Secţiunea 2 - Abilitări, sarcini şi competenţe - Regulamentul 679/27-apr-2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
Acte UE
Jurnalul Oficial 119L
În vigoare Versiune de la: 23 Mai 2018
Secţiunea 2:Abilitări, sarcini şi competenţe
Art. 55: Competenţa
(1)Fiecare autoritate de supraveghere are competenţa să îndeplinească sarcinile şi să exercite competenţele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparţine.
(2)În cazul în care prelucrarea este efectuată de autorităţi publice sau de organisme private care acţionează pe baza articolului 6 alineatul (1) litera (c) sau (e), autoritatea de supraveghere din statul membru respectiv are competenţă. În astfel de cazuri, articolul 56 nu se aplică.
(3)Autorităţile de supraveghere nu sunt competente să supravegheze operaţiunile de prelucrare ale instanţelor care acţionează în exerciţiul funcţiei lor judiciare.
Art. 56: Competenţa autorităţii de supraveghere principale
(1)Fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să acţioneze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită în cauză în conformitate cu procedura prevăzută la articolul 60.
(2)Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competentă să trateze o plângere depusă în atenţia sa sau o eventuală încălcare a prezentului regulament, în cazul în care obiectul acesteia se referă numai la un sediu aflat în statul său membru sau afectează în mod semnificativ persoane vizate numai în statul său membru.
(3)În cazurile menţionate la alineatul (2) din prezentul articol, autoritatea de supraveghere informează fără întârziere autoritatea de supraveghere principală cu privire la această chestiune. În termen de trei săptămâni de la momentul informării, autoritatea de supraveghere principală decide dacă tratează sau nu cazul respectiv în conformitate cu procedura prevăzută la articolul 60, luând în considerare dacă există sau nu un sediu al operatorului sau al persoanei împuternicite de operator pe teritoriul statului membru a cărui autoritate de supraveghere a informat-o.
(4)În cazul în care autoritatea de supraveghere principală decide să trateze cazul, se aplică procedura prevăzută la articolul 60. Autoritatea de supraveghere care a informat autoritatea de supraveghere principală poate înainta un proiect de decizie acesteia din urmă. Autoritatea de supraveghere principală ţine seama în cea mai mare măsură posibilă de proiectul respectiv atunci când pregăteşte proiectul de decizie prevăzut la articolul 60 alineatul (3).
(5)În cazul în care autoritatea de supraveghere principală decide să nu trateze cazul, autoritatea de supraveghere care a informat autoritatea de supraveghere principală tratează cazul în conformitate cu articolele 61 şi 62.
(6)Autoritatea de supraveghere principală este singurul interlocutor al operatorului sau al persoanei împuternicite de operator în ceea ce priveşte prelucrarea transfrontalieră efectuată de respectivul operator sau de respectiva persoană împuternicită de operator.
Art. 57: Sarcini
(1)Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:
a)monitorizează şi asigură aplicarea prezentului regulament;
b)promovează acţiuni de sensibilizare şi de înţelegere în rândul publicului a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare. Se acordă atenţie specială activităţilor care se adresează în mod specific copiilor;
c)oferă consiliere, în conformitate cu dreptul intern, parlamentului naţional, guvernului şi altor instituţii şi organisme cu privire la măsurile legislative şi administrative referitoare la protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea;
d)promovează acţiuni de sensibilizare a operatorilor şi a persoanelor împuternicite de aceştia cu privire la obligaţiile care le revin în temeiul prezentului regulament;
e)la cerere, furnizează informaţii oricărei persoane vizate în legătură cu exercitarea drepturilor sale în conformitate cu prezentul regulament şi, dacă este cazul, cooperează cu autorităţile de supraveghere din alte state membre în acest scop;
f)tratează plângerile depuse de o persoană vizată, un organism, o organizaţie sau o asociaţie în conformitate cu articolul 80 şi investighează într-o măsură adecvată obiectul plângerii şi informează reclamantul cu privire la evoluţia şi rezultatul investigaţiei, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigaţii mai amănunţite sau coordonarea cu o altă autoritate de supraveghere;
g)cooperează, inclusiv prin schimb de informaţii, cu alte autorităţi de supraveghere şi îşi oferă asistenţă reciprocă pentru a asigura coerenţa aplicării şi respectării prezentului regulament;
h)desfăşoară investigaţii privind aplicarea prezentului regulament, inclusiv pe baza unor informaţii primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
i)monitorizează evoluţiile relevante, în măsura în care acestea au impact asupra protecţiei datelor cu caracter personal, în special evoluţia tehnologiilor informaţiei şi comunicaţiilor şi a practicilor comerciale;
j)adoptă clauze contractuale standard menţionate la articolul 28 alineatul (8) şi la articolul 46 alineatul (2) litera (d);
k)întocmeşte şi menţine la zi o listă în legătură cu cerinţa privind evaluarea impactului asupra protecţiei datelor, în conformitate cu articolul 35 alineatul (4);
l)oferă consiliere cu privire la operaţiunile de prelucrare menţionate la articolul 36 alineatul (2);
m)încurajează elaborarea de coduri de conduită în conformitate cu articolul 40 alineatul (1), îşi dă avizul cu privire la acestea şi le aprobă pe cele care oferă suficiente garanţii, în conformitate cu articolul 40 alineatul (5);
n)încurajează stabilirea unor mecanisme de certificare, precum şi a unor sigilii şi mărci în domeniul protecţiei datelor în conformitate cu articolul 42 alineatul (1) şi aprobă criteriile de certificare în conformitate cu articolul 42 alineatul (5);
o)acolo unde este cazul, efectuează o revizuire periodică a certificărilor acordate, în conformitate cu articolul 42 alineatul (7);
p)elaborează şi publică cerinţele de acreditare a unui organism de monitorizare a codurilor de conduită în conformitate cu articolul 41 şi a unui organism de certificare în conformitate cu articolul 43;
q)coordonează procedura de acreditare a unui organism de monitorizare a codurilor de conduită în conformitate cu articolul 41 şi a unui organism de certificare în conformitate cu articolul 43;
r)autorizează clauzele şi dispoziţiile contractuale menţionate la articolul 46 alineatul (3);
s)aprobă regulile corporatiste obligatorii în conformitate cu articolul 47;
t)contribuie la activităţile comitetului;
u)menţine la zi evidenţe interne privind încălcările prezentului regulament şi măsurile luate, în special avertismentele emise şi sancţiunile impuse în conformitate cu articolul 58 alineatul (2); şi
v)îndeplineşte orice alte sarcini legate de protecţia datelor cu caracter personal.
(2)Fiecare autoritate de supraveghere facilitează depunerea plângerilor menţionate la alineatul (1) litera (f) prin măsuri precum punerea la dispoziţie a unui formular de depunere a plângerii care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.
(3)Îndeplinirea sarcinilor fiecărei autorităţi de supraveghere este gratuită pentru persoana vizată şi, după caz, pentru responsabilul cu protecţia datelor.
(4)În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, autoritatea de supraveghere poate percepe o taxă rezonabilă, bazată pe costurile administrative, sau poate refuza să le trateze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine autorităţii de supraveghere.
Art. 58: Competenţe
(1)Fiecare autoritate de supraveghere are toate următoarele competenţe de investigare:
a)de a da dispoziţii operatorului şi persoanei împuternicite de operator şi, după caz, reprezentantului operatorului sau al persoanei împuternicite de operator să furnizeze orice informaţii pe care autoritatea de supraveghere le solicită în vederea îndeplinirii sarcinilor sale;
b)de a efectua investigaţii sub formă de audituri privind protecţia datelor;
c)de a efectua o revizuire a certificărilor acordate în temeiul articolului 42 alineatul (7);
d)de a notifica operatorul sau persoana împuternicită de operator cu privire la presupusa încălcare a prezentului regulament;
e)de a obţine, din partea operatorului şi a persoanei împuternicite de operator, accesul la toate datele cu caracter personal şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale;
f)de a obţine accesul la oricare dintre incintele operatorului şi ale persoanei împuternicite de operator, inclusiv la orice echipamente şi mijloace de prelucrare a datelor, în conformitate cu dreptul Uniunii sau cu dreptul procesual intern.
(2)Fiecare autoritate de supraveghere are toate următoarele competenţe corective:
a)de a emite avertizări în atenţia unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operaţiunile de prelucrare prevăzute să încalce dispoziţiile prezentului regulament;
b)de a emite avertismente adresate unui operator sau unei persoane împuternicite de operator în cazul în care operaţiunile de prelucrare au încălcat dispoziţiile prezentului regulament;
c)de a da dispoziţii operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-şi exercita drepturile în temeiul prezentului regulament;
d)de a da dispoziţii operatorului sau persoanei împuternicite de operator să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile prezentului regulament, specificând, după caz, modalitatea şi termenul-limită pentru aceasta;
e)de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecţiei datelor cu caracter personal;
f)de a impune o limitare temporară sau definitivă, inclusiv o interdicţie asupra prelucrării;
g)de a dispune rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării, în temeiul articolelor 16, 17 şi 18, precum şi notificarea acestor acţiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) şi cu articolul 19;
h)de a retrage o certificare sau de a obliga organismul de certificare să retragă o certificare eliberată în temeiul articolul 42 şi 43 sau de a obliga organismul de certificare să nu elibereze o certificare în cazul în care cerinţele de certificare nu sunt sau nu mai sunt îndeplinite;
i)de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în locul măsurilor menţionate la prezentul alineat, în funcţie de circumstanţele fiecărui caz în parte;
j)de a dispune suspendarea fluxurilor de date către un destinatar dintr-o ţară terţă sau către o organizaţie internaţională.
(3)Fiecare autoritate de supraveghere are toate următoarele competenţe de autorizare şi de consiliere:
a)de a oferi consiliere operatorului în conformitate cu procedura de consultare prealabilă menţionată la articolul 36;
b)de a emite avize, din proprie iniţiativă sau la cerere, parlamentului naţional, guvernului statului membru sau, în conformitate cu dreptul intern, altor instituţii şi organisme, precum şi publicului, cu privire la orice aspect legat de protecţia datelor cu caracter personal;
c)de a autoriza prelucrarea menţionată la articolul 36 alineatul (5), în cazul în care dreptul statului membru prevede o astfel de autorizare prealabilă;
d)de a emite un aviz şi de a aproba proiectele de coduri de conduită, în conformitate cu articolul 40 alineatul (5);
e)de a acredita organismele de certificare în conformitate cu articolul 43;
f)de a emite certificări şi de a aproba criterii de certificare în conformitate cu articolul 42 alineatul (5);
g)de a adopta clauzele standard în materie de protecţie a datelor menţionate la articolul 28 alineatul (8) şi la articolul 46 alineatul (2) litera (d);
h)de a autoriza clauzele contractuale menţionate la articolul 46 alineatul (3) litera (a);
i)de a autoriza acordurile administrative menţionate la articolul 46 alineatul (3) litera (b); şi
j)de a aproba reguli corporatiste obligatorii în conformitate cu articolul 47.
(4)Exercitarea competenţelor conferite autorităţii de supraveghere în temeiul prezentului articol face obiectul unor garanţii adecvate, inclusiv căi de atac judiciare eficiente şi procese echitabile, prevăzute în dreptul Uniunii şi în dreptul intern în conformitate cu carta.
(5)Fiecare stat membru prevede, pe cale legislativă, faptul că autoritatea sa de supraveghere are competenţa de a aduce în faţa autorităţilor judiciare cazurile de încălcare a prezentului regulament şi, după caz, de a iniţia sau de a se implica într-un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispoziţiilor prezentului regulament.
(6)Fiecare stat membru poate să prevadă în dreptul său faptul că autoritatea sa de supraveghere are competenţe suplimentare, în afara celor menţionate la alineatele (1), (2) şi (3). Exercitarea acestor competenţe nu afectează modul de operare eficientă a capitolului VII.
Art. 59: Rapoarte de activitate
Fiecare autoritate de supraveghere întocmeşte un raport anual cu privire la activităţile sale, care poate include o listă a tipurilor de încălcări notificate şi a tipurilor de măsuri luate în conformitate cu articolul 58 alineatul (2). Rapoartele se transmit parlamentului naţional, guvernului şi altor autorităţi desemnate prin dreptul intern. Acestea se pun la dispoziţia publicului, a Comisiei şi a comitetului.