Sammendrag: Tilsynsmyndighet skal på sitt territorium føre tilsyn med og håndheven overholdelse av GDPR, informere om plikter, risiko og rettigheter ved behandling av personopplysninger, rådgi myndighetene of offentlige organer, samarbeide med tilsynsmyndigheter, behandle klager, herunder undersøkelser og informere klageren om forløpet og utfallet av undersøkelsene innen rimelig tid, samarbeide, utveksle informasjon og gi gjensidig bistand med andre tilsynsmyndigheter for å sikre konsistens i praktiseringen av GDPR, følge relevant utvikling, vedta standardvilkår, opprette og oppdatere liste over kravene til vurdering av personvernkonsekvenser (DPIA), bidra til forhåndsdrøftelser, bidra til utarbeidelse av adferdsnormer og personvernsertifisering, lage utkast til og offentliggjøre krav til akkreditering, godkjenne avtalevilkår for overføring til tredjeland, godkjenne bindende virksomhetsregler, bidra til Personvernrådet (EDPB), føre internt register over overtredelser og tiltak, og utføre enhver oppgave knyttet til vern av personopplysninger. Det skal legges til rette for inngivelse av klager. Oppgavene skal utføres gratis for registrerte, med unntak av åpenbart grunnløse eller overdrevne anmodninger hvor det kan kreves et rimelig gebyr.
Primære fortalepunkter
Ledende tilsynsmyndighet når behandlingsansvarlig/databehandler er etablert i flere land (ettstedsmekanismen)*
124. Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.
*ikke offisiell overskrift
Samarbeid mellom ledende tilsynsmyndighet og tilsynsmyndighet som har mottatt klage*
130. Dersom tilsynsmyndigheten som klagen er inngitt til, ikke er den ledende tilsynsmyndigheten, bør den ledende tilsynsmyndigheten samarbeide tett med tilsynsmyndigheten som klagen er inngitt til, i samsvar med bestemmelsene om samarbeid og ensartet anvendelse fastsatt i denne forordning. I slike tilfeller bør den ledende tilsynsmyndigheten, når den treffer tiltak som skal ha rettsvirkning, herunder ilegging av overtredelsesgebyr, ta størst mulig hensyn til synspunktene til tilsynsmyndigheten som klagen er inngitt til, og som fortsatt skal ha kompetanse til å foreta undersøkelser på sin egen medlemsstats territorium sammen med vedkommende tilsynsmyndighet.
*ikke offisiell overskrift
Andre aktuelle fortalepunkter
Veiledning gjennom godkjente adferdsnormer, sertifisering retningslinjer mv.*
77. Veiledning om gjennomføring av egnede tiltak og tiltak for å påvise at den behandlingsansvarlige eller databehandleren overholder denne forordning, særlig med hensyn til kartlegging av risikoen forbundet med behandlingen og en vurdering av risikoens opprinnelse, art, sannsynlighet og alvorlighetsgrad, samt kartlegging av beste praksis for å redusere risikoen, kan særlig gis ved hjelp av godkjente atferdsnormer, godkjente sertifiseringer, retningslinjer fra Personvernrådet eller anvisninger fra et personvernombud. Personvernrådet kan også utstede retningslinjer for behandlingsaktiviteter som sannsynligvis ikke vil innebære en høy risiko for fysiske personers rettigheter og friheter, samt angi hvilke tiltak som i slike tilfeller kan være tilstrekkelig for å håndtere nevnte risiko.
*ikke offisiell overskrift
Rådføring med tilsynsmyndighet ved innføring av lovgivning som gjelder behandling av personopplysninger*
96. Tilsynsmyndigheten bør også rådspørres i det forberedende arbeidet med et lovgivningsmessig tiltak eller et reguleringstiltak som gjelder behandling av personopplysninger, for å sikre at den tiltenkte behandlingen oppfyller kravene i denne forordning, og særlig for å redusere risikoen den medfører for den registrerte.
*ikke offisiell overskrift
Tilsynsmyndighetenes oppgaver og myndighet*
129. For å sikre ensartet tilsyn med og anvendelse av denne forordning i hele Unionen bør tilsynsmyndighetene i hver medlemsstat ha de samme oppgaver og den samme effektive myndighet, herunder myndighet til å foreta undersøkelser, myndighet til å beslutte korrigerende tiltak og ilegge sanksjoner samt myndighet til å godkjenne og utstede rådgivende uttalelser, særlig ved klager fra fysiske personer, og, uten at det berører den myndighet straffeforfølgende myndigheter har i henhold til medlemsstatenes nasjonale rett, myndighet til å bringe overtredelser av denne forordning inn for rettshåndhevende myndigheter og til å opptre som part i rettssaker. En slik myndighet bør også omfatte myndigheten til å fastsette en midlertidig eller endelig begrensning av, herunder et forbud mot, behandling. Medlemsstatene kan fastsette andre oppgaver knyttet til vern av personopplysninger i henhold til denne forordning. Tilsynsmyndighetenes myndighet bør utøves i samsvar med nødvendige prosessuelle garantier som er fastsatt i unionsretten og medlemsstatenes nasjonale rett, på en upartisk og rettferdig måte og innen rimelig tid. For å sikre samsvar med denne forordning bør hvert tiltak være egnet, nødvendig og forholdsmessig, idet det tas hensyn til omstendighetene i hvert enkelt tilfelle, samt respektere enhver persons rett til å bli hørt før det treffes individuelle tiltak som kan påvirke vedkommende negativt, og være utformet slik at overflødige kostnader og for store ulemper for de berørte personene unngås. Når det gjelder adgang til lokaler, bør undersøkelsesmyndigheten utøves i samsvar med særlige krav i medlemsstatenes prosessrett, f.eks. kravet om at det skal innhentes en rettslig forhåndsgodkjenning. Hvert rettslig bindende tiltak som treffes av tilsynsmyndigheten, bør være skriftlig, tydelig og utvetydig, angi hvilken tilsynsmyndighet som har truffet tiltaket, og på hvilken dato, være undertegnet av lederen for eller et medlem av tilsynsmyndigheten som er godkjent av vedkommende, angi begrunnelsen for tiltaket og inneholde en henvisning til retten til effektivt rettsmiddel. Dette bør ikke utelukke ytterligere krav i henhold til medlemsstatenes prosessrett. Dersom det treffes en rettslig bindende avgjørelse, kan den underlegges domstolskontroll i medlemsstaten til tilsynsmyndigheten som har truffet avgjørelsen.
*ikke offisiell overskrift
Behandling av tilsynsmyndighet som mottar klage om det foreligger ledende tilsynsmyndighet*
131. Dersom en annen tilsynsmyndighet bør fungere som ledende tilsynsmyndighet for den behandlingsansvarliges eller databehandlerens behandlingsaktiviteter, men det konkrete innholdet i en klage eller den mulige overtredelsen bare gjelder behandlingsaktiviteter som utføres av den behandlingsansvarlige eller databehandleren i medlemsstaten der klagen er inngitt eller den mulige overtredelsen er oppdaget, og forholdet ikke i vesentlig grad berører eller sannsynligvis ikke i vesentlig grad vil berøre registrerte i andre medlemsstater, bør tilsynsmyndigheten som mottar en klage eller oppdager eller på annen måte blir underrettet om situasjoner som innebærer mulige overtredelser av denne forordning, søke å komme fram til en minnelig løsning sammen med den behandlingsansvarlige og dersom dette ikke lykkes, utøve sin myndighet fullt ut. Dette bør omfatte spesifikk behandling som utføres på territoriet til tilsynsmyndighetens medlemsstat, eller når det gjelder registrerte, på territoriet til nevnte medlemsstat, behandling som utføres i forbindelse med tilbud av varer eller tjenester som er særlig rettet mot registrerte på territoriet til tilsynsmyndighetens medlemsstat, eller behandling som skal vurderes i henhold til relevante rettslige forpliktelser i medlemsstatenes nasjonale rett.
*ikke offisiell overskrift
Hastetiltak av tilsynsmyndighet*
137. Det kan være nødvendig å treffe tiltak omgående for å verne registrertes rettigheter og friheter, særlig dersom det foreligger en fare for at en registrerts utøvelse av en rettighet kan bli betydelig hemmet. En tilsynsmyndighet bør derfor kunne treffe behørig begrunnede midlertidige tiltak på sitt territorium med en fastsatt gyldighetsperiode som ikke bør være lenger enn tre måneder.
*ikke offisiell overskrift
Konsistensmekanismen som vilkår for tiltak av tilsynsmyndighet*
138. Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.
*ikke offisiell overskrift
Engelsk tekst
Article 57. Tasks
1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:
(a) monitor and enforce the application of this Regulation;
(b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention;
(c) advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to processing;
(d) promote the awareness of controllers and processors of their obligations under this Regulation;
(e) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;
(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;
(g) cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation;
(h) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;
(i) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices;
(j) adopt standard contractual clauses referred to in Article 28 (8) and in point (d) of Article 46 (2);
(k) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35 (4);
(l) give advice on the processing operations referred to in Article 36 (2);
(m) encourage the drawing up of codes of conduct pursuant to Article 40 (1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40 (5);
(n) encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42 (1), and approve the criteria of certification pursuant to Article 42 (5);
(o) where applicable, carry out a periodic review of certifications issued in accordance with Article 42 (7);
(p) draft and publish the requirements for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;
(q) conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43;
(r) authorise contractual clauses and provisions referred to in Article 46 (3);
(s) approve binding corporate rules pursuant to Article 47;
(t) contribute to the activities of the Board;
(u) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58 (2); and
(v) fulfil any other tasks related to the protection of personal data.
2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication.
3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer.
4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.
1. Uten at det berører andre oppgaver fastsatt i denne forordning, skal hver tilsynsmyndighet på sitt territorium
a) føre tilsyn med og håndheve anvendelsen av denne forordning,
b) fremme allmennhetens kjennskap til og forståelse for risikoer, regler, garantier og rettigheter i forbindelse med behandling. Aktiviteter rettet spesielt mot barn skal vies særlig oppmerksomhet,
c) rådgi, i samsvar med medlemsstatenes nasjonale rett, det nasjonale parlament, regjeringen og andre institusjoner og organer om lovgivning og administrative tiltak knyttet til vern av fysiske personers rettigheter og friheter ved behandling,
d) fremme de behandlingsansvarliges og databehandlernes kjennskap til de forpliktelsene de har i henhold til denne forordning,
e) på anmodning informere registrerte om utøvelse av de rettighetene de har i henhold til denne forordning og, dersom det er relevant, samarbeide med tilsynsmyndighetene i andre medlemsstater om dette,
f) behandle klager som er inngitt av en registrert eller et organ, en organisasjon eller en sammenslutning i samsvar med artikkel 80, og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, særlig dersom det er behov for videre undersøkelse eller samordning med en annen tilsynsmyndighet,
g) samarbeide med andre tilsynsmyndigheter, herunder ved å utveksle informasjon og yte gjensidig bistand, for å sikre ensartet anvendelse og håndheving av denne forordning,
h) gjennomføre undersøkelser om anvendelsen av denne forordning, herunder på grunnlag av informasjon mottatt fra en annen tilsynsmyndighet eller en annen offentlig myndighet,
i) følge relevant utvikling, i den grad den har innvirkning på personvern, særlig utviklingen innen informasjons- og kommunikasjonsteknologi og handelspraksis,
j) vedta standardavtalevilkår som nevnt i artikkel 28 nr. 8 og artikkel 46 nr. 2 bokstav d),
k) opprette og vedlikeholde en liste i forbindelse med kravene til vurderingen av personvernkonsekvenser i henhold til artikkel 35 nr. 4,
l) gi råd om behandlingsaktivitetene nevnt i artikkel 36 nr. 2,
m) oppmuntre til utarbeiding av atferdsnormer i henhold til artikkel 40 nr. 1 og avgi uttalelse om og godkjenne slike atferdsnormer som gir tilstrekkelige garantier, i henhold til artikkel 40 nr. 5,
n) oppmuntre til innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 42 nr. 1, og å godkjenne kriteriene for sertifisering i henhold til artikkel 42 nr. 5,
o) dersom det er relevant, foreta en regelmessig gjennomgåelse av sertifiseringene utstedt i samsvar med artikkel 42 nr. 7,
p) utarbeide et utkast til og offentliggjøre kravene for akkreditering av et organ med ansvar for tilsyn med atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,
q) foreta akkreditering av et organ med ansvar for overvåking av atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,
r) godkjenne avtalevilkår og bestemmelser som nevnt i artikkel 46 nr. 3,
s) godkjenne bindende virksomhetsregler i henhold til artikkel 47,
t) bidra i Personvernrådets arbeid,
u) føre interne registre over overtredelser av denne forordning og over tiltak som er truffet i samsvar med artikkel 58 nr. 2, og
v) utføre enhver annen oppgave knyttet til vern av personopplysninger.
2. Hver tilsynsmyndighet skal legge til rette for inngivelse av klager som nevnt i nr. 1 bokstav f) ved hjelp av tiltak som f.eks. et klageskjema som også kan fylles ut elektronisk, uten å utelukke andre kommunikasjonsmidler.
3. Oppgavene som hver tilsynsmyndighet utfører, skal være gratis for den registrerte og, dersom det er relevant, for personvernombudet.
4. Dersom anmodninger er åpenbart grunnløse eller overdrevne, især fordi de gjentas, kan tilsynsmyndigheten kreve et rimelig gebyr basert på administrasjonskostnadene, eller nekte å etterkomme anmodningen. Tilsynsmyndigheten skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.
< Artikkel 56 | Artikkel 58 >