Area: Health
Topic: Children - legal basis
Articles: 32(4), 33(1), 5(1)(d), 32(1)
DPC Reference: Fiosrúchán maidir leis an Ghní
Decision Date: 12 Lúnasa 2020
Cuireadh tús leis an fhiosrúchán seo maidir le 71 sárú ar shonraí pearsanta a chuir Tusla in iúl don DPC. Bhreithníodh raon leathan d’oibríochta próiseála Tusla sa chinneadh agus áirítear ar na torthaí:
5 thoradh shainiúla de sháruithe Airteagal 32(1) den GDPR maidir le hoibleagáidí Tusla bearta eagraíochtúla agus teicniúla cuí a chur i bhfeidhm le leibhéal slándála cuí a chinntiú i leith an riosca a chuir a cuid oibríochtaí próiseála éagsúla i láthair.
Toradh gur sháraigh Tusla Airteagal 32(4) den GDPR nuair nár glacadh céimeanna lena chinntiú nach ndéanann aon duine nádúrtha atá ag feidhmiú faoina húdarás próiseáil ar shonraí pearsanta ach amháin ar threoir ó Tusla.
Toradh gur sháraigh Tusla Airteagal 5(1)(d) den GDPR ceithre huaire nuair nár cinntíodh go raibh na sonraí pearsanta a bhí á bpróiseáil aici cruinn, agus, sa chás gur gá, coinnithe cothrom le dáta.
Toradh gur sháraigh Tusla Airteagal 33(1) den GDPR 8 n-uaire nuair nár cuireadh sáruithe maidir le sonraí pearsanta in iúl gan mhoill mhíchuí.
Forchuireadh leis an gcinneadh, dhá fhíneáil riaracháin shainiúla ar Tusla mar gheall ar sháruithe Airteagal 32(1) agus Airteagal 33(1) in imthosca nach raibh roinnt de na hoibríochtaí próiseála a bhí faoi bhreithniú “mar a chéile nó mar oibríochtaí próiseála nasctha” laistigh de shainmhíniú Airteagal 83(3) den GDPR. Ba €50,000 agus €35,000 faoi seach suim na bhfíneálacha.
Ordaithe do Tusla leis an gcinneadh na hoibríochtaí próiseála a aithníodh sa chinneadh a chur ar bhonn comhlíonta le hAirteagal 32(1) den GDPR trí bhearta eagraíochtúla cuí a chur i bhfeidhm le leibhéal slándála cuí i leith an riosca a chinntiú.
Eisíodh, leis an gcinneadh, iomardú do Tusla maidir le sáruithe Airteagail 5(1)(d), 32(1), 32(4), agus 33(1) den GDPR.
Area: Insurance
Topic: Data protection by design and default
Articles: 32(1)
DPC Reference: IN-21-2-1
Decision Date: 28 Meitheamh 2022
Rinneadh an cinneadh seo ó fhiosrúchán dá thoil féin ar chuir an DPC tús leis de bhun alt 110 den Acht um Chosaint Sonraí 2018 chun breithniú a dhéanamh cé acu ar chomhlíon nó nár chomhlíon Allianz an GDPR i ndáil lena oibríochtaí próiseála.
Cuireadh tús leis an bhfiosrúchán i ndiaidh do Allianz fógra a thabhairt don DPC maidir le 49 sárú ar shonraí pearsanta idir an 25 Meitheamh 2020 agus an 31 Nollaig 2020. Ar an iomlán, cuireadh isteach ar thart ar 60 ábhar sonraí mar gheall ar na sáruithe ar shonraí pearsanta.
Sa chinneadh, breithníodh cé acu ar chomhlíon nó nár chomhlíon Allianz Airteagal 32(1) GDPR agus go háirithe cé acu ar chuir nó nár chuir Allianz bearta teicniúla agus eagraíochtúla cuí i bhfeidhm d’fhonn leibhéal riosca a chinntiú atá oiriúnach do na rioscaí a bhaineann lena chuid oibríochtaí próiseála.
Tugadh faoi deara sa chinneadh gur chomhlíon Allianz a chuid oibleagáidí faoi Airteagal 32(1) GDPR. Dearbhaíodh freisin gur chuir Allianz polasaithe i bhfeidhm a bhí saincheaptha go háirithe do na rioscaí a bhaineann leis an bpróiseáil. Chomh maith leis sin, chuir Allianz oiliúint leantach ar fáil do na hearnálacha agus gnónna ba shoghabhálaí i leith sáruithe ar shonraí pearsanta den chineál seo. Chomh maith leis sin, rinne Allianz bearta réamhghníomhacha le cur in aghaidh an próifíl riosca a bhí ag roinnt aonad gnó a bhí ag méadú trí bhearta slándála breise a chur i bhfeidhm i ndiaidh do roinnt sáruithe ar shonraí pearsanta tarlú. Áiríodh leis na bearta seo Uirlis Rabhaidh um Ríomhphoist Sheachtracha agus níos mó spotseiceálacha sa seomra poist.
Dá réir sin, níor cuireadh aon chumhachtaí ceartaitheacha i bhfeidhm sa chinneadh seo.
Area: Public authority
Topic: Children - legal basis
Articles: 5(1)(d), 32(1), 32(4), 33(1)
DPC Reference: IN-18-11-4
Decision Date: 12 Lúnasa 2020
Cuireadh tús leis an fhiosrúchán seo maidir le 71 sárú ar shonraí pearsanta a chuir Tusla in iúl don DPC. Bhreithníodh raon leathan d’oibríochta próiseála Tusla sa chinneadh agus áirítear ar na torthaí:
5 thoradh shainiúla de sháruithe Airteagal 32(1) den GDPR maidir le hoibleagáidí Tusla bearta eagraíochtúla agus teicniúla cuí a chur i bhfeidhm le leibhéal slándála cuí a chinntiú i leith an riosca a chuir a cuid oibríochtaí próiseála éagsúla i láthair.
Toradh gur sháraigh Tusla Airteagal 32(4) den GDPR nuair nár glacadh céimeanna lena chinntiú nach ndéanann aon duine nádúrtha atá ag feidhmiú faoina húdarás próiseáil ar shonraí pearsanta ach amháin ar threoir ó Tusla.
Toradh gur sháraigh Tusla Airteagal 5(1)(d) den GDPR ceithre huaire nuair nár cinntíodh go raibh na sonraí pearsanta a bhí á bpróiseáil aici cruinn, agus, sa chás gur gá, coinnithe cothrom le dáta.
Toradh gur sháraigh Tusla Airteagal 33(1) den GDPR 8 n-uaire nuair nár cuireadh sáruithe maidir le sonraí pearsanta in iúl gan mhoill mhíchuí.
Forchuireadh leis an gcinneadh, dhá fhíneáil riaracháin shainiúla ar Tusla mar gheall ar sháruithe Airteagal 32(1) agus Airteagal 33(1) in imthosca nach raibh roinnt de na hoibríochtaí próiseála a bhí faoi bhreithniú “mar a chéile nó mar oibríochtaí próiseála nasctha” laistigh de shainmhíniú Airteagal 83(3) den GDPR. Ba €50,000 agus €35,000 faoi seach suim na bhfíneálacha.
Ordaithe do Tusla leis an gcinneadh na hoibríochtaí próiseála a aithníodh sa chinneadh a chur ar bhonn comhlíonta le hAirteagal 32(1) den GDPR trí bhearta eagraíochtúla cuí a chur i bhfeidhm le leibhéal slándála cuí i leith an riosca a chinntiú.
Eisíodh, leis an gcinneadh, iomardú do Tusla maidir le sáruithe Airteagail 5(1)(d), 32(1), 32(4), agus 33(1) den GDPR.
Area: Health sector - private
Topic: Data security
DPC Reference: IN-20-4-8
Decision Date: 24 Eanáir 2022
Cuireadh tús leis an bhfiosrúchán seo maidir le sárú ar shonraí pearsanta a chur an Bord Measúnaithe Díobhálacha Pearsatna (‘PIAB’) in iúl don Choimisiún um Chosaint Sonraí ar an 10 Nollaig 2019. Is comhlacht reachtúil neamhspleách é an PIAB a dhéileálann le héilimh díobhála pearsanta. Tharla an sárú ar shonraí pearsanta nuair a sheol Soláthraí Sainchomhairleoireachta gléas stórála USB neamhchriptithe, ina raibh sonraí pearsanta, chuig PIAB, cé gur luaigh PIAB go sonrach gan na sonraí a sheoladh. Smaoinigh an Fiosrúchán ar chomhlíon nó nár chomhlíon an Soláthraí Sainchomhairleoireachta an oibleagáid a bhí air faoi Airteagal 32 GDPR chun leibhéal cuí slándála a chur i bhfeidhm.
Area: Health sector - private
Topic: Data protection by design and default
DPC Reference: IN-21-2-5
Decision Date: 20 Nollaig 2022
Tosaíodh an fiosrúchán tar éis do VIEC fógra a thabhairt don Choimisiún faoi shárú sonraí pearsanta an 19 Lúnasa 2020. Déanann VIEC cúig theach altranais a oibriú agus a bhainistiú i mBaile Átha Cliath Theas agus i gContae Lú. Bhain an fógra faoi shárú sonraí le gníomhaí nach bhfuil ar eolas a ghnóthaigh rochtain ar chuntas ríomhphoist bainisteora VIEC trí ionsaí fioscaireachta agus a bhunaigh rialacha lena gcuirfí post ar aghaidh chuig cuntas seachtrach. Mar thoradh air sin, fuair an gníomhaí sin rochtain ar shonraí pearsanta cónaitheoirí, lenar áiríodh sonraí catagóire speisialta amhail sonraí sláinte agus sonraí bithmhéadracha.
Breithníodh cé acu a chomhlíon nó nár chomhlíon VIEC Airteagail 5(1)(f) agus 32(1) GDPR agus, go háirithe, cé acu a chuir nó nár chuir VIEC bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal riosca a chinntiú a bheadh iomchuí do na rioscaí a bhaineann lena oibríochtaí próiseála.
Cinneadh gur sháraigh VIEC na hoibleagáidí atá air faoi Airteagail 5(1) agus 32(1) GDPR. Bhí baol ann go bhfaighfí rochtain neamhdhleathach ar shonraí pearsanta agus ar shonraí catagóire speisialta mar thoradh ar an dóigh ar phróiseáil VIEC sonraí den sórt sin ar a chóras ríomhphoist roimh an ionsaí fioscaireachta, gan bearta leordhóthanacha slándála a bheith i bhfeidhm aige.
Area: Public authority
Topic: CCTV - LED
Articles: 5(1)(a)
DPC Reference: 02-SIU-2018
Decision Date: 25 Márta 2020
Tá an fiosrúchán seo ar cheann de líon fiosrúcháin dá dtoil féin maidir le raon leathan saincheisteanna a bhaineann le faireachas teicneolaíochtaí a mbaineann údaráis Stáit úsáid astu. Áirítear ar na torthaí a rinneadh sa chinneadh:
Area: Garda
Topic: DS Rights
Articles: 5(1)(a)
DPC Reference: IN-21-2-4
Decision Date: 23 Feabhra 2023
Thosaigh an Coimisiún um Chosaint Sonraí (an Coimisiún) an fiosrúchán tar éis ionsaí bogearraí éirice a rinne difear do na sonraí othar a shealbhaítear ar an gcóras riaracháin othar atá i bhfeidhm ag Centric, ar ionsaí é a cuireadh in iúl don Choimisiún an 5 Nollaig 2019. Mar thoradh ar an ionsaí, rinneadh difear do 70,000 ábhar sonraí toisc gur cailleadh rochtain ar a sonraí pearsanta agus a sonraí catagóire speisialta, toisc go ndearnadh athrú neamhúdaraithe ar na sonraí sin agus toisc gur cailleadh infhaighteacht na sonraí sin. Díobh sin, rinneadh difear buan do 2,500 othar toisc gur scriosadh a sonraí gan aon chóip chúltaca a bheith ar fáil.
Breithníodh cé acu a chomhlíon nó nár chomhlíon Centric Airteagail 5(1)(f), 5(2) agus 32(1) GDPR agus, go háirithe, cé acu a chuir nó nár chuir Centric bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal riosca a chinntiú a bheadh iomchuí do na rioscaí a bhaineann lena oibríochtaí próiseála.
Cinneadh gur sháraigh Centric na hoibleagáidí atá air faoi Airteagail 5(1), 5(2) agus 32(1) GDPR agus gur theip ar an bpróiseáil a rinne Centric laistigh dá Chóras Riaracháin Othar a chinntiú go bpróiseálfaí na sonraí pearsanta ar chaoi go gcinntítear slándáil iomchuí na sonraí pearsanta, lena n-áirítear cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach agus ar chailleadh, scrios nó damáiste de thaisme.
21st Mí Eanair 2025
20th Mí na Nollag 2024
Is minic a fhaigheann an Coimisiún um Chosaint Sonraí (an Coimisiún) gearáin ó dhaoine aonair a d’iarr go ndéanfaí an fhaisnéis atá ina dtaifid liachta a athrú nó a léirscriosadh tar éis don Rialaitheoir Sonraí (an eagraíocht atá ag próiseáil na sonraí) diúltú don iarraidh nó do na hiarrataí uathu. Go deimhin, is amhlaidh a thugtar do dhaoine aonair leis an Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS) an c