Treoir maidir le Fógraí Sáraithe faoi na hAchtanna um Chosaint Sonraí 1988-2003

Má tharla sárú ar shonraí pearsanta i d’eagraíochtsa roimh 25 Bealtaine 2018, agus mar nach bhfuil an sárú fós ag dul ar aghaidh tar éis 25 Bealtaine 2018, is dócha go bpléifear leis faoin réimeas reachtaíochta a bhí i bhfeidhm roimhe seo. Is iad na sleachta ábhartha reachtaíochta príomhúla sa chomhthéacs seo ná na hAchtanna um Chosaint Sonraí 1988-2003 ("na hAchtanna").

Faoi fhorálacha na nAchtanna, d’fhaomhaigh an DPC Cód Cleachtais faoi shárú slándála sonraí pearsanta, chun cabhrú le heagraíochtaí freagra cuí a thabhairt nuair a fhaigheann siad amach faoi sháruithe slándála nuair a bhíonn faisnéis phearsanta chustaiméara nó fhostaí i gceist. Ní bhaineann an Cód Cleachtais le feidhm i gcás soláthróirí líonraí nó seirbhísí cumarsáidí leictreonacha atá ar fáil go poiblí. Is é an fáth atá leis sin ná go gcuireann Rialacháin (Líonraí agus Seirbhísí maidir le Cumarsáidí Leictreonacha) (Príobháideachas agus Cumarsáidí Leictreonacha) na gComhphobal Eorpach 2011 (IR 336 ó 2011) dualgais shonracha ar sholáthróirí líonraí nó seirbhísí cumarsáidí leictreonacha atá ar fáil go poiblí sláine a gcuid seirbhísí a chumhdach.

An Cód Cleachtais faoi Shárú Shláine Sonraí Pearsanta a hur i bhFeidhm

Ba chóir do rialaitheoirí sonraí a bhfuil orthu aghaidh a thabhairt ar shárú sláine a théann i bhfeidhm ar shonraí pearsanta, staidéar a dhéanamh go cúramach ar an gCód Cleachtais. Leagtar amach thíos cuid de na príomhbhreithniúcháin maidir le cur i bhfeidhm théarmaí an Chóid.

Leagann Paragraf a haon den Chód Cleachtais amach an dualgas dlí sonraí pearsanta a phróiseáil go cothrom agus bearta cuí slándála a dhéanamh chun iad a chosaint.

Tagraíonn Paragraf a dó don ghá atá ann díriú ar chearta na ndaoine nuair a cuireadh a gcuid sonraí pearsanta i mbaol.

Dearbhaíonn Paragraf a trí nach mór do rialaitheoirí sonraí a raibh teagmhas acu a ghineann riosca nochtaithe neamhúdaraithe, caillteanais, scriosta nó athraithe i dtaca le sonraí pearsanta, breithniú láithreach a dhéanamh maidir le fógra a thabhairt do na daoine faoi thrácht faoi sin. Mar a dhearbhaíonn an Cód, "ceadaíonn seo d’ábhair sonraí breithniú a dhéanamh faoi na hiarmhairtí do gach duine acu ar bhonn aonair agus bearta cuí a dhéanamh." Is féidir go n-áireofaí ar na hiarmhairtí an fhéidearthacht go ndéanfaí calaois / bradaíl aitheantais, ach is féidir go mbeidh i gceist freisin go bhféadfadh dochar a dhéanamh do chlú, náiriú poiblí nó fiú bagairtí i dtaca le sláine fhisiciúil. Tugann na hAchtanna um Chosaint Sonraí an ceart do dhaoine aonair smacht a bheith acu ar an tslí ina n-úsáidtear a gcuid sonraí. Is féidir go gcuirfeadh sárú sláine sonraí pearsanta an ceart sin i mbaol. Is beart feabhais é fógra a thabhairt do dhaoine a bhfuil mar aidhm aige an scéal a chur ina cheart agus roinnt éigin eolais agus smachta a thabhairt ar ais. Ba chóir go mbeadh mar chuid den fhaisnéis a chuirtear in iúl do dhaoine aonair faisnéis faoi nádúr an tsáraithe shonraí pearsanta agus pointe teagmhála mar ar féidir níos mó faisnéise a fháil. Ba chóir go molfaí ann bearta chun éifeachtaí féideartha dochracha an tsáraithe shonraí pearsanta a mhaolú. Mura bhfuil na daoine faoi thrácht inaitheanta láithreach, is féidir gur fógra poiblí an meán cumarsáide is iomchuí, mar shampla trí na meáin chumarsáide nó trí shuíomh gréasáin. Ba chóir do rialaitheoirí sonraí breithniú a dhéanamh faoin gceist arbh fhéidir leis an meán fógartha a nglactar leis an riosca dochair a mhéadú i leith na ndaoine sin is ábhar do na sonraí.

Comhairlíonn Paragraf a trí den Chód freisin gur chóir do rialaitheoirí sonraí na sonraí sin a thabhairt do dhaoine faoi thrácht a bhaineann le comhlachais arbh fhéidir leo cabhrú leo, mar shampla an Garda Síochána agus institiúidí airgeadais. Ag brath ar na cúinsí, samplaí eile de réitigh is ea saineolaithe TF ar féidir leo comhairle shrianta a thairiscint nó comhlachtaí idirlín ar féidir leo cabhrú chun naisc ábhartha thaiscthe a bhaint dá n-inneall cuardaigh. Tá an DPC sásta comhairle a thabhairt maidir leis seo, agus maidir le gach gné eile den Chód.

Tugann Paragraf a ceathair le fios gur féidir gurb ann do chúinsí inar féidir le rialaitheoir sonraí an tátal a bhaint, go réasúnta, nach ann d´aon riosca do shonraí pearsanta cionn is gur glacadh le bearta teicneolaíocha d’ardchaighdeán a fhágann nach bhfuil rochtain ar na sonraí go héifeachtach. Mar shampla, is féidir go nglacfaí leis nach bhfuil rochtain ar shonraí pearsanta atá stóráilte ar ríomhaire glúine criptithe le rialuithe sábháilte rochtana sa chleachtas, agus measann an DPC nach gnách go mbeadh riosca i gceist le caillteanas a leithéid de ghléas do na sonraí pearsanta atá stóráilte air. Níl maith ar bith, áfach, sna bogearraí is láidre criptithe[1] má tá an pasfhocal rochtana stóráilte leis an ngléas nó má tá an pasfhocal[2] lag. Is féidir go dtreiseodh rialuithe eile rochtana (leithéidí aitheantóirí bithmhéadracha, svaidhpchártaí, dearbháin srl) an tslándáil tuilleadh, go háirithe agus iad á n-úsáid in éineacht le pasfhocal casta.

Dearbhaíonn Paragraf a cúig den Chód Cleachtais nach mór do phróiseálaí sonraí sáruithe de shlándáil sonraí pearsanta a thuairisciú don rialaitheoir ábhartha sonraí a luaithe is a fhaigheann siad amach faoin teagmhas. Ba chóir an dualgas seo a léiriú i gconarthaí iomchuí a shínítear idir rialaitheoirí sonraí agus próiseálaithe sonraí. Ba chóir don rialaitheoir sonraí na céimeanna atá leagtha amach sa Chód a leanúint ansin.

Dearbhaíonn Paragraf a sé oden Chód Cleachtais gur chóir gach teagmhas inar cuireadh sonraí pearsanta i mbaol a thuairisciú don DPC. An t-aon eisceacht dó sin ná nuair a cuireadh na daoine ar an eolas cheana féin agus nuair nach mbaineann an caillteanas le níos mó ná 100 duine is ábhar do na sonraí, agus gan ach sonraí neamhíogaire, neamhairgeadais pearsanta a bheith i gceist leis an gcaillteanas. Ba chóir tabhairt faoi deara nach gá go gciallódh an fhíric gur thug rialaitheoir sonraí fógra don DPC faoi chaillteanas smachta ar shonraí pearsanta go bhfuil sárú ar na hAchtanna um Chosaint Sonraí 1988 agus 2003 tar éis tarlú. Déanann an Cód soiléir freisin gur chóir, sa chás gurb ann do chúis amhrais – go háirithe amhras maidir leis an gceist an leor na bearta teicneolaíocha a chosnaíonn na sonraí chun tátál réasúnta a bhaint amach nár cuireadh na sonraí pearsanta i mbaol – gur chóir an cheist a thuairisciú don DPC.

Socraíonn Paragraf a seacht den Chód Cleachtais creat ama de dhá lá le go gcuirfeadh rialaitheoir sonraí an DPC ar an eolas gur cuireadh sonraí pearsanta i mbaol. Is féidir go dtógfadh sé cuid mhór ama chun imscrúdú iomlán a dhéanamh ar theagmhais chasta a bhaineann le sárú ar shlándáil sonraí pearsanta, agus chun na teagmhais chéanna a réiteach. Ní theastaíonn ach teagmháil tosaigh leis an Oifig, ag cur síos ar na fíricí atá ar eolas agus ar na céimeanna atá á nglacadh chun aghaidh a thabhairt ar na fíricí sin. Níor chóir sonraí pearsanta a chur san áireamh ina leithéid de thuairiscí don DPC agus ceist atá ann don rialaitheoir sonraí socrú cad é an modh is sábháilte teagmhála, bunaithe ar nádúr an eolais atá le cur in iúl.

Leagann Paragraf a hocht den Chód Cleachtas amach na heilimintí sin atá le cur san áireamh in aon tuairisc fhoirmeálta ar féidir go mbeadh an DPC á lorg. Ba chóir breithniú a dhéanamh freisin faoi na heilimintí atá leagtha amach i bparagraf a hocht agus ullmhúchán á dhéanamh chun fógra díreach a thabhairt do dhaoine is ábhar do na sonraí maidir le teagmhas a bhfuil sárú ar shlándáil sonraí pearsanta i gceist ann. Socróidh an Oifig creat ama freisin do sheachadadh tuairisce mionsonraithe bunaithe ar nádúr an teagmhais agus ar mhéid na faisnéise a theastaíonn.

Dearbhaíonn Paragraf a naoi den Chód Cleachtais gur féidir leis an DPC imscrúdú mionsonraithe a sheoladh ag brath ar nádúr an teagmhais de shárú slándála sonraí pearsanta. Is féidir go dtáirgeodh a leithéid d´imscrúduithe liosta moltaí lena dtaispeáint don rialaitheoir ábhartha sonraí.
Comhoibríonn rialaitheoirí stuama sonraí go fonnmhar le himscrúduithe an DPC, agus iad sásta cloí le haon mholtaí ar féidir go ndéanfadh sé iad a eisiúint. I gcásanna neamhghnácha áirithe, áfach, nuair nach bhfuil a leithéid de chomhlíonadh le fáil, is féidir go mbainfidh an DPC úsáid as a chuid cumhachtaí dlíthiúla chun gníomhartha iomchuí a éileamh.

Fiú mura dtugtar fógra don DPC, dearbhaíonn Paragraf a deich den Chód Cleachtais gur chóir do rialaitheoirí sonraí taifead gonta achoimre a choimeád go lárnach maidir le gach teagmhas a bhaineann le sárú ar shlándáil sonraí pearsanta, in éineacht le míniú ar an mbunús a bhí ann don fhíric nár cuireadh an CCS ar an eolas.

Tá paragraph a haon déag den Chód Cleachtais sothuigthe, é ag dearbhú go simplí go mbaineann an Cód le gach catagóir de rialaitheoirí sonraí agus de phróiseálaithe sonraí lena mbaineann na hAchtanna um Chosaint Sonraí

“Is fearr cosc ná leigheas”

Níl sé leath chomh maith cloí leis na riachtanais ábhartha tuairisceoireachta tar éis sáraithe ar shlándáil sonraí, i gcomparáid le dearadh ceart córas chun sonraí pearsanta a chosaint ó nochtadh de thimpiste nó d’aon ghnó. Tá ár gcomhairle ginearálta faoi shlándáil sonraí anseo. Ach glacaimid leis gur féidir le botúin tarlú, fiú i gcás na gcóras is fearr a dearadh. Mar chuid de pholasaí slándála sonraí, ba chóir d’eagraíocht bheith ag smaoineamh chun tosaigh faoin méid a dhéanfadh sí dá mbeadh sárú sonraí ann.

Seo roinnt ceisteanna arbh fhéidir leat iad a chur ort féin:

• Cad é a dhéanfadh d’eagraíochtsa dá mbeadh eachtra sáraithe sonraí aici?
• An bhfuil polasaí in áit agat a shonraíonn cad is sárú sonraí ann? (Tá níos mó i gceist ná méaróga USB/dioscaí/ríomhairí glúine a cailleadh. Is féidir go mbeadh san áireamh aon chaillteanas smachta ar shonraí pearsanta a cuireadh faoi chúram eagraíochtaí, lena n-áirítear rochtain mhíchuí ar shonraí pearsanta ar do chuid córas nó cur sonraí pearsanta chuig na daoine míchearta).
• Conas a bheadh a fhios agat go raibh d’eagraíocht thíos leis i dtaca le sárú sonraí? An dtuigeann an fhoireann ag gach leibhéal na himpleachtaí a bhaineann le caillteanas sonraí pearsanta?
• An bhfuil sé sonraithe ag d’eagraíocht cé dó a n-insíonn baill fhoirne é má tá smacht caillte acu ar shonraí pearsanta?
• An bhfuil do pholasaí soiléir maidir le cé atá freagrach as plé le teagmhas?
• An gcomhlíonann do pholasaí riachtanais Chód Cleachtais fhaofa an Choimisinéara um Chosaint Sonraí maidir le Sárú Slándála Sonraí Pearsanta?

Más mian leat fógairt dúinn gur tharla sárú ar shonraí pearsanta i d’eagraíochtsa roimh 25 Bealtaine 2018, cliceáil anseo, le do thoil, chun an fhoirm a fháil le haghaidh Tuariscí ar Sárú Sonraí Pearsanta

  [1] caighdeán an chriptithe a theastaíonn chun athruithe sonraí a shlánú go sásúil le dul chun cinn teicneolaíochta. Ba chóir go gcomhlíonfadh criptiú diosca iomláin de threise 256-ghiotán an riachtanas faoi láthair

  [2] bheadh, mar shampla, 14 charachtar ag baint le pasfhocal láidir, rogha randamach litreacha, uimhreacha agus siombailí mar chuid de, agus é a bheith dodhéanta tomhas cad é an pasfhocal atá i gceist