Artikkel 57 📖 GDPR. Oppgaver

Artikkel 57 GDPR. Oppgaver

Article 57 GDPR. Tasks

1. Uten at det berører andre oppgaver fastsatt i denne forordning, skal hver tilsynsmyndighet på sitt territorium

1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

a) føre tilsyn med og håndheve anvendelsen av denne forordning,

(a) monitor and enforce the application of this Regulation;

b) fremme allmennhetens kjennskap til og forståelse for risikoer, regler, garantier og rettigheter i forbindelse med behandling. Aktiviteter rettet spesielt mot barn skal vies særlig oppmerksomhet,

(b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention;

c) rådgi, i samsvar med medlemsstatenes nasjonale rett, det nasjonale parlament, regjeringen og andre institusjoner og organer om lovgivning og administrative tiltak knyttet til vern av fysiske personers rettigheter og friheter ved behandling,

(c) advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to processing;

d) fremme de behandlingsansvarliges og databehandlernes kjennskap til de forpliktelsene de har i henhold til denne forordning,

(d) promote the awareness of controllers and processors of their obligations under this Regulation;

e) på anmodning informere registrerte om utøvelse av de rettighetene de har i henhold til denne forordning og, dersom det er relevant, samarbeide med tilsynsmyndighetene i andre medlemsstater om dette,

(e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;

f) behandle klager som er inngitt av en registrert eller et organ, en organisasjon eller en sammenslutning i samsvar med artikkel 80, og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, særlig dersom det er behov for videre undersøkelse eller samordning med en annen tilsynsmyndighet,

(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

Relaterte tekster

Artikkel 80 GDPR. Representasjon av registrerte

Article 80 GDPR. Representation of data subjects

g) samarbeide med andre tilsynsmyndigheter, herunder ved å utveksle informasjon og yte gjensidig bistand, for å sikre ensartet anvendelse og håndheving av denne forordning,

(g) cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation;

h) gjennomføre undersøkelser om anvendelsen av denne forordning, herunder på grunnlag av informasjon mottatt fra en annen tilsynsmyndighet eller en annen offentlig myndighet,

(h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;

i) følge relevant utvikling, i den grad den har innvirkning på personvern, særlig utviklingen innen informasjons- og kommunikasjonsteknologi og handelspraksis,

(i) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices;

j) vedta standardavtalevilkår som nevnt i artikkel 28 nr. 8 og artikkel 46 nr. 2 bokstav d),

(j) adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2);

Relaterte tekster

Artikkel 28 GDPR. Databehandler

Article 28 GDPR. Processor

[…]

8. En tilsynsmyndighet kan vedta standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med konsistensmekanismen nevnt i artikkel 63.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

[…]

Artikkel 46 GDPR. Overføringer som omfattes av nødvendige garantier

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. De nødvendige garantiene nevnt i nr. 1 kan uten krav om særlig godkjenning fra en tilsynsmyndighet sikres ved hjelp av

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

d) standard personvernbestemmelser vedtatt av en tilsynsmyndighet og godkjent av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

[…]

k) opprette og vedlikeholde en liste i forbindelse med kravene til vurderingen av personvernkonsekvenser i henhold til artikkel 35 nr. 4,

(k) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4);

Relaterte tekster

Artikkel 35 GDPR. Vurdering av personvernkonsekvenser

Article 35 GDPR. Data protection impact assessment

[…]

4. Tilsynsmyndigheten skal utarbeide og offentliggjøre en liste over hvilke typer behandlingsaktiviteter som omfattes av kravet om vurdering av personvernkonsekvenser i henhold til nr. 1. Tilsynsmyndigheten skal oversende nevnte lister til Personvernrådet nevnt i artikkel 68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

[…]

l) gi råd om behandlingsaktivitetene nevnt i artikkel 36 nr. 2,

(l) give advice on the processing operations referred to in Article 36(2);

Relaterte tekster

Artikkel 36 GDPR. Forhåndsdrøftinger

Article 36 GDPR. Prior consultation

[…]

2. Dersom tilsynsmyndigheten mener at den planlagte behandlingen nevnt i nr. 1 vil være i strid med denne forordning, særlig dersom den behandlingsansvarlige ikke i tilstrekkelig grad har identifisert eller redusert risikoen, skal tilsynsmyndigheten innen en frist på opptil åtte uker fra mottak av anmodningen om drøftinger, gi den behandlingsansvarlige og, dersom det er relevant, databehandleren skriftlige råd, og kan i den forbindelse benytte den myndighet den har i henhold til artikkel 58. Denne fristen kan forlenges med seks uker, idet det tas hensyn til den planlagte behandlingens kompleksitet. Tilsynsmyndigheten skal underrette den behandlingsansvarlige og, dersom det er relevant, databehandleren om en eventuell forlengelse, sammen med årsakene til dette, senest én måned etter å ha mottatt anmodningen om drøftinger. Disse fristene kan utsettes midlertidig fram til tilsynsmyndigheten har innhentet informasjonen den har anmodet i forbindelse med drøftingene.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

[…]

m) oppmuntre til utarbeiding av atferdsnormer i henhold til artikkel 40 nr. 1 og avgi uttalelse om og godkjenne slike atferdsnormer som gir tilstrekkelige garantier, i henhold til artikkel 40 nr. 5,

(m) encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5);

Relaterte tekster

Artikkel 40 GDPR. Atferdsnormer

Article 40 GDPR. Codes of conduct

1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal oppmuntre til at det utarbeides atferdsnormer som skal bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

[…]

5. Sammenslutninger og andre organer nevnt i nr. 2 i denne artikkel som har til hensikt å utarbeide atferdsnormer eller endre eller utvide eksisterende atferdsnormer, skal framlegge utkastet til, endringen eller utvidelsen av atferdsnormene for tilsynsmyndigheten som har kompetanse i henhold til artikkel 55. Tilsynsmyndigheten skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning, og skal godkjenne nevnte utkast til, endring eller utvidelse av atferdsnormene dersom den finner at de inneholder tilstrekkelige og nødvendige garantier.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

[…]

n) oppmuntre til innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 42 nr. 1, og å godkjenne kriteriene for sertifisering i henhold til artikkel 42 nr. 5,

(n) encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5);

Relaterte tekster

Artikkel 42 GDPR. Sertifisering

Article 42 GDPR. Certification

1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal, særlig på unionsplan, oppmuntre til at det opprettes mekanismer for personvernsertifisering samt personvernsegl og -merker med det som mål å påvise at de behandlingsansvarliges og databehandlernes behandlingsaktiviteter oppfyller kravene i denne forordning. Det skal tas hensyn til de særlige behovene til svært små, små og mellomstore bedrifter.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

[…]

5. En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet på grunnlag av kriterier som er godkjent av nevnte vedkommende myndighet i henhold til artikkel 58 nr. 3, eller av Personvernrådet i henhold til artikkel 63. Dersom kriteriene er godkjent av Personvernrådet, kan dette føre til en felles sertifisering – det europeiske personvernsegl.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

[…]

o) dersom det er relevant, foreta en regelmessig gjennomgåelse av sertifiseringene utstedt i samsvar med artikkel 42 nr. 7,

(o) where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7);

Relaterte tekster

Artikkel 42 GDPR. Sertifisering

Article 42 GDPR. Certification

[…]

7. Sertifiseringen skal utstedes til en behandlingsansvarlig eller databehandler for en periode på høyst tre år og kan fornyes på samme vilkår, forutsatt at relevante kriterier fortsatt er oppfylt. Sertifiseringen skal tilbakekalles av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet, etter hva som er relevant, dersom kriteriene for sertifisering ikke lenger er oppfylt.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

p) utarbeide et utkast til og offentliggjøre kravene for akkreditering av et organ med ansvar for tilsyn med atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,

(p) draft and publish the requirements for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Relaterte tekster

Artikkel 41 GDPR. Kontroll av godkjente atferdsnormer

Article 41 GDPR. Monitoring of approved codes of conduct

Artikkel 43 GDPR. Sertifiseringsorganer

Article 43 GDPR. Certification bodies

q) foreta akkreditering av et organ med ansvar for overvåking av atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,

(q) conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Relaterte tekster

Artikkel 41 GDPR. Kontroll av godkjente atferdsnormer

Article 41 GDPR. Monitoring of approved codes of conduct

Artikkel 43 GDPR. Sertifiseringsorganer

Article 43 GDPR. Certification bodies

r) godkjenne avtalevilkår og bestemmelser som nevnt i artikkel 46 nr. 3,

(r) authorise contractual clauses and provisions referred to in Article 46(3);

Relaterte tekster

Artikkel 46 GDPR. Overføringer som omfattes av nødvendige garantier

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

3. Forutsatt godkjenning fra vedkommende tilsynsmyndighet kan de nødvendige garantiene nevnt i nr. 1 også sikres, særlig ved hjelp av

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

a) avtalevilkår mellom den behandlingsansvarlige eller databehandleren og den behandlingsansvarlige, databehandleren eller mottakeren av personopplysninger i tredjestaten eller den internasjonale organisasjonen, eller

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

b) bestemmelser som skal innføres i administrative ordninger mellom offentlige myndigheter eller organer, og som omfatter håndhevbare og effektive rettigheter for de registrerte.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

[…]

s) godkjenne bindende virksomhetsregler i henhold til artikkel 47,

(s) approve binding corporate rules pursuant to Article 47;

Relaterte tekster

Artikkel 47 GDPR. Bindende virksomhetsregler

Article 47 GDPR. Binding corporate rules

t) bidra i Personvernrådets arbeid,

(t) contribute to the activities of the Board;

u) føre interne registre over overtredelser av denne forordning og over tiltak som er truffet i samsvar med artikkel 58 nr. 2, og

(u) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and

Relaterte tekster

Artikkel 58 GDPR. Myndighet

Article 58 GDPR. Powers

[…]

2. Hver tilsynsmyndighet skal ha myndighet til å beslutte følgende korrigerende tiltak:

2. Each supervisory authority shall have all of the following corrective powers:

a) utstede advarsler til en behandlingsansvarlig eller databehandler om at de planlagte behandlingsaktivitetene sannsynligvis er i strid med bestemmelsene i denne forordning,

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

b) utstede irettesettelser til en behandlingsansvarlig eller databehandler dersom behandlingsaktivitetene er i strid med bestemmelsene i denne forordning,

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

c) pålegge den behandlingsansvarlige eller databehandleren å imøtekomme den registrertes anmodninger om å utøve sine rettigheter i henhold til denne forordning,

(c) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

d) pålegge den behandlingsansvarlige eller databehandleren å sørge for at behandlingsaktivitetene skjer i samsvar med bestemmelsene i denne forordning og, dersom det er relevant, på en bestemt måte og innen en bestemt frist,

(d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

e) pålegge den behandlingsansvarlige å underrette den registrerte om brudd på personopplysningssikkerheten,

(e) to order the controller to communicate a personal data breach to the data subject;

f) innføre en midlertidig eller varig begrensning av, herunder et forbud mot, behandling,

(f) to impose a temporary or definitive limitation including a ban on processing;

g) pålegge retting eller sletting av personopplysninger eller begrensning av behandlingen i henhold til artikkel 16, 17 og 18 og underretning av mottakere som personopplysningene er utlevert til i henhold til artikkel 17 nr. 2 og artikkel 19, om nevnte tiltak,

(g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;

h) trekke tilbake en sertifisering eller pålegge sertifiseringsorganet å trekke tilbake en sertifisering utstedt i henhold til artikkel 42 og 43, eller pålegge sertifiseringsorganet å ikke utstede sertifisering dersom kravene til sertifisering ikke lenger er oppfylt,

(h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;

i) ilegge overtredelsesgebyrer i henhold til artikkel 83 i tillegg til, eller i stedet for, tiltak som det vises til i dette nummer, avhengig av omstendighetene i hvert enkelt tilfelle,

(i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case;

j) gi påbud om et midlertidig opphold i datastrømmene til en mottaker i en tredjestat eller til en internasjonal organisasjon.

(j) to order the suspension of data flows to a recipient in a third country or to an international organisation.

[…]

v) utføre enhver annen oppgave knyttet til vern av personopplysninger.

(v) fulfil any other tasks related to the protection of personal data.

2. Hver tilsynsmyndighet skal legge til rette for inngivelse av klager som nevnt i nr. 1 bokstav f) ved hjelp av tiltak som f.eks. et klageskjema som også kan fylles ut elektronisk, uten å utelukke andre kommunikasjonsmidler.

2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication.

3. Oppgavene som hver tilsynsmyndighet utfører, skal være gratis for den registrerte og, dersom det er relevant, for personvernombudet.

3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer.

4. Dersom anmodninger er åpenbart grunnløse eller overdrevne, især fordi de gjentas, kan tilsynsmyndigheten kreve et rimelig gebyr basert på administrasjonskostnadene, eller nekte å etterkomme anmodningen. Tilsynsmyndigheten skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.

4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

Generell personvernforordning) [PVF, GDPR]

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Fortalepunkter Legg igjen en kommentar

Fortalepunkter

123) Tilsynsmyndighetene bør føre tilsyn med anvendelsen av bestemmelsene i denne forordning samt bidra til en ensartet anvendelse av forordningen i hele Unionen for å sikre vern av fysiske personer i forbindelse med behandling av deres personopplysninger og fremme den frie flyten av personopplysninger i det indre marked. For dette formål bør tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen uten at det er behov for en avtale om yting av gjensidig bistand eller slikt samarbeid mellom medlemsstatene.

(123) The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation.

132) Tilsynsmyndighetenes holdningskampanjer rettet mot allmennheten bør omfatte særlige tiltak rettet mot behandlingsansvarlige og databehandlere, herunder svært små, små og mellomstore bedrifter samt fysiske personer, særlig i utdanningssammenheng.

(132) Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context.

Legg igjen en kommentar

[js-disqus]