Статья 58 Полномочия надзорного органа

О чём эта статья

Статья 58 — полномочия надзорного органа. Перечень того, что DPA может делать.

58(1) — Полномочия по расследованию

Каждый надзорный орган имеет полномочия:

(a) приказать контролёру или обработчику предоставить любую информацию для выполнения задач;

(b) проводить расследования в форме аудитов защиты данных;

(c) проводить пересмотр сертификатов;

(d) уведомлять контролёра или обработчика о предполагаемом нарушении;

(e) получать доступ ко всем персональным данным и информации, необходимым для выполнения задач;

(f) получать доступ к помещениям, включая оборудование и средства обработки данных.

58(2) — Корректирующие полномочия

Каждый надзорный орган имеет полномочия:

(a) выносить предупреждения контролёру или обработчику о вероятном нарушении;

(b) выносить порицания при установленном нарушении;

(c) приказать контролёру или обработчику удовлетворить запросы субъекта данных;

(d) приказать привести обработку в соответствие с GDPR в указанный срок;

(e) приказать контролёру сообщить субъекту о нарушении безопасности;

(f) наложить временное или окончательное ограничение, включая запрет, на обработку;

(g) приказать исправление, ограничение или удаление данных и уведомление получателей;

(h) отозвать сертификацию или приказать органу сертификации отозвать сертификат;

(i) наложить административный штраф по Art. 83 в дополнение или вместо других мер;

(j) приказать приостановление потоков данных получателю в третьей стране.

58(3) — Полномочия по консультации

Включают консультирование контролёров, парламента, выдачу заключений.

58(4) — Усмотрение и обжалование

Полномочия осуществляются с учётом надлежащих гарантий, включая эффективное судебное обжалование и надлежащий процесс.

Почему это важно

CJEU в деле Land Hessen (C-768/21, 26.09.2024) прямо постановил: если DPA установил нарушение, он обязан применить хотя бы одну из мер 58(2). Не может «оставить как есть».

Это значит, что закрытие дела AKI без любой меры — потенциальное нарушение Art. 58, если в материалах дела были признаки нарушения. То же относится к большинству жалоб против AdTech: даже минимальная мера (предупреждение по 58(2)(a)) — это уже мера, и отказ её применять требует серьёзных обоснований.