Aistriú Sonraí Pearsanta chuig Tríú Tíortha nó le hEagraíochtaí Idirnáisiúnta

Bíonn sreabha sonraí pearsanta chuig an Aontas Eorpach (“AE”) agus uaidh araon ag teastáil le haghaidh trádáil idirnáisiúnta agus comhar idirnáisiúnta. Mar sin féin, níor cheart don aistriú sonraí pearsanta den sórt sin ó AE chuig rialaitheoirí agus próiseálaithe atá lonnaithe lasmuigh de AE agus i dtríú tíortha – mar atá, aon tír lasmuigh den Limistéar Eorpach Eacnamaíoch (“LEE”) – an bonn a bhaint den leibhéal cosanta a thugtar do na daoine aonair lena mbaineann. Dá bhrí sin, ba cheart aon aistrithe chuig tríú tíortha nó chuig eagraíochtaí idirnáisiúnta a dhéanamh i gcomhréir iomlán le Caibidil V den Rialachán Ginearálta maidir le Cosaint Sonraí (“GDPR”).

Tugtar sa nóta seo faisnéis achomair faoi fhorálacha Chaibidil V de GDPR, mar aon le naisc chuig faisnéis agus treoir níos mionsonraithe.

Airteagal 45 – Aistrithe ar bhonn cinneadh leordhóthanachta

Is é an chéad rud atá le breithniú agus sonraí pearsanta á n-aistriú chuig tríú tír ná cé acu atá nó nach bhfuil “cinneadh leordhóthanachta” ann. Ciallaíonn cinneadh leordhóthanachta gur chinn an Coimisiún Eorpach go gcinntíonn tríú tír nó eagraíocht idirnáisiúnta leibhéal leordhóthanach cosanta sonraí.  

Agus leordhóthanacht an leibhéil cosanta á measúnú, tugann an Coimisiún Eorpach aird ar ghnéithe amhail dlíthe, urraim do chearta an duine agus do shaoirsí bunúsacha, slándáil náisiúnta, rialacha cosanta sonraí, cé acu is ann nó nach ann d’údarás cosanta sonraí, agus ceangaltais cheangailteacha a ghabh an tír uirthi féin i leith cosaint sonraí.

Is iad seo a leanas na nithe atá i gceist le cinneadh leordhóthanachta a ghlacadh:

  • togra ón gCoimisiún Eorpach;
  • tuairim ón mBord Eorpach um Chosaint Sonraí;
  • ceadú ó ionadaithe do thíortha AE; agus
  • glacadh an chinnidh ag na Coimisinéirí Eorpacha.

Is é an toradh a bhíonn ar chinneadh den sórt sin ná go bhféadfaidh sonraí pearsanta sreabhadh ó LEE chuig an tríú tír sin gan aon choimirce eile a bheith ag teastáil. I bhfocail eile, déantar an t-aistriú ar an mbealach céanna a dhéantar é laistigh de AE.

Is féidir liosta tíortha a bhfuil cinneadh leordhóthanachta acu a fháil anseo.

Airteagal 46 – Aistrithe faoi réir coimircí iomchuí

In éagmais cinneadh leordhóthanachta, ceadaítear le GDPR aistriú a dhéanamh i gcás gur sholáthair an rialaitheoir nó an próiseálaí “coimircí iomchuí”. Is féidir go mbeidh na nithe seo a leanas i gceist leis na coimircí sin:

  • Clásail chaighdeánacha maidir le cosaint sonraí (clásail chonarthacha chaighdeánacha): I gcás fhormhór na n-eagraíochtaí, is iad clásail chonarthacha chaighdeánacha an bunús dlí is ábhartha le cinneadh leordhóthanachta. Is ionann iad agus clásail eiseamláireacha maidir le cosaint sonraí ar cheadaigh an Coimisiún Eorpach iad. Is é atá i gclásail chonarthacha chaighdeánacha ná coimircí sonracha cosanta sonraí atá ceaptha chun a chinntiú go leantar le hardleibhéal cosanta a thabhairt do shonraí pearsanta nuair a aistrítear chuig áiteanna lasmuigh de LEE iad. Is é atá sna clásail ná na hoibleagáidí conarthacha atá ar an Onnmhaireoir Sonraí agus ar an Allmhaireoir Sonraí agus na cearta atá ag daoine aonair a bhfuil a sonraí pearsanta á n-aistriú. Féadfaidh daoine aonair na cearta sin a fhorfheidhmiú go díreach in aghaidh an Allmhaireora Sonraí agus an Onnmhaireora Sonraí.  Le clásail chonarthacha chaighdeánacha, comhcheanglaítear na clásail ghinearálta is infheidhme i ngach cás agus ceithre mhodúl atá curtha in oiriúint do chásanna difriúla aistrithe. Ní mór do na páirtithe an modúl a chomhfhreagraíonn dá staid ar leith a roghnú, go háirithe i bhfianaise na ról difriúil atá acu, i.e., cé acu is rialaitheoirí, próiseálaithe nó fophróiseálaithe iad. D’fhorbair an Coimisiún Eorpach Ceisteanna agus Freagraí chun treoir phraiticiúil a sholáthar maidir le clásail chonarthacha chaighdeánacha a úsáid.
  • Rialacha ceangailteacha corparáideacha: [1] tá rialacha ceangailteacha corparáideacha mar chuid de chód iompair atá ceangailteach ó thaobh dlí, ar cód inmheánach é atá i bhfeidhm laistigh de ghrúpa ilnáisiúnta agus a bhfuil feidhm aige maidir le haistrithe sonraí pearsanta ó eintitis an ghrúpa laistigh de LEE chuig eintitis an ghrúpa lasmuigh de LEE. Is féidir go mbeidh an grúpa sin ina ghrúpa corparáideach nó ina ghrúpa gnóthas a ghabhann do chomhghníomhaíocht eacnamaíoch, amhail saincheadúnais agus comhfhiontair.  Is ionann rialacha ceangailteacha corparáideacha agus rialacha cosanta sonraí atá ceangailteach ó thaobh dlí, ar rialacha iad ina bhfuil cearta infhorfheidhmithe ábhar sonraí leagtha amach. Ceadaíonn an tÚdarás inniúil Cosanta Sonraí iad. Féadfar dhá chineál rialacha ceangailteacha corparáideacha a cheadú, is iad sin: rialacha ceangailteacha corparáideacha do Rialaitheoirí, ar rialacha iad a mbaineann an t-eintiteas grúpa úsáid astu chun sonraí a bhfuil sé freagrach astu a aistriú, amhail sonraí fostaithe nó soláthraithe; agus rialacha ceangailteacha corparáideacha do Phróiseálaithe, ar rialacha iad a mbaineann eintitis úsáid astu agus iad ag gníomhú mar phróiseálaithe do rialaitheoirí eile agus ar ghnách go gcuirtear iad isteach mar aguisín a ghabhann le Comhaontú Seirbhíse nó le Conradh Próiseálaí. Tá tuilleadh forálacha maidir le rialacha ceangailteacha corparáideacha a úsáid mar choimirce iomchuí le haghaidh aistrithe sonraí pearsanta leagtha amach in Airteagal 47 GDPR.

Molaimid go láidir duit An Nós Imeachta Comhair do rialaitheoirí agus próiseálaithe maidir le “Rialacha Ceangailteacha Corparáideacha” a cheadú faoin Rialachán Ginearálta maidir le Cosaint Sonraí, WP 263 rev 01, a léamh. Leagtar amach i rannán 1.2 den doiciméad sin na critéir le haghaidh Príomhúdarás Maoirseachta a roghnú. Sula gcuireann tú iarratas isteach, molaimid duit teagmháil a dhéanamh leis an gCoimisiún um Chosaint Sonraí, agus ainm agus sonraí teagmhála d’eagraíochta agus d’ionadaithe dlíthiúla seachtracha, más infheidhme, á lua agat. Déanfaimid teagmháil leat ansin chun tú a chur ar an eolas faoi na chéad chéimeanna eile chun d’iarratas ar rialacha ceangailteacha corparáideacha a cheadú a chur ar aghaidh.

An Breithiúnas ó Chúirt Bhreithiúnais an Aontais Eorpaigh sa chás An Coimisinéir Cosanta Sonraí v Facebook Ireland Ltd agus Maximillian Schrems, beidh tionchar aige ar Rialacha Ceangailteacha Corparáideacha sa mhéid is go dtarlóidh sé, sula ndéanfaidh baill laistigh de LEE aistrithe laistigh de ghrúpa chuig baill i dtríú tíortha, nach mór measúnú a dhéanamh ar an leibhéal cosanta a thugtar agus ar an ngá féideartha le bearta forlíontacha nó leis an aistriú a fhionraí, agus aird á tabhairt ar imthosca sonracha an aistrithe.

  • Cóid Fhormheasta Iompair: Ceadaítear le hAirteagal 40(3) GDPR Cóid Iompair a úsáid mar uirlis aistrithe in imthosca sonracha. Is cóid dheonacha iad na Cóid Iompair sin, agus leagtar amach iontu rialacha sonracha cosanta sonraí do chatagóirí rialaitheoirí agus próiseálaithe. Is féidir leo a bheith ina huirlis cuntasachta úsáideach éifeachtach, ina ndéantar mionchur síos ar an gcuma atá ar an iompraíocht is iomchuí, is dlíthiúla agus is eiticiúla laistigh d’earnáil ar leith. Ó thaobh cosanta sonraí de, féadfar cóid a úsáid, mar sin, mar leabhar rialacha do rialaitheoirí agus próiseálaithe a dhéanann dearadh agus cur chun feidhme ar ghníomhaíochtaí próiseála sonraí atá i gcomhréir le GDPR agus a thugann brí oibríochtúil leis na prionsabail um chosaint sonraí atá leagtha amach sa dlí Eorpach agus sa dlí náisiúnta. Cóid Iompair a bhaineann le gníomhaíochtaí próiseála sonraí pearsanta de chuid rialaitheoirí agus próiseálaithe i níos mó ná Ballstát AE amháin, agus ar ina leith a ghlac Coimisiún an Aontais Eorpaigh gníomh cur chun feidhme, mar aon le ceangaltais cheangailteacha infhorfheidhmithe atá ar an rialaitheoir nó an próiseálaí sa tríú tír, d’fhéadfaí iad a úsáid mar uirlis aistrithe sa todhchaí. Molaimid duit na treoirlínte seo a leanas maidir le Cóid Iompair arna nglacadh ag an mBord Eorpach um Chosaint Sonraí a léamh.
  • Sásraí deimhniúcháin formheasta: Sainmhíníonn Eagraíocht Idirnáisiúnta na gCaighdeán (ISO) deimhniú mar a leanas: “comhlacht neamhspleách a bheith ag soláthar dearbhú i scríbhinn (deimhniú) á rá go gcomhlíonann an táirge, an tseirbhís nó an córas atá i gceist ceanglais shonracha”. Dá bhrí sin, mar a thugtar isteach in Airteagal 42(2) GDPR, féadfar sásraí deimhniúcháin a fhorbairt chun a léiriú go soláthraíonn rialaitheoirí agus próiseálaithe i dtríú tíortha coimircí iomchuí. Ghabhfadh na rialaitheoirí agus na próiseálaithe sin ceangaltais cheangailteacha infhorfheidhmithe orthu féin chun coimircí a chur i bhfeidhm freisin, lena n-áirítear forálacha do chearta ábhar sonraí. Molaimid duit na treoirlínte seo a leanas maidir le Deimhniú a úsáid mar uirlis aistrithe arna nglacadh ag an mBord Eorpach um Chosaint Sonraí a léamh: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-072022-certification-tool-transfers_en
  • Ionstraim atá ceangailteach ó thaobh dlí agus infhorfheidhmithe idir údaráis phoiblí nó comhlachtaí poiblí: Féadfaidh eagraíocht aistriú teoranta a dhéanamh más rud é gur údarás poiblí nó comhlacht poiblí í agus go bhfuil an t-aistriú á dhéanamh aici chuig údarás poiblí eile nó comhlacht poiblí eile agus gur shínigh an dá údarás phoiblí conradh nó ionstraim eile atá ceangailteach ó thaobh dlí agus infhorfheidhmithe (Airteagal 46(2)(a) GDPR). Ní mór cearta infhorfheidhmithe agus leigheasanna éifeachtacha do dhaoine aonair a bhfuil a sonraí pearsanta á n-aistriú a bheith sa chonradh nó san ionstraim sin. Ní coimirce iomchuí é sin i gcás go bhfuil an faighteoir nó an t-aistritheoir ina chomhlacht príobháideach nó ina dhuine aonair. Mura bhfuil sé de chumhacht ag údarás poiblí nó comhlacht poiblí socruithe atá ceangailteach ó thaobh dlí agus infhorfheidhmithe a dhéanamh, is féidir leis breithniú a dhéanamh ar shocrú riaracháin a dhéanamh, rud ina bhfuil cearta aonair atá infhorfheidhmithe agus éifeachtach (Airteagal 46(3)(b) GDPR). Molaimid duit na treoirlínte seo a leanas maidir le Socruithe Riaracháin arna nglacadh ag an mBord Eorpach um Chosaint Sonraí a léamh.

Airteagal 49 – Maoluithe i gcásanna sonracha

Is é is maoluithe faoi Airteagal 49 ann ná díolúintí ón bprionsabal ginearálta á rá nach bhféadfar sonraí pearsanta a aistriú chuig tríú tír ach amháin i gcás go bhforáiltear do leibhéal leordhóthanach cosanta sa tríú tír sin. Ba cheart don Onnmhaireoir Sonraí féachaint ar dtús le haistrithe a dhéanamh de réir ceann amháin de na sásraí lena ráthaítear coimircí leordhóthanacha, mar atá leagtha amach thuas, agus níor cheart dó na maoluithe a sholáthraítear in Airteagal 49(1) a úsáid ach amháin in éagmais na sásraí sin. Ceadaítear leis na maoluithe nó na heisceachtaí sin aistrithe a dhéanamh i gcásanna sonracha, amhail aistrithe atá bunaithe ar thoiliú, le haghaidh conradh a chomhlíonadh nó a thabhairt i gcrích, le haghaidh éilimh dhlíthiúla a fheidhmiú, le haghaidh leasanna ríthábhachtacha an ábhair sonraí a chosaint i gcás nach féidir leis/léi toiliú a thabhairt, nó ar chúiseanna tábhachtacha leasa phoiblí. Ba cheart breathnú i ngach cás ar an treoirdhoiciméad ón mBord Eorpach um Chosaint Sonraí maidir leis na maoluithe sin chun a chinntiú gur féidir brath orthu sna cásanna sonracha a bhfuil eagraíochtaí ag plé leo.

 

[1] Liosta Rialacha Ceangailteacha Corparáideacha ar ina leith a ghníomhaigh an Coimisiún um Chosaint Sonraí mar Phríomhúdarás Maoirseachta (PDF, 437 KB)