Европейские контролирующие органы (data protection authorities), обеспечивающих соблюдение требований GDPR на территории Европейского Союза

17 февраля 2020

Принимая новое законодательство, которое будет регулировать защиту персональных данных на территории Европейского Союза, европейские законодатели специальную роль отвели контролирующим органам, в рамках своей компетенции, должны осуществлять надзор за соблюдением требований GDPR и других законов. В этой статье мы попытаемся раскрыть особенности функционирования таких органов и роль, которую они играют в условиях современности.

Понятие и компетенция контролирующих органов

В соответствии с GDPR (General Data Protection Regulation), под надзорным органом следует понимать государственный орган, назначаемый каждой страной — членом ЕС. И действительно, каждая страна — член должна положить на один или несколько независимых публичных органов ответственность за мониторинг применения GDPR. Это необходимо для того, чтобы защитить фундаментальные права и свободы физических лиц в сфере обработки и способствовать свободному движению персональных данных в рамках Европейского Союза.

Законодательство определяет, что если в стране — члене ЕС определяется больше, нежели один надзорный орган, такое государство должно назначать надзорный орган, который должен представлять такие органы в EDPB (European Data Protection Board), а также устанавливать механизм обеспечения соблюдения другими органами правил, предусмотренных законодательством о защите персональных данных.

Если говорить о компетенции контролирующих органов, то стоит отметить, что каждый такой орган компетентен выполнять задачи и реализовывать полномочия, возложенные на него в соответствии с General Data Protection Regulation на территории страны — члена ЕС, где такой орган создан и функционирует.

И хотя контролирующие органы публичный характер, GDPR предусматривает, что такие контролирующие органы не имеют компетенции осуществлять надзор за операциями, которые осуществляются судами, связанные с обработкой персональных данных субъектов данных.

Полномочия контролирующих органов

В рамках свое компетенции, о которой было раскрыто выше, контролирующий орган имеет следующие полномочия:

Следователи полномочия;
Исправительные полномочия;
Разрешительные и консультативные полномочия.

следователи полномочия

В следственные полномочий могут отнестись те действия контролирующего органа, связанные с (и) выдачей предписаний контроллеру или обработчик персональных данных и, при необходимости, представителю контроллера или обработчик персональных данных любой информации, которую он требует для выполнения своих и проведением расследований в форме проверок защиты данных; (Ii) осуществлением просмотра сертификаций, выданных в соответствии с GDPR; (Iii) сообщением контроллера или обработчика персональных данных о предполагаемом нарушении GDPR; (Iv) получением от контроллера или обработчика персональных данных, доступа ко всем персональным данным и ко всей информации, необходимой для выполнения его задач; (V) получения доступа к любым помещениям контроллера или обработчика персональных данных, в том числе к любому оборудования и средств обработки данных в соответствии с процессуальным законодательством Европейского Союза или страны — члена ЕС.

исправительные полномочия

К исправительным полномочий могут отнестись те действия контролирующего органа, связанные с (и) передачей предупреждений контроллеру или обработчик персональных данных о том, что предполагаемые операции по оброки персональных данных вероятно нарушат положения GDPR и вынесением выговоров контроллеру или обработчик персональных данных, если операции с оброки персональных данных нарушают положения GDPR; (Ii) выдачей предписаний контроллеру или обработчик персональных данных по соблюдению запросов субъекта данных для реализации его прав в соответствии с GDPR, а также по приведению операций с оброки персональных данных в соответствие с положениями GDPR; (Iii) наложением временных или окончательных ограничений, в том числе, о запрете на обработку персональных данных; (Iv) выдачей предписаний контроллеру или обработчик персональных данных по исправлению или стирания персональных данных или ограничений обработки персональных данных; (V) отзыве сертификации, выданной в соответствии со статьями 42 и 43 GDPR, или в запрете органа сертификации выдавать сертификацию, если требования для сертификации не выполнены или более не выполняются; (Vi) наложением административных штрафов в соответствии с требованиями GDPR или специальных мер ответственности, в зависимости от каждого отдельного случая ненадлежащего обработки персональных данных контроллерами и / или обработчиками персональных данных.

Разрешительные и консультативные полномочия

К исправительным полномочий могут отнестись те действия контролирующего органа, связанные с (и) консультированием контроллера в соответствии с процедурой предварительных консультаций, определенной в тексте GDPR; (Ii) выдачей, по собственной инициативе или по запросу, выводов для национального парламента, правительства страны — члена ЕС или в соответствии с законодательством страны — члена ЕС, других учреждений и органов, а также общественности в отношении любого вопроса, связанного с обработкой или защитой персональных данных; (Iii) предоставлением контролерам персональных данных разрешений на обработку персональных данных для целей общественного интереса, в том числе, проработку в сфере социальной защиты и охраны общественного здоровья, если законодательство страны — члена ЕС требует предоставления такого предварительного разрешения; (Iv) предоставлением заключений и утверждением проектов кодексов поведения, предоставлением аккредитаций органам сертификации соответственно, а также выдачей сертификации и утверждением критерии сертификации в соответствии с требованиями, предусмотренными GDPR.

Компетентный контролирующий орган

Европейские законодатели предусмотрели также ситуацию, когда компетенции двух контролирующих органов могут пересекаться, в частности в части рассмотрения жалобы на обработку персональных данных, поступившей от субъекта данных, а также в части наложения административной ответственности на контролеров и обработчиков персональных данных.

Так GDPR предусматривает, что когда обработка персональных, которая осуществляется публичными органами или частными органами для соблюдения установленного законом обязательства, которое распространяется на контролера, или для выполнения задания в общественных интересах или осуществление официальных полномочий, возложенных на контролера, компетенцию в таком случае будет надзорный орган соответствующей страны — члена ЕС.

В целом же, надзорный орган отдельной страны — члена ЕС будет считаться компетентным контролирующим органом для главного резиденции или единого резиденции контроллера или обработчика персональных данных, а также будет иметь компетенцию действовать как компетентный надзорный орган для трансграничной обработки персональных данных, осуществляемой контроллером или обработчиком персональных данных .

Каждый надзорный орган обладает компетенцией рассматривать жалобы, поданные в него, или возможные нарушения положений GDPR, если предмет жалобы касается только резиденции в его государстве-члене или существенно влияет на субъектов данных только в его стране — члене ЕС.

вывод

В целом, каждая страна — член ЕС имеет свои надзорные органы, которые обеспечивают соблюдение требований GDPR. Функции и задачи, которые возлагаются на эти органы, выполняются должным образом, а потому не нужно иметь никаких сомнений относительно того, что штрафы, которые будут применяться такими органами будет возможно обжаловать ссылаясь исключительно на их некомпетентности.