Treoir maidir le haistrithe sonraí pearsanta ó éirinn chuig an ríocht aontaithe ag deireadh na hIdirthréimhse (11pm ar an 31 Nollaig 2020)

A. An cuideachta éireannach thú a aistríonn sonraí pearsanta chuig an ríocht aontaithe (tuaisceart éireann san áireamh)? 

Féach thíos liosta neamh-uileghabhálach de na cásanna ina bhféadfadh go mbeifeá ag aistriú sonraí chuig cuideachta atá lonnaithe sa ríocht aontaithe

• D’fhéadfadh go mbeadh d’fheidhm Acmhainní Daonna, Teicneolaíochta Faisnéise nó Párolla á seachfhoinsiú agat chuig eagraíocht atá lonnaithe sa Ríocht Aontaithe.

• D’fhéadfadh go mbeadh cuideachta margaíochta atá lonnaithe sa Ríocht Aontaithe á húsáid agat chun cumarsáidí margaíochta a sheoladh chuig do bhunachar sonraí custaiméirí.

• An bhfuil do sholáthraí sláinte ceirde lonnaithe sa Ríocht Aontaithe?

• An bhfuil do scéim pinsean lonnaithe sa Ríocht Aontaithe?

• An mbíonn seirbhísí aistriúcháin/tras-scríofa de chuid cuideachta atá lonnaithe sa Ríocht Aontaithe á n-úsáid agat, áit a bhféadfadh go mbeifeá ag seoladh sonraí pearsanta de chuid fostaithe, custaiméirí nó soláthraithe chuici?

• An mbíonn cuideachta atá lonnaithe sa Ríocht Aontaithe á húsáid agat chun anailís a dhéanamh ar shonraí faoi chuairteoirí ar do shuíomh Gréasáin?

• An mbíonn sonraí á stóráil agat ar fhreastalaí nó sa néal sa Ríocht Aontaithe?

B. Roimh deireadh na hIdirthréimhse, beidh ort bearta breise a chur i bhfeidhm chun na sonraí sin a aistriú go dleathach

• Tá caighdeáin an-ard chosanta sonraí againn san Aontas Eorpach. Ní cheadaítear do rialaitheoirí sonraí atá lonnaithe san Aontas sonraí pearsanta a aistriú chuig áiteanna lasmuigh den Aontas/den Limistéar Eorpach Eacnamaíoch ach amháin i gcás go gcoinnítear na caighdeáin sin ar bun.

• Níl an Ríocht Aontaithe ina ball den Aontas a thuilleadh ón 31 Eanáir 2020. Cuireadh Idirthréimhse I bhfeidhm, áfach, ionas go bhféadfaí caidreamh nua idir an AE agus an RA a shocrú trí idirbheartaíocht. Mar sin de, níl aon athrú le rialacha an GDPR le linn na hidirthréimhse seo maidir le haistrithe sonraí ón LEE go dtí an RA. Tiocfaidh deireadh leis na tréimhse seo ag 11pm ar an 31 Nollaig 2020. Tar éis an ama seo, mura bhfuil cinneadh leordhóthanachta[1] déanta ag an gCoimisiún Eorpach maidir leis an RA, déanfar ‘Tríú Tír’ di. Fágann sé sin go gcaithfear le haistrithe sonraí pearsanta ó Éirinn chuig an Ríocht Aontaithe ar an mbealach céanna a chaitear le haistrithe sonraí pearsanta chuig tíortha amhail an Astráil, an India nó an Bhrasaíl. 

• Is é an toradh a bheidh air sin sa chleachtas gurb amhlaidh, má tá sí chun rialacha an Rialacháin Ghinearálta maidir le Cosaint Sonraí a chomhlíonadh, go mbeidh ar chuideachta Éireannach a bheartaíonn sonraí pearsanta a aistriú chuig an Ríocht Aontaithe coimircí sonracha a chur i bhfeidhm chun na sonraí sin a chosaint le linn a n-aistrithe agus á bpróiseála ina dhiaidh sin.

• Is féidir an méid sin a dhéanamh ar roinnt bealaí difriúla, ag brath ar na himthosca ina bhfuil na sonraí le haistriú.

• Ceann de na bealaí sin is ea “Clásail Chonarthacha Chaighdeánacha” a úsáid, agus is dóigh go mbeidh siad sin ábhartha d’fhormhór na ngnólachtaí Éireannacha a aistríonn sonraí pearsanta chuig an Ríocht Aontaithe. 

• Cuimsítear sna Clásail Chonarthacha Chaighdeánacha tacair chaighdeánacha nó theimpléadacha de théarmaí agus coinníollacha conarthacha a gcuireann an rialaitheoir atá lonnaithe in Éirinn agus an faighteoir atá lonnaithe sa Ríocht Aontaithe (a ghníomhaíonn mar Phróiseálaí Sonraí ina lán cásanna) a n-ainm leo. Is é an bunsmaoineamh atá taobh thiar díobh go dtabharfaidh gach ceann de na páirtithe sa chonradh ceangaltais atá ceangailteach le conradh chun sonraí pearsanta a chosaint le linn a n-aistrithe ón Aontas/ón Limistéar Eorpach Eacnamaíoch chuig an Tríú Tír. Rud tábhachtach, tugtar cearta sonracha áirithe faoi na Clásail Chonarthacha Chaighdeánacha don ábhar sonraí freisin, cé nach bhfuil sé/sí ina p(h)áirtí sa chonradh lena mbaineann.

• Féadfar na Clásail Chonarthacha Chaighdeánacha a ghlacadh trí chonradh saorsheasaimh nó conradh nua a chur i bhfeidhm idir an rialaitheoir atá lonnaithe in Éirinn agus an faighteoir atá lonnaithe sa Ríocht Aontaithe. Mar aon leis na Clásail Chonarthacha Chaighdeánacha a leagan amach, d’fhéadfadh go mbeadh clásail tráchtála eile sa chonradh freisin, ar choinníoll nach mbeidh tionchar ag na clásail eile sin ar fheidhmiú na gClásal Conarthach Caighdeánach agus nach laghdófar cearta an ábhair sonraí dá mbarr. Mar an gcéanna, níor cheart an leibhéal cosanta a cheanglaítear ar an eintiteas atá lonnaithe sa Ríocht Aontaithe a thabhairt do na sonraí arna n-aistriú a laghdú de bharr aon chlásal tráchtála breise. Sampla den chineál clásail tráchtála atá ceadaithe is ea foráil faoina ndéanann an t-eintiteas atá lonnaithe sa Ríocht Aontaithe an rialaitheoir atá lonnaithe in Éirinn a shlánú in aghaidh sárú ag an eintiteas atá lonnaithe sa Ríocht Aontaithe ar a oibleagáidí faoin gconradh.

• Mar mhalairt air sin, i gcás go bhfuil conradh i bhfeidhm cheana féin idir an rialaitheoir atá lonnaithe in Éirinn agus an próiseálaí atá lonnaithe sa Ríocht Aontaithe, mar a cheanglaítear le hAirteagal 28(3) den Rialachán Ginearálta maidir le Cosaint Sonraí, féadfaidh siad a chinneadh na Clásail Chonarthacha Chaighdeánacha a chur ar áireamh sa chonradh sin atá ann cheana. Arís, ní fhéadfar é sin a dhéanamh ach amháin ar choinníoll nach mbeidh tionchar ag téarmaí an chonartha ar na Clásail Chonarthacha Chaighdeánacha agus nach laghdófar cearta an ábhair sonraí dá mbarr agus ar choinníoll nach laghdófar dá mbarr ach oiread an leibhéal cosanta a cheanglaítear ar an bpróiseálaí atá lonnaithe sa Ríocht Aontaithe a thabhairt do na sonraí arna n-aistriú. Ag brath ar fhoirm agus téarmaí ar leith an chonartha atá ann eatarthu cheana féin, d’fhéadfaí an toradh sin a bhaint amach trí bhíthin athrú i scríbhinn.

• Tá tacar samplach de Chlásail Chonarthacha Chaighdeánacha (An Rialaitheoir chuig an bPróiseálaí, 2010) faoi iamh. Féadfar na clásail sin (ar fhorbair an Coimisiún Eorpach iad) a úsáid i gcás gur rialaitheoir sonraí Éireannach thú a aistríonn sonraí pearsanta chuig soláthraí seirbhíse atá lonnaithe sa Ríocht Aontaithe, ar ina leith a ghníomhaíonn do sholáthraí seirbhíse mar phróiseálaí sonraí. 

C. Tionchar Breithiúnais Cúirte Bhreithiúnais an Aontais Eorpaigh (CJEU) i leith Cáis C-311/18 – Coimsinéir Cosanta Sonraí v Facebook Ireland Ltd agus Maximillian Schrems

• I mí Iúil 2020, thug Cúirt Bhreithiúnais an Aontais Eorpaigh breithiúnas[2] i leith Cáis C-311/18 – Coimisinéir Cosanta Sonraí v Facebook Ireland Ltd agus Maximillian Schrems.[3]
• Ina breithiúnas, scrúdaigh an Chúirt bailíocht na SCCanna ó 2010 agus mheas sí gur cosaint bhailí a bhí iontu fós. Braitheann an bhailíocht sin, áfach, an bhfuil meicníochtaí éifeachtacha sna SCCanna go bhféadfaí, ó thaobh na praiticiúlachta de, comhlíonadh a chinntiú leis an leibhéal cosanta a bhfuil coibhéiseach, go bunúsach, leis an leibhéal a dheimhníonn an GDPR laistigh den AE.
• Léirigh an Chúirt go soiléir go bhfuil an easportálaí sonraí agus an iomportálaí sonraí freagrach as measúnú a dhéanamh an gcloíonn an tríú tír (an RA sa chás seo) leis an leibhéal cosanta a éilíonn dlí an AE ionas go gcinnteofar an bhféadfaí cloí i ndáiríre leis na ráthaíochtaí a thugann na SCCanna. D’fhéadfadh do sholáthraí seirbhíse atá lonnaithe san RA cuidiú leis an measúnú seo.
• Mura mar sin é, ba cheart duit a mheas an féidir leat bearta breise a chur ar fáil chun leibhéal a chur ar fáil a bhfuil coibhéiseach, go bunúsach, leis an leibhéal a chuirtear ar fáil san LEE, agus an gcuirfidh dlí an RA as do na bearta breise seo chun a gcuid éifeachtacht a chosc.
• D’eisigh an EDPB doiciméad[4] le moltaí ar Bhearta breise a bhféadfadh cuidiú leis an measúnú.
• Má dhéanann tú féin nó an t-iomportálaí sonraí cinneadh maidir leis na sonraí a aistrítear leis na SCCanna nach bhfuil leibhéal cosanta á gcoimeád a bhfuil coibhéiseach leis an leibhéal a dheimhnítear laistigh den LEE, ba cheart duit na haistrithe a chur ar fionraí láithreach.
• Má tá sé i gceist agat leanúint leis an aistriú cé go bhfuil an bonn á bhaint ón leibhéal cosanta, caithfidh tú é seo a chur in iúl don DPC, agus déanfaidh an DPC cinneadh ar cheart an t-aistriú a chur ar fionraí.

D. Conclúid

Tá sé tábhachtach a chuimhneamh nach leor na SCCanna (agus, go deimhin, aon cheann de na sásraí eile a úsáidtear chun an t-aistriú dleathach sonraí amach as an AE/as an LEE a éascú) a chur i bhfeidhm amháin. Is gá cúram a thógáil chun a áirithiú, ón taobh oibríochtúil de, go ndéanfar aistrithe a sheoladh agus a bhainistiú ar bhealach a áirithíonn gurb amhlaidh i gcónaí go gcosnófar sonraí pearsanta de réir an leibhéil a shamhlaítear sa GDPR agus go gcomhlíonfar sa chleachtas na hoibleagáidí a nglacann na páirtithe leo faoi théarmaí a gconartha SCC. Amhail i gcás na ngnéithe uile eile de na socruithe próiseála sonraí atá i bhfeidhm ag gnólacht, is gá pleanáil a dhéanamh chun a áirithiú go gcomhlíonfar ceanglais an GDPR i gcoitinne.

Iarscríbhinn 1

1. Is é seo a leanas forbhreathnú an-ghairid ar ábhar na gClásal Conarthach Caighdeánach.

• Ar an gcéad leathanach, ceanglaítear ar na páirtithe sa chonradh Clásal Conarthach Caighdeánach faisnéis bhunúsach áirithe a chur isteach, agus ainm agus sonraí teagmhála an “onnmhaireora sonraí” (an rialaitheoir atá lonnaithe in Éirinn) agus an “allmhaireora sonraí” (an soláthraí seirbhíse atá lonnaithe sa Ríocht Aontaithe) á sainaithint.
• Sainmhínítear téarmaí tábhachtacha áirithe i gClásal 1 ansin. Feicfidh tú go dtagraítear sa chlásal sin do Threoir 95/46/CE, seachas don Rialachán Ginearálta maidir le Cosaint Sonraí. Tá sé sin ag teacht leis an bhfíric gur forbraíodh an teimpléad ar leith seo roimh ghlacadh an Rialacháin Ghinearálta. Foráiltear leis an Rialachán Ginearálta go bhfuil an teimpléad bailí go fóill agus go mbeidh sé bailí go dtí go gcuirfidh an Coimisiún Eorpach ceann eile ina áit.
• Ní mór mionsonraí an aistrithe a chur isteach in Aguisín 1 leis an gConradh (féach tuilleadh faisnéise thíos). Tá Clásal 2 tábhachtach toisc gur leis an gClásal sin a chuirtear an fhaisnéis atá leagtha amach in Aguisín 1 ar áireamh sa chonradh é féin.
• Bunaítear le Clásal 3 cearta áirithe don ábhar sonraí, cé nach bhfuil sé/sí ina p(h)áirtí sa chonradh.
• Leagtar oibleagáidí an onnmhaireora sonraí amach i gClásal 4, i.e. na ceangaltais atá le tabhairt ag an rialaitheoir atá lonnaithe in Éirinn. Ba cheart na hoibleagáidí sin a scrúdú go cúramach.
• Leagtar oibleagáidí an allmhaireora sonraí amach i gClásal 5 ansin, i.e. na ceangaltais atá á dtabhairt ag an soláthraí seirbhíse atá lonnaithe sa Ríocht Aontaithe.
• Déileáiltear i gClásal 6 le saincheisteanna dliteanais idir an t-onnmhaireoir sonraí agus an t-allmhaireoir sonraí.
• I gClásal 7, admhaíonn an t-allmhaireoir sonraí gurb amhlaidh, i gcás go bhfeidhmíonn an t-ábhar sonraí a c(h)earta faoi Chlásal 3 i gcás díospóide, go mbeidh sé faoin ábhar sonraí a chinneadh cé acu a dhéanfaí idirghabháil sa díospóid nó a thionscnófaí caingean dlí i gcúirteanna an bhallstáit a bhfuil an t-onnmhaireoir sonraí bunaithe ann (i.e. Éire sa chás seo).
• I gClásal 8, gabhann an t-onnmhaireoir sonraí agus an t-allmhaireoir sonraí orthu féin obair i gcomhar leis an údarás maoirseachta lena mbaineann (an Coimisiún um Chosaint Sonraí in Éirinn sa chás seo).
• Ag Clásal 9, ba cheart do na páirtithe “Éire” a chur isteach mar bhallstát a mbeidh feidhm ag a dhlíthe maidir leis an gconradh.
• Luaitear i gClásal 10 go bhféadfaidh na páirtithe clásail bhreise a chur leis, ar choinníoll nach é an toradh a bheidh ar na clásail sin go ndéanfar athrú nó modhnú ar na Clásail Chonarthacha Chaighdeánacha iontu féin.
• Déileáiltear i gClásal 11 le saincheisteanna áirithe a bhaineann le post na bhfophróiseálaithe a bhfostaíonn an t-allmhaireoir sonraí iad.
• Leagtar amach i gClásal 12 na hoibleagáidí atá ar na páirtithe i gcás go dtagann na seirbhísí próiseála atá á soláthar ag an allmhaireoir sonraí chun deiridh.

2. Tá dhá aguisín ag an doiciméad i ndiaidh an bhloic sínithe.

Aguisín 1

In Aguisín 1, ní mór do na páirtithe sa chonradh mionsonraí an aistrithe é féin a leagan amach. Baineann ríthábhacht leis an rannán seo den doiciméad. Tá sé eagraithe ina 6 cheannteideal dhifriúla:

Ceannteideal #1 – “Onnmhaireoir Sonraí” Ba cheart cur síos ar chineál gnólachta nó eagraíochta an onnmhaireora sonraí a leagan amach anseo. Ní mór cur síos a thabhairt ar ghníomhaíochtaí ghnólacht an onnmhaireora freisin, a mhéid a bhaineann siad leis an aistriú atá i gceist.

Mar sin de, is féidir “Monaróir comhpháirteanna feithicle” a thabhairt mar chur síos ar ghnólacht an onnmhaireora, mar shampla. Ní mór cur síos a thabhairt freisin ar ghníomhaíochtaí an ghnólachta lena mbaineann an t-aistriú. Más rud é, mar shampla, go mbaineann an gnólacht úsáid as soláthraí árachais sláinte ceirde atá bunaithe sa Ríocht Aontaithe dá chuid fostaithe, is féidir “scéimeanna árachais a riar, lena n-áirítear gnó árachais sláinte a bheith á riar ag gnólacht árachais” a thabhairt mar chur síos ar a ghníomhaíochtaí, mar a bhaineann siad leis an aistriú.

Ceannteideal #2 – “Allmhaireoir Sonraí” Ní mór cur síos a thabhairt anseo ar chineál gnólachta nó eagraíochta an allmhaireora sonraí, mar aon le cur síos ar ghníomhaíochtaí ghnólacht an onnmhaireora, mar a bhaineann siad leis an aistriú.

Má chuirimid leis an sampla atá leagtha amach faoi Cheannteideal #1, is féidir “Soláthraí Seirbhísí Árachais” a thabhairt mar chur síos ar ghnólacht an allmhaireora, agus is féidir “árachas a riar, lena n-áirítear gnó árachais saoil, gnó árachais sláinte agus gnó árachais eile a riar” a thabhairt mar chur síos ar a ghníomhaíochtaí ábhartha.

Ceannteideal #3 – “Ábhair Sonraí” Ní mór do na páirtithe a chur in iúl anseo cé na catagóirí ábhar sonraí a mbaineann na sonraí aistrithe leo. Má chloímid leis an sampla thuas, is féidir cur síos cosúil leis seo a leanas a thabhairt: “Fostaithe díreacha, idir iarfhostaithe agus fhostaithe reatha.”

Ceannteideal #4 – “Catagóirí Sonraí” Ní mór do na páirtithe cur síos a thabhairt anseo ar na catagóirí sonraí atá le haistriú. Sa sampla atá in úsáid againn, is féidir cur síos mar seo a leanas a thabhairt: “sonraí pearsanta, airgeadais agus fostaíochta a theastaíonn chun scéim árachais sláinte ceirde an onnmhaireora sonraí a riar agus chun go mbeidh na fostaithe de chuid an onnmhaireora sonraí in ann páirt a ghlacadh sa scéim sin.”

Ceannteideal #5 – “Catagóirí Speisialta Sonraí” Ní mór aon chatagóirí speisialta sonraí (i.e. na nithe ar a dtugtaí “sonraí pearsanta íogaire” roimhe seo) a shainaithint anseo. Inár sampla, d’fhéadfadh go n-áireofaí leo sin na sonraí sláinte a d’fhéadfadh nach mór a phróiseáil maidir le rannpháirtíocht aon fhostaí ar leith i scéim árachais sláinte ceirde an onnmhaireora sonraí.

Ceannteideal #6 – “Oibríochtaí Próiseála” Ní mór do na páirtithe mionsonraí a thabhairt anseo faoi na nithe a bheidh siad ag déanamh leis na sonraí atá le haistriú, i.e. na hoibríochtaí agus gníomhaíochtaí próiseála a mbeidh na sonraí faoina réir. D’fhéadfadh go n-áireofaí leo cur síos mar seo a leanas: “sonraí a fháil agus iad a rochtain, a aisghabháil agus a thaifeadadh.”

Aguisín 2

In Aguisín 2, ní mór do na páirtithe cur síos a thabhairt ar na bearta slándála teicniúla agus eagraíochtúla arna gcur chun feidhme ag an allmhaireoir chun sonraí pearsanta na n-ábhar sonraí a chosaint i gcomhréir le Clásail 4 agus 5. Beidh an cur síos atá le cur isteach anseo ag brath i gcónaí ar (mar shampla) cé na sonraí atá á n-aistriú agus conas atá siad á bpróiseáil. D’fhéadfadh go n-áireofaí na nithe seo a leanas leis na nithe a bhféadfaí cur síos a thabhairt orthu anseo:

• Gnéithe slándála de na córais TF atá in úsáid ag an allmhaireoir, e.g. an bhfuil criptiú á úsáid;
•  Mionsonraí faoi na rialuithe atá i bhfeidhm chun rochtain ar na sonraí a theorannú (agus a rialáil);
• An úsáid a bhaintear as sásraí logála chun a fhíorú cé acu is amhlaidh nó nach amhlaidh a rinneadh na sonraí a rochtain, a úsáid agus/nó a nochtadh agus chun a fhíorú cé a rinne amhlaidh.

Séanadh: Tabhair faoi deara nach soláthraítear an tábhar seo ach chun críocha léiritheacha agus mar threoir amháin. Ní comhairle dlí é. Níltear le caitheamh leis mar ráiteas críochnúil iomlán ar an dlí ach oiread.

[1] De réir Airteagail 45 GDPR tá de chumhacht ag an gCoimisiún Eorpach cinneadh a dhéanamh an bhfuil leibhéal leordhóthanach cosanta sonraí ag tríú tír. Is í éifeacht cinnidh leordhóthanachta ná go bhféadfaí sonraí pearsanta a sheoladh ó stát LEE chuig tríú tír gan gá le haon chosaint eile.

[2]http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&p…

[3] EDPB FAQs – https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqon…

[4] ADD Link to Supplementary Measures recommendations