Artigo 58º – Poderes

Artigo 58º

Poderes

1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:

a) Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções;

b) Realizar investigações sob a forma de auditorias sobre a proteção de dados;

c) Rever as certificações emitidas nos termos do artigo 42º, nº 7;

d) Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento;

e) Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções;

f) Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros.

2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:

a) Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;

b) Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;

c) Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;

d) Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;

e) Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;

f) Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;

g) Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16º, 17º e 18º, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17º, nº 2, e do artigo 19º;

h) Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42º e 43º, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos;

i) Impor uma coima nos termos do artigo 83º, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;

j) Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais.

3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:

a) Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36º;

b) Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais;

c) Autorizar o tratamento previsto no artigo 36º, nº 5, se a lei do Estado-Membro exigir tal autorização prévia;

d) Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40º, nº 5;

e) Acreditar organismos de certificação nos termos do artigo 43º;

f) Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42º, nº 5;

g) Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28º, nº 8, e no artigo 46º, nº 2, alínea d);

h) Autorizar as cláusulas contratuais previstas no artigo 46º, nº 3, alínea a);

i) Autorizar os acordos administrativos previstos no artigo 46º, nº 3, alínea b);

j) Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47º.

4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.

5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.

6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos nºs 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.

[apps_share]

Artigo 59º – Relatórios de atividades

Artigo 59º

Relatórios de atividades

As autoridades de controlo elaboram um relatório anual de atividades, que pode incluir uma lista dos tipos de violação notificadas e dos tipos de medidas tomadas nos termos do artigo 58º, nº 2. Os relatórios são apresentados ao Parlamento nacional, ao Governo e às outras autoridades designadas no direito do Estado-Membro. Os relatórios são disponibilizados ao público, à Comissão e ao Comité.

Artigo 57º – Atribuições

Artigo 57º

Atribuições

1. Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

a) Controla e executa a aplicação do presente regulamento;

b) Promove a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial;

c) Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento;

d) Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento;

e) Se lhe for solicitado, presta informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito;

f) Trata as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80º, e investigar, na medida do necessário, o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

g) Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento;

h) Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública;

i) Acompanha factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;

j) Adota as cláusulas contratuais-tipo previstas no artigo 28º, nº 8, e no artigo 46º, nº 2, alínea d);

k) Elabora e conserva uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do artigo 35º, nº 4;

l) Dá orientações sobre as operações de tratamento previstas no artigo 36º, nº 2;

m) Incentiva a elaboração de códigos de conduta nos termos do artigo 40º, nº 1, dá parecer sobre eles e aprova os que preveem garantias suficientes, nos termos do artigo 40º, nº 5;

n) Incentiva o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do artigo 42º, nº 1, e aprova os critérios de certificação nos termos do artigo 42º, nº 5;

o) Se necessário, procede a uma revisão periódica das certificações emitidas, nos termos do artigo 42º, nº 7;

p) Redige e publica os critérios de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41º e de um organismo de certificação nos termos do artigo 43º;

q) Conduz o processo de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41º e de um organismo de certificação nos termos do artigo 43º;

r) Autoriza as cláusulas contratuais e disposições previstas no artigo 46º, nº 3;

s) Aprova as regras vinculativas aplicáveis às empresas nos termos do artigo 47º;

t) Contribui para as atividades do Comité;

u) Conserva registos internos de violações do presente regulamento e das medidas tomadas nos termos do artigo 58º, nº 2; e

v) Desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais.

2. As autoridades de controlo facilitam a apresentação das reclamações previstas no nº 1, alínea f), tomando medidas como disponibilizar formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.

3. A prossecução das atribuições de cada autoridade de controlo é gratuita para o titular dos dados e, sendo caso disso, para o encarregado da proteção de dados.

4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu caráter  recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos ou pode indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.

Artigo 56º – Competência da autoridade de controlo principal

Artigo 56º

Competência da autoridade de controlo principal

1. Sem prejuízo do disposto no artigo 55º, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60º.

2. Em derrogação do nº 1, cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado-Membro ou se afetar substancialmente titulares de dados apenas no seu Estado-Membro.

3. Nos casos previstos no nº 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a autoridade de controlo principal. No prazo de três semanas a contar do momento em que tiver sido informada, a autoridade de controlo principal decide se trata o caso, nos termos do artigo 60º, tendo em conta se há ou não algum estabelecimento do responsável pelo tratamento ou subcontratante no Estado-Membro sobre o qual a autoridade de controlo a tenha informado.

4. Quando a autoridade de controlo principal decide tratar o caso, aplica-se o procedimento previsto no artigo 60.o. A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta última um projeto de decisão. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de decisão referido no artigo 60º, nº 3.

5. Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61º e 62º.

6. A autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante.

Artigo 55º – Competência

Artigo 55º

Competência

1. As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado-Membro.

2. Quando o tratamento for efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6º, nº 1, alínea c) ou e), é competente a autoridade de controlo do Estado-Membro em causa. Nesses casos, não é aplicável o artigo 56º.

3. As autoridades de controlo não têm competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional.