Tuilleadh
Nascleanúint
(1-4)
Airteagal 1. Ábhar agus cuspóiríAirteagal 2. Raon feidhme ábharthaAirteagal 3. Raon feidhme críochachAirteagal 4. Sainmhínithe
CAIBIDIL II Prionsabail (5-11)
Airteagal 5. Prionsabail a bhaineann le próiseáil sonraí pearsantaAirteagal 6. Dleathacht na próiseálaAirteagal 7. Coinníollacha maidir le toiliúAirteagal 8. Na coinníollacha is infheidhme maidir le toiliú linbh i dtaca le seirbhísí na sochaí faisnéiseAirteagal 9. Catagóirí speisialta sonraí pearsanta a phróiseáilAirteagal 10. Sonraí pearsanta a bhaineann le ciontuithe coiriúla agus coireanna a phróiseáilAirteagal 11. Próiseáil nach ngabhann ceanglas sainaitheanta léi
CAIBIDIL III Cearta an ábhair sonraí (12-23)
Airteagal 12. Faisnéis thrédhearcach, cumarsáid agus módúlachtaí i dtaca le feidhmiú chearta an ábhair sonraíAirteagal 13. An fhaisnéis a bheidh le soláthar i gcás go mbailítear sonraí ón ábhar sonraíAirteagal 14. An fhaisnéis a bheidh le soláthar i gcás nár bailíodh na sonraí ón ábhar sonraíAirteagal 15. Ceart rochtana don ábhar sonraíAirteagal 16. An ceart go ndéanfaí ceartúcháinAirteagal 17. An ceart go ndéanfaí léirscriosadh (“an ceart go ndéanfaí ligean i ndearmad”)Airteagal 18. An ceart go gcuirfí srian le próiseáilAirteagal 19. An oibleagáid fógra a thabhairt go ndearnadh sonraí pearsanta a cheartú nó a léirscriosadh nó próiseáil a shrianadhAirteagal 20. An ceart chun iniomparthacht sonraíAirteagal 21. An ceart chun agóid a dhéanamhAirteagal 22. Cinnteoireacht aonair uathoibrithe, lena n-áirítear próifíliúAirteagal 23. Srianta
CAIBIDIL IV Rialaitheoir agus próiseálaí (24-43)
Airteagal 24. Ábhar agus cuspóiríAirteagal 25. Cosaint sonraí trí dhearadh agus mar réamhshocrúAirteagal 26. Rialaitheoirí comhpháirteachaAirteagal 27. Ionadaithe do rialaitheoirí nódo phróiseálaithe nach bhfuil bunaithe san AontasAirteagal 28. An próiseálaíAirteagal 29. Próiseáil faoi údarás an rialaitheora nó an phróiseálaíAirteagal 30. Taifid de ghníomhaíochtaí próiseálaAirteagal 31. Comhar leis an údarás maoirseachtaAirteagal 32. Slándáil na próiseálaAirteagal 33. Fógra a thabhairt don údarás maoirseachta faoi shárú i ndáil le sonraí pearsanta
Airteagal 34. Sárú i ndáil le sonraí pearsanta a chur in iúl don ábhar sonraí
Airteagal 35. Measúnú tionchair ar chosaint sonraíAirteagal 36. RéamhchomhairliúchánAirteagal 37. An t-oifigeach cosanta sonraí a ainmniúAirteagal 38. Post an oifigigh cosanta sonraíAirteagal 39. Cúraimí an oifigigh cosanta sonraíAirteagal 40. Cóid iompairAirteagal 41. Faireachán a dhéanamh ar chóid fhormheasta iompairAirteagal 42. DeimhniúAirteagal 43. Comhlachtaí deimhniúcháin
CAIBIDIL V Aistrithe sonraí pearsanta go tríú tíortha nó go heagraíochtaí idirnáisiúnta (44-50)
Airteagal 44. Prionsabal ginearálta maidir le haistritheAirteagal 45. Aistrithe ar bhonn cinneadh leordhóthanachtaAirteagal 46. Aistrithe faoi réir coimircí iomchuíAirteagal 47. Rialacha ceangailteacha corporáideachaAirteagal 48. Aistrithe nó nochtadh sonraí nach bhfuil údaraithe le dlí an AontaisAirteagal 49. Maoluithe i gcásanna sonrachaAirteagal 50. Comhar idirnáisiúnta chun sonraí pearsana a chosaint
CAIBIDIL VI Údaráis mhaoirseachta neamhspleácha (51-59)
Airteagal 51. An t-údarás maoirseachtaAirteagal 52. NeamhspleáchasAirteagal 53. Coinníollacha ginearálta do chomhaltaí an údaráis mhaoirseachtaAirteagal 54. Rialacha maidir leis an údarás maoirseachta a bhunúAirteagal 55. InniúlachtAirteagal 56. Inniúlacht an príomhúdaráis mhaoirseachtaAirteagal 57. CúraimíAirteagal 58. CumhachtaíAirteagal 59. Tuarascálacha ar ghníomhaíochtaí
CAIBIDIL VII Comhar agus comhsheasmhacht (60-70)
Airteagal 60. Comhar idir an príomhúdarás maoirseachta agus na húdaráis mhaoirseachta eile lena mbaineannAirteagal 61. Cúnamh frithpháirteachAirteagal 62. Oibríochtaí comhpháirteacha na n-údarás maoirseachtaAirteagal 63. An sásra comhsheasmhachtaAirteagal 64. Tuairim an BhoirdAirteagal 65. Réiteach díospóide ag an mBord Eorpach um Chosaint SonraíAirteagal 66. Nós imeachta práinneAirteagal 67. Malartú faisnéiseAirteagal 68. An Bord Eorpach um Chosaint SonraíAirteagal 69. NeamhspleáchasAirteagal 70. Cúraimí an Bhoird Eorpaigh um Chosaint SonraíAirteagal 71. TuarascálachaAirteagal 72. Nós imeachtaAirteagal 73. CathaoirleachAirteagal 74. Cúraimí an ChathaoirlighAirteagal 75. An RúnaíochtAirteagal 76. Rúndacht
CAIBIDIL VIII Leigheasanna, dliteanas agus pionóis (77-84)
Airteagal 77. An ceart chun gearán a thaisceadh le húdarás maoirseachtaAirteagal 78. An ceart chun leigheas breithiúnach éifeachtach a fháil i gcoinne údarás maoirseachtaAirteagal 79. An ceart chun leigheas breithiúnach éifeachtach a fháil i gcoinne rialaitheoir nó próiseálaíAirteagal 80. Ionadaíocht d'ábhair sonraíAirteagal 81. Imeachtaí a chur ar fionraíAirteagal 82. An ceart chun cúiteamh a fháil agus dliteanasAirteagal 83. Coinníollacha ginearálta maidir le fíneálacha riaracháin a ghearradhAirteagal 84. Pionóis
CAIBIDIL IX Forálacha a bhaineann le cásanna sonracha próiseála (85-91)
Airteagal 85. Próiseáil agus saoirse chun tuairimí a nochtadh agus faisnéis a fháilAirteagal 86. Próiseáil agus rochtain phoiblí ar dhoiciméid oifigiúlaAirteagal 87. An uimhir aitheantais náisiúnta a phróiseáilAirteagal 88. Próiseáil i gcomhthéacs na fostaíochtaAirteagal 89. Coimircí agus maoluithe i ndail le próiseáil chun críocha cartlannú a dhéanamh ar mhaithe le leas an phobail, chun críocha taighde eolaíoch nó stairiúil nó chun críocha staidrimhAirteagal 90. Oibleagáidí rúndachtaAirteagal 91. Rialacha cosanta sonraí atá ag eaglaisí agus comhlachais reiligiúnacha cheana
CAIBIDIL X Gníomhartha tarmligthe agus gníomhartha cur chun feidhme (92-93)
Airteagal 92. An tarmligean a fheidhmiúAirteagal 93. An nós imeachta coiste
CAIBIDIL XI Forálacha críochnaitheacha (94-95)
Airteagal 94. Treoir 95/46/CE a aisghairmAirteagal 95. An gaol le Treoir 2002/58/CEAirteagal 96. An gaol le Comhaontuithe a tugadh i gcrích roimhe seoAirteagal 97. Tuarascálacha ón gCoimisiúnAirteagal 98. Athbhreithniú a dhéanamh ar ghníomhartha dlí eile de chuid an Aontais maidir le cosaint sonraíAirteagal 99. Teacht i bhfeidhm agus cur i bhfeidhm
RGCS (GDPR) > Airteagal 34. Sárú i ndáil le sonraí pearsanta a chur in iúl don ábhar sonraí
Íoslódáil PDF

Airteagal 34 RGCS (GDPR). Sárú i ndáil le sonraí pearsanta a chur in iúl don ábhar sonraí

Article 34 GDPR. Communication of a personal data breach to the data subject

1. I gcás sárú i ndáil le sonraí pearsanta ar dóchúil go mbeadh ardriosca ann dá bharr do chearta agus do shaoirsí daoine nádúrtha, cuirfidh an rialaitheoir in iúl don ábhar sonraí, gan mhoill mhíchuí, gur tharla an sárú sin.

1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

2. Nuair a chuirtear in iúl don ábhar sonraí gur tharla sárú, mar a thagraítear dó i mír 1 den Airteagal seo, tabharfar tuairisc i bhfriotal soiléir, follasach, ar chineál an tsáraithe i ndáil le sonraí pearsanta lena n-áirítear ar a laghad an fhaisnéis agus na bearta dá dtagraítear i bpointe (b), i bpointe (c) agus i bpointe (d) d’Airteagal 33(3).

2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points (b), (c) and (d) of Article 33(3).

Téacsanna gaolmhara
Téacsanna gaolmhara

3. Ní bheidh gá leis an eolas sin a chur in iúl mar a thagraítear dó i mír 1 má chomhlíontar aon cheann de na coinníollacha seo a leanas:

3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met:

(a) go bhfuil bearta iomchuí cosanta, idir theicneolaíoch agus eagraíochtúil, curtha chun feidhme ag an rialaitheoir agus gur cuireadh na bearta sin i bhfeidhm maidir leis na sonraí pearsanta a raibh tionchar ag an sárú i ndáil le sonraí pearsanta orthu, go háirithe na bearta sin a fhágann nach mbeidh duine ar bith nach bhfuil údaraithe chun rochtain a fháil ar na sonraí pearsanta in ann iad a thuiscint, amhail criptiú;

(a) the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;

(b) gur ghlac an rialaitheoir bearta ina dhiaidh sin lena n-áiritheofaí nach móide go dtarlódh an t-ardriosca do chearta ná do shaoirsí na n-ábhar sonraí mar a thagraítear dó i mír 1 a thuilleadh; nó

(b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;

(c) go mbeadh iarracht neamhréireach ag teastáil chuige. I gcás den sórt sin, eiseofar teachtaireacht phoiblí nó glacfar beart atá comhchosúil leis trína dtabharfar fógra do na hábhar sonraí ar bhealach atá chomh héifeachtúil céanna.

(c) it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

4. Más rud é nár chuir an rialaitheoir in iúl fós an sárú i ndáil le sonraí pearsanta don ábhar sonraí, féadfaidh an t-údarás maoirseachta, tar éis breithniú a dhóchúla atá sé go dtarlódh ardriosca de bharr an tsáraithe i dtaca le sonraí pearsanta, a cheangal air é a chur in iúl nó féadfaidh sé a chinneadh go bhfuil aon cheann de na coinníollacha dá dtagraítear i mír 3 á chomhlíonadh.

4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

An Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Recitals Dlí Treoirlínte & Cásanna Leave a comment
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.

(EN) […]


to read the full text

Recitals

(75) Maidir leis na rioscaí i dtaca le cearta agus saoirsí daoine nádúrtha, ar rioscaí iad lena ngabhann dóchúlacht agus déine éagsúil, mar thoradh ar phróiseáil sonraí pearsanta as damáiste fisiciúil, ábhartha nó neamhábhartha, go háirithe sna cásanna seo a leanas: i gcás ina n-eascródh idirdhealú, goid aitheantais nó calaois aitheantais, caillteanas airgeadais, damáiste don chlú, caillteanas rúndacht na sonraí pearsanta sin atá faoi chosaint de réir rúndacht ghairmiúil, aisiompú neamhúdaraithe cur i bhfeidhm ainm bréige, nó aon mhíbhuntáiste eacnamaíoch nó sóisialta eile atá suntasach as an bpróiseáil; i gcás ina bhféadfadh sé go ndéanfaí cearta agus saoirsí na n-ábhar sonraí a cheilt orthu nó go gcoisfí iad ó rialú a dhéanamh ar fheidhmiú a gcuid sonraí pearsanta; i gcás ina ndéantar próiseáil ar shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, ballraíocht i gceardchumann, agus próiseáil sonraí géiniteacha, sonraí a bhaineann leis an tsláinte nó sonraí a bhaineann le saol gnéis nó le ciontuithe coiriúla agus cionta nó le bearta slándála gaolmhara; i gcás ina ndéantar meastóireacht ar ghnéithe pearsanta, go háirithe anailísiú nó tuar ar ghnéithe maidir le feidhmiú ag an obair, maidir leis an staid eacnamaíoch, sláinte, roghanna nó leas pearsanta, iontaofacht nó iompraíocht, suíomh nó gluaiseachtaí, chun próifílí pearsanta a chruthú nó a úsáid; i gcás ina ndéantar próiseáil ar shonraí pearsanta daoine nádúrtha leochaileacha, go háirithe leanaí; nó i gcás ina bhfuil cainníocht mhór sonraí pearsanta i gceist leis an bpróiseáil agus ina mbíonn tionchar ag an bpróiseáil sin ar líon mór ábhar sonraí.

(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может повлечь физический, материальный или моральный вред физическим лицам, как, например, потеря контроля над их персональными данными или ограничение их прав, дискриминация, кража личности или ее мошенническое использование, финансовые потери, несанкционированная повторная идентификация псевдонимизированных данных, ущерб репутации, нарушение конфиденциальности персональных данных, защищенных профессиональной тайной, или любой другой значительный экономический или социальный вред, нанесенный физическому лицу. Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц. В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной задержки.

(86) Ba cheart don rialaitheoir sárú i ndáil le sonraí pearsanta a chur in iúl don ábhar sonraí, gan aon mhoill mhíchuí, nuair is dócha go mbeadh ardriosca do chearta agus do shaoirsí an duine nádúrtha ag gabháil leis an sárú sin i ndáil le sonraí pearsanta, ionas go bhféadfaidh sé nó sí na réamhchúraimí is gá a dhéanamh. Sa chumarsáid, ba cheart tuairisc a thabhairt ar chineál an tsáraithe i ndáil le sonraí pearsanta chomh maith le moltaí a thabhairt don duine nádúrtha lena mbaineann aon éifeachtaí díobhálacha a d'fhéadfadh a bheith ag gabháil leis an sárú a mhaolú. Ba cheart cumarsáidí den sórt sin a dhéanamh leis na hábhair sonraí chomh luath agus is féidir agus i ndlúthchomhar leis an údarás maoirseachta, agus urramú á thabhairt an t-am céanna do threoraíocht a thugann an t-údarás maoirseachta nó a thugann údaráis ábhartha eile amhail údaráis formfheidhmithe dlí. Mar shampla, maidir leis an ngá atá ann riosca láithreach go ndéanfaí damáiste a mhaolú, d'éileofaí cumarsáid a dhéanamh leis na hábhair sonraí go pras ach maidir leis an ngá bearta iomchuí a chur chun feidhme i gcoinne sáruithe leanúnacha i ndáil le sonraí pearsanta nó i gcoinne sáruithe comhchosúla i ndáil le sonraí pearsanta, féadfaidh bonn cirt a bheith ag baint le níos mó ama don chumarsáid.

(86) The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication.

(87) Ba cheart a fháil amach an ndearnadh na bearta iomchuí teicneolaíocha cosanta agus na bearta iomchuí eagraíochtúla uile a chur chun feidhme lena suí láithreach an ndearnadh sárú i ndáil le sonraí pearsanta agus chun an t-údarás maoirseachta agus an t-ábhar sonraí a chur ar an eolas go pras. Ba cheart a shuí gur tugadh fógra gan aon mhoill mhíchuí agus aird ar leith á tabhairt ar chineál agus ar thromaíocht an tsáraithe i ndáil le sonraí pearsanta agus ar na hiarmhairtí agus ar na héifeachtaí díobhálacha a bhaineann leis don ábhar sonraí. Féadfaidh idirghabháil ón údarás maoirseachta teacht as fógra den sórt sin i gcomhréir leis na cúraimí sin atá air agus leis na cumhachtaí sin atá aige a leagtar síos sa Rialachán seo.

(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

(88) Agus rialacha mionsonraithe a bhaineann leis an bhformáid agus ne nósanna imeachta is infheidhme maidir le fógairt sáruithe i ndáil le sonraí pearsanta á leagan síos, ba cheart aird chuí a thabhairt ar na dálaí faoina ndearnadh an sárú sin, lena n-áirítear an raibh na sonraí pearsanta á gcosaint ag bearta iomchuí cosanta teicniúla, lenar cuireadh srian go héifeachtach leis an dóchúlacht go ndéanfaí calaois aitheantais nó go mbainfí mí-úsáid eile as na sonraí. Ina theannta sin, ba cheart a chur san áireamh i rialacha den sórt sin agus i nósanna imeachta den sórt sin leasanna dlisteanacha údarás forfheidhmithe dlí i gcás ina bhféadfadh fógairt luath cur isteach, gan chúis, ar an imscrúdú faoi dhálaí an tsáraithe i ndáil le sónraí pearsanta.

(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

Dlí Treoirlínte & Cásanna Leave a comment
[js-disqus]