Fiosrúchán ar Bhord Oideachais agus Oiliúna Chathair Bhaile Átha Cliath (CDETB)

Inniu, d’fhógair an Coimisiún um Chosaint Sonraí (an Coimisiún) an cinneadh críochnaitheach uaidh tar éis fiosrúchán ar shárú sonraí pearsanta ag Bord Oideachais agus Oiliúna Chathair Bhaile Átha Cliath (CDETB). Thosaigh an Coimisiún an fiosrúchán seo dá dheoin féin i mí Iúil 2019. Bhain an fiosrúchán le sárú sonraí pearsanta ar thug CDETB fógra faoi i mí na Samhna 2018, tar éis dó a fháil amach go raibh a fhreastalaí Gréasáin ag coinneáil sonraí pearsanta de chuid iarratasóirí ar dheontas mac léinn tar éis dóibh faisnéis a bhaineann lena n-iarratas a uaslódáil trí shuíomh Gréasáin CDETB. Aimsíodh bogearraí mailíseacha ar an bhfreastalaí Gréasáin freisin.

Áiríodh leis na sonraí a próiseáladh thart ar 13,000 ábhar sonraí, a bhí in-sainaitheanta de réir seoladh ríomhphoist, a chuir foirmeacha forlíontacha isteach trí shuíomh Gréasáin CDETB le linn na mblianta 2017 agus 2018. Áiríodh leis na sonraí pearsanta a bhí i mbaol mar gheall ar an teagmhas slándála céannacht (ainm, sloinne agus dáta breithe), uimhir phearsanta seirbhíse poiblí, mionsonraí teagmhála, sonraí aitheantais agus catagóirí speisialta sonraí an ábhair sonraí, amhail sonraí lena nochtar bunadh ciníoch nó eitneach agus sonraí sláinte.

Rinne an Coimisiún measúnú ar na bearta teicniúla agus eagraíochtúla a bhí i bhfeidhm ag CDETB chun slándáil na sonraí pearsanta a bhí á bpróiseáil aige ar a shuíomh Gréasáin a chinntiú i bhfianaise na rioscaí a bhí i gceist. Áiríodh leis na rioscaí sin an riosca go nochtfaí sonraí pearsanta do thríú páirtithe nó go dtabharfaí rochtain neamhúdaraithe do thríú páirtithe ar shonraí pearsanta. Áiríodh leo freisin rioscaí a bhain leis na sonraí pearsanta a bhí á bpróiseáil ar an suíomh Gréasáin a scriosadh nó a athrú de thaisme nó go neamhdhleathach nó an fháil ar na sonraí sin a chailleadh de thaisme nó go neamhdhleathach.

Rinne an Coimisiún scrúdú freisin ar a mhéid a bhí CDETB ag comhlíonadh na hoibleagáide a bhí air fógra a thabhairt go pras don Choimisiún faoi sháruithe, mar aon leis an oibleagáid a bhí ar CDETB fógra a thabhairt d’ábhair sonraí faoin sárú. Sa chás seo, d’iarr an Coimisiún go sonrach ar CDETB fógra a thabhairt do na hábhair sonraí lena mbaineann, ach dhiúltaigh CDETB déanamh amhlaidh.

Thángthas ar na conclúidí seo a leanas sa Chinneadh ón gCoimisiún:

• Sháraigh CDETB Airteagail 5(1)(f), 32(1) agus 32(2) RGCS nuair a mhainnigh sé bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun leibhéal slándála a chinntiú a bhí oiriúnach don riosca a bhí ag baint le sonraí pearsanta a bheith á bpróiseáil aige ar a shuíomh Gréasáin agus nuair a mhainnigh sé an leibhéal iomchuí slándála a mheasúnú,

• Sháraigh CDETB Airteagal 33(1) RGCS nuair a mhainnigh sé fógra a thabhairt don Choimisiún faoin sárú gan moill mhíchuí,

• Sháraigh CDETB Airteagal 34(1) RGCS nuair a mhainnigh sé fógra a thabhairt do na hábhair sonraí lena mbaineann faoin sárú gan moill mhíchuí, agus

• Sháraigh CDETB Airteagal 34(4) RGCS nuair a mhainnigh sé an sárú a chur in iúl do na hábhair sonraí nuair a cheangail an Coimisiún air déanamh amhlaidh.

Thug an Coimisiún iomardú do CDETB, d’fhorchuir sé fíneálacha riaracháin dar luach iomlán €125,000 air, agus d’ordaigh sé dó a phróiseáil a chur i gcomhréir le ceanglais slándála RGCS.

Foilseoidh an Coimisiún an Cinneadh agus achoimre in am trátha.

Fógra d'Eagraíochtaí

Is ionann an Cinneadh seo agus an dara huair laistigh de thréimhse sé mhí, nó mar sin, inar ghearr an Coimisiún pionós ar chomhlacht earnála poiblí mar gheall ar sháruithe a bhain le mainneachtain a chinntiú go gcuirtear bearta slándála atá oiriúnach don riosca chun feidhme, mar aon le mainneachtain fógra a thabhairt don Choimisiún faoi shárú sonraí gan moill mhíchuí. Dá bhrí sin, cuireann an Coimisiún in iúl go láidir an athuair go bhfuil sé ríthábhachtach go gcinnteodh eagraíochtaí go ndéantar measúnú ar na rioscaí a bhaineann le sonraí pearsanta a phróiseáil agus go ndéantar an phróiseáil ar bhealach a chinntíonn slándáil iomchuí, trí na bearta teicniúla agus eagraíochtúla a cheanglaítear faoi RGCS a chur chun feidhme. Ní mór do rialaitheoirí sonraí a chinntiú freisin go gcomhlíonann siad an oibleagáid reachtúil atá orthu fógra a thabhairt don Choimisiún faoi shárú gan moill mhíchuí i gcás gur dócha go gcruthóidh an sárú sin riosca do na cearta agus na saoirsí atá ag ábhair sonraí.

I gcás gur dócha go mbeidh ardriosca ann do na cearta agus na saoirsí atá ag ábhair sonraí (agus i gcás nach gcomhlíonfar aon cheann de na coinníollacha atá leagtha amach faoi Airteagal 34(3)), ní mór do rialaitheoirí sonraí a chinntiú go gcuirfear an sárú sonraí in iúl d’ábhair sonraí gan moill mhíchuí. Ba cheart do rialaitheoirí sonraí a bheith ar an eolas freisin go bhfuil sé de chumhacht ag an gCoimisiún ordú a thabhairt do rialaitheoir sonraí sárú a chur in iúl d’ábhair sonraí i gcomhréir le hAirteagal 34(4) RGCS. Más rud é, mar a tharla sa chás seo, go n-eiseoidh an Coimisiún ordú den sórt sin do rialaitheoir sonraí, beidh sé ríthábhachtach go gcuirfeadh an rialaitheoir sonraí sin an sárú in iúl gan mhoill.

D’ainneoin na sáruithe a sainaithníodh sa Chinneadh uaidh, molann an Coimisiún éirim an chaidrimh a rinne CDETB leis an gCoimisiún ó fuair sé na cinntí beartaithe ón gCoimisiún tríd an dréachtleagan den Chinneadh. Is ísle i bhfad na fíneálacha dar luach iomlán €125,000 atá leagtha amach thuas ná an raon fíneála a beartaíodh sa dréacht-Chinneadh, ba é sin €210,000 ar a mhéad. Tá na fíneálacha deiridh ina léiriú ar an maolú a chuir CDETB i bhfeidhm agus é ag glacadh le gach ceann de na cinntí maidir le sáruithe atá leagtha amach sa dréacht-Chinneadh, áit ar ghlac sé le freagracht iomlán as an sárú, ar ghabh sé a leithscéal leis na hábhair sonraí lena mbaineann agus leis an gCoimisiún araon, agus a ndearna sé bearta réamhghníomhacha chun laghdú a dhéanamh ar an dóchúlacht go dtarlódh sáruithe den chineál céanna sa todhchaí, gan ordú sonrach a fháil ón gCoimisiún déanamh amhlaidh.