Стаття 58 📖 GDPR. Повноваження

Стаття 58 GDPR. Повноваження

1. Кожний наглядовий орган має всі слідчі повноваження, а саме:

(a) видавати розпорядження контролеру або оператору і, за необхідності, представнику контролера або оператора надати будь-яку інформацію, яку він вимагає для виконання своїх завдань;

(b) проводити розслідування в формі перевірок захисту даних;

(c) здійснювати перегляд сертифікацій, виданих згідно зі статтею 42(7);

Пов'язані норми

Стаття 42 GDPR. Сертифікація

[…]

7. Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.

[…]

(d) повідомляти контролера або оператора про передбачуване порушення цього Регламенту;

(e) отримувати, від контролера або оператора, доступ до всіх персональних даних і до всієї інформації, необхідної для виконання його завдань;

(f) отримувати доступ до будь-яких приміщень контролера або оператора, в тому числі до будь-якого обладнання і засобів опрацювання даних згідно з процесуальним законодавством Союзу чи держави-члена.

2. Кожний наглядовий орган має всі виправні повноваження, а саме:

(a) надсилати попередження контролеру або оператору про те, що призначені операції опрацювання ймовірно порушать положення цього Регламенту;

(b) виносити догану контролеру або оператору, якщо операції опрацювання порушують положення цього Регламенту;

(c) наказувати контролеру або оператору дотримуватися запитів суб’єкта даних для реалізації його прав відповідно до цього Регламенту;

(d) наказувати контролеру або оператору привести операції опрацювання у відповідність з положеннями цього Регламенту, за необхідності, у встановленому порядку та протягом встановленого періоду;

(e) наказувати контролеру повідомити суб’єкта даних про порушення захисту персональних даних;

(f) накладати тимчасове чи остаточне обмеження, в тому числі, заборону, на опрацювання.

(g) наказувати здійснити виправлення чи стирання персональних даних або обмеження опрацювання згідно зі статтями 16, 17 і 18, і нотифікацію про такі дії кожного одержувача, якому було розкрито персональні дані відповідно до статті 17(2) і статті 19;

Пов'язані норми

Стаття 16 GDPR. Право на виправлення

Суб’єкт даних повинен мати право на виправлення його або її неточних персональних даних, яке повинен здійснити контролер без будь-якої необґрунтованої затримки. Зважаючи на цілі опрацювання, суб’єкт даних повинен мати право заповнити незаповнені персональні дані, в тому числі, надавши додаткову заяву.

Стаття 17 GDPR. Право на стирання ("право бути забутим")

[…]

2. У разі, якщо контролер оприлюднив персональні дані та є зобов’язаним відповідно до параграфа 1 стерти персональні дані, контролер, з урахуванням наявних технологій та витрат на їхню реалізацію, повинен вжити відповідних заходів, у тому числі, технічних заходів, для інформування контролерів, які опрацьовують персональні дані, про те, що суб’єкт даних направив запит на стирання такими контролерами будь-яких посилань на такі персональні дані, їхні копії чи відтворення.

[…]

Стаття 18 GDPR. Право на обмеження опрацювання

Стаття 19 GDPR. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацювання

Контролер повинен повідомити про будь-яке виправлення чи стирання персональних даних або обмеження опрацювання, що здійснюють згідно зі статтею 16, статтею 17(1) і статтею 18, кожного одержувача, якому було розкрито персональні дані, за винятком, якщо це неможливо або викликає несумісні наслідки. Контролер повинен повідомити суб’єкта даних про таких одержувачів, якщо суб’єкт даних надсилає про це запит.

(h) відкликати сертифікацію чи наказати органу сертифікації відкликати сертифікацію, видану відповідно до статей 42 і 43, або наказати органу сертифікації не видавати сертифікацію, якщо вимоги для сертифікації не виконано або більше не виконуються;

Пов'язані норми

Стаття 42 GDPR. Сертифікація

Стаття 43 GDPR. Органи сертифікації

(i) накладати адміністративні штрафи відповідно до статті 83, як доповнення до, чи замість, заходів, вказаних у цьому параграфі, залежно від обставин кожної індивідуальної справи;

(j) наказувати призупинення потоків даних до одержувача в третій країні чи до міжнародної організації.

3. Кожний наглядовий орган має всі дозвільні і консультативні повноваження, а саме:

(a) консультувати контролера відповідно до процедури попередніх консультацій, вказаної в статті 36;

Пов'язані норми

Стаття 36 GDPR. Попередня консультація

(b) видавати, за власною ініціативою чи на запит, висновки для національного парламенту, уряду держави-члена чи, відповідно до законодавства держави-члена, інших установ і органів, а також громадськості щодо будь-якого питання, пов’язаного з захистом персональних даних;

(c) надавати дозвіл на опрацювання, вказане в статті 36(5), якщо законодавство держави-члена вимагає надання такого попереднього дозволу;

Пов'язані норми

Стаття 36 GDPR. Попередня консультація

[…]

5. Без обмеження положень параграфа 1, законодавство держав-членів може вимагати від контролерів проводити консультації та отримувати попередній дозвіл від наглядового органу щодо опрацювання контролером для реалізації завдання, яке виконує контролер для цілей суспільного інтересу, в тому числі, опрацювання в сфері соціального захисту і охорони суспільного здоров’я.

(d) надавати висновок і затверджувати проекти кодексів поведінки відповідно до статті 40(5);

Пов'язані норми

Стаття 40 GDPR. Кодекс поведінки

[…]

5. Асоціації та інші органи, вказані в параграфі 2 цієї статті, що мають намір підготувати кодекс поведінки чи внести зміни та доповнення або розширити наявний кодекс, подають проект кодексу, змін та доповнень або розширення до наглядового органу, що є компетентним відповідно до статті 55. Наглядовий орган надає висновок про те, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту, та затверджує такий проект кодексу, змін та доповнень або розширення, якщо з’ясовує, що в ньому передбачено достатні належні гарантії.

[…]

(e) надавати акредитацію органам сертифікації відповідно до статті 43;

Пов'язані норми

Стаття 43 GDPR. Органи сертифікації

(f) видавати сертифікації та затверджувати критерії сертифікації відповідно до статті 42(5);

Пов'язані норми

Стаття 42 GDPR. Сертифікація

[…]

5. Сертифікацію відповідно до цієї статті видають органи сертифікації, вказані в статті 43, або компетентні наглядові органи, на підставі критеріїв, затверджених таким компетентним наглядовим органом згідно зі статтею 58(3) або Радою згідно зі статтею 63. Якщо критерії затверджено Радою, це може стати результатом запровадження спільної сертифікації, Європейського штампу захисту даних.

[…]

(g) ухвалювати стандартні положення щодо захисту даних, вказані в статті 28(8) та пункті (d) статті 46(2);

Пов'язані норми

Стаття 28 GDPR. Оператор

[…]

8. Наглядовий орган може ухвалити стандартні договірні положення з питань, вказаних у параграфах 3 і 4 цієї статті, та відповідно до механізму послідовності, вказаного в статті 63.

[…]

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

2. Належні гарантії, вказані в параграфі 1, можна надавати без запиту на отримання від наглядового органу будь-якого спеціального дозволу:

(d) стандартними положеннями щодо захисту даних, ухваленими наглядовим органом і затвердженими Комісією відповідно до експертної процедури, зазначеної в статті 93(2);

(h) надавати дозвіл на договірні положення, вказані в пункті (a) статті 46(3);

Пов'язані норми

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

3. З урахуванням дозволу компетентного наглядового органу, належні гарантії, вказані в параграфі 1, можна також надавати, зокрема:

(a) положеннями договору між контролером або оператором та контролером, оператором або одержувачем персональних даних у третій країні чи міжнародною організацією; або

(i) надавати дозвіл на адміністративні домовленості, вказані в пункті (b) статті 46(3);

Пов'язані норми

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

(b) положеннями, які необхідно включити до адміністративних домовленостей між публічними органами чи організаціями, що містять дієві та можливі для виконання права суб’єкта даних.

(j) затверджувати зобов’язальні корпоративні правила відповідно до статті 47.

Пов'язані норми

Стаття 47 GDPR. Зобов'язальні корпоративні правила

4. На реалізацію повноважень, покладених на наглядовий орган відповідно до цієї статті, поширюються належні гарантії, у тому числі, дієвий судовий засіб правового захисту та належний процес, передбачений в законодавстві Союзу або держави-члена згідно з Хартією.

5. Кожна держава-член забезпечує на законодавчому рівні, щоб її наглядовий орган було наділено повноваженням виносити порушення цього Регламенту до уваги судових органів і, в разі необхідності, розпочинати процесуальні дії чи іншим чином залучати до них для того, щоб забезпечити виконання положень цього Регламенту.

6. Кожна держава-член може передбачити на законодавчому рівні, щоб її наглядовий орган було наділено додатковими повноваженнями, крім тих, що вказано в параграфах 1, 2 і 3. Реалізація таких повноважень не повинна перешкоджати результативному застосуванню глави VII.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

Преамбули Керівництво та прецедентне право Залишити коментар

Преамбули

(129) Для забезпечення послідовного моніторингу і виконання цього Регламенту в межах Союзу, наглядові органи повинні мати в кожній державі-члені однакові завдання та дієві повноваження, в тому числі повноваження на розслідування, виправні повноваження та санкції, дозвільні та консультативні повноваження, зокрема, у випадках подання скарг фізичними особами, і без обмеження повноважень органів прокуратори за законодавством держави-члена, доводити інформацію про порушення цього Регламенту до відома судових органів та брати участь у судовому процесі. Такі повноваження повинні також включати повноваження накладати тимчасове або остаточне обмеження, в тому числі заборону, на опрацювання. Держави-члени мають право визначати інші завдання, пов'язані з захистом персональних даних за цим Регламентом. Повноваження наглядових органів необхідно реалізовувати відповідно до належних процедурних гарантій, встановлених законодавством Союзу та держави-члена, неупереджено, правомірно та в розумний строк. Зокрема, кожний захід має бути доцільним, необхідним і пропорційним в аспекті забезпечення відповідності цьому Регламенту, з огляду на обставини кожної індивідуальної справи, поважати право кожної особи бути вислуханою до вжиття будь-якого індивідуального заходу, що негативно вплине на неї, та уникати зайвих витрат і надмірних незручностей для відповідних осіб. Слідчі повноваження щодо доступу до приміщень необхідно реалізовувати відповідно до спеціальних вимог процесуального права держави-члена, зокрема, вимоги щодо отримання попереднього судового дозволу. Кожний юридично зобов'язальний інструмент наглядового органу необхідно оформлювати у письмовій формі, чітко й однозначно, із зазначенням наглядового органу, який ухвалив інструмент, дати ухвалення інструменту, він повинен містити підпис голови чи члена наглядового органу, уповноваженого ним, обґрунтування інструменту, а також повинен вказувати на право щодо дієвого засобу правового захисту. Це не виключає можливість додаткових вимог згідно з процесуальним правом держави-члена. Ухвалення юридично зобов'язального рішення передбачає, що воно може призвести до судового перегляду в державі-члені наглядового органу, який ухвалив рішення.

Керівництво та прецедентне право

(EN)

Case law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).

Залишити коментар

[js-disqus]