第 58 條 📖 GDPR. 權力

第 58 條 GDPR. 權力

1. 各監管機關應有下列全部調查之權力：

(a) 命令控管者、處理者，以及若有控管者或處理者之代表時，該等代表提供任何其執行任務所需之資訊；

(b) 以資料保護查核之形式進行調查；

(c) 進行依第 42 條第 7 項核發之認證的審查；

第 42 條 GDPR. 認證

[…]

7. 對控管者或處理者所為之認證，最長期限應為三年，且在相同要件下並持續符合相關要求者，得更新之。第 43 條所定之認證機構或主管監管機關（如適用）於欠缺認證要件或不再符合認證要件之情況下，應撤回認證。

[…]

(d) 對聲稱本規則被違反時通知控管者或處理者；

(e) 自控管者或處理者獲得接近使用個人資料以及執行其任務所需之所有資訊；

(f) 依歐盟或會員國程序法，得進入控管者或處理者之任何辦公處所，包括接近使用任何資料處理設備及方式。

2. 各監管機關應有下列全部之糾正權力：

(a) 當欲進行之資料處理可能會違反本規則之規定時，向控管者或處理者發布警告；

(b) 當資料處理已違反本規則之規定時，對控管者或處理者發布告誡；

(c) 命令控管者或處理者遵循資料主體行使其依本規則之權利的要求；

(d) 命令控管者或處理者以適當之特定方法及於特定期間內使資料處理符合本規則之規定；

(e) 命令控管者向資料主體通知個人資料之侵害；

(f) 課予暫時或終局之限制，包括對資料處理之禁令；

(g) 命令依第 16 條、第 17 條及第 18 條對個人資料之更正或刪除，或對資料處理之限制，以及對個人資料依照第 17 條第 2 項及第 19 條被揭露之接收者就該等行動之通知；

第 16 條 GDPR. 更正權

資料主體應有權使控管者更正其不正確之個人資料，不得無故拖延。考量到處理之目的，資料主體應有權完整化其有欠缺之個人資料，包括以提供補充說明之方式。

第 17 條 GDPR. 刪除權（「被遺忘權」）

[…]

2. 如控管者已將該個人資料公開，且其有義務依據第 1 項規定刪除該個人資料者，考量現有科技及執行成本，該控管者應採取合理步驟，包括科技方式，通知正在處理該個人資料之控管者，資料主體已提出刪去任何該個人資料之連結或複製或仿製之請求。

[…]

第 18 條 GDPR. 限制處理權

第 19 條 GDPR. 關於更正或刪除個人資料或限制處理之通知義務

除經證明不可能為通知，或通知須花費過鉅之勞費者外，控管者應就第 16 條、第 17 條第 1 項及第 18 條所定之任何更正或刪除個人資料或限制處理向個人資料受揭露之各接收者為通知。控管者應依資料主體之要求向資料主體告知接收者。

(h) 撤銷或命令認證機構撤銷依第 42 條及第 43 條所為之認證，或若認證之要件不具備或不再具備時，命令認證機構不得核發認證；

第 42 條 GDPR. 認證

第 43 條 GDPR. 認證機構

(i) 依個案情形，額外或不以本項所提及之其他方式而依第 83 條處以行政罰鍰；

(j) 命令對位於第三國之接收者或國際組織停止資料流通。

3. 各監管機關應有下列全部之授權及建議權力：

(a) 依第 36 條之事前諮詢程序建議控管者；

第 36 條 GDPR. 事前諮詢

(b) 對國會、會員國政府、依會員國法對其他公共團體、機構及大眾主動或依請求發布針對任何與個人資料保護相關之議題的意見；

(c) 若會員國法要求事前授權時，授權第 36 條第 5 項所述之資料處理；

第 36 條 GDPR. 事前諮詢

[…]

5. 會員國法得不受第 1 項之拘束，要求控管者針對由控管者為公共利益履行任務之處理，包含與社會保護及公共健康有關之處理，諮詢並自監管機關取得事前授權。

(d) 發布意見並核准第 40 條第 5 項所述之行為守則草案；

第 40 條 GDPR. 行為守則

[…]

5. 本條第 2 項所定欲備置行為守則或修改或擴張現存行為守則之組織及其他機構，應將該行為守則草案、修正案或擴充案提交至第 55 條所定之主管監管機關。該監管機關應提供該草案、修正案或擴充案是否符合本規則之意見，如其認為已提供充分且適當之保護措施者，即應核准該草案、修正案或擴充案。

[…]

(e) 依第 43 條委託認證機構；

第 43 條 GDPR. 認證機構

(f) 依第 42 條第 5 項發布認證並核准認證之標準；

第 42 條 GDPR. 認證

[…]

5. 本條所定之認證應由認證機構依第 43條規定或主管監管機關依據第 58 條第 3 項所核准之標準或由委員會依第 63 條規定為之。委員會核准之標準得為通用性認證，即歐盟資料保護標章。

[…]

(g) 採用第 28 條第 8 項及第 46 條第 2 項第 d 點所述之標準資料保護條款；

第 28 條 GDPR. 處理者

[…]

8. 監管機關得就本條第3項及第4項所定事項採用定型化契約條款，並遵守第 63 條所定之一致性機制。

[…]

第 46 條 GDPR. 須遵守適當保護措施之移轉

2. 第 1項所稱之適當保護措施，於無監管機關為特定授權之情形下，得以下列方式提供：

(d) 監管機關採行，並由執委會依第 93 條第 2 項之檢驗程序核准之標準資料保護條款；

(h) 授權第 46 條第 3 項第 a 點所述之契約條款；

第 46 條 GDPR. 須遵守適當保護措施之移轉

3. 第 1項所稱之適當保護措施，於有主管監管機關為授權之情形下，得以下列方式提供：

(a) 控管者或處理者與第三國或國際組織之個人資料控管者、處理者或接收者間之契約條款；

(i) 授權第 46 條第 3 項第 b 點所述之行政安排；

第 46 條 GDPR. 須遵守適當保護措施之移轉

3. 第 1項所稱之適當保護措施，於有主管監管機關為授權之情形下，得以下列方式提供：

(b) 納入包括可執行且有效之資料主體權利之公務機關或機構間行政安排之條款。

(j) 依第 47 條核准有拘束力之企業守則。

第 47 條 GDPR. 有拘束力之企業守則

4. 監管機關行使本條賦予之權力應有適當保護措施，包括歐盟法及會員國法依憲章所規定之有效之司法救濟及正當程序。

5. 各會員國應有法律規定監管機關應有權力將本規則之違反檢送司法機關，並於適當時開啟或參與司法程序，以執行本規則之規定。

6. 各會員國應有法律規定其監管機關應有第 1 項、第 2 項及第 3 項以外之額外權力。該等權力之實行不應減損第七章之有效性。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

献技指南和案例法发表评论

献技

(129) 為確保本規則於歐盟境內一致之監督及執行，監管機關於各會員國境內應有相同之任務及有效之權力，尤其在當事人之申訴案件中，應有包括調查之權力、矯正及制裁之權力，以及批准及建議之權力，且對於檢察機關在會員國法所擁有之權力不生影響，而應將本規則之違反檢送至司法機關並參與法律程序。該等權力亦應包括對資料處理課予一暫時或終局之限制，包括禁令。會員國得具體化其他依照本規則所定與個人資料保護有關之任務。監管機關之權力行使應依歐盟法及會員國法所定適當之程序性保護措施於合理期限內公平、公正為之。尤其，每個措施應具備適當性、必要性及比例性，以確保本規則之遵循、考量個別案件之情況，並尊重任何人在對其有不利影響之任何個別措施被實施前有請求聽審之權利，且避免對該人造成無謂之花費及過度之不便。進入處所之調查權應依照會員國程序法之特別規定為之，例如事先取得司法授權之要求。監管機關所為具法律拘束力之各措施皆應以書面為之，且應明確清楚，並指出做成該措施之監管機關名稱、日期、首長或其授權之監管機關成員之署名以及為該措施之理由，並敘明有尋求有效救濟之權利。此不應排除依據會員國程序法所規定之額外要求。通過一個具法律拘束力之裁決意味著其可能引起作成該裁決之監管機關所在會員國的司法審查。

指南和案例法

(EN)

Case law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).

发表评论

[js-disqus]