Nascleanúint
RGCS (GDPR) > Airteagal 33. Fógra a thabhairt don údarás maoirseachta faoi shárú i ndáil le sonraí pearsanta
Íoslódáil PDF

Airteagal 33 RGCS (GDPR). Fógra a thabhairt don údarás maoirseachta faoi shárú i ndáil le sonraí pearsanta

1. I gcás sárú i ndáil le sonraí pearsanta, tabharfaidh an rialaitheoir, gan aon mhoill mhíchuí agus, más féidir, tráth nach déanaí ná 72 uair tar éis dó bheith ar an eolas faoin sárú sin, fógra a thabhairt don údarás maoirseachta atá inniúil i gcomhréir le hAirteagal l55, mura rud é, nach dócha go mbeidh riosca ann, mar thoradh ar an sárú i ndáil le sonraí pearsanta, do chearta agus do shaoirsí daoine nádúrtha. Gabhfaidh na cúiseanna a bhí leis an mhoill leis an bhfógra don údarás maoirseachta i gcás nach dtugtar an fógra sin laistigh de 72 uair.

Téacsanna gaolmhara

2. Cuirfidh an próiseálaí an rialaitheoir ar an eolas gan mhoill mhíchuí a luaithe a thuigeann sé gur tharla sárú i ndáil le sonraí pearsanta.

3. Leis an bhfógra dá dtagraítear i mír 1, déanfar an méid seo a leanas ar a laghad:

(a) tabharfar tuairisc ar an gcineál sáraithe atá ann i ndáil le sonraí pearsanta, lena n-áirítear, nuair is féidir, na catagóirí agus neas-líon na n-ábhar sonraí lena mbaineann agus catagóirí agus neas-líon na dtaifead sonraí pearsanta lena mbaineann;

(b) cuirfear ainm agus sonraí teagmhála an oifigigh cosanta sonraí in iúl nó luafar pointe teagmhála eile ónar féidir tuilleadh eolais a fháil;

(c) tabharfar tuairisc ar iarmhairtí dóchúla an tsáraithe i ndáil le sonraí pearsanta; agus

(d) tabharfar tuairisc ar na bearta atá déanta ag an rialaitheoir nó atá beartaithe aige a dhéanamh le haghaidh a tbabhairt ar an sárú i ndáil le sonraí pearsanta, lena n-áirítear, i gcás inarb iomchuí, bearta chun aon éifeachtaí díobhálacha a d’fhéadfadh a bheith ag an sárú a mhaolú.

4. I gcás nach féidir, agus a mhéid nach féidir, an fhaisnéis a chur ar fáil ag an am céanna, féadfar an fhaisnéis a sholáthar i gcéimeanna gan tuilleadh moille míchuí.

5. Déanfaidh an rialaitheoir aon sáruithe i ndáil le sonraí pearsanta a dhoiciméadú, arb iad na fíricí a bhaineann leis an sárú i ndáil le sonraí pearsanta, na héifeachtaí a bhaineann leis agus na gníomhaíochtaí feabhais a rinneadh. Leis an doiciméadacht sin, cuirfear ar chumas an údaráis mhaoirseachta a fhíorú an bhfuil an tAirteagal seo á chomhlíonadh.

ISO 27701 Recitals Dlí Treoirlínte & Cásanna Leave a comment
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 33 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.

(EN) […]


to read the full text

Recitals

(75) Maidir leis na rioscaí i dtaca le cearta agus saoirsí daoine nádúrtha, ar rioscaí iad lena ngabhann dóchúlacht agus déine éagsúil, mar thoradh ar phróiseáil sonraí pearsanta as damáiste fisiciúil, ábhartha nó neamhábhartha, go háirithe sna cásanna seo a leanas: i gcás ina n-eascródh idirdhealú, goid aitheantais nó calaois aitheantais, caillteanas airgeadais, damáiste don chlú, caillteanas rúndacht na sonraí pearsanta sin atá faoi chosaint de réir rúndacht ghairmiúil, aisiompú neamhúdaraithe cur i bhfeidhm ainm bréige, nó aon mhíbhuntáiste eacnamaíoch nó sóisialta eile atá suntasach as an bpróiseáil; i gcás ina bhféadfadh sé go ndéanfaí cearta agus saoirsí na n-ábhar sonraí a cheilt orthu nó go gcoisfí iad ó rialú a dhéanamh ar fheidhmiú a gcuid sonraí pearsanta; i gcás ina ndéantar próiseáil ar shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, ballraíocht i gceardchumann, agus próiseáil sonraí géiniteacha, sonraí a bhaineann leis an tsláinte nó sonraí a bhaineann le saol gnéis nó le ciontuithe coiriúla agus cionta nó le bearta slándála gaolmhara; i gcás ina ndéantar meastóireacht ar ghnéithe pearsanta, go háirithe anailísiú nó tuar ar ghnéithe maidir le feidhmiú ag an obair, maidir leis an staid eacnamaíoch, sláinte, roghanna nó leas pearsanta, iontaofacht nó iompraíocht, suíomh nó gluaiseachtaí, chun próifílí pearsanta a chruthú nó a úsáid; i gcás ina ndéantar próiseáil ar shonraí pearsanta daoine nádúrtha leochaileacha, go háirithe leanaí; nó i gcás ina bhfuil cainníocht mhór sonraí pearsanta i gceist leis an bpróiseáil agus ina mbíonn tionchar ag an bpróiseáil sin ar líon mór ábhar sonraí.

(85) Mura dtéitear i ngleic le sárú i ndáil le sonraí pearsanta ar bhealach iomchuí tráthúil, d'fhéadfadh gurb é an toradh a bheadh air damáiste fisiciúil, ábhartha nó neamhabhartha do dhaoine nádúrtha amhail smacht ar a gcuid sonraí pearsanta a chailleadh, nó teorannú ar a gcearta, idirdhealú, goid aitheantais nó calaois aitheantais, caillteanas airgeadais, aisiompú neamhúdaraithe chur i bhfeidhm ainm bréige, damáiste don chlú, caillteanas rúndacht na sonraí pearsanta sin atá faoi chosaint de réir rúndacht ghairmiúil, nó aon mhíbhuntáiste eacnamaíoch nó sóisialta eile don duine nádúrtha lena mbaineann. Dá bhrí sin, a luaithe a bheidh an rialaitheoir ar an eolas faoi shárú a bheith déanta i ndáil le sonraí pearsanta, ba cheart don rialaitheoir fógra faoin sárú i ndáil le sonraí pearsanta a thabhairt don údarás maoirseachta, gan aon mhoill mhíchuí agus, i gcás inar féidir, tráth nach déanaí ná 72 uair an chloig tar éis dó nó di eolas a fháil ina leith, maidir leis an sárú i ndáil le sonraí pearsanta, ach amháin i gcás ina mbeidh an rialaitheoir in ann a thaispeáint, i gcomhréir le prionsabal na cuntasachta, nach dócha go mbeidh riosca ag gabháil leis an sárú i ndáil le sonraí pearsanta do chearta agus do shaoirsí daoine nádúrtha. I gcás nach féidir fógra den sórt sin a dhéanamh laistigh de 72 uair an chloig, ba cheart na cúiseanna leis an moill sin a chur leis an bhfógra, agus féadfar faisnéis a chur ar fáil i gcéimeanna gan tuilleadh moille míchuí.

(87) Ba cheart a fháil amach an ndearnadh na bearta iomchuí teicneolaíocha cosanta agus na bearta iomchuí eagraíochtúla uile a chur chun feidhme lena suí láithreach an ndearnadh sárú i ndáil le sonraí pearsanta agus chun an t-údarás maoirseachta agus an t-ábhar sonraí a chur ar an eolas go pras. Ba cheart a shuí gur tugadh fógra gan aon mhoill mhíchuí agus aird ar leith á tabhairt ar chineál agus ar thromaíocht an tsáraithe i ndáil le sonraí pearsanta agus ar na hiarmhairtí agus ar na héifeachtaí díobhálacha a bhaineann leis don ábhar sonraí. Féadfaidh idirghabháil ón údarás maoirseachta teacht as fógra den sórt sin i gcomhréir leis na cúraimí sin atá air agus leis na cumhachtaí sin atá aige a leagtar síos sa Rialachán seo.

(88) Agus rialacha mionsonraithe a bhaineann leis an bhformáid agus ne nósanna imeachta is infheidhme maidir le fógairt sáruithe i ndáil le sonraí pearsanta á leagan síos, ba cheart aird chuí a thabhairt ar na dálaí faoina ndearnadh an sárú sin, lena n-áirítear an raibh na sonraí pearsanta á gcosaint ag bearta iomchuí cosanta teicniúla, lenar cuireadh srian go héifeachtach leis an dóchúlacht go ndéanfaí calaois aitheantais nó go mbainfí mí-úsáid eile as na sonraí. Ina theannta sin, ba cheart a chur san áireamh i rialacha den sórt sin agus i nósanna imeachta den sórt sin leasanna dlisteanacha údarás forfheidhmithe dlí i gcás ina bhféadfadh fógairt luath cur isteach, gan chúis, ar an imscrúdú faoi dhálaí an tsáraithe i ndáil le sónraí pearsanta.

Dlí Treoirlínte & Cásanna Leave a comment
[js-disqus]