Cé Muid Féin

Fiosrúchán maidir le sonraí pearsanta a phróiseáil i leith leanaí a úsáideann an tseirbhís líonraithe shóisialta Instagram

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 5, 6, 12, 24, 25, 35

Tagairt DPC: IN-20-7-4

Dáta Cinnidh: 2 Meán Fómhair 2022

Chuir an Coimisiún um Chosaint Sonraí (DPC) tús leis an bhfiosrúchán féintoilithe seo an 21 Meán Fómhair 2020, fiosrúchán a bhí bunaithe ar fhaisnéis a chuir tríú páirtí ar fáil agus i dtaobh próiseáil a d’aithin an DPC iad féin araon. Bhí dhá chineál próiseála a rinne Meta Platforms Ireland Limited i gceist le scóip an fhiosrúcháin (mar an rialaitheoir sonraí ar na sonraí pearsanta atá próiseáilte i gcomhthéacs an ardáin Instagram), mar seo a leanas

1. Thug Meta Platforms Ireland Limited cead d’úsáideoirí leanaí idir 13 bliana d’aois agus 17 mbliana d’aois “cuntais ghnó” ar an ardán Instagram a fheidhmiú. Ag amanna ar leith, chun cuntais mar sin a fheidhmiú, ní mór uimhir ghutháin agus/nó seoladh ríomhphoist an úsáideora leanaí (don domhan i gcoitinne) a fhoilsiú agus/nó socraíodh sin a dhéanamh.

2. Ag amanna ar leith, bhí córas clárúcháin an úsáideora i bhfeidhm ag Meta Platforms Ireland Limited don tseirbhís Instagram ina raibh cuntais na n-úsáideoirí leanaí socraithe mar chuntas “poiblí” ar bhonn réamhshocraithe, agus ar an gcaoi sin bhí ábhar meán sóisialta na n-úsáideoirí leanaí ar fáil don phobal, mura raibh an cuntas socraithe mar chuntas “príobháideach” trí shocruithe príobháideacha an chuntais a athrú.

I ndiaidh fiosrúchán fada cuimsitheach a dhéanamh, chuir an DPC dréacht-chinneadh isteach chuig na hÚdaráis Mhaoirseachta Ábhartha (UMAnna) uile, chun críche Airteagal 60(3) den GDPR, i Nollaig na bliana 2021. Fuair an DPC agóidí ina dhiaidh sin ó shé cinn de na UMAnna. Níor éirigh leis an DPC teacht ar chomhaontú leis na UMAnna maidir le hábhar na n-agóidí agus, sna cúinsí sin chinn an DPC na hagóidí a chur ar aghaidh chuig an mBord Eorpach um Chosaint Sonraí (EDPB) le cinneadh de bhun an phróisis um réiteach díospóide a bhforáiltear dó in Airteagal 65 den GDPR.

Ghlac an EDPB an cinneadh ceangailteach atá acu maidir le hábhar na n-agóidí an 28 Iúil 2022. Leis an gcinneadh sin, bhí ar an DPC gnéithe áirithe den chinneadh a leasú, maidir le toradh an tsáraithe ar Airteagal 6(1) den GDPR a chur san áireamh ar dtús, agus ar an dara dul síos athbhreithniú a dhéanamh ar na fíneálacha riaracháin atá molta ar bhonn roinnt tosca atá i gcinneadh an EDPB, lena n-áirítear an ceanglas atá ar an DPC fíneáil riaracháin bhreise a ghearradh maidir le toradh an tsáraithe ar Airteagal 6(1) den GDPR a bhí bunaithe ag an EDPB.

Maidir leis an bpróiseáil atá leagtha amach thuas, le cinneadh an DPC, ar glacadh leis an 2 Meán Fómhair 2022, taifeadtar torthaí an tsáraithe ar Airteagal 6(1), 5(1)(a), 5(1)(c), 12(1), 24, 25(1), 25(2) agus 35(1) den GDPR.

Na Cumhachtaí Ceartaitheacha a Cuireadh i bhFeidhm:

Le cinneadh an DPC, gearradh fíneálacha riaracháin ar fiú €405 milliún iad ar Meta Platforms Ireland Limited. Chomh maith leis na fíneálacha riaracháin sin, ghearr an DPC iomardú agus ordú lena n-iarrtar ar Meta Platforms Ireland Limited an phróiseáil a chur ar bhonn comhlíonta trí réimse gníomhartha feabhais ar leith a ghlacadh.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le sonraí pearsanta a phróiseáil i leith leanaí a úsáideann an tseirbhís líonraithe shóisialta Instagram - Meán Fómhair 2022 (PDF, 3.1 MB).

 

Fiosrúchán i leith na Comhairle um Chúram Práinne Réamh-Ospidéil

Réimse: Earnáil Slándála/Poiblí

Topaic: OCS

Airteagal: 31, 37

Tagairt DPC: IN-22-2-1

Dáta Cinnidh: 3 Bealtaine 2022

Chuir an Coimisiún um Chosaint Sonraí (DPC) tús leis an bhfiosrúchán féintoilithe seo mar thoradh ar chleachtadh monatóireachta agus forfheidhmithe a tugadh de bhun tascanna údaráis maoirseachta atá in Airteagal 57 den GDPR.

Bhí an DPC ag iarraidh monatóireacht a dhéanamh ar chur chun feidhme an GDPR agus an GDPR a fhorfheidhmiú maidir le hOifigeach Cosanta Sonraí (DPO) a bheith á ainmniú ag eagraíochtaí. Tá ainmniú DPO agus oibleagáidí gaolmhara rialaitheoirí sonraí in Airteagal 37 den GDPR. Ainmníodh an Chomhairle um Chúram Práinne Réamh-Ospidéil ina heagraíocht earnála poiblí dhealramhach a bhféadfadh sé go mbeadh gá di DPO a ainmniú, sonraí an DPO a fhoilsiú agus iad a chur in iúl don DPC mar an t-údarás maoirseachta.

Bhí an Chomhairle um Chúram Práinne Réamh-Ospidéil (PHECC) ar cheann den iomaí eagraíocht san earnáil phoiblí a ndearnadh teagmháil leo le linn an chleachtaidh maoirseachta agus forfheidhmithe. Níor fhreagair an PHECC aon chomhfhreagras a eisíodh chuige. Ní raibh aon taifead sa DPC gur chuir an PHECC sonraí a DPO in iúl don DPC. Ina theannta sin, ní raibh aon sonraí teagmhála ar láithreán gréasáin an PHECC i gcomhair DPO.

Cuireadh tús leis an bhfiosrúchán chun a fháil amach cibé an raibh nó nach raibh gá don PHECC DPO a ainmniú de bhun Airteagal 37(1) den GDPR agus cibé an raibh nó nach raibh sin déanta ag an PHECC. Ina theannta sin, bhíothas ag iarraidh a fháil amach leis an bhFiosrúchán cibé an raibh nó nach raibh Airteagal 37(7) den GDPR sáraithe ag an PHECC maidir le sonraí teagmhála an DPO a fhoilsiú agus maidir leis na sonraí teagmhála sin a chur in iúl don DPC. Cuireadh tús leis an bhFiosrúchán freisin chun a fháil amach cibé ar sháraigh nó nár sháraigh an PHECC Airteagal 31 den GDPR trí mhainneachtain comhoibriú, arna iarraidh, leis an DPC ina chuid tascanna a thabhairt chun críche.

Fuarthas amach sa Chinneadh gur sháraigh an PHECC na forálacha seo a leanas den GDPR:

  • Airteagal 37(1) den GDPR, lena gceanglaítear, i measc nithe eile, ar rialaitheoirí san earnáil phoiblí oifigeach cosanta sonraí a ainmniú. Sháraigh an PHECC Airteagal 37(1) trí mhainneachtain oifigeach cosanta sonraí a ainmniú don eagraíocht.
  • Sháraigh an PHECC Airteagal 37(7) den GDPR trí mhainneachtain sonraí teagmhála oifigeach cosanta sonraí a fhoilsiú agus trí mhainneachtain na sonraí teagmhála sin a chur in iúl don údarás maoirseachta.
  • Ceanglaítear ar rialaitheoirí sonraí faoi Airteagal 31 den GDPR comhoibriú leis an údarás maoirseachta, arna iarraidh, nuair atá an t-údarás ag tabhairt a chuid tascanna chun críche de bhun Airteagal 57 den GDPR. Sháraigh an PHECC Airteagal 31 den GDPR trí mhainneachtain freagra a thabhairt ar aon chomhfhreagras a eisíodh chuige trí ríomhphost agus trí phost cláraithe, cé gur admhaigh sé, le linn an Fhiosrúcháin go bhfuarthas an comhfhreagras. Ghlac an Cinneadh nach le hintinn a bhí an mainneachtain comhoibriú leis an DPC, ach thug faoi deara nach bhféadfadh sé tarlú nach bhfreagródh údarás poiblí ná comhlacht poiblí (ná aon rialaitheoir), ar aon bhealach, díchill arís agus arís eile chun monatóireacht a dhéanamh ar an GDPR agus é a fhorfheidhmiú.

Na Cumhachtaí Ceartaitheacha a Cuireadh i bhFeidhm:

Eisíodh, leis an gCinneadh, iomardú don Chomhairle um Chúram Práinne RéamhOspidéil maidir le sáruithe Airteagail 37(1) agus 37(1) den GDPR

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Comhairle um Chúram Práinne Réamh-Ospidéil Bealtaine 2022 (PDF, 1,010 KB).

 

Cinneadh maidir le Twitter International Company

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 5, 6, 12, 17, 58

Dáta Cinnidh: 27 Aibreán 2022

Taisceadh gearán go díreach leis an gCoimisiún um Chosaint Sonraí (DPC) ar an 02 Iúil 2019 faoi Twitter International Limited (“Twitter”), agus rinne an DPC an gearán sin a láimhseáil ar an mbonn sin de réir an róil atá aige ina phríomhúdarás maoirseachta.

Líomhain an gearánaí, gur theip ar Twitter iarraidh ar léirscriosadh a bhí déanta aige a chomhlíonadh, i ndiaidh dó a chuntas Twitter a chur ar fionraí, laistigh den amscála reachtúil. Ina theannta sin, líomhain an gearánaí gur iarr Twitter air cóip dá aitheantas ar a raibh grianghraf a chur ar fáil, gan aon bhunús dlí leis, d’fhonn an iarraidh a chur i gcrích. Agus ar deireadh, líomhain an gearánaí go raibh a chuid sonraí pearsanta coinnithe ag Twitter i ndiaidh iarraidh ar léirscriosadh a bheith déanta aige gan aon bhunús dlí acu sin a dhéanamh.

Cé gur duine atá ina chónaí sa Ríocht Aontaithe a thaisc an gearán go díreach leis an DPC, bhreithnigh an DPC go raibh cineál na n-oibríochtaí próiseála sonraí a ndearnadh gearán faoi amhail is go mbeadh tionchar suntasach, nó gur dócha go mbeadh tionchar suntasach acu, ní hamháin ar an ábhar sonraí sonrach atá lonnaithe sa Ríocht Aontaithe a rinne an gearán ach ábhair sonraí trí chéile ar fud an Aontais Eorpaigh i gcúinsí ina bhféadfadh ábhair sonraí a bheith faoi réir a gcuntas a chur ar fionraí agus go mbeidís ag iarraidh iarraidh ar léirscriosadh a dhéanamh. Dá bhrí sin, chinn an DPC gur próiseáil é an cineál próiseála a ndearnadh gearán faoi a shásaíonn an sainmhíniú atá tugtha ar phróiseáil trasteorann faoi Airteagal 4(23)(b) den GDPR.

I ndiaidh don DPC idirghabháil a dhéanamh, chomhlíon Twitter iarraidh ar léirscriosadh an ghearánaí gan aon ghá dó cóip dá aitheantas a chur ar fáil. Mar sin féin, tugann an DPC ar aird gur theip ar Twitter an iarraidh ar léirscriosadh a bhí déanta ag an ngearánaí a chomhlíonadh laistigh den amscála reachtúil.

Lean an chinnteoireacht an nós imeachta atá leagtha amach in Airteagal 60 den GDPR maidir le próiseáil trasteorann. Bhí scrúdú arna dhéanamh ag an DPC ar an ngearán, lena n-áirítear iarracht an gearán a réiteach go cairdiúil; Dréacht-Chinneadh arna scaipeadh ar na hÚdaráis Mhaoirseachta Ábhartha; breithniú cúramach an DPC ar gach agóid ábhartha agus réasúnach a fuarthas, agus sa chás seo lean an DPC roinnt de na hagóidí ábhartha agus réasúnacha a fuarthas; Dréacht-Chinneadh Athbhreithnithe a scaipeadh ar na hÚdaráis Mhaoirseachta Ábhartha; an Cinneadh Deiridh a ghlacadh; agus ar deireadh an cinneadh a bhí ar an ngearán a chur in iúl go léir mar chuid den nós imeachta.

Sa chinneadh uaidh, chinn an Coimisiún um Chosaint Sonraí go raibh an Rialachán Ginearálta maidir le Cosaint Sonraí sáraithe ag Twitter mar seo a leanas:

  • Airteagal 5(1)(c) den GDPR mar gur chinn an DPC gurbh ionann ceanglas Twitter go gcaithfeadh an gearánaí a chéannacht a dheimhniú trí chóip dá aitheantas ar a raibh grianghraf a chur ar aghaidh agus sárú ar an bprionsabal a bhaineann le híoslaghdú sonraí, de bhun Airteagal 5(1)(c) den GDPR.
  • Airteagal 6(1) den GDPR mar gur chinn an DPC nár thug Twitter bunús dlí bailí le fios faoi Airteagal 6(1) den GDPR chun cóip d’aitheantas an ghearánaí ar a raibh grianghraf a lorg ar mhaithe lena iarraidh ar léirscriosadh a phróiseáil.  
  • Airteagal 17(1) den GDPR mar gur chinn an DPC go raibh Airteagal 17(1) den GDPR sáraithe ag Twitter, mar go raibh moill mhíchuí i gceist iarraidh an ghearánaí ar léirscriosadh a láimhseáil.
  • Airteagal 12(3) den GDPR mar gur chinn an DPC go raibh Airteagal 12(3) den GDPR sáraithe ag Twitter mar gur theip air an gníomh a glacadh ar a iarraidh ar léirscriosadh de bhun Airteagal 17 den GDPR a chur in iúl dó laistigh de mhí amháin.

I bhfianaise mhéid na sáruithe, d’eisigh an DPC iomardú ar Twitter, de bhun Airteagal 58(2)(b) den GDPR. D’ordaigh an DPC ar Twitter chomh maith, de bhun Airteagal 58(2)(d), athbhreithniú a dhéanamh ar na polasaithe agus nósanna imeachta inmheánacha atá acu i leith iarrataí ar léirscriosadh a láimhseáil chun a chinntiú nach mbeidh gá d’ábhar sonraí cóip d’aitheantas ar a bhfuil grianghraf a chur ar fáil nuair a bhíonn iarrataí ar léirscriosadh á ndéanamh acu, sin mura bhfuil sé ábalta bunús dlí a léiriú le sin a dhéanamh.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Twitter International Company Aibreán 2022 (PDF, 9.0 MB).

Fiosrúchán maidir le 12 sárú Facebook i ndáil le sonraí pearsanta

Réimse: Cuideachta Phríobháideach Trasteorann

Airteagal: 5, 24, 32

Tagairt DPC: IN 18-11-5

Dáta Cinnidh: 15 Márta 2022

Ghlac an DPC le cinneadh, lena ngearrtar fíneáil €17 milliún ar Meta Platforms Ireland Limited (Facebook Ireland Limited roimhe seo) (“Meta Platforms”).

Rinne an DPC fiosrúchán i ndiaidh an chinnidh ar shraith de 12 fhógra sáraithe sonraí a fuarthas i dtréimhse sé mhí idir an 7 Meitheamh 2018 agus an 4 Nollaig 2018. Scrúdaíodh san fhiosrúchán a oiread agus a chomhlíon Meta Platforms ceanglais an GDPR faoi Airteagal 5(1)(f), 5(2), 24(1) agus 32(1) maidir le sonraí pearsanta a bhaineann leis an 12 fhógra maidir le sáruithe a phróiseáil.

Mar thoradh ar an bhfiosrúchán, fuair an DPC amach gur sháraigh Meta Platforms Airteagal 5(2) agus 24(1) den GDPR. Fuair an DPC amach gur theip ar Meta Platforms bearta iomchuí teicniúla agus eagraíochtúla a chur i bhfeidhm, rud a chuirfeadh ar chumas Meta Platforms na bearta slándála a léiriú go héasca, bearta a cuireadh i bhfeidhm i gcleachtas chun sonraí úsáideoirí an AE a chosaint, i gcomhthéacs an dá shárú dhéag i ndáil le sonraí pearsanta.

Mar gheall go raibh próiseáil faoi scrúdú i gceist le próiseáil “trasteorann”, bhí cinneadh an DPC faoi réir an phróisis comhchinnteoireachta atá leagtha amach in Airteagal 60 den GDPR agus bhí údaráis mhaoirseachta uile na hEorpa fostaithe mar chomhchinnteoirí. Cé gur tarraingíodh anuas agóidí maidir le dréacht-chinneadh an DPC in dhá údarás maoirseachta na hEorpa, thángthas ar chomhaontú trí thuilleadh rannpháirtíochta idir an DPC agus na húdaráis mhaoirseachta ábhartha. Dá réir sin, léirítear i gcinneadh an DPC tuairimí coiteanna an DPC agus a chomhúdaráis maoirseachta ar fud an AE.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le 12 sárú Facebook i ndáil le sonraí pearsanta - Márta 2022 (PDF, 1,480 KB).

 

Fiosrúchán maidir le Bank of Ireland Group plc

Réimse: Banc/Creidmheas/Árachas

Airteagal: 32, 33, 34

Tagairt DPC: IN-19-9-5

Dáta Cinnidh: 14 Márta 2022

Cuireadh tús leis an bhfiosrúchán seo maidir le 22 fógra sáraithe sonraí pearsanta a rinne Bank of Ireland Group plc (“BOI”) leis an gCoimisiún um Chosaint Sonraí (“DPC”) idir 9 Samhain 2018 agus 27 Meitheamh 2019. Bhain na fógraí le truailliú faisnéise san fhotha sonraí ó BOI go dtí an Príomhchlár Creidmheasa (“CCR”), córas láraithe a dhéanann faisnéis maidir le hiasachtaí a bhailiú agus a stóráil go sábháilte. I measc na n-eachtraí bhí nochtaí neamhúdaraithe ar shonraí pearsanta custaiméirí don CCR agus athruithe ar shonraí pearsanta custaiméirí ar an CCR a rinneadh de thimpiste.

Mar phríomhcheist, chuimhnigh an cinneadh ar chomhlíon nó nár chomhlíon na heachtraí an sainmhíniú ar “shárú ar shonraí pearsanta” faoin GDPR, agus fuair sé i gás 19 de na heachtraí a thuairiscíodh gur chomhlíon siad an sainmhíniú seo.

Fuair an cinneadh sáruithe ar na forálacha seo a leanas den GDPR:

  • Sáraíodh Airteagal 33 den GDPR, a éilíonn ar rialaitheoirí go gcuirfidh siad sáruithe ar shonraí pearsanta in iúl don DPC i gcúinsí áirithe, ag BOI i dtaca le 17 de na sáruithe a thuairiscíodh. D’athraigh na sáruithe de réir gach sárú ar shonraí pearsanta. I roinnt eachtraí, sáraíodh Airteagal 33(1) mar gheall nár thuairiscigh BOI an sárú ar shonraí pearsanta gan rómhoill. Sáraíodh Airteagal 33(3) chomh maith mar gheall nár chuir BOI go leor mionsonraí ar fáil don DPC i dtaca le roinnt sáruithe ar shonraí pearsanta;
  • Sáraíodh Airteagal 34 den GDPR, a éilíonn ar rialaitheoirí go gcuirfidh siad sáruithe ar shonraí pearsanta in iúl d’ábhair sonraí i gcúinsí áirithe, ag BOI i dtaca le 14 de na heachtraí a thuairiscíodh. Bhain na sáruithe le loiceadh BOI chun cumarsáidí a eisiúint le hábhair sonraí gan rómhoill i gcúinsí inar dóigh go mbeidh ardriosca ann do chearta agus saoirsí ábhar sonraí de bharr na sáruithe ar shonraí pearsanta; agus
  • Sháraigh BOI Airteagal 32(1) den GDPR nuair nár chuir sé bearta iomchuí teicniúla agus eagraíochtúla i bhfeidhm chun leibhéal slándála a áirithiú is iomchuí don riosca a bhí ann de bharr na próiseála a rinne sé ar shonraí custaiméirí agus é ag aistriú faisnéise chuig an CCR.

Na cumhachtaí ceartaitheacha a fheidhmíodh

  • Ghearr an cinneadh fíneálácha riaracháin ar BOI don sárú ar Airteagal 32(1) den GDPR agus sáruithe áirithe ar Airteagail 33 agus 34 den GDPR. Ba é €463,000 méid iomlán na bhfíneálacha riaracháin a fhorchuireadh.
  • D’ordaigh an cinneadh go gcuirfidh BOI a chuid próiseáil i gcomhlíonadh le hAirteagal 32(1) den GDPR trí ordú a thabhairt dó athruithe áirithe a dhéanamh leis a bhearta teicniúla agus eagraíochtúla.
  • D’eisigh an cinneadh iomardú do BOI maidir leis na sáruithe uilig ar Airteagail 33, 34 agus 32(1) den GDPR a aimsíodh sa chinneadh.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le Bank of Ireland Group plc Márta 2022 (PDF, 1,457 KB).

 

Fiosrúchán maidir le Soláthraí Sainchomhairleoireachta

Réimse: Cuideachta Phríobháideach Náisiúnta

Airteagal: 32

Tagairt DPC: IN-20-4-8

Dáta Cinnidh: 24 Eanáir 2022

Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur an Bord Measúnaithe Díobhálacha Pearsatna (‘PIAB’) in iúl don Choimisiún um Chosaint Sonraí ar an 10 Nollaig 2019. Is comhlacht reachtúil neamhspleách é an PIAB a dhéileálann le héilimh díobhála pearsanta. Tharla an sárú ar shonraí pearsanta nuair a sheol Soláthraí Sainchomhairleoireachta gléas stórála USB neamhchriptithe, ina raibh sonraí pearsanta, chuig PIAB, cé gur luaigh PIAB go sonrach gan na sonraí a sheoladh. Smaoinigh an Fiosrúchán ar chomhlíon nó nár chomhlíon an Soláthraí Sainchomhairleoireachta an oibleagáid a bhí air faoi Airteagal 32 GDPR chun leibhéal cuí slándála a chur i bhfeidhm.

  • Fuair an cinneadh gur sháraigh an Soláthraí Sainchomhairleoireachta Airteagal 32(1) GDPR cé gur theip air bearta iomchuí teicniúla agus eagraíochtúla a chur i bhfeidhm chun leibhéal slándála a chinntiú a raibh oiriúnach don riosca a bhí ann de bharr an phróiseáil a rinne sé ar shonraí pearsanta.

Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm

  • D’eisigh an cinneadh iomardú don Soláthraí Sainchomhairleoireachta maidir leis an sárú

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le Soláthraí Sainchomhairleoireachta Eanáir 2022 (PDF, 947 KB).

 

Fiosrúchán maidir leis an mBord Measúnaithe Díobhálacha Pearsanta

Réimse: Údarás Poiblí

Tagairt DPC: IN-20-4-7

Dáta Cinnidh: 24 Eanáir 2022

Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur an Bord Measúnaithe Díobhálacha Pearsanta (‘PIAB’) in iúl don DPC ar an 10 Nollaig 2019. Is comhlacht reachtúil neamhspleách é an PIAB a dhéileálann le héilimh díobhála pearsanta. Tharla an sárú ar shonraí pearsanta nuair a rinne eagraíocht tríú páirtí (‘an Tríú Páirtí’), a bhí faoi chonradh le PIAB, ábhair ina raibh sonraí pearsanta a sheol ar ais chuig PIAB ar mhéaróg USB neamhchriptithe i gclúdach litreach páipéir. I ndeireadh na dála, cailleadh an mhéaróg USB sa phost agus níor seachadadh ach clúdach litreach stróicthe go dtí an PIAB.

Smaoinigh an Fiosrúchán ar chomhlíon nó nár chomhlíon an PIAB an oibleagáid a bhí air faoi Airteagal 32 GDPR chun leibhéal cuí slándála a chur i bhfeidhm. Dheimhnigh an fiosrúchán gur iarr an PIAB roimh ré nach seolfadh an Tríú Páirtí na sonraí pearsanta chuig an PIAB. Sa chúinsí sin, fuair an Cinneadh nach mbeadh aon seans go dtuarfadh an PIAB go ndéanfadh an Tríú Páirtí, gan aon chomhairle leis an PIAB, gléas stórála USB neamhchriptithe a sheoladh chuige i gclúdach litreach nach raibh stuáilte tríd an ghnáthphost (seachas post cláraithe).

Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm

  • Níor chuir an Coimisiún um Chosaint Sonraí aon cumhachtaí ceartaitheacha i bhfeidhm sa chás seo cé nár bhfuarthas gur sháraigh an PIAB aon fhoráil den GDPR.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir leis an mBord Measúnaithe Díobhálacha Pearsanta Eanáir 2022 (PDF, 628KB).

 

Fiosrúchán maidir le Comhar Creidmheasa Bhaile Shláine

Réimse: Banc/Creidmheas/Árachas

Airteagal: 5, 24, 28, 30, 32

Tagairt DPC: IN-19-7-5

Dáta Cinnidh: 26 Eanáir 2022

Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur Comhar Creidmheasa Bhaile Shláine in iúl don DPC ar an 30 Samhain 2018. Bunaíodh Comhar Creidmheasa Bhaile Shláine ar an 16 Feabhra 1968 mar bhall de Chonradh na hÉireann de Chomhair Creidmheasa. Déantar rialú air ag Banc Ceannais na hÉireann faoi alt 84 den Acht um Chomhar Creidmheasa 1997.

Bhain an sárú ar shonraí pearsanta le nochtadh neamhúdaraithe de shonraí pearsanta i bhfoirm foilsiú neamhbheartaithe de shonraí baill ar an idirlíon. Cuireadh tuarascálacha boird áirithe a bhain le hiarrataí ballraíochta ar fáil go poiblí gan chuimhneamh trí thorthaí innill chuardaigh ar feadh tréimhse in 2018. De réir Comhair Creidmheasa Bhaile Shláine, tharla an eachtra seo de bharr uasdátú nach raibh Comhar Creidmheasa Bhaile Shláine ag súil leis a rinneadh ar uirlis optamaithe innill chuardaigh suiteáilte ar an suíomh gréasáin.

Fuair an cinneadh sáruithe ar na forálacha seo a leanas den GDPR:

  • Sháraigh Comhar Creidmheasa Bhaile Shláine Airteagal 5(1)(f) agus 32(1) nuair nár chuir sé bearta eagraíochtúla cuí i bhfeidhm chun leibhéal slándála cuí a chinntiú i leith an riosca a cuireadh i láthair ag an bpróiseáil a dhéanann sé ar shonraí pearsanta a chuid ball;
  • Sháraigh Comhar Creidmheasa Bhaile Shláine Airteagal 24 agus 30(1) nuair nár chuir sé bearta eagraíochtúla cuí i bhfeidhm a chur cineál, scóip, comhthéacs agus cuspóirí a chuid próiseáil san áireamh, agus nuair nár chuir sé an t-eolas ábhartha ar fad san áireamh ina thaifead próiseála; agus
  • Sháraigh Comhar Creidmheasa Bhaile Shláine Airteagal 28(1) agus (3) nuair nach ndearna sé dícheall cuí ar a phróiseálaí agus nuair nár chuir sé aontas i bhfeidhm lena phróiseálaí a chomhlíon forálacha Airteagail 28(3) den GDPR

Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm

  • Rinne an cinneadh fíneáil riaracháin a fhorchuir ar Chomhar Creidmheasa Bhaile Shláine san iomlán €5,000 maidir leis an sárú d’Airteagal 5(1)(f) den GDPR (prionsabal slándála próiseála).
  • Thug an cinneadh iomardú do Chomhar Creidmheasa Bhaile Shláine maidir leis na sáruithe go léir.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Comhar Creidmheasa Bhaile Shláine Eanáir 2022 (PDF, 898 KB).

 

Fiosrúchán maidir le Comhairle Cathrach agus Contae Luimnigh

Réimse: Údarás Poiblí

Tagairt DPC: 03/SIU/2018

Dáta Cinnidh: 9 Nollaig 2021

D’iarr an fiosrúchán seo a mheas an raibh Comhairle Cathrach agus Contae Luimnigh ag próiseáil sonraí pearsanta de réir an GDPR agus an Acht um Chosaint Sonraí 2018. Scrúdaigh an fiosrúchán roinnt d’oibríochtaí próiseála na Comhairle, lena n-áirítear an úsáid a bhain said as ceamaraí CCTV, teicneolaíocht Uathaitheanta Uimhirphlátaí agus dróin in áiteanna poiblí, a úsáideadh chun coireacht a fhorfheidhmiú nó do chuspóirí eile.

Is iad seo a leanas roinnt de na torthaí sa chinneadh:

  • Níl aon bunús dlí ag an gComhairle sonraí pearsanta a phróiseáil trí cheamaraí CCTV le haghaidh cuspóirí bainistíochta tráchta.
  • Bhí easpa bunúis dlí ag an gComhairle le haghaidh roinnt ceamaraí CCTV a úsáideadh i gcoinne coireachta, toisc nár thaispeáin an Chomhairle go bhfuair sí údar Choimisinéara na nGardaí de bhun alt 38(3) d’Acht an Gharda Síochána 2005 a bhí soiléir, cruinn agus intuartha go leor mar a luaitear go sonrach ag an GDPR.
  • Bhí easpa bunúis dlí ag an gComhairle faireachas a dhéanamh le ceamaraí CCTV a bhain úsáid as teicneolaíocht Uathaitheanta Uimhirphlátaí.
  • Sháraigh an Chomhairle Airteagal 15 den GDPR trí diúltú d’iarratais rochtana ábhair sonraí maidir le ceamaraí CCTV a úsáideadh le haghaidh cuspóirí bainistíochta tráchta.
  • Theip ar an gComhairle a hoibleagáidí trédhearcachta faoi Airteagal 13 a chomhlíonadh mar gheall nár chuir sí suas comharthaí maidir lena hoibleagáidí próiseála CCTV.
  • Sháraigh an Chomhairle Airteagal 12 den GDPR mar gheall nár chinntigh sí go mbeadh a Polasaí CCTV inrochtana nó trédhearcach go leor.

Na cumhachtaí ceartaitheacha a fheidhmíodh

  • Cuireadh cosc sealadach ar shonraí pearsanta a phróiseáil le ceamaraí CCTV ag roinnt áiteanna a úsáideadh le haghaidh forfheidhmiú dlí coiriúil go dtí go bhféadfaí bunús dlí a aithint.
  • Cuireadh cosc sealadach ar shonraí pearsanta a phróiseáil le ceamaraí CCTV a úsáideadh le haghaidh cuspóirí bainistíochta tráchta go dtí go bhféadfaí bunús dlí a aithint.
  • Tugadh ordú do Chomhairle Cathrach agus Contae Luimnigh a cuid próiseáil sonraí pearsanta a chur i gcomhlíonadh ag tógáil gníomhartha ar leith, a leagtar amach go sonrach sa chinneadh.
  • Eisíodh iomardú maidir le roinnt de na sáruithe a rinne Comhairle Cathrach agus Contae Luimnigh.
  • Gearradh fineáil riaracháin san iomlán €110,000.

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir le Comhairle Cathrach agus Contae Luimnigh Nollaig 2021 (PDF, 1,622 KB).

 

Fiosrúchán maidir leis an gComhairle Mhúinteoireachta

Réimse: Údarás Poiblí

Airteagal: 5, 32

Tagairt DPC: IN-20-04-01

Dáta Cinnidh: 2 Nollaig 2021

Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur an Chomhairle Mhúinteoireachta (an Chomhairle) in iúl don DPC ar an 9 Márta 2020. Is í an Chomhairle an comhlacht um chaighdeáin ghairmiúla don mhúinteoireacht, agus is é an cuspóir atá aici ná caighdeáin ghairmiúla na gairme a chur chun cian agus a rialáil.

Tharla an sárú ar shonraí pearsanta nuair a d’oscail beirt d’fhoireann na Comhairle ríomhphost fioscaireachta, rud a lig ansin do riail inar seoladh ríomhphoist ar aghaidh go huathoibríoch óna gcuntais ríomhphoist chuig cuntas ríomhphoist mailíseach. Dá bharr sin, idir an 17 Feabhra 2020 agus an 6 Márta 2020 nuair a thángthas ar an riail uathoibríoch, seoladh 323 ríomhphost ar agaidh go dtí an seoladh ríomhphoist seachtrach neamhúdaraithe. Sna ríomhphoist seo bhí sonraí pearsanta de chuid 9,735 ábhar sonraí agus sonraí pearsanta íogaire d’ábhar sonraí amháin.

  • Chinn an cinneadh gur sháraigh an Chomhairle Airteagal 5(1) agus Airteagal 5(2) den GDPR idir an 25 Bealtaine 2018, nuair a tháinig an GDPR i bhfeidhm, agus dátaí na sáruithe ar shonraí pearsanta, trí mhainneachtain sonraí pearsanta a phróiseáil i mbealach a chinntigh slándáil na sonraí pearsanta trí úsáid a bhaint as bearta iomchuí teicniúla agus eagraíochtúla.
  • Chinn an cinneadh gur sháraigh an Chomhairle Airteagal 33(1) den GDPR mar gheall nár chuir sí an sárú/na sáruithe a chur in iúl don DPC nuair ba cheart di bheith ar an eolas fúthu.

Na cumhachtaí ceartaitheacha a fheidhmíodh

  • Ghearr an cinneadh fineáil riaracháin ar an gComhairle san iomlán €60,000 maidir leis na sáruithe.
  • D’eisigh an cinneadh iomardú don Chomhairle maidir leis an sáruithe.
  • Le machnamh cuí ar na bearta a chur an Chomhairle i bhfeidhm roimhe seo ó tharla an sárú ar shonraí pearsanta agus le linn an fhiosrúcháin, tugadh an dáta 2 Meitheamh 2022 don Chomhairle chun a cuid oibríochtaí próiseála a chur i gcomhlíonadh le hAirteagail 5(1) agus 32(1) den GPDR

Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Fiosrúchán maidir leis an gComhairle Mhúinteoireachta Nollaig 2021 (PDF, 1,124 KB).