Fógraíonn an Coimisiún um Chosaint Sonraí an cinneadh críochnaitheach ó fhiosrúchán ar an Ospidéal Réigiúnach Lár Tíre, Tulach Mhór

D’fhógair an Coimisiún um Chosaint Sonraí an cinneadh críochnaitheach uaidh tar éis fiosrúchán ar ionsaí bogearraí éirice a rinneadh ar an gcóras faisnéise saotharlainne san Ospidéal Réigiúnach Lár Tíre, Tulach Mhór, Contae Uíbh Fhailí. Braitheadh an sárú an 14 Samhain 2018. Ghnóthaigh na hionsaitheoirí rochtain ar ríomhairí lenar stóráladh agus lenar próiseáladh torthaí saotharlainne ar thástálacha diagnóiseacha othar, agus bhain siad úsáid as an rochtain sin chun sonraí pearsanta othar a chriptiú. 

Scrúdaíodh san fhiosrúchán ón gCoimisiún na bearta teicniúla agus eagraíochtúla a bhí i bhfeidhm ag Feidhmeannacht na Seirbhíse Sláinte (FSS) chun slándáil próiseála sonraí pearsanta a chinntiú ar na córais a ndearnadh ionsaí orthu. Scrúdaíodh ann freisin a mhéid a chomhlíon FSS an Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS) i ndáil lena chonarthaí le soláthraithe seirbhíse amhail próiseálaithe sonraí tríú páirtí, a thaifead ar ghníomhaíochtaí próiseála, agus an ceanglas atá air fógra a thabhairt do dhaoine a ndéanann sáruithe ardriosca difear dóibh. 

Tagtar ar na conclúidí seo a leanas sa chinneadh ón gCoimisiún, rud a cuireadh in iúl do FSS an 11 Meitheamh 2026:

• sháraigh FSS prionsabal na sláine agus na rúndachta faoi Airteagal 5(1)(f) RGCS nuair a mhainnigh sé slándáil iomchuí na sonraí pearsanta a bhaineann le próiseáil sonraí pearsanta othar a chinntiú trí úsáid a bhaint as bearta iomchuí teicniúla agus eagraíochtúla;
• sháraigh FSS Airteagal 28 RGCS nuair nár chinntigh sé go raibh coimircí dóthanacha ar áireamh i gcomhaontuithe le tríú páirtithe a phróiseáil sonraí pearsanta thar a cheann chun a chinntiú go mbeadh an phróiseáil i gcomhréir go hiomlán le RGCS agus go gcosnófaí cearta ábhar sonraí;
• sháraigh FSS Airteagal 30 RGCS nuair a mhainnigh sé taifead iomlán comhlíontach a bheith aige ar ghníomhaíocht próiseála tráth an tsáraithe;
• sháraigh FSS Airteagal 32(1) RGCS nuair a mhainnigh sé bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun leibhéal slándála a chinntiú a bhí oiriúnach don riosca a bhí ag baint leis an bpróiseáil a bhí á déanamh aige ar shonraí pearsanta ar na córais a ndearna an t-ionsaí bogearraí éirice difear dóibh; agus
• sháraigh FSS Airteagal 34 RGCS nuair a mhainnigh sé an fhaisnéis ar fad a cheanglaítear leis an Airteagal sin a sholáthar do na daoine a ndearna an sárú difear dóibh.

I bhfianaise na sáruithe atá sainaitheanta thuas, rinne an Coimisiún an méid seo a leanas:

• iomardú a thabhairt do FSS;
• fíneáil €300,000 a ghearradh ar FSS i leith na sáruithe ar Airteagal 5(1)(f) RGCS agus ar Airteagal 32(1) RGCS; agus
• a ordú do FSS beartais shonraithe agus nósanna imeachta sonraithe a chur chun feidhme a bhfuil mar aidhm leo slándáil iomchuí próiseála sonraí pearsanta a chinntiú.

Dúirt Graham Doyle, Leas-Choimisinéir an Choimisiúin: “Mheas FSS go ndearna an sárú seo difear do na sonraí pearsanta de chuid thart ar 84,000 duine. Cé nach raibh aon fhianaise shoiléir ann gur asbhain na hionsaitheoirí sonraí cliniciúla, ní rabhthas in ann an fhéidearthacht go ndearnadh gníomh den sórt sin a chur as an áireamh i dtuarascáil fhóiréinseach ar an sárú. Mar thoradh ar chineál íogair na sonraí pearsanta, agus ar an líon mór daoine a bhféadfadh go ndearnadh difear dóibh, cuireadh cúram cliniciúil othar i mbaol agus bhí baol ann go nochtfaí a sonraí pearsanta agus go mbainfí mí-úsáid as na sonraí sin.

Aithníonn an Coimisiún na feabhsuithe suntasacha a rinne FSS ó tharla an sárú, mar aon leis an tiomantas atá aige d’fheabhsuithe leanúnacha a dhéanamh.”

Foilseoidh an Coimisiún an cinneadh iomlán in am trátha.