Cinneadh maidir le Twitter International Company
Taisceadh gearán go díreach leis an gCoimisiún um Chosaint Sonraí (DPC) ar an 02 Iúil 2019 faoi Twitter International Limited (“Twitter”), agus rinne an DPC an gearán sin a láimhseáil ar an mbonn sin de réir an róil atá aige ina phríomhúdarás maoirseachta.
Líomhain an gearánaí, gur theip ar Twitter iarraidh ar léirscriosadh a bhí déanta aige a chomhlíonadh, i ndiaidh dó a chuntas Twitter a chur ar fionraí, laistigh den amscála reachtúil. Ina theannta sin, líomhain an gearánaí gur iarr Twitter air cóip dá aitheantas ar a raibh grianghraf a chur ar fáil, gan aon bhunús dlí leis, d’fhonn an iarraidh a chur i gcrích. Agus ar deireadh, líomhain an gearánaí go raibh a chuid sonraí pearsanta coinnithe ag Twitter i ndiaidh iarraidh ar léirscriosadh a bheith déanta aige gan aon bhunús dlí acu sin a dhéanamh.
Cé gur duine atá ina chónaí sa Ríocht Aontaithe a thaisc an gearán go díreach leis an DPC, bhreithnigh an DPC go raibh cineál na n-oibríochtaí próiseála sonraí a ndearnadh gearán faoi amhail is go mbeadh tionchar suntasach, nó gur dócha go mbeadh tionchar suntasach acu, ní hamháin ar an ábhar sonraí sonrach atá lonnaithe sa Ríocht Aontaithe a rinne an gearán ach ábhair sonraí trí chéile ar fud an Aontais Eorpaigh i gcúinsí ina bhféadfadh ábhair sonraí a bheith faoi réir a gcuntas a chur ar fionraí agus go mbeidís ag iarraidh iarraidh ar léirscriosadh a dhéanamh. Dá bhrí sin, chinn an DPC gur próiseáil é an cineál próiseála a ndearnadh gearán faoi a shásaíonn an sainmhíniú atá tugtha ar phróiseáil trasteorann faoi Airteagal 4(23)(b) den GDPR.
I ndiaidh don DPC idirghabháil a dhéanamh, chomhlíon Twitter iarraidh ar léirscriosadh an ghearánaí gan aon ghá dó cóip dá aitheantas a chur ar fáil. Mar sin féin, tugann an DPC ar aird gur theip ar Twitter an iarraidh ar léirscriosadh a bhí déanta ag an ngearánaí a chomhlíonadh laistigh den amscála reachtúil.
Lean an chinnteoireacht an nós imeachta atá leagtha amach in Airteagal 60 den GDPR maidir le próiseáil trasteorann. Bhí scrúdú arna dhéanamh ag an DPC ar an ngearán, lena n-áirítear iarracht an gearán a réiteach go cairdiúil; Dréacht-Chinneadh arna scaipeadh ar na hÚdaráis Mhaoirseachta Ábhartha; breithniú cúramach an DPC ar gach agóid ábhartha agus réasúnach a fuarthas, agus sa chás seo lean an DPC roinnt de na hagóidí ábhartha agus réasúnacha a fuarthas; Dréacht-Chinneadh Athbhreithnithe a scaipeadh ar na hÚdaráis Mhaoirseachta Ábhartha; an Cinneadh Deiridh a ghlacadh; agus ar deireadh an cinneadh a bhí ar an ngearán a chur in iúl go léir mar chuid den nós imeachta.
Sa chinneadh uaidh, chinn an Coimisiún um Chosaint Sonraí go raibh an Rialachán Ginearálta maidir le Cosaint Sonraí sáraithe ag Twitter mar seo a leanas:
- Airteagal 5(1)(c) den GDPR mar gur chinn an DPC gurbh ionann ceanglas Twitter go gcaithfeadh an gearánaí a chéannacht a dheimhniú trí chóip dá aitheantas ar a raibh grianghraf a chur ar aghaidh agus sárú ar an bprionsabal a bhaineann le híoslaghdú sonraí, de bhun Airteagal 5(1)(c) den GDPR.
- Airteagal 6(1) den GDPR mar gur chinn an DPC nár thug Twitter bunús dlí bailí le fios faoi Airteagal 6(1) den GDPR chun cóip d’aitheantas an ghearánaí ar a raibh grianghraf a lorg ar mhaithe lena iarraidh ar léirscriosadh a phróiseáil.
- Airteagal 17(1) den GDPR mar gur chinn an DPC go raibh Airteagal 17(1) den GDPR sáraithe ag Twitter, mar go raibh moill mhíchuí i gceist iarraidh an ghearánaí ar léirscriosadh a láimhseáil.
- Airteagal 12(3) den GDPR mar gur chinn an DPC go raibh Airteagal 12(3) den GDPR sáraithe ag Twitter mar gur theip air an gníomh a glacadh ar a iarraidh ar léirscriosadh de bhun Airteagal 17 den GDPR a chur in iúl dó laistigh de mhí amháin.
I bhfianaise mhéid na sáruithe, d’eisigh an DPC iomardú ar Twitter, de bhun Airteagal 58(2)(b) den GDPR. D’ordaigh an DPC ar Twitter chomh maith, de bhun Airteagal 58(2)(d), athbhreithniú a dhéanamh ar na polasaithe agus nósanna imeachta inmheánacha atá acu i leith iarrataí ar léirscriosadh a láimhseáil chun a chinntiú nach mbeidh gá d’ábhar sonraí cóip d’aitheantas ar a bhfuil grianghraf a chur ar fáil nuair a bhíonn iarrataí ar léirscriosadh á ndéanamh acu, sin mura bhfuil sé ábalta bunús dlí a léiriú le sin a dhéanamh.
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Twitter International Company Aibreán 2022 (PDF, 9.0 MB).
Fiosrúchán maidir le 12 sárú Facebook i ndáil le sonraí pearsanta
Ghlac an DPC le cinneadh, lena ngearrtar fíneáil €17 milliún ar Meta Platforms Ireland Limited (Facebook Ireland Limited roimhe seo) (“Meta Platforms”).
Rinne an DPC fiosrúchán i ndiaidh an chinnidh ar shraith de 12 fhógra sáraithe sonraí a fuarthas i dtréimhse sé mhí idir an 7 Meitheamh 2018 agus an 4 Nollaig 2018. Scrúdaíodh san fhiosrúchán a oiread agus a chomhlíon Meta Platforms ceanglais an GDPR faoi Airteagal 5(1)(f), 5(2), 24(1) agus 32(1) maidir le sonraí pearsanta a bhaineann leis an 12 fhógra maidir le sáruithe a phróiseáil.
Mar thoradh ar an bhfiosrúchán, fuair an DPC amach gur sháraigh Meta Platforms Airteagal 5(2) agus 24(1) den GDPR. Fuair an DPC amach gur theip ar Meta Platforms bearta iomchuí teicniúla agus eagraíochtúla a chur i bhfeidhm, rud a chuirfeadh ar chumas Meta Platforms na bearta slándála a léiriú go héasca, bearta a cuireadh i bhfeidhm i gcleachtas chun sonraí úsáideoirí an AE a chosaint, i gcomhthéacs an dá shárú dhéag i ndáil le sonraí pearsanta.
Mar gheall go raibh próiseáil faoi scrúdú i gceist le próiseáil “trasteorann”, bhí cinneadh an DPC faoi réir an phróisis comhchinnteoireachta atá leagtha amach in Airteagal 60 den GDPR agus bhí údaráis mhaoirseachta uile na hEorpa fostaithe mar chomhchinnteoirí. Cé gur tarraingíodh anuas agóidí maidir le dréacht-chinneadh an DPC in dhá údarás maoirseachta na hEorpa, thángthas ar chomhaontú trí thuilleadh rannpháirtíochta idir an DPC agus na húdaráis mhaoirseachta ábhartha. Dá réir sin, léirítear i gcinneadh an DPC tuairimí coiteanna an DPC agus a chomhúdaráis maoirseachta ar fud an AE.
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le 12 sárú Facebook i ndáil le sonraí pearsanta - Márta 2022 (PDF, 1,480 KB).
Fiosrúchán maidir le Bank of Ireland Group plc
Cuireadh tús leis an bhfiosrúchán seo maidir le 22 fógra sáraithe sonraí pearsanta a rinne Bank of Ireland Group plc (“BOI”) leis an gCoimisiún um Chosaint Sonraí (“DPC”) idir 9 Samhain 2018 agus 27 Meitheamh 2019. Bhain na fógraí le truailliú faisnéise san fhotha sonraí ó BOI go dtí an Príomhchlár Creidmheasa (“CCR”), córas láraithe a dhéanann faisnéis maidir le hiasachtaí a bhailiú agus a stóráil go sábháilte. I measc na n-eachtraí bhí nochtaí neamhúdaraithe ar shonraí pearsanta custaiméirí don CCR agus athruithe ar shonraí pearsanta custaiméirí ar an CCR a rinneadh de thimpiste.
Mar phríomhcheist, chuimhnigh an cinneadh ar chomhlíon nó nár chomhlíon na heachtraí an sainmhíniú ar “shárú ar shonraí pearsanta” faoin GDPR, agus fuair sé i gás 19 de na heachtraí a thuairiscíodh gur chomhlíon siad an sainmhíniú seo.
Fuair an cinneadh sáruithe ar na forálacha seo a leanas den GDPR:
- Sáraíodh Airteagal 33 den GDPR, a éilíonn ar rialaitheoirí go gcuirfidh siad sáruithe ar shonraí pearsanta in iúl don DPC i gcúinsí áirithe, ag BOI i dtaca le 17 de na sáruithe a thuairiscíodh. D’athraigh na sáruithe de réir gach sárú ar shonraí pearsanta. I roinnt eachtraí, sáraíodh Airteagal 33(1) mar gheall nár thuairiscigh BOI an sárú ar shonraí pearsanta gan rómhoill. Sáraíodh Airteagal 33(3) chomh maith mar gheall nár chuir BOI go leor mionsonraí ar fáil don DPC i dtaca le roinnt sáruithe ar shonraí pearsanta;
- Sáraíodh Airteagal 34 den GDPR, a éilíonn ar rialaitheoirí go gcuirfidh siad sáruithe ar shonraí pearsanta in iúl d’ábhair sonraí i gcúinsí áirithe, ag BOI i dtaca le 14 de na heachtraí a thuairiscíodh. Bhain na sáruithe le loiceadh BOI chun cumarsáidí a eisiúint le hábhair sonraí gan rómhoill i gcúinsí inar dóigh go mbeidh ardriosca ann do chearta agus saoirsí ábhar sonraí de bharr na sáruithe ar shonraí pearsanta; agus
- Sháraigh BOI Airteagal 32(1) den GDPR nuair nár chuir sé bearta iomchuí teicniúla agus eagraíochtúla i bhfeidhm chun leibhéal slándála a áirithiú is iomchuí don riosca a bhí ann de bharr na próiseála a rinne sé ar shonraí custaiméirí agus é ag aistriú faisnéise chuig an CCR.
Na cumhachtaí ceartaitheacha a fheidhmíodh
- Ghearr an cinneadh fíneálácha riaracháin ar BOI don sárú ar Airteagal 32(1) den GDPR agus sáruithe áirithe ar Airteagail 33 agus 34 den GDPR. Ba é €463,000 méid iomlán na bhfíneálacha riaracháin a fhorchuireadh.
- D’ordaigh an cinneadh go gcuirfidh BOI a chuid próiseáil i gcomhlíonadh le hAirteagal 32(1) den GDPR trí ordú a thabhairt dó athruithe áirithe a dhéanamh leis a bhearta teicniúla agus eagraíochtúla.
- D’eisigh an cinneadh iomardú do BOI maidir leis na sáruithe uilig ar Airteagail 33, 34 agus 32(1) den GDPR a aimsíodh sa chinneadh.
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le Bank of Ireland Group plc Márta 2022 (PDF, 1,457 KB).
Fiosrúchán maidir le Soláthraí Sainchomhairleoireachta
Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur an Bord Measúnaithe Díobhálacha Pearsatna (‘PIAB’) in iúl don Choimisiún um Chosaint Sonraí ar an 10 Nollaig 2019. Is comhlacht reachtúil neamhspleách é an PIAB a dhéileálann le héilimh díobhála pearsanta. Tharla an sárú ar shonraí pearsanta nuair a sheol Soláthraí Sainchomhairleoireachta gléas stórála USB neamhchriptithe, ina raibh sonraí pearsanta, chuig PIAB, cé gur luaigh PIAB go sonrach gan na sonraí a sheoladh. Smaoinigh an Fiosrúchán ar chomhlíon nó nár chomhlíon an Soláthraí Sainchomhairleoireachta an oibleagáid a bhí air faoi Airteagal 32 GDPR chun leibhéal cuí slándála a chur i bhfeidhm.
- Fuair an cinneadh gur sháraigh an Soláthraí Sainchomhairleoireachta Airteagal 32(1) GDPR cé gur theip air bearta iomchuí teicniúla agus eagraíochtúla a chur i bhfeidhm chun leibhéal slándála a chinntiú a raibh oiriúnach don riosca a bhí ann de bharr an phróiseáil a rinne sé ar shonraí pearsanta.
Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm
- D’eisigh an cinneadh iomardú don Soláthraí Sainchomhairleoireachta maidir leis an sárú
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le Soláthraí Sainchomhairleoireachta Eanáir 2022 (PDF, 947 KB).
Fiosrúchán maidir leis an mBord Measúnaithe Díobhálacha Pearsanta
Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur an Bord Measúnaithe Díobhálacha Pearsanta (‘PIAB’) in iúl don DPC ar an 10 Nollaig 2019. Is comhlacht reachtúil neamhspleách é an PIAB a dhéileálann le héilimh díobhála pearsanta. Tharla an sárú ar shonraí pearsanta nuair a rinne eagraíocht tríú páirtí (‘an Tríú Páirtí’), a bhí faoi chonradh le PIAB, ábhair ina raibh sonraí pearsanta a sheol ar ais chuig PIAB ar mhéaróg USB neamhchriptithe i gclúdach litreach páipéir. I ndeireadh na dála, cailleadh an mhéaróg USB sa phost agus níor seachadadh ach clúdach litreach stróicthe go dtí an PIAB.
Smaoinigh an Fiosrúchán ar chomhlíon nó nár chomhlíon an PIAB an oibleagáid a bhí air faoi Airteagal 32 GDPR chun leibhéal cuí slándála a chur i bhfeidhm. Dheimhnigh an fiosrúchán gur iarr an PIAB roimh ré nach seolfadh an Tríú Páirtí na sonraí pearsanta chuig an PIAB. Sa chúinsí sin, fuair an Cinneadh nach mbeadh aon seans go dtuarfadh an PIAB go ndéanfadh an Tríú Páirtí, gan aon chomhairle leis an PIAB, gléas stórála USB neamhchriptithe a sheoladh chuige i gclúdach litreach nach raibh stuáilte tríd an ghnáthphost (seachas post cláraithe).
Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm
- Níor chuir an Coimisiún um Chosaint Sonraí aon cumhachtaí ceartaitheacha i bhfeidhm sa chás seo cé nár bhfuarthas gur sháraigh an PIAB aon fhoráil den GDPR.
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir leis an mBord Measúnaithe Díobhálacha Pearsanta Eanáir 2022 (PDF, 628KB).
Fiosrúchán maidir le Comhar Creidmheasa Bhaile Shláine
Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur Comhar Creidmheasa Bhaile Shláine in iúl don DPC ar an 30 Samhain 2018. Bunaíodh Comhar Creidmheasa Bhaile Shláine ar an 16 Feabhra 1968 mar bhall de Chonradh na hÉireann de Chomhair Creidmheasa. Déantar rialú air ag Banc Ceannais na hÉireann faoi alt 84 den Acht um Chomhar Creidmheasa 1997.
Bhain an sárú ar shonraí pearsanta le nochtadh neamhúdaraithe de shonraí pearsanta i bhfoirm foilsiú neamhbheartaithe de shonraí baill ar an idirlíon. Cuireadh tuarascálacha boird áirithe a bhain le hiarrataí ballraíochta ar fáil go poiblí gan chuimhneamh trí thorthaí innill chuardaigh ar feadh tréimhse in 2018. De réir Comhair Creidmheasa Bhaile Shláine, tharla an eachtra seo de bharr uasdátú nach raibh Comhar Creidmheasa Bhaile Shláine ag súil leis a rinneadh ar uirlis optamaithe innill chuardaigh suiteáilte ar an suíomh gréasáin.
Fuair an cinneadh sáruithe ar na forálacha seo a leanas den GDPR:
- Sháraigh Comhar Creidmheasa Bhaile Shláine Airteagal 5(1)(f) agus 32(1) nuair nár chuir sé bearta eagraíochtúla cuí i bhfeidhm chun leibhéal slándála cuí a chinntiú i leith an riosca a cuireadh i láthair ag an bpróiseáil a dhéanann sé ar shonraí pearsanta a chuid ball;
- Sháraigh Comhar Creidmheasa Bhaile Shláine Airteagal 24 agus 30(1) nuair nár chuir sé bearta eagraíochtúla cuí i bhfeidhm a chur cineál, scóip, comhthéacs agus cuspóirí a chuid próiseáil san áireamh, agus nuair nár chuir sé an t-eolas ábhartha ar fad san áireamh ina thaifead próiseála; agus
- Sháraigh Comhar Creidmheasa Bhaile Shláine Airteagal 28(1) agus (3) nuair nach ndearna sé dícheall cuí ar a phróiseálaí agus nuair nár chuir sé aontas i bhfeidhm lena phróiseálaí a chomhlíon forálacha Airteagail 28(3) den GDPR
Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm
- Rinne an cinneadh fíneáil riaracháin a fhorchuir ar Chomhar Creidmheasa Bhaile Shláine san iomlán €5,000 maidir leis an sárú d’Airteagal 5(1)(f) den GDPR (prionsabal slándála próiseála).
- Thug an cinneadh iomardú do Chomhar Creidmheasa Bhaile Shláine maidir leis na sáruithe go léir.
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Comhar Creidmheasa Bhaile Shláine Eanáir 2022 (PDF, 898 KB).
Fiosrúchán maidir le Comhairle Cathrach agus Contae Luimnigh
D’iarr an fiosrúchán seo a mheas an raibh Comhairle Cathrach agus Contae Luimnigh ag próiseáil sonraí pearsanta de réir an GDPR agus an Acht um Chosaint Sonraí 2018. Scrúdaigh an fiosrúchán roinnt d’oibríochtaí próiseála na Comhairle, lena n-áirítear an úsáid a bhain said as ceamaraí CCTV, teicneolaíocht Uathaitheanta Uimhirphlátaí agus dróin in áiteanna poiblí, a úsáideadh chun coireacht a fhorfheidhmiú nó do chuspóirí eile.
Is iad seo a leanas roinnt de na torthaí sa chinneadh:
- Níl aon bunús dlí ag an gComhairle sonraí pearsanta a phróiseáil trí cheamaraí CCTV le haghaidh cuspóirí bainistíochta tráchta.
- Bhí easpa bunúis dlí ag an gComhairle le haghaidh roinnt ceamaraí CCTV a úsáideadh i gcoinne coireachta, toisc nár thaispeáin an Chomhairle go bhfuair sí údar Choimisinéara na nGardaí de bhun alt 38(3) d’Acht an Gharda Síochána 2005 a bhí soiléir, cruinn agus intuartha go leor mar a luaitear go sonrach ag an GDPR.
- Bhí easpa bunúis dlí ag an gComhairle faireachas a dhéanamh le ceamaraí CCTV a bhain úsáid as teicneolaíocht Uathaitheanta Uimhirphlátaí.
- Sháraigh an Chomhairle Airteagal 15 den GDPR trí diúltú d’iarratais rochtana ábhair sonraí maidir le ceamaraí CCTV a úsáideadh le haghaidh cuspóirí bainistíochta tráchta.
- Theip ar an gComhairle a hoibleagáidí trédhearcachta faoi Airteagal 13 a chomhlíonadh mar gheall nár chuir sí suas comharthaí maidir lena hoibleagáidí próiseála CCTV.
- Sháraigh an Chomhairle Airteagal 12 den GDPR mar gheall nár chinntigh sí go mbeadh a Polasaí CCTV inrochtana nó trédhearcach go leor.
Na cumhachtaí ceartaitheacha a fheidhmíodh
- Cuireadh cosc sealadach ar shonraí pearsanta a phróiseáil le ceamaraí CCTV ag roinnt áiteanna a úsáideadh le haghaidh forfheidhmiú dlí coiriúil go dtí go bhféadfaí bunús dlí a aithint.
- Cuireadh cosc sealadach ar shonraí pearsanta a phróiseáil le ceamaraí CCTV a úsáideadh le haghaidh cuspóirí bainistíochta tráchta go dtí go bhféadfaí bunús dlí a aithint.
- Tugadh ordú do Chomhairle Cathrach agus Contae Luimnigh a cuid próiseáil sonraí pearsanta a chur i gcomhlíonadh ag tógáil gníomhartha ar leith, a leagtar amach go sonrach sa chinneadh.
- Eisíodh iomardú maidir le roinnt de na sáruithe a rinne Comhairle Cathrach agus Contae Luimnigh.
- Gearradh fineáil riaracháin san iomlán €110,000.
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le Comhairle Cathrach agus Contae Luimnigh Nollaig 2021 (PDF, 1,622 KB).
Fiosrúchán maidir leis an gComhairle Mhúinteoireachta
Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur an Chomhairle Mhúinteoireachta (an Chomhairle) in iúl don DPC ar an 9 Márta 2020. Is í an Chomhairle an comhlacht um chaighdeáin ghairmiúla don mhúinteoireacht, agus is é an cuspóir atá aici ná caighdeáin ghairmiúla na gairme a chur chun cian agus a rialáil.
Tharla an sárú ar shonraí pearsanta nuair a d’oscail beirt d’fhoireann na Comhairle ríomhphost fioscaireachta, rud a lig ansin do riail inar seoladh ríomhphoist ar aghaidh go huathoibríoch óna gcuntais ríomhphoist chuig cuntas ríomhphoist mailíseach. Dá bharr sin, idir an 17 Feabhra 2020 agus an 6 Márta 2020 nuair a thángthas ar an riail uathoibríoch, seoladh 323 ríomhphost ar agaidh go dtí an seoladh ríomhphoist seachtrach neamhúdaraithe. Sna ríomhphoist seo bhí sonraí pearsanta de chuid 9,735 ábhar sonraí agus sonraí pearsanta íogaire d’ábhar sonraí amháin.
- Chinn an cinneadh gur sháraigh an Chomhairle Airteagal 5(1) agus Airteagal 5(2) den GDPR idir an 25 Bealtaine 2018, nuair a tháinig an GDPR i bhfeidhm, agus dátaí na sáruithe ar shonraí pearsanta, trí mhainneachtain sonraí pearsanta a phróiseáil i mbealach a chinntigh slándáil na sonraí pearsanta trí úsáid a bhaint as bearta iomchuí teicniúla agus eagraíochtúla.
- Chinn an cinneadh gur sháraigh an Chomhairle Airteagal 33(1) den GDPR mar gheall nár chuir sí an sárú/na sáruithe a chur in iúl don DPC nuair ba cheart di bheith ar an eolas fúthu.
Na cumhachtaí ceartaitheacha a fheidhmíodh
- Ghearr an cinneadh fineáil riaracháin ar an gComhairle san iomlán €60,000 maidir leis na sáruithe.
- D’eisigh an cinneadh iomardú don Chomhairle maidir leis an sáruithe.
- Le machnamh cuí ar na bearta a chur an Chomhairle i bhfeidhm roimhe seo ó tharla an sárú ar shonraí pearsanta agus le linn an fhiosrúcháin, tugadh an dáta 2 Meitheamh 2022 don Chomhairle chun a cuid oibríochtaí próiseála a chur i gcomhlíonadh le hAirteagail 5(1) agus 32(1) den GPDR
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir leis an gComhairle Mhúinteoireachta Nollaig 2021 (PDF, 1,124 KB).
Fiosrúchán maidir le MOVE (Men Overcoming Violence) Éireann
Cuireadh tús leis an bhfiosrúchán maidir le shárú ar shonraí pearsanta a chuir MOVE in iúl don DPC an 3 Feabhra 2020. Is carthanas cláraithe é MOVE, a oibríonn sa raon foréigin teaghlaigh, agus é mar phríomhaidhm leis tacú le sábháilteacht agus folláine ban agus a gcuid leanaí atá nó a bhí ag fulaingt foréigin/drochíde i ndlúthchaidreamh. Déanann MOVE sin trí ghrúpsheisiúin sheachtainiúla a éascú d’fhir (rannpháirtithe) a bhfuil áisitheoir páirteach iontu chun na fir a spreagadh freagracht a ghlacadh as a gcuid bhforéigin agus chun a meon agus iompar a athrú. Baineann an sárú ar shonraí pearsanta le hocht gCárta SD déag a cailleadh a bhféadfaí go raibh taifid orthu de ghrúpsheisiúin chlár MOVE, taifid de rannpháirtithe ag déanamh cur síos le háisitheoir ar a gcuid iompair agus meoin maidir le foréigean teaghlaigh. Cé gur dhírigh na taifid de na ghrúpsheisiúin ar na háisitheoirí ag seachadadh na seisiún, d’fhéadfaí go bhfuil cuid de na rannpháirtithe le feiceáil agus le cloisteáil sna taifid; ina theannta sin áirítear ar na sonraí pearsanta ar na Cártaí SD na rannpháirtithe ag nochtadh iompar, tuairimí agus dearcthaí i leith a bpáirtí reatha nó iarpháirtíthe dá gcuid, daoine muinteartha eile agus cairde, agus d’fhéadfaí go bhfuil ainmneacha na ndaoine sin tugtha ag na rannpháirtithe. Mhaígh MOVE go bhféadfadh tionchar a bheith ag an sárú ar shonraí pearsanta ar idir 80 agus 120 fear, agus, ar ar a laghad áisitheoir amháin in aghaidh gach seisiún a taifeadadh.
- De réir an chinnidh, sháraigh MOVE Airteagail 5(1)(f) agus 32(1) den GDPR nuair nár cuireadh bearta teicniúla agus eagraíochtúla cuí i bhfeidhm ar mhaithe le leibhéal slándála cuí a chinntiú i leith an riosca a chuir próiseáil trí ghrúpsheisiún a thaifeadadh ar Chártaí SD ina raibh sonraí pearsanta rannpháirtithe agus áisitheoirí i láthair.
Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm
- Eisíodh, leis an gcinneadh, iomardú do MOVE maidir leis na sáruithe.
- Ordaíodh leis an gcinneadh do MOVE a chuid próiseála maidir le grúpsheisiúin a thaifeadadh ar Chártaí SD a chur ar bhonn comhlíonta le hAirteagail 5(1)(f) agus 32(1) den GDPR.
- Forchuireadh leis an gcinneadh fíneáil riaracháin €1,500 ar MOVE maidir leis na sáruithe.
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): MOVE Éireann Lúnasa 2021 (PDF, 649 KB).
Cinneadh maidir le WhatsApp Ireland Ltd.
Scrúdaigh an fiosrúchán seo, a chuir an DPC tús leis ar an 10 Nollaig 2018, ar chomhlíon nó nár chomhlíon WhatsApp Ireland Ltd a chuid oibleagáidí trédhearcachta faoin GDPR maidir le faisnéis a sholáthar agus trédhearcacht na faisnéise sin do dhaoine a úsáideann agus daoine nach n-úsáideann seirbhís WhatsApp. Cuimsíonn sé seo faisnéis a cuireadh ar fáil d’ábhair sonraí maidir le próiseáil faisnéise idir WhatsApp agus cuideachtaí eile Facebook.
Airteagail 60 & 65 den GDPR
Tar éis imscrúdú fhada chuimsitheach, chuir an DPC dréacht-chinneadh faoi bhráid gach ceann de na hÚdaráis Maoirseachta Leasmhara (CSAnna) faoi Airteagal 60 GDPR i mí na Nollag 2020. Ina dhiaidh sin fuair an DPC agóidí ó ocht CSAnna. Ní raibh an DPC in ann teacht ar chomhaontú leis na CSAnna ar ábhar na n-agóidí agus spreag sé an próiseas réitigh díospóidí (Airteagal 65 GDPR) ar an 3 Meitheamh 2021.
Athbhreithniú tar éis cinneadh ceangailteach an EDPB
Ar an 28 Iúil 2021, ghlac an Bord Eorpach um Chosaint Sonraí (EDPB) le cinneadh ceangailteach agus cuireadh an cinneadh seo in iúl don DPC. Sa chinneadh seo bhí treoir shoiléir a éiligh go ndéanfadh an DPC a fhíneáil bheartaithe a athbhreithniú agus a ardú ar bhonn roinnt gné a bhí i gcinneadh an EDPB. Tar éis an athbhreithniú seo, ghearr an DPC fíneáil €225 milliún ar WhatsApp.
Chomh maith le fíneáil riaracháin a ghearradh, chuir an DPC iomardú ar WhatsApp chomh maith le hordú go gcuirfidh sé a phróiseáil i gcomhlíonadh trí réimse bearta sonraithe feabhais a dhéanamh.
D’fhoilsigh an EDPB an cinneadh Airteagail 65 agus an cinneadh deiridh ar a shuíomh gréasáin. Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): WhatsApp Ireland Ltd. -Lúnasa 2021 (PDF, x18.4 MB).