Європейські контролюючі органи (data protection authorities), які забезпечують дотримання вимог GDPR на території Європейського Союзу

17 Лютого 2020

Приймаючи нове законодавство, яке регулюватиме захист персональних даних на території Європейського Союзу, європейські законодавці спеціальну роль відвели контролюючим органам, які, в рамках своєї компетенції, повинні здійснювати нагляд за дотриманням вимог GDPR та інших законів.  В цій статті ми спробуємо розкрити особливості функціонування таких органів та роль, яку вони відіграють в умовах сучасності.

Поняття та компетенція контролюючих органів

У відповідності до GDPR (General Data Protection Regulation), під наглядовим органом слід розуміти публічний орган, який призначається кожною країною – членом ЄС.  І дійсно, кожна країна – член повинна покласти на один або декілька незалежних публічних органів відповідальність за моніторинг застосування GDPR. Це необхідно для того, аби захистити фундаментальні права та свободи фізичних осіб у сфері опрацювання та сприяти вільному руху персональних даних у межах Європейського Союзу.

Законодавство визначає, що якщо в країні – членові ЄС визначається більше, а ніж один наглядовий орган, така держава повинна призначати наглядовий орган, що повинен представляти такі органи в EDPB (European Data Protection Board), а також встановлювати механізм забезпечення дотримання іншими органами правил, передбачених законодавством про захист персональних даних.

Якщо говорити про компетенцію контролюючих органів, то варто зазначити, що кожен такий орган компетентний  виконувати завдання і реалізовувати повноваження, які покладені на нього згідно з General Data Protection Regulation на території країни – члена ЄС, де такий орган створений та функціонує.

І хоча контролюючі органи мають публічний характер, GDPR передбачає, що такі контролюючі органи не мають компетенції здійснювати нагляд за операціями, які здійснюються судами, що пов’язані з обробкою персональних даних суб’єктів даних.

Повноваження контролюючих органів

В рамках своє компетенції, про яку було розкрито вище, кожен контролюючий орган має наступні повноваження:

  • Слідчі повноваження;
  • Виправні повноваження;
  • Дозвільні і консультативні повноваження.

Слідчі повноваження

До слідчих повноважень можуть віднестися ті дії контролюючого органу, які пов’язані з (і) видачею розпоряджень контролеру або обробнику персональних даних і, за необхідності, представнику контролера або обробнику персональних даних будь-якої інформації, яку він вимагає для виконання своїх  та проведенням розслідувань в формі перевірок захисту даних; (іі) здійсненням перегляду сертифікацій, виданих згідно із GDPR; (ііі) повідомленням контролера або обробника персональних даних про передбачуване порушення GDPR; (iv) отриманням від контролера або обробника персональних даних, доступу до всіх персональних даних і до всієї інформації, необхідної для виконання його завдань; (v) отримуванням доступу до будь-яких приміщень контролера або обробника персональних даних, в тому числі до будь-якого обладнання і засобів опрацювання даних згідно з процесуальним законодавством Європейського Союзу чи країни – члена ЄС.

Виправні повноваження

До виправних  повноважень можуть віднестися ті дії контролюючого органу, які пов’язані з (і) надсиланням попереджень контролеру або обробнику персональних даних стосовно того, що передбачувані операції з оброки персональних даних ймовірно порушать положення GDPR та винесенням доган контролеру або обробнику персональних даних, якщо операції з оброки персональних даних порушують положення GDPR; (іі) видачею розпоряджень контролеру або обробнику персональних даних щодо  дотримання запитів суб’єкта даних для реалізації його прав відповідно до GDPR, а також щодо приведення операцій з оброки персональних даних у відповідність з положеннями GDPR; (ііі) накладенням тимчасових чи остаточних обмежень, в тому числі, щодо заборони на обробку персональних даних; (iv) видачею розпоряджень контролеру або обробнику персональних даних щодо  виправлення чи стирання персональних даних або обмежень обробки персональних даних; (v) відкликанні сертифікації, виданої у відповідності до статей 42 і 43 GDPR, або в забороні органу сертифікації видавати сертифікацію, якщо вимоги для сертифікації не виконано або більше не виконуються; (vі)  накладенням адміністративних штрафів у відповідності з вимогами GDPR, або спеціальних заходів відповідальності, в залежності від кожного окремого випадку неналежної обробки персональних даних контролерами та/або обробниками персональних даних.

Дозвільні і консультативні повноваження

До виправних  повноважень можуть віднестися ті дії контролюючого органу, які пов’язані з (і) консультуванням контролера відповідно до процедури попередніх консультацій, визначеної в тексті GDPR; (іі) видачею, за власною ініціативою чи на запит, висновків для національного парламенту, уряду країни – члена ЄС чи, відповідно до законодавства країни – члена ЄС, інших установ і органів, а також громадськості щодо будь-якого питання, пов’язаного з обробкою чи захистом персональних даних; (ііі) наданням контролерам персональних даних дозволів на обробку персональних даних для цілей суспільного інтересу, в тому числі, опрацювання в сфері соціального захисту і охорони суспільного здоров’я, якщо законодавство країни – члена ЄС вимагає надання такого попереднього дозволу; (iv) наданням висновків і затвердженням проектів кодексів поведінки, наданням акредитацій органам сертифікації відповідно, а також видачею сертифікації та затвердженням критерії сертифікації відповідно до вимог, передбачених GDPR.

Компетентний контролюючий орган

Європейські законодавці передбачили також ситуацію, коли компетенції двох контролюючих органів можуть пересікатися, зокрема в частині розгляду скарги на обробку персональних даних, яка надійшла від суб’єкта даних, а також в частині накладення адміністративної відповідальності на контролерів та обробників персональних даних.

Так GDPR передбачає, що коли обробка персональних, яка здійснюється публічними органами або приватними органами для дотримання встановленого законом зобов’язання, яке поширюється на контролера, або для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера, компетенцію в такому випадку матиме наглядовий орган відповідної країни – члена ЄС.

Загалом же, наглядовий орган окремої країни – члена ЄС буде вважатися компетентним контролюючим органом для головного осідку або єдиного осідку контролера або обробника персональних даних, а також буде мати компетенцію діяти як компетентний наглядовий орган для транскордонної обробки персональних даних, що здійснюється контролером або обробником персональних даних.

Кожен наглядовий орган має компетенцію розглядати скарги, подані до нього, або можливі порушення положень GDPR, якщо предмет скарги стосується лише осідку в його державі-члені чи істотно впливає на суб’єктів даних лише в його країні – члені ЄС.

Висновок

В цілому, кожна країна – член ЄС має свої наглядові органи, які забезпечують дотримання вимог GDPR. Функції та завдання які покладаються на ці органи, виконуються належним чином, а тому не потрібно мати жодних сумнівів, щодо того, що штрафи, які застосовуватимуться такими органами буде можливо оскаржити посилаючись виключно на їх некомпетенцію.