlisteanach agus ar leasanna eile oibrithe. Sa chás seo, nuair a bhí íomhá an ghearánaí á próiseáil, ní raibh Aircoach feasach ar aon riosca ar leith a chruthófaí agus, faoi mar a d'admhaigh sé féin, bhí ceist neamhghaolmhar á imscrúdú aige. Cé gur tharla, ina dhiaidh sin, gur theagmhas an-tromchúiseach a bhí sa teagmhas a bhí i gceist, ina raibh úsáid líomhnaithe guthán póca ag tiománaí fad a bhí sí ag tiomáint i gceist, níor tugadh le fios in aon chor ag tráth féin na próiseála gurbh amhlaidh a bhí i gceist agus bhain easpa fírinnithe leis an bpróiseáil dá bharr. Sa mhullach air sin, níor comhlíonadh na ceanglais um próiseáil chóir a leagtar amach in Alt 2D agus níor tugadh fógra cóir i leith na próiseála ar mhaithe le himeachtaí disciplíne, go sonrach, do thiománaithe a bhféadfadh gur gabhadh a n-íomhánna agus a bhféadfadh go n-úsáidfí ina leith iad. Faoi na cúinsí siúd, ní fhéadfaí a mhaíomh go ndearnadh an phróiseáil i gcomhlíonadh na nAchtanna agus ba dhealraitheach don Choimisinéir gur sáraíodh Alt 2(1)(a).

Is tábhachtach a thabhairt faoi deara go mbraitheann próiseáil íomhánna CCTV in imeachtaí disciplíneacha i gcoinne fostaí go mór ar chúinsí. Ar an ábhar sin, cé gur deimhníodh gur sháraigh an fostóir na hAchtanna mar gheall gur próiseáladh na híomhánna gan cúis inchosanta nó gan fógra cóir don fhostaí a bhí faoi chaibidil, faoi chúinsí eile, d'fhéadfaí caitheamh leis an bpróiseáil amhail bheith i gcomhréir agus cóir, go háirithe má dhéantar an phróiseáil mar fhreagairt ar chás práinneach agus go bhfuil na nósanna imeachta cearta i bhfeidhm ag an bhfostóir. Ba cheart go mbeadh fostóirí cúramach lena chinntiú go bhfuil beartas cuimsitheach CCTV i bhfeidhm agus go leantar é más mian leo a ndualgais dhlíthiúla a chomhlíonadh i gcónaí.

  1. Ionchúisimh: Imscrúdaitheoirí Príobháideacha
  2. Ionchúisimh: Cionta Margaíochta
  3. Bailiú Iomarcach Sonraí ag An Post
  4. Sonraí Tuarastal Fostaí arna Nochtadh ag FSS
  5. Bailiú Iomarcach Sonraí ag Gníomhaireacht Ligin
  6. Faisnéis Airgeadais arna Nochtadh ag Comhar Creidmheasa
  7. Níor Seasadh le Gearán faoi Nochtadh ag Permanent TSB
  8. Dhiúltaigh SouthDoc Ceart Rochtana a thabhairt d'Othar
  9. Bailiú Iomarcach Sonraí ag an Roinn Talmhaíochta
  10. Sonraí Pearsanta arna Nochtadh ag Comhairle Contae
  11. Teipeann ar Eircom an tAmfhráma Reachtúil a bhaint amach chun Iarratas ar Rochtain a Phróiseáil
  12. Tháinig Sonraí faoi Mhac Léinn Tríú Leibhéal Aníos ar Láithreán Gréasáin Tríú Páirtí
  13. Nochtann Rialaitheoir Sonraí Pearsanta le Comhpháirtí Gnó
  14. Téann Fostaí de chuid Institiúid Airgeadais ar Scor agus Tógann siad Sonraí Pearsanta Custaiméara leo
  15. Goideadh Ríomhaire Glúine Neamhchriptithe
  16. Cuireadh Líonra Adode i gContúirt

Cás-Staidéar 1: Ionchúisimh: Imscrúdaitheoirí Príobháideacha

Chuir an Oifig seo tús le hionchúisimh san earnáil imscrúdaitheoirí/gníomhairí rianaithe príobháideacha den chéad uair in 2014. Tháinig na hionchúisimh seo chun solais ó imscrúdú mionsonraithe a dhéanamh ar cuireadh tús leis i samhradh 2013. Ag eascairt ó iniúchtaí faoinar tugadh i líon comhair chreidmheasa ag an tráth sin, d’éirigh an Oifig buartha faoi na modhanna a bhí in úsáid ag roinnt imscrúdaitheoirí príobháideacha a bhí fruilithe ag comhair chreidmheasa chun seoltaí reatha comhaltaí a rianú ar theip orthu a n-iasachtaí a aisíoc. Sheol an Oifig imscrúdú mór chun na foinsí a shainaithint óna bhfuair na himscrúdaitheoirí príobháideacha na sonraí faoi na seoltaí reatha. Bhí baint san imscrúdú seo ag réimse fairsing comhlachtaí poiblí agus cuideachtaí príobháideacha. De thoradh ár dtorthaí, dheimhnigh an Oifig go bhfuarthas rochtain neamhdhleathach ar shonraí pearsanta ar bhunachair shonraí a bhí a gcoimeád ag an Roinn Coimirce Sóisialaí, Seirbhís Aisíocaíochta Cúraim Phríomhúil Fheidhmeannacht na Seirbhíse Sláinte, an Garda Síochána agus Bord Soláthair an Leictreachais agus gur nochtadh an fhaisnéis, ina dhiaidh sin do chomhair chreidmheasa.  Seo a leanas sonraí faoi na hionchúisimh a rinneadh:
 
M.C.K. Rentals Limited agus a Stiúrthóirí
Cuireadh 23 cás de sháruithe ar Alt 22 de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 i leith M.C.K. Rentals Limited (atá ag trádáil mar M.C.K. Investigations) as rochtain a fháil ar shonraí pearsanta gan údarás a fháil roimh ré ón rialaitheoir sonraí a choimeádann na sonraí, agus na sonraí a nochtadh do dhuine eile. Bhí na sonraí pearsanta á gcoimeád ag an Roinn Coimirce Sóisialaí (7 gcás) agus ag Seirbhís Aisíocaíochta Cúraim Phríomhúil Fheidhmeannacht na Seirbhíse Sláinte (16 chás).  I ngach cás, nochtadh na sonraí pearsanta do chomhair chreidmheasa éagsúla sa stát.
 
Cuireadh 23 cás de sháruithe ar Alt 29 de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 i leith stiúrthóirí of M.C.K. Rentals Limited, an tUasal Margaret Stuart agus an tUasal Wendy Martin, as an mbaint a bhí acu sna cionta a rinne an chuideachta. Forálann an tAlt seo do stiúrthóirí cuideachta a ionchúiseamh sa chás go gcruthaítear go ndearna cuideachta cion le toiliú nó le cúlcheadú stiúrthóirí nó oifigigh eile na cuideachta, nó má chruthaítear go raibh faillí thar ceann na cuideachta nó oifigigh eile na cuideachta mar chúis leis.
 
Phléadáil M.C.K. Rentals Limited ciontach ag Cúirt Dúiche Bhré an 6 Deireadh Fómhair 2014 i dtaobh cúig chúiseamh shamplacha as cionta a dhéanamh faoi Alt 22 de na hAchtanna um Chosaint Sonraí, 1988 agus 2003. Chúisigh an Chúirt an chuideachta maidir le gach ceann de na cúig chúiseamh agus ghearr siad fíneáil €1,500 orthu in aghaidh gach ciona. Phléadáil Rúnaí agus Stiúrthóir na Cuideachta, an tUasal Margaret Stuart, ciontach i dtaobh cúiseamh samplach amháin mar gheall ar chion a dhéanamh faoi Alt 29 de na hAchtanna um Chosaint Sonraí, 1988 agus 2003. Chiontaigh an Chúirt an tUasal Stewart i ndáil leis an gcion sin agus ghearr siad fíneáil €1,500 uirthi. Phléadáil Stiúrthóir na Cuideachta, an tUasal Wendy Martin, ciontach i leith cúiseamh samplach amháin as cin a dhéanamh faoi Alt 29 de na hAchtanna um Chosaint Sonraí, 1988 agus 2003. Chiontaigh an Chúirt an tUasal Martin i ndáil leis an gcion sin agus ghearr siad fíneáil €1,500 uirthi.
 
Ba é seo an chéad uair inar ionchúisigh an Coimisinéir Cosanta Sonraí stiúrthóirí cuideachta as an mbaint a bhí acu i gcionta um chosaint sonraí a dhéanamh ag a gcuideachta, agus tugann na himeachtaí sa chás seo rabhadh tréan do stiúrthóirí agus d’oifigigh eile chomhlachtaí corparáideacha gur féidir imeachtaí a chur ar bun ina leith agus gur féidir pionós a ghearradh orthu i gcúirt dlí as cionta coiriúla a dhéanann an comhlacht corparáideach.
 
Rinne an t-imscrúdú a rinneadh ar an gcuideachta a nochtadh gur úsáid na ciontóirí teicnící mórdhíola agus fairsinge ina n-éiríonn leo rud a fháil trí bhrú a chur ar dhaoine faisnéis a thabhairt nó trí fhaisnéis a ghoid, agus ba é seo an chéad ionchúiseamh a rinne an Coimisinéir Cosanta Sonraí i leith ciontóirí a bhí ag tabhairt faoi na cleachtais siúd. Nochtann torthaí an imscrúdaithe faoinar tugadh sa chás seo an bhagairt leanúnach a bhí ar shlándáil sonraí pearsanta atá á gcoimeád ag rialaitheoirí móra sonraí agus an forairdeall is gá don fhoireann túslíne a thaispeáint ag gach tráth chun cosc a chur ar shonraí pearsanta a iarraidh, go háirithe trí theagmháil a dhéanamh ar an nguthán, ag gníomhairí neamhairdeallacha.  Ba cheart do rialaitheoirí sonraí ar fud an stáit athbhreithniú rialta a dhéanamh ar a nósanna imeachta um chosaint sonraí chun éifeachtacht a bprótacal slándála a uasmhéadú d’fhonn an ghníomhaíocht sin a chomhrac. Ní mór dóibh a chinntiú go bhfuil oiliúint iomlán curtha ar an bhfoireann go léir, go háirithe iad siúd ag an túslíne a láimhseálann glaonna gutháin, sna prótacail slándála d’fhonn go mbeidh siad in ann an bhagairt i leith faisnéis a fháil trí bhrú a chur ar dhaoine nó trí fhaisnéis a ghoid nó trí ghlaonna gutháin a chur ar dhaoine ina ndéantar iarracht cleas a imirt ar bhfreagróir chun faisnéis a thabhairt dóibh, a aithint agus déileáil leo.
 
Michael J. Gaynor
Cúisíodh Michael J. Gaynor (ag trádáil mar MJG Investigations) le 72 cás de sháruithe ar na hAchtanna um Chosaint Sonraí, 1988 agus 2003. Bhain dhá chás déag le sáruithe ar Alt 22 de na hAchtanna um Chosaint Sonraí mar gheall ar rochtain a fháil ar shonraí pearsanta gan údarás a fháil roimh ré ón rialaitheoir sonraí a choimeádann na sonraí, agus na sonraí a nochtadh do dhuine eile. Bhí na sonraí pearsanta á gcoimeád ag Bord Soláthair an Leictreachais (9 gcás) agus an Garda Síochána (3 chás). I ngach cás, nochtadh na sonraí pearsanta do chomhair chreidmheasa éagsúla sa stát. Bhain 60 cás sa bhreis le sáruithe ar Alt 16(2) de na hAchtanna um Chosaint Sonraí i dtaca le próiseáil sonraí pearsanta de chuid roinnt daoine faoi chúinsí nár cuireadh aon taifead i gcuntas maidir leis an té a bhí cúisithe sa chlár poiblí a bhí á choimeád ag an gCoimisinéir Cosanta Sonraí. Iar-chomhalta é an tUasal Gaynor den Gharda Síochána.
 
Cúisíodh Michael J. Gaynor an 25 Samhain 2014, ag Cúirt Dúiche Cathrach Bhaile Átha Cliath i leith dhá chúiseamh i dtaobh dhá chion faoi Alt 22 de na hAchtanna um Chosaint Sonraí, 1988 agus 2003. Ghearr an Chúirt fíneáil €2,500 i ngach ceann den dá chúiseamh seo. Phléadáil an cosantóir ciontach, go leithleach, i leith 69 cúiseamh (ar bhain 60 díobh le sáruithe ar Alt 16(2)) agus cuireadh iad seo san áireamh sa phianbhreith a gearradh.
 
Ba é seo an chéad ionchúiseamh a chríochnaigh an Coimisinéir Cosanta Sonraí a rinneadh ar phróiseálaí sonraí as sonraí pearsanta a phróiseáil gan bheith cláraithe mar phróiseálaí sonraí ar chlár poiblí Oifig an Choimisinéara Cosanta Sonraí. Rinne an t-imscrúdú sa chás seo rochtain a nochtadh ag an gcosantóir ar shonraí custaiméara a bhí á gcoimeád ar bhunachair shonraí a bhí a gcoimeád ag Bord Soláthair an Leictreachais. Chun rochtain a fháil ar na sonraí pearsanta, d’úsáid an cosantóir teagmhálaí foirne i mBord Soláthair an Leictreachais, a bhí bunaithe le linn a iar-ghairme sa Gharda Síochána.
 
Seolann na hionchúisimh seo teachtaireacht thréan chuig imscrúdaitheoirí príobháideacha agus do ghníomhairí rianaithe chun an reachtaíocht um chosaint sonraí a chomhlíonadh go hiomlán fad a thugtar faoina ngnó, agus má theipeann orthu amhlaidh a dhéanamh, rachfar sa tóir orthu agus ionchúiseofar iad as iompar ciontaithe. Anuas air sin, meabhraíonn siad gach cuideachta agus gnólacht a dhéanann imscrúdaitheoirí príobháideacha nó gníomhairí rianaithe a fhruiliú go bhfuil freagrachtaí dochraideacha orthu faoi na hAchtanna um Chosaint Sonraí a chinntiú go ndéantar an obair rianaithe go léir nó aon obair eile a ndéanann imscrúdaitheoirí príobháideacha nó gníomhairí rianaithe thar a gceann go dleathach. Go sonrach, ina leith seo, ba cheart dóibh siúd atá ag oibriú sna hearnálacha comhar creidmheasa, baincéireachta, seirbhísí airgeadais, dlí agus árachais athbhreithniú a dhéanamh ar a bhfostú imscrúdaitheoirí príobháideacha agus gníomhairí rianaithe lena chinntiú gur chosain siad go hiomlán sonraí pearsanta i leith foirmeacha neamhdhleathacha de phróiseáil sonraí.
 
Rinne na himscrúduithe seo saincheisteanna tromchúiseacha a nochtadh maidir le himscrúdaitheoirí príobháideacha nó gníomhairí rianaithe a fhruiliú ag comhair chreidmheasa, go háirithe maidir le heaspa feasachta a bhí acu féin ar conas a bhí comhaltaí á rianú ag na himscrúdaitheoirí príobháideacha agus, i roinnt cásanna, maidir le huimhreacha PSP a nochtadh ag comhair chreidmheasa d’imscrúdaitheoirí príobháideacha.  Chuaigh an Oifig seo sa tóir ar na ceisteanna seo go léir leis na comhair chreidmheasa a bhí i gceist agus lena gcomhlachtaí ionadaíocha le cúpla mí anuas. Anuas air sin, thugamar faoi réimse d’obair athleantach leis an Roinn Coimirce Sóisialaí, Feidhmeannacht na Seirbhíse Sláinte, an Garda Síochána agus Bord Soláthair an Leictreachais maidir le himpleachtaí na sáruithe ar shlándáil sonraí a tharla ina n-eagraíochtaí agus na bearta a theastaíonn a dhéanamh chun déileáil leis na sáruithe siúd agus le hatarlú a chosc. Fáiltíonn an Oifig seo roimh an gcaoi gur bheartaigh an tÚdarás Slándála Príobháidí chun rialáil imscrúdaitheoirí príobháideacha a thabhairt isteach.

Cás-Staidéar 2: Ionchúisimh: Cionta Margaíochta

Pure Telecom Limited
Fuaireamar gearán i Márta 2013 ó dhuine ar ar cuireadh dhá ghlao gutháin mhargaíochta ó Pure Telecom Limited ar a ghuthán líne thalún. Bhí uimhir ghutháin an duine liostaithe ar chlár na ndaoine a roghnaigh gan bheith páirteach de chuid Bhunachar Sonraí an Eolaire Náisiúnta. Is cion é glao margaíochta a dhéanamh ar uimhir ghutháin atá liostaithe ar an gclár sin.
 
Chuir Pure Telecom Limited ár n-imscrúdaitheoirí ar an eolas gur úsáid siad seirbhísí ionadaí tríú páirtí chun na glaonna margaíochta a dhéanamh agus mhínigh siad go ndearna an gníomhaire uimhir an duine a fhoinsiú iad féin seachas na sonraí margaíochta a sholáthair Pure Telecom Limited a úsáid. D’admhaigh an chuideachta nach raibh toiliú faighte ag an ngníomhaire tríú páirtí chun teagmháil a dhéanamh leis an ngearánaí ar mhaithe le cuspóirí margaíochta.
 
Ag Cúirt Dúiche Bhaile Átha Cliath an 3 Feabhra 2014, phléadáil Pure Telecom Limited ciontach i leith dhá chúiseamh a bhain le sáruithe ar Rialachán 13 (5)(b) de I.R. 336 de 2011 a bhain le glaonna gutháin mhargaíochta a chur ar uimhir ghutháin a bhí liostaithe ar chlár na ndaoine a roghnaigh gan bheith páirteach. Ghearr an Chúirt ciontú maidir leis an dá chúiseamh mar aon le fíneáil €500. Ina theannta sin, d’ordaigh siad costais ionchúisimh an Choimisinéara Cosanta Sonraí a íoc.  Cuireadh an éisteacht ar an eolas gur ciontaíodh an cosantóir roimhe seo in 2010 i dtaobh a mhacasamhail de chion.
 
Next Retail Limited
I bhFeabhra 2013, fuair an Oifig seo gearán ó dhuine ar seoladh roinnt ríomhphoist mhargaíochta gan iarraidh chuici ó Next Retail Limited i ndiaidh gur iarr sí ar an gcuideachta gan aon ríomhphoist eile den sórt sin a sheoladh chuici. Mhaígh an gearánaí go ndearna sí neamhshuibscríobh ar dtús tríd an nasc a úsáid a soláthraíodh i ríomhphost margaíochta a sheol an chuideachta agus, ina dhiaidh seo, i gceithre ríomhphost ar leith a sheol sí chuig an gcuideachta inar iarr sí orthu gan teagmháil a dhéanamh léi arís le ríomhphoist mhargaíochta.
 
Chuir Next Retail Limited in iúl dár n-imscrúdaitheoirí nach n-úsáideann siad seirbhísí na cuideachta a thuilleadh a d’fhostaigh siad chun neamhshuibscríobh a phróiseáil agus nárbh fhéidir leo míniú a thabhairt ar cad a tharla don chéad iarratas ar neamhshuibscríobh. Maidir leis na ríomhphoist inar cuimsíodh iarratais ar neamhshuibscríobh, dheimhnigh an chuideachta gur bhain siad a mbosca isteach maidir le gearáin ach nárbh fhéidir leo a rianú cá ndeachaigh na ríomhphoist ina dhiaidh sin.
 
Ag Cúirt Dúiche Bhaile Átha Cliath an 3 Feabhra 2014, phléadáil Next Retail Limited ciontach i leith dhá chúiseamh a bhain le sáruithe ar Rialachán 13 (1)(b) de I.R. 336 de 2011 a bhain le ríomhphoist mhargaíochta gan iarraidh a sheoladh gan toiliú. Ghearr an Chúirt ciontú maidir le cúiseamh amháin, agus cuireadh an dara cúiseamh san áireamh. Gearradh fíneáil €100. Chomhaontaigh an cosantóir chun íoc as costais ionchúisimh an Choimisinéara Cosanta Sonraí.
 
Rinne Next Retail Limited achomharc ar dhéine na pianbhreithe ina dhiaidh sin. An 19 Márta 2014, dhearbhaigh an Chúirt Chuarda an ciontú agus an pionós a ghearr an Chúirt Dúiche roimhe seo agus thug siad faoi deara rún an achomharcóra costais réasúnta an Choimisinéara Cosanta Sonraí as an achomharc a scaoileadh.
 
Airtricity Limited
I mBealtaine 2013, fuair an Oifig seo gearán a rinneadh i leith Airtricity Limited ó dhuine ar ar cuireadh glao gutháin mhargaíochta ar a ghuthán líne thalún, a bhí liostaithe ar chlár na ndaoine a roghnaigh gan bheith páirteach de chuid Bhunachar Sonraí an Eolaire Náisiúnta. Chuir an gearánaí ar an eolas sinn gurbh é cuspóir an ghlao margaíochta é a spreagadh chun soláthraí fuinnimh a aistriú chuig Airtricity.
 
Mar fhreagairt ar ár n-imscrúdú, d’admhaigh Airtricity go ndearna conraitheoir tríú páirtí a bhí ag gníomhú thar a gceann an glao gutháin.  Mhínigh siad go ndearnadh an earráid nuair a d’athchoimisiúnaigh an conraitheoir seanríomhaire pearsanta, ar a raibh leabhar gutháin 2009 suiteáilte.  Bhí scarbhileog a chuimsigh uimhir ghutháin an ghearánaí fós ar an seanríomhaire pearsanta agus mar gheall air seo, cuireadh glao ar an uimhir go hearráideach.
 
Ag Cúirt Dúiche Bhaile Átha Cliath an 3 Feabhra 2014, phléadáil Airtricity Limited ciontach i leith cúiseamh amháin a bhain le sárú ar Rialachán 13 (5)(b) de I.R. 336 de 2011 a bhain le glao gutháin mhargaíochta a rinneadh ar uimhir ghutháin a bhí liostaithe chlár na ndaoine a roghnaigh gan bheith páirteach. Ghearr an Chúirt ciontú maidir leis an gcúiseamh mar aon le fíneáil €75. Chomhaontaigh an cosantóir chun costais ionchúisimh an Choimisinéara Cosanta Sonraí a íoc.
 
The Carphone Warehouse Limited
I Márta 2013, fuaireamar gearán ó chustaiméir de chuid The Carphone Warehouse Limited i ndiaidh go bhfuair sé teachtaireachtaí téacs margaíochta ón gcuideachta in ainneoin gur chuir sé tic sa bhosca a thug le fios gur roghnaigh sé gan bheith páirteach nuair a rinne sé ceannach i gceann dá siopaí roimhe sin. Chuir an chuideachta ár n-imscrúdaitheoirí ar an eolas gur cuireadh an custaiméir san áireamh ina liosta margaíochta go hearráideach mar gheall ar earráid chórais.
 
In Aibreán 2013, fuaireamar gearán ó chustaiméir eile de chuid The Carphone Warehouse Limited ar seoladh tairiscintí rialta chuige trí theachtaireacht téacs ón gcuideachta cé gur chuir sé glao ar an gcuideachta ar a laghad trí huaire ag iarraidh orthu stop a chur leis na teachtaireachtaí. Dúirt an chuideachta lenár n-imscrúdaitheoirí nár aithin a gcóras rogha an chustaiméara ar bhonn sealadach gan margaíocht a fháil mar gheall ar shaincheist inmheánach laistigh den phróiseas scagaire leictreonaigh agus gur roghnaíodh uimhir ghutháin an chustaiméara trí thimpiste le haghaidh feachtais mhargaíochta dá bharr.
 
Ag Cúirt Dúiche Bhaile Átha Cliath an 3 Márta 2014, d’iontráil The Carphone Warehouse Limited pléadáil chiontach i leith cúig chúiseamh a bhain le sáruithe ar Rialacháin 13 (1) agus 13(4)  de I.R. 336 de 2011. Ghearr an Chúirt ciontuithe maidir le ceithre chúiseamh, agus cuireadh an cúigiú cúiseamh san áireamh. Gearradh fíneálacha €1,500 maidir le gach ciontú. Chomhaontaigh an cosantóir chun íoc as costais ionchúisimh an Choimisinéara Cosanta Sonraí. Cuireadh an éisteacht ar an eolas gur ciontaíodh an cosantóir roimhe seo faoi dhó in 2012 i dtaobh a ríomhphoist mhargaíochta gan iarraidh a sheoladh.
           
Valterous Limited (ag trádáil mar Therapie Clinic agus/nó Therapie)
Rinne iar-chustaiméir de chuid Valterous Limited (ag trádáil mar Therapie Clinic agus/nó Therapie) gearán leis an Oifig i Meitheamh 2013 i ndiaidh teachtaireacht mhargaíochta gan iarraidh a fháil in ainneoin gur roghnaigh sé an chumarsáid sin a bheith déanta leis de bhreis ar thrí mhí roimhe sin. Mhínigh Therapie dár n-imscrúdaitheoirí go raibh sonraí teagmhála an ghearánaí ar chórais in dhá bhrainse agus nuair a rinneadh an t-iarratas gan bheith páirteach, gur bhain an chuideachta a sonraí ó bhunachar sonraí amháin agus níorbh eol dóibh go raibh siad ar bhunachar sonraí eile, agus is mar gheall air sin gur seoladh teachtaireacht téacs bhreise chuig an uimhir theagmhála chéanna.
 
In Iúil 2013, fuaireamar gearán ó chustaiméir eile de chuid Therapie ar seoladh teachtaireachtaí téacs margaíochta chuici roinnt uaireanta. Chuir an gearánaí in iúl dúinn gur sheol sí teachtaireacht téacs inar roghnaigh sí gan bheith páirteach ach lean an chuideachta le breis teachtaireachtaí téacs margaíochta a sheoladh chuici. Níor tháinig ár n-imscrúdú ar aon fhianaise go bhfuair Therapie toiliú ag aon tráth chun teachtaireachtaí téacs margaíochta a sheoladh chuig an duine seo. Maidir le teachtaireachtaí téacs a sheoladh i ndiaidh gur roghnaigh an t-iar-chustaiméir gan bheith páirteach, mhínigh Therapie gur cheart gur sheol an duine an focal “STOP”, seachas an focal “OPTOUT” i dteachtaireacht téacs ag an tráth a bhí iarracht á déanamh aici gan bheith san áireamh sa bhunachar sonraí margaíochta. Níor ghlacamar leis seo mar leithscéal bailí mar gheall gurbh ionann an treoir maidir le roghnú gan bheith páirteach a bhí sa teachtaireacht téacs margaíochta a seoladh chuig an duine agus “OptOut:086.......”.
 
Ag Cúirt Dúiche Bhaile Átha Cliath an 3 Márta 2014, phléadáil Valterous Limited (ag trádáil mar Therapie Clinic agus/nó Therapie) (ciontach i dtaca le dhá chúiseamh a bhaineann le sáruithe ar Rialachán 13(1) de I.R. 336 de 2011 a bhain le teachtaireachtaí téacs gan iarraidh a sheoladh gan toiliú. Ghearr an Chúirt ciontuithe maidir le dhá chúiseamh, agus cuireadh an tríú cúiseamh san áireamh. Gearradh fíneálacha €1,500 maidir le gach ciontú. Chomhaontaigh an cosantóir chun íoc as costais ionchúisimh an Choimisinéara Cosanta Sonraí. Dúradh leis an gCúirt gur ciontaíodh Therapie Laser Clinics Limited (ag trádáil mar Therapie Clinic agus/nó Therapie) in 2012 i leith dhá chion maidir le teachtaireachtaí téacs margaíochta gan iarraidh a sheoladh.

Cás-Staidéar 3: Bailiú Iomarcach Sonraí ag An Post

Fuair an Oifig seo dhá ghearán ó mhuintir an phobail maidir le riachtanais nua a tugadh isteach i Samhain 2013 ag An Post maidir le hiarratais dochair dhírigh ar tháillí ceadúnas teilifíse a íoc. Tugadh riachtanas éigeantach isteach chun ráiteas bainc a seoladh le déanaí a sholáthar leis an iarratas agus an fhoirm shainordaithe dochair dhírigh.   Mhínigh láithreán gréasáin cheadúnas teilifíse An Post gur theastaigh cóip de ráiteas bainc chun sonraí an chuntais bhainc a fhíorú a sholáthair an ceadúnaí chun a dtáille cheadúnas teilifíse a íoc. Lean siad ar aghaidh lena lua nach mór don ráiteas bainc an cód aitheantais bainc (BIC), an uimhir idirnáisiúnta chuntas bainc (IBAN) agus ainm iomlán agus seoladh bhanc shealbhóir an chuntais a thaispeáint. Bhí sé ina argóint ag na gearánaithe go raibh cóip den fhaisnéis rúnda airgeadais a iarraidh a shonraítear ar ráitis bhainc iomarcach.
 
Rinneamar na gearáin seo a imscrúdú le An Post. I dtaobh cúlra de, mhínigh An Post go ngearrann rialacháin nua SEPA dualgais shuntasacha nua ar thionscnóirí dochair dhírigh, ar nós An Post i dtaobh na Scéime Dochair Dhírigh Ceadúnas Teilifíse. Deirtear go bhfuil An Post, agus iad siúd amháin, freagrach as an riosca tráchtála a bhaineann le glacadh le dochair dhíreacha agus gur gá do An Post na sonraí dochair dhírigh a fhíorú a sholáthraíonn an custaiméir. Luaitear nach bhfuil cruthúnas ag An Post gurb ann do na sonraí faoin gcuntas bainc, go bhfuil siad cruinn nó gur leis an duine a luaitear ar an sainordú an cuntas. Dá réir, d’fhorbair siad próiseas nua fíoraithe sonraí bainc chun sonraí an tsainordaithe a sholáthraítear a sheiceáil, agus sa phróiseas nua sin, lorgaíonn siad breis cáipéisíochta lena fhíorú go bhfuil na sonraí faoin gcuntas bainc a sholáthraíonn na t-iarratasóir cruinn, iomlána agus cothrom le dáta. Thug siad chun suntais, chomh maith, nach féidir leo iarratas ar dhochar díreach a phróiseáil gan na huimhreacha BIC agus IBAN a bheith acu maidir leis an gcuntas ar a dtarraingítear an dochar díreach. Thug An Post le fios, de bhreis ar ár gcomhfhreagras, go ndearna siad an cinneadh nach gceanglaítear a thuilleadh ar chustaiméirí a roghnaíonn íocaíocht dochair dhírigh chun sonraí faoina n-iarmhéideanna bainc a sheoladh ar aghaidh.
 
Rinneamar breis breithniú ar an gceist agus mholamar do An Post gur cheart go ligfí d’iarratasóirí cóip a sheoladh ar aghaidh den chuid sin den ráiteas bainc amháin ina gcuimsítear ainm, seoladh, na huimhreacha BIC agus IBAN nó gur cheart go gceadóidís dóibh an fhaisnéis go léir faoi na hidirbheartaíochtaí a bheith scriosta amach le dath dubh ar aon chóipeanna a sholáthraítear. Chomhaontaigh An Post chun ár gcomhairle a chur i bhfeidhm. Leasaigh siad a bhfoirm iarratais ar dhochar díreach ceadúnas teilifíse chun an téacs a leanas a chuimsiú: “Ba cheart duit a chinntiú go bhfuil na hidirbhearta airgeadais ar do ráiteas bainc masctha nó bainte go hiomlán sula gceanglaíonn tú é le d’iarratas. Milltear gach ráiteas bainc a luaithe a éiríonn leis an gcéad íocaíocht.” Leasaigh An Post a láithreán gréasáin chun an t-athrú seo a léiriú agus lena shoiléiriú nach gceanglaíonn siad go dtaispeántar an t-iarmhéid ar an ráiteas bainc. Bhíomar sásta leis na hathruithe a chuir An Post i bhfeidhm agus leis an mbealach a dhéileáil siad leis an gceist go mear a luaithe a thugamar chun a n-airde í.
 
Ba cheart d’eagraíochtaí a lorgaíonn cóipeanna de ráitis bhainc ar chuspóirí ar nós cruthúnas a thabhairt i dtaobh seoladh reatha, mar fhíoraitheoir aitheantais nó a mhacasamhail de shaincheisteanna a thabhairt chun cuimhne go gcuimsítear sna cáipéisí siúd réimse d’fhaisnéis airgeadais atá príobháideach i dtaobh an duine lena mbaineann sí. Mar riail ghinearálta, ní mór a cheadú do dhaoine aonair na sonraí agus na hidirbheartaíochtaí airgeadais siúd a scriosadh amach le dath dubh nó a mhascadh ar bhealach eile mar gheall nach mbaineann siad le cuspóirí fíoraithe seolta, etc. Ba cheart go meabhródh an cás-staidéar seo d’eagraíochtaí breithniú a dhéanamh ar na himpleachtaí uile agus go bhféadfaí méid iomarcach de shonraí pearsanta a bhailiú faoi chúinsí ina lorgaíonn siad cóipeanna de ráitis bhainc ó chustaiméirí nó cliaint.

Cás-Staidéar 4: Sonraí Tuarastal Fostaí arna Nochtadh ag FSS

Rinne fostaí de chuid Fheidhmeannacht na Seirbhíse Sláinte (FSS) gearán i Márta 2014 maidir le nochtadh líomhnaithe shonraí a thuarastail dá iar-bhean chéile dhá uair. Chuir sé ar an eolas sinn ina ghearán gur tugadh an cheist chun airde dó nuair a chuaigh a iar-bhean chuig an gcúirt i samhradh 2013 maidir le saincheisteanna cothabhála, agus sa chúirt, sholáthair sí sonraí cruinne óna dhuillíní pá. I Nollaig na bliana céanna, d’fhill a iar-bhean chéile ar an gcúirt go ndéanfaí athbhreithniú ar an gcothabháil agus, an uair sin, sholáthair sí cóip dá P60 mar aon le sonraí a thuarastail le ceithre mhí anuas.
 
Chuireamar tús le himscrúdú na ceiste trí scríobh chuig FSS. Mar fhreagairt air sin, ghlac FSS leis gur nochtadh sonraí pearsanta a bhain lena bhfostaí do thríú páirtí gan a thoiliú a fháil dhá uair ar leith, i mBealtaine 2013 agus i Samhain 2013. Aithnítear nach raibh aon bhonn dlíthiúil ann leis an nochtadh sonraí pearsanta.  Luaigh siad gur dheimhnigh siad cé, laistigh de FSS, a rinne an chéad nochtadh ach níorbh fhéidir a dheimhniú cé a rinne an dara nochtadh. Mhínigh siad go bhfuair a rannóg párolla roinnt orduithe cúirte a d’ordaigh FSS chun íocaíochtaí cothabhála a dhéanamh le hiar-bhean chéile an fhostaí. Luaigh siad gur thug gnóthas cuntasóirí agus gairmithe cánach, ar a dtugtar Accountax, roinnt ceisteanna chun solais thar ceann iar-bhean chéile a bhfostaí. Lorg na ceisteanna siúd soiléiriú maidir leis na híocaíochtaí a rinneadh. Lean siad ar aghaidh lena lua, maidir leis an gcéad sárú, go ndearnadh iarratas sonrach maidir le cóip den duillín pá ba dhéanaí dá bhfostaí a lorg a thaispeáin na hasbhaintí cothabhála a rinneadh ó Eanáir 2013 go dtí seo.  D’admhaigh FSS gur eascair nochtadh neamhúdaraithe shonraí pearsanta a bhfostaí, go héifeachtach, as na hiarratais ar nuashonruithe leanúnacha maidir le híocaíochtaí cothabhála. Ghlac FSS leis, ar bhreathnú siar dóibh, gurbh achoimre ar na híocaíochtaí a rinneadh a bhain leis na horduithe cúirte an t-aon rud ó thaobh sonraí ar cheart dá rannóg párolla a scaoileadh le hiar-bhean chéile a bhfostaí (nó le duine a ghníomhaíonn thar a ceann).
 
Chuireamar FSS ar an eolas gur mheasamar gur sáraíodh na hAchtanna um Chosaint Sonraí nuair a nochtadh sonraí pearsanta a bhfostaí le tríú páirtí gan toiliú a fháil uaidh. Thug FSS le fios gur mhian leo tabhairt faoi réiteach cairdiúil a bhaint amach ar an ngearán agus, chuige sin, chuir siad litir leithscéil faoi iamh don ghearánaí. Rinne an t-ábhar sonraí breithniú ar an litir leithscéil agus rinne sé an cinneadh nár mhian leis glacadh léi, agus roghnaigh sé, ina ionad sin, chun cinneadh foirmiúil a fháil ón gCoimisinéir Cosanta Sonraí ar a ghearán.
 
Eisíodh cinneadh an Choimisinéara Cosanta Sonraí i Lúnasa 2014. Ina chinneadh, bhí an Coimisinéir faoin tuairim gur sháraigh FSS Alt 2(1)(c)(ii) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 dhá uair trí phróiseáil bhreise a dhéanamh ar shonraí pearsanta an ghearánaí ar bhealach nach raibh comhoiriúnach don chuspóir lena bhfuarthas iad. Tharla na sáruithe seo i mBealtaine 2013 agus i Samhain 2013 nuair a nocht FSS a fhaisnéis pearsanta do thríú páirtí. Forálann Alt 2(1)(c)(ii) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003 nár cheart próiseáil bhreise a dhéanamh ar shonraí ar bhealach nach bhfuil comhoiriúnach do na cuspóirí lena bhfuarthas iad. Sa chás ar leith seo, d’aithin FSS, dhá uair ar leith, gur nochtadh na sonraí pearsanta do thríú páirtí gan toiliú an ábhair shonraí a fháil agus gan é a bheith curtha ar an eolas air. Is ionann an nochtadh sin agus próiseáil bhreise a dhéanamh ar shonraí pearsanta.

Cás-Staidéar 5: Bailiú Iomarcach Sonraí ag Gníomhaireacht Ligin

In Iúil 2014, rinne tionónta ionchasach gearán faoi shonraí bainc, uimhreacha PSP agus cóipeanna de bhillí fóntais a bhailiú ag gníomhaireacht ligin nuair a bhíonn iarratas á dhéanamh ar réadmhaoin a ligean.  Luaigh an gearánaí go raibh an fhaisnéis seo sa bhreis ar an ngnáthábhar, ar nós teistiméireacht ón iar-thiarna talún, a mbeifí ag súil leis go seolfaí ar aghaidh í ag céim an iarratais. Luaigh sí gur chreid sí, murar sholáthair sí na sonraí go léir i dtosach báire, nach ndéanfadh an ghníomhaireacht ligin breithniú dáiríre ar a hiarratas. Dúirt an gearánaí go gcuireann an cleachtas ina mbailítear réimse chomh fairsing sin de shonraí pearsanta iallach ar thionóntaí ionchasacha a bhfuil géarghá acu chun réadmhaoin a ghlacadh ar cíos chun an fhaisnéis phearsanta seo a sheoladh ar aghaidh ag céim an iarratais cé nach fios dóibh fiú an éireoidh lena n-iarratas. Thug sí chun suntais nach n-éiríonn le tromlach na n-iarratas, agus aird ar an ardéileamh atá ar sholáthar teoranta de réadmhaoin chíosa atá ar fáil i gceantar Bhaile Átha Cliath.
 
Chuireamar tús le himscrúdú ar an gceist leis an ngníomhaireacht ligin a bhí i gceist, agus lorgaíomar míniú maidir le réimse chomh fairsing sin de shonraí pearsanta a bhailiú ag céim an iarratais. Mar fhreagairt, dúirt an ghníomhaireacht ligin gur iarr siad ar uimhreacha PSP ó iarratasóirí mar gheall go ndeimhníonn seo go bhfuil siad i dteideal oibriú sa stát, agus go dteastaíonn na sonraí bainc lena thaispeáint go bhfuil cuntas bainc ag tionónta mar gheall go mbeifí neamh-incháilithe mura mbeifí in ann an cíos a íoc trí chuntas bainc. Dúramar leis an ngníomhaireacht ligin nach bhféadfaimis aon bhonn a thabhairt faoi deara chun sonraí bainc, uimhreacha PSP nó cóipeanna de bhillí fóntais a bhailiú ar chéim an iarratais nó an chéim ina n-amharctar ar réadmhaoin agus spreagamar iad chun deireadh a chur leis an gcleachtas láithreach bonn. Cheistíomar an ghníomhaireacht ligin níos mó faoin uimhir PSP a úsáid le stádas oibre an iarratasóra a dheimhniú. Ba í an fhreagairt a thug siad ná gurb í an phríomhchúis go n-iarrann siad ar uimhreacha PSP ná go dteastaíonn siad le haghaidh fhoirm chlárúcháin an Bhoird um Thionóntachtaí Cónaithe Príobháideacha (BTCC) agus dúirt siad nach féidir leo tionónta a chlárú gan an uimhir. Lean siad ar aghaidh lena rá nach ann ach dearbhú breise é go bhfuil an t-iarratasóir ag oibriú agus luaigh siad nach ndeimhníonn siad an uimhir PSP.
 
Ghlacamar leis go bhféadfaí iarraidh ar shonraí pearsanta maidir le sonraí bainc, uimhreacha PSP agus billí fóntais a luaithe a ghlacfaí leis an iarratasóir mar thionónta. I nDeireadh Fómhair 2014, dheimhnigh an ghníomhaireacht ligin, i ndiaidh dúinn ár n-imscrúdú a dhéanamh, gur chuir siad stop leis na sonraí pearsanta seo a iarraidh sula ligfí an réadmhaoin agus gheall siad nach n-iarrfaidís an fhaisnéis seo ach go dtí gur glacadh leis an tionónta. Chuir an gearánaí ar an eolas sinn go raibh sí an-sásta le toradh a gearáin.
 
Sár-shampla é an cás-staidéar seo den chathú a bhíonn ar roinnt rialaitheoirí sonraí chun réimse iomlán de shonraí pearsanta a bhailiú sa chás go dteastódh sé uathu amach anseo. Sa chás seo, bhailigh an ghníomhaireacht ligin méid suntasach de shonraí pearsanta ó gach iarratasóir a léirigh spéis i réadmhaoin a ghlacadh ar cíos cé nach bhféadfaí glacadh ach le hiarratasóir amháin, fiú, ag deireadh an phróisis, mar an tionónta nua agus níor theastaigh an réimse iomlán sonraí pearsanta ach i dtaobh an iarratasóra rathúil sin amháin. Leagann Alt 2(1)(c)(iii) dualgas ar rialaitheoirí sonraí a chinntiú go bhfuil na sonraí pearsanta a phróiseálann siad leordhóthanach, ábhartha agus nach bhfuil siad iomarcach maidir leis an gcuspóir nó na cuspóirí dá mbailíodh iad nó dá ndéantar breis próiseála orthu. Ní mór do rialaitheoirí sonraí aird a thabhairt ar an gceanglas seo agus cloí leis, cé go mbíonn cathú orthu, ar mhaithe le háisiúlacht nó le cúiseanna eile, chun tabhairt faoi chleachtas fairsing ina mbailítear sonraí neamhriachtanacha.

Cás-Staidéar 6: Faisnéis Airgeadais arna Nochtadh ag Comhar Creidmheasa

Rinne comhalta de chomhar creidmheasa gearán in 2013 maidir le nochtadh líomhnaithe a rinne comhar creidmheasa dá fhaisnéis iasachta agus choigiltí lena iníon. I dtaobh cúlra de, mhínigh an gearánaí gur ráthóir é ar iasacht chomhar creidmheasa lena iníon. Fuair sé litir ón gcomhar creidmheasa chun é a chur ar an eolas ar an eolas ar na deacrachtaí a raibh a iníon thíos leo lena hiasacht. Ba é cuspóir na litreach ná iarraidh air, ráthóir na hiasachta, iarmhéid na n-aisíocaíochtaí míosúla a íoc. Thug sé cuntas air gur seoladh an litir chuige agus gur cuimsíodh inti a uimhir bhallraíochta mar aon lena shonraí coigiltí agus iasachta, lena n-áirítear an t-iarmhéid a bhí gan íoc. Go gairid ina dhiaidh sin, thug a iníon cuairt ar a theach le cóip den litir chéanna mar gheall gur sheol an comhar creidmheasa í chuici chomh maith. Dúirt an gearánaí gur shíl sé gurbh ionann nochtadh a fhaisnéise airgeadais agus ollsárú ar a phríobháideachas.
 
D’fhiosraíomar an cheist leis an gcomhar creidmheasa a bhí i gceist. Mhínigh siad gur tharla an earráid as ar eascair an nochtadh nuair a eisíodh an litir chuig an ráthóir faoi uimhir bhallraíochta an ráthóra seachas faoi uimhir bhallraíochta a iníne, a rinne tagairt dá hiasacht. Mhínigh sí go n-aistríonn an córas ríomhaire go huathoibríoch sonraí uimhir na ballraíochta a iontráladh. D’admhaigh an comhar creidmheasa gur chlóscríobh comhalta dá bhfoireann rialaithe creidmheasa an litir faoi uimhir bhallraíochta an ráthóra agus, mar thoradh air sin, clódh sonraí a chuntais ar an litir.
 
Bheartaigh an comhar creidmheasa, mar bhealach chun iarracht a dhéanamh chun réiteach cairdiúil a bhaint amach ar an ngearán, go n-eiseoidís litir leithscéil don ráthóir. Anuas air sin, thug siad faoi oiliúint foirne maidir le litreacha a eisiúint do chomhaltaí, go háirithe litreacha do ráthóirí, agus rinne siad a mbeartas um chosaint sonraí a athscaipeadh ar an bhfoireann go léir. Rinne an gearánaí machnamh ar an tairiscint agus dhiúltaigh sé í. Lorg sé cinneadh foirmiúil ón gCoimisinéir Cosanta Sonraí ar a ghearán.
 
Eisíodh cinneadh don ghearánaí in Aibreán 2014. Ina chinneadh, chruthaigh an Coimisinéir an tuairim, i ndiaidh scrúdú a dhéanamh ar an ngearán, gur sháraigh an comhar creidmheasa Alt 2(1)(d) de na hAchtanna um Chosaint Sonraí trí shonraí faoi chuntas ballraíochta an ghearánaí a thabhairt do thríú páirtí trí litir a cóipeáladh agus a seoladh chuig an tríú páirtí. Leagann Alt 2(1)(d) ar rialaitheoirí sonraí, i measc rudaí eile, chun na bearta cuí slándála a ghlacadh i leith nochtadh neamhúdaraithe sonraí pearsanta.
 
Leagann an cás seo béim ar na hiarmhairtí tromchúiseacha a bhí i ndán don ghearánaí ag eascairt ó earráid, ar dealraitheach gurbh earráid shaonta í a rinne an comhalta foirne a chlóscríobh litir don ghearánaí ar a chuntas féin seachas ar chuntas a iníne, lenar bhain ábhar na litreach. Is ionann agus meabhrúchán é do rialaitheoirí sonraí, go ginearálta, chun feasacht ar chosaint sonraí a choimeád chun tosaigh, agus oiliúint rialta foirne orthu siúd lena mbaineann aon fhoirm de phróiseáil sonraí lena n-obair.

Cás-Staidéar 7: Níor Seasadh le Gearán faoi Nochtadh ag Permanent TSB

Líomhnaigh gearán ó chustaiméir de chuid Permanent TSB gur sháraigh an banc na hAchtanna um Chosaint Sonraí trína gcuntais agus sonraí pearsanta a phlé le tríú páirtí, tionónta an ghearánaí, agus go raibh an gearánaí thíos le caillteanas airgeadais, mar aon le strus dá bharr.
 
D’fhiosraíomar an líomhain le Permanent TSB. Mar fhreagairt, chuir an banc ar an eolas sinn nach ndearna siad aon teagmháil le cónaitheoirí sa réadmhaoin a bhí i gceist chun plé a dhéanamh ar shonraí faoi chuntas morgáiste an ghearánaí a bhí i gceist. Luaigh siad, anuas air sin, gur éisteadh le gach ceann de na glaonna a fuarthas ón tionónta agus nár phléigh aon chomhalta foirne ag aon tráth sonraí an chuntais mhorgáiste léi. Mar chuid dár n-imscrúdú, lorgaíomar cóip de na taifeadtaí de ghlaonna gutháin a tharla idir Permanent TSB agus an tionónta. D’éisteamar leis na taifeadtaí den ghlao agus bhíomar sásta nach tugadh aon sonraí pearsanta a bhain leis an ngearánaí don tionónta i rith na nglaonna gutháin le Permanent TSB. Ina ionad sin, dúradh leis an tionónta roinnt uaireanta nach bhféadfadh le Permanent TSB aon rud a phléigh léi gan údarás scríofa shealbhóir an chuntais. I gcás amháin, thairg an tionónta a huimhir theagmhála a thabhairt do Permanent TSB, ach cuireadh in iúl di nár theastaigh sí mar gheall nach mbeadh teagmháil á déanamh ag Permanent TSB léi. Níor tháinig imscrúdú na hOifige seo ar aon fhianaise gur nocht Permanent TSB aon sonraí pearsanta a bhain leis an ngearánaí leis an tríú páirtí a bhí i gceist.
 
I ngné ar leith den ghearán céanna, líomhnaigh an gearánaí gur sheol Permanent TSB comhfhreagras chuig iar-sheoladh cónaithe i ndiaidh gur tugadh fógra dóibh faoi athrú seolta. Sholáthair an gearánaí cóip dúinn de litir a seoladh chucu i Lúnasa 2011 a chuir an banc ar an eolas ar an seoladh nua le haghaidh comhfhreagrais agus soláthraíodh dúinn cóipeanna de litreacha a sheol Permanent TSB chuig an iar-sheoladh i ndiaidh an dáta sin. Mar fhreagairt ar ár n-imscrúdú ar an gceist seo, dheimhnigh Permanent TSB go bhfuair siad an litir a seoladh i Lúnasa 2011, a chuir ar an eolas iad ar an seoladh nua, ach nach bhféadfaidís aon mhíniú a thabhairt maidir le cén fáth nach ndearnadh na sonraí seo a nuashonrú chun seo a léiriú. Chuir siad ar an eolas sinn nach ndearnadh an córas a nuashonrú go dtí go bhfuair siad litir bhreise in Eanáir 2012. Chun cabhrú leis an iarracht a dhéanamh chun an gearán a réiteach, chuir an banc comhartha dea-thola ar tairiscint mar aitheantas ar an moill a bhí air seo agus ar aon strus a d’fhéadfadh an mhoill a chruthú, ach dhiúltaigh an gearánaí é seo.
 
Lorg an gearánaí cinneadh foirmiúil ar an ngearán. Maidir leis an teip ar an seoladh teagmhála a nuashonrú, tar éis gur iarradh orthu amhlaidh a dhéanamh i Lúnasa 2011, bhí an Coimisinéir faoin tuairim gur sháraigh Permanent TSB Alt 2(1)(b) de na hAchtanna um Chosaint Sonraí. Leagann an tAlt seo an dualgas ar rialaitheoirí sonraí chun an ceanglas a chomhlíonadh chun sonraí pearsanta a choimeád cruinn agus cothrom le dáta.
 
Maidir leis an líomhain gur nochtadh sonraí pearsanta an ghearánaí le tionónta, níorbh fhéidir leis an gCoimisinéir an tuairim a chruthú gur tharla sárú ar na hAchtanna um Chosaint Sonraí sa chás seo.

Cás-Staidéar 8: Dhiúltaigh SouthDoc Ceart Rochtana a thabhairt d'Othar

Fuaireamar gearán i Meitheamh 2014 ó ghnóthas aturnaetha a ndearna a gcliant iarratas ar rochtain i mBealtaine 2014 leis an mBainisteoir Cleachtais ag South West Doctors-On-Call Limited (ag trádáil mar SouthDoc) a lorg cóip dá nótaí leighis. Mar fhreagairt ar an iarratas ar rochtain, thug SouthDoc freagra do na haturnaetha, inar luadh go moltar dóibh teagmháil a dhéanamh le LG an othair féin, a bhfuil taifead iomlán á choimeád aige don othar. Scríobh na haturnaetha ar ais chuig SouthDoc, agus thug siad chun suntais go ndearnadh an t-iarratas ar rochtain le SouthDoc agus gurbh iarratas ar leith é le haon iarratas a d’fhéadfadh a gcliant a dhéanamh lena LG féin. Thug na haturnaetha chun suntais go raibh dualgas ar SouthDoc an t-iarratas a chomhlíonadh. Nuair a bhí an gearán á sheoladh chuig an Oifig seo, chuir na haturnaetha ar an eolas sinn nár thug SouthDoc freagra ar an litir ba dhéanaí a sheol siad ach gur sheol siad an litir ar ais chucu gan fhreagra.
 
Thosaíomar imscrúdú trí scríobh chuig SouthDoc. D’fhreagair siad le casadh an phoist, agus thug siad le fios go rabhthas tar éis déileáil leis an iarratas ar thaifid leighis.  Go gairid ina dhiaidh sin, sholáthair na haturnaetha don ghearánaí cóip de litir a fuair siad ó SouthDoc ina luaitear, de bhreis ar an iarratas ar rochtain, gur seoladh taifid an othair chuig a LG féin. Thug na haturnaetha chun suntais nár chomhlíon SouthDoc an t-iarratas ar rochtain mar gheall gurbh é a gcliant a d’iarr ar na taifid, agus nár leor do SouthDoc iad a thabhairt dá LG. Scríobhamar chuig SouthDoc arís eile, agus lorgaíomar míniú. Cúpla lá ina dhiaidh sin, fuaireamar cóip de litir ó SouthDoc a d’eisigh siad d’aturnaetha an othair, ina raibh cóip de thaifid leighis an othair faoi iamh. Chuireamar ár n-imscrúdú i gcrích ag an tráth sin.
 
Tá líon soláthraithe seirbhíse iar-ama nó ar dualgas ann, ar nós SouthDoc, á oibriú in Éirinn, agus soláthraíonn gach ceann díobh seirbhís ríthábhachtach leighis don phobal i gcoitinne. Agus amhlaidh á dhéanamh acu, bailíonn agus próiseálann na soláthraithe seirbhíse seo sonraí pearsanta agus sonraí pearsanta íogaire (sonraí a bhaineann le sláinte fhisiciúil nó mheabhrach an othair a fhreastalaíonn orthu). Ar mhaithe le cuspóirí um chosaint sonraí, is tábhachtach go dtuigeann othair agus soláthraithe seirbhíse, nuair a fhreastalaíonn othar ar cheann de na seirbhísí siúd, go soláthraíonn siad a sonraí pearsanta d’eagraíocht (rialaitheoir sonraí) atá go hiomlán ar leithleach ó ghnáthchleachtas a LG. Dá réir sin, taifid nua iad na taifid a chruthaigh an soláthraí seirbhíse maidir le freastal agus cóireáil an othair agus tá an soláthraí seirbhíse ina rialaitheoir sonraí ina dtaobh. Ar an gcúis sin, tá ceart rochtana ag an othar ar na taifid siúd díreach ón soláthraí seirbhíse trí iarratas ar rochtain a dhéanamh ar chóip díobh. Is ann don cheart rochtana seo ar thaifid an tsoláthraí seirbhíse cibé acu má sheolann nó mura seolann an soláthraí seirbhíse sonraí faoi fhreastal agus chóireáil an othair ar aghaidh chuig othar an LG. Anuas air sin, tá dualgas ar an soláthraí seirbhíse cóip de na sonraí pearsanta a sholáthar don othar iarrthach (nó chuig an aturnae a ghníomhaíonn thar a cheann, faoi mar atá i gceist sa chás thuas) seachas chuig LG féin an othair. (Tá rochtain ar thaifid leighis faoi réir fhorálacha I.R. Uimh. 82 de 1989, a chuireann cosc ar shonraí a sholáthar d’othar mar fhreagairt ar iarratas ar rochtain dá mbeadh sin ina chúis le díobháil a dhéanamh dá shláinte fhisiciúil nó mheabhrach.)

Cás-Staidéar 9: Bailiú Iomarcach Sonraí ag an Roinn Talmhaíochta

Rinne duine gearán leis an Oifig seo faoi riachtanais nua a thug an Roinn Talmhaíochta isteach chun sonraí cuntas bainc a sholáthar maidir le háitreabh a chlárú chun an tAcht um Ghalair Ainmhithe, 1966-2001 a chomhlíonadh. Mhínigh sé go gceanglaítear ar úinéirí capall an t-áitreabh a chlárú ina gcoimeádtar capaill le Clár na nÁitreabh Capall agus dúirt sé nach raibh aon deacracht aige leis an gceanglas sin.  Ar a shon sin, chuir sé i gcoinne gur iarradh ar a shonraí cuntas bainc a sholáthar agus thug sé chun suntais nach bhféadfadh sé go raibh an fhaisnéis seo ag teastáil ón Roinn mar gheall nach raibh aon scéimeanna nó deontais ann a thugann an teidlíocht d’úinéirí capall íocaíocht a fháil. D’inis sé dúinn gur leis féin agus lena bhean chéile capall agus go gcoimeádtar an dá chapall díreach ar mhaithe le cuspóirí pléisiúir.   Dúirt sé gur chuir sé an Roinn ar an eolas go díreach faoina chuid buarthaí i dtosach báire ach lean an Roinn a chur faoi deara go soláthraíonn sé a shonraí bainc.
 
Lorgaíomar míniú ón Roinn Talmhaíochta. Ina bhfreagairt, thagair an Roinn de thiomantas an rialtais i dtreo ríomhthráchtála agus an chaoi nach féidir le ranna rialtais orduithe iníoctha a eisiúint a thuilleadh. Dúirt siad nach féidir íocaíochtaí atá dlite ag an Roinn ach a dhéanamh trí ríomhaistriú airgid chuig cuntas bainc. Dá réir sin, iarrtar ar gach cliant de chuid na Roinne a bhfuil íocaíochtaí á bhfáil acu sonraí bainc a sholáthar mar réamhriachtanas lena n-iontráil ar Chóras Custaiméirí Corparáideacha na Roinne. Dúirt siad, mar gheall go bhfuil íocaíochtaí a bhfáil ag tromlach chliaint na Roinne nó go bhféadfadh go mbeadh íocaíochtaí a bhfáil acu, go ndearnadh an cinneadh go n-iarrfaí ar gach cliant (iarratasóir) nua, iad siúd san áireamh a tharlaíonn nach gcáilíonn d’íocaíochtaí faoi láthair mar gheall ar eisceachtaí, chun a sonraí cuntas bainc a sholáthar.
 
Chuireamar forálacha Alt 2(1)(c)(iii) de na hAchtanna um Chosaint Sonraí in iúl don Roinn, a leagann ceanglas ar rialaitheoirí sonraí a chinntiú go mbeidh sonraí pearsanta leordhóthanach, ábhartha agus nach mbíonn siad iomarcach maidir leis an gcuspóir dá mbailíodh iad. Thugamar chun suntais gur cheangail an prionsabal a bhunaíonn an fhoráil seo gur cheart sonraí pearsanta a bhailiú nuair a theastaíonn sé seachas ar an mbunús go bhféadfadh go dteastóidh siad ag tráth éigin amach anseo. Fuaireamar deimhniú ón Roinn i bhFeabhra 2014 gur cuireadh deireadh leis an gcleachtas ina lorgaítear sonraí bainc agus coinne a bheith leis go bhféadfadh go ndéanfaí íocaíochtaí amach anseo. Cuireadh ar an eolas sinn gur eisíodh fógra faisnéise don fhoireann, inar luadh nach dteastaíonn sonraí cuntas bainc chustaiméirí ach nuair a bheidh íocaíochtaí á bhfáil ón Roinn ag custaiméir.
 
Thug an gearánaí sa chás seo gearán an-bhailí chun solais leis an Oifig seo, tar éis gur theip air an cheist a réiteach go díreach leis an Roinn é féin. Is dealraitheach nach ndearnadh dóthain machnaimh, i dtosach báire, ar an gcoincheap ina n-iarrtar ar shonraí bainc ó gach custaiméir nó gach custaiméir féideartha den Roinn – má theastaigh nó murar theastaigh an fhaisnéis sin. Ábhar díomá níos mó é, áfach, nach ndearna an Roinn athbhreithniú ar an gcás agus nár cheartaigh siad é i ndiaidh gur chuir an duine aonair seo an Roinn ar aird maidir lena chúinsí agus cúinsí daoine eile a choimeádann capaill ar mhaithe le cuspóir pléisiúir – agus é a thabhairt chun suntais nach mbeadh gá ag an Roinn a shonraí bainc a úsáid riamh mar gheall nach iarratasóir é ar scéim ná deontas. Ar deireadh thiar, theastaigh idirghabháil na hOifige seo chun cur ina luí ar an Roinn deireadh a chur le sonraí iomarcacha pearsanta a iarraidh agus chun an prionsabal a chomhlíonadh go mbeidh bailiú sonraí leordhóthanach, ábhartha agus nach mbeidh sé iomarcach.

Cás-Staidéar 10: Sonraí Pearsanta arna Nochtadh ag Comhairle Contae

In Aibreán 2014, fuaireamar gearán ó dhuine aonair a líomhnaigh go ndearna Comhairle Contae Dhún Laoghaire-Ráth an Dúin a seoladh ríomhphoist príobháideach do thríú páirtithe gan cead a bheith faighte acu uaithi. Rinne an gearánaí aighneacht leis an gcomhairle contae maidir le plean ceantair áitiúil. Dheimhnigh sí gur tharla an nochtadh nuair a rinne duine de na páirtithe ar nochtadh a seoladh ríomhphoist dóibh teagmháil léi gan iarraidh agus leas á bhaint as a seoladh ríomhphoist. Thug sí le fios go raibh sí buartha mar gheall nárbh fhios di cé mhéid daoine a raibh a seoladh ríomhphoist príobháideach aici mar thoradh ar an nochtadh.
 
Chuireamar tús le himscrúdú trí scríobh chuig Comhairle Contae Dhún Laoghaire-Ráth an Dúin. Mar fhreagairt, mhínigh an chomhairle contae, i dtaobh cúlra de, go soláthraíonn siad fógraí, cláir agus miontuairiscí a gcuid cruinnithe d’ionadaithe parlaiminteacha i gcomhréir le Rialacháin 2003 an Achta Rialtais Áitiúil, 2001 (Alt 237A).
 
Lean siad ar aghaidh leis an méid a leanas a lua: “Bhí sé mar chleachtas ag an Údarás seo go dtí seo chun cóipeanna a sholáthar de gach tuarascáil a eisítear leis na cláir seo, mar gheall gurb ionann seo agus conas a eisítear an clár dár gcomhairleoirí.  I gcomhréir leis an Acht um Pleanáil agus Forbairt, 2000 [arna leasú], Alt 20(3)(c)(ii), ní mór go liostaítear i dTuarascáil Bhainisteora do Phlean Ceantair Áitiúil na daoine a rinne aighneachtaí nó breathnuithe. I ngach cás, ullmhaítear liosta d’aighnitheoirí, d’úsáid inmheánach mar aon le comhad, ina n-áirítear na sonraí riachtanacha teagmhála, seoladh baile agus seoladh ríomhphoist. Is é ár gcleachtas caighdeánach, áfach, chun na seoltaí ríomhphoist a bhaint sula scaiptear iar ar chomhairleoirí. Fágtar na seoltaí baile ann, mar gheall gur mian le comhairleoirí cén daoine ina dtoghcheantar a rinne aighneacht. Sa chás seo, chuireamar na seoltaí ríomhphoist agus baile san áireamh gan chuimhneach le liosta na n-aighnitheoirí.  Earráid a bhí ann a rinneamar, agus ní hionann é agus an gnáthchleachtas. Is éard a cuireadh ar ár láithreán gréasáin, áfach, ná an liosta gan na sonraí teagmhála. D’fhonn atarlú a chosc, mheabhraíomar dár bhfoireann go léir gan sonraí teagmhála aighnitheoirí a chuimsiú i dtuarascálacha a scaiptear ar chomhairleoirí nó a chuirtear ar an láithreán gréasáin.  Anuas air sin, cé go luaitear thuas gur gnách gur cuimsíodh sa liosta a soláthraíodh do na comhairleoirí seoladh an aighnitheora, ar mhaithe le faisnéis a sholáthar don chomhairleoir, ní chuirfimid seoladh baile ná seoladh ríomhphoist san áireamh in aon tuarascálacha a eisítear do chomhairleoirí.  Anuas ar an méid thuas, agus chun cosc breise a chur ar an scaoileadh faisnéise pearsanta gan chuimhneamh seo, cuirfidh an Chomhairle deireadh leis an gcleachtas ina n-eisítear tuarascálacha leis an gclár a sholáthraítear d’ionadaithe parlaiminteacha.”
 
Luaigh an chomhairle contae gur eisigh siad tuarascáil leasaithe, inar baineadh na sonraí teagmhála pearsanta go léir, do gach duine de na faighteoirí agus d’iarr siad orthu an bunleagan a scriosadh. Bhí sé mar fhocal scoir ag an gcomhairle contae a lua, sa chás seo, gur nochtadh an fhaisnéis trí thimpiste agus dúirt siad go dtabharfaidís faoina chinntiú nach dtarlóidh an teagmhas seo arís trí chloí lena nós imeachta caighdeánach agus trí na nósanna imeachta siúd a mheabhrú don fhoireann go léir.
 
Lorg an gearánaí cinneadh foirmiúil ar a gearán.
 
Forálann Alt 2(1)(c)(ii) de na hAchtanna um Chosaint Sonraí nár cheart próiseáil bhreise a dhéanamh ar shonraí ar bhealach nach bhfuil comhoiriúnach don chuspóir lena bhfuarthas iad. Mhínigh an rialaitheoir sonraí sa chás seo, Comhairle Contae Dhún Laoghaire-Ráth an Dúin, dár n-imscrúdú, i gcomhréir leis an Acht um Pleanáil agus Forbairt, 2000, ní mór go liostaítear i dTuarascáil Bhainisteoir Contae do Phlean Ceantair Áitiúil na daoine a rinne aighneachtaí nó breathnuithe. Luaigh an rialaitheoir sonraí, anuas air sin, go n-ullmhaítear liosta aighnitheoirí i ngach cás, ina n-áirítear sonraí teagmhála, seoltaí baile agus seoltaí ríomhphoist, agus gurb é a gcleachtas caighdeánach na seoltaí ríomhphoist a bhaint ón liosta seo sula scaiptear é ar chomhairleoirí.  Ba léir, áfach, sa chás ar leith seo, nár baineadh seoltaí ríomhphoist na n-aighnitheoirí ón liosta scaipthe.  Agus a chinneadh á dhéanamh, bhí an Coimisinéir den tuairim gur sháraigh Comhairle Contae Dhún Laoghaire-Ráth an Dúin Alt 2(1)(c)(ii) de na hAchtanna um Chosaint Sonraí. Tharla an sárú seo trí phróiseáil bhreise a dhéanamh ar shonraí pearsanta an ghearánaí ar bhealach nach raibh comhoiriúnach don chuspóir lena bhfuarthas iad nuair a nocht Comhairle Contae Dhún Laoghaire-Ráth an Dúin a seoladh ríomhphoist trí thuarascáil a scaipeadh ar chomhairleoirí contae, TDanna agus seanadóirí maidir le plean ceantair áitiúil.

Cás-Staidéar 11: Teipeann ar Eircom an tAmfhráma Reachtúil a bhaint amach chun Iarratas ar Rochtain a Phróiseáil

Chuir comhalta foirne ó Eircom gearán faoi bhráid na hOifige seo maidir le teip líomhnaithe ag Eircom chun iarratas ar rochtain a chomhlíonadh a sheol sé ar aghaidh chuig an gcuideachta i Meán Fómhair 2013. Ina iarratas ar rochtain, d’iarr sé go sonrach ar chóip de litir ar leith a seoladh dáta áirithe i bhFeabhra 2013 chuig Príomhoifigeach Leighis Eircom.
 
Chuireamar tús le himscrúdú an ghearáin agus d’iarramar ar Eircom freagra a thabhairt ar an iarratas ar rochtain gan a thuilleadh moille. Chuir Eircom ar an eolas sinn gur sholáthair siad cóip den litir cheana féin don ábhar sonraí a bhí mar ábhar a iarratais ar rochtain, agus sholáthair siad cóip dá bhfreagra dúinn ar iarratas ar rochtain ina dhiaidh sin. Tar éis breis scrúdú a dhéanamh ar fhreagra Eircom ar an iarratas ar rochtain sin, áfach, níor shoiléir dúinn gur bhain an freagra leis an iarratas ar leith ar rochtain sin a bhí mar ábhar an ghearáin reatha mar gheall gur eisíodh an freagra don ábhar sonraí roimh an dáta a rinneadh a iarratas ar rochtain. D’iarramar ar Eircom an cheist a athbhreithniú. Ar deireadh thiar, an 2 Bealtaine 2014, fuaireamar ríomhphost ó Eircom inar cuireadh cóip faoi iamh den fhreagra a tugadh ar an dáta sin ar iarratas ar rochtain an ábhair shonraí an 22 Meán Fómhair 2013, a sholáthair cóip den cháipéis ar lorg an t-ábhar sonraí rochtain uirthi.
 
D’iarr an gearánaí ar chinneadh foirmiúil ón gCoimisinéir Cosanta Sonraí ar a ghearán. Agus a chinneadh á dhéanamh, bhí an Coimisinéir faoin tuairim gur sháraigh Eircom Limited Alt 4(1)(a) de na hAchtanna um Chosaint Sonraí mar gheall gur theip orthu cóip a sholáthar don ábhar sonraí dá shonraí pearsanta mar fhreagra ar a iarratas ar rochtain a sheol sé an 22 Meán Fómhair 2013 laistigh den tréimhse reachtúil 40 lá. Tharla an sárú seo nuair a scaoil Eircom Limited cóip de shonraí pearsanta an ábhair shonraí leis an 2 Bealtaine 2014 – a bhí lasmuigh den tréimhse reachtúil 40 lá.
 
Faoi mar a dtugtar cuntas air in áiteanna eile sa tuarascáil bhliantúil seo, rinne ábhair shonraí breis agus leath de na gearáin a fuair an Oifig seo in 2014 a bhí thíos le deacrachtaí chun a sonraí pearsanta a rochtain. Téama coiteann amháin a thagann chun solais in go leor de na gearáin seo ná go bpróiseálann an rialaitheoir sonraí an t-iarratas ar rochtain ró-dhéanach. Leagtar síos sna hAchtanna tréimhse 40 lá chun iarratas ar rochtain a chomhlíonadh agus mura mbaintear seo amach, faoi mar a dtugtar cuntas thuas air, tá an rialaitheoir sonraí tar éis na hAchtanna um Chosaint Sonraí a shárú. Tá Oifig an Choimisinéara Cosanta Sonraí an-bhuartha faoi chomh minic a dhéantar an sárú ar leith seo. I roinnt cásanna, teipeann ar an rialaitheoir sonraí aitheantas a thabhairt, fiú, go bhfuarthas an t-iarratas ar rochtain laistigh den tréimhse 40 lá. Ciallaíonn seo nach fios in aon chor don té a d’iarraidh an bhfuiltear ag déileáil lena n-iarratas ar rochtain nó an bhfuil neamhaird á tabhairt air. Bhí go leor cásanna ann inar ghlac an rialaitheoir sonraí gníomh ar bith i dtaobh an t-iarratas ar rochtain a phróiseáil go dtí go gcuireann an Oifig seo tús le himscrúdú de bhun gearán a fháil ón ábhar sonraí. Is soiléir nach cás inmhianaithe é seo. Tá ceart reachtúil ag ábhair shonraí chun a sonraí pearsanta a rochtain atá á gcoimeád ag rialaitheoir sonraí trí mhodh simplí – iarratas ar rochtain a sheoladh, agus tá dualgas reachtúil ar an rialaitheoir sonraí an t-iarratas sin a chomhlíonadh laistigh de 40 lá. Níor cheart go mbeadh ar ábhar sonraí an chéim bhreise a ghlacadh agus gearán a chur faoi bhráid Oifig an Choimisinéara Cosanta Sonraí go gcuirfear a gceart reachtúil rochtana i bhfeidhm. Ar an drochuair, faoi mar a nochtann na staitisticí faoi ghearáin, tá i bhfad an iomad ábhair shonraí thíos le bacainní agus le teaicticí séanta rochtana i measc rialaitheoirí sonraí.
 
Sa chás thuas, cuireadh ollmhoill ar cheart rochtana an ábhair shonraí. Ní féidir aon údar a thabhairt atá le moill chomh fada sin faoi aon chúinsí.  Ní féidir glacadh leis an moill sin, go háirithe sa chás nár iarr an té a d’iarr ach ar chóip de na sonraí pearsanta a cuimsíodh i litir amháin nár cruthaíodh chomh fada sin siar agus sa chás gur cuideachta mhór theileachumarsáide an rialaitheoir sonraí atá an-fheasach ar na hAchtanna um Chosaint Sonraí agus a fhaigheann agus a phróiseálann iarratais ar rochtain ó ábhair shonraí ar bhonn rialta. Bíonn Eircom ina n-ábhar roinnt gearán um chosaint sonraí gach bliain i measc réimse saincheisteanna, a mbaineann go leor díobh le hiarratais ar rochtain. Tá súil le hOifig an Choimisinéara Cosanta Sonraí feabhas suntasach a thabhairt faoi deara ar fheidhmíocht um chosaint sonraí na cuideachta sin go gairid amach anseo, go háirithe i gcomhthéacs iarratais ar rochtain a fhaightear ó ábhair shonraí a phróiseáil ar bhealach tráthúil.

Cás-Staidéar 12: Tháinig Sonraí faoi Mhac Léinn Tríú Leibhéal Aníos ar Láithreán Gréasáin Tríú Páirtí

Fuair an Oifig fógra ó rialaitheoir sonraí, i gcomhréir leis an gCód Cleachtais um Shárú ar Shlándáil Sonraí Pearsanta. Chuir an fógra an Oifig ar an eolas ar an gcaoi gur thángthas ar shonraí a bhain le líon mór mic léinn ar láithreán gréasáin nár bhain leis an rialaitheoir sonraí. Bhain na sonraí le bliain acadúil 2010.
 
Chuir an Oifig tús le himscrúdú na ceiste. Thug an rialaitheoir sonraí le fios go raibh ainm, seoladh ríomhphoist agus pasfhocal an mhic léinn i measc na faisnéise a nochtadh ar an láithreán gréasáin. Dheimhnigh an fhoireann imscrúdaithe nach raibh aon sonraí airgeadais nó íogaire i gceist.
 
D’fhostaigh an rialaitheoir sonraí cuideachta slándála chun tabhairt faoina n-imscrúdú féin ar an sárú slándála.
 
Le himeacht ama, ní raibh aon logálaithe freastalaí ar taispeáint nuair a bhí na sonraí á n-uaslódáil chuig an láithreán gréasáin ná ag an té a rinne an uaslódáil seo. Bhí an rialaitheoir sonraí in ann a shainaithint gurbh ionann na sonraí a foilsíodh agus comhad a cruthaíodh ar mhaithe le cuspóirí tástála i lár 2011. Seoladh an comhad seo, ina dhiaidh sin, chuig soláthraí seirbhíse tríú páirtí a bhí fostaithe i gcóras bainistíochta a fhorbairt don rialaitheoir sonraí. Seoladh an comhad trí nach raibh ríomhphost slán.
 
Chuir an soláthraí seirbhíse tríú páirt an rialaitheoir sonraí ar an eolas, cé go raibh gaol idir a gcomhaltaí foirne agus an láithreán gréasáin ar ar foilsíodh na sonraí, thug siad faoi athbhreithniú an-chríochnúil ar an tsaincheist agus níorbh fhéidir leo teacht ar aon fhianaise lena thaispeáint gur cuireadh an comhad in airde ar an láithreán gréasáin mar gheall ar neamhghníomh ar a dtaobh féin.
 
Thaispeáin an measúnú a rinneamar ar an bhfaisnéis gur úsáid an rialaitheoir sonraí, nuair a bhí cuntais mhac léinn á gcruthú, pasfhocail chineálacha nuair a bhí na cuntais mhac léinn á gcruthú. Ba é an pasfhocal dáta breithe an mhic léinn. Cé go bhféadfadh mic léinn na pasfhocail a athrú, níor moladh dóibh riamh iad a athrú.
 
Cé nach bhféadfadh a dheimhniú go díreach conas a tháinig na sonraí aníos ar an láithreán gréasáin, ba léir gur sáraíodh na hAchtanna um Chosaint Sonraí, sa mhéid nach raibh na bearta cuí slándála i bhfeidhm chun cosc a chur ar nochtadh neamhúdaraithe sonraí pearsanta.
 
Dheimhnigh ár n-imscrúdú, chomh maith, nach raibh úsáid sonraí beo ar mhaithe le cuspóirí tástála i gcomhréir le dea-chleachtais um chosaint sonraí. Sa chás go bhfuil sonraí beo á n-úsáid ag eagraíocht ar mhaithe le cuspóirí tástála, bheadh údar tréan ann leis an úsáid sin agus ní rabhamar ar an eolas go raibh aon údar infheidhme sa chás ar leith seo. Mhol an Oifig go gcuirfeadh an rialaitheoir sonraí deireadh le sonraí beo a úsáid ar mhaithe le tástáil agus na sonraí nach luaitear aon ainm leo a dhéanamh de na sonraí nó sonraí samhailteacha a dhéanamh díobh ar mhaithe le cuspóirí tástála.
 
Anuas air sin, níl tarchur na sonraí mac léinn siúd trí bhealach neamhshlán ar aon dul leis na hAchtanna um Chosaint Sonraí. Deimhníodh, fad a bhí an córas bainistíochta á fhorbairt, gur malartaíodh sonraí pearsanta, pasfhocail san áireamh, idir an rialaitheoir sonraí agus an soláthraí seirbhíse, agus bealach neamhshlán á úsáid. Chuir an rialaitheoir sonraí m’Oifig ar an eolas ar an gcaoi go dtarchuireann siad na sonraí siúd trí mheicníocht shlán. Mhol an Oifig seo go gcuirfí an mheicníocht seo ar aird na gcomhaltaí foirne uile.
 
Saincheist eile ar thángthas uirthi i rith ár n-imscrúdaithe a bhí ina hábhar mór buartha ná úsáid a bhaint as pasfhocal cineálach. Mar gheall gur sannadh dáta breithe an mhic léinn mar a bpasfhocal, d’fhéadfadh aon duine a raibh rochtain acu ar dháta breithe mac léinn eile rochtain a fháil ar chuntas úsáideora an mhic léinn sin. Mhol an Oifig go ndéanfadh an rialaitheoir sonraí cumarsáid leis na mic léinn, agus a mholadh dóibh go n-athraíonn siad a bpasfhocal agus go mbeidh 12 charachtar, ar a laghad, sa phasfhocal nua agus go n-áireofaí leis carachtair chás uachtair agus íochtair, uimhreacha agus carachtair speisialta, ar nós siombaile nó comhartha poncaíochta.

Cás-Staidéar 13: Nochtann Rialaitheoir Sonraí Pearsanta le Comhpháirtí Gnó

Fuair an Oifig seo fógra ó rialaitheoir sonraí a thug le fios gur eisíodh ríomhphost do chomhpháirtí gnó lenar áiríodh sonraí pearsanta nár cheart a bheith nochta.
 
Chuir an rialaitheoir sonraí in iúl don Oifig gur iontráil siad i gcomhaontú gnó le cuideachta tríú páirtí chun sonraí nach luann tréithe pearsanta a sholáthar go dtabharfaí faoi mheasúnú indéantachta ar fhiontar beartaithe gnó. Eisíodh ríomhphost don chuideachta tríú páirtí, lenar áiríodh ainmneacha na ndaoine, sa mhullach ar na sonraí a luaitear gan tréithe pearsanta.  Thug seo an deis don chuideachta tríú páirt chun na daoine a bhí i gceist a shainaithint.
 
Luaigh an rialaitheoir sonraí, agus an Oifig seo á cur ar an eolas, gur sholáthair an chuideachta tríú páirtí dearbhuithe gur scriosadh na sonraí.
 
Chuir an Oifig tús le himscrúdú ar shárú ar shlándáil sonraí faoi Alt 10 de na Achtanna um Chosaint Sonraí.
 
Agus aird ar chineál na sonraí a bhí i gceist agus ar fhaisnéis bhreise a fuarthas ó thríú páirt, rinne an Oifig seo an cinneadh chun cuairt a thabhairt ar áitreabh an chomhpháirtí gnó tríú páirtí lena shásamh dúinn féin gur scriosadh na sonraí agus nach ndearnadh breis próiseála orthu.
 
Thug foireann imscrúdaithe, cuairt gan fhógra ar áitreabh an chomhpháirtí gnó agus leas á bhaint as ár gcumhachtaí faoi Alt 24 de na hAchtanna um Chosaint Sonraí. Fuair an fhoireann cáipéisí maidir leis an gcomhaontú gnó; thaispeáin iad seo nár lorgaíodh ach sonraí nár luaigh aon tréithe pearsanta. Fuair an fhoireann tuarascálacha, chomh maith, a cruthaíodh de bhun na sonraí pearsanta a fháil. ba léir ó na tuarascálacha seo, cé go raibh sonraí pearsanta ar fáil don tríú páirtí, níor úsáideadh iad fad a bhí na tuarascálacha á n-ullmhú agus ní raibh aon tionchar acu ar na tuarascálacha.
 
Rinne an fhoireann scrúdú, ansin, ar chórais ríomhaire na cuideachta agus tháinig siad ar roinnt cásanna den ríomhphost a fuair siad inar cuimsíodh na sonraí pearsanta.
 
Bhraith an Coimisinéir gur chuí Fógra Forfheidhmiúcháin a eisiúint don chuideachta tríú páirtí, a cheangail orthu cuideachta sheachtrach slándála TF a fhostú chun aon chóip agus gach cóip de na sonraí pearsanta a scriosadh a fuair siad. Bhí tuarascáil le soláthar ag an gcuideachta slándála TF do m’Oifig le tuarascáil ar chríochnú na hoibre. Fuarthas an tuarascáil seo, mar ba cheart, agus bhí an Oifig sásta gur scriosadh gach cóip de na sonraí pearsanta go slán.
 
Dheimhnigh an t-imscrúdú gur nochtadh sonraí pearsanta gan toiliú ná bonn dlíthiúil. Thug an t-imscrúdú chun suntais, chomh maith, gur úsáid comhaltaí foirne cuntais ríomhphoist neamhghnó de chuid an rialaitheora sonraí fad a bhíothas ag tabhairt faoi cheisteanna gnó. Moladh don rialaitheoir sonraí cosc a chur ar chuntais ríomhphoist neamhghnó mar gheall nach bhféadfadh an rialaitheoir sonraí aon sonraí a rialú a tharchuirfí trí na cuntais neamhghnó seo.
 

Cás-Staidéar 14: Téann Fostaí de chuid Institiúid Airgeadais ar Scor agus Tógann siad Sonraí Pearsanta Custaiméara leo

Fuair an Oifig fógra ó rialaitheoir sonraí, i gcomhréir leis an gCód Cleachtais um Shárú ar Shlándáil Sonraí Pearsanta. Luadh san fhógra gur thairg fostaí a n-éirí as agus chonacthas don rialaitheoir sonraí, ina dhiaidh sin, gur sheol an fostaí scarbhileog ar ríomhphost chuig a gcuntas ríomhphoist pearsanta sular éirigh siad as a bpost. Cuimsíodh sa scarbhileog sonraí faoi chustaiméirí, lena n-áirítear a sonraí fostaíochta, tuarastail, sonraí teagmhála agus comhairleach leighis.
 
Sholáthair an rialaitheoir sonraí ainm agus seoladh baile an fhostaí.
 
Rinne brateagraíocht an rialaitheora sonraí teagmháil leis an Oifig, chomh maith, chun cabhair a lorg faoinar cheart dóibh a chur in iúl dá gcomhalta.
 
Dheimhnigh an Oifig, tríd an Oifig um Chlárú Cuideachtaí, go raibh gnó á oibriú ó sheoladh baile an fhostaí. Rinneamar teagmháil leis an bhfostaí, ar an mbonn go raibh siad ag oibriú anois mar rialaitheoir sonraí ina gceart féin.  Lorgaíomar soiléiriú ón bhfostaí maidir leis an toiliú a bhí faighte acu chun aon sonraí pearsanta a phróiseáil a fuair siad óna n-iar-fhostaíocht.
 
Chuir an fostaí in iúl don Oifig, mar chuid dá bhfostaíocht, gur iarradh orthu a ríomhaire glúine féin agus a nguthán pearsanta a úsáid i ngach déileáil gnó. Thug an fostaí le fios, ina theannta sin, nár chuir siad tús go fóill le stocaireacht a dhéanamh le haghaidh cliant. Dheimhnigh an fostaí, chomh maith, gur scrios siad na sonraí pearsanta go léir a bhí á gcoimeád acu maidir lena n-iar-fhostaíocht.
 
Rinneamar teagmháil leis an rialaitheoir sonraí, chomh maith, a rinne an fógra maidir leis na nósanna imeachta slándála a bhí i bhfeidhm chun sonraí custaiméara a bhí á gcoimeád acu a chosaint. Thug an Oifig faoi deara gur cuimsíodh sa chonradh fostaíochta na clásail chuí um chosaint sonraí. B’ábhar buartha, áfach, é go raibh a dtrealamh féin á n-úsáid ag fostaithe ar mhaithe le cuspóirí gnó. Faoi na cúinsí sin, is beag smacht, má bhíonn smacht ar bith, ag an rialaitheoir sonraí ar na sonraí a choimeádtar ar threalamh pearsanta.
 
Thug an rialaitheoir sonraí breis nósanna imeachta agus beartas isteach de bhun na saincheiste chun cosc a chur ar atarlú an saghais seo de theagmhas, lena n-áirítear bogearraí a thabhairt isteach chun cosaint phasfhocail a chur ar aon taifid sonraí a sheoltar ar ríomhphost. Ar a bharr sin uile, ní mór d’fhostaithe gealltanas a shíniú nuair a chuireann siad deireadh le fostaíocht, gur tugadh ar ais na sonraí go léir agus nach ndéanfar breis próiseála orthu.
 

Cás-Staidéar 15: Goideadh Ríomhaire Glúine Neamhchriptithe

Fuair an Oifig fógra um shárú ar shlándáil sonraí i rith na bliana ó ghairmí leighis a bhain le ríomhaire glúine a goideadh.
 
Cuireadh in iúl san fhógra go raibh cosaint phasfhocail ar an ríomhaire ach nach raibh sé criptithe. Tugadh le fios san fhógra, chomh maith, gur bhain na sonraí a bhí á stóráil ar an ríomhaire glúine le staidéar leighis faoinar tugadh in 2009 agus áiríodh leis comhaid fuaime d’agallaimh faoinar tugadh le hábhair an staidéir inar cuimsíodh faisnéis theoranta. Deimhníodh gur cuimsíodh i gcomhad ina liostaítear ábhair an staidéir uimhir aitheantais seachas ainm an duine aonair. Ar a shon sin, bhí comhad breise á stóráil ar an ríomhaire glúine a chuir an uimhir aitheantas i gcoibhneas le hainm an ábhair. Anuas air sin, bhí cosaint phasfhocail ar an gcomhad seo.
 
Tugadh faoi deara, sular cuireadh tús leis an staidéar, go bhfuarthas faomhadh ón gCoiste Eitice ábhartha a chuimsigh stóráil sonraí.
 
Chuir an Oifig seo ár dtreoir in iúl don rialaitheoir sonraí maidir le fógra maidir leis na daoine a ndearnadh difear dóibh. Sa chás ar leith seo, chuir an rialaitheoir sonraí in iúl don Oifig go raibh siad faoin tuairim gur mhó an suaitheadh ná an chabhair a chruthódh an fógra do na daoine a ndearnadh difear dóibh. Léirigh an gairmí leighis ábhartha a raibh maoirsiú á dhéanamh aige ar an tionscadal an tuairim seo. Ní mór don Oifig seo tuairim ghairmí leighis a thabhairt faoi deara, a bhfuil caidreamh gairmiúil aige leis na daoine a ndearnadh difear dóibh.  Glacaimid leis go ndearnadh an cinneadh seo agus tionchar féideartha nochta neamhúdaraithe na sonraí seo á chur san áireamh i gcoinne an tsuaite a bhféadfadh an duine a bheith thíos leis trí é/í a chur ar an eolas ar an sárú slándála.
 
Thug an Oifig seo faoi deara, áfach, go bhfuil ríomhairí glúine á gcriptiú anois. Leagann an cás seo an bhéim ar an gcaoi gur gá monatóireacht leanúnach a dhéanamh ar bhreithniúcháin um chosaint sonraí. D’fhéadfadh nach bhfuil caighdeán a bhí inghlactha cúig bliana ó shin inghlactha anois, agus ní mór socruithe slándála a athbhreithniú go tréimhsiúil.
 

Cás-Staidéar 16: Cuireadh Líonra Adode i gContúirt

Chuir Adobe Systems Software Ireland Ltd an Oifig seo ar an eolas i nDeireadh Fómhair 2013, i gcomhréir leis an gCód Cleachtais um Shárú ar Shlándáil Sonraí Pearsanta, ar shárú ar shlándáil sonraí maidir le rochtain neamhúdaraithe ar a gcórais. Cuireadh sonraí pearsanta i gcontúirt agus ghlac eilimintí cóid fhoinsigh bhogearraí Adobe chomh maith.
 
Rinneadh difear do bheirt rialaitheoirí: Adobe US agus Adobe Systems Software Ireland Ltd (Adobe Irl). Thugamar faoi imscrúdú comhordaithe le hOifig Choimisinéir Príobháideachais Cheanada agus thug Oifig Choimisinéir Faisnéise na hAstráile faoinár n-imscrúdú in éineacht linn.
 
Cineál na Sonraí a Cuireadh i gContúirt
Chruthaigh Adobe Irl trí aicmiú de dhaoine a ndearnadh difear dóibh:
 
  • Úsáideoirí cárta íocaíochta, i.e. iad siúd a bhfuarthas rochtain ar a n-uimhreacha criptithe cárta íocaíochta i rith an tsáraithe.  Sonraí criptithe cárta íocaíochta a bhí sna sonraí a bhí i gceist – thart ar 3.65 milliún cárta íocaíochta (bhí 1 milliún á rialú ag Adobe Irl) a bhain le thart ar 3.1 milliún duine.
  • •Úsáideoirí gníomhacha, i.e. iad siúd a logáil isteach i gcórais Adobe ar a laghad uair amháin sa dá bhliain sular thángthas ar an sárú. I measc na sonraí a bhí i gceist, bhí: seoladh ríomhphoist agus pasfhocal reatha criptithe – 41 milliún (tagann laghdú anuas go dtí 33 milliún air seo, mar gheall nárbh fhéidir 8 milliún fógra ríomhphoist a sheachadadh) (bhí 20.5 milliún á rialú ag Adobe Irl).
  •  Úsáideoirí neamhghníomhacha, i.e. iad siúd nár logáil isteach in Adobe sa dá bhliain sular thángthas ar an sárú. I measc na sonraí a bhí i gceist, bhí: seoladh ríomhphoist agus pasfhocal reatha criptithe – 71 milliún (tagann laghdú anuas go dtí 46.5 milliún air seo, mar gheall nárbh fhéidir 25 milliún fógra ríomhphoist a sheachadadh) (bhí 28.5 milliún á rialú ag Adobe Irl).
 
Conas a Tharla an Sárú
B’ionradh casta agus marthanach a bhí san ionsaí ar chórais ríomhaire Adobe. Shainaithin agus bhain na hionsaitheoirí sonraí ó fhreastalaí cúltaca a stóráil na sonraí ríomhairithe ar a ndéantar cur síos thuas. Luann Adobe nach bhfuil aon fhianaise acu lena thaispeáint gur glacadh sonraí criptithe cárta. Thacaigh sainchomhairleoirí fóiréinseacha a d’fhostaigh Adobe leis an gconclúid seo.
 
Nuair a cuireadh Adobe ar an eolas ar an sárú slándála, chuir siad tús le himscrúdú ar chúis na saincheiste agus chuir siad tús le sraith beart, lena n-áirítear an méid a leanas:
 
  • ·         Dínascadh an bunachar sonraí ar ar imríodh tionchar ón líonra
  • ·         Cuireadh seoltaí IP óna bhfuair an t-ionsaitheoir rochtain ar a gcórais ar liosta dubh
  • ·         Athshocraíodh pasfhocail do gach úsáideoir a bhféadfadh go ndearnadh difear dó/di (úsáideoirí gníomhacha/neamhghníomhacha san áireamh)
  • ·         Athraíodh na pasfhocail do na cuntais ábhartha riarthóra
  • ·         Cuireadh na bainc ar an eolas a raibh gearáin chustaiméara á bpróiseáil acu le haghaidh Adobe, ionas go bhféadfaidís oibriú chun cuntais chustaiméirí a chosaint
  • ·         Cuireadh na húdaráis forfheidhmithe dlí ar an eolas ar an sárú
  • ·         Fostaíodh cuideachta tríú páirtí chun tabhairt faoi imscrúdú ar chúis an tsáraithe slándála ar a gcórais agus lena shainaithint cén sonraí a d’fhéadfadh bheith curtha i gcontúirt
  • ·         Chuathas i mbun beart chun na rioscaí a laghdú a bhain le roinnt eilimintí cóid fhoinsigh a ghoid
  • ·         Eisíodh fógraí do dhaoine a ndearnadh difear dóibh, ag tosú an 3 Deireadh Fómhair 2013, a chur custaiméirí ar an eolas ar an sárú slándála
Pasfhocail
I mBaol: chuir an t-ionsaitheoir roinnt sonraí in airde a éis-scagadh ar láithreán gréasáin agus áiríodh leo na seoltaí ríomhphoist agus pasfhocal criptithe roinnt úsáideoirí de chuid Adobe. Thaispeáin roinnt ailt taighde go ndearnadh roinnt pasfhocal a chraiceáil trí thagairt a dhéanamh do leideanna pasfhocail agus pasfhocail leantacha (i.e. an pasfhocal céanna a bheith in úsáid ag breis agus úsáideoir amháin). Leag alt amháin an bhéim ar eagraíocht a sheiceáil na hainmneacha úsáideora a cuireadh i gcontúirt agus na pasfhocail a craiceáladh i gcoinne a n-ardáin féin agus deimhníodh go n-éireodh le cuid de na critéir seo ar a n-ardán féin.  Rinne an eagraíocht teagmháil le cuid dá n-úsáideoirí, agus cuireadh ar an eolas iad faoin tsaincheist, agus dheimhnigh siad an cás don oifig seo chomh maith. Is éard atá i gceist leis an tsaincheist seo, ná cé gur chuir Adobe athrú pasfhocail i bhfeidhm ar a láithreán féin agus gur moladh dá n-úsáideoirí a bpasfhocail a athrú in áiteanna eile, is léir nár ghlac gach úsáideoir leis an gcomhairle sin.
 
Leideanna: Ba iad leideanna pasfhocail de chuid céatadán beag de na húsáideoirí a bhí i gcodanna de na sonraí a d’éis-scag an t-ionsaitheoir.  Bhí na leideanna seo stóráiltear i dtéacs soiléir agus bhain siad leis an ainm úsáideora (seoladh ríomhphoist). Is féidir roinnt pasfhocail shimplí a shainaithint má bhíonn an fhaisnéis seo agat agus má dhéantar anailís ar na pasfhocail chriptithe.  Faoi mar a tugadh faoi deara roimhe seo, áfach, d’athshocraigh Adobe na pasfhocail do gach úsáideoir ar imríodh tionchar air/uirthi.
 
Stóráil: Cheistigh an Oifig cén fáth ar stóráladh pasfhocail in aon chóras amháin ar bhealach criptithe seachas iad a bheith haiseáilte agus saillte.  Is féidir pasfhocail a dhíchriptiú, a chuirfeadh ar chumas an rialaitheora sonraí pasfhocail úsáideoirí a fheiceáil, nó na n-ionsaitheoirí, dá mbainfidís rochtain amach. Luaigh Adobe go raibh haiseáil agus sailleadh á dhéanamh acu ar phasfhocail laistigh de chóras nua ar feadh roinnt blianta sular thángthas ar an sárú slándála, ach gur chinn siad chun an bunachar sonraí a choimeád sa seanchóras mar bheart cúltaca i gcás go mbeadh saincheisteanna i gceist leis an gcóras nua. Criptíodh pasfhocail i mbunachar sonraí an tseanchórais.
 
Sonraí Cárta a Choimeád le Taifid Chustaiméara
I dtaobh custaiméirí a d’úsáid cártaí chun táirgí nó seirbhísí Adobe a cheannach, stóráladh a sonraí cárta (criptithe) le cuntas an chustaiméara laistigh de chóras ar leith amháin.  Tá córas ceadchomhartha curtha in ionad uimhreacha cárta anois. Cuireadh tús leis an bpróiseas seo sular thángthas ar an sárú slándála agus cuireadh i gcrích é go gairid ina dhiaidh sin.  Léiríonn an ceadchomhartha, atá criptithe, uimhir an chárta íocaíochta laistigh den taifead custaiméirí agus tarchuireann córais Adobe an ceadchomhartha criptithe do sholáthraí seirbhíse tríú páirtí, a bhfuil a gcórais lonnaithe lasmuigh de líonra Adobe, chun íocaíocht a phróiseáil.  
 
Fógraí do Dhaoine a nDearnadh Difear Dóibh
Sholáthair Adobe liosta don Oifig ar cathain a chuir siad gach aicme de dhaoine a ndearnadh difear dóibh ar an eolas agus an fógra ábhartha. Anuas air sin, d’fhógair Adobe go poiblí sárú 2013 ar phoist ar a láithreáin ghréasáin, lenar áiríodh plé ar an gcód foinseach a ghoid. Chuir na fógraí éagsúla daoine aonair ar an eolas chun monatóireacht a dhéanamh ar a ráitis chárta creidmheasa agus a bpasfhocal a athrú má úsáideadh é ar láithreán eile.
 
Nuair a cheistíomar cén fáth nár eisíodh fógraí do na daoine aonair siúd nár cuireadh ach a sonraí teagmhála i gcontúirt agus nár áiríodh leo sonraí faoi phasfhocal nó cárta íocaíochta, d’fhreagair Adobe gur chreid siad go n-eascródh ró-fhógra agus tuirse fógra as fógra a thabhairt sa chás seo agus nach bhfuil riosca suntasach ann i leith díobhála maidir le cur i gcontúirt den saghas seo d’eilimint sonraí. Moltar sa Chód Cleachtais go dtugtar fógra d’úsáideoirí a ndéantar difear dóibh, ionas gur féidir le gach duine a ndearnadh difear dóibh breithniú a dhéanamh ar na hiarmhairtí a bheidh i ndán dóibh féin agus na bearta cuí a ghlacadh.
 
Bheadh an Oifig seo ag súil leis, dá dtarlódh a mhacasamhail de theagmhas amach anseo, go gcuirfeadh Adobe, nó aon rialaitheoir sonraí eile gach duine aonair san áireamh ar cuireadh a sonraí pearsanta i gcontúirt ina bpróiseas fógra.
 
Conclúid agus Torthaí
Chomhoibrigh Adobe go hiomlán lenár n-imscrúdú ar an sárú slándála a cuireadh in iúl dúinn an 2 Deireadh Fómhair 2013. Ghlac Adobe an gníomh cuí nuair a tháinig siad ar an ionsaí chun cosc a chur ar bhreis rochtana ar a gcórais faoi mar a cheanglaítear faoi Alt 2(1)(d) de na hAchtanna um Chosaint Sonraí, 1988 agus 2003. Anuas air sin, chuir siad athrú pasfhocail i bhfeidhm dá n-úsáideoirí chun cosc a dhéanamh i leith rochtain neamhúdaraithe ar shonraí cuntais. Chuir freagairt mhear Adobe, nuair a cuireadh ar an eolas iad faoin sárú slándála, cosc ar an ionsaitheoir ó shonraí neamhchriptithe cárta íocaíochta a éis-scagadh.
 
D’fhéadfadh Adobe an t-aistriú a bhaint amach ó na pasfhocail chriptithe a úsáideadh sa seanchóras chuig pasfhocail a dhéantar a haiseáil agus a shailleadh ní b’éifeachtaí agus ní ba thapúla ná mar a rinne siad. Ábhar buartha do na húsáideoirí siúd a sholáthair leideanna pasfhocail is ea gur stóráil Adobe iad seo i nglantéacs seachas i bhformáid chriptithe, agus cuireadh cuid díobh i gcontúirt.
 
Tá an Oifig ar an aird ar an gcaoi go mbeidh rialaitheoirí sonraí, ar nós Adobe i gcónaí ina sprioc d’ionsaitheoirí agus go bhfuil modhanna nua ionsaí á gceapadh i gcónaí.
 
Dheimhnigh an Oifig gur sháraigh Adobe Alt 2(1)(d) de na hAchtanna mar gheall gur theip orthu na bearta cuí slándála a bheith i bhfeidhm chun na sonraí faoina rialú a chosaint, in ainneoin a gclár doiciméadaithe slándála. Moladh, chomh maith, go bhfostaíonn Adobe tríú páirtí chun tabhairt faoi athbhreithniú neamhspleách ar a gcórais.
 
Chuir Adobe feabhsúcháin shubstainteacha i bhfeidhm ina bprótacail, cleachtais agus nósanna imeachta slándála, agus tá an Oifig seo sásta go bhfuil nósanna imeachta cuí i bhfeidhm anois chun an fhéidearthacht i leith sárú féideartha slándála amach anseo a íoslaghdú.