Artikel 58 📖 AVG (GDPR). Bevoegdheden

Artikel 58 AVG (GDPR). Bevoegdheden

Article 58 GDPR. Powers

1. Elk toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:

1. Each supervisory authority shall have all of the following investigative powers:

a) de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;

(a) to order the controller and the processor, and, where applicable, the controller’s or the processor’s representative to provide any information it requires for the performance of its tasks;

b) onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;

(b) to carry out investigations in the form of data protection audits;

c) een toetsing te verrichten van de overeenkomstig artikel 42, lid 7, afgegeven certificeringen;

(c) to carry out a review on certifications issued pursuant to Article 42(7);

Verbindingen

Artikel 42 AVG (GDPR). Certificering

Article 42 GDPR. Certification

[…]

7. Het certificaat wordt afgegeven aan een verwerkingsverantwoordelijke of een verwerker voor een maximumperiode van drie jaar en kan worden verlengd onder dezelfde voorwaarden, mits bij voortduring aan de relevante eisen kan worden voldaan. Indien van toepassing wordt het certificaat ingetrokken door de in artikel 43 bedoelde certificerende organen of door de bevoegde toezichthoudende autoriteit, wanneer aan de eisen voor de certificering niet of niet meer wordt voldaan.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

d) de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening;

(d) to notify the controller or the processor of an alleged infringement of this Regulation;

e) van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van haar taken; en

(e) to obtain, from the controller and the processor, access to all personal data and to all information necessary for the performance of its tasks;

f) toegang te verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het uniale of lidstatelijke procesrecht.

(f) to obtain access to any premises of the controller and the processor, including to any data processing equipment and means, in accordance with Union or Member State procedural law.

2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

2. Each supervisory authority shall have all of the following corrective powers:

a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;

(c) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

(d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

e) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;

(e) to order the controller to communicate a personal data breach to the data subject;

f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;

(f) to impose a temporary or definitive limitation including a ban on processing;

g) het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19;

(g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;

Verbindingen

Artikel 16 AVG (GDPR). Recht op rectificatie

Article 16 GDPR. Right to rectification

De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.

The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

Artikel 17 AVG (GDPR). Recht op gegevenswissing („recht op vergetelheid”)

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

[…]

2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

[…]

Artikel 18 AVG (GDPR). Recht op beperking van de verwerking

Article 18 GDPR. Right to restriction of processing

Artikel 19 AVG (GDPR). Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking

Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing

De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 16, artikel 17, lid 1, en artikel 18, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.

The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article 17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it.

h) een certificering intrekken of het certificeringsorgaan gelasten een uit hoofde van de artikelen 42 en 43 afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan;

(h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;

Verbindingen

Artikel 42 AVG (GDPR). Certificering

Article 42 GDPR. Certification

Artikel 43 AVG (GDPR). Certificeringsorganen

Article 43 GDPR. Certification bodies

i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; en

(i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case;

j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.

(j) to order the suspension of data flows to a recipient in a third country or to an international organisation.

3. Elke toezichthoudende autoriteit heeft alle autorisatie- en adviesbevoegdheden om:

3. Each supervisory authority shall have all of the following authorisation and advisory powers:

a) de verwerkingsverantwoordelijke advies te verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 36;

(a) to advise the controller in accordance with the prior consultation procedure referred to in Article 36;

Verbindingen

Artikel 36 AVG (GDPR). Voorafgaande raadpleging

Article 36 GDPR. Prior consultation

b) op eigen initiatief dan wel op verzoek, aan het nationaal parlement, aan de regering van de lidstaat, of overeenkomstig het lidstatelijke recht aan andere instellingen en organen alsmede aan het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens;

(b) to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data;

c) toestemming te geven voor verwerking als bedoeld in artikel 36, lid 5, indien die voorafgaande toestemming door het lidstatelijke recht wordt voorgeschreven;

(c) to authorise processing referred to in Article 36(5), if the law of the Member State requires such prior authorisation;

Verbindingen

Artikel 36 AVG (GDPR). Voorafgaande raadpleging

Article 36 GDPR. Prior consultation

[…]

5. Niettegenstaande lid 1 kunnen de verwerkingsverantwoordelijken lidstaatrechtelijk ertoe worden verplicht overleg met de toezichthoudende autoriteit te plegen en om haar voorafgaande toestemming te verzoeken wanneer zij met het oog op de vervulling van een taak van algemeen belang verwerken, onder meer wanneer verwerking verband houdt met sociale bescherming en volksgezondheid.

5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.

d) overeenkomstig artikel 40, lid 5, advies uit te brengen over en goedkeuring te hechten aan de ontwerpgedragscodes;

(d) to issue an opinion and approve draft codes of conduct pursuant to Article 40(5);

Verbindingen

Artikel 40 AVG (GDPR). Gedragscodes

Article 40 GDPR. Codes of conduct

[…]

5. De in lid 2 van dit artikel bedoelde verenigingen en andere organen die voornemens zijn een gedragscode op te stellen of een bestaande gedragscode te wijzigen of uit te breiden, leggen de ontwerpgedragscode, de wijziging of uitbreiding voor aan de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit. De toezichthoudende autoriteit brengt advies uit over de vraag of de ontwerpgedragscode, de wijziging of uitbreiding strookt met deze verordening, en keurt deze ontwerpgedragscode, die wijziging of uitbreiding goed indien zij van oordeel is dat de code voldoende passende waarborgen biedt.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

[…]

e) certificeringsorganen te accrediteren overeenkomstig artikel 43;

(e) to accredit certification bodies pursuant to Article 43;

Verbindingen

Artikel 43 AVG (GDPR). Certificeringsorganen

Article 43 GDPR. Certification bodies

f) certificeringen af te geven en certificeringscriteria goed te keuren overeenkomstig artikel 42, lid 5;

(f) to issue certifications and approve criteria of certification in accordance with Article 42(5);

Verbindingen

Artikel 42 AVG (GDPR). Certificering

Article 42 GDPR. Certification

[…]

5. Een certificaat uit hoofde van dit artikel wordt afgegeven door de in artikel 43 bedoelde certificerende organen of door de bevoegde toezichthoudende autoriteit, op grond van de criteria die zijn goedgekeurd door die bevoegde toezichthoudende autoriteit op grond van artikel 58, lid 3, of door het Comité overeenkomstig artikel 63. Indien de criteria door het Comité zijn goedgekeurd, kan dit leiden tot een gemeenschappelijke certificaat, het Europees gegevensbeschermingszegel.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

[…]

g) de in artikel 28, lid 8, en artikel 46, lid 2, punt d), bedoelde standaardbepalingen inzake gegevensbescherming aan te nemen;

(g) to adopt standard data protection clauses referred to in Article 28(8) and in point (d) of Article 46(2);

Verbindingen

Artikel 28 AVG (GDPR). Verwerker

Article 28 GDPR. Processor

[…]

8. Een toezichthoudende autoriteit kan voor de in de leden 3 en 4 van dit artikel genoemde aangelegenheden en volgens het in artikel 63 bedoelde coherentiemechanisme standaardcontractbepalingen opstellen.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

[…]

Artikel 46 AVG (GDPR). Doorgiften op basis van passende waarborgen

Article 46 GDPR. Transfers subject to appropriate safeguards

2. De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

d) standaardbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd;

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

h) toestemming te verlenen voor de in artikel 46, lid 3, punt a), bedoelde contractbepalingen;

(h) to authorise contractual clauses referred to in point (a) of Article 46(3);

Verbindingen

Artikel 46 AVG (GDPR). Doorgiften op basis van passende waarborgen

Article 46 GDPR. Transfers subject to appropriate safeguards

3. Onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

a) contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie; of

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

i) toestemming te verlenen voor de in artikel 46, lid 3, punt b), bedoelde administratieve regelingen;

(i) to authorise administrative arrangements referred to in point (b) of Article 46(3);

Verbindingen

Artikel 46 AVG (GDPR). Doorgiften op basis van passende waarborgen

Article 46 GDPR. Transfers subject to appropriate safeguards

3. Onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

b) bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

j) goedkeuring te hechten aan bindende bedrijfsvoorschriften overeenkomstig artikel 47.

(j) to approve binding corporate rules pursuant to Article 47.

Verbindingen

Artikel 47 AVG (GDPR). Bindende bedrijfsvoorschriften

Article 47 GDPR. Binding corporate rules

4. Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.

4. The exercise of the powers conferred on the supervisory authority pursuant to this Article shall be subject to appropriate safeguards, including effective judicial remedy and due process, set out in Union and Member State law in accordance with the Charter.

5. Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.

5. Each Member State shall provide by law that its supervisory authority shall have the power to bring infringements of this Regulation to the attention of the judicial authorities and where appropriate, to commence or engage otherwise in legal proceedings, in order to enforce the provisions of this Regulation.

6. Elke lidstaat kan bij wet bepalen dat zijn toezichthoudende autoriteit, naast de in lid 1, 2 en 3 bedoelde bevoegdheden bijkomende bevoegdheden heeft. De uitoefening van die bevoegdheden doet geen afbreuk aan de doeltreffende werking van hoofdstuk VII.

6. Each Member State may provide by law that its supervisory authority shall have additional powers to those referred to in paragraphs 1, 2 and 3. The exercise of those powers shall not impair the effective operation of Chapter VII.

Algemene verordening gegevensbescherming (AVG, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Overwegingen Richtlijnen & Case Law laat een reactie achter

Overwegingen

(129) Met het oog op een consequent toezicht en eenvormige handhaving van deze verordening in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, en om, onverminderd de bevoegdheden die aan de met vervolging belaste autoriteiten conform het lidstatelijke recht zijn toegekend, inbreuken op deze verordening ter kennis van de rechterlijke instanties te brengen en gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking, waaronder een verwerkingsverbod, voor de verwerking op te leggen. De lidstaten kunnen krachtens deze verordening andere aan de bescherming van persoonsgegevens verwante taken specificeren. De bevoegdheden van de toezichthoudende autoriteiten moeten overeenkomstig passende in het Unierecht en het lidstatelijke recht bepaalde procedurele waarborgen, onpartijdig, behoorlijk en binnen een redelijke termijn worden uitgeoefend. Elke maatregel dient met name passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de personen in kwestie te vermijden. Onderzoeksbevoegdheden betreffende toegang tot terreinen moeten overeenkomstig de specifieke voorschriften van het lidstatelijke procesrecht, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, worden uitgeoefend. Elke juridisch bindende maatregel van de toezichthoudende autoriteit dient schriftelijk, duidelijk en ondubbelzinnig te zijn, de toezichthoudende autoriteit die de maatregel heeft uitgevaardigd en de datum van uitvaardiging te vermelden, door het hoofd of een door het hoofd gemachtigd lid van de toezichthoudende autoriteit ondertekend te zijn, de redenen voor de maatregel te bevatten en naar het recht op een doeltreffende voorziening in rechte te verwijzen. Dit dient bijkomende voorschriften overeenkomstig het lidstatelijke procesrecht niet uit te sluiten. De vaststelling van juridisch bindende besluiten impliceert de mogelijkheid tot rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld.

(129) In order to ensure consistent monitoring and enforcement of this Regulation throughout the Union, the supervisory authorities should have in each Member State the same tasks and effective powers, including powers of investigation, corrective powers and sanctions, and authorisation and advisory powers, in particular in cases of complaints from natural persons, and without prejudice to the powers of prosecutorial authorities under Member State law, to bring infringements of this Regulation to the attention of the judicial authorities and engage in legal proceedings. Such powers should also include the power to impose a temporary or definitive limitation, including a ban, on processing. Member States may specify other tasks related to the protection of personal data under this Regulation. The powers of supervisory authorities should be exercised in accordance with appropriate procedural safeguards set out in Union and Member State law, impartially, fairly and within a reasonable time. In particular each measure should be appropriate, necessary and proportionate in view of ensuring compliance with this Regulation, taking into account the circumstances of each individual case, respect the right of every person to be heard before any individual measure which would affect him or her adversely is taken and avoid superfluous costs and excessive inconveniences for the persons concerned. Investigatory powers as regards access to premises should be exercised in accordance with specific requirements in Member State procedural law, such as the requirement to obtain a prior judicial authorisation. Each legally binding measure of the supervisory authority should be in writing, be clear and unambiguous, indicate the supervisory authority which has issued the measure, the date of issue of the measure, bear the signature of the head, or a member of the supervisory authority authorised by him or her, give the reasons for the measure, and refer to the right of an effective remedy. This should not preclude additional requirements pursuant to Member State procedural law. The adoption of a legally binding decision implies that it may give rise to judicial review in the Member State of the supervisory authority that adopted the decision.

Richtlijnen & Case Law

(EN)

Case law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).

laat een reactie achter

[js-disqus]