Статья 57 📖 GDPR. Задачи

Статья 57 GDPR. Задачи

Article 57 GDPR. Tasks

1. Без ущерба для других задач, установленных настоящим Регламентом, каждый надзорный орган на своей территории должен:

1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

(a) контролировать и обеспечивать применение настоящего Регламента;

(a) monitor and enforce the application of this Regulation;

(b) содействовать повышению осведомленности общественности и разъяснению относительно рисков, норм, гарантий и прав, касающихся обработки. Особенное внимание должно уделяться мероприятиям, направленным на детей;

(b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention;

(c) консультировать в соответствии с правом государства-члена, национальный парламент, правительство и иные учреждения и органы в отношении законодательных и административных мер, относящихся к защите прав и свобод физических лиц, касающихся обработке данных;

(c) advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to processing;

(d) содействовать повышению осведомленности контролёров и процессоров о возложенных на них обязанностях в соответствии с настоящим Регламентом;

(d) promote the awareness of controllers and processors of their obligations under this Regulation;

(e) по запросу предоставлять информацию любому субъекту данных, касающуюся осуществления их прав согласно настоящему Регламенту и, при необходимости, сотрудничать с надзорными органами в других государствах-членах в этих целях;

(e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;

(f) рассматривать жалобы, поданные субъектом данных или органом, организацией, либо ассоциацией в соответствии со Статьей 80, а также разбирать, в тех случаях, когда это уместно, предмет жалобы и информировать заявителя о ходе и результатах расследования в разумный срок, в частности о том, что требуется дальнейшее расследование или координация с другим надзорным органом;

(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

Связанные статьи

Статья 80 GDPR. Представительство субъектов данных

Article 80 GDPR. Representation of data subjects

(g) сотрудничать с другими надзорными органами, включая обмен информацией и предоставление взаимной помощи, в целях обеспечения согласованного применения и обеспечения соблюдения настоящего Регламента;

(g) cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation;

(h) проводить расследования в ходе применения настоящего Регламента, в том числе на основе информации, полученной от другого надзорного органа или другого органа власти;

(h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;

(i) осуществлять мониторинг соответствующих изменений, в той части в которой они влияют на защиту персональных данных, в том числе на развитие информационно-коммуникационных технологий и коммерческих практик;

(i) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices;

(j) утверждать стандартные договорные условия, предусмотренные в Статье 28(8) и в пункте (d) Статьи 46(2);

(j) adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2);

Связанные статьи

Статья 28 GDPR. Процессор

Article 28 GDPR. Processor

[…]

8. Надзорный орган может принять стандартные договорные условия, регулирующие вопросы, упомянутые в параграфах 3 и 4 настоящей статьи, в соответствии с процедурой согласования, указанной в статье 63.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

[…]

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

(d) стандартных условий о защите данных, принятых надзорным органом и утвержденных Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

[…]

(k) устанавливать и вести список в отношении требования оценки воздействия на защиту персональных данных в соответствии со Статьей 35(4);

(k) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4);

Связанные статьи

Статья 35 GDPR. Оценка воздействия на защиту персональных данных

Article 35 GDPR. Data protection impact assessment

[…]

4. Надзорный орган должен установить и обнародовать список видов операций по обработке, для которых требуется оценка воздействия на защиту персональных данных в соответствии с параграфом 1. Надзорный орган должен предоставить данные списки Европейскому совету по защите персональных данных, о котором говорится в статье 68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

[…]

(l) консультировать относительно операций по обработке, предусмотренных Статьей 36(2);

(l) give advice on the processing operations referred to in Article 36(2);

Связанные статьи

Статья 36 GDPR. Предварительная консультация

Article 36 GDPR. Prior consultation

[…]

2. Если надзорный орган полагает, что запланированная обработка согласно параграфу 1 может нарушить положения настоящего Регламента, в частности, если контролёр в недостаточной степени идентифицировал или снизил риск, надзорный орган в течение не более восьми недель с момента получения запроса о проведении консультации должен предоставить контролёру и в соответствующих случаях лицу, обрабатывающему данные, письменные рекомендации и может осуществлять полномочия, указанные в Статье 58. Указанный срок может быть увеличен на шесть недель с учетом сложности запланированной обработки. Надзорный орган должен проинформировать контролёра и в соответствующих случаях лицо, обрабатывающее данные, об указанном увеличении срока в течение месяца после получения запроса о проведении консультации и указать причины отсрочки. Указанные сроки могут быть приостановлены до тех пор, пока надзорный орган не получит информацию, запрашиваемую в целях консультации.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

[…]

(m) поощрять разработку кодексов поведения в порядке Статьи 40(1), а также давать заключения и утверждать такие кодексы поведения, которые обеспечивают достаточные гарантии в соответствии со Статьей 40(5);

(m) encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5);

Связанные статьи

Статья 40 GDPR. Кодексы поведения

Article 40 GDPR. Codes of conduct

1. Государства-члены, надзорные органы, Европейский совет по защите персональных данных и Европейская Комиссия должны содействовать разработке кодексов поведения, предназначенных для надлежащего применения настоящего Регламента, с учетом отдельных особенностей различных отраслей обработки и отдельных потребностей микро-, малых и средних предприятий.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

[…]

5. Ассоциации и иные органы, указанные в параграфе 2 настоящей Статьи, которые намерены разработать кодекс поведения, изменить или дополнить существующий кодекс, должны представить проект кодекса, изменения или дополнения компетентному в соответствии со Статьей 55 надзорному органу. Надзорный орган должен предоставить заключение о том, соответствует ли проект кодекса, изменения или дополнения настоящему Регламенту, а также должен утвердить такой проект кодекса, его изменения или расширение, если посчитает, что это обеспечит достаточные надлежащие гарантии.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

[…]

(n) поощрять создание механизмов сертификации защиты данных, а также печатей и знаков защиты данных в порядке Статьи 42(1) и утверждать критерии сертификации в порядке Статьи 42(5);

(n) encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5);

Связанные статьи

Статья 42 GDPR. Сертификация

Article 42 GDPR. Certification

1. Государства-члены, надзорные органы, Европейский совет защиты персональных данных и Европейская Комиссия поощряют, в частности на уровне Союза, учреждение механизмов сертификации защиты данных, а также печатей и маркировочных знаков защиты данных, предназначенных для демонстрации соблюдения настоящего Регламента при осуществлении операций по обработке данных контролёрами и процессорами. Принимаются во внимание особые потребности микро-, малых и средних предприятий.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

[…]

5. Сертификация согласно настоящей Статье должна осуществляться органами по сертификации, указанными в Статье 43, или компетентным надзорным органом на основе критериев, утвержденных этим компетентным надзорным органом согласно Статье 58(3) или Европейским советом по защите персональных данных согласно Статье 63. Если критерии утверждаются Европейским советом по защите персональных данных, это может привести к всеобщей сертификации, то есть к Европейскому знаку защиты персональных данных.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

[…]

(o) проводить, когда это применимо, периодическую проверку сертификатов, выданных в порядке Статьи 42(7);

(o) where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7);

Связанные статьи

Статья 42 GDPR. Сертификация

Article 42 GDPR. Certification

[…]

7. Сертификация предоставляется контролёру или процессору на срок не более трех лет и может быть продлена на тех же самых условиях в случае, если соответствующие требования продолжают соблюдаться. Сертификация должна быть отозвана органами по сертификации, указанными в Статье 43, или компетентным надзорным органом, если требования для сертификации больше не соблюдаются или больше не выполняются.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

(p) составлять и публиковать критерии аккредитации органа по осуществлению мониторинга за соблюдением кодексов поведения в порядке Статьи 41 и органа по сертификации в порядке Статьи 43;

(p) draft and publish the requirements for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Связанные статьи

Статья 41 GDPR. Мониторинг утвержденных кодексов поведения

Article 41 GDPR. Monitoring of approved codes of conduct

Статья 43 GDPR. Органы по сертификации

Article 43 GDPR. Certification bodies

(q) проводить аккредитацию органа по осуществлению мониторинга за соблюдением кодексов поведения контролю за соблюдением норм поведения в соответствии со Статьей 41 и органа по сертификации в соответствии со Статьей 43;

(q) conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Связанные статьи

Статья 41 GDPR. Мониторинг утвержденных кодексов поведения

Article 41 GDPR. Monitoring of approved codes of conduct

Статья 43 GDPR. Органы по сертификации

Article 43 GDPR. Certification bodies

(r) утверждать договорные условия и положения, упомянутые в Статье 46(3);

(r) authorise contractual clauses and provisions referred to in Article 46(3);

Связанные статьи

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

3. При условии разрешения компетентного надзорного органа, надлежащие гарантии, указанные в параграфе 1, также могут быть обеспечены, в частности, с помощью:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) договорных условий между контролёром или процессором и контролёром, процессором или получателем персональных данных в третьей стране или международной организации; или

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) положений, содержащихся в административных соглашениях между органами государственной власти или ведомствами, которые включают обладающие силой принудительного исполнения и эффективные права субъектов данных.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

[…]

(s) утверждать обязательные корпоративные правила, согласно Статьей 47;

(s) approve binding corporate rules pursuant to Article 47;

Связанные статьи

Статья 47 GDPR. Обязательные корпоративные правила

Article 47 GDPR. Binding corporate rules

(t) принимать участие в деятельности Европейского совета по защите данных;

(t) contribute to the activities of the Board;

(u) вести внутренний учет нарушений настоящего Регламента и мер, принятых в соответствии со Статьей 58(2); и

(u) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and

Связанные статьи

Статья 58 GDPR. Полномочия

Article 58 GDPR. Powers

[…]

2. Каждый надзорный орган должен располагать следующими корректирующими полномочиями:

2. Each supervisory authority shall have all of the following corrective powers:

(a) выдавать предупреждения контролёру или процессору о том, что запланированная обработка данных может нарушать положения настоящего Регламента;

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

(b) делать предупреждения контролёру или процессору, если обработка данных нарушила положения настоящего Регламента;

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

(c) потребовать от контролёра или процессора удовлетворения запроса субъекта данных относительно осуществления его прав согласно настоящему Регламенту;

(c) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

(d) потребовать, при необходимости, от контролёра или процессора приведения процесса обработки данных в соответствие с положениями настоящего Регламента в установленном порядке и в установленный срок;

(d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

(e) потребовать, чтобы контролёр сообщил субъекту данных о нарушении безопасности персональных данных;

(e) to order the controller to communicate a personal data breach to the data subject;

(f) наложить временное или окончательное ограничение на обработку данных, включая запрет обработки;

(f) to impose a temporary or definitive limitation including a ban on processing;

(g) потребовать исправления или уничтожения персональных данных, или ограничения обработки согласно Статьям 16, 17 и 18, а также уведомления об указанных действиях получателей, которым были раскрыты персональные данные согласно Статье 17(2) и Статье 19;

(g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;

(h) отозвать сертификат, или потребовать от сертификационного органа отзыва сертификата, предоставленного согласно Статьям 42 и 43, или потребовать, чтобы сертификационный орган не выдавал сертификат, если требования для сертификации не выполняются или больше не выполняются;

(h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;

(i) наложить административный штраф в соответствии со Статьей 83 в дополнение к мерам, указанным в этой части, или вместо них, в зависимости от обстоятельств каждого отдельного случая;

(i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case;

(j) потребовать приостановить передачу данных получателю в третьей стране или международной организации.

(j) to order the suspension of data flows to a recipient in a third country or to an international organisation.

[…]

(v) выполнять любые иные задачи, относящиеся к защите персональных данных.

(v) fulfil any other tasks related to the protection of personal data.

2. Каждый надзорный орган должен облегчать подачи жалоб, указанных в пункте (f) параграфа 1, посредством таких мер как предоставление форм подачи жалоб, которые также могут быть заполнены в электронном виде, что не исключает иных средств связи.

2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication.

3. Осуществление задач каждого надзорного органа осуществляется на безвозмездной основе для субъекта данных и, когда это применимо, для инспектора по защите персональных данных.

3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer.

4. Когда запросы являются явно необоснованными или чрезмерными, в том числе из-за их повторяющегося характера, надзорный орган может взимать разумную плату в зависимости от административных расходов или отказаться действовать по запросу. Надзорный орган должен нести бремя доказывания необоснованного или чрезмерного характера запроса.

4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Преамбулы Оставить комментарий

Преамбулы

(123) Надзорные органы должны проводить мониторинг по вопросам соблюдения положений настоящего Регламента и вносить свой вклад в его планомерное применение во всем Союзе для того, чтобы защитить физических лиц при обработке их персональных данных, а также, чтобы содействовать свободному движению персональных данных в пределах внутреннего рынка. С этой целью надзорные органы должны сотрудничать друг с другом и с Европейской Комиссией без необходимости какого-либо соглашения между государствами-членами о предоставлении взаимной помощи или о таком сотрудничестве.

(123) The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation.

(132) Мероприятия по повышению информированности общественности, проводимые надзорными органами, должны включать конкретные меры, направленные на контролёров и процессоров, включая микро, малые и средние предприятия, а также физических лиц, в частности, в сфере образования.

(132) Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context.

Оставить комментарий

[js-disqus]