Fuair an DPC gearán i Mí Iúil 2018 ó údarás cosanta sonraí na Polainne ar son gearánaigh Pholannaigh in aghaidh Groupon International Limited (“Groupon”). Bhain an gearán leis na riachtanais a bhí i bhfeidhm ag Groupon ag an am sin chun céannacht daoine aonair a dheimhniú a rinne iarratais chosanta sonraí don chomhlacht. Sa chás seo, mhaígh an gearánach go raibh cleachtas Groupon, is é sin ceangal a chur orthu a gcéannacht a dheimhniú trí chur isteach leictreonach chóip chárta náisiúnta aitheantais, i gcomhthéacs iarratais a bhí déanta acu chun sonraí pearsanta a scriosadh de bhun Airteagail 17 den GDPR, ina shárú ar phrionsabal an íoslaghdaithe shonraí faoi mar a leagtar sin amach in Airteagal 5(1) (c) den GDPR, i gcúinsí nuair nár ghá doiciméad aitheantais a sholáthar agus cuntas Groupon á chruthú. Ina theannta sin, mhaígh an gearánach gur shárú ar a gceart ar scriosadh faoi Alt 17 a bhí i dteip Groupon ina dhiaidh sin gníomhú maidir leis an iarratas scriosta (i gcúinsí nuair a chuir an duine in aghaidh cóip dá gcárta náisiúnta aitheantais a sholáthar).

Chuir an DPC tús le himscrúdú an ghearáin tar éis dó sin a fháil . Le linn a chomhfhreagrais le Groupon faoin gceist, ba léir gur éiríodh as polasaí Groupon ceangal a chur ar iarratasóir cóip a sholáthar de chárta náisiúnta aitheantais, a bhí i bhfeidhm roimh theacht i bhfeidhm an GDPR (agus a bhí i bhfeidhm ag am iarratas scriosta an ghearánaigh), gur éiríodh as sin ó Mhí Dheireadh Fómhair 2018 ar aghaidh . Ina áit sin bhí Groupon tar éis córas fíord- heimhnithe r-phoist a chur i bhfeidhm a lig d´úsáideoirí Groupon deimhniú gur leo an cuntas . Rinne an DPC iarracht an gearán a réiteach go cairdiúil (de bhun Ailt 109(2) den Acht um Chosaint Sonraí 2018) ach ní raibh an gearánach toilteanach glacadh le moltaí Groupon maidir leis sin . Dá réir sin, b´éigean cinneadh a dhéanamh faoin gceist trí chinneadh faoi Airteagal 60 den GDPR .

1. Dréachtchinneadh Tosaigh

Bhí i gceist le chéad chéim phróiseas Ailt 60 ná ullmhú dréachtchinnidh ag an DPC i dtaca leis an ngearán. Ina dhréachtchinneadh tosaigh, rinne an DPC cinntí gur sáraíodh Airteagail 5(1)(c) agus 12(2) den GDPR ag Groupon . Chuir an DPC an dréachtchinneadh ar fáil do Groupon le cur ar a chumas aighneachtaí a dhéanamh . Ina dhiaidh sin rinne Groupon roinnt aighneachtaí a cuireadh san áireamh (in éineacht le hanailís an DPC díobh) i leagan breise den dréachtchinneadh .

2. Soláthar an Dréachtchinnidh Thosaigh do na hÚdaráis Mhaoirseachta Ábhartha

Bhí i gceist le dara céim phróiseas Ailt 60 uaslódáil dréachtchinneadh tosaigh an DPC don IMI lena scaipeadh i measc na nÚdarás Maoirseachta Ábhartha (CSA), de bhun Airteagail 60(3) den GDPR . Rinneadh dréachtchinne- adh an DPC a uaslódáil don IMI ar 25 Bealtaine 2020; de bhun Airteagail 60(4) den GDPR, ina dhiaidh sin bhí ceithre seachtaine ag na CSA chun aon agóid ábhartha agus réasúnach a chur isteach maidir leis an gcinneadh .

Ina dhiaidh sin fuair an DPC roinnt agóidí ábhartha agus réasúnacha chomh maith le tuairimí faoina chinneadh ó CSA . Go sonrach, rinne CSA áirithe an cás dó gur chóir sáruithe breise den GDPR a bheith aimsithe, agus ina theannta sin gur chóir iomardú agus/nó fíneáil riaracháin a bheith curtha i bhfeidhm .

3. Dréachtchinneadh Athbhreithnithe

Chuir an chéad chéim eile de phróiseas Ailt 60 iachall ar an DPC machnamh cúramach a dhéanamh faoi gach agóid ábhartha agus réasúnach agus gach tuairim a fuarthas i dtaca lena dhréachtchinneadh, agus a anailís de na rudaí sin a chorprú i ndréachtchinneadh athbhreithnithe . Agus é ag athbhreithniú a dhréachtchinnidh, thug an DPC aird ar chuid de na hagóidí ábhartha agus réasúnacha a fuarthas, ach níor thug sé aird ar agóidí ábhartha agus réasúnacha áirithe eile . Fuair dréachtchinneadh athbhreithnithe an DPC, agus é ag cur san áireamh a anailís ar na hagóidí ábhartha agus réasúnacha agus na tuairimí maidir lena dhréachtchinneadh, fuair sé sáruithe breise ar Airteagail 17(1)(a) agus 6(1) den GDPR ag Groupon . Ina theannta sin, mhol an DPC ina dhréachtchinneadh athbhreithnithe iomardú a thabhairt do Groupon, de bhun Airteagail 58(2)(b) den GDPR . Sholáthair an DPC a dhréachtchinne- adh athbhreithnithe do Groupon chun cur ar a chumas aighneachtaí deiridh a dhéanamh . Fuarthas roinnt aigh- neachtaí deiridh ó Groupon, a cuireadh san áireamh (in éineacht le hanailís an DPC díobh) i ndréachtchinneadh athbhreithnithe an DPC .

4. Soláthar Dréachtchinnidh Athbhreithnithe chuig na hÚdaráis Mhaoirseachta Ábhartha

Bhí i gceist le chéad chéim eile phróiseas Airteagail 60 gur uaslódáil an DPC a dhréachtchinneadh athbhreithnithe don IMI, lena scaipeadh i measc na CSA . Faoi Airteagal 60(5) den GDPR, bhí na CSA i dteideal dhá sheachtain bhreise a bheith acu chun aon agóidí breise a chur isteach maidir leis an gcinneadh . Tógadh saincheist amháin eile maidir le dréachtchinneadh athbhreithnithe an DPC . Mar gheall air sin b´ann don fhéidearthacht go mbeadh gá ann leis an nós imeachta Réitigh Achrainn a úsáid faoi Airteagal 65 den GDPR, a thabharfadh isteach rannpháirtíocht an EDPB, agus é ag tabhairt breithe faoin bpointe/ faoi na pointí easaontais, agus a chuirfeadh leis an tréimhse ama inarbh fhéidir an cinneadh a chomhlánú i dtaca leis an gcás. Aistarraingíodh an fiosrúchán breise ina dhiaidh sin, áfach .

5. Glacadh leis an gCinneadh Deiridh

Tar éis aistarraingt na hagóide deiridh ábhartha agus réasúnaí, agus an spriocdháta thart chun aon agóidí breise a fháil, bhí i gceist le céim dheiridh phróiseas Airteagail 60 gur ghlac an DPC leis an gcinneadh deiridh, a ndearnadh é a uaslódáil don IMI agus a cuireadh in iúl do Groupon . Rinneadh an cinneadh deiridh a uaslódáil ar 16 Nollaig 2020 . De réir Airteagail 60(6) den GDPR, measadh go raibh na CSA ar aon tuairim ag an bpointe seo leis an gcinneadh agus go raibh orthu cloí leis . De bhun Airteagail 60(7), bhí údarás cosanta sonraí na Polainne, ar taisceadh an gearán leis i dtús báire, freagrach as an gcinneadh a chur in iúl don ghearánach .

Mar achoimre, fuair an DPC sáruithe na nAirteagal seo a leanas den GDPR maidir leis an gcás seo: Airteagail 5(1)(c), 12(2), 17(1)(a) agus 6(1) 

Fuair an DPC gearán ó dhuine aonair Éireannach in aghaidh Cardmarket, ardán Gearmánach r-thráchtála agus trádála. Fuair an duine r-phost ó Cardmarket, ag cur in iúl dó go rabhthas tar éis é a haiceáil agus gur féidir gur sceitheadh cuid dá chuid eolais phearsanta úsáideora. Chuir an duine aonair an DPC ar a airdeall agus chuir sé gearán faoina bhráid maidir leis an sárú.

Faoin meicníocht Ionaid Ilfhreastail (OSS) a cruthaíodh ag an GDPR, socraíonn suíomh phríomheagraíocht Eorpach chomhlachta cé acu údarás Eorpach a ghníomhóidh mar an príomhúdarás maoirseachta i dtaca le haon ghearáin a fhaightear . Nuair a dheimhnítear an priomhúdarás (LSA), gníomhaíonn an t-údarás a fuair an gearán mar údarás maoirseachta ábhartha (CSA) . Is é an CSA an t-idirgh- abhálai idir an LSA agus an duine aonair . I measc rudaí eile, is é an fáth atá leis an scaradh seo ná le gur féidir le húdaráis mhaoirseachta cumarsáid a dhéanamh le gearánaigh aonair ina dteanga dhúchais . Sa chás seo, ghníomhaigh DPA Bheirlín mar an LSA, ós rud é go raibh príomhshuíomh an chomhlachta i limistéar críche Bheirlín . Ghníomhaigh an DPC mar CSA, ag déanamh cumarsáide le DPA Bheirlín agus ag cur ar aghaidh nuashonruithe maidir leis an imscrúdú (tar éis iad a aistriú ó Ghearmáinis go Béarla) don ghearánach in Éirinn .

Thug DPA Bheirlín a imscrúdú chun críche maidir leis an sárú agus maidir le gearán an duine aonair . D´uaslódáil sé dhá dhréachtchinneadh, ceann a bhain leis an sárú iomlán, a chuaigh i bhfeidhm ar a lán úsáideoirí eile de chuid an ardáin ar fud na hEorpa, agus ceann eile maidir leis an ngearán sonrach a taisceadh ag an Éireannach leis an DPC agus a cuireadh in iúl do DPA Bheirlín .

Gné thábhachtach de chuid mheicníocht OSS ná gur féidir le CSA tuairim a chur in iúl maidir le dréachtchinne- adh a eisítear ag príomhúdarás maoirseachta . Déantar sin le cinntiú go bhfuil údaráis mhaoirseachta Eorpacha ag cur an GDPR i bhfeidhm go comhsheasmhach, .i . go mbeadh an chonclúid chéanna ag baint leis an gcinneadh deiridh a dhéanann DPA Bheirlín agus a bheadh ag baint le cinneadh de chuid an DPC dá mbeadh an comhlacht lonnaithe in Éirinn agus dá mbeadh an DPC tar éis imscrúdú a dhéanamh ar an ngearán mar an príom- húdarás maoirseachta .

Bhí an DPC sásta le dréachtchinntí DPA Bheirlín agus níor mheas sé é a bheith riachtanach aon phointí soiléirithe nó iarratais leasaithe a lua an uair seo . Chuir an DPC an duine aonair ar an eolas faoi thoradh imscrúdú DPA Bheirlín, ag soláthar dóibh cóip den chinneadh iomlán maidir leis an imscrúdú a rinneadh ar an sárú agus an cinneadh a phléigh lena ngearán sonrach .

Rinne duine aonair teagmháil leis an gCoimisiún um Chosaint Sonraí tar éis do sholáthraí cúram sláinte diúltú don iarraidh léirscriosta uaidh. D’iarr an duine aonair go léirscriosfaí na sonraí stairiúla sláinte uile a shealbhaigh an soláthraí cúram sláinte faoi. Luaigh sé go raibh na sonraí sin mícheart toisc gur bhain siad le mídhiagnóis líomhnaithe. 

Mar chuid dá scrúdú ar an ngearán, d’iarr an Coimisiún ar an soláthraí cúram sláinte a lua cén bunús dleathach a bhí aige le taifid sláinte an duine aonair a phróiseáil, go háirithe i ndáil le hAirteagail 6 agus 9 RGCS. Luaigh an soláthraí cúram sláinte go raibh sé ag brath ar Airteagal 6(1)(e) RGCS chun sonraí pearsanta an duine aonair a phróiseáil. Luaitear in Airteagal 6(1)(e) RGCS go mbeidh an phróiseáil dleathach i gcás gur “...gá an phróiseáil a dhéanamh chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil atá dílsithe don rialaitheoir”. 

I ndáil le hAirteagal 9 RGCS, luaigh an soláthraí cúram sláinte go leanann sé leis na taifid sláinte a phróiseáil faoi Airteagal 9(2)(h) agus (i) RGCS. Luaitear mar a leanas in Airteagal 9(2)(h) RGCS: “is gá an phróiseáil a dhéanamh chun críocha leighis choiscthigh nó ceirde...[agus chun] diagnóis leighis...a sholáthar...”. Luaitear mar a leanas in Airteagal 9(2)(i) RGCS: “is gá an phróiseáil a dhéanamh ar chúiseanna a bhaineann le leas an phobail i réimse na sláinte poiblí...”. 

Thug an duine aonair don soláthraí bunaidh cúram sláinte diagnóis fhrithráiteach a fuair sé ó sholáthraithe eile cúram sláinte. Luaigh an duine aonair gur cruthaíodh leis an diagnóis sin go raibh an diagnóis bhunaidh mícheart. Thug an soláthraí cúram sláinte admháil á rá go bhfuair sé na doiciméid ón duine aonair agus rinne sé athbhreithniú orthu. Thug an soláthraí cúram sláinte faoi deara, áfach, gurb ionann diagnóis leighis agus tuairim a thugtar ag pointe ama ar leith. Sa chás seo, bhain na taifid sláinte le tuairim stairiúil leighis a tugadh nuair a fuair an duine aonair an diagnóis. Dá bhrí sin, ní fhéadfar glacadh le haon tuairim leighis a tugadh ag pointe eile ama mar fhianaise á léiriú go bhfuil tuairim stairiúil leighis mícheart. Mar sin, cé gur féidir go dtiocfaidh athrú ar riocht sláinte le himeacht ama, ní chealóidh sé sin an fíoras gur tharla sé, ag pointe ar leith, gur cuireadh cóireáil ar dhuine aonair in aghaidh tinneas ar leith nó gur tugadh diagnóis áirithe dó. 

Dar leis an gCoimisiún, is amhlaidh, chun críocha RGCS, a bheidh sonraí pearsanta míchruinn má tá siad mícheart mar fhíoras. Mar sin féin, bunaithe ar an bhfaisnéis a bhí ar fáil don Choimisiún, níl na sonraí pearsanta – an diagnóis bhunaidh – atá á gcoinneáil ar comhad ag an soláthraí cúram sláinte míchruinn mar fhíoras, toisc gurb ionann iad agus an diagnóis bhunaidh a tugadh ag an bpointe ama sin. Dá bhrí sin, chinn an Coimisiún go bhfuil bunús dleathach ag an soláthraí cúram sláinte le leanúint le sonraí sláinte an duine aonair a phróiseáil de réir Airteagal 17(1)(a) RGCS agus gur gá na sonraí pearsanta atá i riocht na diagnóise bunaidh a phróiseáil go fóill i ndáil leis na críocha ar chucu a bailíodh na sonraí pearsanta sin nó a próiseáladh iad ar shlí eile ar dtús. Chinn an Coimisiún freisin gur ghníomhaigh an soláthraí cúram sláinte i gcomhréir le hAirteagal 17(3)(c) RGCS i ndáil le measúnú cuimsitheach leighis agus cóireáil chuimsitheach leighis a thabhairt don duine aonair nuair a dhiúltaigh sé don iarraidh léirscriosta ón duine aonair a chomhlíonadh. 

Tar éis don Choimisiún déileáil leis an ngearán, chuir an soláthraí cúram sláinte ráiteas forlíontach le taifead leighis an duine aonair chun go n-áireofaí leis freisin na doiciméid a sholáthair an duine aonair agus chun aon duine a bheadh ag léamh chomhad leighis an duine aonair amach anseo a chur ar an eolas faoi thuairim an duine aonair agus faoin diagnóis fhrithráiteach i ndáil leis an diagnóis leighis. 

Nóta: Luaitear in Airteagal 17(1)(a) RGCS go léirscriosfaidh rialaitheoir sonraí sonraí pearsanta nach bhfuil riachtanach a thuilleadh chun na gcríoch bunaidh. Mar sin féin, eisiaitear le hAirteagal 17(3)(c) RGCS cur i bhfeidhm Airteagal 17(1) in imthosca nach bhfuil an phróiseáil riachtanach a thuilleadh “ar chúiseanna a bhaineann le leas an phobail i réimse na sláinte poiblí i gcomhréir le pointe (h) agus le pointe (i) d’Airteagal 9(2) chomh maith le hAirteagal 9(3)”. 

D’oscail duine aonair cuntas ar líne le geallghlacadóir agus chuir sé suim airgid i dtaisce sa chuntas. Tar éis dó iarracht a dhéanamh an feidhmchlár (“aip”) a bhaineann leis an tseirbhís a íoslódáil, thuig an duine aonair go tapa nach raibh an aip comhoiriúnach lena fhón póca. An lá dár gcionn, chuir an duine aonair iarraidh léirscriosta faoi bhráid an gheallghlacadóra faoi Airteagal 17 RGCS. Dhiúltaigh an geallghlacadóir don iarraidh léirscriosta a chomhlíonadh, á lua go raibh oibleagáidí dlíthiúla air na sonraí pearsanta a choinneáil toisc go ndearnadh cistí a chur i dtaisce sa chuntas agus a aistarraingt uaidh, rud a d’fhág gur ‘chustaiméir’ é. Bhí an duine aonair míshásta leis an bhfreagra sin toisc nár aontaigh sé gur ‘chustaiméir’ de chuid an gheallghlacadóra é toisc nár chuir sé aon gheall tríd an gcuntas, bíodh sé ar líne nó tríd an aip. 

Ag teacht sna sála ar chaidreamh leis an gCoimisiún um Chosaint Sonraí (an Coimisiún), luaigh an geallghlacadóir nach bhféadfadh sé sonraí pearsanta an duine aonair a léirscriosadh toisc go bhfuil sé faoi réir na reachtaíochta Frithsciúrtha Airgid faoin Acht um Cheartas Coiriúil (Sciúradh Airgid agus Maoiniú Sceimhlitheoireachta), 2010, rud a tháinig chun bheith infheidhme nuair a cuireadh airgead i dtaisce i gcuntas an duine aonair agus nuair a aistarraingíodh an t-airgead sin. 

Cé go bhfuil oibleagáid dhlíthiúil air sonraí pearsanta an duine aonair a choinneáil, d’inis an geallghlacadóir don Choimisiún nach gcoinníonn sé ach an méid íosta sonraí is gá chun an oibleagáid dhlíthiúil sin a chomhlíonadh ar aon dul le prionsabal an íoslaghdaithe sonraí atá leagtha amach in Airteagal 5(1)(c) RGCS. 

Ag teacht sna sála ar an scrúdú uaidh ar an ngearán, chinn an Coimisiún gur thaispeáin an eagraíocht bunús dleathach bailí le coinneáil leanúnach na sonraí pearsanta. Dá ainneoin sin, d’eisigh an Coimisiún moltaí chuig an eagraíocht maidir leis na hoibleagáidí atá uirthi a chinntiú gur dleathach agus cothrom atá an phróiseáil ar fad agus go bhfuil sí trédhearcach maidir lena gníomhaíochtaí próiseála. 

Bhain an gearán seo leis an mainneachtain líomhnaithe freagra a thabhairt ar iarraidh léirscriosta a rinne duine aonair chuig fostóir ionchasach de bhun Airteagal 17 RGCS. 

Tar éis dó an gearán a fháil, chuaigh an Coimisiún um Chosaint Sonraí (an Coimisiún) i dteagmháil leis an duine aonair agus leis an bhfostóir ionchasach (an rialaitheoir) chun ábhar an ghearáin a shuí agus chun tús a chur leis an bpróiseas réitigh chairdiúil. Tar éis na teagmhála sin, fuair an Coimisiún amach go bhfuair an duine aonair freagra ón rialaitheoir ón uair sin i leith. Dúirt an duine aonair leis an gCoimisiún gur léirscrios an rialaitheoir a shonraí pearsanta. Dúirt sé freisin, áfach, go raibh a chuntas iarratais fós gníomhach ar shuíomh Gréasáin an rialaitheora. 

Tar éis dó a dheimhniú go raibh sé sin amhlaidh, rinne an Coimisiún teagmháil leis an rialaitheoir, agus aird an rialaitheora á tarraingt ar an bhfíoras nár léirscriosadh faisnéis maidir leis an gcuntas. Sa fhreagra uaidh, d’admhaigh an rialaitheoir nár scriosadh an fhaisnéis go hiomlán agus chuir sé in iúl gur tharla sé sin mar gheall ar ní teicniúil agus go gcomhlíonfadh sé an iarraidh léirscriosta lom láithreach. 

Chuir an rialaitheoir in iúl don Choimisiún ina dhiaidh sin gur chomhlíon sé an iarraidh léirscriosta ina hiomláine ón uair sin i leith tríd an gcuntas a scriosadh. Chuir an rialaitheoir in iúl freisin go ndearna sé teagmháil leis an duine aonair chun an gníomh a rinne sé a dheimhniú agus ghabh sé a leithscéal as an moill ar dhintiúir logála isteach an duine aonair a bhaint dá chórais. 

Chuir ceannaitheoir ionchasach tús le ceannach éascaithe réadmhaoine trí idirghabhálaí eastáit réadaigh. Tamaillín ina dhiaidh sin, tharraing díoltóir na réadmhaoine siar ón díol. Mar chuid den phróiseas ceannaigh, thug an ceannaitheoir ionchasach cóip dá aitheantas, cruthúnas seolta agus mionsonraí bainc don idirghabhálaí eastáit réadaigh. Tar éis an chliste sa phróiseas, d’iarr an ceannaitheoir ionchasach go léirscriosfaí a shonraí pearsanta de bhun Airteagal 17 RGCS. 

Chuir an ceannaitheoir ionchasach an iarraidh léirscriosta sin ar dtús chuig an seoladh ríomhphoist a bhí liostaithe i mbeartas príobháideachta an idirghabhálaí eastáit réadaigh. Seoladh an iarraidh sin ar ais, áfach, toisc nach raibh an seoladh ríomhphoist sin gníomhach. Sheol an ceannaitheoir ionchasach an iarraidh chuig seoladh ríomhphoist príomhúil an idirghabhálaí eastáit réadaigh ansin. 

Ós rud é nach bhfuarthas aon fhreagra ón idirghabhálaí eastáit réadaigh, rinne an duine aonair gearán leis an gCoimisiún um Chosaint Sonraí (an Coimisiún). Ag teacht sna sála ar idirghabháil an Choimisiúin, rinne an t-idirghabhálaí eastáit réadaigh caidreamh leis an duine aonair maidir leis an iarraidh léirscriosta uaidh. Le linn an phróisis láimhseála gearán, áfach, fuair an Coimisiún amach gur dhiúltaigh an t-idirghabhálaí eastáit réadaigh don iarraidh léirscriosta a chomhlíonadh. Dar leis an idirghabhálaí eastáit réadaigh, bhí sé ag brath ar oibleagáid faoin Acht um Sheirbhísí Maoine (Rialáil), 2011, rud lenar cruthaíodh ceanglas dlíthiúil chun na sonraí a choinneáil ar feadh sé bliana. Tarchuireadh an ní chuig an Údarás Rialála Seirbhísí Maoine le haghaidh soiléire, a chuir in iúl ansin nach gcumhdaítear mionsonraí bainc le foclaíocht an Achta agus go bhféadfaí iad a bhaint de bhun iarraidh léirscriosta. 

Tar éis an deimhnithe sin, rinne an Coimisiún caidreamh leis an idirghabhálaí eastáit réadaigh chun a chinntiú go léirscriosfaí na mionsonraí bainc mar chuid den iarraidh léirscriosta. Chuir an Coimisiún in iúl don cheannaitheoir ionchasach nach léirscriosfaí míreanna áirithe eile sonraí pearsanta, amhail a ainm, a sheoladh agus a mhionsonraí teagmhála, toisc go raibh bunús dleathach ag an idirghabhálaí eastáit réadaigh leis an gceart go ndéanfaí léirscriosadh a shrianadh ar aon dul leis an Acht um Sheirbhísí Maoine (Rialáil), 2011. Chinntigh an Coimisiún freisin gur nuashonraigh an t-idirghabhálaí eastáit réadaigh a bheartas príobháideachta chun an pointe cuí teagmhála a léiriú go cruinn. 

Thaisc duine aonair gearán leis an gCoimisiún um Chosaint Sonraí (an Coimisiún) tar éis dó amharc ar réadmhaoin ar cíos. Sa ghearán uaidh, líomhain sé gur iarr an ghníomhaireacht ligin méid iomarcach sonraí pearsanta uaidh le linn an phróisis iarratais. 

Dar leis an duine aonair, ós rud é nár éirigh leis an iarratas uaidh ar an réadmhaoin a fháil ar cíos, chuir sé iarraidh léirscriosta faoi bhráid na gníomhaireachta ligin faoi Airteagal 17 RGCS le haghaidh a shonraí pearsanta a scriosadh. Sa fhreagra uaithi don duine aonair, chuir an ghníomhaireacht ligin in iúl gur scrios sí na sonraí pearsanta uile agus dheimhnigh sí nár chomhroinn sí sonraí pearsanta le haon tríú páirtithe. Cé go raibh an duine aonair sásta leis an bhfreagra a fuair sé ón ngníomhaire ligin, bhí imní air fós faoin méid sonraí pearsanta a iarradh ar an gcéad dul síos. Ar an mbonn sin, chuir sé gearán isteach chuig an gCoimisiún. 

Mar chuid den phróiseas láimhseála gearán, rinne an Coimisiún teagmháil leis an ngníomhaireacht ligin chun soiléire a iarraidh maidir leis na cineálacha difriúla sonraí pearsanta a bhí sé ag iarraidh mar chuid den phróiseas iarratais. Dheimhnigh an eagraíocht gur iarr sí cóipeanna d’aitheantas, cruthúnas seolta reatha, cruthúnas fostaíochta, teistiméireachtaí ó thiarnaí talún roimhe, ráitis bhainc dhá mhí agus uimhir PSP. Luaigh an ghníomhaireacht ligin gur theastaigh an fhaisnéis sin uaithi chun a chinntiú gurb ionann an t-iarratasóir agus an duine a mhaíonn sé a bheith ann agus chun a chinntiú go bhfuil sé ar acmhainn an iarratasóra an cíos a íoc. 

Scrúdaigh an Coimisiún an gearán, agus chinn sé nár chomhlíon an eagraíocht prionsabal an íoslaghdaithe sonraí faoi Airteagal 5(1)(c) RGCS, ina luaitear an méid seo a leanas maidir le sonraí pearsanta: “beidh siad leormhaith, ábhartha agus teoranta don mhéid is gá maidir leis na críocha dá ndéantar iad a phróiseáil”. Chinn an Coimisiún gurbh iomarcach do chéim tosaigh an phróisis iarratais a bhí an méid sonraí pearsanta a iarradh ón duine aonair mar thionónta ionchasach. 

Sa chás seo, rinne an gearánach gearán le comhlacht rialála gairmiúil maidir le hiompar duine rialáilte. Níor thacaigh an comhlacht rialála gairmiúil leis an ngearán sin. Ina ghearán chuig an DPC, mhaígh an gearánach gur thaifead an comhlacht rialála gairmiúil sonraí pearsanta a bhain leis go míchruinn i miontuairiscí an chruinnithe. Chomh maith leis sin, mhaígh an gearánach gur thaifead an comhlacht rialála gairmiúil na sonraí pearsanta céanna a bhain leis an ngearánach go míchruinn i litir a sheol sé chuig tríú páirtí.

Sular cuireadh tús le himscrúdú i ndáil leis an ngearán seo, rinne an DPC athbhreithniú ar an bhfaisnéis a cuireadh ar fáil agus dheimhnigh sé an comhlacht rialála gairmiúil de réir mar a aithníodh é mar an rialaitheoir sonraí ábhartha i ndáil leis an ngearán, toisc gur rialaigh sé ábhar agus úsáid shonraí pearsanta an ghearánaigh chun críocha imscrúdú a dhéanamh ar an ngearán . Bhí na sonraí a bhí i gceist ina sonraí a bhain leis an ngearánach, bhíothas in ann an gearánach a aithint uathu agus bhain na sonraí leis an ngearánach mar dhuine aonair . Dá bhrí sin, bhí an DPC sásta gur chóir imscrúdú a dhéanamh ar an ngearán lena chinneadh an raibh sárú ar an reachtaíocht um chosaint sonraí i gceist .

Le linn don imscrúdú ar an ngearán seo bheith ar siúl, ghlac an comhlacht rialála gairmiúil leis gur taifeadadh na sonraí pearsanta a bhí i gceist go míchruinn agus, maidir leis na sonraí a taifeadadh sna miontuairiscí, gur ceartaíodh na sonraí trí bhíthin soiléiriú a chur isteach . Ar an mbonn sinn, mheas an oifig seo gur taifeadadh na sonraí pearsanta sna miontuairiscí cruinnithe agus sa litir chuig an tríú páirtí go míchruinn, de shárú ar an reachtaíocht um chosaint sonraí .

Chomh maith leis sin, rinne an oifig seo iniúchadh lena fháil amach ar phróiseáil an comhlacht rialála gairmiúil sonraí pearsanta an ghearánaigh ar bhealach cothrom, de réir mar a éilítear faoin reachtaíocht um chosaint sonraí . D’fhonn cloí leis an riachtanas sonraí pearsanta a phróiseáil ar bhealach cothrom, ní mór do rialaitheoirí sonraí a chinntiú go gcuirtear faisnéis áirithe ar fáil d’ábhair sonraí nó go bhfuil sé furasta teacht uirthi sin . Rinne an oifig seo athbhreithniú ar an bhfaisnéis a luaigh an comhlacht rialála gairmiúil a bhí ar fáil do dhaoine aonair maidir le gearán a dhéanamh, i riocht an leabhráin faisnéise . Ní raibh aon mhionsonraí áirithe sa leabhrán seo maidir le ceart rochtana daoine aonair ar shonraí pearsanta a bhaineann leo agus an ceart atá ag daoine aonair sonraí míchruinne maidir leo a chur i gceart .

Ós rud é nach raibh an fhaisnéis ar fad sa leabhrán a raibh sé riachtanach í a chur ar fáil d’ábhair sonraí faoin reachtaíocht um chosaint sonraí agus ós rud é nár chuir an comhlacht rialála gairmiúil aon mhionsonraí eile ar fáil maidir le bearta eile a bhí i bhfeidhm aige ag an am ábhartha chun aghaidh a thabhairt ar a oibleagáidí i ndáil le próiseáil chothrom, ní raibh an DPC sásta gur chloígh an comhlacht rialála gairmiúil lena chuid oibleagáidí i ndáil le próiseáil chothrom .

Faoin GDPR, ní mór do rialaitheoirí sonraí a chinntiú go bhfuil sonraí pearsanta cruinn agus, nuair is gá, coinnithe cothrom le dáta, agus ní mór gach beart réasúnach a dhéanamh lena chinntiú go ndéantar sonraí pearsanta atá míchruinn, ag féachaint do na críocha a phróiseáiltear iad, a scriosadh nó a chur i gceart gan mhoill . Faoi Airteagal 16 den GDPR, tá an ceart ag ábhar sonraí (faoi réir eisceachtaí áirithe) ceartú sonraí pearsanta a bhaineann leis nó léi a fháil ón rialaitheoir sonraí gan mhoill mhíchuí .

Chomh maith leis sin, éilítear faoin GDPR go ndéanfaí sonraí pearsanta a phróiseáil go cothrom agus ar bhealach trédhearcach . Ba chóir do rialaitheoir sonraí aon fhaisnéis atá riachtanach a chur ar fáil d’ábhar sonraí d’fhonn próiseáil chothrom agus thrédhearcach a chinntiú, agus na cúinsí agus comhthéacs ar leith ina bhfuil na sonraí á bpróiseáil á gcur san áireamh . Go háirithe, i gcás ina mbailítear sonraí pearsanta ón ábhar sonraí, éilítear faoi Airteagal 13 den GDPR go gcuirfeadh an rialaitheoir sonraí faisnéis ar fáil don ábhar sonraí, i measc nithe eile, maidir le sainiúlacht agus sonraí teagmhála an rialaitheora agus a oifigigh cosanta sonraí (i gcás inarb infheidhme), an cuspóir atá leis an bpróiseáil, faighteoirí nó catagóirí faighteoirí na sonraí agus faisnéis maidir leis na cearta i ndáil le sonraí pearsanta a chur ina gceart nó a scriosadh .

Fuair an DPC gearán, trí Údarás Cosanta Sonraí Bheirlín, ó dhuine aonair maidir le hiarratas a rinne sé le rialaitheoir sonraí chun athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena chuntas custaiméara. Rinne an gearánach an iarratas tríd an fheidhm comhrá ar líne de chuid an rialaitheora sonraí agus cuireadh in iúl dó ina dhiaidh sin go mbeadh cóip de cháipéis aitheantais ag teastáil chun úinéireacht an chuntais a fhíordheimhniú sular bhféadfaí leanúint leis an iarratas. Dhiúltaigh an gearánach an t-eolas seo a chur ar fáil agus mar sin níor lean an rialaitheoir sonraí lena iarratas ag an am sin.

Tar éis dó an gearán a fháil, chuaigh an DPC i ngleic leis an rialaitheoir sonraí agus i rith na teagmhála sin fuarthas nach dteastaíonn an rialaitheoir sonraí ó dhaoine aonair cáipéis aitheantais a chur ar fáil chun athrú a dhéanamh leis an seoladh ríomhphoist a bhaineann le cuntas .

Chomh maith leis seo, bhain an gníomhaire um sheirbhís do chustaiméirí úsáid as gnás oibriúcháin mícheart nuair a fhreagair sé iarratas an ghearánaí . De réir gnáthnós imeachta an rialaitheora sonraí, ba cheart do ghníomhairí um sheirbhís do chustaiméirí cur in iúl do chustaiméirí gur féidir leo a sheoladh ríomhphoist a athrú trí shíniú isteach ina chuntas féin agus an athrú a dhéanamh go díreach ar an leathanach socruithe ‘Cuntas’ . Dúirt an rialaitheoir sonraí chomh maith gur i gcás nach féidir nó nach mian le custaiméir a sheoladh ríomhphoist a athrú leis féin, tugann a nós imeachta treoir do ghníomhairí um sheirbhís do chustaiméirí iarraidh ar an gcustaiméir eolas teoranta, a bhfuil á choinneáil ag an rialatheoir sonraí cheana féin, a chur ar fáil chun an sealbhóir cuntais a fhíordheimhniú .

De bharr an ghearáin, thoiligh an rialaitheoir sonraí treoir shoiléir a thabhairt maidir le conas a bhféadfadh an gearánach athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena eolas cuntais gan tuilleadh sonraí pearsanta a chur ar fáil . Chomh maith leis seo, rinne an rialaitheoir sonraí athbhreithniú cuimsitheach ar a chórais um sheirbhís do chustaiméirí agus chur sé oiliúint athnuachana ar fáil dá ghníomhairí uilig maidir leis na gnáthnósanna imeachta gur cheart dóibh a úsáid i gcásanna dá leithéid .

Chuaigh an DPC i ngleic leis an ngearánach ansin, trí Údarás Cosanta Sonraí Bheirlín, chun an t-eolas a fuair sé ón rialaitheoir sonraí a chur ar fáil le réiteach cairdiúil a iarraidh ar an ngearán . Thug an gearánach deimhniú don DPC ansin gur éirigh leis athrú a dhéanamh leis an seoladh ríomhphoist ar a chuntas leis an rialaitheoir sonraí .

Léiríonn an cás-staidéar seo na buntáistí atá ann do rialai- theoirí sonraí agus do ghearánaigh má ghlacann siad páirt sa phróiseas réiteach cairdiúil ar bhealach dáiríre . Sa chás seo, cé go ndearna an rialaitheoir sonraí gníomhartha dearfacha, ar nós eolas mionsonraithe a chur ar fáil don ghearánaí faoi conas athrú a dhéanamh leis an seoladh ríomhphoist a bhain lena chuntas, bhí toradh maith don dá páirtí .

Sa chás seo, bhí morgáiste ar mhaoin ag an ngearánach chomh maith le duine aonair eile. D’fhág an gearánach agus an duine aonair eile an mhaoin bhunaidh agus d’aistrigh an bheirt acu go seoltaí ar leith. In ainneoin gurbh eol don bhanc é sin, sheol banc an ghearánaigh comhfhreagras a bhain le morgáiste an ghearánaigh chuig seanseoladh an ghearánaigh, áit ar oscail na tionóntaí in situ é.

Mar fhreagra, luaigh banc an ghearánaigh gur tógadh córas morgáiste an bhainc ar an mbunús go mbeadh seoladh comhfhreagrais amháin ann agus, i gcásanna nach raibh seoladh comhfhreagrais amháin aontaithe a thuilleadh ag comhpháirtithe an mhorgáiste, gurb éigean é sin a bhainistiú de láimh, lasmuigh den chóras, agus gur eascair earráidí uaidh sin uaireanta . Ba léir gurb é banc an ghearánaigh an rialaitheoir sonraí chun críocha an ghearáin, de bhrí gur rialaigh an banc sonraí pearsanta an ghearánaigh chun morgáiste an ghearánaigh a bhainistiú . Is éard a bhí sna sonraí atá faoi thrácht (i measc nithe eile) ná faisnéis airgeadais i dtaca le morgáiste an ghearánaigh leis an rialaitheoir sonraí . Sonraí pearsanta a bhí sna sonraí de bharr gur bhain siad leis an ngearánach mar dhuine aonair agus de bharr go bhféadfaí an gearánach a aithint astu .

Sa reachtaíocht Cosanta Sonraí, GDPR san áireamh, leagtar amach prionsabail shoiléire dlí nach mór do rialai- theoirí sonraí cloí leo nuair atá sonraí pearsanta duine á bpróiseáil acu . I gcás an éilimh seo, baineann ábharthacht ar leith leis an oibleagáid go gcinnteofaí go bhfuil na sonraí cruinn agus á gcoinneáil suas chun dáta nuair is gá mar aon leis an oibleagáid go mbeadh bearta cuí slándála i bhfeidhm chun sonraí pearsanta a chosaint . Agus na prionsabail sin á gcur i bhfeidhm ar fhíricí an ghearáin seo, trí sheoladh as dáta a choimeád le haghaidh an ghearánaigh agus trí chomhfhreagras don ghearánach a sheoladh chuig an seoladh sin, mhainnigh an rialaitheoir sonraí sonraí pearsanta an ghearánaigh a choinneáil suas chun dáta (Airteagal 5(1)(d)) . Chomh maith leis sin, i bhfianaise na bpíosaí iomadúla comhfhreagrais a seoladh chuig an seoladh mícheart, mhainnigh bearta slándála an rialaitheora sonraí sonraí an ghearánaigh a chosaint mar is cuí (Airteagal 5(1)(f)) . Tá an oibleagáid bearta iomchuí a chur i bhfeidhm faoi Airteagal 5(1)(f) le léiriú i gcomhréir le hAirteagal 32 den GDPR, a leagann ceisteanna amac nach mór don rialaitheoir sonraí a chur san áireamh nuair a bheifear ag deimhniú an bhfuil bearta cuí slándála i bhfeidhm .