Статья 57 Задачи надзорного органа

О чём эта статья

Статья 57 — задачи надзорного органа. Перечень того, что DPA обязан делать.

57(1) — Список задач

Без ущерба для других задач по GDPR, каждый надзорный орган на своей территории:

(a) контролирует и обеспечивает применение GDPR;

(b) способствует осведомлённости общественности и пониманию рисков, правил, гарантий и прав;

(c) консультирует национальный парламент, правительство и другие учреждения по законодательным и административным мерам, относящимся к защите прав и свобод физических лиц;

(d) способствует осведомлённости контролёров и обработчиков об их обязательствах;

(e) по запросу — предоставляет информацию любому субъекту о реализации его прав;

(f) рассматривает жалобы, поданные субъектом данных или органом, организацией или ассоциацией по Art. 80, и расследует, в соответствующих пределах, предмет жалобы и информирует жалобщика о ходе и результате расследования в разумные сроки;

(g) сотрудничает с другими надзорными органами;

(h) проводит расследования по применению GDPR;

(i) следит за развитием технологий и коммерческой практики;

(j) принимает стандартные договорные положения по Art. 28(8) и Art. 46(2)(d);

(k) устанавливает и поддерживает список операций обработки, подлежащих обязательной DPIA (Art. 35(4));

(l) консультирует по операциям обработки по Art. 36(2);

(m) поощряет разработку кодексов поведения;

(n) поощряет сертификацию;

(o) проводит аккредитацию органов сертификации;

(p) разрабатывает и публикует критерии аккредитации;

(q) проводит периодический пересмотр сертификатов;

(r) разрабатывает и публикует требования для аккредитации органов мониторинга кодексов поведения;

(s) разрешает договорные положения по Art. 46(3) и положения по Art. 50;

(t) утверждает обязательные корпоративные правила;

(u) вносит вклад в деятельность EDPB;

(v) ведёт внутренние записи нарушений GDPR;

(w) выполняет любые другие задачи по защите данных.

57(3) — Бесплатно

Выполнение задач каждого надзорного органа бесплатно для субъектов данных и DPO.

57(4) — Чрезмерные запросы

Если запросы явно необоснованны или чрезмерны, DPA может либо взять разумную плату, либо отказать.

Почему это важно

Art. 57(1)(f) — обязанность рассматривать жалобы и расследовать «в соответствующих пределах». CJEU в делах SCHUFA и Land Hessen разъяснил: «соответствующие пределы» — это не широкая дискреция отказывать. Это требование рассмотреть жалобу с должной тщательностью, не отказывать на основании, не предусмотренном GDPR.

Формулировка AKI «один человек — не публичный интерес» противоречит Art. 57(1)(f), потому что вводит новый критерий, не существующий в тексте регламента.