Cosaint sonraí pearsanta

Is í an Treoir 95/46/CE an téacs tagartha, ar an leibhéal Eorpach, maidir le cosaint sonraí pearsanta. Cuireann an Treoir sin creat rialála ar bun chun cothromaíocht a bhunú idir ardleibhéal cosanta ar shaol príobháideach na ndaoine agus shaorghluaiseacht na sonraí pearsanta laistigh den Aontas Eorpach (AE). Dá bhrí sin, socraítear sa Treoir teorainneacha cinnte ar bhailiú agus ar úsáid sonraí pearsanta, agus iarrtar ar gach Ballstát comhlacht neamhspleách náisiúnta a bhunú a bheadh freagrach as maoirseacht a dhéanamh ar gach gníomhaíocht atá nasctha le próiseáil sonraí pearsanta.

ACHT

Treoir 95/46/CE an 24 Deireadh Fómhair 1995 ó Pharlaimint na hEorpa agus ón gComhairle maidir le daoine aonair a chosaint i ndáil le sonraí pearsanta a phróiseáil agus le saorghluaiseacht na sonraí sin [Iris Oifigiúil L 281 an 23.11.1995 — Féach na hachtanna leasaithe].

ACHOIMRE

Baineann an Treoir seo le sonraí a próiseáiltear go huathoibríoch (bunachar sonraí custaiméirí ar ríomhaire, mar shampla) chomh maith le sonraí atá i gcomhad neamh-uathoibríoch nó a d’fhéadfaí a chur i gcomhad den chineál sin (comhaid thraidisiúnta páipéir).

Ní bhaineann an Treoir le próiseáil sonraí:

• a bhailíonn duine nádúrtha ag gníomhú dó/di go pearsanta nó sa bhaile amháin;
• a chuirtear i ngníomh i réimse nach mbaineann le dlí an Chomhphobail a chur chun feidhme, mar shlándáil phoiblí, chosaint nó shlándáil an Stáit.

Is í aidhm na Treorach cearta agus saoirsí an duine a chosaint maidir le próiseáil sonraí pearsanta trí phríomhchritéir chun próiseas dlíthiúil a dhéanamh de phróiseáil sonraí a leagadh síos, mar aon le prionsabail chaighdeán na sonraí.

Ní bhíonn próiseáil sonraí dlíthiúil ach amháin sna cúinsí seo a leanas:

• bíonn toiliú glan soiléir faighte ón duine is ábhar do na sonraí; nó
• bíonn próiseáil de dhíth chun conradh a chur i bhfeidhm ina bhfuil páirt ag an duine is ábhar do na sonraí; nó
• bíonn próiseáil de dhíth chun cloí le ceanglas dlíthiúil a mbíonn an rialtóir faoina réir; nó
• bíonn próiseáil de dhíth chun leasanna ríthábhachtacha an duine is ábhar do na sonraí a chosaint; nó
• tá próiseáil de dhíth chun tabhairt faoi thasc a dhéantar ar mhaithe le leas poiblí nó sa chás go bhforfheidhmítear údarás oifigiúil an rialtóra nó tríú páirtí; nó
• bíonn próiseáil de dhíth at mhaithe le leas dlisteanach a mbíonn an rialtóir nó tríú páirtí ag coinneáil leis, ach amháin sa chás go dtugtar treis do leasanna i gcearta bunúsacha agus i saoirsí an duine is ábhar do na sonraí, ar gá iad a chosaint, ar leasanna dá leithéid.

Is iad seo a leanas prionsabail chaighdeán na sonraí, ar gá a chur i bhfeidhm maidir le gach gníomhaíocht dhlíthiúil um próiseáil sonraí:

• ní mór sonraí pearsanta a phróiseáil ar dhóigh mhacánta agus dhlíthiúil, agus iad a bhailiú chun críche sainiúla, follasacha agus dlisteanacha. Thairis sin, ní mór dóibh a bheith leordhóthanach, ábhartha agus cruinn, agus gan a bheith iomarcach, agus, más cuí sin, ní mór iad a thabhairt cothrom le dáta. Ní cheadmhach iad a stóráil ar feadh níos mó ama ná mar is gá chun na críocha a bailíodh iad;
• catagóirí speisialta próiseála: ní féidir sonraí pearsanta a phróiseáil a thaispeánann na nithe seo a leanas faoi dhuine: bunadh ciníoch nó eitneach, tuairimí poiblí, áitiúis reiligiúnacha nó fhealsúnacha, ballraíocht i gceardchumann, nó sonraí a phróiseáil a bhaineann le sláinte nó le saol gnéasach an duine. Baineann eisceachtaí áirithe leis an bhforáil sin, mar shampla, sa chás inar gá na sonraí a phróiseáil chun leasanna riachtanacha an duine is ábhar dóibh a chosaint nó ar mhaithe le cóir leighis choisctheach nó le diagnóis a dhéanamh.

Is féidir leis an duine is ábhar do na sonraí a bhailítear na cearta seo a leanas a fhorfheidhmiú:

• an ceart chun faisnéis a fháil: ní mór don rialtóir faisnéis áirithe (aitheantas an rialtóra, cuspóirí próiseála, faighteoirí na sonraí, srl.) a chur ar fáil don duine is ábhar do na sonraí a mbailítear sonraí faoi/fúithi;
• ceart rochtana an duine is ábhar do na sonraí: ní mór do gach duine lena mbaineann an ceart a bheith acu faisnéis a fháil ón rialtóir;
• an ceart chun cur in aghaidh phróiseáil na sonraí: ba cheart go mbeadh de cheart ag an duine is ábhar do na sonraí cur in aghaidh, ar chúiseanna dlisteanacha, phróiseáil na sonraí a bhaineann leis/léi. Lena chois sin, ba cheart go mbeadh sé de cheart aige/aici cur in aghaidh, ar éileamh agus in aisce, phróiseáil na sonraí a mheasann an rialtóir go bpróiseálfar iad ar mhaithe le margaíocht dhíreach. Ar deireadh, roimh sonraí a sheoladh ar aghaidh go dtí tríú páirtí ar mhaithe le margaíocht dhíreach, ba cheart go gcuirfear in iúl don duine is ábhar do na sonraí go bhfuil sé sin á dhéanamh, agus ba cheart go mbeadh sé de cheart ag an duine sin cur in aghaidh a seoladh;

Gnéithe ábhartha eile a bhaineann le próiseáil sonraí:

• eisceachtaí agus teorainneacha maidir le cearta an duine is ábhar do na sonraí: d’fhéadfaí teorann a chur leis na prionsabail a bhaineann le caighdeán na sonraí, le faisnéis a thabhairt don duine lena mbaineann siad, le ceart rochtana an duine is ábhar do na sonraí agus le poiblíocht a bpróiseála, d’fhonn, i measc nithe eile, slándáil an Stáit, cosaint, slándáil phoiblí, leanúint imeachtaí coiriúla, leas eacnamaíoch nó airgeadais a bhfuil tábhacht ag baint leis do Bhallstát nó don AE a chosaint, nó an duine lena mbaineann na sonraí a chosaint;
• rúndacht agus slándáil na próiseála: ní mór do gach duine a ghníomhaíonn faoi údarás an rialtóra nó an phróiseálaí, an próiseálaí féin san áireamh, agus a bhfuil rochtain aige/aici ar shonraí pearsanta, na sonraí sin a phróiseáil faoi threoir rialtóra. Lena chois sin, ní mór don rialtóir na bearta is gá chun sonraí pearsanta a chosaint a chur i bhfeidhm: cosc a chur ar scrios tionóisceach nó neamhdhleathach na sonraí, caillteanas tionóisceach na sonraí, athrú na sonraí, scaipeadh nó rochtain neamhúdaraithe na sonraí;
• phróiseáil na sonraí a chur in iúl d’údarás maoirseachta: ní mór don rialtóir fógra a thabhairt don údarás maoirseachta náisiúnta sula bpróiseálfar sonraí. Tar éis don údarás an fógra sin a fháil, déanfaidh sé meastóireacht ar na rioscaí a d’fhéadfadh a bheith ann do chearta agus saoirsí na ndaoine is ábhar do na sonraí. Ní mór cinntiú go bhfógrófar an phróiseáil agus ní mór do na húdaráis maoirseachta clár a choimeád de na hoibríochtaí maoirseachta arna bhfógairt.

Ba cheart go mbeadh leigheas breithiúnach ann do gach duine má dhéantar a chearta/a cearta, arna ráthú de bhun na bhforálacha náisiúnta is infheidhme don chineál próiseála seo, a shárú. Thairis sin, tá sé de cheart ag daoine a fhulaingíonn damáiste de bharr phróiseáil neamhdhleathach a gcuid sonraí pearsanta cúiteamh a fháil i leith an damáiste sin.

Údaraítear aistriú sonraí pearsanta ó Bhallstát chuig tríú tír má tá leibhéal cosanta dóthanach ag an tír sin. Cé nach féidir sonraí a aistriú mura mbíonn leibhéal dóthanach cosanta ráthaithe, tá ann do roinnt eisceachtaí maidir leis an riail seo atá liostaithe sa treoir, m.sh. nuair a aontaíonn an duine is ábhar do na sonraí lena n-aistriú, má thagann deireadh le conradh, más gá a leithéid a dhéanamh chun críocha leasa phoiblí, agus i gcás go ndearnadh Rialacha Corparáideacha Ceangailteacha nó Clásail Chonarthacha Chaighdeánacha a údarú ag an mBallstát.

Is í aidhm na Treorach cóid iompair náisiúnta agus Comhphobail a ullmhú ar mhaithe le cur chun feidhme éifeachtach na bhforálacha náisiúnta agus forálacha an Comhphobail.

Déanfaidh gach Ballstát foráil d’údarás poiblí neamhspleách amháin nó níos mó chun maoirseacht a dhéanamh, ina chríoch féin, ar chur chun feidhme na bhforálacha arna nglacadh ag na Ballstáit de bhun na Treorach seo.

Bunaítear Meitheal Oibre um Dhaoine a Chosaint ó thaobh Sonraí Pearsanta a Phróiseáil, ina mbeidh ionadaithe d’údaráis mheastóireachta náisiúnta, d’údaráis mheastóireachta institiúidí agus ghníomhaireachtaí an Chomhphobail, chomh maith le hionadaí de chuid an Choimisiúin.

ACHTANNA GAOLMHARA

TUARASCÁIL MAIDIR LE CUR CHUN FEIDHME NA TREORACH

Teachtaireacht ón gCoimisiún chuig Parlaimint na hEorpa agus chuig an gComhairle an 7 Márta 2007 ar an méid a leanann ón gClár Oibre um chur chun feidhme níos éifeachtaí na Treorach um Chosaint Sonraí [ COM(2007) 87 críochnaitheach — Neamhfhoilsithe san Iris Oifigiúil].

Scrúdaíodh sa teachtaireacht seo an obair a cuireadh i gcrích faoi chuimsiú an Chláir Oibre um chur chun feidhme níos éifeachtaí na Treorach um Chosaint Sonraí atá ar fáil sa Chéad Tuarascáil maidir le cur chun feidhme na Treorach 95/46/CE. Chuir an Coimisiún in iúl go bhfuil feabhas tagtha ar an gcur chun feidhme, agus go bhfuil an Treoir glactha anois ag na Ballstáit ar fad. Shonraigh sé nár cheart an Treoir a leasú.

Tugadh faoi deara freisin:

• go leanfaidh sé ar aghaidh ag obair leis na Ballstáit agus, más cuí sin, go ndéanfaidh sé nósanna imeachta oifigiúla sáraithe a thionscnamh;
• go n-ullmhóidh sé teachtaireacht léirmhínitheach d’fhorálacha áirithe den Treoir;
• go leanfaidh sé leis an gClár Oibre a chur chun feidhme;
• go ndéanfaidh sé reachtaíocht earnála a thionscnamh ar leibhéal an AE, má thagann athrú mór ar an teicneolaíocht i réimse ar leith;
• go leanfaidh sé leis ag obair i gcomhar lena chuid comhpháirtithe eachtracha, ach go háirithe na Stáit Aontaithe.

Tuarascáil ón gCoimisiún an 15 Bealtaine 2003 — An Chéad Tuarascáil ar chur chun feidhme na Treorach um Chosaint Sonraí (95/46/CE) [ COM(2003) 265 críochnaitheach — Neamhfhoilsithe san Iris Oifigiúil].

Cuireadh san áireamh sa tuarascáil, ach go háirithe, torthaí na gcomhairliúchán a rinne an Coimisiún maidir le measúnú na Treorach 95/46/CE leis na rialtais, na hinstitiúidí, na cónaidhmeanna fiontar, na comhlachais tomhaltóirí agus na saoránaigh. Léirigh torthaí na gcomháirliúchán nach bhfuil formhór na bpáirtithe i bhfabhar aon leasú ar an Treoir. Thairis sin, tar éis dul i gcomhairle leis na Ballstáit, is léir don Choimisiún nach bhfuil a bhformhór acu, nó formhór na n-údarás meastóireachta náisiúnta ach an oiread, i bhfabhar aon leasú ar an Treoir reatha.

D’ainneoin na moilleanna agus na mbearnaí uile i gcur i bhfeidhm na Treorach, baineadh a príomhsprioc amach: na bacainní a bhí ar shaorghluaiseacht sonraí pearsanta idir na Ballstáit a bhaint. Mheas an Coimisiún freisin gur baineadh amach an sprioc ardleibhéal cosanta a ráthú sa Chomhphobal toisc go bhfuil roinnt de na caighdeáin cosanta sonraí is airde ar domhan leagtha amach sa Treoir.

Níor éirigh chomh maith sin le spriocanna eile de bheartas an mhargaidh inmheánaigh, áfach. Tá éagsúlachtaí suntasacha ann fós idir reachtaíocht na mBallstát maidir le cosaint sonraí agus is léir go gcuireann na héagsúlachtaí sin bac ar eagraíochtaí ilnáisiúnta beartais uile-Eorpacha maidir le cosaint sonraí a shainiú. D’fhógair an Coimisiún, mar sin, go ndéanfaí gach rud is gá chun an staid sin a leigheas, ach tionscnamh gníomhaíochta fhoirmiúil a sheachaint, a oiread agus is féidir.

Maidir leis an leibhéal ginearálta ag a bhfuil an reachtaíocht um chosaint sonraí á hurramú, léirítear trí dheacracht ar leith:

• easpa acmhainní chun an Treoir a chur i bhfeidhm;
• difríochtaí suntasacha sa dóigh a dhéanann rialtóirí an Treoir a urramú;
• is léir nach bhfuil cur amach maith ag na daoine is ábhar do na sonraí ar a gcearta, rud a d’fhéadfadh a bheith mar chúis don phointe deireanach a luadh.

D’fhonn cur chun feidhme níos éifeachtaí den Treoir maidir le cosaint sonraí pearsanta a chinntiú, tá clár oibre glactha i láimh ag an gCoimisiún a shainíonn líon áirithe gníomhaíochtaí is gá a dhéanamh idir glacadh na tuarascála seo agus deireadh na bliana 2004. Seo a leanas cuid de na gníomhaíochtaí a thionscnaítear:

• dul i gcomhairle leis na Ballstáit agus leis na húdaráis atá freagrach as sonraí a chosaint chun na hathruithe is gá a dhéanamh ar a reachtaíocht náisiúnta a phlé chun go gcuirfí an reachtaíocht i gcomhréir le ceanglais na Treorach;
• baint a bheith ag na stát is iarrthóirí leis na hiarrachtaí chun cur chun feidhme níos éifeachtaí agus níos comhionainne a bhaint amach maidir leis an Treoir;
• fógairt na ngníomhartha dlíthiúla ar fad a ghlacann leis an Treoir a fheabhsú;
• na coinníollacha maidir le sonraí a aistriú go hidirnáisiúnta a shimpliú;
• teicneolaíocht a chur chun cinn a neartaíonn cosaint príobháideachais;
• féin-rialachán agus cóid iompair Eorpacha a chur chun cinn.

TREOIR UM PRÍOBHÁIDEACHAS AGUS CUMARSÁID LEICTREONACH

Treoir 2002/58/CE ó Pharlaimint na hEorpa agus ón gComhairle an 12 Iúil 2002 maidir le sonraí pearsanta a phróiseáil agus maidir le príobháideachas a chosaint san earnáil cumarsáide leictreonaí (an Treoir um “príobháideachas agus cumarsáid leictreonach”) [Iris Oifigiúil L 201 an 31.7.2002].

Glacadh an Treoir seo sa bhliain 2002 ag an am céanna a glacadh creat reachtach nua chun earnáil na cumarsáide leictreonaí a rialú. Tá forálacha sa Treoir sin a bhaineann le téamaí íogaire, mar shonraí teagmhála a bheith á gcoimeád ag na Ballstáit ar mhaithe le faireachas póilíneachta (sonraí a choimeád), seoladh teachtaireachtaí leictreonacha nach n-éilítear, úsáid cruthúnais teagmhála (“fianáin”) agus sonraí pearsanta a chur in eolairí poiblí.

Sa Rialachán (AE) Uimh. 611/2013 tá rialacha maidir le sáruithe ar shonraí pearsanta a chur in iúl ag soláthraithe seirbhísí cumarsáide leictreonaí a chuirtear ar fáil go poiblí sa chás go ndéantar sonraí pearsanta a gcuid custaiméirí a chailleadh, a ghoid nó a chur i gcontúirt ar shlí éigin eile.

Má tharlaíonn sárú ar shonraí pearsanta agus má chuirtear sonraí pearsanta i gcontúirt, éilítear ar rialtóirí le Treoir 2002/58/CE an t-údarás náisiúnta inniúil um chosaint sonraí agus, i gcásanna áirithe, na síntiúsóirí agus na daoine aonair lena mbaineann, a chur ar an eolas faoin sárú. Le Rialachán (AE) 611/2013 leagtar síos “bearta cur chun cinn teicniúla” chun an dóigh ar cheart cloí leis na ceanglais seo a shoiléiriú.

I measc nithe eile, ba cheart do sholáthraithe:

• an t-údarás ábhartha um chosaint sonraí a chur ar an eolas faoin teagmhas laistigh de 24 uair an chloig ón sárú a aimsiú, chun a theorannú a uasmhéadú;
• an cineál sonraí a cuireadh i gcontúirt a chur san áireamh agus measúnú á dhéanamh ar cibé an gcuirfear síntiúsóirí agus daoine aonair ar an eolas faoi, m.sh. más sonraí iad a bhaineann le heolas airgeadais, le sonraí ríomhphoist, le logchomhaid Idirlín, le stair brabhsála Gréasáin, srl.;
• sonraí faoin teagmhas, cineál na sonraí a bhí i gceist agus na bearta a cuireadh i bhfeidhm chun an cheist a réiteach a sholáthar don údarás ábhartha um chosaint sonraí agus/nó do na síntiúsóirí nó do na daoine aonair ábhartha.

CLÁSAIL CHONARTHACHA MAIDIR LE HAISTRIÚ SONRAÍ CHUIG TRÍÚ TÍORTHA

Cinneadh 2004/915/CE ón gCoimisiún an 27 Nollaig 2004 arna leasú Cinneadh2001/497/CE maidir le sraith mhalartach clásal conarthach a thionscnamh i dtaobh sonraí pearsanta a aistriú chuig tríú tíortha [Iris Oifigiúil L 385 an 29.12.2004]

Ghlac an Coimisiún le clásail chonarthacha nua ar féidir le fiontair iad a úsáid chun ráthaíochtaí leordhóthanacha a chinntiú maidir le sonraí pearsanta a aistriú ón AE go tríú tíortha. Cuirfear na clásail nua sin leis na clásail atá ann cheana faoi chuimsiú Chinneadh an Choimisiúin de Mheitheamh 2001 (féach thíos).

Cinneadh 2001/497/CE ón gCoimisiún an 15 Meitheamh 2001 maidir le clásail chonarthacha i dtaobh sonraí pearsanta a aistriú chuig tríú tír de dhroim na Treorach 95/46/CE [Iris Oifigiúil L 181 an 4.7.2001].

Sainíonn an Cinneadh seo clásail chonarthacha a chinntíonn leibhéal cosanta leordhóthanach do shonraí pearsanta a aistrítear ón AE chuig tríú tíortha. Leagann an Cinneadh síos mar oibleagáid do na Ballstáit, i gcás na gcomhlachtaí agus na n-eagraíochtaí a bhaineann úsáid as clásail den chineál sin i gconarthaí maidir le haistriú sonraí pearsanta chuig tríú tíortha, go ndéanfar “leibhéal cosanta leordhóthanach” do na sonraí a chinntiú.

Cinneadh 2010/87/AE ón gComhairle ar chlásail chonarthacha chaighdeánacha maidir le haistriú sonraí pearsanta chuig próiseálaithe bunaithe i dtríú tíortha faoi Threoir 95/46/CE ó Pharlaimint na hEorpa agus ón gComhairle [Iris Oifigiúil L 39, 12.02.2010]

Cinntí ón gComhairle ina bhfianaítear go bhfuil leibhéal dóthanach cosanta ann do na sonraí a sheoltar chuig roinnt thíortha tríú leibhéal ar bhonn Airteagail 25 (6): go dtí seo, aithnítear ag an gComhairle go soláthraítear cosaint dhóthanach sna tíortha seo: Andóra, an Airgintín, an Astráil, Ceanada (eagraíochtaí tráchtála), an Eilvéis, Oileáin Fharó, Geansaí, Iosrael, Manainn, Geirsí, an Nua-Shéalainn, Uragua agus Prionsabail um Príobháideacht Cuanta Sábháilte Roinn Tráchtála na Stát Aontaithe.

SONRAÍ A CHOSAINT AG INSTITIÚIDÍ AGUS AG COMHLACHTAÍ AN CHOMHPHOBAIL

Rialachán (CE) Uimh. 45/2001/CE ó Pharlaimint na hEorpa agus ón gComhairle an 18 Nollaig 2000 maidir le daoine a chosaint i dtaca le próiseáil sonraí pearsanta ag institiúidí agus ag comhlachtaí an Chomhphobail agus maidir le saorghluaiseacht sonraí [Iris Oifigiúil L 8 an 12.2.2001].

Is í aidhm an Rialacháin seo cosaint sonraí pearsanta a chinntiú faoi chuimsiú institiúidí agus comhlachtaí an Aontais Eorpaigh. Déanann an téacs foráil do:

• fhorálacha a ráthaíonn ardleibhéal cosanta do shonraí pearsanta a dhéanann institiúidí agus comhlachtaí an Chomhphobail a phróiseáil;
• chomhlacht faireachais neamhspleách a bhunú chun meastóireacht a dhéanamh ar chur chun feidhme na bhforálacha.

Nuashonraithe 08.03.2014