(1)     Ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom pre oblasť ochrany osobných údajov účastníkom konania, rozhodnutím môže 

a)    uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia podľa odseku 3, ak je to dôvodné a účelné,

b)   zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa,  ktorý sa zaviazal dodržiavať schválený kódex správania,

c)    odňať certifikát,

d)   nariadiť certifikačnému subjektu odňatie certifikátu,

e)    odňať osvedčenie o udelení akreditácie,

f)    uložiť pokutu podľa § 104.

(2)     Ak úrad v konaní nerozhodne podľa odseku 1, ak sa v konaní nepreukáže porušenie práv dotknutej osoby alebo ak sa nepreukáže nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom účastníkom konania, úrad konanie zastaví.

(3)     Úrad je oprávnený uložiť povinnosť prevádzkovateľovi alebo sprostredkovateľovi, najmä nariadiť 

a)    odstránenie zistených nedostatkov a príčin ich vzniku v úradom určenej lehote,

b)   prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti primeranú rizikám pre práva fyzických osôb,

c)    posúdenie vplyv spracovateľských operácií na ochranu osobných údajov v súlade s týmto zákonom alebo osobitným predpisom.

(4)     Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.

(5)     Prevádzkovateľ alebo sprostredkovateľ je povinný písomne informovať úrad o splnení uložených opatrení v úradom určenej lehote.