EUROPA-KOMMISSIONEN

Bruxelles, den 4.7.2023

COM(2023) 348 final

2023/0202(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679

BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

•Forslagets begrundelse og formål

·Klager: Klager udgør en vigtig informationskilde, når det drejer sig om at opdage overtrædelser af databeskyttelsesreglerne. Databeskyttelsesmyndighederne har forskellige fortolkninger af kravene til klagens form, klagernes deltagelse i proceduren og afvisningen af klager. Eksempler: En klage, der accepteres af nogle databeskyttelsesmyndigheder, kan afvises af andre med den begrundelse, at den ikke indeholder tilstrækkelige oplysninger. Nogle databeskyttelsesmyndigheder giver klagerne samme rettigheder som de parter, der er genstand for en undersøgelse, mens andre ikke medtager klagere i proceduren eller inddrager klagere i meget begrænset omfang. Nogle databeskyttelsesmyndigheder træffer en formel afgørelse om afvisning af alle klager, der ikke går videre, mens andre databeskyttelsesmyndigheder undlader at gøre det. Disse forskelle betyder, at behandlingen af klager og klagernes inddragelse varierer, alt efter hvor klagen indgives, eller hvilken databeskyttelsesmyndighed der er den ledende databeskyttelsesmyndighed i en given sag. Som følge heraf forsinker de afslutningen af undersøgelsen og den registreredes adgang til retsmidler i grænseoverskridende sager. Europa-Parlamentet fremhævede i sin beslutning om Kommissionens rapport fra 2020 om databeskyttelsesforordningen behovet for at præcisere klagernes stilling i tilfælde af grænseoverskridende klager.

·Proceduremæssige rettigheder for parter, der er genstand for en undersøgelse: Retten til et forsvar for parter, der er genstand for en undersøgelse, er et grundlæggende princip i EU-retten, som skal overholdes under alle omstændigheder, navnlig i procedurer, der kan give anledning til høje bøder. I betragtning af de potentielt strenge sanktioner, der kan pålægges, skal de parter, der er genstand for en undersøgelse vedrørende overtrædelse af databeskyttelsesforordningen, have garantier svarende til dem, der er fastsat i procedurer af strafferetlig karakter. De proceduremæssige rettigheder for parter, der er genstand for en undersøgelse, såsom omfanget af retten til at blive hørt og retten til aktindsigt, varierer betydeligt fra medlemsstat til medlemsstat. I hvilket omfang parterne høres, tidspunktet for høringen og de dokumenter, der stilles til rådighed for parterne for at sætte dem i stand til at udøve deres ret til at blive hørt, er elementer, som medlemsstaterne har forskellige tilgange til. Disse forskellige tilgange er ikke altid forenelige med proceduren i databeskyttelsesforordningens artikel 60, som bygger på formodningen om, at de parter, der er genstand for en undersøgelse, har udøvet deres ret til at blive hørt, inden udkastet til afgørelse forelægges af den ledende databeskyttelsesmyndighed. Når en sag indbringes for Databeskyttelsesrådet med henblik på tvistbilæggelse, kan det variere, i hvilket omfang parterne er blevet hørt om de spørgsmål, der er rejst i udkastet til afgørelse, og de berørte databeskyttelsesmyndigheders indsigelser. Desuden mangler der klarhed om, i hvilket omfang de parter, der er genstand for en undersøgelse, bør høres af Databeskyttelsesrådet i forbindelse med tvistbilæggelse i henhold til databeskyttelsesforordningens artikel 65. Manglende sikring af retten til at blive hørt kan gøre afgørelser truffet af databeskyttelsesmyndighederne, hvori det fastslås, at der er sket en overtrædelse af databeskyttelsesforordningen, lettere at anfægte.

·Samarbejde og tvistbilæggelse: Samarbejdsproceduren i databeskyttelsesforordningens artikel 60 er bredt beskrevet. I grænseoverskridende sager skal databeskyttelsesmyndighederne udveksle "relevante oplysninger" i et forsøg på at nå til enighed. Når den ledende databeskyttelsesmyndighed forelægger et udkast til afgørelse i sagen, har andre databeskyttelsesmyndigheder mulighed for at fremsætte "relevante og begrundede indsigelser". Disse indsigelser giver mulighed for tvistbilæggelse (når de ikke følges af den ledende databeskyttelsesmyndighed). Selv om tvistbilæggelsesproceduren i databeskyttelsesforordningens artikel 65 udgør et væsentligt element med henblik på at sikre en konsekvent fortolkning af databeskyttelsesforordningen, bør den forbeholdes ekstraordinære tilfælde, hvor loyalt samarbejde mellem databeskyttelsesmyndighederne ikke har ført til konsensus. Erfaringerne med håndhævelsen af databeskyttelsesforordningen i grænseoverskridende sager viser, at samarbejdet mellem databeskyttelsesmyndighederne er utilstrækkeligt, inden den ledende databeskyttelsesmyndighed forelægger et udkast til afgørelse. Det utilstrækkelige samarbejde og den utilstrækkelige konsensusopbygning om centrale spørgsmål i undersøgelsen på dette tidlige stadium har ført til, at der er blevet indgivet en lang række sager til tvistbilæggelse.

Der er forskelle, hvad angår formen og strukturen af de relevante og begrundede indsigelser fra de berørte databeskyttelsesmyndigheder under proceduren for grænseoverskridende samarbejde. Disse forskelle hindrer en effektiv afslutning af tvistbilæggelsesproceduren og inddragelse af alle berørte databeskyttelsesmyndigheder i proceduren, navnlig databeskyttelsesmyndighederne i mindre medlemsstater, som har færre ressourcer end databeskyttelsesmyndighederne i større medlemsstater.

·I databeskyttelsesforordningen fastsættes der ikke frister for forskellige faser af samarbejds- og tvistbilæggelsesproceduren. I betragtning af undersøgelsernes varierende kompleksitet og databeskyttelsesmyndighedernes skønsbeføjelser til at undersøge overtrædelser af databeskyttelsesforordningen er det ikke ønskeligt at fastsætte frister for alle faser af proceduren. Indførelsen af frister, hvor det er relevant, vil imidlertid være med til at forhindre unødige forsinkelser i behandlingen af sager.

·Klagernes form og klageres stilling: Forslaget indeholder en formular, hvori det præciseres, hvilke oplysninger der kræves i forbindelse med alle klager i henhold til databeskyttelsesforordningens artikel 77 vedrørende grænseoverskridende behandling, og hvilke procedureregler der skal anvendes for inddragelse af klagere i proceduren, herunder deres ret til at fremsætte deres synspunkter. Der fastsættes procedureregler for afvisning af klager i grænseoverskridende sager, og det præciseres, hvilken rolle den ledende databeskyttelsesmyndighed og den databeskyttelsesmyndighed, som klagen blev indgivet til, har i sådanne sager. I forslaget anerkendes betydningen og lovligheden af mindelig bilæggelse af klagesager.

·Målrettet harmonisering af procedurereglerne i grænseoverskridende sager: Forslaget giver de parter, der er genstand for en undersøgelse, ret til at blive hørt i procedurens vigtigste faser, bl.a. under Det Europæiske Databeskyttelsesråds tvistbilæggelse, og bestemmelserne om indholdet af de administrative sagsakter og parternes ret til aktindsigt præciseres. Forslaget styrker dermed parternes ret til et forsvar og sikrer konsekvent overholdelsen af disse rettigheder, uanset hvilken databeskyttelsesmyndighed der leder undersøgelsen.

·Strømlining af samarbejde og tvistbilæggelse: Forslaget giver databeskyttelsesmyndighederne de værktøjer, der er nødvendige for at opnå konsensus, ved at give kravet om, at databeskyttelsesmyndighederne skal samarbejde og dele "relevante oplysninger", jf. databeskyttelsesforordningens artikel 60, mere indhold. Med denne forordning fastlægges der en ramme, der gør det muligt for alle databeskyttelsesmyndigheder på meningsfuld vis at påvirke en grænseoverskridende sag ved at fremsætte deres synspunkter tidligt i undersøgelsesproceduren og gøre brug af alle værktøjer i databeskyttelsesforordningen. Dette vil gøre det lettere at opnå konsensus og mindske sandsynligheden for uenighed senere i proceduren, hvilket vil kræve anvendelse af tvistbilæggelsesmekanismen. Hvis der er uenighed mellem databeskyttelsesmyndighederne om det centrale spørgsmål om omfanget af undersøgelsen i en klagebaseret sag, giver forslaget mulighed for, at Databeskyttelsesrådet kan bilægge tvisten ved at vedtage en hurtig bindende afgørelse. Ved at inddrage Databeskyttelsesrådet i dette særskilte spørgsmål får den ledende databeskyttelsesmyndighed den nødvendige klarhed til at fortsætte undersøgelsen og sikre, at uenigheden om undersøgelsens omfang ikke vil kræve anvendelse af tvistbilæggelsesmekanismen i artikel 65.

Forslaget indeholder detaljerede krav til formen og strukturen af de relevante og begrundede indsigelser fra de berørte databeskyttelsesmyndigheder og letter dermed alle databeskyttelsesmyndigheders effektive deltagelse og en målrettet og hurtig bilæggelse af sagen.

·I forslaget fastsættes der proceduremæssige frister for tvistbilæggelsesproceduren, og det præciseres, hvilke oplysninger den ledende databeskyttelsesmyndighed skal give, når den forelægger sagen til tvistbilæggelse, og hvilken rolle alle aktører, der er involveret i tvistbilæggelsen (den ledende databeskyttelsesmyndighed, de berørte databeskyttelsesmyndigheder og Databeskyttelsesrådet) spiller. På den måde gør forslaget det lettere hurtigt at afslutte tvistbilæggelsesproceduren for de parter, der er genstand for en undersøgelse, og de registrerede.

•Sammenhæng med de gældende regler på samme område

•Sammenhæng med Unionens politik på andre områder

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

•Retsgrundlag

•Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)

•Proportionalitetsprincippet

•Valg af retsakt

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSENTER OG KONSEKVENSANALYSER

•Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning

·de nationale administrative procedurer, navnlig vedrørende: klagebehandlingsprocedurer, antagelighedskriterier for klager, varigheden af procedurer på grund af forskellige tidsrammer eller manglende frister, det tidspunkt i proceduren, hvor retten til at blive hørt bevilges, oplysninger om og inddragelse af klagerne i proceduren

·fortolkninger af begreber vedrørende samarbejdsmekanismen

·tilgangen til, hvornår samarbejdsproceduren indledes, hvornår de berørte databeskyttelsesmyndigheder inddrages, og hvornår der videregives oplysninger til dem.

•Høringer af interessenter

·Databeskyttelsesrådet: Databeskyttelsesrådet består af databeskyttelsesmyndighederne, som håndhæver databeskyttelsesforordningen. Det har bl.a. til opgave at bilægge tvister i grænseoverskridende sager inden for rammerne af databeskyttelsesforordningen. Kommissionen tog behørigt hensyn til Databeskyttelsesrådets input i alle faser af den forberedende proces. I første omgang er forslaget en reaktion på den liste over spørgsmål, som Databeskyttelsesrådet fremsendte til Kommissionen i oktober 2022, og hvori de aspekter af den grænseoverskridende håndhævelsesprocedure, der kan harmoniseres på EU-plan, kortlægges. I forslaget behandles de fleste af de spørgsmål, som Databeskyttelsesrådet har opført på sin liste. I visse tilfælde besluttede Kommissionen ikke at behandle de spørgsmål, som Databeskyttelsesrådet havde påpeget, navnlig når Kommissionen mente, at spørgsmålet allerede var blevet behandlet tilstrækkeligt i databeskyttelsesforordningen, eller at sagen fortsat bør ligge inden for den ledende databeskyttelsesmyndigheds skøn eller afgøres i henhold til national ret. Desuden behandles visse spørgsmål i forslaget ud over dem, som Databeskyttelsesrådet har opført på sin liste, når Kommissionen fandt dette nødvendigt for at sikre en gnidningsløs håndhævelse på tværs af grænserne og respekt for retten til en retfærdig rettergang. På møderne den 21. marts 2023 og den 24. april 2023 gennemførte Kommissionen også målrettede høringer om visse aspekter af forslaget med undergrupper af Databeskyttelsesrådet, der beskæftiger sig med grænseoverskridende samarbejde og håndhævelse, for at udnytte ekspertisen hos de databeskyttelsesmyndigheder, der beskæftiger sig med disse spørgsmål i deres daglige arbejde. Databeskyttelsesrådet støttede fuldt ud Kommissionens indsats på dette område og gav værdifuldt input til Kommissionen på møderne i marts og april 2023.

·Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse: Denne ekspertgruppe blev nedsat for at bistå Kommissionen med anvendelsen af databeskyttelsesforordningen. Den består af repræsentanter for civilsamfundet, erhvervslivet, den akademiske verden og aktører fra retsvæsenet. Der var bred opbakning i denne gruppe til, at Kommissionen træffer foranstaltninger på dette område gennem et lovgivningsmæssigt forslag. På et møde den 19. oktober 2022 fandt der en første drøftelse sted af Databeskyttelsesrådets liste fra oktober 2022, og et andet møde den 21. april 2023 anvendte Kommissionen til at høre om specifikke aspekter af forslaget. I betragtning af den brede vifte af interessenter, der er repræsenteret i denne gruppe, varierede interessenternes synspunkter vedrørende bestemte aspekter af forslaget. Alle interessenter støttede indførelsen af en retlig ramme for mindelig bilæggelse i forslaget. NGO'erne udtrykte tilfredshed med, at Kommissionen har til hensigt at harmonisere klagernes form og støttede forslaget om at inddrage klageren i proceduren, idet de bemærkede de store forskelle i behandlingen af klager i medlemsstaterne. Branchegrupper, der repræsenterer dataansvarlige og databehandlere, understregede behovet for at give de parter, der er genstand for en undersøgelse, ret til at blive hørt og tilskynde til bilæggelse af tvister mellem databeskyttelsesmyndigheder tidligt i undersøgelsesprocessen.

·Medlemsstaternes Ekspertgruppe vedrørende Den Generelle Forordning om Databeskyttelse: Denne ekspertgruppe fungerer som et forum for udveksling af synspunkter og oplysninger mellem Kommissionen og medlemsstaterne om anvendelsen af databeskyttelsesforordningen. Kommissionen anmodede om medlemsstaternes synspunkter vedrørende Databeskyttelsesrådets liste fra oktober 2022, inden den påbegyndte udarbejdelsen af forslaget. Medlemsstaterne støttede i det store og hele idéen om et lovgivningsmæssigt forslag til styrkelse af den grænseoverskridende håndhævelse af databeskyttelsesforordningen og hilste den velkommen. Visse medlemsstater med horisontale procedureregler, der finder anvendelse på alle administrative procedurer, konstaterede imidlertid, der kunne være interferens med disse regler, navnlig med hensyn til harmoniseringen af parternes ret til at blive hørt og klagernes inddragelse i proceduren. Kommissionen har derfor nøje begrænset harmoniseringen af disse aspekter i forslaget til grænseoverskridende sager og i det omfang, det er nødvendigt for at sikre, at samarbejds- og tvistbilæggelsesmekanismen fungerer gnidningsløst. Kommissionen afholdt den 19. april 2023 et særligt møde med medlemsstaternes Ekspertgruppe vedrørende Den Generelle Forordning om Databeskyttelse.

•Indhentning og brug af ekspertbistand

•Konsekvensanalyse

·Databeskyttelsesmyndighederne – initiativet vil understøtte samarbejdsproceduren og skabe klarhed om ordningerne for og timingen af samarbejde i grænseoverskridende sager. Det vil gøre det muligt for databeskyttelsesmyndighederne at udnytte deres ressourcer mere effektivt. Ved at give databeskyttelsesmyndighederne redskaber til at styrke deres samarbejde i grænseoverskridende sager vil initiativet desuden lette konsensusopbygningen mellem databeskyttelsesmyndighederne, mindske antallet af tvister og fremme samarbejdsånden.

·Klagere og registrerede – strømliningen af samarbejdet mellem databeskyttelsesmyndighederne i forbindelse med håndhævelsen af databeskyttelsesforordningen vil understøtte en rettidig afslutning af undersøgelserne. Dette vil være med til at sikre, at overtrædelser af databeskyttelsesforordningen håndteres mere effektivt, og sikre den registrerede et hurtigt retsmiddel. Desuden vil klagerne have samme mulighed for at blive inddraget i proceduren i grænseoverskridende sager, uanset hvor klagen indgives, eller hvilken databeskyttelsesmyndighed der er den ledende databeskyttelsesmyndighed.

·De parter, der er genstand for en undersøgelse – et forbedret samarbejde i grænseoverskridende sager vil bidrage til at afkorte undersøgelsen og sikre, at der stilles de nødvendige garantier såsom retten til at blive hørt og til aktindsigt, hvorved der sikres beskyttelse af retten til god forvaltning (chartrets artikel 41) og retten til et forsvar (chartrets artikel 48) for de parter, der er genstand for en undersøgelse. En harmonisering af disse rettigheder vil også gøre den endelige afgørelse mere solid.

·Offentlighedens tillid til databeskyttelsesforordningen – initiativet vil styrke offentlighedens tillid til databeskyttelsesforordningen ved at fremme en hurtigere gennemførelse af undersøgelser og mindske antallet af tvister mellem databeskyttelsesmyndigheder i grænseoverskridende sager.

•Målrettet regulering og forenkling

•Grundlæggende rettigheder

4.VIRKNINGER FOR BUDGETTET

5.ANDRE FORHOLD

•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

•Forklarende dokumenter (for direktiver)

•Nærmere redegørelse for de enkelte bestemmelser i forslaget

2023/0202 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 14 ,

under henvisning til udtalelse fra Regionsudvalget 15 ,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1)Med Europa-Parlamentets og Rådets forordning (EU) 2016/679 16 blev der indført et decentraliseret håndhævelsessystem, der har til formål at sikre en konsekvent fortolkning og anvendelse af forordning (EU) 2016/679 i grænseoverskridende sager. I sager vedrørende grænseoverskridende behandling af personoplysninger kræves der i medfør af dette system et samarbejde mellem tilsynsmyndighederne, som skal forsøge at nå til enighed, og hvis de ikke kan det, skal Det Europæiske Databeskyttelsesråd ("Databeskyttelsesrådet") bilægge tvisten.

(2)For at sikre, at den samarbejds- og tvistbilæggelsesmekanisme, der er omhandlet i artikel 60 og 65 i forordning (EU) 2016/679, fungerer gnidningsfrit og effektivt, er det nødvendigt at fastsætte regler for tilsynsmyndighedernes gennemførelse af procedurer i grænseoverskridende sager og for Databeskyttelsesrådet i forbindelse med tvistbilæggelse, herunder behandling af grænseoverskridende klager. Det er derfor også nødvendigt at fastsætte regler for, hvordan de parter, der er genstand for en undersøgelse, kan udøve deres ret til at blive hørt, inden tilsynsmyndighederne og i givet fald Databeskyttelsesrådet træffer afgørelse.

(3)Klager udgør en vigtig informationskilde, når det drejer sig om at opdage overtrædelser af databeskyttelsesreglerne. Det er nødvendigt at fastlægge klare og effektive procedurer for behandling af klager i grænseoverskridende sager, da en klage kan blive behandlet af en anden tilsynsmyndighed end den, klagen er indgivet til.

(4)For at en klage kan antages til behandling, bør den indeholde visse nærmere angivne oplysninger. For at hjælpe klagerne med at indgive de nødvendige oplysninger til tilsynsmyndighederne bør der derfor stilles en klageformular til rådighed. De oplysninger, der er angivet i formularen, bør kun kræves i tilfælde af grænseoverskridende behandling som omhandlet i forordning (EU) 2016/679, selv om formularen kan anvendes af tilsynsmyndighederne i sager, der ikke vedrører grænseoverskridende behandling. Formularen kan indsendes elektronisk eller pr. post. Det bør være en betingelse for, at en klage vedrørende grænseoverskridende behandling kan behandles som en klage, jf. artikel 77 i forordning (EU) 2016/679, at de oplysninger, der kræves i denne formular, indgives. Der bør ikke kræves yderligere oplysninger, for at en klage kan antages til behandling. Det bør være muligt for tilsynsmyndighederne at gøre det lettere at indgive klager i et brugervenligt elektronisk format og under hensyntagen til behovene hos personer med handicap, så længe de oplysninger, der kræves af klageren, svarer til de oplysninger, der kræves i formularen, og der ikke er behov for yderligere oplysninger, for at klagen kan antages til behandling.

(5)Tilsynsmyndighederne er forpligtet til at træffe afgørelse om klager inden for en rimelig frist. Hvad der er en rimelig frist, afhænger af omstændighederne i den enkelte sag og navnlig af konteksten, den ledende tilsynsmyndigheds forskellige proceduremæssige skridt, parternes adfærd under proceduren og sagens kompleksitet.

(6)Enhver klage, der behandles af en tilsynsmyndighed i henhold til artikel 57, stk. 1, litra f), i forordning (EU) 2016/679, skal undersøges med den fornødne omhu, i det omfang det er hensigtsmæssigt, under hensyntagen til at enhver brug af tilsynsmyndighedens beføjelser skal være hensigtsmæssig, nødvendig og forholdsmæssig med henblik på at sikre overholdelse af forordning (EU) 2016/679. Det er op til den enkelte kompetente myndighed at afgøre, i hvilket omfang en klage skal undersøges. Når tilsynsmyndighederne vurderer, i hvilket omfang en undersøgelse vil være hensigtsmæssig, bør de sigte mod at nå frem til en for klageren tilfredsstillende løsning, som ikke nødvendigvis kræver en udtømmende undersøgelse af alle mulige retlige og faktuelle elementer i forbindelse med klagen, men som giver klageren effektive og hurtige retsmidler. Vurderingen af de nødvendige undersøgelsesforanstaltningers omfang kan baseres på den påståede overtrædelses grovhed, dens systemiske eller gentagne karakter eller det forhold, at klageren også har udnyttet sine rettigheder i henhold til artikel 79 i forordning (EU) 2016/679. 

(7)Den ledende tilsynsmyndighed bør give den tilsynsmyndighed, som klagen er indgivet til, de nødvendige oplysninger om forløbet af undersøgelsen med henblik på at give klageren opdateringer.

(8)Den kompetente tilsynsmyndighed bør give klageren adgang til de dokumenter, på grundlag af hvilke tilsynsmyndigheden er nået frem til en foreløbig konklusion om helt eller delvist at afvise klagen.

(9)For at tilsynsmyndighederne hurtigt kan bringe overtrædelser af forordning (EU) 2016/679 til ophør og sikre en hurtig løsning for klagere, bør tilsynsmyndighederne, hvor det er relevant, bestræbe sig på at opnå en mindelig løsning af klagesager. Det forhold, at der er fundet en mindelig løsning på en individuel klage, forhindrer ikke den kompetente tilsynsmyndighed i at forfølge en sag på eget initiativ, f.eks. i tilfælde af systemiske eller gentagne overtrædelser af forordning (EU) 2016/679.  

(10)For at sikre, at samarbejds- og sammenhængsmekanismerne i kapitel VII i forordning (EU) 2016/679 fungerer effektivt, er det vigtigt, at grænseoverskridende sager afgøres rettidigt og i overensstemmelse med den ånd af loyalt og effektivt samarbejde, der ligger til grund for artikel 60 i forordning (EU) 2016/679. Den ledende tilsynsmyndighed bør udøve sin kompetence i tæt samarbejde med de øvrige berørte tilsynsmyndigheder. På samme måde bør de berørte tilsynsmyndigheder aktivt deltage i undersøgelsen på et tidligt tidspunkt med henblik på at nå til enighed og gøre fuld brug af de værktøjer, der er fastsat i forordning (EU) 2016/679.

(11)Det er navnlig vigtigt for tilsynsmyndighederne at nå til enighed om centrale aspekter af undersøgelsen så tidligt som muligt og forud for fremsendelsen af påstandene til de parter, der er genstand for en undersøgelse, og for vedtagelsen af det udkast til afgørelse, der er omhandlet i artikel 60 i forordning (EU) 2016/679, for derved at reducere antallet af sager, der forelægges tvistbilæggelsesmekanismen, jf. artikel 65 i forordning (EU) 2016/679, og i sidste ende sikre en hurtig løsning af grænseoverskridende sager.

(12)Samarbejdet mellem tilsynsmyndighederne bør være baseret på en åben dialog, der giver de berørte tilsynsmyndigheder mulighed for på meningsfuld vis at påvirke undersøgelsens forløb ved at dele deres erfaringer og synspunkter med den ledende tilsynsmyndighed under behørig hensyntagen til den enkelte tilsynsmyndigheds skønsmargen, herunder ved vurderingen af, i hvilket omfang det er hensigtsmæssigt at undersøge en sag, og til medlemsstaternes forskellige traditioner. Med henblik herpå bør den ledende tilsynsmyndighed give de berørte tilsynsmyndigheder et resumé af de centrale spørgsmål med en foreløbig vurdering af de vigtigste spørgsmål i en undersøgelse. Resuméet bør gives på et så tidligt tidspunkt, at det er muligt at inddrage de berørte tilsynsmyndigheder effektivt, men samtidig på et tidspunkt, hvor den ledende tilsynsmyndigheds synspunkter om sagen er tilstrækkeligt nuancerede. De berørte tilsynsmyndigheder bør have mulighed for at fremsætte bemærkninger til en bred vifte af spørgsmål såsom undersøgelsens omfang og kortlægningen af komplekse faktuelle og retlige vurderinger. Da undersøgelsens omfang er afgørende for, hvilke spørgsmål den ledende tilsynsmyndighed skal undersøge, bør tilsynsmyndighederne bestræbe sig på at nå til enighed om undersøgelsens omfang så tidligt som muligt.

(13)For at sikre et effektivt og inkluderende samarbejde mellem alle berørte tilsynsmyndigheder og den ledende tilsynsmyndighed bør bemærkningerne fra de berørte tilsynsmyndigheder være kortfattede og formuleret tilstrækkelig klart og præcist til, at de er let forståelige for alle tilsynsmyndigheder. De retlige argumenter bør grupperes efter den del af resuméet af de centrale spørgsmål, som de vedrører. De berørte tilsynsmyndigheders bemærkninger kan suppleres med yderligere dokumenter. Det kan imidlertid ikke kompensere for det forhold, at bemærkningerne ikke indeholder de krævede væsentlige retlige eller faktiske argumenter, at en berørt tilsynsmyndighed i sine bemærkninger blot henviser til supplerende dokumenter. De væsentlige faktiske og retlige omstændigheder, der lægges til grund i disse dokumenter, skal, i det mindste kortfattet, fremgå af selve bemærkningerne på en sammenhængende og forståelig måde.

(14)Sager, der ikke rejser stridsspørgsmål, kræver ikke omfattende drøftelser mellem tilsynsmyndighederne for, at de kan nå til enighed, og kan derfor behandles hurtigere. Hvis ingen af de berørte tilsynsmyndigheder fremsætter bemærkninger til resuméet af de centrale spørgsmål, bør den ledende tilsynsmyndighed inden for ni måneder meddele de foreløbige konklusioner, jf. artikel 14.

(15)Tilsynsmyndighederne bør benytte alle de midler, der er nødvendige for at opnå enighed i en ånd af loyalt og effektivt samarbejde. Hvis der er holdningsforskelle mellem de berørte tilsynsmyndigheder og den ledende tilsynsmyndighed om omfanget af en klagebaseret undersøgelse, herunder om bestemmelserne i forordning (EU) 2016/679, hvis overtrædelse skal undersøges, eller hvis bemærkningerne fra de berørte tilsynsmyndigheder vedrører en vigtig ændring i den komplekse juridiske eller teknologiske vurdering, bør den berørte myndighed anvende de værktøjer, der er fastsat i artikel 61 og 62 i forordning (EU) 2016/679.

(16)Hvis anvendelsen af disse værktøjer ikke gør det muligt for tilsynsmyndighederne at nå til enighed om omfanget af en klagebaseret undersøgelse, bør den ledende tilsynsmyndighed anmode om en hurtig bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 66, stk. 3, i forordning (EU) 2016/679. Med henblik herpå bør det formodes, at der er krav om uopsættelighed. Den ledende tilsynsmyndighed bør drage passende konklusioner af Databeskyttelsesrådets hurtige bindende afgørelse med henblik på de foreløbige konklusioner. Databeskyttelsesrådets hurtige bindende afgørelse kan ikke foregribe resultatet af den ledende tilsynsmyndigheds undersøgelse eller påvirke overholdelsen af de berørte parters ret til at blive hørt. Databeskyttelsesrådet bør navnlig ikke udvide undersøgelsens omfang på eget initiativ.

(17)For at gøre det muligt for klageren at udøve sin ret til effektive retsmidler i henhold til artikel 78 i forordning (EU) 2016/679 bør tilsynsmyndigheden, når den helt eller delvis afviser en klage, gøre det ved en afgørelse, der kan anfægtes ved en national domstol.

(18)Klagere bør have mulighed for at give udtryk for deres synspunkter, inden der træffes en afgørelse, der går dem imod. Ved hel eller delvis afvisning af en klage i en grænseoverskridende sag bør klageren derfor have mulighed for at fremsætte sine synspunkter forud for forelæggelsen af et udkast til afgørelse, jf. artikel 60, stk. 3, i forordning (EU) 2016/679, et revideret udkast til afgørelse, jf. artikel 60, stk. 4, i forordning (EU) 2016/679, eller en bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 65, stk. 1, litra a), i forordning (EU) 2016/679. Klageren kan anmode om aktindsigt i den ikkefortrolige udgave af de dokumenter, der ligger til grund for afgørelsen om helt eller delvis at afvise klagen.

(19)Det er nødvendigt at præcisere ansvarsfordelingen mellem den ledende tilsynsmyndighed og den tilsynsmyndighed, som klagen er indgivet til, i tilfælde af afvisning af en klage i en grænseoverskridende sag. Den tilsynsmyndighed, som klagen er indgivet til, og som er kontaktpunkt for klageren under undersøgelsen, bør indhente klagerens synspunkter om den foreslåede afvisning af klagen og være ansvarlig for al kommunikation med klageren. Al sådan kommunikation bør deles med den ledende tilsynsmyndighed. Eftersom den tilsynsmyndighed, som klagen er indgivet til, jf. artikel 60, stk. 8 og 9, i forordning (EU) 2016/679, har ansvaret for at træffe den endelige afgørelse om afvisning af klagen, bør denne tilsynsmyndighed også have ansvaret for at udarbejde udkastet til afgørelse, jf. artikel 60, stk. 3, i forordning (EU) 2016/679.

(20)En effektiv håndhævelse af Unionens databeskyttelsesregler udelukker på ingen måde fuld respekt for parternes ret til et forsvar, hvilket er et af EU-rettens grundprincipper, som under alle omstændigheder skal overholdes og i særdeleshed i sager, hvor der kan være tale om bødepålæg.

(21)For effektivt at sikre retten til god forvaltning og retten til et forsvar som fastsat i Den Europæiske Unions charter om grundlæggende rettigheder ("chartret"), herunder retten for enhver til at blive hørt, inden der træffes en individuel foranstaltning over for den pågældende, som måtte berøre vedkommende negativt, er det vigtigt at fastsætte klare regler for udøvelsen af denne ret.

(22)Reglerne vedrørende den administrative procedure, som tilsynsmyndighederne anvender i forbindelse med håndhævelsen af forordning (EU) 2016/679, bør sikre, at de parter, der er genstand for en undersøgelse, reelt har mulighed for at fremsætte deres synspunkter med hensyn til rigtigheden og relevansen af de kendsgerninger, indsigelser og omstændigheder, som tilsynsmyndigheden har fremført under hele proceduren, og dermed sætte dem i stand til at udøve deres ret til et forsvar. De foreløbige konklusioner indeholder den foreløbige holdning til den påståede overtrædelse af forordning (EU) 2016/679 efter en undersøgelse. De udgør dermed en meget vigtig proceduremæssig garanti, der sikrer, at retten til at blive hørt respekteres. De parter, der er genstand for en undersøgelse, bør modtage de dokumenter, der er nødvendige for at forsvare sig effektivt og fremsætte bemærkninger til de påstande, der gøres gældende mod dem, ved at få aktindsigt i de administrative sagsakter.

(23)I de foreløbige konklusioner fastlægges undersøgelsens omfang og dermed omfanget af enhver fremtidig endelig afgørelse (som alt efter omstændighederne træffes på grundlag af en bindende afgørelse truffet af Databeskyttelsesrådet, jf. artikel 65, stk. 1, litra a), i forordning (EU) 2016/679)), der kan rettes til de dataansvarlige eller databehandlerne. De foreløbige konklusioner bør formuleres således, at de, selv om de er kortfattede, er tilstrækkeligt klare til, at de parter, der er genstand for en undersøgelse, på korrekt vis kan fastslå arten af den påståede overtrædelse af forordning (EU) 2016/679. Forpligtelsen til at give de parter, der er genstand for en undersøgelse, alle de oplysninger, der er nødvendige for, at de kan forsvare sig, er opfyldt, hvis det i den endelige afgørelse ikke gøres gældende, at de parter, der er genstand for en undersøgelse, har begået andre overtrædelser end dem, der er nævnt i de foreløbige konklusioner, og der kun tages hensyn til de faktiske omstændigheder, som de parter, der er genstand for en undersøgelse, har haft lejlighed til at udtale sig om. Den ledende tilsynsmyndigheds endelige afgørelse er imidlertid ikke nødvendigvis en kopi af de foreløbige konklusioner. Den ledende tilsynsmyndighed bør i den endelige afgørelse kunne tage hensyn til svarene fra de parter, der er genstand for en undersøgelse, på de foreløbige konklusioner og, hvor det er relevant, det reviderede udkast til afgørelse, jf. artikel 60, stk. 5, i forordning (EU) 2016/679, og afgørelsen om bilæggelse af tvisten mellem tilsynsmyndighederne, jf. artikel 65, stk. 1, litra a). Den ledende tilsynsmyndighed bør kunne foretage sin egen vurdering af de faktiske omstændigheder og de retlige vurderinger, som de parter, der er genstand for en undersøgelse, har fremført, enten for at opgive indsigelserne, når tilsynsmyndigheden finder dem ubegrundede, eller for at supplere og omformulere sine argumenter, både de jure eller de facto, til støtte for de indsigelser, den fastholder. Eksempelvis kan det forhold, at der tages hensyn til et argument, der er fremført af en part, der er genstand for en undersøgelse under den administrative procedure, uden at denne part har haft mulighed for at udtale sig herom inden vedtagelsen af den endelige afgørelse, ikke i sig selv udgøre en tilsidesættelse af retten til et forsvar.

(24)De parter, der er genstand for en undersøgelse, bør have ret til at blive hørt forud for forelæggelsen af et revideret udkast til afgørelse, jf. artikel 60, stk. 5, i forordning (EU) 2016/679, eller Databeskyttelsesrådets vedtagelse af en bindende afgørelse, jf. artikel 65, stk. 1, litra a), i forordning (EU) 2016/679.  

(25)Klagere bør have mulighed for at blive inddraget i de procedurer, der indledes af en tilsynsmyndighed med henblik på at kortlægge eller afklare spørgsmål vedrørende en potentiel overtrædelse af forordning (EU) 2016/679. Det forhold, at en tilsynsmyndighed allerede har indledt en undersøgelse vedrørende klagens genstand eller vil behandle klagen i en undersøgelse på eget initiativ efter modtagelsen af klagen, udelukker ikke, at en registreret kan betragtes som klager. En tilsynsmyndigheds undersøgelse af en dataansvarligs eller databehandlers eventuelle overtrædelse af forordning (EU) 2016/679 udgør imidlertid ikke en kontradiktorisk procedure mellem klageren og de parter, der undersøges. Det er en procedure, der indledes af en tilsynsmyndighed på eget initiativ eller på grundlag af en klage som led i udførelsen af dens opgaver i henhold til artikel 57, stk. 1, i forordning (EU) 2016/679. De parter, der er genstand for en undersøgelse, og klageren befinder sig derfor ikke i samme proceduremæssige situation, og sidstnævnte kan ikke påberåbe sig retten til at blive hørt, når afgørelsen ikke påvirker vedkommendes retsstilling negativt. Klagerens inddragelse i sagen mod de parter, der er genstand for en undersøgelse, kan ikke bringe disse parters ret til at blive hørt i fare.

(26)Klagerne bør have mulighed for at fremsætte deres synspunkter vedrørende de foreløbige konklusioner skriftligt. De bør imidlertid ikke have adgang til forretningshemmeligheder eller andre fortrolige oplysninger, der tilhører andre parter, der er involveret i sagen. Klagere bør ikke have ret til generel aktindsigt i de administrative sagsakter.

(27)Når tilsynsmyndighederne fastsætter frister for parter, der er genstand for en undersøgelse, og klagere til at fremsætte deres synspunkter vedrørende de foreløbige konklusioner, bør de tage hensyn til kompleksiteten af de spørgsmål, der rejses i de foreløbige konklusioner, for at sikre, at de parter, der er genstand for en undersøgelse, og klagerne har tilstrækkelig mulighed for på meningsfuld vis at fremsætte deres synspunkter vedrørende de rejste spørgsmål.

(28)Udvekslingen af synspunkter forud for vedtagelsen af et udkast til afgørelse omfatter en åben dialog og en omfattende udveksling af synspunkter, hvor tilsynsmyndighederne bør gøre deres yderste for at nå til enighed om vejen frem i en undersøgelse. Omvendt bør den uenighed, der er givet udtryk for i relevante og begrundede indsigelser, jf. artikel 60, stk. 4, i forordning (EU) 2016/679, som forbedrer muligheden for tvistbilæggelse mellem tilsynsmyndighederne, jf. artikel 65 i forordning (EU) 2016/679, og forsinker den kompetente tilsynsmyndigheds vedtagelse af en endelig afgørelse, kun undtagelsesvis opstå i tilfælde af, at tilsynsmyndighederne ikke opnår enighed, og hvor det er nødvendigt for at sikre en konsekvent fortolkning af forordning (EU) 2016/679. Sådanne indsigelser bør kun anvendes i beskedent omfang, når det drejer sig om at sikre en konsekvent håndhævelse af forordning (EU) 2016/679, eftersom enhver anvendelse af relevante og begrundede indsigelser forsinker den registreredes adgang til retsmidler. Da omfanget af undersøgelsen og de relevante faktiske omstændigheder bør fastlægges, inden de foreløbige konklusioner meddeles, bør de berørte tilsynsmyndigheder ikke rejse disse spørgsmål i relevante og begrundede indsigelser. De kan dog tages op af de berørte tilsynsmyndigheder i deres bemærkninger til resuméet af centrale spørgsmål, jf. artikel 9, stk. 3, inden de foreløbige konklusioner meddeles de parter, der er genstand for en undersøgelse.

(29)For at sikre en effektiv og inkluderende afslutning på tvistbilæggelsesproceduren, hvor alle tilsynsmyndigheder bør kunne bidrage med deres synspunkter, og under hensyntagen til tidspresset i forbindelse med tvistbilæggelse, bør relevante og begrundede indsigelsers form og struktur opfylde visse krav. Derfor bør relevante og begrundede indsigelser begrænses til en fastsat længde, klart kortlægge uenigheden i udkastet til afgørelse og formuleres tilstrækkelig klart, sammenhængende og præcist.

(30)Aktindsigt i administrative sagsakter er fastsat som en del af retten til et forsvar og retten til god forvaltning, der er nedfældet i chartret. De parter, der er genstand for en undersøgelse, bør have aktindsigt i de administrative sagsakter, når de underrettes om de foreløbige konklusioner, og der bør fastsættes en frist for indgivelsen af deres skriftlige svar på de foreløbige konklusioner.

(31)Når tilsynsmyndighederne giver aktindsigt i de administrative sagsakter, bør de sikre, at forretningshemmeligheder og andre fortrolige oplysninger beskyttes. Kategorien "andre fortrolige oplysninger" omfatter andre oplysninger end forretningshemmeligheder, der kan betragtes som fortrolige, for så vidt som det vil være til betydelig skade for en registeransvarlig, en databehandler eller en fysisk person, hvis de videregives. Tilsynsmyndighederne bør kunne anmode de parter, der er genstand for en undersøgelse, og som fremlægger eller har fremlagt dokumenter eller erklæringer, om at udpege de fortrolige oplysninger.

(32)Når der er behov for forretningshemmeligheder eller andre fortrolige oplysninger for at bevise en overtrædelse, bør tilsynsmyndighederne for hvert enkelt dokument vurdere, om behovet for at videregive oplysningerne vejer tungere end hensynet til den skade, som videregivelsen kan forvolde.

(33)Når et spørgsmål henvises til tvistbilæggelse, jf. artikel 65 i forordning (EU) 2016/679, bør den ledende tilsynsmyndighed give Databeskyttelsesrådet alle de oplysninger, der er nødvendige for, at det kan vurdere, om de relevante og begrundede indsigelser kan antages, og træffe afgørelse i henhold til artikel 65, stk. 1, litra a), i forordning (EU) 2016/679. Når Databeskyttelsesrådet har modtaget alle de nødvendige dokumenter, der er anført i artikel 23, bør formanden for Databeskyttelsesrådet registrere forelæggelsen af spørgsmålet, jf. artikel 65, stk. 2, i forordning (EU) 2016/679.

(34)Databeskyttelsesrådets bindende afgørelse i henhold til artikel 65, stk. 1, litra a), i forordning (EU) 2016/679 bør udelukkende vedrøre de spørgsmål, der førte til indledning af tvistbilæggelsesproceduren, og være udformet på en måde, der gør det muligt for den ledende tilsynsmyndighed at træffe sin endelige afgørelse på grundlag af Databeskyttelsesrådets afgørelse, samtidig med at den bevarer sin skønsbeføjelse.

(35)For at strømline bilæggelsen af tvister mellem tilsynsmyndigheder, der forelægges Databeskyttelsesrådet i henhold til artikel 65, stk. 1, litra b) og c), i forordning (EU) 2016/679, er det nødvendigt at præcisere procedurereglerne for hvilke dokumenter der skal forelægges Databeskyttelsesrådet, og som Databeskyttelsesrådet bør basere sin afgørelse på. Det er også nødvendigt at præcisere, hvornår Databeskyttelsesrådet bør registrere forelæggelsen af sagen til tvistbilæggelse.

(36)For at strømline proceduren for Databeskyttelsesrådets vedtagelse af hasteudtalelser og hurtige bindende afgørelser, jf. artikel 66, stk. 2, i forordning (EU) 2016/679, er det nødvendigt at fastsætte procedureregler for tidsplanen for anmodningen om en hasteudtalelse eller en hurtig bindende afgørelse, de dokumenter, der skal forelægges Databeskyttelsesrådet, og som Databeskyttelsesrådet bør basere sin afgørelse på, hvem Databeskyttelsesrådets udtalelse eller afgørelse skal rettes til, og konsekvenserne af Databeskyttelsesrådets udtalelse eller afgørelse.

(37)Kapitel III og IV vedrører samarbejde mellem tilsynsmyndigheder, proceduremæssige rettigheder for de parter, der er genstand for en undersøgelse, og inddragelse af klagere. Af hensyn til retssikkerheden bør disse bestemmelser ikke finde anvendelse på undersøgelser, der allerede er i gang på tidspunktet for denne forordnings ikrafttræden. De bør finde anvendelse på undersøgelser på eget initiativ, der indledes efter denne forordnings ikrafttræden, og på klagebaserede undersøgelser, hvor klagen blev indgivet efter denne forordnings ikrafttræden. Kapitel V indeholder procedureregler for sager, der indbringes til tvistbilæggelse i henhold til artikel 65 i forordning (EU) 2016/679. Af hensyn til retssikkerheden bør dette kapitel heller ikke finde anvendelse på sager, der har været genstand for tvistbilæggelse inden denne forordnings ikrafttræden. Det bør finde anvendelse på alle sager, der forelægges til tvistbilæggelse efter denne forordnings ikrafttræden.

(38)Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42, stk. 2, i forordning (EU) 2018/1725 og afgav en fælles udtalelse den [...] —

VEDTAGET DENNE FORORDNING:

Kapitel I

Generelle bestemmelser

Artikel 1

Genstand

I denne forordning fastsættes procedurereglerne for tilsynsmyndighedernes behandling af klager og gennemførelse af undersøgelser i sager indledt på baggrund af klager eller på eget initiativ i forbindelse med grænseoverskridende håndhævelse af forordning (EU) 2016/679.

Artikel 2

Definitioner

Med henblik på denne forordning finder definitionerne i artikel 4 i forordning (EU) 2016/679 anvendelse.

Derudover forstås ved:

(1)"parter, der er genstand for en undersøgelse": dataansvarlig(e) og/eller databehandler(e), der undersøges for en påstået overtrædelse af forordning (EU) 2016/679 i forbindelse med grænseoverskridende behandling

(2)"resumé af centrale spørgsmål": resumé, som skal fremlægges for de berørte tilsynsmyndigheder af den ledende tilsynsmyndighed, og hvoraf de primære relevante omstændigheder og den ledende tilsynsmyndigheds synspunkter i sagen fremgår

(3)"foreløbige konklusioner": det dokument, som den ledende tilsynsmyndighed skal fremlægge for de parter, der er genstand for en undersøgelse, og hvoraf påstande, relevante omstændigheder, dokumentation, den retlige analyse og, hvis det er relevant, foreslåede korrigerende foranstaltninger fremgår

(4)"fastholdte relevante og begrundede indsigelser": indsigelser, som af Databeskyttelsesrådet er fastslået som relevante og begrundede, jf. artikel 4, nr. 24, i forordning (EU) 2016/679

Kapitel II

Indgivelse og behandling af klager

Artikel 3

Grænseoverskridende klager

1.En klage på baggrund af forordning (EU) 2016/679, der vedrører grænseoverskridende behandling, skal indeholde de oplysninger, der kræves i den formular, som er angivet i bilaget. Der kræves ikke yderligere oplysninger for, at klagen kan antages.

2.Den tilsynsmyndighed, til hvilken klagen er indgivet, fastslår, om klagen vedrører grænseoverskridende behandling.

3.Den tilsynsmyndighed, til hvilken klagen er indgivet, afgør inden for en måned, om de oplysninger, som kræves i formularen, er fuldstændige.

4.Efter vurdering af om de oplysninger, som kræves i formularen, er fuldstændige, videregiver den tilsynsmyndighed, til hvilken klagen er indgivet, klagen til den ledende tilsynsmyndighed.

5.Hvis klageren ved indgivelse af klagen anfører, at den indeholder forretningshemmeligheder, skal klageren også indgive en ikkefortrolig udgave af klagen.

6.Den tilsynsmyndighed, til hvilken klagen er indgivet, bekræfter modtagelsen af klagen inden for en uge. Denne bekræftelse vedrører ikke vurderingen af klagens antagelighed i henhold til stk. 3.

Artikel 4

Undersøgelse af klager

Ved vurdering af i hvilket omfang den enkelte klage bør undersøges, tager tilsynsmyndigheden hensyn til alle relevante omstændigheder, herunder alle de følgende:

(a)det hensigtsmæssige ved rettidigt at sikre klageren et effektivt retsmiddel

(b)den påståede overtrædelses grovhed

(c)den påståede overtrædelses systemiske eller gentagne karakter.

Artikel 5

Mindelig bilæggelse

En klage kan bilægges ved en mindelig løsning mellem klageren og de parter, der er genstand for en undersøgelse. Hvis tilsynsmyndigheden finder, at klagen er bilagt ved mindelig løsning på klagen, underretter den klageren om den foreslåede løsning. Hvis klageren ikke inden for en måned gør indsigelse mod den mindelige løsning, som tilsynsmyndigheden har foreslået, betragtes klagen som tilbagetrukket.

Artikel 6

Oversættelser

1.Den tilsynsmyndighed, til hvilken klagen er indgivet, er ansvarlig for:

(a)oversættelse af klagerne og klagerens synspunkter til det sprog, som den ledende tilsynsmyndighed anvender i forbindelse med undersøgelsen

(b)oversættelse af de dokumenter, der er stillet til rådighed af den ledende tilsynsmyndighed, til det sprog, der anvendes til at kommunikere med klageren, for så vidt der er behov for at stille disse dokumenter til rådighed for klageren i henhold til denne forordning eller forordning (EU) 2016/679.

2.Databeskyttelsesrådet fastsætter i sin forretningsorden proceduren for oversættelse af bemærkninger eller relevante og begrundede indsigelser fra de berørte tilsynsmyndigheder på et andet sprog end det, den ledende tilsynsmyndighed anvender i forbindelse med undersøgelsen.

Kapitel III

Samarbejde i henhold til artikel 60 i forordning (EU) 2016/679

Afdeling 1

Opnåelse af enighed i henhold til artikel 60, stk. 1, i forordning (EU) 2016/679

Artikel 7

Samarbejde mellem tilsynsmyndigheder

Når tilsynsmyndighederne samarbejder med henblik på at nå til enighed, jf. artikel 60, stk. 1, i forordning (EU) 2016/679 gør de brug af alle midler i forordning (EU) 2016/679, herunder gensidig bistand i henhold til artikel 61 og fælles aktiviteter i henhold til artikel 62 i forordning (EU) 2016/679.

Bestemmelserne i denne afdeling vedrører forbindelserne mellem tilsynsmyndigheder og har ikke til formål at tillægge fysiske personer eller parter, der er genstand for en undersøgelse, rettigheder.

Artikel 8

Relevante oplysninger i henhold til artikel 60, stk. 1 og 3, i forordning (EU) 2016/679

1.Den ledende tilsynsmyndighed informerer regelmæssigt de andre berørte tilsynsmyndigheder om undersøgelsen og giver snarest muligt de andre berørte tilsynsmyndigheder alle relevante oplysninger, når de er tilgængelige.

2.Relevante oplysninger i henhold til artikel 60, stk. 1 og 3, i forordning (EU) 2016/679 omfatter, hvor det er relevant:

(a)oplysninger om indledning af en undersøgelse af en påstået overtrædelse af forordning (EU) 2016/679

(b)anmodninger om oplysninger i henhold til artikel 58, stk. 1, litra e), i forordning (EU) 2016/679

(c)oplysninger om anvendelse af andre undersøgelsesbeføjelser som omhandlet i artikel 58, stk. 1, i forordning (EU) 2016/679

(d)hvis det påtænkes at afvise en klage, den ledende tilsynsmyndigheds begrundelse for afvisning af klagen

(e)resumé af centrale spørgsmål i en undersøgelse i henhold til artikel 9

(f)oplysninger om skridt med henblik på at fastslå, om der er tale om en overtrædelse af forordning (EU) 2016/679, forud for udarbejdelsen af de foreløbige konklusioner

(g)foreløbige konklusioner

(h)svar fra de parter, der er genstand for en undersøgelse, på de foreløbige konklusioner

(i)klagerens synspunkter om de foreløbige konklusioner

(j)hvis klagen afvises, klagerens skriftlige indlæg

(k)alle de relevante skridt, som den ledende tilsynsmyndighed har taget efter at have modtaget et svar fra de parter, der er genstand for en undersøgelse, på de foreløbige konklusioner og forud for forelæggelsen af et udkast til afgørelse, jf. artikel 60, stk. 3, i forordning (EU) 2016/679.

Artikel 9

Resumé af centrale spørgsmål

1.Når den ledende tilsynsmyndighed først har dannet sig et foreløbigt overblik over undersøgelsens hovedspørgsmål, udarbejder den et resumé af centrale spørgsmål med henblik på samarbejde, jf. artikel 60, stk. 1, i forordning (EU) 2016/679.

2.Resuméet af centrale spørgsmål skal omfatte alle følgende elementer:

(a)de primære relevante omstændigheder

(b)en foreløbig fastlæggelse af undersøgelsens omfang, navnlig af de bestemmelser i forordning (EU) 2016/679, som er berørt af den påståede overtrædelse, der skal undersøges

(c)kortlægning af komplekse retlige og teknologiske vurderinger, som er relevante for, i hvilken retning den foreløbige vurdering af dem går

(d)foreløbig fastlæggelse af potentielle korrigerende foranstaltninger.

3.De berørte tilsynsmyndigheder kan fremsætte bemærkninger til resuméet af de centrale spørgsmål. Disse bemærkninger skal fremsættes senest fire uger efter modtagelsen af resuméet af de centrale spørgsmål.

4.Bemærkninger i henhold til stk. 3 skal opfylde følgende krav:

(a)det brugte sprog skal være tilstrækkelig klart og indeholde præcise begreber, der gør den ledende tilsynsmyndighed og, alt efter omstændighederne, de berørte tilsynsmyndigheder i stand til at forberede deres holdninger

(b)der redegøres kort for de retlige argumenter, og de grupperes efter den del af resuméet af centrale spørgsmål, som de vedrører

(c)de berørte tilsynsmyndigheders bemærkninger kan understøttes af dokumenter, som kan suppleres af bemærkninger til specifikke punkter.

5.Databeskyttelsesrådet kan i sin forretningsorden fastsætte begrænsninger for den maksimale længde på de bemærkninger til resuméet af centrale spørgsmål, som kan fremsættes af de berørte tilsynsmyndigheder.

6.Sager, hvor ingen af de berørte tilsynsmyndigheder har fremsat bemærkninger i henhold til denne artikels stk. 3, betragtes som sager, hvor ingen af myndighederne har bestridt de faktiske forhold. I disse sager formidles de foreløbige konklusioner, som er omhandlet i artikel 14, til de parter, der er genstand for en undersøgelse, senest ni måneder efter udløbet af den frist, der er fastsat i denne artikels stk. 3.

Artikel 10

Anvendelse af midler til opnåelse af enighed

1.En berørt tilsynsmyndighed indgiver en anmodning til den ledende tilsynsmyndighed i henhold til artikel 61 i forordning (EU) 2016/679, artikel 62 i forordning (EU) 2016/679, eller begge, hvis en berørt tilsynsmyndighed efter bemærkninger fra de berørte tilsynsmyndigheder i henhold til artikel 9, stk. 3, er uenig med den ledende tilsynsmyndigheds vurdering for så vidt angår:

(a)undersøgelsens omfang i klagebaserede sager, herunder de bestemmelser i forordning (EU) 2016/679, som er berørt af den påståede overtrædelse, der skal undersøges

(b)vurderingens foreløbige retning i lyset af de komplekse retlige vurderinger som fastslået af den ledende tilsynsmyndighed i henhold til artikel 9, stk. 2, litra c)

(c)vurderingens foreløbige retning i lyset af de komplekse teknologiske vurderinger som fastslået af den ledende tilsynsmyndighed i henhold til artikel 9, stk. 2, litra c).

2.Anmodningen i stk. 1 indgives senest to måneder efter udløbet af den frist, der er omhandlet i artikel 9, stk. 3.

3.Den ledende tilsynsmyndighed indgår i dialog med de berørte tilsynsmyndigheder på baggrund af deres bemærkninger til resuméet af de centrale spørgsmål og, hvor det er relevant, som svar på anmodninger i henhold til artikel 61 og 62 i forordning (EU) 2016/679 med henblik på at nå til enighed. Enigheden skal danne grundlag for, at den ledende tilsynsmyndighed kan fortsætte undersøgelsen og udarbejde de foreløbige konklusioner eller, hvor det er relevant, stille sit ræsonnement til rådighed for den tilsynsmyndighed, som klagen er indgivet til, med henblik på artikel 11, stk. 2.

4.Hvis der i en klagebaseret undersøgelse ikke opnås enighed mellem den ledende tilsynsmyndighed og en eller flere berørte tilsynsmyndigheder om den sag, der er henvist til i denne forordnings artikel 9, stk. 2, litra b), anmoder den ledende tilsynsmyndighed Databeskyttelsesrådet om at træffe en hurtig bindende afgørelse i henhold til artikel 66, stk. 3, i forordning (EU) 2016/679. I så fald betragtes betingelserne for at anmode om en hurtig bindende afgørelse i henhold artikel 66, stk. 3, i forordning (EU) 2016/679 som opfyldt.

5.Når den ledende tilsynsmyndighed anmoder Databeskyttelsesrådet om at træffe en hurtig bindende afgørelse i henhold denne artikels stk. 4, stiller den samtlige af følgende elementer til rådighed:

(a)de dokumenter, der er henvist til i artikel 9, stk. 2, litra a) og b),

(b)bemærkningerne fra den berørte tilsynsmyndighed, der er uenig i den ledende tilsynsmyndigheds foreløbige fastlæggelse af undersøgelsens omfang.

6.Databeskyttelsesrådet vedtager en hurtig bindende afgørelse om undersøgelsens omfang på grundlag af bemærkningerne fra de berørte tilsynsmyndigheder og den ledende tilsynsmyndigheds holdning til disse bemærkninger.

Afdeling 2

Hel eller delvis afvisning af klager

Artikel 11

Høring af klageren forud for hel eller delvis afvisning af en klage

1.Efter proceduren i artikel 9 og 10 stiller den ledende tilsynsmyndighed begrundelsen for sin foreløbige vurdering af, hvorvidt klagen bør afvises helt eller delvis, til rådighed for den tilsynsmyndighed, til hvilken klagen er indgivet.

2.Den tilsynsmyndighed, til hvilken klagen er indgivet, underretter klageren om begrundelsen for, at det påtænkes at afvise klagen helt eller delvis, og fastsætter en frist, inden hvilken klageren skriftligt kan fremsætte sine synspunkter. Fristen skal være på mindst tre uger. Den tilsynsmyndighed, til hvilken klagen er indgivet, underretter klageren om konsekvenserne af at undlade at fremsætte sine synspunkter.

3.Hvis klageren ikke fremsætter sine synspunkter inden den frist, som er fastsat af den tilsynsmyndighed, til hvilken klagen er indgivet, anses klagen for at være trukket tilbage.

4.Klageren kan anmode om aktindsigt i den ikkefortrolige udgave af de dokumenter, der ligger til grund for den foreslåede afvisning af klagen.

5.Hvis klageren fremsætter sine synspunkter inden for den frist, der er fastsat af den tilsynsmyndighed, til hvilken klagen er indgivet, og synspunkterne ikke fører til nogen ændring af den foreløbige vurdering af, hvorvidt klagen bør afvises helt eller delvis, udarbejder den tilsynsmyndighed, til hvilken klagen er indgivet, et udkast til afgørelse i henhold til artikel 60, stk. 3, i forordning (EU) 2016/679, som forelægges de andre berørte tilsynsmyndigheder af den ledende tilsynsmyndighed i henhold til artikel 60, stk. 3, i forordning (EU) 2016/679. 

Artikel 12

Revideret udkast til afgørelse om helt eller delvis at afvise en klage

1.Hvis den ledende tilsynsmyndighed finder, at der i det reviderede udkast til afgørelse i henhold til artikel 60, stk. 5, i forordning (EU) 2016/679 fremføres elementer, som klageren bør have mulighed for at fremsætte sine synspunkter til, giver den tilsynsmyndighed, til hvilken klagen er indgivet, klageren mulighed for at fremsætte sine synspunkter vedrørende disse nye elementer, inden forelæggelsen af det reviderede udkast til afgørelse i henhold til artikel 60, stk. 5, i forordning (EU) 2016/679.

2.Den tilsynsmyndighed, til hvilken klagen er indgivet, fastsætter en frist, inden hvilken klageren kan fremsætte sine synspunkter.

Artikel 13

Afgørelse om helt eller delvis at afvise en klage

Når der vedtages en afgørelse om helt eller delvis at afvise en klage i overensstemmelse med artikel 60, stk. 8, i forordning (EU) 2016/679, underretter den tilsynsmyndighed, til hvilken klagen er indgivet, klageren om, hvilke retsmidler denne har til rådighed i henhold til artikel 78 i forordning (EU) 2016/679.

Afdeling 3

Afgørelser rettet til dataansvarlige og databehandlere

Artikel 14

Foreløbige konklusioner og svar

1.Når den ledende tilsynsmyndighed agter at forelægge et udkast til afgørelse i henhold til artikel 60, stk. 3, i forordning (EU) 2016/679 for de andre berørte tilsynsmyndigheder med konklusioner vedrørende en overtrædelse af forordning (EU) 2016/679, udarbejder den et udkast til foreløbige konklusioner.

2.I de foreløbige konklusioner fremlægges de fremførte påstande på en udtømmende og tilstrækkelig klar måde, der gør de parter, der er genstand for en undersøgelse, i stand at tage stilling til den adfærd, som undersøges af den ledende tilsynsmyndighed. De skal navnlig indeholde en beskrivelse af alle faktiske omstændigheder og hele den retlige vurdering af sagen vedrørende de parter, der er genstand for en undersøgelse, så de kan give udtryk for deres synspunkter vedrørende de faktiske omstændigheder og de retlige konklusioner, som den ledende tilsynsmyndighed agter at drage i udkastet til afgørelse i henhold til artikel 60, stk. 3, i forordning (EU) 2016/679, og en oversigt over al den dokumentation, der lægges til grund.

De foreløbige konklusioner skal omfatte de korrigerende foranstaltninger, som den ledende tilsynsmyndighed har til hensigt at gøre brug af.

Hvis den ledende tilsynsmyndighed agter at pålægge en bøde, skal den i de foreløbige konklusioner anføre de relevante elementer, som den lægger til grund ved beregning af bødens størrelse. Den ledende tilsynsmyndighed anfører navnlig de væsentlige faktiske og retlige omstændigheder, som kan resultere i et bødepålæg, og de elementer, der er anført i artikel 83, stk. 2, i forordning (EU) 2016/679, herunder eventuelt skærpende eller formildende omstændigheder, den vil tage hensyn til.

3.Den ledende tilsynsmyndighed underretter hver af de parter, der er genstand for en undersøgelse, om de foreløbige resultater.

4.Når den ledende tilsynsmyndighed underretter de parter, der er genstand for en undersøgelse, om de foreløbige konklusioner, fastsætter den en frist, inden hvilken parterne skriftligt kan fremsætte deres synspunkter. Den ledende tilsynsmyndighed er ikke forpligtet til at tage hensyn til skriftlige synspunkter modtaget efter fristens udløb.

5.Når den ledende tilsynsmyndighed underretter de parter, der er genstand for en undersøgelse, om de foreløbige konklusioner, giver den parterne aktindsigt i de administrative sagsakter i henhold til artikel 20.

6.De parter, der er genstand for en undersøgelse, kan i deres skriftlige svar på de foreløbige konklusioner anføre alle faktiske omstændigheder og retlige argumenter, de har kendskab til, og som er relevante for deres forsvar over for den ledende tilsynsmyndigheds påstande. De skal vedlægge alle relevante dokumenter som bevis for de faktiske omstændigheder. Den ledende tilsynsmyndighed behandler i sit udkast til afgørelse kun påstande, herunder faktiske omstændigheder og retlige vurderinger baseret på disse faktiske omstændigheder, som de parter, der er genstand for en undersøgelse, har haft mulighed for at fremsætte bemærkninger til.

Artikel 15

Fremsendelse af de foreløbige konklusioner til klagerne

1.Når den ledende tilsynsmyndighed udarbejder foreløbige konklusioner vedrørende et forhold, som den har modtaget en klage over, giver den tilsynsmyndighed, til hvilken klagen er indgivet, klageren en ikkefortrolig udgave af de foreløbige konklusioner og fastsætter en frist, inden hvilken klageren skriftligt kan fremsætte sine synspunkter.

2.Stk. 1 finder også anvendelse, selv om en tilsynsmyndighed, hvor det er relevant, behandler flere klager sammen, deler klager op i forskellige dele eller på anden vis udøver sine skønsbeføjelser i forbindelse med undersøgelsens omfang, som angivet i de foreløbige konklusioner.

3.Hvis den ledende tilsynsmyndighed finder, at der er behov for, at klageren gives dokumenter, som indgår i de administrative sagsakter, for at klageren effektivt kan fremsætte sine synspunkter vedrørende de foreløbige konklusioner, medsender den tilsynsmyndighed, til hvilken klagen er indgivet, klageren en ikkefortrolig udgave af disse dokumenter, når den fremsender de foreløbige konklusioner, jf. stk. 1.

4.Klageren får kun en ikkefortrolig udgave af de foreløbige konklusioner med henblik på den konkrete undersøgelse, i forbindelse med hvilken de foreløbige konklusioner blev udarbejdet.

5.Inden klageren modtager den ikkefortrolige udgave af de foreløbige konklusioner og eventuelt andre dokumenter i medfør af stk. 3, sender klageren den ledende tilsynsmyndighed en fortrolighedserklæring, hvori klageren forpligter sig til ikke at videregive nogen oplysninger eller vurderinger i den ikkefortrolige udgave af de foreløbige konklusioner og til ikke at anvende disse konklusioner til andet end den konkrete undersøgelse, i forbindelse med hvilken disse konklusioner blev udarbejdet.

Artikel 16

Vedtagelse af en endelig afgørelse

Efter forelæggelse af udkastet til afgørelse for de berørte tilsynsmyndigheder i henhold til artikel 60, stk. 3, i forordning (EU) 2016/679, og forudsat at ingen af de berørte tilsynsmyndigheder har gjort indsigelse mod udkastet til afgørelse inden for de frister, der er omhandlet i artikel 60, stk. 4 og 5, i forordning (EU) 2016/679, vedtager og meddeler den ledende tilsynsmyndighed sin afgørelse i henhold til artikel 60, stk. 7, i forordning (EU) 2016/679, til den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etableringssted, alt efter omstændighederne, og underretter de andre berørte tilsynsmyndigheder og Databeskyttelsesrådet om den pågældende afgørelse, herunder ved hjælp af et resumé af de relevante faktiske omstændigheder og begrundelser.

Artikel 17

Retten til at blive hørt i forbindelse med det reviderede udkast til afgørelse

1.Hvis den ledende tilsynsmyndighed finder, at der i det reviderede udkast til afgørelse i henhold til artikel 60, stk. 5, i forordning (EU) 2016/679 fremføres elementer, som de parter, der er genstand for en undersøgelse, bør have mulighed for at fremsætte deres synspunkter til, giver den ledende tilsynsmyndighed de parter, der er genstand for en undersøgelse, mulighed for at fremsætte deres synspunkter vedrørende disse nye elementer, inden forelæggelsen af det reviderede udkast til afgørelse i henhold til artikel 60, stk. 5, i forordning (EU) 2016/679.

2.Den ledende tilsynsmyndighed fastsætter en frist, inden hvilken de parter, der er genstand for en undersøgelse, kan fremsætte deres synspunkter.

Afdeling 4

Relevante og begrundede indsigelser

Artikel 18

Relevante og begrundede indsigelser

1.For relevante oplysninger i henhold til artikel 4, stk. 24, i forordning (EU) 2016/679 gælder det, at de:

(a)alene er baseret på faktuelle elementer i udkastet til afgørelse, og

(b)ikke ændrer omfanget af påstandene ved at indeholde nye punkter, som kan give indtryk af, at der foreligger yderligere påstande om overtrædelse af forordning (EU) 2016/679, eller som ændrer de fremsatte påstandes art.

2.De relevante og begrundede indsigelsers form og struktur skal opfylde samtlige af følgende krav:

(a)længden på hver relevant og begrundet indsigelse og den ledende tilsynsmyndigheds holdning til hver indsigelse må ikke overstige tre sider og må ikke omfatte bilag. I sager med særligt komplekse retlige spørgsmål kan den maksimale længde øges til seks sider, medmindre specifikke omstændigheder, som berettiger en øget længde, accepteres af Databeskyttelsesrådet

(b)den berørte tilsynsmyndigheds uenighed i udkastet til afgørelse anføres i begyndelsen af den relevante og begrundede indsigelse og formuleres tilstrækkelig klart, sammenhængende og præcist til, at den ledende tilsynsmyndighed og, hvis det er relevant, de berørte tilsynsmyndigheder kan forberede deres holdninger og sætte Databeskyttelsesrådet i stand til effektivt at bilægge tvisten

(c)de retlige argumenter skal fastsættes og grupperes under henvisning til konklusionen i udkastet til afgørelse, som de vedrører. Hvert argument eller hver gruppe af argumenter skal generelt indledes af en kortfattet oversigt.

Kapitel IV

Aktindsigt og behandling af fortrolige oplysninger

Artikel 19

Indholdet af de administrative sagsakter

1.De administrative sagsakter i en undersøgelse af en påstået overtrædelse af forordning (EU) 2016/679 består af alle de dokumenter, der er modtaget, udarbejdet og/eller samlet af den ledende tilsynsmyndighed i løbet af undersøgelsen.

2.Den ledende tilsynsmyndighed kan i løbet af undersøgelsen af en påstået overtrædelse af forordning (EU) 2016/679 returnere dokumenter, som efter en mere detaljeret undersøgelse viser sig ikke at have forbindelse til undersøgelsens genstand, til den part, hvorfra den har modtaget. Efter returnering indgår disse dokumenter ikke længere i de administrative sagsakter.

3.Retten til aktindsigt i de administrative sagsakter omfatter ikke korrespondance eller udveksling af synspunkter mellem den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder. De oplysninger, der udveksles mellem tilsynsmyndighederne med henblik undersøgelse af en individuel sag, er interne dokumenter og må ikke være tilgængelige for de parter, der er genstand for en undersøgelse, eller klageren.

4.Aktindsigt i relevante og begrundede indsigelser i henhold til artikel 60, stk. 4, i forordning (EU) 2016/679 gives i overensstemmelse med artikel 24. 

Artikel 20

Aktindsigt i de administrative sagsakter og anvendelse af dokumenter

1.Den ledende tilsynsmyndighed giver aktindsigt i de administrative sagsakter til de parter, der er genstand for en undersøgelse, og gør det således muligt for dem at udøve deres ret til at blive hørt. Der gives aktindsigt i de administrative sagsakter efter, at den ledende tilsynsmyndighed har meddelt de parter, der er genstand for en undersøgelse, de foreløbige resultater.

2.De administrative sagsakter omfatter alle dokumenter, såvel belastende som diskulperende, herunder de faktiske omstændigheder og dokumenter, som de parter, der er genstand for en undersøgelse, har kendskab til.

3.Den ledende tilsynsmyndigheds konklusioner i udkastet til afgørelse i henhold til artikel 60, stk. 3, i forordning (EU) 2016/679 og den endelige afgørelse i henhold til artikel 60, stk. 7, i forordning (EU) 2016/679 må kun lægge de dokumenter til grund, der er nævnt i de foreløbige konklusioner, eller hvortil de parter, der er genstand for en undersøgelse, havde mulighed for at fremsætte deres synspunkter.

4.Dokumenter, der er modtaget som følge af aktindsigt i de administrative sagsakter, jf. nærværende artikel, må kun anvendes til retlige eller administrative procedurer med henblik på anvendelse af forordning (EU) 2016/679 i de specifikke sager, hvortil disse dokumenter er blevet fremlagt.

Artikel 21

Udpegelse og beskyttelse af fortrolige oplysninger

1.Medmindre andet er fastsat i denne forordning, må oplysninger indsamlet eller modtaget af en tilsynsmyndighed i grænseoverskridende sager i henhold til forordning (EU) 2016/679, herunder alle dokumenter, der indeholder sådanne oplysninger, ikke videregives eller stilles til rådighed af tilsynsmyndigheden, for så vidt som de indeholder forretningshemmeligheder eller andre fortrolige oplysninger om en person.

2.Alle oplysninger, som er indsamlet eller modtaget af en tilsynsmyndighed i grænseoverskridende sager i henhold til forordning (EU) 2016/679, herunder alle dokumenter, der indeholder sådanne oplysninger, er udelukket fra anmodninger om aktindsigt i henhold til lovgivningen om aktindsigt i officielle dokumenter, så længe sagen verserer.

3.Når den ledende tilsynsmyndighed meddeler de parter, der er genstand for en undersøgelse, de foreløbige konklusioner og giver aktindsigt på grundlag af artikel 20, sikrer den, at de parter, der er genstand for en undersøgelse, og som gives aktindsigt i oplysninger, der indeholder forretningshemmeligheder eller andre fortrolige oplysninger, behandler disse oplysninger med den størst mulige respekt for deres fortrolige karakter, og at disse oplysninger ikke anvendes til skade for formidleren af oplysningerne. Afhængigt af oplysningernes grad af fortrolighed vedtager den ledende tilsynsmyndighed passende foranstaltninger, som giver fuld virkning til retten til et forsvar for de parter, der er genstand for en undersøgelse, under behørig hensyntagen til oplysningernes fortrolighed.

4.En enhed, der forelægger oplysninger, som den anser for at være fortrolige, skal klart angive de oplysninger, den anser for at være fortrolige, og begrunde den begærede fortrolighed. Enheden skal forelægge en separat ikkefortrolig udgave af de forelagte oplysninger.

5.Uanset stk. 4 kan den ledende tilsynsmyndighed kræve, at de parter, der er genstand for en undersøgelse, eller enhver anden part, der udarbejder dokumenter i henhold til forordning (EU) 2016/679, angiver de dokumenter eller dele af dokumenter, som de anser for at indeholde forretningshemmeligheder eller andre fortrolige oplysninger, der tilhører dem, og udpege de parter, for hvem disse dokumenter betragtes som fortrolige.

6.Den ledende tilsynsmyndighed kan fastsætte en frist, inden hvilken de parter, der er genstand for en undersøgelse, og enhver anden part, der mener at have indgivet fortrolige oplysninger, skal:

(a)begrunde deres begæring om at få oplysningerne behandlet som forretningshemmeligheder og andre fortrolige oplysninger for hvert enkelt dokument eller hver enkel del af et dokument, en erklæring eller del af en erklæring

(b)fremlægge en ikkefortrolig udgave af de dokumenter og erklæringer, hvori forretningshemmelighederne og de andre fortrolige oplysninger er omskrevet

(c)fremlægge en kortfattet, ikkefortrolig beskrivelse af hver enkelt omskrevne oplysning.

7.Hvis de parter, der er genstand for en undersøgelse, eller enhver anden part ikke efterkommer stk. 4 og 5, må den ledende tilsynsmyndighed antage, at de pågældende dokumenter eller erklæringer ikke indeholder forretningshemmeligheder eller andre fortrolige oplysninger.

Kapitel V

Tvistbilæggelse

Artikel 22

Forelæggelse til tvistbilæggelse i henhold til artikel 65 i forordning (EU) 2016/679

1.Hvis den ledende tilsynsmyndighed ikke følger de relevante og begrundede indsigelser eller er af den opfattelse, at indsigelserne ikke er relevante eller begrundede, forelægger den spørgsmålet for den tvistbilæggelsesmekanisme, som er fastsat i artikel 65 i forordning (EU) 2016/679.

2.Når den forelægger spørgsmålet til tvistbilæggelse, stiller den ledende tilsynsmyndighed samtlige af følgende dokumenter til rådighed for Databeskyttelsesrådet:

(a)udkastet til afgørelse eller det reviderede udkast til afgørelse med de relevante og begrundede indsigelser

(b)et sammendrag af de relevante omstændigheder

(c)de foreløbige konklusioner

(d)synspunkter fremsat skriftligt af de parter, der er genstand for en undersøgelse, hvis det er relevant, jf. artikel 14 og 17

(e)synspunkter fremsat skriftligt af klagerne, hvis det er relevant, jf. artikel 11, 12 og 15

(f)de relevante og begrundede indsigelser, som ikke blev fulgt af den ledende tilsynsmyndighed

(g)begrundelserne for, at den ledende tilsynsmyndighed ikke har fulgt de relevante og begrundede indsigelser eller har anset indsigelserne for ikke være relevante eller begrundede.

3.Databeskyttelsesrådet udpeger senest fire uger efter modtagelsen af de dokumenter, der fremgår af stk. 2, de fastholdte relevante og begrundede indsigelser.

Artikel 23

Registrering i forbindelse med en afgørelse i henhold til artikel 65, stk. 1, litra a), i forordning (EU) 2016/679

Formanden for Databeskyttelsesrådet registrerer forelæggelsen af et spørgsmål til tvistbilæggelse i henhold til artikel 65, stk. 1, litra a), i forordning (EU) 2016/679 senest en uge efter modtagelse af samtlige af følgende dokumenter:

(a)udkastet til afgørelse eller det reviderede udkast til afgørelse med de relevante og begrundede indsigelser

(b)et sammendrag af de relevante omstændigheder

(c)synspunkter fremsat skriftligt af de parter, der er genstand for en undersøgelse, hvis det er relevant, jf. artikel 14 og 17

(d)synspunkter fremsat skriftligt af klagerne, hvis det er relevant, jf. artikel 11, 12 og 15

(e)de fastholdte relevante og begrundede indsigelser

(f)begrundelserne for, at den ledende tilsynsmyndighed ikke har fulgt de relevante og begrundede indsigelser.

Artikel 24

Begrundelse forud for vedtagelsen af en afgørelse i henhold til artikel 65, stk. 1, litra a), i forordning (EU) 2016/679

1.Forud for vedtagelsen af den bindende afgørelse i henhold til artikel 65, stk. 1, litra a), i forordning (EU) 2016/679 forelægger formanden for Databeskyttelsesrådet gennem den ledende tilsynsmyndighed de parter, der er genstand for en undersøgelse, og/eller, såfremt der er tale om en hel eller delvis afvisning af en klage, klageren en begrundelse, hvori formanden forklarer det ræsonnement, Databeskyttelsesrådet agter at lægge til grund i sin afgørelse. Hvis Databeskyttelsesrådet agter at vedtage en bindende afgørelse, som pålægger den ledende tilsynsmyndighed at ændre sit udkast til afgørelse eller sit reviderede udkast, beslutter Databeskyttelsesrådet, om denne begrundelse skal ledsages af de fastholdte relevante og begrundede indsigelser, som Databeskyttelsesrådet agter at vedtage sin afgørelse på grundlag af.

2.De parter, der er genstand for en undersøgelse, og/eller klageren, hvis der er tale om en hel eller delvis afvisning af en klage, har en uge fra modtagelsen af den i stk. 1 omtalte begrundelse til at fremsætte deres synspunkter.

3.Fristen i stk. 2 forlænges med en uge, hvis Databeskyttelsesrådet forlænger perioden for vedtagelse af den bindende afgørelse i overensstemmelse med artikel 65, stk. 2, i forordning (EU) 2016/679.

4.Databeskyttelsesrådets frist for vedtagelse af den bindende afgørelse i medfør af artikel 65, stk. 2, i forordning (EU) 2016/679 løber ikke i de tidsrum, der er omhandlet i stk. 2 og 3.

Artikel 25

Procedure i forbindelse med afgørelse i henhold til artikel 65, stk. 1, litra b), i forordning (EU) 2016/679

1.Ved forelæggelse af et spørgsmål til Databeskyttelsesrådet i henhold til artikel 65, stk. 1, litra b), i forordning (EU) 2016/679 stiller den tilsynsmyndighed, der forelægger spørgsmålet om kompetence med hensyn til hovedvirksomheden, samtlige af følgende dokumenter til rådighed for Databeskyttelsesrådet:

(a)et sammendrag af de relevante omstændigheder

(b)vurderingen af disse relevante faktiske omstændigheder, for så vidt angår betingelserne i artikel 56, stk. 1, i forordning (EU) 2016/679

(c)den dataansvarliges eller databehandlerens synspunkter, når deres hovedvirksomhed er genstand for forelæggelsen

(d)andre berørte tilsynsmyndigheders synspunkter i forbindelse med forelæggelsen

(e)eventuelle andre dokumenter eller oplysninger, som den henvisende tilsynsmyndighed betragter som relevante og nødvendige for at kunne afgøre spørgsmålet.

2.Formanden for Databeskyttelsesrådet registrerer senest forelæggelsen en uge efter modtagelse af samtlige de i stk. 1 omhandlede dokumenter.

Artikel 26

Procedure i forbindelse med en afgørelse i henhold til artikel 65, stk. 1, litra c), i forordning (EU) 2016/679

1.Ved forelæggelse af et spørgsmål til Databeskyttelsesrådet i henhold til artikel 65, stk. 1, litra c), i forordning (EU) 2016/679 stiller den tilsynsmyndighed, der forelægger spørgsmålet, eller Kommissionen samtlige af følgende dokumenter til rådighed for Databeskyttelsesrådet:

(a)et sammendrag af de relevante omstændigheder

(b)den udtalelse, hvis det er relevant, der er afgivet af Databeskyttelsesrådet i henhold til artikel 64 i forordning (EU) 2016/679

(c)synspunkterne hos den tilsynsmyndighed, der forelægger spørgsmålet, eller Kommissionen, alt efter omstændighederne, med hensyn til spørgsmålet om, hvorvidt der var behov for, at en tilsynsmyndighed sendte udkastet til afgørelse i henhold til artikel 64, stk. 1, i forordning (EU) 2016/679 til Databeskyttelsesrådet, eller hvorvidt en tilsynsmyndighed ikke fulgte en udtalelse fra Databeskyttelsesrådet afgivet i henhold til artikel 64 i forordning (EU) 2016/679.

2.Formanden for Databeskyttelsesrådet anmoder om følgende dokumenter:

(a)synspunkterne hos den tilsynsmyndighed, der påstås at have tilsidesat kravet om at sende et udkast til afgørelse til Databeskyttelsesrådet eller ikke at have fulgt Databeskyttelsesrådets udtalelse

(b)eventuelle andre dokumenter eller oplysninger, som tilsynsmyndigheden betragter som relevante og nødvendige for at kunne afgøre spørgsmålet.

Hvis en tilsynsmyndighed erklærer, at den har behov for at fremsætte sine synspunkter vedrørende det forelagte spørgsmål, skal den fremsætte disse synspunkter senest to uger efter, at forelæggelsen i stk. 1 har fundet sted.

3.Formanden for Databeskyttelsesrådet registrerer senest forelæggelsen en uge efter modtagelse af samtlige de i stk. 1 og 2 omhandlede dokumenter.

Kapitel VI

Hasteprocedure

Artikel 27

Hasteudtalelser i henhold til artikel 66, stk. 2, i forordning (EU) 2016/679

1.En anmodning om en hasteudtalelse fra Databeskyttelsesrådet i henhold til artikel 66, stk. 2, i forordning (EU) 2016/679 kan indgives senest tre uger inden udløbet af de foreløbige foranstaltninger, der er vedtaget i henhold til artikel 66, stk. 1, i forordning (EU) 2016/679, og skal indeholde samtlige af følgende elementer:

(a)et sammendrag af de relevante omstændigheder

(b)en beskrivelse af den foreløbige foranstaltning, der er vedtaget for dens eget område, dens varighed og begrundelsen for at vedtage den, herunder begrundelsen for, at det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder

(c)en begrundelse for, at det haster at vedtage den endelig foranstaltning for den anmodende tilsynsmyndigheds medlemsstats område, herunder en redegørelse for de ekstraordinære omstændigheder, der nødvendiggør vedtagelsen af de pågældende foranstaltninger.

2.Databeskyttelsesrådets hasteudtalelse er rettet til den tilsynsmyndighed, der indgav anmodningen. Den skal svare til en udtalelse, jf. artikel 64, stk. 1, i forordning (EU) 2016/679, og give den anmodende myndighed mulighed for at fastholde eller ændre sin foreløbige foranstaltning i overensstemmelse med forpligtelserne i artikel 64, stk. 7, i forordning (EU) 2016/679.

Artikel 28

Hurtige afgørelser i henhold til artikel 66, stk. 2, i forordning (EU) 2016/679

1.En anmodning om en hurtig afgørelse fra Databeskyttelsesrådet i henhold til artikel 66, stk. 2, i forordning (EU) 2016/679 kan indgives senest tre uger inden udløbet af de foreløbige foranstaltninger, der er vedtaget i henhold til artikel 61, stk. 8, artikel 62, stk. 7, eller artikel 66, stk. 1, i forordning (EU) 2016/679. Denne anmodning skal indeholde samtlige af følgende oplysninger:

(a)et sammendrag af de relevante omstændigheder

(b)den foreløbige foranstaltning, der er vedtaget for den anmodende tilsynsmyndigheds medlemsstats område, dens varighed og begrundelsen for at vedtage den foreløbige foranstaltning, navnlig begrundelsen for, at det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder

(c)oplysninger om eventuelle undersøgelsesforanstaltninger truffet på dens område og svar modtaget fra det lokale etableringssted tilhørende de parter, der er genstand for en undersøgelse, eller eventuelle andre oplysninger i den anmodende tilsynsmyndigheds besiddelse

(d)en begrundelse for, at det er nødvendigt at vedtage de endelige foranstaltninger omgående på den anmodende tilsynsmyndigheds område under hensyntagen til de ekstraordinære omstændigheder, der nødvendiggør vedtagelsen af den endelige foranstaltning, eller dokumentation for, at en tilsynsmyndighed har forsømt at reagere på en anmodning i henhold til artikel 61, stk. 3, eller artikel 62. stk. 2, i forordning (EU) 2016/679

(e)hvis den anmodende myndighed ikke er den ledende tilsynsmyndighed, den ledende tilsynsmyndigheds synspunkter

(f)hvor det er relevant, synspunkterne fra det lokale etableringssted for de parter, der er genstand for en undersøgelse, og over for hvem der er truffet foreløbige foranstaltninger i henhold til artikel 66, stk. 1, i forordning (EU) 2016/679.

2.Den hurtige afgørelse, der er omhandlet i stk. 1, skal rettes til den tilsynsmyndighed, der indgav anmodningen, og sætte den anmodende myndighed i stand til at fastholde eller ændre sin foreløbige foranstaltning.

3.Hvis Databeskyttelsesrådet vedtager en hurtig bindende afgørelse, hvoraf det fremgår, at de endelige foranstaltninger bør vedtages, vedtager den tilsynsmyndighed, som afgørelsen er rettet til, disse foranstaltninger inden udløbet af de foreløbige foranstaltninger, som er vedtaget i henhold til artikel 66, stk. 1, i forordning (EU) 2016/679.

4.Den tilsynsmyndighed, der indgav den i stk. 1 omtalte anmodning, meddeler den dataansvarliges eller databehandlerens etableringssted på dens medlemsstats område og Databeskyttelsesrådet sin afgørelse om de endelige foranstaltninger. Hvis den ledende tilsynsmyndighed ikke er den anmodende myndighed, underretter den anmodende myndighed den ledende myndighed om den endelige foranstaltning.

5.Hvis det i den hurtige bindende afgørelse angives, at vedtagelsen af de endelige foranstaltninger ikke haster, følger den berørte ledende tilsynsmyndighed og de berørte tilsynsmyndigheder proceduren i artikel 60 i forordning (EU) 2016/679.

Kapitel VII

Almindelige og afsluttende bestemmelser

Artikel 29

Fristers begyndelse og definition af arbejdsdag

1.Frister, som fremgår af eller fastsættes af tilsynsmyndighederne i henhold til forordning (EU) 2016/679, beregnes i overensstemmelse med Rådets forordning (EØF, Euratom) nr. 1182/71 17 .

2.Frister begynder at løbe fra den arbejdsdag, der følger efter den begivenhed, som den relevante bestemmelse i forordning (EU) 2016/679 eller nærværende forordning henviser til.

Artikel 30

Overgangsbestemmelser

Kapitel III og IV finder anvendelse på undersøgelser på eget initiativ, der indledes efter denne forordnings ikrafttræden, og på klagebaserede undersøgelser, hvor klagen blev indgivet efter nærværende forordnings ikrafttræden.

Kapitel V finder anvendelse på alle sager, der forelægges til tvistbilæggelse i henhold til artikel 65 i forordning (EU) 2016/679 efter nærværende forordnings ikrafttræden.

Artikel 31

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den […].

(1)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(2)    Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse (COM(2020) 264 final).

(3)    Europa-Parlamentets beslutning af 25. marts 2021 om Kommissionens evalueringsrapport vedrørende implementeringen af databeskyttelsesforordningen to år efter dens anvendelse(2020/2717(RSP)).

(4)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en  

(5)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf  

(6)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=da&do=groupDetail.groupDetail&groupID=3537  

(7)     https://ec.europa.eu/transparency/expert-groups-register/screen/home?lang=da  

(8)     https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-programme-2023_en  

(9)    Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse (COM(2020) 264 final).

(10)    Arbejdsdokument fra Kommissionens tjenestegrene – Ledsagedokument til meddelelse fra Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale.
omstilling – to års anvendelse af den generelle forordning om databeskyttelse (SWD(2020) 115 final).

(11)    Europa-Parlamentets beslutning af 25. marts 2021 om Kommissionens evalueringsrapport vedrørende implementeringen af databeskyttelsesforordningen to år efter dens anvendelse(2020/2717(RSP)).

(12)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en  

(13)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf  

(14)    EUT C , , s. .

(15)    EUT C , , s. .

(16)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(17)    Rådets forordning (EØF, Euratom) nr. 1182/71 af 3. juni 1971 om fastsættelse af regler om tidsfrister, datoer og terminer (EFT L 124 af 8.6.1971, s. 1).

EUROPA-KOMMISSIONEN

Bruxelles, den 4.7.2023

COM(2023) 348 final

BILAG

til forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679

BILAG

(1)    Klagen skal udfyldes og indgives elektronisk eller udfyldes og indgives til tilsynsmyndigheden pr. brev.

(2)    F.eks. et pas, kørekort eller nationalt ID.

(3)    Hvis en klage indgives af et organ, der er omhandlet i artikel 80 i forordning (EU) 2016/679, skal alle oplysninger i punkt 2 udfyldes.