Стаття 58 📖 GDPR. Повноваження

Стаття 58 GDPR. Повноваження

Article 58 GDPR. Powers

1. Кожний наглядовий орган має всі слідчі повноваження, а саме:

1. Each supervisory authority shall have all of the following investigative powers:

(a) видавати розпорядження контролеру або оператору і, за необхідності, представнику контролера або оператора надати будь-яку інформацію, яку він вимагає для виконання своїх завдань;

(a) to order the controller and the processor, and, where applicable, the controller’s or the processor’s representative to provide any information it requires for the performance of its tasks;

(b) проводити розслідування в формі перевірок захисту даних;

(b) to carry out investigations in the form of data protection audits;

(c) здійснювати перегляд сертифікацій, виданих згідно зі статтею 42(7);

(c) to carry out a review on certifications issued pursuant to Article 42(7);

Пов'язані норми

Стаття 42 GDPR. Сертифікація

Article 42 GDPR. Certification

[…]

7. Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

(d) повідомляти контролера або оператора про передбачуване порушення цього Регламенту;

(d) to notify the controller or the processor of an alleged infringement of this Regulation;

(e) отримувати, від контролера або оператора, доступ до всіх персональних даних і до всієї інформації, необхідної для виконання його завдань;

(e) to obtain, from the controller and the processor, access to all personal data and to all information necessary for the performance of its tasks;

(f) отримувати доступ до будь-яких приміщень контролера або оператора, в тому числі до будь-якого обладнання і засобів опрацювання даних згідно з процесуальним законодавством Союзу чи держави-члена.

(f) to obtain access to any premises of the controller and the processor, including to any data processing equipment and means, in accordance with Union or Member State procedural law.

2. Кожний наглядовий орган має всі виправні повноваження, а саме:

2. Each supervisory authority shall have all of the following corrective powers:

(a) надсилати попередження контролеру або оператору про те, що призначені операції опрацювання ймовірно порушать положення цього Регламенту;

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

(b) виносити догану контролеру або оператору, якщо операції опрацювання порушують положення цього Регламенту;

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

(c) наказувати контролеру або оператору дотримуватися запитів суб’єкта даних для реалізації його прав відповідно до цього Регламенту;

(c) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

(d) наказувати контролеру або оператору привести операції опрацювання у відповідність з положеннями цього Регламенту, за необхідності, у встановленому порядку та протягом встановленого періоду;

(d) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

(e) наказувати контролеру повідомити суб’єкта даних про порушення захисту персональних даних;

(e) to order the controller to communicate a personal data breach to the data subject;

(f) накладати тимчасове чи остаточне обмеження, в тому числі, заборону, на опрацювання.

(f) to impose a temporary or definitive limitation including a ban on processing;

(g) наказувати здійснити виправлення чи стирання персональних даних або обмеження опрацювання згідно зі статтями 16, 17 і 18, і нотифікацію про такі дії кожного одержувача, якому було розкрито персональні дані відповідно до статті 17(2) і статті 19;

(g) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;

Пов'язані норми

Стаття 16 GDPR. Право на виправлення

Article 16 GDPR. Right to rectification

Суб’єкт даних повинен мати право на виправлення його або її неточних персональних даних, яке повинен здійснити контролер без будь-якої необґрунтованої затримки. Зважаючи на цілі опрацювання, суб’єкт даних повинен мати право заповнити незаповнені персональні дані, в тому числі, надавши додаткову заяву.

The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

Стаття 17 GDPR. Право на стирання ("право бути забутим")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

[…]

2. У разі, якщо контролер оприлюднив персональні дані та є зобов’язаним відповідно до параграфа 1 стерти персональні дані, контролер, з урахуванням наявних технологій та витрат на їхню реалізацію, повинен вжити відповідних заходів, у тому числі, технічних заходів, для інформування контролерів, які опрацьовують персональні дані, про те, що суб’єкт даних направив запит на стирання такими контролерами будь-яких посилань на такі персональні дані, їхні копії чи відтворення.

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

[…]

Стаття 18 GDPR. Право на обмеження опрацювання

Article 18 GDPR. Right to restriction of processing

Стаття 19 GDPR. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацювання

Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing

Контролер повинен повідомити про будь-яке виправлення чи стирання персональних даних або обмеження опрацювання, що здійснюють згідно зі статтею 16, статтею 17(1) і статтею 18, кожного одержувача, якому було розкрито персональні дані, за винятком, якщо це неможливо або викликає несумісні наслідки. Контролер повинен повідомити суб’єкта даних про таких одержувачів, якщо суб’єкт даних надсилає про це запит.

The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article 17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it.

(h) відкликати сертифікацію чи наказати органу сертифікації відкликати сертифікацію, видану відповідно до статей 42 і 43, або наказати органу сертифікації не видавати сертифікацію, якщо вимоги для сертифікації не виконано або більше не виконуються;

(h) to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;

Пов'язані норми

Стаття 42 GDPR. Сертифікація

Article 42 GDPR. Certification

Стаття 43 GDPR. Органи сертифікації

Article 43 GDPR. Certification bodies

(i) накладати адміністративні штрафи відповідно до статті 83, як доповнення до, чи замість, заходів, вказаних у цьому параграфі, залежно від обставин кожної індивідуальної справи;

(i) to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case;

(j) наказувати призупинення потоків даних до одержувача в третій країні чи до міжнародної організації.

(j) to order the suspension of data flows to a recipient in a third country or to an international organisation.

3. Кожний наглядовий орган має всі дозвільні і консультативні повноваження, а саме:

3. Each supervisory authority shall have all of the following authorisation and advisory powers:

(a) консультувати контролера відповідно до процедури попередніх консультацій, вказаної в статті 36;

(a) to advise the controller in accordance with the prior consultation procedure referred to in Article 36;

Пов'язані норми

Стаття 36 GDPR. Попередня консультація

Article 36 GDPR. Prior consultation

(b) видавати, за власною ініціативою чи на запит, висновки для національного парламенту, уряду держави-члена чи, відповідно до законодавства держави-члена, інших установ і органів, а також громадськості щодо будь-якого питання, пов’язаного з захистом персональних даних;

(b) to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data;

(c) надавати дозвіл на опрацювання, вказане в статті 36(5), якщо законодавство держави-члена вимагає надання такого попереднього дозволу;

(c) to authorise processing referred to in Article 36(5), if the law of the Member State requires such prior authorisation;

Пов'язані норми

Стаття 36 GDPR. Попередня консультація

Article 36 GDPR. Prior consultation

[…]

5. Без обмеження положень параграфа 1, законодавство держав-членів може вимагати від контролерів проводити консультації та отримувати попередній дозвіл від наглядового органу щодо опрацювання контролером для реалізації завдання, яке виконує контролер для цілей суспільного інтересу, в тому числі, опрацювання в сфері соціального захисту і охорони суспільного здоров’я.

5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.

(d) надавати висновок і затверджувати проекти кодексів поведінки відповідно до статті 40(5);

(d) to issue an opinion and approve draft codes of conduct pursuant to Article 40(5);

Пов'язані норми

Стаття 40 GDPR. Кодекс поведінки

Article 40 GDPR. Codes of conduct

[…]

5. Асоціації та інші органи, вказані в параграфі 2 цієї статті, що мають намір підготувати кодекс поведінки чи внести зміни та доповнення або розширити наявний кодекс, подають проект кодексу, змін та доповнень або розширення до наглядового органу, що є компетентним відповідно до статті 55. Наглядовий орган надає висновок про те, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту, та затверджує такий проект кодексу, змін та доповнень або розширення, якщо з’ясовує, що в ньому передбачено достатні належні гарантії.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

[…]

(e) надавати акредитацію органам сертифікації відповідно до статті 43;

(e) to accredit certification bodies pursuant to Article 43;

Пов'язані норми

Стаття 43 GDPR. Органи сертифікації

Article 43 GDPR. Certification bodies

(f) видавати сертифікації та затверджувати критерії сертифікації відповідно до статті 42(5);

(f) to issue certifications and approve criteria of certification in accordance with Article 42(5);

Пов'язані норми

Стаття 42 GDPR. Сертифікація

Article 42 GDPR. Certification

[…]

5. Сертифікацію відповідно до цієї статті видають органи сертифікації, вказані в статті 43, або компетентні наглядові органи, на підставі критеріїв, затверджених таким компетентним наглядовим органом згідно зі статтею 58(3) або Радою згідно зі статтею 63. Якщо критерії затверджено Радою, це може стати результатом запровадження спільної сертифікації, Європейського штампу захисту даних.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

[…]

(g) ухвалювати стандартні положення щодо захисту даних, вказані в статті 28(8) та пункті (d) статті 46(2);

(g) to adopt standard data protection clauses referred to in Article 28(8) and in point (d) of Article 46(2);

Пов'язані норми

Стаття 28 GDPR. Оператор

Article 28 GDPR. Processor

[…]

8. Наглядовий орган може ухвалити стандартні договірні положення з питань, вказаних у параграфах 3 і 4 цієї статті, та відповідно до механізму послідовності, вказаного в статті 63.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

[…]

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

Article 46 GDPR. Transfers subject to appropriate safeguards

2. Належні гарантії, вказані в параграфі 1, можна надавати без запиту на отримання від наглядового органу будь-якого спеціального дозволу:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

(d) стандартними положеннями щодо захисту даних, ухваленими наглядовим органом і затвердженими Комісією відповідно до експертної процедури, зазначеної в статті 93(2);

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

(h) надавати дозвіл на договірні положення, вказані в пункті (a) статті 46(3);

(h) to authorise contractual clauses referred to in point (a) of Article 46(3);

Пов'язані норми

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

Article 46 GDPR. Transfers subject to appropriate safeguards

3. З урахуванням дозволу компетентного наглядового органу, належні гарантії, вказані в параграфі 1, можна також надавати, зокрема:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) положеннями договору між контролером або оператором та контролером, оператором або одержувачем персональних даних у третій країні чи міжнародною організацією; або

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(i) надавати дозвіл на адміністративні домовленості, вказані в пункті (b) статті 46(3);

(i) to authorise administrative arrangements referred to in point (b) of Article 46(3);

Пов'язані норми

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

Article 46 GDPR. Transfers subject to appropriate safeguards

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(b) положеннями, які необхідно включити до адміністративних домовленостей між публічними органами чи організаціями, що містять дієві та можливі для виконання права суб’єкта даних.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

(j) затверджувати зобов’язальні корпоративні правила відповідно до статті 47.

(j) to approve binding corporate rules pursuant to Article 47.

Пов'язані норми

Стаття 47 GDPR. Зобов'язальні корпоративні правила

Article 47 GDPR. Binding corporate rules

4. На реалізацію повноважень, покладених на наглядовий орган відповідно до цієї статті, поширюються належні гарантії, у тому числі, дієвий судовий засіб правового захисту та належний процес, передбачений в законодавстві Союзу або держави-члена згідно з Хартією.

4. The exercise of the powers conferred on the supervisory authority pursuant to this Article shall be subject to appropriate safeguards, including effective judicial remedy and due process, set out in Union and Member State law in accordance with the Charter.

5. Кожна держава-член забезпечує на законодавчому рівні, щоб її наглядовий орган було наділено повноваженням виносити порушення цього Регламенту до уваги судових органів і, в разі необхідності, розпочинати процесуальні дії чи іншим чином залучати до них для того, щоб забезпечити виконання положень цього Регламенту.

5. Each Member State shall provide by law that its supervisory authority shall have the power to bring infringements of this Regulation to the attention of the judicial authorities and where appropriate, to commence or engage otherwise in legal proceedings, in order to enforce the provisions of this Regulation.

6. Кожна держава-член може передбачити на законодавчому рівні, щоб її наглядовий орган було наділено додатковими повноваженнями, крім тих, що вказано в параграфах 1, 2 і 3. Реалізація таких повноважень не повинна перешкоджати результативному застосуванню глави VII.

6. Each Member State may provide by law that its supervisory authority shall have additional powers to those referred to in paragraphs 1, 2 and 3. The exercise of those powers shall not impair the effective operation of Chapter VII.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Преамбули Керівництво та прецедентне право Залишити коментар

Преамбули

(129) Для забезпечення послідовного моніторингу і виконання цього Регламенту в межах Союзу, наглядові органи повинні мати в кожній державі-члені однакові завдання та дієві повноваження, в тому числі повноваження на розслідування, виправні повноваження та санкції, дозвільні та консультативні повноваження, зокрема, у випадках подання скарг фізичними особами, і без обмеження повноважень органів прокуратори за законодавством держави-члена, доводити інформацію про порушення цього Регламенту до відома судових органів та брати участь у судовому процесі. Такі повноваження повинні також включати повноваження накладати тимчасове або остаточне обмеження, в тому числі заборону, на опрацювання. Держави-члени мають право визначати інші завдання, пов'язані з захистом персональних даних за цим Регламентом. Повноваження наглядових органів необхідно реалізовувати відповідно до належних процедурних гарантій, встановлених законодавством Союзу та держави-члена, неупереджено, правомірно та в розумний строк. Зокрема, кожний захід має бути доцільним, необхідним і пропорційним в аспекті забезпечення відповідності цьому Регламенту, з огляду на обставини кожної індивідуальної справи, поважати право кожної особи бути вислуханою до вжиття будь-якого індивідуального заходу, що негативно вплине на неї, та уникати зайвих витрат і надмірних незручностей для відповідних осіб. Слідчі повноваження щодо доступу до приміщень необхідно реалізовувати відповідно до спеціальних вимог процесуального права держави-члена, зокрема, вимоги щодо отримання попереднього судового дозволу. Кожний юридично зобов'язальний інструмент наглядового органу необхідно оформлювати у письмовій формі, чітко й однозначно, із зазначенням наглядового органу, який ухвалив інструмент, дати ухвалення інструменту, він повинен містити підпис голови чи члена наглядового органу, уповноваженого ним, обґрунтування інструменту, а також повинен вказувати на право щодо дієвого засобу правового захисту. Це не виключає можливість додаткових вимог згідно з процесуальним правом держави-члена. Ухвалення юридично зобов'язального рішення передбачає, що воно може призвести до судового перегляду в державі-члені наглядового органу, який ухвалив рішення.

(129) In order to ensure consistent monitoring and enforcement of this Regulation throughout the Union, the supervisory authorities should have in each Member State the same tasks and effective powers, including powers of investigation, corrective powers and sanctions, and authorisation and advisory powers, in particular in cases of complaints from natural persons, and without prejudice to the powers of prosecutorial authorities under Member State law, to bring infringements of this Regulation to the attention of the judicial authorities and engage in legal proceedings. Such powers should also include the power to impose a temporary or definitive limitation, including a ban, on processing. Member States may specify other tasks related to the protection of personal data under this Regulation. The powers of supervisory authorities should be exercised in accordance with appropriate procedural safeguards set out in Union and Member State law, impartially, fairly and within a reasonable time. In particular each measure should be appropriate, necessary and proportionate in view of ensuring compliance with this Regulation, taking into account the circumstances of each individual case, respect the right of every person to be heard before any individual measure which would affect him or her adversely is taken and avoid superfluous costs and excessive inconveniences for the persons concerned. Investigatory powers as regards access to premises should be exercised in accordance with specific requirements in Member State procedural law, such as the requirement to obtain a prior judicial authorisation. Each legally binding measure of the supervisory authority should be in writing, be clear and unambiguous, indicate the supervisory authority which has issued the measure, the date of issue of the measure, bear the signature of the head, or a member of the supervisory authority authorised by him or her, give the reasons for the measure, and refer to the right of an effective remedy. This should not preclude additional requirements pursuant to Member State procedural law. The adoption of a legally binding decision implies that it may give rise to judicial review in the Member State of the supervisory authority that adopted the decision.

Керівництво та прецедентне право

(EN)

Case law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).

Залишити коментар

[js-disqus]