Art. 56 Dataskydd | DORA regulation | DORA

This article governs how the ESAs and competent authorities may handle personal data in the context of their supervisory work under this regulation.

It sets clear boundaries on when personal data processing is permitted and establishes the rules for how long that data may be kept.

It connects directly to the broader supervisory and oversight framework established elsewhere in the regulation, acting as the data protection guardrail for those activities.

Important points:

The ESAs and competent authorities may only process personal data when necessary to carry out their duties under this regulation, such as investigations, inspections, or drafting oversight plans.
All personal data processing must comply with either Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, depending on which applies.
Personal data must be retained only until supervisory duties are discharged, with an absolute maximum retention period of 15 years, unless court proceedings require otherwise.

1. De europeiska tillsynsmyndigheterna och de behöriga myndigheterna får endast behandla personuppgifter om det är nödvändigt för att de ska kunna fullgöra sina respektive skyldigheter och uppgifter enligt denna förordning, särskilt när det gäller utredning, inspektion, begäran om information, kommunikation, offentliggörande, utvärdering, verifiering, bedömning och utarbetande av tillsynsplaner. Personuppgifterna ska behandlas i enlighet med förordning (EU) 2016/679 eller förordning (EU) 2018/1725, beroende på vilken som är tillämplig.
1. Utom där annat föreskrivs i andra sektorsspecifika rättsakter ska de personuppgifter som avses i punkt 1 lagras till dess att de tillämpliga tillsynsuppgifterna fullgjorts och under alla omständigheter i högst 15 år, utom i fall av pågående domstolsförfaranden som kräver ytterligare lagring av sådana uppgifter.