La CNPD dispose de pouvoirs d'enquête, du pouvoir d'adopter des mesures correctrices, de pouvoirs d'autorisation et de pouvoirs consultatifs.
Pouvoirs d'enquête
La CNPD dispose des pouvoirs d'enquête suivants:
- ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l'accomplissement de ses missions;
- mener des enquêtes sous la forme d'audits sur la protection des données;
- procéder à un examen des certifications ;
- notifier au responsable du traitement ou au sous-traitant une violation alléguée du RGPD;
- obtenir du responsable du traitement et du sous-traitant l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'accomplissement de ses missions;
- obtenir l'accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l'Union ou au droit procédural des États membres.
Mesures correctrices
La CNPD dispose du pouvoir d'adopter toutes les mesures correctrices suivantes:
- avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du RGPD;
- rappeler à l'ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du RGPD;
- ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits en application du RGPD;
- ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;
- ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;
- imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;
- ordonner la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées;
- retirer une certification ou ordonner à l'organisme de certification de retirer une certification, ou ordonner à l'organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites;
- imposer une amende administrative, en complément ou à la place des mesures correctrices, en fonction des caractéristiques propres à chaque cas;
- ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.
Pouvoirs d'autorisation et de consultation
La CNPD dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants:
- conseiller le responsable du traitement conformément à la procédure de consultation préalable;
- émettre, de sa propre initiative ou sur demande, des avis à l'attention de la Chambre des députés, du gouvernement ou d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel;
- autoriser le traitement visé à l'article 36, paragraphe 5 du RGPD, si le droit de l'État membre exige une telle autorisation préalable;
- rendre un avis sur les projets de codes de conduite et les approuver;
- agréer des organismes de certification;
- délivrer des certifications et approuver des critères de certification conformément;
- adopter les clauses types de protection des données;
- autoriser les clauses contractuelles;
- autoriser les arrangements administratifs;
- approuver les règles d'entreprise contraignantes.