Sonraí pearsanta a rialú agus a phróiseáil

Réamhrá

Tháinig an Rialachán Ginearálta um Chosaint Sonraí (an RGCS) i bhfeidhm ar fud an AE an 25 Bealtaine 2018.

Bronnadh éifeacht bhreise san Acht um Chosaint Sonraí, 2018, a tugadh isteach sa dlí an 24 Bealtaine 2018, ar an RGCS i limistéir ina bhfuil solúbthacht ag ballstáit (mar shampla, aois toilithe sa ré dhigiteach).

Méadaítear san RGCS go suntasach na hoibleagáidí agus freagrachtaí d’eagraíochtaí agus gnólachtaí i dtaobh conas a bhailíonn, a úsáideann agus a chosnaíonn siad sonraí pearsanta. Tá ar eagraíochtaí agus gnólachtaí a bheith go hiomlán trédhearcach faoi conas a úsáideann agus a chosnaíonn siad sonraí pearsanta, agus a bheith in ann cuntasacht a léiriú dá ngníomhaíochtaí próiseála sonraí.

Sainmhíniú ar chosaint sonraí

Faoin RGCS, is ionann sonraí pearsanta agus sonraí a bhaineann le duine aonair nó ar féidir leo duine aonair a shainaithint leo féin nó i dteannta faisnéis eile atá ar fáil. Féadtar a áireamh le sonraí pearsanta d’ainm, seoladh, sonraí teagmhála, uimhir aitheantais, seoladh IP, píosa scannáin CCTV, cártaí rochtana/co-taganna, taifeadtaí closamhairc nó fuaime ar dhuine agus sonraí faoi láthair.

Is ionann ábhar sonraí agus an duine aonair lena mbaineann na sonraí pearsanta. Is féidir leat cearta ábhair shonraí a léamh inár gcáipéis Teacht ar do shonraí pearsanta faoin RGCS.

Tugtar próiseáil ar rud ar bith a dhéanamh le do shonraí pearsanta, iad a stóráil san áireamh.

Tugtar rialaitheoir ar an eagraíocht nó an gnólacht a dhéanann cinneadh faoi cad a dhéanfar le do shonraí. Is féidir leis an aonán sin cead a thabhairt do dhuine nó aonán eile do shonraí pearsanta a phróiseáil thar a cheann, áfach. Tugtar próiseálaí ar an duine a phróiseálann an t-eolas thar ceann an rialaitheora sonraí.

Tugtar cuntas sa cháipéis seo ar oibleagáidí rialaitheoirí agus próiseálaithe sonraí faoin RGCS.

Oibleagáidí um chosaint sonraí

An oibleagáid chun sonraí pearsanta a phróiseáil go dleathach

Ní féidir le heagraíochtaí sonraí pearsanta a úsáid nó a choimeád ach nuair a bhíonn cúis dhleathach leis. Leagtar amach san RGCS sé chúis chaighdeánacha dhleathacha ar féidir le heagraíocht iad a úsáid:

•Thug tú do thoiliú saorálach agus feasach.

•Is gá an phróiseáil a dhéanamh chun tabhairt faoi chonradh a bhfuil tú mar pháirtí leis, ar nós táirge a sholáthar

•Is gá an phróiseáil a dhéanamh go gcomhlíonfaidh an rialaitheoir oibleagáid dhlíthiúil, cosúil le bailiú éigeantach sonraí ar mhaithe le cuspóirí frithsciúrtha airgid nó cánach

•Is gá an phróiseáil a dhéanamh chun do leasanna ríthábhachtacha nó leas ríthábhachtach duine eile a chosaint, cosúil le teacht ar thaifid leighis i gcás éigeandála

•Is gá an phróiseáil a dhéanamh chun tasc a fheidhmiú faoina dtugtar ar mhaithe le leas an phobail nó nuair a bhíonn údarás oifigiúil ag an rialaitheoir, cosúil le próiseáil slándála poiblí

•Is gá an phróiseáil a dhéanamh ar mhaithe le leasanna dlisteanacha na heagraíochta próiseála mura dtagann sé salach ar do chearta, cosúil le calaois a chosc

Caithfear dóthain eolais a thabhairt duit i bhfriotal simplí agus soiléir go mbíonn tú eolach ar an méid a dhéanfaidh eagraíocht le do shonraí pearsanta. Tagtar air seo go minic i mbeartais phríobháideachais ar láithreáin ghréasáin nó ar fhoirmeacha ar féidir leat iad a léamh nó a shíniú i bpearsan.

An oibleagáid chun córais chuí phróiseála a dhearadh agus a oibriú

Tugadh isteach san RGCS an coincheap príobháideachas trí dhearadh agus cosaint sonraí mar réamhshocrú.

Ciallaíonn cosaint sonraí trí dearadh gur gá bearta um chosaint sonraí a chur san áireamh nuair a bhíonn córas ar bith á dhearadh ag rialaitheoir. Mar thoradh air sin, laghdaítear an dóchúlacht go ndéanfar sáruithe gan chuimhneamh ar an reachtaíocht um chosaint sonraí.

Ciallaíonn cosaint sonraí mar réamhshocrú gur cheart córais a shocrú go dtacaíonn siad le cosaint sonraí. Ba cheart go gciallódh seo nach mbailítear ach sonraí pearsanta riachtanacha, go gcoimeádtar iad ar feadh na tréimhse íosta is gá agus nach nglacann duine go huathoibríoch le haon phróiseáil neamhriachtanach.

Is féidir le rialaitheoirí iarratas a dhéanamh ar dheimhniúchán in Éirinn ón gCoimisiún Cosanta Sonraí, a léireoidh go bhfuil a bpróisis deartha chun an Rialachán a chomhlíonadh.

An oibleagáid chun próiseálaithe a úsáid a chomhlíonann ceanglais na reachtaíochta

Nuair atá an phróiseáil le déanamh ag próiseálaí, seachas an rialaitheoir, caithfidh nach n-úsáidfidh an rialaitheoir ach na próiseálaithe siúd a thugann ráthaíocht go gcomhlíonann a gcórais phróiseála ceanglais an Rialacháin.

I measc na samplaí de na próiseálaithe seo, tá cuideachtaí párolla, cuntasóirí agus cuideachtaí taighde ar an margadh, a bhféadfaidís go léir faisnéis phearsanta a choimeád nó a phróiseáil thar ceann duine eile. Próiseálaithe sonraí atá i soláthraithe néil, chomh maith, i bhformhór na gcásanna.

Caithfidh conradh a bheith ag an rialaitheoir leis an bpróiseálaí ina leagtar amach scóip na próiseála a theastaíonn ón rialaitheoir agus oibleagáidí an phróiseálaí faoin Rialachán. Ní féidir le próiseálaí an phróiseáil seo a sheachfhoinsiú le próiseálaí eile gan toiliú an rialaitheora agus mura ndéantar comhaontú ar a mhacasamhail de chonradh leis an dara próiseálaí sin.

Ba cheart do phróiseálaithe aon chód iompair ábhartha a leanúint is féidir leis an gCoimisiún Cosanta Sonraí a ullmhú. Is féidir le próiseálaithe deimhniúchán a fháil, chomh maith, a léiríonn go gcomhlíonann siad an Rialachán.

An oibleagáid chun taifid a choimeád

Faoin RGCS, caithfidh aon rialaitheoir a bhfuil breis agus 250 fostaí aige/aici, nó a phróiseálann faisnéis íogair, taifead a choimeád ar na gníomhaíochtaí próiseála a bhfuil sé/sí freagrach astu.

Is éard ba cheart a bheith sa taifead sin:

•Ainm agus sonraí teagmhála an rialaitheora

•Cuspóirí na próiseála

•Cur síos ar na catagóirí ábhair shonraí agus sonraí pearsanta

•Catagóirí fhaighteoirí na sonraí

•Aon aistrithe sonraí chuig tríú tíortha agus cosaintí sonraí na tíre sin

•Teorainneacha ama chun sonraí a scriosadh

•Cur síos ar na bearta slándála sonraí atá i bhfeidhm

Caithfidh próiseálaithe a mhacasamhail de thaifid a choimeád. Is féidir leis an gCoimisiún Cosanta Sonraí cigireacht a dhéanamh ar na taifid seo, ar iarraidh sin.

An oibleagáid chun sonraí a choimeád slán

Tá oibleagáid ar rialaitheoirí agus próiseálaithe sonraí pearsanta a choimeád slán. Caithfidh siad a chinntiú freisin nach dtagann aon fhostaithe ar aon sonraí ná nach bpróiseálann siad aon sonraí mura gá dóibh amhlaidh a dhéanamh. Faoin RGCS, caithfidh rialaitheoirí agus próiseálaithe a mheas gur cuí bearta nua-aimseartha slándála a chur i bhfeidhm i dtaobh na rioscaí a bhaineann lena ngníomhaíochtaí. Mar shampla, d’fhéadfadh rioscaí teacht aníos i ndiaidh sonraí stóráilte a mhilleadh de thimpiste nó go neamhdhleathach nó trí shonraí a nochtadh, a rochtain nó a athrú go neamhúdaraithe.

D’fhéadfaí a áireamh leis na bearta slándála sonraí a lua gan ainm nó sonraí a chriptiú agus sonraí stóráilte a aischur nó a chúltacú. Tá ar rialaitheoirí agus próiseálaithe athbhreithniú agus measúnú rialta a dhéanamh ar a mbearta slándála agus slándáil sonraí a chur san áireamh freisin nuair a bhíonn trealamh á dhiúscairt acu.

An oibleagáid chun sáruithe ar shonraí a thabhairt le fios

Faoin RGCS, caithfidh rialaitheoir an Coimisiún Cosanta a chur ar an eolas ar shárú ar shonraí pearsanta gan mhoill nuair is dóchúil go n-eascróidh riosca as an sárú sin i leith chearta agus shaoirse an ábhair shonraí. Ba cheart fógra a thabhairt laistigh de 72 uair an chloig, ar a dhéanaí, i ndiaidh go gcuirtear an rialaitheoir ar an eolas ar an sárú. Caithfidh próiseálaithe sonraí na rialaitheoirí, faoi seach, a chur ar an eolas má chuirtear an sárú in iúl don phróiseálaí. Ba cheart don rialaitheoir an t-ábhar sonraí a chur ar an eolas ansin gan mhoill.

Caithfidh rialaitheoir an t-ábhar sonraí a chur ar an eolas freisin gan mhoill i bhfriotal soiléir agus neamhchasta más dóchúil go n-eascróidh ardriosca as an sárú sin i leith chearta agus shaoirse an ábhair shonraí. Bheadh ardriosca i gceist, mar shampla, sa chás go ngoidtear do shonraí bainc.

An oibleagáid chun tabhairt faoi mheasúnacht tionchair um chosaint sonraí

Faoin RGCS, nuair a bheartaíonn rialaitheoir chun tabhairt faoi próiseáil ardriosca, caithfidh siad tabhairt faoi mheasúnacht tionchair um chosaint sonraí (MTCS) ar dtús. D’fhoilsigh an Coimisiún Cosanta Sonraí liosta Oibríochtaí Próiseála Sonraí óna dteastaíonn MTCS.

Áirítear leis na próisis seo próiseáil trí úsáid a bhaint as teicneolaíocht nua, próifíliú agus próiseáil cinnteoireachta uathoibrithe, méideanna móra de shonraí íogair pearsanta a phróiseáil nó monatóireacht chórasach a dhéanamh ar limistéar atá inrochtana go poiblí.

Ba cheart a áireamh leis an measúnacht tionchair um chosaint sonraí:

•Cur síos ar an bpróiseáil agus an cuspóir

•Measúnú ar riachtanas na próiseála

•Measúnú ar na rioscaí i leith chearta agus shaoirse na n-ábhar sonraí

•Na bearta atá le húsáid chun dul i ngleic leis na rioscaí

Is féidir leis an rialaitheoir dul i gcomhairle leis an gCoimisiún Cosanta Sonraí, agus is féidir leis an gCoimisiún comhairle a chur ar an rialaitheoir. D’fhoilsigh an Coimisiún Cosanta Sonraí treoir mhionsonraithe do rialaitheoirí ar conas agus cathain tabhairt faoi MTCS.

Ba cheart don rialaitheoir tabhairt faoi athbhreithniú i ndiaidh gur tosaíodh an phróiseáil lena chinntiú go bhfuiltear ag tabhairt faoi ar aon dul leis an measúnacht tionchair ar shonraí faoinar tugadh.

Ba cheart don rialaitheoir comhairle a lorg óna oifigeach um chosaint sonraí, chomh maith.

An oibleagáid chun oifigigh chosanta sonraí a cheapadh (OCSanna)

Faoin RGCS, caithfidh rialaitheoirí agus próiseálaithe oifigigh um chosaint sonraí a cheapadh arb ionann a bpríomhghníomhaíochtaí agus próiseáil óna dteastaíonn monatóireacht rialta agus chórasach ar ábhair shonraí ar scála mór nó ar chatagóirí speisialta de shonraí pearsanta nó sonraí a bhaineann le ciontuithe agus cionta coiriúla.

Caithfidh oifigigh chosanta sonraí:

•A bheith ceaptha ar bhunús cáilíochtaí gairmiúla agus, go háirithe, eolas saineolaíoch ar an dlí agus cleachtais um chosaint sonraí

•A bheith mar chomhalta foirne nó soláthraí seirbhíse seachtrach

•Sonraí teagmhála a sholáthar don Choimisiún Cosanta Sonraí

•Na hacmhainní cuí a a bheith acu chun tabhairt faoina dtascanna agus a n-eolas saineolaíoch a choimeád

•Tuairisciú go díreach leis an leibhéal is airde de bhainistíocht ina n-eagraíocht

•Gan tabhairt faoi aon tascanna eile a bhféadfadh coinbhleacht leasa bheith mar thoradh orthu

Caithfidh OCSanna a bheith bainteach i ngach saincheist um chosaint sonraí agus caithfear na hacmhainní a thabhairt dóibh chun tabhairt faoina dtascanna.

Is féidir leat teagmháil a dhéanamh le OCS eagraíochta faoi aon saincheisteanna a bhaineann le do shonraí pearsanta atá á gcoimeád ag an eagraíocht sin.

Is iad tascanna an OCS:

•A n-eagraíocht a chur ar an eolas agus comhairle a thabhairt dá n-eagraíocht faoina hoibleagáidí um chosaint sonraí

•Monatóireacht a dhéanamh ar chomhlíonadh an RGCS ag a n-eagraíocht agus aon reachtaíocht náisiúnta um chosaint sonraí

•Comhairle a thabhairt ar aon mheasúnacht tionchair um chosaint sonraí agus monatóireacht a dhéanamh ar fheidhmíocht

•Idirchaidreamh a dhéanamh leis an údarás maoirseachta

D’fhoilsigh an Coimisiún Cosanta Sonraí treoir mhionsonraithe ar cháilíochtaí cuí do OCS.

An oibleagáid chun aon chóid iompair agus deimhniúchán a chomhlíonadh

Is féidir le comhlachais agus comhlachtaí eile a dhéanann ionadaíocht do rialaitheoirí agus próiseálaithe cóid chleachtais a ullmhú ina sonrófar conas ba cheart an RGCS a chur i bhfeidhm go sonrach. Caithfidh na comhlachtaí seo a ndréachtchóid iompair a sheoladh ar aghaidh chuig an gCoimisiún Cosanta Sonraí lena bhfaomhadh.

D’fhonn barr feabhais a chur ar thrédhearcacht agus comhlíonadh an Rialacháin seo, tabharfaidh an RGCS meicníochtaí deimhniúcháin agus marcanna um chosaint sonraí isteach, a cheadaíonn d’ábhair shonraí chun measúnú tapa a dhéanamh ar an leibhéal um chosaint sonraí atá ag táirgí agus seirbhísí ábhartha. Beidh liosta d’eagraíochtaí deimhnithe ar fáil go poiblí.

Cabhróidh cóid iompair agus meicníochtaí faofa deimhniúcháin le rialaitheoirí, chomh maith, chun na rioscaí a shainaithint a bhaineann lena saghas próiseála agus chun cloí le dea-chleachtas.

Is féidir cód iompair faofa nó meicníocht fhaofa deimhniúcháin a úsáid mar ghné chun comhlíonadh oibleagáidí an rialaitheora nó an phróiseálaí faoin RGCS a léiriú.

Na hoibleagáidí a bhaineann le sonraí a aistriú lasmuigh den AE

Déanfar aon aistriú sonraí pearsanta lasmuigh den AE nó chuig eagraíocht idirnáisiúnta a rialáil go dian faoin RGCS. Baineann an Rialachán, chomh maith, le haon sonraí pearsanta a aistriú ar aghaidh ó bhallstát amháin neamh-AE go ceann eile.

Is féidir le haistriú sonraí pearsanta den saghas sin titim amach nuair atá cinneadh déanta ag an gCoimisiún Eorpach go bhfuil leibhéal leordhóthanach de chosaint sonraí i bhfeidhm ag an mballstát neamh-AE nó ag an earnáil ghnó laistigh den tír sin. Nuair a dhéantar cinneadh faoi cé acu an bhfuil nó nach bhfuil cosaint leordhóthanach ann, caithfidh an Coimisiún súil ar dhlíthe na tíre sin, an meas a léirítear ar chearta daonna, láithreacht aon údaráis um chosaint sonraí agus na gealltanais idirnáisiúnta a rinne an tír sin maidir le sonraí pearsanta. I ndiaidh cinneadh a dhéanamh cé acu an bhfuil nó nach bhfuil cosaint leordhóthanach sonraí ag tír nó earnáil, leanfaidh an Coimisiún le monatóireacht a dhéanamh ar an tír sin i dtaobh a cleachtas um chosaint sonraí.

Foilsíonn an Coimisiún liosta de na tíortha, earnálacha agus eagraíochtaí idirnáisiúnta faofa go léir siúd.

Leantar le haistrithe de shonraí pearsanta chuig an RA a cheadú go sealadach i ndiaidh dheireadh idirthréimhse Brexit ar an mbunús nach ndéanann an RA aon athruithe ar a reachtaíocht um chosaint sonraí reatha. Tá scrúdú á dhéanamh ag an gCoimisiún Eorpach faoi láthair ar cibé acu an bhfuil nó nach bhfuil cosaintí an RA cosúil leis an RGCS ar mhaithe le cinneadh faoi leordhóthanacht a dhéanamh.

Más mian le rialaitheoir nó próiseálaí sonraí a aistriú chuig tír, earnáil nó eagraíocht idirnáisiúnta neamhfhaofa, caithfidh an rialaitheoir nó an próiseálaí na cosaintí cuí a sholáthar agus a chinntiú go mbeidh aon ábhair shonraí in ann a gcearta a fheidhmiú go fóill.

Maoirseacht agus forfheidhmiú

Údaráis mhaoirseachta neamhspleácha

Faoin RGCS, caithfidh údarás poiblí neamhspleách amháin nó níos mó a bheith ag gach ballstát an AE atá freagrach as monatóireacht a dhéanamh ar chur i bhfeidhm an Rialacháin. In Éirinn, is é an Coimisiún Cosanta Sonraí an t-údarás maoirseachta seo.

Déanann an Coimisiún Cosanta Sonraí an méid seo a leanas:

•Monatóireacht agus forfheidhmiú ar chur i bhfeidhm an RGCS

•Feasacht phoiblí ar na rialacha agus cearta a bhaineann le próiseáil sonraí a chur chun cinn

•Comhairle a chur ar an Rialtas ar shaincheisteanna um chosaint sonraí

•Feasacht a chur chun cinn i measc rialaitheoirí agus próiseálaithe ar a n-oibleagáidí

•Faisnéis a sholáthar do dhaoine aonair faoina gcearta um chosaint sonraí

•Liosta a choimeád d’oibríochtaí próiseála óna dteastaíonn measúnacht tionchair um chosaint sonraí

•Gearáin a láimhseáil agus imscrúduithe a dhéanamh a bhaineann leis an dlí um chosaint sonraí a chomhlíonadh

Tá an chumhacht ag an gCoimisiún Cosanta Sonraí chun aon rialaitheoir nó próiseálaí a ordú chun faisnéis a sholáthar a theastaíonn ón údarás chun measúnú a dhéanamh ar chomhlíonadh an Rialacháin. Caithfidh sé tabhairt faoi imscrúduithe ar rialaitheoirí agus próiseálaithe i bhfoirm iniúchtaí ar shonraí, áitreabh rialaitheora nó próiseálaí ina measc. Is féidir leis rialaitheoir nó próiseálaí a ordú chun a bpróisis a athrú agus iarrataí ábhar sonraí a chomhlíonadh. Is féidir leis an gCoimisiún Cosanta Sonraí rabhaidh a eisiúint, chomh maith, do rialaitheoirí agus próiseálaithe agus próiseáil a chosc, chomh maith le tús a chur le himeachtaí dlíthiúla in aghaidh rialaitheora nó próiseálaí.

Is féidir le heagraíochtaí a thugann faoi phróiseáil trasteorann ar shonraí pearsanta a roghnú déileáil le príomhúdarás maoirseachta aonair, ionad ilfhreastail (ILF) i gcás thromlach mór a ngníomhaíochtaí próiseála.

An Bord Eorpach um Chosaint Sonraí

Tugadh údarás nua maoirseachta um chosaint sonraí isteach san RGCS. Beidh an Bord Eorpach um Chosaint Sonraí (an BECS) freagrach as a chinntiú go gcuirtear an RGCS i bhfeidhm go comhsheasmhach trasna an Aontais Eorpaigh. Eiseoidh sé treoirlínte agus moltaí ar chur i bhfeidhm an Rialacháin. Ina theannta sin, cuirfidh sé comhairle ar Choimisiún an AE ar chur i bhfeidhm an Rialacháin agus aon nuashonruithe a d’fhéadfadh bheith ag teastáil.

Is éard atá sa BECS ná ceann údarás maoirseachta amháin i ngach ballstát agus maoirseoir Eorpach um Chosaint Sonraí nó a n-ionadaithe.

Pionóis

Gearrtar pionóis ar rialaitheoirí agus próiseálaithe araon a sháraíonn an Rialachán. Tá pionóis éagsúla ann, ag brath ar thromchúise an tsáraithe.

Sárú tromchúiseach

I gcás an tsáraithe is tromchúisí (mar shampla, gan toiliú dóthanach custaiméara a bheith agat chun sonraí a phróiseáil nó croíghné an phríobháideachais a shárú trí choincheapa dearaidh), is féidir fíneáil a mhéid le 4% dá láimhdeachas domhanda bliantúil nó €20 milliún, pé ceann is mó, a ghearradh ar eagraíochtaí.

Sárú nach bhfuil chomh tromchúiseach céanna

Faoin RGCS, is féidir a mhéid le 2% dá láimhdeachas domhanda bliantúil nó €10 milliún, pé ceann is mó, a ghearradh ar eagraíochtaí a dhéanann sárú nach bhfuil chomh tromchúiseach céanna. Áirítear le roinnt samplaí de shárú níos lú: gan taifid a bheith in ord, gan fógra a thabhairt don údarás maoirseachta agus don ábhar sonraí faoi shárú nó gan tabhairt faoi mheasúnacht tionchair.

Eolas breise

Tá faisnéis mhionsonraithe bhreise ar fáil faoin an RGCS ar dataprotection.ie.

An Coimisiún um Chosaint Sonraí

21 Cearnóg Mhic Liam Theas,

Baile Átha Cliath 2,

D02 RD28

Éire

Uaireanta Oscailte: 09:15-17:30 ó Luan go Déardaoin, 09:15-17:15 ar an Aoine

Guthán: +353 57 868 4800 / +353 0761 104800

Leathanach Baile: http://www.dataprotection.ie

Ríomhphost: info@dataprotection.ie

Dáta an Leasaithe Deireanaigh: 28 Iúil 2021