Članak 57. 📖 GDPR. Zadaće

Članak 57. GDPR. Zadaće

Article 57 GDPR. Tasks

1. Ne dovodeći u pitanje ostale zadaće utvrđene u ovoj Uredbi, svako nadzorno tijelo na svom području:

1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

(a) prati i provodi primjenu ove Uredbe;

(a) monitor and enforce the application of this Regulation;

(b) promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost;

(b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention;

(c) savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;

(c) advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to processing;

(d) promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe;

(d) promote the awareness of controllers and processors of their obligations under this Regulation;

(e) na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;

(e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;

(f) rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

Vezani tekstovi

Članak 80. GDPR. Zastupanje ispitanika

Article 80 GDPR. Representation of data subjects

(g) surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe;

(g) cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation;

(h) provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;

(h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;

(i) prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi;

(i) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices;

(j) donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);

(j) adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2);

Vezani tekstovi

Članak 28. GDPR. Izvršitelj obrade

Article 28 GDPR. Processor

[…]

8. Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

[…]

Članak 46. GDPR. Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. Odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

(d) standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

[…]

(k) utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.;

(k) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4);

Vezani tekstovi

Članak 35. GDPR. Procjena učinka na zaštitu podataka

Article 35 GDPR. Data protection impact assessment

[…]

4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise Odboru iz članka 68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

[…]

(l) daje savjete o postupcima obrade iz članka 36. stavka 2.;

(l) give advice on the processing operations referred to in Article 36(2);

Vezani tekstovi

Članak 36. GDPR. Prethodno savjetovanje

Article 36 GDPR. Prior consultation

[…]

2. Ako nadzorno tijelo smatra da bi se namjeravanom obradom iz stavka 1. kršila ova Uredba, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, nadzorno tijelo u roku od najviše osam tjedana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade i, prema potrebi, izvršitelja obrade, te može iskoristiti bilo koju od svojih ovlasti iz članka 58. Taj se rok može prema potrebi produžiti za šest tjedana, uzimajući u obzir složenost namjeravane obrade. Nadzorno tijelo u roku od mjesec dana od zaprimanja zahtjeva obavješćuje voditelja obrade, i, prema potrebi, izvršitelja obrade o svakom takvom produljenju i o razlozima odgode. Ti se rokovi mogu suspendirati sve dok nadzorno tijelo ne dobije informacije koje je moglo zatražiti u svrhe savjetovanja.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

[…]

(m) potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.;

(m) encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5);

Vezani tekstovi

Članak 40. GDPR. Kodeksi ponašanja

Article 40 GDPR. Codes of conduct

1. Države članice, nadzorna tijela, Odbor i Komisija potiču izradu kodeksâ ponašanja koji su namijenjeni pružanju doprinosa ispravnoj primjeni ove Uredbe, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

[…]

5. Udruženja i druga tijela iz stavka2.ovog članka koji namjeravaju izraditi kodeks ponašanja ili izmijeniti ili proširiti postojeći kodeks, nacrt kodeksa, izmjenu ili proširenje predaju nadzornom tijelu koje je nadležno na temelju članka 55. Nadzorno tijelo daje mišljenje o tome je li nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom te takav nacrt kodeksa, izmjenu ili proširenje odobrava ako smatra da osigurava dovoljno prikladne zaštitne mjere.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

[…]

(n) potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.;

(n) encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5);

Vezani tekstovi

Članak 42. GDPR. Certificiranje

Article 42 GDPR. Certification

1. Države članice, nadzorna tijela, Odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

[…]

5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili Odbor na temelju članka 63.Ako je Odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

[…]

(o) prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.;

(o) where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7);

Vezani tekstovi

Članak 42. GDPR. Certificiranje

Article 42 GDPR. Certification

[…]

7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

(p) sastavlja i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;

(p) draft and publish the requirements for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Vezani tekstovi

Članak 41. GDPR. Praćenje odobrenih kodeksa ponašanja

Article 41 GDPR. Monitoring of approved codes of conduct

Članak 43. GDPR. Certifikacijska tijela

Article 43 GDPR. Certification bodies

(q) provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;

(q) conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Vezani tekstovi

Članak 41. GDPR. Praćenje odobrenih kodeksa ponašanja

Article 41 GDPR. Monitoring of approved codes of conduct

Članak 43. GDPR. Certifikacijska tijela

Article 43 GDPR. Certification bodies

(r) odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.;

(r) authorise contractual clauses and provisions referred to in Article 46(3);

Vezani tekstovi

Članak 46. GDPR. Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

3. Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

[…]

(s) odobrava obvezujuća korporativna pravila u skladu s člankom 43.;

(s) approve binding corporate rules pursuant to Article 47;

Vezani tekstovi

Članak 47. GDPR. Obvezujuća korporativna pravila

Article 47 GDPR. Binding corporate rules

(t) doprinosi aktivnostima Odbora;

(t) contribute to the activities of the Board;

(u) vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i

(u) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and

Vezani tekstovi

Članak 58. GDPR. Ovlasti

Article 58 GDPR. Powers

[…]

2. Svako nadzorno tijelo ima sve sljedeće korektivne ovlasti:

2. Each supervisory authority shall have all of the following corrective powers:

(a) izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe;

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

(b) izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

(c) narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;

(c) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

(d) narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku;

(d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

(e) narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;

(e) to order the controller to communicate a personal data breach to the data subject;

(f) privremeno ili konačno ograničiti, među ostalim zabraniti, obradu;

(f) to impose a temporary or definitive limitation including a ban on processing;

(g) narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.;

(g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;

(h) povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni;

(h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;

(i) izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja;

(i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case;

(j) narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji.

(j) to order the suspension of data flows to a recipient in a third country or to an international organisation.

[…]

(v) ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka.

(v) fulfil any other tasks related to the protection of personal data.

2. Svako nadzorno tijelo olakšava podnošenje pritužaba iz stavka 1. točke (b) mjerama poput obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication.

3. Obavljanje zadaća svakog nadzornog tijela besplatno je za ispitanika i, ako je primjenjivo, službenika za zaštitu podataka.

3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer.

4. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog učestalog ponavljanja, nadzorno tijelo može naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu. U tom je slučaju teret dokazivanja očite neutemeljenosti ili pretjeranosti zahtjeva na nadzornom tijelu.

4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

Opća uredba o zaštiti podataka (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Uvodne izjave Ostavite komentar

Uvodne izjave

(123) Nadzorna tijela trebala bi pratiti primjenu odredaba iz ove Uredbe i doprinositi njezinoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince s obzirom na obradu njihovih osobnih podataka i olakšala slobodni protok osobnih podataka na unutarnjem tržištu. U tu svrhu nadzorna tijela trebala bi surađivati međusobno i s Komisijom, bez potrebe za bilo kakvim dogovorom između država članica o pružanju uzajamne pomoći ili o takvoj suradnji.

(123) The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation.

(132) Aktivnosti nadzornih tijela za podizanje svijesti javnosti trebale bi uključivati posebne mjere za voditelje obrade i izvršitelje obrade, uključujući mikropoduzeća, mala i srednja poduzeća kao i pojedince, posebno u kontekstu obrazovanja.

(132) Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context.

Ostavite komentar

[js-disqus]