Art. 56 Protection des données | DORA regulation | DORA

This article governs how the ESAs and competent authorities may handle personal data in the context of their supervisory work under this regulation.

It sets clear boundaries on when personal data processing is permitted and establishes the rules for how long that data may be kept.

It connects directly to the broader supervisory and oversight framework established elsewhere in the regulation, acting as the data protection guardrail for those activities.

Important points:

The ESAs and competent authorities may only process personal data when necessary to carry out their duties under this regulation, such as investigations, inspections, or drafting oversight plans.
All personal data processing must comply with either Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, depending on which applies.
Personal data must be retained only until supervisory duties are discharged, with an absolute maximum retention period of 15 years, unless court proceedings require otherwise.

1. Les AES et les autorités compétentes ne sont autorisées à traiter des données à caractère personnel que lorsque cela est nécessaire à l’accomplissement de leurs obligations et missions respectives en vertu du présent règlement, en particulier en matière d’enquête, d’inspection, de demande d’informations, de communication, de publication, d’évaluation, de vérification, d’évaluation et d’élaboration de plans de supervision. Les données à caractère personnel sont traitées conformément au règlement (UE) 2016/679 ou au règlement (UE) 2018/1725, selon le cas.
1. Sauf disposition contraire dans d’autres actes sectoriels, les données à caractère personnel visées au paragraphe 1 sont conservées jusqu’à l’accomplissement des missions de contrôle applicables et, en tout état de cause, pendant une période maximale de quinze ans, sauf dans le cas de procédures judiciaires en cours nécessitant la conservation de ces données pendant une période plus longue.