(EN) WP29, Guidelines on consent under Regulation 2016/679 (2018).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
1. Ní bheidh an phróiseáil dleathach ach amháin má tá feidhm, agus a mhéid atá feidhm, le ceann díobh seo a leanas ar a laghad:
(a) tá toiliú tugtha ag an ábhar sonraí a shonraí pearsanta nó a sonraí pearsanta a phróiseáil chun ceann amháin nó níos mó de chríocha sonracha;
(b) is gá an phróiseáil a dhéanamh chun conradh ar páirtí ann an t-ábhar sonraí a chomhlíonadh nó chun bearta a dhéanamh arna iarraidh sin ag an ábhar sonraí sula ndéanfaidh sé nó sí conradh;
(EN) EDPB, Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects (2019).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
Payment services are always provided on a contractual basis between the payment services user and the payment services provider.
Controllers have to assess what processing of personal data is objectively necessary to perform the contract. Justification of the necessity is dependent on:
- the nature of the service;
- the mutual perspectives and expectations of the parties to the contract;
- the rationale of the contract; and
- the essential elements of the contract.
The controller should be able to demonstrate how the main object of the specific contract with the data subject cannot be performed if the specific processing of the personal data in question does not occur. Merely referencing or mentioning data processing in a contract is not enough to bring the processing in question within the scope of Article 6(1)(b) of the GDPR.
(c) is gá an phróiseáil a dhéanamh chun oibleagáid dhlíthiúil a bhfuil an rialaitheoir faoina réir a chomhlíonadh;
(45) I gcás ina ndéantar próiseáil i gcomhréir le hoibleagáid dhlíthiúil a bhfuil an rialaitheoir faoina réir nó i gcás ina bhfuil gá le próiseáil chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil, ba cheart bunús a bheith ag an bpróiseáil i ndlí an Aontais nó i ndlí Ballstáit. Ní cheanglaítear leis an Rialachán seo dlí sonrach a bheith ann do gach próiseáil ar leith. D'fhéadfadh sé gur leor dlí mar bhunús d'oibríochtaí éagsúla próiseála ar bhonn oibleagáid dhlíthiúil a bhfuil an rialaitheoir faoina réir nó nuair is gá an phróiseáil a dhéanamh chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil. Ba cheart freisin gur faoi dhlí an Aontais nó faoi dhlí Ballstáit a bheadh sé críoch na próiseála a chinneadh. Thairis sin, d'fhéadfadh an dlí sin coinníollacha ginearálta an Rialacháin seo a shonrú lena rialaítear dlíthiúlacht na próiseála sonraí pearsanta, na sonraíochtaí a bhunú lena gcinntear an rialaitheoir, cineál na sonraí pearsanta atá faoi réir na próiseála, na hábhair sonraí lena mbaineann, na heintitis a bhféadfar na sonraí pearsanta a nochtadh dóibh, na teorannuithe de réir cuspóra, an tréimhse stórála agus bearta eile chun próiseáil dhleathach chothrom a áirithiú. Ba cheart gur faoi dhlí an Aontais nó faoi dhlí Ballstáit a bheadh sé cinneadh a dhéanamh freisin maidir le cé acu ar cheart don rialaitheoir a chuireann cúram i gcrích ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil a bheith mar údarás poiblí nó mar dhuine nádúrtha nó dlítheanach eile a rialaítear faoin dlí poiblí, nó, i gcás inarb é ar mhaithe le leas an phobail déanamh amhlaidh, lena n-áirítear chun críocha sláinte, amhail sláinte phoiblí agus cosaint shóisialta agus bainistiú seirbhísí cúraim sláinte, faoin dlí príobháideach, amhail comhlachas gairmiúil.
(d) is gá an phróiseáil a dhéanamh chun leasanna ríthábhachtacha an ábhair sonraí nó duine nádúrtha eile a chosaint;
(46) Ba cheart a mheas go bhfuil próiseáil sonraí pearsanta dleathach freisin nuair is gá é a dhéanamh chun leas a chosaint ar leas é atá riachtanach do shaol an ábhair sonraí nó do shaol duine nádúrtha eile. Níor cheart sonraí pearsanta a phróiseáil ach ar bhonn leas ríthábhachtach duine nádúrtha eile i bprionsabal i gcás nach bhféadfar an phróiseáil a bhunú go follasach ar bhunús dlí eile. Le roinnt cineálacha próiseála, d'fhéadfaí fónamh do leas tábhachtach an phobail agus do leasanna ríthábhachtacha an ábhair sonraí araon, mar shampla nuair is gá an phróiseáil a dhéanamh chun críocha daonnúla, lena n-áirítear chun faireachán a dhéanamh ar eipidéimí agus ar a leathadh nó i gcásanna éigeandálaí daonnúla, go háirithe i gcásanna tubaistí nádúrtha agus tubaistí de dhéantús an duine.
(e) is gá an phróiseáil a dhéanamh chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil atá dílsithe don rialaitheoir;
(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
(115) Glacann roinnt tríú tíortha dlíthe, rialacháin agus gníomhartha dlí eile a cheaptar le gníomhaíochtaí próiseála sonraí daoine nádúrtha agus daoine dlítheanacha a rialáil go díreach faoi dhlínse na mBallstát. D'fhéadfaí a áireamh leis sin breithiúnais ó chúirteanna nó ó bhinsí nó cinntí ó údaráis riaracháin i dtríú tíortha lena gceanglaítear ar rialaitheoir nó ar phróiseálaí sonraí pearsanta a aistriú nó a nochtadh, agus nach bhfuil bunaithe ar chomhaontú idirnáisiúnta, amhail conradh ar chúnamh dlíthiúil frithpháirteach, i bhfeidhm idir an tríú tír iarrthach agus an tAontas nó Ballstát. D'fhéadfadh sé go sárófaí dlí idirnáisiúnta dá gcuirfí na dlíthe, na rialacháin agus na gníomhartha dlí eile sin i bhfeidhm lasmuigh de dhlínse na dtíortha sin agus d'fhéadfadh sé cur isteach ar an gcosaint do dhaoine nádúrtha a áirithítear san Aontas leis an Rialachán seo. Níor cheart aistrithe a cheadú ach i gcás ina gcomhlíontar coinníollacha an Rialacháin seo maidir le haistrithe chuig tríú tíortha. Féadfaidh an cás a bheith amhlaidh, inter alia, má tá gá leis an nochtadh ar fhoras tábhachtach leasa phoiblí a aithnítear i ndlí an Aontais nó i ndlí Ballstáit a bhfuil an rialaitheoir faoina réir.
(f) is gá an phróiseáil a dhéanamh chun críocha na leasanna dlisteanacha atá á saothrú ag an rialaitheoir nó ag tríú páirtí, seachas i gcás ina mbeidh sáraíocht ag na leasanna sin ar leasanna nó ar chearta bunúsacha agus ar shaoirsí bunúsacha an ábhair sonraí, lena gceanglaítear go ndéanfar sonraí pearsanta a chosaint, go háirithe más leanbh é an t-ábhar sonraí.
(EN)
WP29, Opinion on the «Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC» (2014).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020):
44. For what concerns the legitimate interest lawful basis, the EDPB recalls that in Fashion ID, the CJEU reiterated that in order for processing to rely on the legitimate interest, three cumulative conditions should be met, namely
- the pursuit of a legitimate interest by the data controller or by the third party or parties to whom the data are disclosed,
- the need to process personal data for the purposes of the legitimate interests pursued, and
- the condition that the fundamental rights and freedoms of the data subject whose data require protection do not take precedence.
The CJEU also specified that in a situation of joint controllership “it is necessary that each of those controllers should pursue a legitimate interest […] through those processing operations in order for those operations to be justified in respect of each of them”.
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
The GDPR may allow for the processing of silent party data when this processing is necessary for purposes of the legitimate interests pursued by a controller or by a third party.
A lawful basis for the processing of silent party data by PISPs and AISPs — in the context of the provision of payment services under the PSD2 — could thus be the legitimate interest of a controller or a third party to perform the contract with the payment service user. The necessity to process personal data of the silent party is limited and determined by the reasonable expectations of these data subjects.
Effective and appropriate measures have to be established by all parties involved. In this respect, the controller has to establish the necessary safeguards for the processing, including technical measures. If feasible, also encryption or other techniques must be applied to achieve an appropriate level of security and data minimisation.
CJEU, TK v Asociaţia de Proprietari bloc M5A-ScaraA, Case C-708/18 (2018).
(47) Le leasanna dlisteanacha rialaitheora, lena n-áirítear leasanna dlisteanacha rialaitheora a bhféadfar sonraí pearsanta a nochtadh dó, nó le leasanna dlisteanacha tríú páirtí, féadfar bunús dlí a thabhairt don phróiseáil, ar choinníoll nach mbeadh sáraíocht ag leasanna nó cearta bunúsacha agus saoirsí bunúsacha an ábhair sonraí orthu, agus aird á tabhairt ar ionchais réasúnta na n-ábhar sonraí bunaithe ar a gcaidreamh a leis an rialaitheoir. D'fhéadfadh leas dlisteanach den sórt sin a bheith ann mar shampla i gcás ina bhfuil caidreamh ábhartha iomchuí idir an t-ábhar sonraí agus an rialaitheoir i gcásanna amhail gur cliant den rialaitheoir an t-ábhar sonraí nó go bhfuil an t-ábhar sonraí i seirbhís an rialaitheora. Ar aon chuma, chaithfí measúnú cúramach a dhéanamh ar aon leas dlisteanach a bheadh ann, lena n-áirítear a mheas an bhféadfadh an t-ábhar sonraí a bheith ag súil leis go réasúnta tráth bhailiú na sonraí pearsanta agus i gcomhthéacs bhailiú na sonraí pearsanta go bhféadfaí próiseáil a dhéanamh chun na críche sin. D'fhéadfadh sáraíocht a bheith ag leasanna bunúsacha agus ag cearta bunúsacha an ábhair sonraí ar leas an rialaitheora sonraí i gcás ina ndéanfaí sonraí pearsanta a phróiseáil in imthosca nach mbeadh na hábhair sonraí ag súil leis go ndéanfaí tuilleadh próiseála iontu. Ós rud é gur faoin reachtóir atá sé foráil a dhéanamh le dlí maidir leis an mbunús dlí atá ag údaráis phoiblí chun sonraí pearsanta a phróiseáil, níor cheart feidhm a bheith ag an mbunús dlí sin maidir le leas dlisteanach an rialaitheora i ndáil le próiseáil ag údaráis phoiblí i bhfeidhmiú a gcúraimí. Maidir le próiseáil ar shonraí pearsanta a bhfuil dianghá leo chun cosc a chur ar chalaois, is leas dlisteanach de chuid an rialatheora lena mbaineann é an leas sin. Féadfar próiseáil sonraí pearsanta chun críocha na margaíochta dírí a mheas mar phróiseáil a dhéantar ar mhaithe le leas dlisteanach.
(48) Féadfaidh leas dlisteanach a bheith ag rialaitheoirí, ar cuid de ghrúpa gnóthas nó institiúidí atá cleamhnaithe le comhlacht lárnach iad, i sonraí pearsanta a tharchur laistigh den ghrúpa gnóthas chun críocha an riaracháin inmheánaigh, lena n-áirítear sonraí pearsanta cliant nó fostaithe a phróiseáil. Ní dhéantar aon difear do na prionsabail ghinearálta a bhaineann le tarchur sonraí pearsanta, laistigh de ghrúpa gnóthas, chuig gnóthas atá lonnaithe i dtríú tír.
(49) An phróiseáil a dhéantar ar shonraí pearsanta a mhéid atá sé sin fíor-riachtanach agus comhréireach chun slándáil líonra agus faisnéise a áirithiú, i.e. an cumas atá i líonra nó i gcóras faisnéise, ar leibhéal áirithe muiníne, seasamh i gcoinne eachtraí a tharlaíonn de thaisme nó gníomhaíochtaí neamhdhleathacha nó mailíseacha a chuireann isteach ar infhaighteacht, ar bharántúlacht, ar shláine agus ar rúndacht sonraí pearsanta atá stóráilte nó tarchurtha, agus ar shlándáil na seirbhísí gaolmhara atá á dtairiscint ag na líonraí agus na córais sin, ag údaráis phoiblí, ag foirne práinnfhreagartha ríomhaireachta (CERTanna), ag foirne freagartha do theagmhais a bhaineann le slándáil ríomhaireachta (CSIRTanna), ag soláthraithe líonraí agus seirbhísí cumarsáide leictreonaí agus ag soláthraithe teicneolaíochtaí agus seirbhísí slándála, nó slándáil na seirbhísí gaolmhara atá inrochtana tríothu sin, is é atá i gceist leis an bpróiseáil sin leas dlisteanach de chuid an rialaitheora sonraí lena mbaineann. D'fhéadfaí a áireamh leis sin, mar shampla, rochtain neamhúdaraithe ar líonraí cumarsáide leictreonaí agus dáileadh mailíseach cód a chosc agus stop a chur le hionsaithe “diúltaithe seirbhíse” agus le damáiste do ríomhchórais agus do chórais chumarsáide leictreonaí.
Ní bheidh feidhm ag pointe (f) den chéad fhomhír maidir le próiseáil a dhéanann údaráis phoiblí i gcomhlíonadh a gcúraimí.
(40) Le go mbeidh an phróiseáil dleathach, ba cheart sonraí pearsanta a phróiseáil ar bhonn thoiliú an ábhair sonraí lena mbaineann nó ar bhonn dlisteanach éigin eile, a leagtar síos de réir dlí, sa Rialachán seo nó i ndlí eile de chuid an Aontais nó i ndlí Ballstáit amhail dá dtagraítear sa Rialachán seo, lena n-áirítear an gá atá ann an oibleagáid dhlíthiúil a chomhlíonadh, ar oibleagáid í a bhfuil an rialaitheoir faoina réir nó an gá atá ann conradh ar páirtí ann an t-ábhar sonraí a chomhlíonadh nó chun bearta a dhéanamh ar iarraidh ón ábhar sonraí sula ndéanfar conradh.
(50) Níor cheart an phróiseáil a dhéantar ar shonraí pearsanta chun críocha seachas na críocha sin ar chucu a bailíodh na sonraí pearsanta ar an gcéad dul síos a cheadú ach amháin i gcás ina bhfuil an phróiseáil ag luí leis na críocha ar bailíodh na sonraí pearsanta chucu ar an gcéad dul síos. I gcás den sórt sin, níl gá le bunús dlí ar leith ón mbunús dlí lenar ceadaíodh bailiú na sonraí pearsanta. Más gá an phróiseáil chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil atá dílsithe don rialaitheoir, féadfar, le dlí an Aontais nó le dlí Ballstáit, na cúraimí agus na críocha a chinneadh agus a shonrú ar cheart an tuilleadh próiseála a mheas mar bheith comhoiriúnach agus dleathach ina leith. Ba cheart a mheas gur oibríochtaí próiseála comhoiriúnacha dleathacha é tuilleadh próiseála a dhéanfaí chun críocha cartlannú a dhéanamh ar mhaithe le leas an phobail, chun críocha taighde eolaíoch nó stairiúil nó chun críocha staidrimh. An bunús dlí a fhoráiltear le dlí an Aontais nó le dlí Ballstáit chun sonraí pearsanta a phróiseáil, féadfaidh sé bunús dlí a thabhairt chun tuilleadh próiseála a dhéanamh freisin. Chun fáil amach an bhfuil críoch an tuillidh próiseála ag luí leis an gcríoch ar chuige a bailíodh na sonraí pearsanta ar an gcéad dul síos, ba cheart don rialaitheoir, tar éis dó nó di na ceanglais uile a chomhlíonadh maidir le dlíthiúlacht na próiseála bunaidh, an méid seo a leanas, inter alia, a chur san áireamh: aon nasc idir na críocha sin agus críocha an tuillidh próiseála a bheartaítear;an comhthéacs inar bailíodh na sonraí pearsanta, go háirithe ionchais réasúnta na n-ábhar sonraí bunaithe ar an gcaidreamh atá acu leis an rialaitheoir maidir le tuilleadh úsáide a bhaint astu; cineál na sonraí pearsanta; na hiarmhairtí ar na hábhair sonraí a bheadh ag an tuilleadh próiseála a bheartaítear a dhéanamh; agus coimircí iomchuí a bheith ann sna hoibríochtaí próiseála bunaidh agus sna hoibríochtaí tuillidh próiseála a bheartaítear araon.
I gcás inar thug an t-ábhar sonraí toiliú nó ina mbeadh an phróiseáil bunaithe ar dhlí an Aontais nó ar dhlí Ballstáit, ar beart riachtanach comhréireach é i sochaí dhaonlathach chun cuspóirí tábhachtacha a bhaineann le leas ginearálta an phobail a choimirciú go háirithe, ba cheart cead a bheith ag an rialaitheoir na sonraí pearsanta a phróiseáil tuilleadh beag beann ar chomhoiriúnacht na gcríoch. Ar aon chaoi, ba cheart cur i bhfeidhm na bprionsabal a leagtar amach sa Rialachán seo a áirithiú, agus ba cheart a áirithiú go háirithe go gcuirtear an ábhar sonraí ar an eolas faoi na críocha eile sin agus faoi na cearta atá aige nó aici, lena n-áirítear an ceart chun agóid a dhéanamh. Gníomhartha ionchasacha coiriúla nó bagairtí ionchasacha ar an tslándáil phoiblí a bheith á gcur in iúl ag an rialaitheoir agus na sonraí pearsanta ábhartha i gcásanna aonair nó i gcásanna éagsúla a bhaineann leis an ngníomh céanna coiriúla nó leis na bagairtí céanna ar an tslándáil phoiblí a bheith á dtarchur aige nó aici chuig údarás inniúil, ba cheart a mheas gur chun leas dlisteanach an rialaitheora é an cur in iúl agus an tarchur sin. Mar sin féin, ba cheart cosc a chur ar tharchur den sórt sin ar mhaithe le leas dlisteanach an rialaitheora nó ar thuilleadh próiseála ar shonraí pearsanta mura bhfuil an phróiseáil ag luí le hoibleagáid dhlíthiúil nó ghairmiúil rúndachta nó le hoibleagáid eile cheangailteach rúndachta.
2. Féadfaidh na Ballstáit forálacha níos sonraí a choimeád ar bun nó a thabhairt isteach chun cur i bhfeidhm rialacha an Rialacháin seo a oiriúnú i ndáil le próiseáil chun pointe (c) agus pointe (e) de mhír 1 a chomhlíonadh trí chinneadh níos cruinne a dhéanamh maidir le ceanglais shonracha don phróiseáil agus do na bearta eile chun próiseáil dhleathach agus chothrom a áirithiú lena n-áirítear le haghaidh cásanna sonracha próiseála eile dá bhforáiltear i gCaibidil IX.
3. Déanfar an bunús don phróiseáil dá dtagraítear i bpointe (c) agus i bpointe (e) de mhír 1 a leagan síos leis méid seo a leanas:
Cinnfear críoch na próiseála sa bhunús dlí sin nó, maidir leis an bpróiseáil dá dtagraítear i bpointe (e) de mhír 1, beidh ga léi le haghaidh cúram chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil atá dílsithe don rialaitheoir. Féadfaidh forálacha sonracha a bheith sa bhunús dlí sin chun cur i bhfeidhm rialacha an Rialacháin seo a oiriúnú, lena n-áirítear na coinníollacha ginearálta lena rialaítear dlíthiúlacht na próiseála sonraí ag an rialaitheoir; an cineálacha sonraí atá faoi réir a bpróiseála; na hábhair sonraí lena mbaineann; na heintitis a bhféadfar na sonraí pearsanta a nochtadh dóibh agus na críocha ar chucu a bhféadfar iad a nochtadh dóibh; an teorannú de réir cuspóra; tréimhsí stórála; agus oibríochtaí próiseála agus nósanna imeachta próiseála, lena n-áirítear bearta chun próiseáil dhleathach agus chothrom a áirithiú, amhail iad sin do staideanna sonracha próiseála eile dá bhforáiltear i gCaibidil IX. Comhlíonfaidh dlí an Aontais nó dlí Ballstáit cuspóir a bhaineann le leas an phobail agus beidh sé i gcomhréir leis an aidhm dhleathach atá á saothrú.
(41) Aon áit a dhéanann an Rialachán seo tagairt do bhunús dlí nó do bheart reachtach, ní gá go mbeadh gníomh reachtach arna ghlacadh ag parlaimint ag teastáil, gan dochar do cheanglais de bhun ord bunreachtúil an Bhallstáit lena mbaineann. Mar sin féin, ba cheart bunús dlí den sórt sin nó beart reachtach den sórt sin a bheith soiléir cruinn agus ba cheart a chur chun feidhme a bheith intuartha do na daoine sin a bheadh faoina réir, i gcomhréir le cásdlí Chúirt Bhreithiúnais an Aontais Eorpaigh (“an Chúirt Bhreithiúnais”) agus cásdlí na Cúirte Eorpaí um Chearta an Duine.
4. I gcás nach bhfuil an phróiseáil chun críche eile seachas an chríoch ar chuici a bailíodh na sonraí pearsanta bunaithe ar thoiliú an ábhair sonraí nó ar dhlí de chuid an Aontais nó ar dhlí Ballstáit atá mar bheart riachtanach agus comhréireach i sochaí dhaonlathach chun na cuspóirí dá dtagraítear in Airteagal 23(1) a choimirciú, déanfaidh an rialaitheoir, d’fhonn fáil amach an bhfuil críoch na próiseála ag luí leis na críocha sin ar chucu a bailíodh na sonraí pearsanta ar an gcéad dul síos, na nithe seo a leanas, inter alia, a chur san áireamh:
(EN) Documents
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
(a) aon nasc idir na críocha ar bailíodh na sonraí pearsanta chucu agus na críocha atá leis an tuilleadh próiseála atá beartaithe;
(b) an comhthéacs inar bailíodh na sonraí pearsanta, go háirithe maidir leis an ngaol idir na hábhair sonraí agus an rialaitheoir;
(c) cineál na sonraí pearsanta, go háirithe an ndéantar catagóirí speisialta sonraí pearsanta a phróiseáil, de bhun Airteagal 9, nó an ndéantar sonraí pearsanta a bhaineann le ciontuithe coiriúla agus coireanna a phróiseáil, de bhun Airteagal 10;
(EN) The article outlines six legal grounds for lawfulness of processing personal data, including consent, contract, legal obligations, public, vital, and legitimate interests.
The order of the legal grounds has sometimes been seen as a hint about the importance of each ground. But as it was pointed out by European or national supervisory authorities the text doesn’t make a legal distinction between the six grounds or say that one is more important than the other. The order of the legal grounds does not imply any hierarchy.
Instead, “each instance of processing should be based on the legal basis which is most appropriate in the specific circumstances” (DPC, Guidance Note: Legal Bases for Processing Personal Data (2019))
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6 GDPR:
7.2.2 Identify lawful basis
Control
The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.
Implementation guidance
Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.
The legal basis for the processing of PII can include:
(EN) […]
(EN) Sign in
to read the full text
(40) Le go mbeidh an phróiseáil dleathach, ba cheart sonraí pearsanta a phróiseáil ar bhonn thoiliú an ábhair sonraí lena mbaineann nó ar bhonn dlisteanach éigin eile, a leagtar síos de réir dlí, sa Rialachán seo nó i ndlí eile de chuid an Aontais nó i ndlí Ballstáit amhail dá dtagraítear sa Rialachán seo, lena n-áirítear an gá atá ann an oibleagáid dhlíthiúil a chomhlíonadh, ar oibleagáid í a bhfuil an rialaitheoir faoina réir nó an gá atá ann conradh ar páirtí ann an t-ábhar sonraí a chomhlíonadh nó chun bearta a dhéanamh ar iarraidh ón ábhar sonraí sula ndéanfar conradh.
(41) Aon áit a dhéanann an Rialachán seo tagairt do bhunús dlí nó do bheart reachtach, ní gá go mbeadh gníomh reachtach arna ghlacadh ag parlaimint ag teastáil, gan dochar do cheanglais de bhun ord bunreachtúil an Bhallstáit lena mbaineann. Mar sin féin, ba cheart bunús dlí den sórt sin nó beart reachtach den sórt sin a bheith soiléir cruinn agus ba cheart a chur chun feidhme a bheith intuartha do na daoine sin a bheadh faoina réir, i gcomhréir le cásdlí Chúirt Bhreithiúnais an Aontais Eorpaigh (“an Chúirt Bhreithiúnais”) agus cásdlí na Cúirte Eorpaí um Chearta an Duine.
(42) I gcás ina bhfuil próiseáil bunaithe ar thoiliú an ábhair onraí, ba cheart don rialaitheoir a bheith in ann a thaispeáint gur thoiligh an t-ábhar sonraí leis an oibríocht próiseála. Go háirithe i gcomhthéacs dearbhú i scríbhinn maidir le hábhar éigin eile, ba cheart coimircí a bheith ann chun a d'áiritheodh go bhfuil an t-ábhar sonraí ar an eolas maidir leis an bhfíric go bhfuil toiliú tugtha aige nó aici agus go bhfuil sé nó sí ar an eolas faoin méid atá an toiliú tugtha. I gcomhréir le Treoir 93/13/CEE ón gComhairle (10), ba cheart dearbhú tola, agus é curtha le chéile roimh ré ag an rialaitheoir, a chur ar fáil i bhfoirm shothuigthe inrochtana, ag úsáid teanga shoiléir agus éasca agus níor cheart téarmaí éagóracha a bheith ann. Ionas go mbeidh an toiliú feasach, ba cheart don ábhar sonraí a bheith ar an eolas, ar a laghad, faoi chéannacht an rialaitheora agus faoi chríocha na próiseála a bheartaítear a dhéanamh ar na sonraí pearsanta. Níor cheart breathnú ar an toiliú mar thoiliú a tugadh faoi shaoirse mura bhfuil rogha atá dílis nó saor ag an ábhar sonraí nó mura bhfuil sé nó sí in ann diúltú don toiliú a thabhairt nó é a tharraingt siar gan díobháil.
(10) Treoir 93/13/CEE ón gComhairle an 5 Aibreán 1993 maidir le téarmaí éagóracha i gconarthaí tomhaltóra (IO L 95, 21.4.1993, lch. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(43) Chun a áirithiú go dtugtar an toiliú sin faoi shaoirse, níor cheart toiliú a bheith ina fhoras bailí dlíthiúil le sonraí pearsanta a phróiseáil i gcás sonrach ina bhfuil éagothromaíocht shoiléir idir an t-ábhar sonraí agus an rialaitheoir, go háirithe i gcás inar údarás poiblí é an rialaitheoir agus ní dócha, dá bhrí sin, gur tugadh an toiliú sin faoi shaoirse sna cúinsí uile a bhain leis an staid shonrach sin. Toimhdítear nár tugadh toiliú faoi shaoirse más rud é nach gceadaítear leis toiliú ar leithligh a thabhairt d'oibríochtaí próiseála sonraí pearsanta éagsúla in ainneoin gurb iomchuí é sin sa chás ar leith, nó más rud é go bhfuil comhlíonadh conartha, lena n-áirítear cur ar fáil seirbhíse, ag brath ar an toiliú sin, in ainneoin nach dteastaíonn toiliú den sórt sin le haghaidh comhlíonadh den sórt sin.
(44) Ba cheart próiseáil a bheith dleathach i gcás inar gá sin i gcomhthéacs conartha nó i gcás ina bhfuil sé beartaithe conradh a dhéanamh.
(45) I gcás ina ndéantar próiseáil i gcomhréir le hoibleagáid dhlíthiúil a bhfuil an rialaitheoir faoina réir nó i gcás ina bhfuil gá le próiseáil chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil, ba cheart bunús a bheith ag an bpróiseáil i ndlí an Aontais nó i ndlí Ballstáit. Ní cheanglaítear leis an Rialachán seo dlí sonrach a bheith ann do gach próiseáil ar leith. D'fhéadfadh sé gur leor dlí mar bhunús d'oibríochtaí éagsúla próiseála ar bhonn oibleagáid dhlíthiúil a bhfuil an rialaitheoir faoina réir nó nuair is gá an phróiseáil a dhéanamh chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil. Ba cheart freisin gur faoi dhlí an Aontais nó faoi dhlí Ballstáit a bheadh sé críoch na próiseála a chinneadh. Thairis sin, d'fhéadfadh an dlí sin coinníollacha ginearálta an Rialacháin seo a shonrú lena rialaítear dlíthiúlacht na próiseála sonraí pearsanta, na sonraíochtaí a bhunú lena gcinntear an rialaitheoir, cineál na sonraí pearsanta atá faoi réir na próiseála, na hábhair sonraí lena mbaineann, na heintitis a bhféadfar na sonraí pearsanta a nochtadh dóibh, na teorannuithe de réir cuspóra, an tréimhse stórála agus bearta eile chun próiseáil dhleathach chothrom a áirithiú. Ba cheart gur faoi dhlí an Aontais nó faoi dhlí Ballstáit a bheadh sé cinneadh a dhéanamh freisin maidir le cé acu ar cheart don rialaitheoir a chuireann cúram i gcrích ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil a bheith mar údarás poiblí nó mar dhuine nádúrtha nó dlítheanach eile a rialaítear faoin dlí poiblí, nó, i gcás inarb é ar mhaithe le leas an phobail déanamh amhlaidh, lena n-áirítear chun críocha sláinte, amhail sláinte phoiblí agus cosaint shóisialta agus bainistiú seirbhísí cúraim sláinte, faoin dlí príobháideach, amhail comhlachas gairmiúil.
(46) Ba cheart a mheas go bhfuil próiseáil sonraí pearsanta dleathach freisin nuair is gá é a dhéanamh chun leas a chosaint ar leas é atá riachtanach do shaol an ábhair sonraí nó do shaol duine nádúrtha eile. Níor cheart sonraí pearsanta a phróiseáil ach ar bhonn leas ríthábhachtach duine nádúrtha eile i bprionsabal i gcás nach bhféadfar an phróiseáil a bhunú go follasach ar bhunús dlí eile. Le roinnt cineálacha próiseála, d'fhéadfaí fónamh do leas tábhachtach an phobail agus do leasanna ríthábhachtacha an ábhair sonraí araon, mar shampla nuair is gá an phróiseáil a dhéanamh chun críocha daonnúla, lena n-áirítear chun faireachán a dhéanamh ar eipidéimí agus ar a leathadh nó i gcásanna éigeandálaí daonnúla, go háirithe i gcásanna tubaistí nádúrtha agus tubaistí de dhéantús an duine.
(47) Le leasanna dlisteanacha rialaitheora, lena n-áirítear leasanna dlisteanacha rialaitheora a bhféadfar sonraí pearsanta a nochtadh dó, nó le leasanna dlisteanacha tríú páirtí, féadfar bunús dlí a thabhairt don phróiseáil, ar choinníoll nach mbeadh sáraíocht ag leasanna nó cearta bunúsacha agus saoirsí bunúsacha an ábhair sonraí orthu, agus aird á tabhairt ar ionchais réasúnta na n-ábhar sonraí bunaithe ar a gcaidreamh a leis an rialaitheoir. D'fhéadfadh leas dlisteanach den sórt sin a bheith ann mar shampla i gcás ina bhfuil caidreamh ábhartha iomchuí idir an t-ábhar sonraí agus an rialaitheoir i gcásanna amhail gur cliant den rialaitheoir an t-ábhar sonraí nó go bhfuil an t-ábhar sonraí i seirbhís an rialaitheora. Ar aon chuma, chaithfí measúnú cúramach a dhéanamh ar aon leas dlisteanach a bheadh ann, lena n-áirítear a mheas an bhféadfadh an t-ábhar sonraí a bheith ag súil leis go réasúnta tráth bhailiú na sonraí pearsanta agus i gcomhthéacs bhailiú na sonraí pearsanta go bhféadfaí próiseáil a dhéanamh chun na críche sin. D'fhéadfadh sáraíocht a bheith ag leasanna bunúsacha agus ag cearta bunúsacha an ábhair sonraí ar leas an rialaitheora sonraí i gcás ina ndéanfaí sonraí pearsanta a phróiseáil in imthosca nach mbeadh na hábhair sonraí ag súil leis go ndéanfaí tuilleadh próiseála iontu. Ós rud é gur faoin reachtóir atá sé foráil a dhéanamh le dlí maidir leis an mbunús dlí atá ag údaráis phoiblí chun sonraí pearsanta a phróiseáil, níor cheart feidhm a bheith ag an mbunús dlí sin maidir le leas dlisteanach an rialaitheora i ndáil le próiseáil ag údaráis phoiblí i bhfeidhmiú a gcúraimí. Maidir le próiseáil ar shonraí pearsanta a bhfuil dianghá leo chun cosc a chur ar chalaois, is leas dlisteanach de chuid an rialatheora lena mbaineann é an leas sin. Féadfar próiseáil sonraí pearsanta chun críocha na margaíochta dírí a mheas mar phróiseáil a dhéantar ar mhaithe le leas dlisteanach.
(48) Féadfaidh leas dlisteanach a bheith ag rialaitheoirí, ar cuid de ghrúpa gnóthas nó institiúidí atá cleamhnaithe le comhlacht lárnach iad, i sonraí pearsanta a tharchur laistigh den ghrúpa gnóthas chun críocha an riaracháin inmheánaigh, lena n-áirítear sonraí pearsanta cliant nó fostaithe a phróiseáil. Ní dhéantar aon difear do na prionsabail ghinearálta a bhaineann le tarchur sonraí pearsanta, laistigh de ghrúpa gnóthas, chuig gnóthas atá lonnaithe i dtríú tír.
(49) An phróiseáil a dhéantar ar shonraí pearsanta a mhéid atá sé sin fíor-riachtanach agus comhréireach chun slándáil líonra agus faisnéise a áirithiú, i.e. an cumas atá i líonra nó i gcóras faisnéise, ar leibhéal áirithe muiníne, seasamh i gcoinne eachtraí a tharlaíonn de thaisme nó gníomhaíochtaí neamhdhleathacha nó mailíseacha a chuireann isteach ar infhaighteacht, ar bharántúlacht, ar shláine agus ar rúndacht sonraí pearsanta atá stóráilte nó tarchurtha, agus ar shlándáil na seirbhísí gaolmhara atá á dtairiscint ag na líonraí agus na córais sin, ag údaráis phoiblí, ag foirne práinnfhreagartha ríomhaireachta (CERTanna), ag foirne freagartha do theagmhais a bhaineann le slándáil ríomhaireachta (CSIRTanna), ag soláthraithe líonraí agus seirbhísí cumarsáide leictreonaí agus ag soláthraithe teicneolaíochtaí agus seirbhísí slándála, nó slándáil na seirbhísí gaolmhara atá inrochtana tríothu sin, is é atá i gceist leis an bpróiseáil sin leas dlisteanach de chuid an rialaitheora sonraí lena mbaineann. D'fhéadfaí a áireamh leis sin, mar shampla, rochtain neamhúdaraithe ar líonraí cumarsáide leictreonaí agus dáileadh mailíseach cód a chosc agus stop a chur le hionsaithe “diúltaithe seirbhíse” agus le damáiste do ríomhchórais agus do chórais chumarsáide leictreonaí.
(50) Níor cheart an phróiseáil a dhéantar ar shonraí pearsanta chun críocha seachas na críocha sin ar chucu a bailíodh na sonraí pearsanta ar an gcéad dul síos a cheadú ach amháin i gcás ina bhfuil an phróiseáil ag luí leis na críocha ar bailíodh na sonraí pearsanta chucu ar an gcéad dul síos. I gcás den sórt sin, níl gá le bunús dlí ar leith ón mbunús dlí lenar ceadaíodh bailiú na sonraí pearsanta. Más gá an phróiseáil chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil atá dílsithe don rialaitheoir, féadfar, le dlí an Aontais nó le dlí Ballstáit, na cúraimí agus na críocha a chinneadh agus a shonrú ar cheart an tuilleadh próiseála a mheas mar bheith comhoiriúnach agus dleathach ina leith. Ba cheart a mheas gur oibríochtaí próiseála comhoiriúnacha dleathacha é tuilleadh próiseála a dhéanfaí chun críocha cartlannú a dhéanamh ar mhaithe le leas an phobail, chun críocha taighde eolaíoch nó stairiúil nó chun críocha staidrimh. An bunús dlí a fhoráiltear le dlí an Aontais nó le dlí Ballstáit chun sonraí pearsanta a phróiseáil, féadfaidh sé bunús dlí a thabhairt chun tuilleadh próiseála a dhéanamh freisin. Chun fáil amach an bhfuil críoch an tuillidh próiseála ag luí leis an gcríoch ar chuige a bailíodh na sonraí pearsanta ar an gcéad dul síos, ba cheart don rialaitheoir, tar éis dó nó di na ceanglais uile a chomhlíonadh maidir le dlíthiúlacht na próiseála bunaidh, an méid seo a leanas, inter alia, a chur san áireamh: aon nasc idir na críocha sin agus críocha an tuillidh próiseála a bheartaítear;an comhthéacs inar bailíodh na sonraí pearsanta, go háirithe ionchais réasúnta na n-ábhar sonraí bunaithe ar an gcaidreamh atá acu leis an rialaitheoir maidir le tuilleadh úsáide a bhaint astu; cineál na sonraí pearsanta; na hiarmhairtí ar na hábhair sonraí a bheadh ag an tuilleadh próiseála a bheartaítear a dhéanamh; agus coimircí iomchuí a bheith ann sna hoibríochtaí próiseála bunaidh agus sna hoibríochtaí tuillidh próiseála a bheartaítear araon.
I gcás inar thug an t-ábhar sonraí toiliú nó ina mbeadh an phróiseáil bunaithe ar dhlí an Aontais nó ar dhlí Ballstáit, ar beart riachtanach comhréireach é i sochaí dhaonlathach chun cuspóirí tábhachtacha a bhaineann le leas ginearálta an phobail a choimirciú go háirithe, ba cheart cead a bheith ag an rialaitheoir na sonraí pearsanta a phróiseáil tuilleadh beag beann ar chomhoiriúnacht na gcríoch. Ar aon chaoi, ba cheart cur i bhfeidhm na bprionsabal a leagtar amach sa Rialachán seo a áirithiú, agus ba cheart a áirithiú go háirithe go gcuirtear an ábhar sonraí ar an eolas faoi na críocha eile sin agus faoi na cearta atá aige nó aici, lena n-áirítear an ceart chun agóid a dhéanamh. Gníomhartha ionchasacha coiriúla nó bagairtí ionchasacha ar an tslándáil phoiblí a bheith á gcur in iúl ag an rialaitheoir agus na sonraí pearsanta ábhartha i gcásanna aonair nó i gcásanna éagsúla a bhaineann leis an ngníomh céanna coiriúla nó leis na bagairtí céanna ar an tslándáil phoiblí a bheith á dtarchur aige nó aici chuig údarás inniúil, ba cheart a mheas gur chun leas dlisteanach an rialaitheora é an cur in iúl agus an tarchur sin. Mar sin féin, ba cheart cosc a chur ar tharchur den sórt sin ar mhaithe le leas dlisteanach an rialaitheora nó ar thuilleadh próiseála ar shonraí pearsanta mura bhfuil an phróiseáil ag luí le hoibleagáid dhlíthiúil nó ghairmiúil rúndachta nó le hoibleagáid eile cheangailteach rúndachta.
(155) Le dlí Ballstáit nó le comhaontuithe comhchoiteanna, lena n-áirítear “comhaontuithe oibre”, féadfar foráil a dhéanamh do rialacha sonracha maidir le sonraí pearsanta na bhfostaithe a phróiseáil i gcomhthéacs na fostaíochta, go háirithe do na coinníollacha faoina bhféadfar sonraí pearsanta a phróiseáil i gcomhthéacs na fostaíochta bunaithe ar thoiliú an fhostaí, chun críocha na hearcaíochta, feidhmiú an chonartha fostaíochta, lena n-áirítear urscaoileadh na n-oibleagáidí arna leagan síos de réir dlí nó comhaontuithe comhchoiteanna, bainistiú, pleanáil agus eagrú na hoibre, comhionannas agus éagsúlacht san ionad oibre, sláinte agus slándáil ar obair, agus chun cearta agus sochair a bhaineann le fostaíocht a fheidhmiú agus tairbhiú díobh, ar bhonn aonair nó comhchoiteann, agus chun deireadh a chur leis an gcaidreamh fostaíochta.
(EN)
Article 29 Working Party, Opinion 6/2014 on the Notion of Legitimate Interests of the Data Controller Under Article 7 of Directive 95/46/EC (2014).
EDPB, Assessing the Necessity of Measures That Limit the Fundamental Right to the Protection of Personal Data: A Toolkit (2017).
WP29, Opinion on data processing at work (2017).
Data Protection Commission of Ireland, Guidance Note: Legal Bases for Processing Personal Data (2019).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEC, Rechnungshof/Österreichischer Rundfunk, C-465/00, C-138/01 and C-139/01 (2003).
CJEC, Huber/Germany, C-524/06 (2008).
CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
ECHR, Antović and Mirković v. Montenegro, no. 70838/13 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Norwegian DPA, issues fine to Aquateknikk AS (2021).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6(4)(e) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
(EN) […]
(EN) Sign in
to read the full text