Artikel 57 📖 GDPR. Opgaver

Artikel 57 GDPR. Opgaver

Article 57 GDPR. Tasks

1. Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:

1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

a) føre tilsyn med og håndhæve anvendelsen af denne forordning

(a) monitor and enforce the application of this Regulation;

b) fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn

(b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention;

c) i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling

(c) advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to processing;

d) fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forordning

(d) promote the awareness of controllers and processors of their obligations under this Regulation;

e) efter anmodning informere registrerede om udøvelse af deres rettigheder i henhold til denne forordning og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant

(e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;

f) behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 80, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

Sammenkædede tekster

Artikel 80 GDPR. Repræsentation af registrerede

Article 80 GDPR. Representation of data subjects

g) samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning

(g) cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation;

h) gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed

(h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;

i) holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen inden for informations- og kommunikationsteknologi og handelspraksis

(i) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices;

j) vedtage standardkontraktbestemmelser som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d)

(j) adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2);

Sammenkædede tekster

Artikel 28 GDPR. Databehandler

Article 28 GDPR. Processor

[…]

8. En tilsynsmyndighed kan vedtage standardkontraktbestemmelser i de tilfælde, der er omhandlet i denne artikels stk. 3 og 4, og i overensstemmelse med sammenhængsmekanismen, der er omhandlet i artikel 63.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

[…]

Artikel 46 GDPR. Overførsler omfattet af fornødne garantier

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. De fornødne garantier i stk. 1 kan uden krav om specifik godkendelse fra en tilsynsmyndighed sikres gennem:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

d) standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed og godkendt af Kommissionen efter undersøgelsesproceduren i artikel 93, stk. 2

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

[…]

k) opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35, stk. 4

(k) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4);

Sammenkædede tekster

Artikel 35 GDPR. Konsekvensanalyse vedrørende databeskyttelse

Article 35 GDPR. Data protection impact assessment

[…]

4. Tilsynsmyndigheden udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1. Tilsynsmyndigheden indgiver disse lister til det i artikel 68 omhandlede Databeskyttelsesråd.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

[…]

l) rådgive om behandlingsaktiviteter som omhandlet i artikel 36, stk. 2

(l) give advice on the processing operations referred to in Article 36(2);

Sammenkædede tekster

Artikel 36 GDPR. Forudgående høring

Article 36 GDPR. Prior consultation

[…]

2. Hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i stk. 1 overtræder denne forordning, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, skal tilsynsmyndigheden inden for en periode på op til otte uger efter modtagelse af anmodningen om høring give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og kan i den forbindelse anvende enhver af sine beføjelser, jf. artikel 58. Denne periode kan forlænges med seks uger under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen. Disse perioder kan suspenderes, indtil tilsynsmyndigheden har modtaget oplysninger, som den har anmodet om med henblik på høringen.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

[…]

m) tilskynde til udarbejdelse af adfærdskodekser i henhold til artikel 40, stk. 1, og afgive udtalelse om og godkende sådanne adfærdskodekser, som sikrer tilstrækkelige garantier i henhold til artikel 40, stk. 5

(m) encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5);

Sammenkædede tekster

Artikel 40 GDPR. Adfærdskodekser

Article 40 GDPR. Codes of conduct

1. Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynder til udarbejdelse af adfærdskodekser, der under hensyntagen til de særlige forhold i de forskellige behandlingssektorer og mikrovirksomheders og små og mellemstore virksomheders specifikke behov bidrager til korrekt anvendelse af denne forordning.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

[…]

5. Sammenslutninger og andre organer omhandlet i denne artikels stk. 2, der har til hensigt at udarbejde en adfærdskodeks eller at ændre eller udvide en eksisterende adfærdskodeks, forelægger et udkast til kodeks, ændring eller udvidelse for den tilsynsmyndighed, der er kompetent i henhold til artikel 55. Tilsynsmyndigheden afgiver udtalelse om, hvorvidt udkastet til adfærdskodeks, ændring eller udvidelse overholder denne forordning, og godkender dette udkast til kodeks, ændring eller udvidelse, hvis den finder, at kodeksen sikrer tilstrækkelige fornødne garantier.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

[…]

n) tilskynde til fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 42, stk. 1, og godkende kriterierne for certificering i henhold til artikel 42, stk. 5

(n) encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5);

Sammenkædede tekster

Artikel 42 GDPR. Certificering

Article 42 GDPR. Certification

1. Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynder navnlig på EU-plan til fastlæggelse af certificeringsmekanismer for databeskyttelse samt databeskyttelsesmærkninger og -mærker med henblik på at påvise, at dataansvarliges og databehandleres behandlingsaktiviteter overholder denne forordning. Mikrovirksomheders og små og mellemstore virksomheders særlige behov tages i betragtning.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

[…]

5. Certificering i henhold til denne artikel udstedes af certificeringsorganer, jf. artikel 43, eller af den kompetente tilsynsmyndighed på grundlag af kriterier, der er godkendt af den pågældende kompetente tilsynsmyndighed i henhold til artikel 58, stk. 3, eller af Databeskyttelsesrådet i henhold til artikel 63. Hvis kriterierne er godkendt af Databeskyttelsesrådet, kan det føre til en fælles certificering, Den Europæiske Databeskyttelsesmærkning.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

[…]

o) når det er relevant, regelmæssigt gennemgå certificeringer udstedt i henhold til artikel 42, stk. 7

(o) where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7);

Sammenkædede tekster

Artikel 42 GDPR. Certificering

Article 42 GDPR. Certification

[…]

7. Certificering udstedes til en dataansvarlig eller en databehandler for en periode på højst tre år og kan forlænges på de samme betingelser, så længe de relevante krav stadig er opfyldt. Certificering trækkes tilbage af certificeringsorganerne, jf. artikel 43, eller i givet fald den kompetente tilsynsmyndighed, hvis kravene til certificering ikke er eller ikke længere er opfyldt.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

p) opstille og offentliggøre kriterierne for akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certificeringsorgan i henhold til artikel 43

(p) draft and publish the requirements for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Sammenkædede tekster

Artikel 41 GDPR. Kontrol af godkendte adfærdskodekser

Article 41 GDPR. Monitoring of approved codes of conduct

Artikel 43 GDPR. Certificeringsorganer

Article 43 GDPR. Certification bodies

q) foretage akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certificeringsorgan i henhold til artikel 43

(q) conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Sammenkædede tekster

Artikel 41 GDPR. Kontrol af godkendte adfærdskodekser

Article 41 GDPR. Monitoring of approved codes of conduct

Artikel 43 GDPR. Certificeringsorganer

Article 43 GDPR. Certification bodies

r) godkende kontraktbestemmelser og bestemmelser som omhandlet i artikel 46, stk. 3

(r) authorise contractual clauses and provisions referred to in Article 46(3);

Sammenkædede tekster

Artikel 46 GDPR. Overførsler omfattet af fornødne garantier

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

3. Med forbehold af godkendelse fra den kompetente tilsynsmyndighed kan de fornødne garantier i stk. 1 også sikres gennem navnlig:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

a) kontraktbestemmelser mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysninger i tredjelandet eller den internationale organisation, eller

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

b) bestemmelser, der medtages i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter effektive rettigheder, som kan håndhæves, for registrerede.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

[…]

s) godkende bindende virksomhedsregler i henhold til artikel 47

(s) approve binding corporate rules pursuant to Article 47;

Sammenkædede tekster

Artikel 47 GDPR. Bindende virksomhedsregler

Article 47 GDPR. Binding corporate rules

t) bidrage til Databeskyttelsesrådets aktiviteter

(t) contribute to the activities of the Board;

u) føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger, der er truffet i henhold til artikel 58, stk. 2, og

(u) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and

Sammenkædede tekster

Artikel 58 GDPR. Beføjelser

Article 58 GDPR. Powers

[…]

2. Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

2. Each supervisory authority shall have all of the following corrective powers:

a) at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

b) at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

c) at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning

(c) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

d) at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

(d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

e) at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden

(e) to order the controller to communicate a personal data breach to the data subject;

f) midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

(f) to impose a temporary or definitive limitation including a ban on processing;

g) at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16, 17 og 18 og meddelelse af sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 17, stk. 2, og artikel 19

(g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;

h) at trække en certificering tilbage eller at give et certificeringsorgan påbud om at trække en certificering, der er udstedt i henhold til artikel 42 og 43, tilbage eller at give certificeringsorganet påbud om ikke at udstede en certificering, hvis kravene til certificering ikke er eller ikke længere er opfyldt

(h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;

i) at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og

(i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case;

j) at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international organisation.

(j) to order the suspension of data flows to a recipient in a third country or to an international organisation.

[…]

v) udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger.

(v) fulfil any other tasks related to the protection of personal data.

2. Hver tilsynsmyndighed letter indgivelse af klager, jf. stk. 1, litra f), gennem foranstaltninger som f.eks. en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication.

3. Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den registrerede og, hvis det er relevant, for databeskyttelsesrådgiveren.

3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer.

4. Hvis anmodninger er åbenbart grundløse eller uforholdsmæssige, især fordi de gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr baseret på de administrative omkostninger eller afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler tilsynsmyndigheden.

4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

Generel forordning om databeskyttelse (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Betragtning Efterlad en kommentar

Betragtning

(123) Tilsynsmyndighederne bør føre tilsyn med anvendelsen af bestemmelserne i henhold til denne forordning og bidrage til ensartet anvendelse heraf i hele Unionen for at beskytte fysiske personer i forbindelse med behandling af deres personoplysninger og lette fri udveksling af personoplysninger på det indre marked. Til det formål bør tilsynsmyndighederne samarbejde med hinanden og Kommissionen, uden at der er behov for en aftale mellem medlemsstater om gensidig bistand eller om et sådant samarbejde.

(123) The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation.

(132) Tilsynsmyndigheders oplysningskampagner over for offentligheden bør omfatte specifikke foranstaltninger rettet mod dataansvarlige og databehandlere, herunder mikrovirksomheder og små og mellemstore virksomheder, samt fysiske personer, navnlig i uddannelsessammenhæng.

(132) Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context.

Efterlad en kommentar

[js-disqus]