Стаття 57 📖 GDPR. Завдання

Стаття 57 GDPR. Завдання

Article 57 GDPR. Tasks

1. Без обмеження інших завдань, встановлених згідно з цим Регламентом, кожний наглядовий орган на своїй території:

1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

(a) здійснює моніторинг і забезпечує застосування цього Регламенту;

(a) monitor and enforce the application of this Regulation;

(b) сприяє обізнаності громадськості та її розумінню ризиків, правил, гарантій і прав у зв’язку з опрацюванням. Особливу увагу необхідно приділити опрацюванню, спрямованому безпосередньо на дітей;

(b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention;

(c) консультує, згідно з законодавством держави-члена, національний парламент, уряд і інші установи та органи щодо законодавчих і адміністративних інструментів, що пов’язані з захистом прав і свобод фізичних осіб у зв’язку з опрацюванням;

(c) advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to processing;

(d) сприяє обізнаності контролерів і операторів про їхні обов’язки за цим Регламентом;

(d) promote the awareness of controllers and processors of their obligations under this Regulation;

(e) на запит, надає інформацію будь-якому суб’єкту даних щодо реалізації їхніх прав за цим Регламентом і, за необхідності, з цією метою співпрацює з наглядовими органами в інших державах-членах;

(e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;

(f) розглядає скарги, подані суб’єктом даних, або органом, організацією чи асоціацією згідно зі статтею 80, і розслідує, наскільки це можливо, предмет скарги та повідомляє позивача про прогрес і наслідки розслідування в розумний строк, зокрема якщо існує необхідність подальшого розслідування чи координації з іншим наглядовим органом;

(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

Пов'язані норми

Стаття 80 GDPR. Представництво суб'єктів даних

Article 80 GDPR. Representation of data subjects

(g) співпрацює, в тому числі, шляхом обміну інформацією та надання взаємної допомоги, з іншими наглядовими органами для забезпечення послідовності застосування та забезпечення виконання цього Регламенту;

(g) cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation;

(h) проводить розслідування щодо застосування цього Регламенту, в тому числі, на підставі інформації, отриманої від іншого наглядового органу чи іншого публічного органу;

(h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;

(i) здійснює моніторинг відповідних тенденцій, доки вони впливають на захист персональних даних, зокрема, розроблення інформаційно-комунікаційних технологій і комерційної практики;

(i) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices;

(j) ухвалює стандартні договірні положення, вказані в статті 28(8) та пункті (d) статті 46(2);

(j) adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2);

Пов'язані норми

Стаття 28 GDPR. Оператор

Article 28 GDPR. Processor

[…]

8. Наглядовий орган може ухвалити стандартні договірні положення з питань, вказаних у параграфах 3 і 4 цієї статті, та відповідно до механізму послідовності, вказаного в статті 63.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

[…]

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. Належні гарантії, вказані в параграфі 1, можна надавати без запиту на отримання від наглядового органу будь-якого спеціального дозволу:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

(d) стандартними положеннями щодо захисту даних, ухваленими наглядовим органом і затвердженими Комісією відповідно до експертної процедури, зазначеної в статті 93(2);

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

[…]

(k) започатковує і веде список у зв’язку з вимогами для оцінювання впливу на захист даних згідно зі статтею 35(4);

(k) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4);

Пов'язані норми

Стаття 35 GDPR. Оцінювання впливу на захист даних

Article 35 GDPR. Data protection impact assessment

[…]

4. Наглядовий орган повинен розробити і оприлюднити перелік операцій опрацювання, на які поширюється вимога проведення оцінювання впливу на захист даних відповідно до параграфа 1. Наглядовий орган повідомляє Раду про такі переліки, як вказано в статті 68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

[…]

(l) консультує щодо операцій опрацювання, вказаних у статті 36(2);

(l) give advice on the processing operations referred to in Article 36(2);

Пов'язані норми

Стаття 36 GDPR. Попередня консультація

Article 36 GDPR. Prior consultation

[…]

2. Якщо наглядовий орган вважає, що заплановане опрацювання, вказане в параграфі 1, може порушити цей Регламент, зокрема, якщо контролер недостатньо ідентифікував або знизив ризик, наглядовий орган, протягом періоду до восьми тижнів після отримання запиту на консультацію, повинен надати контролеру письмові рекомендації та, в разі необхідності, оператору, а також може використовувати будь-які свої повноваження, вказані в статті 58. Цей період може бути подовжено на шість тижнів, з огляду на складність запланованого опрацювання. Наглядовий орган інформує контролера та, в разі необхідності оператора, про будь-яке таке подовження протягом одного місяця з дати отримання запиту на консультацію разом з інформацією про причини такої затримки. Такі періоди може бути призупинено до отримання наглядовим органом інформації, яку він запитував для цілей консультації.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

[…]

(m) заохочує розроблення кодексів поведінки відповідно до статті 40(1), надає висновок і схвалює такі кодекси поведінки, що забезпечують достатні гарантії, відповідно до статті 40(5);

(m) encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5);

Пов'язані норми

Стаття 40 GDPR. Кодекс поведінки

Article 40 GDPR. Codes of conduct

1. Держави-члени, наглядові органи, Рада і Комісія заохочують розроблення кодексів поведінки, спрямованих на сприяння належному застосуванню цього Регламенту, беручи до уваги особливі характеристики різних секторів опрацювання та конкретні потреби мікропідприємств, малих і середніх підприємств.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

[…]

5. Асоціації та інші органи, вказані в параграфі 2 цієї статті, що мають намір підготувати кодекс поведінки чи внести зміни та доповнення або розширити наявний кодекс, подають проект кодексу, змін та доповнень або розширення до наглядового органу, що є компетентним відповідно до статті 55. Наглядовий орган надає висновок про те, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту, та затверджує такий проект кодексу, змін та доповнень або розширення, якщо з’ясовує, що в ньому передбачено достатні належні гарантії.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

[…]

(n) заохочує запровадження механізмів сертифікації захисту даних і штампів і знаків захисту даних згідно зі статтею 42(1), і схвалює критерії сертифікації згідно зі статтею 42(5);

(n) encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5);

Пов'язані норми

Стаття 42 GDPR. Сертифікація

Article 42 GDPR. Certification

1. Держави-члени, наглядові органи, Рада і Комісія заохочують, зокрема на рівні Союзу, запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних з метою підтвердження відповідності цьому Регламенту операцій опрацювання, які здійснюють контролери і оператори. Необхідно брати до уваги особливі потреби мікропідприємств, малих і середніх підприємств.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

[…]

5. Сертифікацію відповідно до цієї статті видають органи сертифікації, вказані в статті 43, або компетентні наглядові органи, на підставі критеріїв, затверджених таким компетентним наглядовим органом згідно зі статтею 58(3) або Радою згідно зі статтею 63. Якщо критерії затверджено Радою, це може стати результатом запровадження спільної сертифікації, Європейського штампу захисту даних.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

[…]

(o) за необхідності, здійснює періодичний перегляд сертифікацій, виданих згідно зі статтею 42(7);

(o) where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7);

Пов'язані норми

Стаття 42 GDPR. Сертифікація

Article 42 GDPR. Certification

[…]

7. Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

(p) розробляє і опубліковує критерії для акредитації органу для моніторингу кодексів поведінки згідно зі статтею 41 чи органу сертифікації згідно зі статтею 43;

(p) draft and publish the requirements for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Пов'язані норми

Стаття 41 GDPR. Моніторинг затверджених кодексів поведінки

Article 41 GDPR. Monitoring of approved codes of conduct

Стаття 43 GDPR. Органи сертифікації

Article 43 GDPR. Certification bodies

(q) проводить акредитацію органу для моніторингу кодексів поведінки згідно зі статтею 41 чи органу сертифікації згідно зі статтею 43;

(q) conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;

Пов'язані норми

Стаття 41 GDPR. Моніторинг затверджених кодексів поведінки

Article 41 GDPR. Monitoring of approved codes of conduct

Стаття 43 GDPR. Органи сертифікації

Article 43 GDPR. Certification bodies

(r) надає дозвіл на договірні положення, вказані в статті 46(3);

(r) authorise contractual clauses and provisions referred to in Article 46(3);

Пов'язані норми

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

3. З урахуванням дозволу компетентного наглядового органу, належні гарантії, вказані в параграфі 1, можна також надавати, зокрема:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) положеннями договору між контролером або оператором та контролером, оператором або одержувачем персональних даних у третій країні чи міжнародною організацією; або

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) положеннями, які необхідно включити до адміністративних домовленостей між публічними органами чи організаціями, що містять дієві та можливі для виконання права суб’єкта даних.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

[…]

(s) ухвалює зобов’язальні корпоративні правила відповідно до статті 47;

(s) approve binding corporate rules pursuant to Article 47;

Пов'язані норми

Стаття 47 GDPR. Зобов'язальні корпоративні правила

Article 47 GDPR. Binding corporate rules

(t) сприяє діяльності Ради;

(t) contribute to the activities of the Board;

(u) веде внутрішні записи порушень положень цього Регламенту та заходів, вжитих згідно зі статтею 58(2); і

(u) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and

Пов'язані норми

Стаття 58 GDPR. Повноваження

Article 58 GDPR. Powers

[…]

2. Кожний наглядовий орган має всі виправні повноваження, а саме:

2. Each supervisory authority shall have all of the following corrective powers:

(a) надсилати попередження контролеру або оператору про те, що призначені операції опрацювання ймовірно порушать положення цього Регламенту;

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

(b) виносити догану контролеру або оператору, якщо операції опрацювання порушують положення цього Регламенту;

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

(c) наказувати контролеру або оператору дотримуватися запитів суб’єкта даних для реалізації його прав відповідно до цього Регламенту;

(c) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

(d) наказувати контролеру або оператору привести операції опрацювання у відповідність з положеннями цього Регламенту, за необхідності, у встановленому порядку та протягом встановленого періоду;

(d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

(e) наказувати контролеру повідомити суб’єкта даних про порушення захисту персональних даних;

(e) to order the controller to communicate a personal data breach to the data subject;

(f) накладати тимчасове чи остаточне обмеження, в тому числі, заборону, на опрацювання.

(f) to impose a temporary or definitive limitation including a ban on processing;

(g) наказувати здійснити виправлення чи стирання персональних даних або обмеження опрацювання згідно зі статтями 16, 17 і 18, і нотифікацію про такі дії кожного одержувача, якому було розкрито персональні дані відповідно до статті 17(2) і статті 19;

(g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;

(h) відкликати сертифікацію чи наказати органу сертифікації відкликати сертифікацію, видану відповідно до статей 42 і 43, або наказати органу сертифікації не видавати сертифікацію, якщо вимоги для сертифікації не виконано або більше не виконуються;

(h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;

(i) накладати адміністративні штрафи відповідно до статті 83, як доповнення до, чи замість, заходів, вказаних у цьому параграфі, залежно від обставин кожної індивідуальної справи;

(i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case;

(j) наказувати призупинення потоків даних до одержувача в третій країні чи до міжнародної організації.

(j) to order the suspension of data flows to a recipient in a third country or to an international organisation.

[…]

(v) виконує будь-які інші завдання, пов’язані з захистом персональних даних.

(v) fulfil any other tasks related to the protection of personal data.

2. Кожний наглядовий орган полегшує подання скарг, вказаних у пункті (f) параграфа 1 за допомогою заходів, таких як форма подання скарги, яку також можна оформити в електронному форматі без обмеження інших засобів зв’язку.

2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication.

3. Виконання завдань кожного наглядового органу здійснюють на безоплатній основі для суб’єкта даних і, за необхідності, для співробітника з питань захисту даних.

3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer.

4. Якщо запити є явно необґрунтованими чи надмірними, зокрема, через їхнє багаторазове повторення, наглядовий орган може стягувати розумну плату, що ґрунтується на адміністративних витратах, або ухилитися від виконання дій на запит. Наглядовий орган повинен нести тягар доведення явно необґрунтованого чи надмірного характеру запиту.

4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Преамбули Залишити коментар

Преамбули

(123) Наглядові органи повинні здійснювати моніторинг застосування положень відповідно до цього Регламенту та сприяти його послідовному застосуванню в межах Союзу, для того, щоб захистити фізичних осіб у зв'язку з опрацюванням їхніх персональних даних і сприяти вільному потоку персональних даних у межах внутрішнього ринку. З цією метою наглядові органи повинні співпрацювати один з одним і з Комісією, без потреби в будь-якій угоді між державами-членами щодо надання взаємної допомоги чи щодо такої співпраці.

(123) The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation.

(132) Діяльність щодо підвищення рівня обізнаності громадськості, яку здійснюють наглядові органи, повинна передбачати спеціальні заходи, спрямовані на контролерів і операторів, у тому числі, мікропідприємств, малих і середніх підприємств, а також фізичних осіб, зокрема, в освітньому контексті.

(132) Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context.

Залишити коментар

[js-disqus]