GDPR agus teachtaireachtaí gairmiúla: cén fáth go sáraíonn an chuid is mó na rialacha gan fios a bheith acu

An doiciméad a thaistealaíonn níos faide ná mar a shíleann tú

Cás laethúil: faigheann comhairleoir cánach doiciméad le sonraí cliaint trí theachtaireachtaí. Seolann díoltóir tairiscint ar aghaidh chuig comhghleacaí trí chomhrá. Roinneann dochtúir tuarascáil chliniciúil le comhpháirtí ar an mbealach céanna. Ní smaoiníonn aon duine faoi dhó. Tá sé gnáth. Tá sé áisiúil. Is é an rud a dhéantar gach lá i ngach oifig i ngach cathair san Eoraip.

Ach tá an doiciméad seo, i go leor cásanna, díreach tar éis taisteal chuig freastalaí sna Stáit Aontaithe. Tá sé stóráilte – fiú más go sealadach é, fiú má tá sé "criptithe ag an gcuid eile" – i scamall nach rialaíonn an gairmí ná a chliant. Tá sé tar éis dul trí chórais ar féidir leo meiteashonraí a bhaineann leis an ábhar a innéacsú go teicniúil. Agus tá rudaí go leor soiléire le rá ag an Rialachán Ginearálta maidir le Cosaint Sonraí san Eoraip faoi seo.

An rud a éilíonn an norm

Socraíonn GDPR – agus de réir sin dlí-eolaíocht Chúirt Bhreithiúnais an Aontais Eorpaigh (go háirithe rialú Schrems II, C-311/18, in 2020) – go gcaithfear sonraí pearsanta saoránach Eorpach a chosaint go hiomchuí. Má fhágann na sonraí seo an Limistéar Eacnamaíoch Eorpach, caithfidh an rialaitheoir sonraí a ráthú go dtairgeann an faighteoir leibhéal cosanta atá "comhionann go substaintiúil" leis an leibhéal Eorpach. Go praiticiúil, ciallaíonn sé seo gur féidir gur sárú ar an rialachán é sonraí cliaint a sheoladh trí sheirbhísí a bhfuil a bhfreastalaithe faoi dhlínse na SA, gan measúnú tionchair a dhéanamh agus gan ráthaíochtaí forlíontacha a chur i bhfeidhm – clásail chonarthacha chaighdeánacha, bearta teicniúla breise cosúil le criptiú in-fhaofa, srl. Fiú mura bhfuil aon rud ráite ag aon duine go dtí seo.

Agus ní faoi ábhar na dteachtaireachtaí amháin atá sé. Is sonraí pearsanta iad meiteashonraí freisin – cé a sheolann cad chuig cé, cathain, cé chomh minic, cá as – de réir na rialachán, de réir léirmhíniú athuair an Bhoird Eorpaigh um Chosaint Sonraí. Déanann seirbhís a bhailíonn meiteashonraí ó chumarsáid ghairmiúil úsáideora sonraí pearsanta chliaint an úsáideora sin a phróiseáil, gan eolas acu air nó gan aon toiliú a thabhairt do phróiseáil den sórt sin.

Tá an gnáthscéim smaointeoireachta – "ní úsáidim an aip ach le haghaidh scríbhneoireachta; ní soláthraí sonraí mo chliaint í an aip" – mícheart go dlíthiúil. Má théann sonraí an chliaint trí bhonneagar tríú páirtí, tá an tríú páirtí sin ag próiseáil na sonraí sin. Agus má phróiseálann sé iad, caithfidh bunús dlí, conradh próiseála sonraí agus ráthaíochtaí iomchuí a bheith ann.

Cé atá freagrach

Ní ceist acadúil í an cheist faoi cé a iompraíonn an fhreagracht dhlíthiúil. Déanann GDPR idirdhealú idir an rialaitheoir sonraí (cé a chinneann cad iad na sonraí a phróiseáiltear agus chun cén críche) agus an próiseálaí (cé a dhéanann é sin go hábhartha thar ceann an rialaitheora). Is é an gairmí a sheolann doiciméid cliaint an rialaitheoir sonraí. Is é soláthraí na haipe teachtaireachtaí i go leor cásanna an próiseálaí de facto. Gan conradh próiseála – agus gan an chuid is mó de na clásail ba chóir a bheith i gconradh den sórt sin – níl a oibleagáid comhlíonta ag an rialaitheoir.

Is é an léirmhíniú bog ná: "níl a fhios ag formhór na ngairmithe é seo". Is é an léirmhíniú crua ná: "ní leithscéal é aineolas an dlí". Agus is é léirmhíniú aon dlíodóra speisialaithe i gcosaint sonraí a n-iarrtar a chomhairle air maidir leis seo de ghnáth an ceann crua.

Cé dó a bhfuil sé seo tábhachtach go coincréiteach

Do gach gairmí nó cuideachta a oibríonn, fiú go hócáideach, le faisnéis phearsanta tríú páirtithe:

• Dlíodóirí a fhaigheann doiciméadú cliaint (conarthaí, cásanna dlí, dearbhuithe, tuarascálacha maoine).
• Dochtúirí agus gairmithe sláinte eile a roinneann sonraí sláinte – a mheastar faoi Airticil 9 de GDPR mar chatagóirí speisialta le córas cosanta treisithe.
• Comhairleoirí cánach agus bainisteoirí riaracháin a oibríonn le sonraí aitheantais, cánach agus bainc.
• Ranna acmhainní daonna a bhainistíonn doiciméadú oibre agus pearsanta fostaithe.
• Ionadaithe tráchtála a fhaigheann sonraí teagmhála agus go minic faisnéis ghnó íogair ó ionchais agus ó chliaint.

I ngach cás tá an fhaisnéis cosanta ag GDPR. I ngach cás, i gnáthchleachtas, sreabhann an fhaisnéis seo trí chainéil nach gceadaíonn a dhlínse iad a dhearbhú mar "comhionann go substaintiúil" leis an gcreat Eorpach gan ráthaíochtaí breise. Ní as drochmheon. Amach as gnáthamh. Agus mar gheall ar bhonneagar teicneolaíochta a chuir an áisiúlacht roimh an gcomhlíonadh le cúig bliana déag anuas.

An argóint "déanann gach duine é"

Is críonna an mhaise é an agóid is coitianta a réamh-mheas: "má dhéanann gach duine é, ní féidir gur fíorfhadhb í". Is argóint í atá intuigthe go hiomlán agus go dlíthiúil níl aon neart aici. Ní chiallaíonn an fhíric go bhfuil cleachtas forleathan go bhfuil sé ag teacht leis an rialachán. Tá pionóis curtha i bhfeidhm ag údaráis cosanta sonraí le blianta beaga anuas ar chuideachtaí éagsúla go díreach mar gheall ar bhealaí úsáide teachtaireachtaí a raibh cuma neamhdhíobhálach orthu go dtí tráth an iniúchta.

Is é an réaltacht oibriúcháin reatha ná go bhfuil an riosca íseal ó thaobh dóchúlachta de – is annamh a dhéanann iniúchadh ón Údarás uirlisí teachtaireachtaí sonracha oifige meánmhéide a iniúchadh – ach ard ó thaobh tionchair de má tharlaíonn sé. Is riosca é a ghlacann an chuid is mó gan fios a bheith acu go bhfuil siad á ghlacadh. Is é sin, gan measúnú a dhéanamh an bhfuil an uirlis a úsáidtear ag teacht le freagracht dhlíthiúil an rialaitheora sonraí.

Tá éifeacht chúlghabhálach ag rianta digiteacha

Tá dara hargóint ann, beagnach siméadrach leis an gceann roimhe seo, ar fiú é a réamh-mheas: "dá mba fhadhb thromchúiseach í seo, bheadh an riarachán tosaithe cheana féin ag déanamh monatóireachta air". Tugann an réaltacht reatha a breathnaíodh ceart dromchlach dó. Is beag iniúchtaí mar gheall ar úsáid mhíchuí teachtaireachtaí i gcuideachtaí beaga agus go háirithe ag daoine féinfhostaithe inniu – ní toisc go bhfuil an t-iompar ceadaithe, ach toisc nach bhfuil na hacmhainní daonna riachtanach ag an riarachán in Éirinn agus i gcuid mhór den AE chun iniúchadh a dhéanamh ar na milliúin eintiteas atá faoi oibleagáid.

Is é sin a thugann an cleachtas a breathnaíodh inniu le fios. Ach ní hé sin a thugann an chéad deich mbliana eile le fios. Tá dhá veicteoir ag teacht le chéile chun an t-iarmhéid a athrú i dtréimhsí réasúnta gearr.

Ar an gcéad dul síos: tá éifeacht chúlghabhálach ag rianta digiteacha. Fanann gach teachtaireacht a sheoltar trí aip a bhfuil freastalaí lárnach aici cláraithe – i meiteashonraí ar a laghad – i mbonneagar a mhaireann. Tá an méid a seoladh sé mhí ó shin fós in-iniúchta go teicniúil inniu. Beidh an méid a sheoltar inniu in-iniúchta i gceann cúig bliana fós. Ní ráthaíocht é easpa iniúchta san am i láthair maidir le heaspa iniúchta sa todhchaí. Is cur siar ar an measúnú é, ní saoradh uaidh.

Ar an dara dul síos: fásfaidh an cumas iniúchta riaracháin go gasta. Cuireann tabhairt isteach uirlisí intleachta saorga i bpróisis rialaithe deireadh leis an mbac daonna a chosain cuideachtaí beaga agus daoine féinfhostaithe go dtí seo (go de facto, ní go de jure). Ní gá cigirí a bheith ag córas atá in ann ollmhéideanna meiteashonraí, tuairisceáin chánach, cláir tráchtála agus oibleagáidí fógartha sáruithe slándála a thras-seiceáil: teastaíonn rochtain uaidh. Agus tá an rochtain trí iarratais chuig soláthraithe a bhfuil láithreacht dhlíthiúil acu san AE laistigh den chreat normatach reatha indéanta go hiomlán.

Leis seo cuirtear fachtóir níos lú teicniúil ach chomh cinntitheach céanna: tá tíortha na hEorpa i bpróiseas féich atá ag méadú de shíor agus caithfidh siad, beagnach gan eisceacht, a mbonn cánach a leathnú. Is foinse ioncaim atá ag fás agus atá áisiúil go polaitiúil í an smachtbhanna riaracháin a eascraíonn as neamh-chomhlíonadh GDPR, i dtéarmaí fioscacha amháin. Ní toimhde é seo: is treocht í is féidir a bhreathnú i dtuarascálacha bliantúla údaráis cosanta sonraí na hEorpa, áit a bhfuil méid iomlán na smachtbhannaí ag ardú le roinnt blianta fioscacha as a chéile.

Ní scanrúil ach sollúnta an chonclúid oibríochta don rialaitheoir sonraí: déantar an cinneadh faoi conas a bhainistítear cumarsáid le cliaint inniu a mheas i gcoinne cumas iniúchta na bliana ina dtagann an t-iniúchadh, ní i gcoinne an chumais reatha. Agus beidh an cumas sin, laistigh de thréimhse réasúnta, difriúil go mór ón gceann atá inniu ann. Ní hamháin go mbeidh an té a thosóidh ag déanamh rudaí i gceart inniu go maith as inniu: beidh an rian a ghinfear ón nóiméad seo ar aghaidh ag teacht leis an norm, agus cosnaíonn sé sin an tréimhse amach romhainn go cúlghabhálach. An té a leanann ar aghaidh mar a bhí roimhe, carnfaidh sé rian in-iniúchta a ndéanfar a chomhlíonadh a mheas de réir chaighdeáin – agus acmhainní – na mblianta atá le teacht.

Cad a athraíonn le hailtireacht dhifriúil

Tá roghanna eile teicniúla ann nach stóráiltear na sonraí i mbonneagar tríú páirtithe, ach ina thaistealaíonn siad go díreach ó ghléas an tseoltóra go gléas an fhaighteora. San ailtireacht seo, ní bhraitheann comhlíonadh GDPR maidir le haistrithe idirnáisiúnta ar chlásail chonarthacha chaighdeánacha, ná ar dhea-thoil an tsoláthraí, ná ar iniúchtaí amach anseo. Braitheann sé ar an bhfíric go bhfuil nach bhfuil aon aistriú ann. Agus an rud nach bhfuil ann ní féidir é a shárú.

Ní hé seo an t-aon réiteach amháin ná an t-aon réiteach is féidir. Ach tá sé difriúil ó thaobh struchtúir de, agus scoirfidh comhlíonadh normatach de bheith ina iarscríbhinn próisis agus éiríonn sé ina thoradh díreach ar an dearadh. I gcás gairmí a ghlacann go dáiríre lena fhreagracht mar rialaitheoir sonraí, tá tábhacht leis an difríocht sin.

---

Déanfaidh an chéad eagrán eile de Cuadernos anailís mhionsonraithe ar rialú Schrems II agus na himpleachtaí praiticiúla atá aige do chuideachtaí beaga agus meánmhéide atá ag brath ar sheirbhísí scamall na SA, cúig bliana tar éis a fhoilsithe.