Cinntí
Fiosrúchán maidir leis an Ghníomhaireacht um Leanaí agus an Teaghlach (Tusla) - Lúnasa 2020
Area: Health
Topic: Children - legal basis
Articles: 32(4), 33(1), 5(1)(d), 32(1)
DPC Reference: Fiosrúchán maidir leis an Ghní
Decision Date: 12 Lúnasa 2020
Cuireadh tús leis an fhiosrúchán seo maidir le 71 sárú ar shonraí pearsanta a chuir Tusla in iúl don DPC. Bhreithníodh raon leathan d’oibríochta próiseála Tusla sa chinneadh agus áirítear ar na torthaí:
-
5 thoradh shainiúla de sháruithe Airteagal 32(1) den GDPR maidir le hoibleagáidí Tusla bearta eagraíochtúla agus teicniúla cuí a chur i bhfeidhm le leibhéal slándála cuí a chinntiú i leith an riosca a chuir a cuid oibríochtaí próiseála éagsúla i láthair.
-
Toradh gur sháraigh Tusla Airteagal 32(4) den GDPR nuair nár glacadh céimeanna lena chinntiú nach ndéanann aon duine nádúrtha atá ag feidhmiú faoina húdarás próiseáil ar shonraí pearsanta ach amháin ar threoir ó Tusla.
-
Toradh gur sháraigh Tusla Airteagal 5(1)(d) den GDPR ceithre huaire nuair nár cinntíodh go raibh na sonraí pearsanta a bhí á bpróiseáil aici cruinn, agus, sa chás gur gá, coinnithe cothrom le dáta.
-
Toradh gur sháraigh Tusla Airteagal 33(1) den GDPR 8 n-uaire nuair nár cuireadh sáruithe maidir le sonraí pearsanta in iúl gan mhoill mhíchuí.
Na cumhachtaí ceartaitheacha a cuireadh i bhfeidhm:
-
Forchuireadh leis an gcinneadh, dhá fhíneáil riaracháin shainiúla ar Tusla mar gheall ar sháruithe Airteagal 32(1) agus Airteagal 33(1) in imthosca nach raibh roinnt de na hoibríochtaí próiseála a bhí faoi bhreithniú “mar a chéile nó mar oibríochtaí próiseála nasctha” laistigh de shainmhíniú Airteagal 83(3) den GDPR. Ba €50,000 agus €35,000 faoi seach suim na bhfíneálacha.
-
Ordaithe do Tusla leis an gcinneadh na hoibríochtaí próiseála a aithníodh sa chinneadh a chur ar bhonn comhlíonta le hAirteagal 32(1) den GDPR trí bhearta eagraíochtúla cuí a chur i bhfeidhm le leibhéal slándála cuí i leith an riosca a chinntiú.
-
Eisíodh, leis an gcinneadh, iomardú do Tusla maidir le sáruithe Airteagail 5(1)(d), 32(1), 32(4), agus 33(1) den GDPR.
Cinntí
Fiosrúchán ar Centric Health Ltd. (“Centric”) - Feabhra 2023
Area: Garda
Topic: DS Rights
Articles: 5(1)(a)
DPC Reference: IN-21-2-4
Decision Date: 23 Feabhra 2023
Thosaigh an Coimisiún um Chosaint Sonraí (an Coimisiún) an fiosrúchán tar éis ionsaí bogearraí éirice a rinne difear do na sonraí othar a shealbhaítear ar an gcóras riaracháin othar atá i bhfeidhm ag Centric, ar ionsaí é a cuireadh in iúl don Choimisiún an 5 Nollaig 2019. Mar thoradh ar an ionsaí, rinneadh difear do 70,000 ábhar sonraí toisc gur cailleadh rochtain ar a sonraí pearsanta agus a sonraí catagóire speisialta, toisc go ndearnadh athrú neamhúdaraithe ar na sonraí sin agus toisc gur cailleadh infhaighteacht na sonraí sin. Díobh sin, rinneadh difear buan do 2,500 othar toisc gur scriosadh a sonraí gan aon chóip chúltaca a bheith ar fáil.
Breithníodh cé acu a chomhlíon nó nár chomhlíon Centric Airteagail 5(1)(f), 5(2) agus 32(1) GDPR agus, go háirithe, cé acu a chuir nó nár chuir Centric bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal riosca a chinntiú a bheadh iomchuí do na rioscaí a bhaineann lena oibríochtaí próiseála.
Cinneadh gur sháraigh Centric na hoibleagáidí atá air faoi Airteagail 5(1), 5(2) agus 32(1) GDPR agus gur theip ar an bpróiseáil a rinne Centric laistigh dá Chóras Riaracháin Othar a chinntiú go bpróiseálfaí na sonraí pearsanta ar chaoi go gcinntítear slándáil iomchuí na sonraí pearsanta, lena n-áirítear cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach agus ar chailleadh, scrios nó damáiste de thaisme.
Na cumhachtaí ceartaitheacha a feidhmíodh:
- Leis an gcinneadh, eisíodh iomardú chuig Centric i leith na sáruithe.
- Leis an gcinneadh, forchuireadh fíneáil riaracháin €275,000 ar Centric i leith an tsáraithe ar Airteagal 5(1)(f) GDPR.
- Leis an gcinneadh, forchuireadh fíneáil riaracháin €50,000 ar Centric i leith an tsáraithe ar Airteagal 5(2) GDPR.
- Leis an gcinneadh, forchuireadh fíneáil riaracháin €135,000 ar Centric i leith an tsáraithe ar Airteagal 32(1) GDPR.