Η Αρχή προστασίας προσωπικών δεδομένων, σύμφωνα με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR, άρθρο 58)  έχει εξουσίες έρευνας, διορθωτικές εξουσίες, αδειοδοτικές-συμβουλευτικές εξουσίες και επιβολής προστίμων.

1. Εξουσίες έρευνας

α)  να δίνει εντολές, για να της παρασχεθεί κάθε πληροφορία που απαιτεί.

β)  να διεξάγει έρευνες, με τη μορφή ελέγχου.

γ)  να προβαίνει σε επανεξέταση των πιστοποιήσεων. Ως πιστοποίηση (άρθρο 40) νοείται η πιστοποίηση της  επεξεργασίας των δεδομένων και όχι των προσώπων.

δ)  να ειδοποιεί τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, για εικαζόμενη παράβαση του Κανονισμού.

ε)  να αποκτά πρόσβαση σε όλα τα δεδομένα και σε όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της.

στ)  να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, του εξοπλισμού και των μέσων επεξεργασίας δεδομένων.

2. Διορθωτικές εξουσίες

Προς τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία.

α)  να απευθύνει προειδοποιήσεις, ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του Κανονισμού.

β)  να απευθύνει επιπλήξεις, όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του Κανονισμού.

γ)  να δίνει εντολή, να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του.

δ)  να δίνει εντολή, να καθιστούν τις πράξεις επεξεργασίας, σύμφωνες με τις διατάξεις του Κανονισμού.

ε)  να δίνει εντολή, να ανακοινώσει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

στ)  να επιβάλλει προσωρινό, ή οριστικό, περιορισμό, της επεξεργασίας, περιλαμβανομένης της απαγόρευσης της επεξεργασίας.

ζ)  να δίνει εντολή διόρθωσης, ή διαγραφής, των δεδομένων, ή περιορισμού της επεξεργασίας και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες.

η)  να αποσύρει την πιστοποίηση, ή να διατάξει τον οργανισμό πιστοποίησης, να αποσύρει ένα πιστοποιητικό, ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφ όσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον.

θ)  να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

3. Αδειοδοτικές και συμβουλευτικές εξουσίες

α)  να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας.

β)  να εκδίδει, με δική της πρωτοβουλία, ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό (για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα).

γ)  να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά.

δ)  να παρέχει διαπίστευση σε φορείς πιστοποίησης.

ε)  να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης.

στ)  να εγκρίνει δεσμευτικούς εταιρικούς κανόνες.

ζ)  να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων.

η)  να επιτρέπει συμβατικές ρήτρες

θ)  να επιτρέπει διοικητικές ρυθμίσεις.

4. Εξουσία επιβολής προστίμων

Γα την λήψη απόφασης επιβολής διοικητικού προστίμου λαμβάνονται υπ όψιν τα ακόλουθα

α)  η φύση, η βαρύτητα και η διάρκεια της παράβασης.

β)  ο δόλος, ή η αμέλεια, που προκάλεσε την παράβαση.

γ)  οι ενέργειες, στις οποίες προέβη ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων.

δ)  ο βαθμός ευθύνης του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία.

ε)  προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία,

στ)  ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της.

ζ)  οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση.

η)  ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση.

θ) Η συμμόρφωση, ή μη, του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία σε εντολή λήψης μέτρων

ι)  η τήρηση εγκεκριμένων κωδίκων δεοντολογίας, ή εγκεκριμένων μηχανισμών πιστοποίησης.

ια)  κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

Υψος προστίμων

Οι παραβάσεις, α) των υποχρεώσεων του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, β) των υποχρεώσεων του φορέα πιστοποίησης και γ) των υποχρεώσεων του φορέα παρακολούθησης, επισύρουν πρόστιμα έως 10.000.000 ευρώ, ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).

Οι παραβάσεις, α) των βασικών αρχών για την επεξεργασία, β) των δικαιωμάτων των υποκειμένων των δεδομένων, γ) της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα, ή σε διεθνή οργανισμό, και δ) της μη συμμόρφωσης προς εντολή, ή προς προσωρινό, ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων, που επιβάλλονται από την η εποπτική αρχή, επισύρουν πρόστιμα έως 20.000.000 ευρώ, ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, (όποιο είναι υψηλότερο).