Artikel 58 - Bevoegdheden
-
1.
Elk toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:
- a) de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;
- b) onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;
- c) een toetsing te verrichten van de overeenkomstig artikel 42, lid 7, afgegeven certificeringen;
- d) de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening;
- e) van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van haar taken; en
- f) toegang te verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het uniale of lidstatelijke procesrecht.
-
2.
Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:
- a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;
- b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;
- c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;
- d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;
- e) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;
- f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;
- g) het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19;
- h) een certificering intrekken of het certificeringsorgaan gelasten een uit hoofde van de artikelen 42 en 43 afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan;
- i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; en
- j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.
-
3.
Elke toezichthoudende autoriteit heeft alle autorisatie- en adviesbevoegdheden om:
- a) de verwerkingsverantwoordelijke advies te verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 36;
- b) op eigen initiatief dan wel op verzoek, aan het nationaal parlement, aan de regering van de lidstaat, of overeenkomstig het lidstatelijke recht aan andere instellingen en organen alsmede aan het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens;
- c) toestemming te geven voor verwerking als bedoeld in artikel 36, lid 5, indien die voorafgaande toestemming door het lidstatelijke recht wordt voorgeschreven;
- d) overeenkomstig artikel 40, lid 5, advies uit te brengen over en goedkeuring te hechten aan de ontwerpgedragscodes;
- e) certificeringsorganen te accrediteren overeenkomstig artikel 43;
- f) certificeringen af te geven en certificeringscriteria goed te keuren overeenkomstig artikel 42, lid 5;
- g) de in artikel 28, lid 8, en artikel 46, lid 2, punt d), bedoelde standaardbepalingen inzake gegevensbescherming aan te nemen;
- h) toestemming te verlenen voor de in artikel 46, lid 3, punt a), bedoelde contractbepalingen;
- i) toestemming te verlenen voor de in artikel 46, lid 3, punt b), bedoelde administratieve regelingen;
- j) goedkeuring te hechten aan bindende bedrijfsvoorschriften overeenkomstig artikel 47.
- 4. Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.
- 5. Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.
- 6. Elke lidstaat kan bij wet bepalen dat zijn toezichthoudende autoriteit, naast de in lid 1, 2 en 3 bedoelde bevoegdheden bijkomende bevoegdheden heeft. De uitoefening van die bevoegdheden doet geen afbreuk aan de doeltreffende werking van hoofdstuk VII.
Relevante overwegingen
- 122. Elke toezichthoudende autoriteit dient op het grondgebied van haar lidstaat bevoegd te zijn om de bevoegdheden en taken uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. Daaronder dienen met name te vallen: de verwerking in het kader van de activiteiten van een vestiging van de verwerkingsverantwoordelijke of de verwerker op het grondgebied van zijn eigen lidstaat, de verwerking van persoonsgegevens door overheidsinstanties of particuliere organen die optreden in het algemeen belang, verwerking die gevolgen heeft voor betrokkenen op haar grondgebied, of verwerking, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, gericht op betrokkenen die op haar grondgebied verblijven. Ook het behandelen van door een betrokkene ingediende klachten, het evalueren van de toepassing van deze verordening en het beter bekend maken van het brede publiek met de risico's, regels, waarborgen en de rechten in verband met de verwerking van persoonsgegevens dienen daaronder te vallen.
- 129. Met het oog op een consequent toezicht en eenvormige handhaving van deze verordening in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, en om, onverminderd de bevoegdheden die aan de met vervolging belaste autoriteiten conform het lidstatelijke recht zijn toegekend, inbreuken op deze verordening ter kennis van de rechterlijke instanties te brengen en gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking, waaronder een verwerkingsverbod, voor de verwerking op te leggen. De lidstaten kunnen krachtens deze verordening andere aan de bescherming van persoonsgegevens verwante taken specificeren. De bevoegdheden van de toezichthoudende autoriteiten moeten overeenkomstig passende in het Unierecht en het lidstatelijke recht bepaalde procedurele waarborgen, onpartijdig, behoorlijk en binnen een redelijke termijn worden uitgeoefend. Elke maatregel dient met name passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de personen in kwestie te vermijden. Onderzoeksbevoegdheden betreffende toegang tot terreinen moeten overeenkomstig de specifieke voorschriften van het lidstatelijke procesrecht, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, worden uitgeoefend. Elke juridisch bindende maatregel van de toezichthoudende autoriteit dient schriftelijk, duidelijk en ondubbelzinnig te zijn, de toezichthoudende autoriteit die de maatregel heeft uitgevaardigd en de datum van uitvaardiging te vermelden, door het hoofd of een door het hoofd gemachtigd lid van de toezichthoudende autoriteit ondertekend te zijn, de redenen voor de maatregel te bevatten en naar het recht op een doeltreffende voorziening in rechte te verwijzen. Dit dient bijkomende voorschriften overeenkomstig het lidstatelijke procesrecht niet uit te sluiten. De vaststelling van juridisch bindende besluiten impliceert de mogelijkheid tot rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld.
- 131. Indien een andere toezichthoudende autoriteit als leidende toezichthoudende autoriteit dient op te treden voor de verwerkingsactiviteiten van de verwerkingsverantwoordelijke of de verwerker, maar het voorwerp van een klacht of een mogelijke inbreuk alleen verwerkingsactiviteiten van de verwerkingsverantwoordelijke of de verwerker in de lidstaat waar de klacht is ingediend of waar de inbreuk is opgespoord betreft en het geval geen wezenlijke gevolgen heeft of dreigt te hebben voor betrokkenen in andere lidstaten, dient de toezichthoudende autoriteit waarbij een klacht wordt ingediend, of die situaties die mogelijke inbreuken op deze verordening inhouden, op het spoor is gekomen of er op een andere manier over wordt geïnformeerd, te trachten een minnelijke schikking met de verwerkingsverantwoordelijke te treffen en, indien dit niet mogelijk is, de volle reikwijdte van haar bevoegdheden uit te oefenen. Daaronder dienen te vallen: specifieke verwerking op het grondgebied van de lidstaat van de toezichthoudende autoriteit of met betrekking tot betrokkenen op het grondgebied van die lidstaat; verwerking in het kader van een aanbod van goederen of diensten dat specifiek is gericht op betrokkenen op het grondgebied van de lidstaat van de toezichthoudende autoriteit; of verwerking die met inachtneming van de relevante lidstatelijke wettelijke verplichtingen moet worden beoordeeld.
Jurisprudentie Hof van Justitie van de EU
| Zaak-nr. | Arrest |
|---|---|
| C-768/21 |
TR tegen Land Hessen Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 57, lid 1, onder a) en f) – Taken van de toezichthoudende autoriteit – Artikel 58, lid 2 – Corrigerende maatregelen – Administratieve geldboete – Beoordelingsmarge van de toezichthoudende autoriteit – Grenzen |
| C-807/21 |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
| C-306/21 |
Komisia za zashtita na lichnite danni en Tsentralna izbiratelna komisia tegen Koalitsia „Demokratichna Bulgaria - Obedinenie” Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Werkingssfeer – Artikel 2, lid 2, onder a) – Begrip ,activiteiten die buiten de werkingssfeer van het Unierecht vallen’ – Nationale en Europese verkiezingen – Artikel 6, lid 1, onder e) – Rechtmatigheid van de verwerking – Artikel 58 – Handeling van de toezichthoudende autoriteiten waarbij de mogelijkheid om het tellen van de stemmen in de stembureaus op video vast te leggen wordt beperkt of, in voorkomend geval, uitgesloten |
| C-645/19 |
Facebook Ireland Limited e.a. tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Grensoverschrijdende verwerking van persoonsgegevens – ‚Eén-loketmechanisme’ – Loyale en doeltreffende samenwerking tussen de toezichthoudende autoriteiten – Competentie en bevoegdheden – Bevoegdheid om in rechte op te treden |
| C-311/18 |
Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten |
| Bepaling | Arrest(en) |
|---|---|
| Artikel 58 |
Komisia za zashtita na lichnite danni en Tsentralna izbiratelna komisia tegen Koalitsia „Demokratichna Bulgaria - Obedinenie” Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Werkingssfeer – Artikel 2, lid 2, onder a) – Begrip ,activiteiten die buiten de werkingssfeer van het Unierecht vallen’ – Nationale en Europese verkiezingen – Artikel 6, lid 1, onder e) – Rechtmatigheid van de verwerking – Artikel 58 – Handeling van de toezichthoudende autoriteiten waarbij de mogelijkheid om het tellen van de stemmen in de stembureaus op video vast te leggen wordt beperkt of, in voorkomend geval, uitgesloten |
| Artikel 58, lid 2 |
TR tegen Land Hessen Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 57, lid 1, onder a) en f) – Taken van de toezichthoudende autoriteit – Artikel 58, lid 2 – Corrigerende maatregelen – Administratieve geldboete – Beoordelingsmarge van de toezichthoudende autoriteit – Grenzen |
| Artikel 58, lid 2, sub f |
Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten |
| Artikel 58, lid 2, sub i |
Deutsche Wohnen SE tegen Staatsanwaltschaft Berlin Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip,verwerkingsverantwoordelijke’ – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten om corrigerende maatregelen op te leggen – Artikel 83 – Oplegging van administratieve geldboeten aan een rechtspersoon – Voorwaarden – Speelruimte voor de lidstaten – Vereiste dat de inbreuk opzettelijk of nalatig is |
| Artikel 58, lid 2, sub j |
Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten |
| Artikel 58, lid 5 |
Facebook Ireland Limited e.a. tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Grensoverschrijdende verwerking van persoonsgegevens – ‚Eén-loketmechanisme’ – Loyale en doeltreffende samenwerking tussen de toezichthoudende autoriteiten – Competentie en bevoegdheden – Bevoegdheid om in rechte op te treden |
Sanctie-besluiten en EDPB-richtsnoeren
| Datum publicatie | Document |
|---|---|
| 11 februari 2021 |
Boete OLVG Gezondheidsgegevens in een dossier; Gezondheidsgegevens gebruiken en delen; Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens (AP) heeft het Amsterdamse ziekenhuis OLVG een boete van 440. 000 euro opgelegd. Het OLVG nam tussen 2018 en 2020 te weinig maatregelen om te voorkomen dat onbevoegde medewerkers toegang kregen tot medische dossiers. Dat kwam door onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen. Naar aanleiding van het…. |
| 6 juli 2020 |
Boete BKR Inkomen en kredietwaardigheid; Privacyrechten AVG - De Autoriteit Persoonsgegevens (AP) heeft BKR een boete opgelegd van 830. 000 euro. Stichting Bureau Krediet Registratie (BKR) mag geen geld vragen aan mensen die digitaal hun persoonsgegevens willen inzien. En wanneer mensen per post inzage in hun persoonsgegevens bij BKR willen, moet dat eenvoudig en met redelijke tussenpozen mogelijk zijn. BKR wierp te hoge drempels op voor inzage. Dat mag niet volgens de privacywetgeving. Daarom heeft…. |
| 3 maart 2020 |
Boete KNLTB De Autoriteit Persoonsgegevens (AP) legt de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB) een boete op van 525. 000 euro voor het onrechtmatig verstrekken van persoonsgegevens van KNLTB-leden aan twee sponsoren. De KNLTB verdiende hier geld aan. De sponsoren gebruikten de gegevens om de leden te benaderen met een promotionele actie. De AP concludeert na onderzoek dat de verstrekkingen van persoonsgegevens door de KNLTB aan de twee sponsoren in strijd was met de Algemene verordening…. |
| 16 juli 2019 |
Boete HagaZiekenhuis Beveiliging van persoonsgegevens; Gezondheidsgegevens in een dossier; Gezondheidsgegevens gebruiken en delen - De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis een boete van 460. 000 euro opgelegd. Het HagaZiekenhuis krijgt de boete omdat de interne beveiliging van patiëntendossiers niet op orde is. Om het Haga te dwingen de beveiliging van patiëntendossiers te verbeteren, legt de AP tegelijkertijd een last onder dwangsom op. Lees verder: Haga beboet voor onvoldoende interne…. |
| 6 december 2023 |
Boetebeleidsregels Autoriteit Persoonsgegevens 2023 AVG algemeen - Met de boetebeleidsregels berekent de Autoriteit Persoonsgegevens (AP) de hoogte van boetes voor overtredingen van de Algemene verordening gegevensbescherming (AVG) door overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen. De boetebeleidsregels zijn niet van toepassing op bedrijven die de AVG overtreden. De hoogte van boetes voor bedrijven berekent de AP met de Fining guidelines van de EDPB. Let op: Ook voor ziekenhuizen en particuliere scholen…. |
- Inhoudsopgave
- Tekst van artikel 58
- Relevante overwegingen 3
- Arresten Hof van Justitie 5
- Besluiten en richtsnoeren 5
- Bijdragen?