EUROOPA KOMISJON

Brüssel,4.7.2023

COM(2023) 348 final

2023/0202(COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

millega kehtestatakse määruse (EL) 2016/679 täitmise tagamisega seotud täiendavad menetlusnormid

SELETUSKIRI

1.ETTEPANEKU TAUST

•Ettepaneku põhjused ja eesmärgid

·Kaebused. Kaebused on oluline teabeallikas andmekaitsenormide rikkumiste tuvastamiseks. Andmekaitseasutused tõlgendavad erinevalt nõudeid kaebuse vormi, kaebuse esitajate menetlusse kaasamise ja kaebuste tagasilükkamise kohta. Näiteks võib mõni andmekaitseasutus kaebuse, mille teine andmekaitseasutus vastu võtaks, tagasi lükata põhjusel, et see ei sisalda piisavalt teavet; mõni andmekaitseasutus annab kaebuse esitajatele ja uurimisalustele isikutele võrdsed õigused, samas teised ei kaasa kaebuse esitajaid või kaasavad neid väga piiratud ulatuses; mõni andmekaitseasutus võtab vastu ametliku otsuse kõigi kaebuste tagasilükkamiseks, mida ei käsitleta, teised ei tee seda. Need erinevused tähendavad, et kaebuste käsitlemine ja kaebuse esitajate kaasamine erineb sõltuvalt sellest, kus kaebus esitatakse või milline andmekaitseasutus on konkreetse juhtumi puhul juhtiv andmekaitseasutus. Selle tulemusena lükkub uurimise lõpetamine ja andmesubjektile õiguskaitsevahendi andmine piiriüleste juhtumite korral edasi. Euroopa Parlament rõhutas oma resolutsioonis, mis käsitleb komisjoni 2020. aasta aruannet isikuandmete kaitse üldmääruse kohta, vajadust selgitada kaebuse esitajate positsiooni piiriüleste kaebuste korral.

·Uurimisaluste isikute menetlusõigused. Uurimisaluste isikute kaitseõigus on liidu õiguse aluspõhimõte, mida tuleb järgida igas olukorras, eelkõige menetluste käigus, mis võivad kaasa tuua karmid karistused. Võttes arvesse määratavate karistuste võimalikku rangust, peavad isikuandmete kaitse üldmääruse rikkumise eest uurimise all olevatel isikutel olema samasugused tagatised, nagu on ette nähtud kriminaalmenetlusega. Uurimisaluste isikute menetlusõigused, nagu ärakuulamisõiguse ulatus ja toimikuga tutvumise õigus, on liikmesriigiti väga erinevad. Ärakuulamisõiguse ulatus, ärakuulamise aeg ja dokumendid, mis antakse menetlusosalistele, et nad saaksid kasutada oma õigust olla ära kuulatud, on elemendid, mille suhtes liikmesriikidel on erinevad lähenemisviisid. Need erinevad lähenemisviisid ei ole alati kooskõlas isikuandmete kaitse üldmääruse artiklis 60 sätestatud menetlusega, mis põhineb eeldusel, et uurimisalused isikud on kasutanud oma nõuetekohaseid menetlusõigusi, enne kui juhtiv andmekaitseasutus esitab otsuse eelnõu. Kui juhtum esitatakse vaidluse lahendamiseks andmekaitsenõukogule, võivad menetlusosaliste ärakuulamise ulatus otsuse eelnõus tõstatatud küsimustes ja asjaomaste andmekaitseasutuste vastuväited erineda. Peale selle ei ole selge, millises ulatuses peaks andmekaitsenõukogu isikuandmete kaitse üldmääruse artikli 65 kohasel vaidluste lahendamisel uurimisalused isikud ära kuulama. Kui ei ole tagatud õigus olla ära kuulatud, võib see muuta isikuandmete kaitse üldmääruse rikkumisi tuvastanud andmekaitseasutuste otsused õigusliku vaidlustamise suhtes haavatavamaks.

·Koostöö ja vaidluste lahendamine. Isikuandmete kaitse üldmääruse artiklis 60 sätestatud koostöömenetlus on visandatud üldjoontes. Piiriüleste juhtumite korral peavad andmekaitseasutused konsensuse saavutamiseks vahetama „asjaomast teavet“. Kui juhtiv andmekaitseasutus esitab juhtumi kohta otsuse eelnõu, on teistel andmekaitseasutustel võimalus tõstatada „asjakohaseid ja põhjendatud vastuväiteid“. Kui juhtiv andmekaitseasutus ei võta neid vastuväiteid arvesse, annavad need võimaluse vaidluste lahendamise menetluse kasutamiseks. Kuigi isikuandmete kaitse üldmääruse artiklis 65 sätestatud vaidluste lahendamise menetlus on oluline element isikuandmete kaitse üldmääruse ühetaolise tõlgendamise tagamiseks, tuleks seda kasutada üksnes erandjuhul, kui andmekaitseasutuste vaheline lojaalne koostöö ei ole taganud konsensust. Isikuandmete kaitse üldmääruse täitmise tagamise kogemused piiriüleste juhtumite korral näitavad, et andmekaitseasutused ei tee piisavalt koostööd enne seda, kui juhtiv andmekaitseasutus esitab otsuse eelnõu. Piisava koostöö ja konsensuse puudumise tõttu põhiküsimustes uurimise varases etapis on esitatud arvukalt juhtumeid vaidluste lahendamiseks.

Piiriülese koostöö menetluse käigus asjaomaste andmekaitseasutuste esitatud asjakohaste ja põhjendatud vastuväidete vorm ning struktuur on erinevad. Need erinevused takistavad tulemuslikku vaidluste lahendamist ja kõigi asjaomaste andmekaitseasutuste kaasamist menetlusse, eelkõige väiksemate liikmesriikide andmekaitseasutuste puhul, kellel on vähem vahendeid kui suuremate liikmesriikide andmekaitseasutustel.

·Isikuandmete kaitse üldmääruses ei ole sätestatud tähtaegu koostöö ja vaidluste lahendamise menetluse eri etappide jaoks. Võttes arvesse uurimiste erinevat keerukust ja andmekaitseasutuste kaalutlusõigust isikuandmete kaitse üldmääruse rikkumiste uurimisel, ei ole soovitatav määrata tähtaegu menetluse iga etapi jaoks. Vajaduse korral aitab tähtaegade kehtestamine siiski vältida põhjendamatuid viivitusi juhtumite lõpetamisel.

·Kaebuse vorm ja kaebuse esitaja positsioon. Ettepanekus esitatakse vorm, milles täpsustatakse kõigi isikuandmete piiriülest töötlemist käsitlevate ja isikuandmete kaitse üldmääruse artikli 77 kohaste kaebuste korral nõutav teave ning täpsustatakse menetlusnorme kaebuse esitajate kaasamiseks menetlusse, sealhulgas nende õigust teha oma seisukohad teatavaks. Selles täpsustatakse menetlusnorme kaebuste tagasilükkamiseks piiriüleste juhtumite korral ning selgitatakse juhtiva andmekaitseasutuse ja selle andmekaitseasutuse rolli, kellele kaebus esitati. Selles tunnistatakse kaebusepõhiste juhtumite kompromissiga lahendamise tähtsust ja õiguspärasust.

·Menetlusõiguste sihipärane ühtlustamine piiriüleste juhtumite korral. Ettepanekuga antakse uurimisalustele isikutele õigus olla ära kuulatud menetluse põhietappides, sealhulgas vaidluse lahendamise ajal andmekaitsenõukogus, ning selgitatakse haldustoimiku sisu ja uurimisaluste isikute õigust toimikuga tutvuda. Seeläbi tugevdatakse ettepanekuga uurimisaluste isikute kaitseõigust ja tagatakse selle õiguse ühetaoline järgimine, olenemata sellest, milline andmekaitseasutus uurimist juhib.

·Koostöö ja vaidluste lahendamise ühtlustamine. Ettepanekuga antakse andmekaitseasutustele vahendid, mida on vaja konsensuse saavutamiseks, lisades sisu isikuandmete kaitse üldmääruse artiklis 60 sätestatud nõudele, mille kohaselt andmekaitseasutused peavad tegema koostööd ja jagama „asjaomast teavet“. Käesoleva määrusega luuakse raamistik, mille alusel kõik andmekaitseasutused saavad piiriülest juhtumit sisuliselt mõjutada, esitades oma seisukohad uurimismenetluse alguses ja kasutades kõiki isikuandmete kaitse üldmäärusega ette nähtud vahendeid. See hõlbustab konsensuse saavutamist ja vähendab menetluse hilisemas etapis lahkarvamuste tekkimise tõenäosust, mis nõuaks vaidluste lahendamise mehhanismi kasutamist. Kui kaebusepõhise juhtumi korral on andmekaitseasutuste vahel lahkarvamused põhiküsimuses uurimise ulatuse kohta, antakse ettepanekuga andmekaitsenõukogule õigus lahendada lahkarvamused kiireloomulise siduva otsuse vastuvõtmise abil. Andmekaitsenõukogu kaasamisega sellesse eraldiseisvasse küsimusse antakse juhtivale andmekaitseasutusele uurimise jätkamiseks vajalik selgus ja tagatakse, et lahkarvamuste puhul uurimise ulatuse kohta ei ole vaja kasutada artikli 65 kohast vaidluste lahendamise mehhanismi.

Ettepanekuga nähakse ette üksikasjalikud nõuded asjaomaste andmekaitseasutuste tõstatatud asjakohaste ja põhjendatud vastuväidete vormi ja struktuuri kohta, hõlbustades seeläbi kõigi andmekaitseasutuste tulemuslikku osalemist ning juhtumi sihipärast ja kiiret lahendamist.

·Ettepanekuga nähakse ette vaidluse lahendamise menetluse tähtajad, määratakse kindlaks teave, mille juhtiv andmekaitseasutus peab esitama vaidluse lahendamiseks, ning selgitatakse kõigi vaidluse lahendamises osalejate (juhtiv andmekaitseasutus, asjaomased andmekaitseasutused ja andmekaitsenõukogu) rolli. Sel viisil hõlbustab ettepanek vaidluse lahendamise menetluse kiiret lõpuleviimist uurimisaluste isikute ja andmesubjektide jaoks.

•Kooskõla poliitikavaldkonnas praegu kehtivate õigusnormidega

•Kooskõla muude liidu tegevuspõhimõtetega

2.ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS

•Õiguslik alus

•Subsidiaarsus (ainupädevusse mittekuuluva valdkonna puhul)

•Proportsionaalsus

•Vahendi valik

3.JÄRELHINDAMISE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU HINDAMISE TULEMUSED

•Praegu kehtivate õigusaktide järelhindamine või toimivuse kontroll

·liikmesriikide haldusmenetluste erinevused, mis puudutavad eelkõige kaebuste käsitlemise menetlusi, kaebuste menetlusse võtmise kriteeriume, menetluste erinevat kestust tähtaegade erinevuste või nende puudumise tõttu, menetluse käigus ärakuulamisõiguse andmise aega või kaebuse esitajate teavitamist ja kaasamist menetluse kestel;

·koostöömehhanismiga seotud mõistete tõlgendamine ja

·käsitus sellest, millal alustada koostöömenetlust, kaasata asjaomased andmekaitseasutused ja edastada neile teavet.

•Konsulteerimine sidusrühmadega

·Andmekaitsenõukogu. Andmekaitsenõukogu koosneb andmekaitseasutustest, kes on isikuandmete kaitse üldmääruse täitmist tagavad asutused. Selle ülesanne on muu hulgas lahendada vaidlusi isikuandmete kaitse üldmääruse alusel piiriüleste juhtumite korral. Seega võttis komisjon andmekaitsenõukogu panust nõuetekohaselt arvesse ettevalmistusprotsessi kõigis etappides. Eelkõige reageeritakse ettepanekuga küsimuste loetelule, mille andmekaitsenõukogu edastas komisjonile 2022. aasta oktoobris ja milles tehti kindlaks piiriülese täitmise tagamise menetluslikud aspektid, mida saaks ELi tasandil ühtlustada. Ettepanekus käsitletakse enamikku küsimusi, mille andmekaitsenõukogu on oma loetelus välja toonud. Teatavatel juhtudel otsustas komisjon andmekaitsenõukogu esile tõstetud küsimusi mitte käsitleda, eelkõige juhul, kui komisjon leidis, et konkreetset küsimust on isikuandmete kaitse üldmääruses juba piisavalt käsitletud või et selles küsimuses peaks kaalutlusõigus jääma juhtivale andmekaitseasutusele või et see küsimus tuleks otsustada siseriikliku õiguse alusel. Peale selle käsitletakse ettepanekus teatavaid küsimusi, mida andmekaitsenõukogu ei ole nimetanud oma loetelus ja mille käsitlemist komisjon pidas vajalikuks, et tagada piiriülese täitmise tagamise sujuv toimimine ja nõuetekohase menetluse õiguste järgimine. Samuti korraldas komisjon 2023. aasta 21. märtsil ja 24. aprillil toimunud koosolekutel andmekaitsenõukogu eksperdirühmadega, kes tegelevad piiriülese koostöö ja täitmise tagamisega, sihtkonsultatsiooni käesoleva ettepaneku aspektide kohta, et kasutada oma igapäevatöös nende küsimustega tegelevate andmekaitseasutuste oskusteavet. Andmekaitsenõukogu toetas täielikult komisjoni meetmete võtmist selles valdkonnas ning andis 2023. aasta märtsi ja aprilli koosolekutel komisjonile väärtuslikku teavet.

·Isikuandmete kaitse üldmääruse paljusid sidusrühmi hõlmav eksperdirühm. Eksperdirühm loodi komisjoni abistamiseks isikuandmete kaitse üldmääruse kohaldamisel. See koosneb kodanikuühiskonna, ettevõtjate, akadeemiliste ringkondade ja õigustöötajate esindajatest. See rühm avaldas laialdast toetust mõttele, et komisjon võtab seadusandliku ettepanekuga meetmeid kõnealuses valdkonnas. Esimene arutelu nimekirja üle, mille andmekaitsenõukogu esitas 2022. aasta oktoobris, toimus 19. oktoobril 2022 korraldatud koosolekul ja ettepaneku konkreetsete aspektide üle konsulteeris komisjon 21. aprillil 2023 korraldatud teisel koosolekul. Võttes arvesse selles rühmas esindatud sidusrühmade suurt mitmekesisust, erinesid sidusrühmade seisukohad ettepaneku konkreetsete aspektide kohta. Kõik sidusrühmad toetasid ettepanekus esitatud õigusliku raamistiku loomist vaidluse lahendamiseks kompromissiga. Valitsusvälised organisatsioonid tervitasid komisjoni kavatsust ühtlustada kaebuse vormi ja toetasid kaebuse esitaja kaasamist menetlusse, märkides ära kaebuste käsitlemise suured erinevused liikmesriikides. Vastutavaid töötlejaid ja volitatud töötlejaid esindavad ettevõtjate rühmad rõhutasid vajadust anda uurimisalustele isikutele õigus olla ära kuulatud ning julgustada andmekaitseasutuste vaheliste lahkarvamuste lahendamist uurimismenetluse varases etapis.

·Isikuandmete kaitse üldmäärust käsitlev liikmesriikide eksperdirühm. Eksperdirühm on foorum, kus komisjon ja liikmesriigid saavad jagada seisukohti ja teavet isikuandmete kaitse üldmääruse kohaldamise kohta. Enne eelnõu koostamise alustamist küsis komisjon liikmesriikide arvamust andmekaitsenõukogu 2022. aasta oktoobris esitatud loetelu kohta. Liikmesriigid toetasid üldjoontes ettepanekut seadusandliku algatuse kohta isikuandmete kaitse üldmääruse piiriülese täitmise tagamise tõhustamiseks ja tervitasid seda. Teatavad liikmesriigid, kes on kehtestanud kõigi haldusmenetluste suhtes kohaldatavad horisontaalsed menetlusnormid, selgitasid siiski välja, et algatus võib tähendada sekkumist nendesse menetlusnormidesse, eelkõige menetlusosaliste ärakuulamisõiguse ühtlustamise ja kaebuse esitajate menetlusse kaasamise puhul. Sellest tulenevalt on komisjon hoolikalt jälginud, et nende aspektide ühtlustamine piirduks ettepanekus piiriüleste juhtumitega ja vaid niivõrd, kui see on vajalik koostöömehhanismi ja vaidluste lahendamise mehhanismi sujuva toimimise tagamiseks. Komisjon korraldas 19. aprillil 2023 spetsiaalse kohtumise isikuandmete kaitse üldmäärust käsitleva liikmesriikide eksperdirühmaga.

•Eksperdiarvamuste kogumine ja kasutamine

•Mõjuhinnang

·Andmekaitseasutused: algatusega toetatakse koostöömenetlust ning selgitatakse piiriüleste juhtumite puhul tehtava koostöö korda ja tähtaegu. See võimaldab andmekaitseasutustel oma ressursse tõhusamalt kasutada. Peale selle hõlbustab algatus seeläbi, et tagab piiriüleste juhtumite korral andmekaitseasutustele vahendid koostöö tõhustamiseks, konsensuse saavutamist andmekaitseasutuste vahel, vähendades lahkarvamusi ja edendades koostöövaimu.

·Kaebuse esitajad ja andmesubjektid: andmekaitseasutuste vahelise koostöö ühtlustamine isikuandmete kaitse üldmääruse täitmise tagamisel toetab uurimiste õigeaegset lõpuleviimist. See aitab tõhusamalt menetleda isikuandmete kaitse üldmääruse rikkumisi ja anda kiiresti andmesubjektile õiguskaitsevahendi. Peale selle on kaebuse esitajatel samasugune võimalus osaleda menetluses piiriüleste juhtumite korral, olenemata sellest, kus kaebus esitatakse või milline andmekaitseasutus on juhtiv andmekaitseasutus.

·Uurimisalused isikud: koostöö parandamine piiriüleste juhtumite puhul aitab lühendada uurimisi ja anda vajalikud tagatised, näiteks õiguse olla ära kuulatud ning toimikuga tutvumise õiguse, millega kaitstakse uurimisaluste isikute õigust heale haldusele (harta artikkel 41) ja kaitseõigust (harta artikkel 48). Nende õiguste ühtlustamine muudab ka lõpliku otsuse järjekindlamaks.

·Üldsuse usaldus isikuandmete kaitse üldmääruse vastu: algatus suurendab üldsuse usaldust isikuandmete kaitse üldmääruse vastu, hõlbustades uurimiste kiiremat lahendamist ja vähendades andmekaitseasutuste vahelisi lahkarvamusi piiriüleste juhtumite puhul.

•Õigusnormide toimivus ja lihtsustamine

•Põhiõigused

4.MÕJU EELARVELE

5.MUU TEAVE

•Rakenduskavad ning järelevalve, hindamise ja aruandluse kord

•Selgitavad dokumendid (direktiivide puhul)

•Ettepaneku sätete üksikasjalik selgitus

2023/0202 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

millega kehtestatakse määruse (EL) 2016/679 täitmise tagamisega seotud täiendavad menetlusnormid

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 16,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust 14 ,

võttes arvesse Regioonide Komitee arvamust 15 ,

toimides seadusandliku tavamenetluse kohaselt

ning arvestades järgmist:

(1)Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/679 16 on loodud detsentraliseeritud täitmise tagamise süsteem, mille eesmärk on tagada määruse (EL) 2016/679 ühetaoline tõlgendamine ja kohaldamine piiriüleste juhtumite korral. Isikuandmete piiriülese töötlemisega seotud juhtumite korral on selle süsteemi kohaselt vajalik koostöö järelevalveasutuste vahel, et saavutada konsensus, ning kui järelevalveasutused ei suuda konsensust saavutada, on sellega ette nähtud, et vaidluse lahendab Euroopa Andmekaitsenõukogu (edaspidi „andmekaitsenõukogu“).

(2)Selleks et tagada määruse (EL) 2016/679 artiklites 60 ja 65 sätestatud koostöömehhanismi ja vaidluste lahendamise mehhanismi sujuv ja tõhus toimimine, on vaja kehtestada eeskirjad, mis käsitlevad menetluste läbiviimist järelevalveasutustes piiriüleste juhtumite korral ja andmekaitsenõukogus vaidluste lahendamise kestel, sealhulgas piiriüleste kaebuste käsitlemist. Samuti on sel põhjusel vaja kehtestada eeskirjad, mis käsitlevad uurimisaluste isikute ärakuulamisõiguse kasutamist enne järelevalveasutuste või andmekaitsenõukogu otsuste vastuvõtmist.

(3)Kaebused on oluline teabeallikas andmekaitsenormide rikkumiste tuvastamiseks. Piiriüleste juhtumite korral on vaja kindlaks määrata selge ja tõhus menetlus kaebuste käsitlemiseks, sest kaebust võib käsitleda muu järelevalveasutus kui see, kellele kaebus esitati.

(4)Selleks et kaebus oleks vastuvõetav, peaks see sisaldama teatavat konkreetset teavet. Selleks et aidata kaebuse esitajal esitada järelevalveasutusele vajalikke fakte, tuleks luua kaebuse vorm. Vormiga ette nähtud teavet tuleks nõuda ainult isikuandmete piiriülese töötlemise korral määruse (EL) 2016/679 tähenduses, kuigi järelevalveasutused võivad vormi kasutada juhtudel, mis ei ole seotud isikuandmete piiriülese töötlemisega. Vormi võib esitada elektrooniliselt või posti teel. Selles vormis nimetatud teabe esitamine peaks olema tingimus isikuandmete piiriülese töötlemisega seotud kaebuse käsitlemiseks kaebusena, nagu on osutatud määruse (EL) 2016/679 artiklis 77. Kaebuse vastuvõetavaks tunnistamiseks ei tohiks nõuda lisateavet. Järelevalveasutustel peaks olema võimalik hõlbustada kaebuse esitamist kasutajasõbralikul elektroonilisel kujul ning pidades silmas puudega inimeste vajadusi, tingimusel et kaebuse esitajalt nõutav teave vastab vormis nõutavale teabele ja kaebuse vastuvõetavaks tunnistamiseks ei ole vaja lisateavet.

(5)Järelevalveasutused on kohustatud tegema kaebuse kohta otsuse mõistliku aja jooksul. Mõistlik aeg sõltub iga juhtumi asjaoludest ja eelkõige selle kontekstist, juhtiva järelevalveasutuse eri menetlusetappidest, menetlusosaliste käitumisest menetluse käigus ja juhtumi keerukusest.

(6)Iga kaebust, mida järelevalveasutus käsitleb vastavalt määruse (EL) 2016/679 artikli 57 lõike 1 punktile f, tuleb uurida vajalikul määral nõuetekohase hoolsusega, pidades silmas, et järelevalveasutuse volituste kasutamine peab olema asjakohane, vajalik ja proportsionaalne, et tagada vastavus määrusele (EL) 2016/679. Iga pädev asutus otsustab ise, millises ulatuses tuleks kaebust uurida. Hinnates uurimise ulatuse asjakohasust, peaksid järelevalveasutused püüdma jõuda kaebuse esitaja jaoks rahuldava lahenduseni, milleks ei pruugi tingimata olla vaja uurida põhjalikult kõiki kaebusest tulenevaid võimalikke õiguslikke ja faktilisi asjaolusid, vaid mis tagab kaebuse esitaja jaoks tõhusa ja kiire õiguskaitsevahendi. Uurimismeetmete vajaliku ulatuse hindamisel võib arvesse võtta väidetava rikkumise raskusastet, süsteemsust või korduvust või asjaolu, et kaebuse esitaja kasutas ka oma õigusi, mis tulenevad määruse (EL) 2016/679 artiklist 79.

(7)Juhtiv järelevalveasutus peaks andma järelevalveasutusele, kellele kaebus esitati, vajalikku teavet uurimise käigu kohta, selleks et kaebuse esitaja saaks ajakohastatud teavet.

(8)Pädev järelevalveasutus peaks võimaldama kaebuse esitajale juurdepääsu dokumentidele, mille põhjal järelevalveasutus jõudis esialgsele järeldusele lükata kaebus täielikult või osaliselt tagasi.

(9)Selleks et järelevalveasutused saaksid kiiresti lõpetada määruse (EL) 2016/679 rikkumised ja kiiresti leida lahendused kaebuse esitajate jaoks, peaksid järelevalveasutused püüdma vajaduse korral lahendada kaebused kompromissiga. Asjaolu, et konkreetne kaebus on lahendatud kompromissiga, ei takista pädevat järelevalveasutust menetlemast ex officio juhtumit, näiteks määruse (EL) 2016/679 süsteemsete või korduvate rikkumiste korral.

(10)Selleks et tagada määruse (EL) 2016/679 VII peatükis sätestatud koostöömehhanismi ja järjepidevuse mehhanismi tulemuslik toimimine, on oluline, et piiriülesed juhtumid lahendataks õigeaegselt ning lojaalse ja tõhusa koostöö vaimus, mis on määruse (EL) 2016/679 artikli 60 aluseks. Juhtiv järelevalveasutus peaks rakendama oma pädevust tihedas koostöös muude asjaomaste järelevalveasutustega. Samuti peaksid asjaomased järelevalveasutused konsensuse saavutamiseks osalema aktiivselt uurimise varases etapis, kasutades täiel määral ära vahendid, mis on sätestatud määruses (EL) 2016/679.

(11)Eriti oluline on, et järelevalveasutused saavutaksid uurimise peamistes aspektides konsensuse võimalikult varakult ning enne väidete edastamist uurimisalustele isikutele ja määruse (EL) 2016/679 artiklis 60 osutatud otsuse eelnõu vastuvõtmist, vähendades seeläbi juhtumeid, mis esitatakse lahendamiseks määruse (EL) 2016/679 artiklis 65 sätestatud vaidluste lahendamise mehhanismi abil, ja tagades kokkuvõttes piiriüleste juhtumite kiire lahendamise.

(12)Järelevalveasutuste vaheline koostöö peaks põhinema avatud dialoogil, mis võimaldab asjaomastel järelevalveasutustel sisuliselt mõjutada uurimise käiku oma kogemuste ja seisukohtade jagamise teel juhtiva järelevalveasutusega, võttes nõuetekohaselt arvesse iga järelevalveasutuse kaalutlusõigust, sealhulgas juhtumi uurimise vajaliku ulatuse hindamisel, ning liikmesriikide erinevaid traditsioone. Selleks peaks juhtiv järelevalveasutus esitama asjaomastele järelevalveasutustele põhiküsimuste kokkuvõtte, milles ta esitab oma esialgse seisukoha uurimise põhiküsimuste kohta. See kokkuvõte tuleks esitada piisavalt varases etapis, et võimaldada asjaomaste järelevalveasutuste tulemuslikku kaasamist, kuid samas sellises etapis, kus juhtiva järelevalveasutuse seisukohad juhtumi kohta on piisavalt väljakujunenud. Asjaomastel järelevalveasutustel peaks olema võimalus esitada märkusi mitmesuguste küsimuste, nagu uurimise ulatuse ning keerukate faktiliste ja õiguslike asjaolude hindamiste kindlaksmääramise kohta. Võttes arvesse asjaolu, et uurimise ulatus määrab ära küsimused, mida juhtiv järelevalveasutus peab uurima, peaksid järelevalveasutused püüdma uurimise ulatuse suhtes jõuda võimalikult varakult konsensusele.

(13)Kõigi asjaomaste järelevalveasutuste ja juhtiva järelevalveasutuse vahelise tulemusliku kaasava koostöö huvides peaksid asjaomaste järelevalveasutuste märkused olema kokkuvõtlikud ning sõnastatud piisavalt selgelt ja täpselt, et need oleksid kõigile järelevalveasutustele kergesti arusaadavad. Õiguslikud argumendid tuleks rühmitada, viidates põhiküsimuste kokkuvõtte sellele osale, millega need on seotud. Asjaomaste järelevalveasutuste märkusi võib täiendada lisadokumentidega. Siiski ei saa pelk viide täiendavatele dokumentidele asjaomase järelevalveasutuse märkustes korvata seda, et puuduvad olulised õiguslikud või faktilised argumendid, mis peaksid nendes märkustes sisalduma. Põhilised õiguslikud ja faktilised asjaolud, millele sellistes dokumentides tuginetakse, peavad vähemalt kokkuvõtlikult, kuid sidusalt ja arusaadavalt nähtuma märkustest.

(14)Juhtumite puhul, mis ei tekita vaidlusi, ei ole konsensuse saavutamiseks vaja ulatuslikku arutelu järelevalveasutuste vahel ning seetõttu võiks nendega kiiremini tegeleda. Kui ükski asjaomane järelevalveasutus ei esita märkusi põhiküsimuste kokkuvõtte kohta, peaks juhtiv järelevalveasutus esitama artikliga 14 ette nähtud esialgsed järeldused üheksa kuu jooksul.

(15)Järelevalveasutused peaksid kasutama kõiki vahendeid, mis on vajalikud konsensuse saavutamiseks lojaalse ja tõhusa koostöö vaimus. Kui asjaomaste järelevalveasutuste ja juhtiva järelevalveasutuse vahel esineb lahkarvamusi kaebusepõhise uurimise ulatuse kohta, sealhulgas määruse (EL) 2016/679 nende sätete kohta, mille rikkumist uuritakse, või kui asjaomaste järelevalveasutuste märkused on seotud keerukate õiguslike või tehnoloogiliste asjaolude hindamise olulise muudatusega, peaks asjaomane asutus kasutama määruse (EL) 2016/679 artiklitega 61 ja 62 ette nähtud vahendeid.

(16)Kui nende vahendite kasutamine ei võimalda järelevalveasutustel saavutada konsensust kaebusepõhise uurimise ulatuse suhtes, peaks juhtiv järelevalveasutus taotlema andmekaitsenõukogult kiireloomulist siduvat otsust vastavalt määruse (EL) 2016/679 artikli 66 lõikele 3. Selleks tuleks eeldada kiireloomulisuse nõuet. Juhtiv järelevalveasutus peaks esialgsete järelduste tegemiseks tegema andmekaitsenõukogu kiireloomulise siduva otsuse põhjal asjakohased järeldused. Andmekaitsenõukogu kiireloomulise siduva otsusega ei saa ennetada juhtiva järelevalveasutuse uurimise tulemust ega uurimisaluste isikute ärakuulamisõiguse tulemuslikkust. Eelkõige ei tohiks andmekaitsenõukogu omal algatusel laiendada uurimise ulatust.

(17)Selleks et võimaldada kaebuse esitajal kasutada oma õigust tõhusale õiguskaitsevahendile vastavalt määruse (EL) 2016/679 artiklile 78, peaks järelevalveasutus kaebuse täielikult või osaliselt tagasi lükkama otsusega, mille võib vaidlustada liikmesriigi kohtus.

(18)Kaebuse esitajatel peaks olema võimalus teha oma seisukoht teatavaks enne, kui tehakse neid ebasoodsalt mõjutav otsus. Seepärast peaks kaebuse esitajal piiriülese juhtumi puhul kaebuse täieliku või osalise tagasilükkamise korral olema võimalus teha oma seisukohad teatavaks enne, kui esitatakse määruse (EL) 2016/679 artikli 60 lõike 3 kohane otsuse eelnõu, määruse (EL) 2016/679 artikli 60 lõike 4 kohane muudetud otsuse eelnõu või määruse (EL) 2016/679 artikli 65 lõike 1 punkti a kohane andmekaitsenõukogu siduv otsus. Kaebuse esitaja võib taotleda juurdepääsu kaebuse täieliku või osalise tagasilükkamise otsuse aluseks olevate dokumentide mittekonfidentsiaalsele versioonile.

(19)Piiriülese juhtumi korral on vaja selgitada ülesannete jaotust juhtiva järelevalveasutuse ja selle järelevalveasutuse vahel, kellele kaebus esitati, juhul kui kaebus lükatakse tagasi. Kuna järelevalveasutus, kellele kaebus esitati, on uurimise kestel kaebuse esitaja kontaktpunktiks, peaks see järelevalveasutus saama kaebuse esitaja seisukohad kaebuse tagasilükkamise ettepaneku kohta ning korraldama kogu suhtlemist kaebuse esitajaga. Kogu sellist suhtlemist tuleks jagada juhtiva järelevalveasutusega. Määruse (EL) 2016/679 artikli 60 lõigete 8 ja 9 kohaselt võtab kaebuse tagasilükkamise lõpliku otsuse vastu järelevalveasutus, kellele kaebus esitati, seega peaks see järelevalveasutus koostama ka otsuse eelnõu vastavalt määruse (EL) 2016/679 artikli 60 lõikele 3.

(20)Liidu andmekaitsenormide tõhus täitmine tuleks tagada täielikus kooskõlas menetlusosaliste kaitseõigusega kui liidu õiguse aluspõhimõttega, mida tuleb austada igas olukorras ja eelkõige menetlustes, mis võivad kaasa tuua karistusi.

(21)Selleks et tulemuslikult kaitsta õigust heale haldusele ja õigust kaitsele, nagu on sätestatud Euroopa Liidu põhiõiguste hartas (edaspidi „harta“), sealhulgas igaühe õigust olla ära kuulatud enne, kui võetakse mis tahes meede, mis võib isikut ebasoodsalt mõjutada, on oluline näha ette selged eeskirjad selle õiguse kasutamiseks.

(22)Haldusmenetlust käsitlevad eeskirjad, mida järelevalveasutused rakendavad määruse (EL) 2016/679 täitmise tagamisel, peaksid tagama, et uurimisalustel isikutel on võimalus esitada kogu menetluse vältel tulemuslikult oma seisukohad järelevalveasutuse esitatud faktide, vastuväidete ja asjaolude tõelevastavuse ja asjakohasuse kohta, võimaldades neil seeläbi kasutada oma kaitseõigust. Pärast uurimist esitatakse esialgne seisukoht määruse (EL) 2016/679 väidetava rikkumise kohta esialgsetes järeldustes. Seega kujutavad need endast olulist menetluslikku tagatist, mis tagab õiguse olla ära kuulatud. Uurimisalustele isikutele tuleks anda dokumendid, mis on neile vajalikud enda tõhusaks kaitsmiseks ja nende vastu esitatud väidete kohta märkuste esitamiseks, võimaldades neile juurdepääsu haldustoimikule.

(23)Esialgsetes järeldustes määratakse kindlaks uurimise ulatus ja seega mis tahes tulevase lõpliku otsuse (mis vajaduse korral tehakse siduva otsuse alusel, mille andmekaitsenõukogu on teinud määruse (EL) 2016/679 artikli 65 lõike 1 punkti a kohaselt) ulatus, ning see otsus võidakse adresseerida vastutavatele töötlejatele või volitatud töötlejatele. Esialgsed järeldused peaksid olema sõnastatud nii, et isegi kui need on esitatud lühidalt, on need piisavalt selged, võimaldades uurimisalustel isikutel määruse (EL) 2016/679 väidetava rikkumise laadi õigesti kindlaks teha. Kohustus anda uurimisalustele isikutele enda nõuetekohaseks kaitsmiseks kogu vajalik teave on täidetud, kui lõplikus otsuses ei väideta, et uurimisalused isikud on toime pannud muid rikkumisi peale nende, millele on viidatud esialgsetes järeldustes, ning lõplikus otsuses võetakse arvesse üksnes neid asjaolusid, mille kohta uurimisalustel isikutel on olnud võimalus esitada oma seisukohad. Juhtiva järelevalveasutuse lõplik otsus ei pea siiski tingimata olema esialgsete järelduste täpne koopia. Lõplikus otsuses peaks juhtival järelevalveasutusel olema lubatud võtta arvesse uurimisaluste isikute vastuseid esialgsetele järeldustele, ja kui see on asjakohane, määruse (EL) 2016/679 artikli 60 lõike 5 alusel muudetud otsuse eelnõule ning määruse (EL) 2016/679 artikli 65 lõike 1 punkti a alusel tehtud otsusele, millega lahendatakse järelevalveasutuste vaheline vaidlus. Juhtival järelevalveasutusel peaks olema võimalik uurimisaluste isikute esitatud fakte ja õiguslikke asjaoluside ise hinnata, et loobuda vastuväidetest, kui järelevalveasutus leiab, et need ei ole põhjendatud, või täiendada oma argumente ja sõnastada need ümber nii faktiliselt kui ka õiguslikult, et põhjendada neid väiteid, millest ta ei loobu. Näiteks ei käsitata iseenesest kaitseõiguse rikkumisena seda, kui võetakse arvesse haldusmenetluse käigus uurimisaluse isiku esitatud argumenti, ilma et talle oleks enne lõpliku otsuse tegemist antud võimalust selle kohta arvamust avaldada.

(24)Uurimisalustele isikutele tuleks anda õigus olla ära kuulatud enne, kui esitatakse muudetud otsuse eelnõu vastavalt määruse (EL) 2016/679 artikli 60 lõikele 5 või võetakse vastu andmekaitsenõukogu siduv otsus vastavalt määruse (EL) 2016/679 artikli 65 lõike 1 punktile a.

(25)Kaebuse esitajatele tuleks anda võimalus olla kaasatud järelevalveasutuse algatatud menetlustesse, et teha kindlaks või selgitada küsimusi, mis on seotud määruse (EL) 2016/679 võimaliku rikkumisega. Asjaolu, et järelevalveasutus on juba algatanud uurimise kaebuse sisu kohta või käsitleb kaebust ex officio uurimise käigus pärast kaebuse kättesaamist, ei välista andmesubjekti kvalifitseerumist kaebuse esitajaks. See kui järelevalveasutus uurib, kas vastutav töötleja või volitatud töötleja võib olla määrust (EL) 2016/679 rikkunud, ei kujuta endast kaebuse esitaja ja uurimisaluste isikute vahelist ärakuulamismenetlust. See on menetlus, mille järelevalveasutus algatab omal algatusel või kaebuse alusel oma ülesannete täitmiseks vastavalt määruse (EL) 2016/679 artikli 57 lõikele 1. Uurimisalused isikud ja kaebuse esitaja ei ole seega samas menetluslikus olukorras ning viimane ei saa tugineda õigusele õiglasele kohtulikule arutamisele, kui otsus ei mõjuta tema õiguslikku olukorda ebasoodsalt. Kaebuse esitaja osalemine uurimisaluste isikute suhtes algatatud menetluses ei saa kahjustada nende isikute õigust olla ära kuulatud.

(26)Kaebuse esitajatele tuleks anda võimalus esitada esialgsete järelduste kohta kirjalikke seisukohti. Sellistel isikutel ei peaks siiski olema juurdepääsu muude menetlusega seotud isikute ärisaladustele või muule konfidentsiaalsele teabele. Kaebuse esitajatel ei tohiks olla õigust üldisele juurdepääsule haldustoimikule.

(27)Määrates kindlaks tähtaegu, mille jooksul uurimisalused isikud ja kaebuse esitajad peavad esitama oma seisukohad esialgsete järelduste kohta, peaksid järelevalveasutused võtma arvesse esialgsetes järeldustes tõstatatud küsimuste keerukust, eesmärgiga tagada, et uurimisalustel isikutel ja kaebuse esitajatel on piisavalt võimalusi sisukalt esitada tõstatatud küsimuste kohta oma seisukohti.

(28)Enne otsuse eelnõu vastuvõtmist toimuv seisukohtade vahetus hõlmab avatud dialoogi ja ulatuslikku arvamuste vahetust, kus järelevalveasutused peaksid tegema kõik endast oleneva, et jõuda uurimise edasise käigu suhtes kompromissile. Seevastu määruse (EL) 2016/679 artikli 60 lõikele 4 vastavates asjakohastes ja põhjendatud vastuväidetes väljendatud lahkarvamused, mis võivad tekitada olukordi, kus järelevalveasutuste vahel tuleb lahendada vaidlusi vastavalt määruse (EL) 2016/679 artiklile 65, ja lükkavad edasi pädeva järelevalveasutuse lõpliku otsuse vastuvõtmise, peaksid tekkima erandjuhul, kui järelevalveasutused ei saavuta konsensust ning kui see on vajalik määruse (EL) 2016/679 ühetaolise tõlgendamise tagamiseks. Selliseid vastuväiteid tuleks kasutada säästlikult, kui kaalul on määruse (EL) 2016/679 ühetaolise täitmise tagamisega seotud küsimused, sest iga kord, kui kasutatakse asjakohaseid ja põhjendatud vastuväiteid, lükkab see edasi õiguskaitsevahendi andmise andmesubjektile. Kuna uurimise ulatuse ja asjaomaste faktide üle tuleks otsustada enne esialgsete järelduste edastamist, ei tohiks asjaomased järelevalveasutused neid küsimusi asjakohastes ja põhjendatud vastuväidetes tõstatada. Asjaomased järelevalveasutused võivad neid siiski tõstatada artikli 9 lõike 3 kohastes märkustes põhiküsimuste kokkuvõtte kohta enne esialgsete järelduste edastamist uurimisalustele isikutele.

(29)Selleks, et vaidluste lahendamise menetlus, mille käigus peaks ajalisi piiranguid silmas pidades kõigil järelevalveasutustel olema võimalik esitada oma seisukohti, tõhusalt ja kaasavalt lõpule viia, peaks asjakohaste ja põhjendatud vastuväidete vorm ning struktuur vastama teatavatele nõuetele. Seepärast peaksid asjakohased ja põhjendatud vastuväited piirduma ettenähtud pikkusega, neis tuleks selgelt välja tuua lahkarvamused otsuse eelnõu kohta ning need tuleks sõnastada piisavalt selgelt, sidusalt ja täpselt.

(30)Juurdepääs haldustoimikule on ette nähtud osana hartas sätestatud õigusest kaitsele ja õigusest heale haldusele. Uurimisalustele isikutele tuleks anda juurdepääs haldustoimikule, kui neile teatatakse esialgsetest järeldustest, ning esialgsetele järeldustele kirjaliku vastuse esitamiseks tuleks kehtestada tähtaeg.

(31)Haldustoimikule juurdepääsu andmise korral peaksid järelevalveasutused tagama ärisaladuste ja muu konfidentsiaalse teabe kaitse. Muu konfidentsiaalse teabe kategooriasse kuulub teave, mis ei ole ärisaladus ja mida võib pidada konfidentsiaalseks, kuivõrd selle avalikustamine kahjustaks märkimisväärselt vastutavat töötlejat, volitatud töötlejat või füüsilist isikut. Järelevalveasutustel peaks olema võimalik nõuda, et uurimisalused isikud, kes esitavad või on esitanud dokumente või avaldusi, märgistaksid konfidentsiaalse teabe.

(32)Kui ärisaladused või muu konfidentsiaalne teave on vajalikud rikkumise tõendamiseks, peaksid järelevalveasutused iga üksiku dokumendi puhul hindama, kas selle avalikustamise vajadus on suurem kui kahju, mis võib avalikustamisega kaasneda.

(33)Määruse (EL) 2016/679 artikli 65 kohaselt sisulise küsimuse vaidluse lahendamisele suunamise korral peaks juhtiv järelevalveasutus esitama andmekaitsenõukogule kogu vajaliku teabe, mis võimaldab andmekaitsenõukogul hinnata asjakohaste ja põhjendatud vastuväidete vastuvõetavust ning teha otsuse vastavalt määruse (EL) 2016/679 artikli 65 lõike 1 punktile a. Kui andmekaitsenõukogu on kätte saanud kõik artiklis 23 loetletud vajalikud dokumendid, peaks andmekaitsenõukogu eesistuja registreerima sisulise küsimuse suunamise määruse (EL) 2016/679 artikli 65 lõike 2 tähenduses.

(34)Määruse (EL) 2016/679 artikli 65 lõike 1 punkti a kohane andmekaitsenõukogu siduv otsus peaks puudutama üksnes küsimusi, mis on kaasa toonud vaidluse lahendamise vajaduse, ning see peaks olema koostatud viisil, mis võimaldab juhtival järelevalveasutusel võtta andmekaitsenõukogu otsuse alusel vastu lõpliku otsuse, säilitades samas oma kaalutlusõiguse.

(35)Selleks et ühtlustada andmekaitsenõukogule määruse (EL) 2016/679 artikli 65 lõike 1 punktide b ja c kohaselt esitatud järelevalveasutuste vaheliste vaidluste lahendamist, on vaja täpsustada menetlusnorme andmekaitsenõukogule nende dokumentide esitamise kohta, millele andmekaitsenõukogu peaks oma otsuse tegemisel tuginema. Samuti on vaja täpsustada, millal peaks andmekaitsenõukogu registreerima küsimuse esitamise vaidluse lahendamiseks.

(36)Selleks et ühtlustada andmekaitsenõukogu kiireloomuliste arvamuste ja kiireloomuliste siduvate otsuste vastuvõtmise menetlust vastavalt määruse (EL) 2016/679 artikli 66 lõikele 2, on vaja täpsustada menetlusnorme, mis käsitlevad kiireloomulise arvamuse või kiireloomulise siduva otsuse taotluse esitamise aega, andmekaitsenõukogule esitatavaid dokumente, millele andmekaitsenõukogu peaks oma otsuse tegemisel tuginema, seda, kellele andmekaitsenõukogu arvamus või otsus tuleks adresseerida, ning andmekaitsenõukogu arvamuse või otsuse tagajärgi.

(37)III ja IV peatükk käsitlevad järelevalveasutuste koostööd, uurimisaluste isikute menetlusõigusi ja kaebuse esitajate kaasamist. Õiguskindluse tagamiseks ei tohiks neid sätteid kohaldada uurimiste suhtes, mis on käesoleva määruse jõustumise ajal pooleli. Neid tuleks kohaldada ex officio uurimiste suhtes, mis on algatatud pärast käesoleva määruse jõustumist, ja kaebusepõhiste uurimiste suhtes, kui kaebus esitati pärast käesoleva määruse jõustumist. V peatükis on sätestatud menetlusnormid juhtumite jaoks, mis on esitatud vaidluse lahendamiseks vastavalt määruse (EL) 2016/679 artiklile 65. Ka ei tuleks õiguskindluse huvides seda peatükki kohaldada juhtumite suhtes, mis on esitatud vaidluse lahendamiseks enne käesoleva määruse jõustumist. Seda tuleks kohaldada kõigi juhtumite suhtes, mis esitatakse vaidluse lahendamiseks pärast käesoleva määruse jõustumist.

(38)Vastavalt määruse (EL) 2018/1725 artikli 42 lõikele 2 on konsulteeritud Euroopa Andmekaitseinspektori ja Euroopa Andmekaitsenõukoguga, kes esitasid oma ühisarvamuse [...],

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I peatükk

Üldsätted

Artikkel 1

Reguleerimisese

Käesolevas määruses sätestatakse menetlusnormid kaebuste käsitlemiseks ning kaebusepõhiste ja ex officio juhtumite uurimise läbiviimiseks järelevalveasutustes määruse (EL) 2016/679 piiriülese täitmise tagamisel.

Artikkel 2

Mõisted

Käesolevas määruses kasutatakse määruse (EL) 2016/679 artiklis 4 määratletud mõisteid.

Samuti kasutatakse järgmisi mõisteid:

(1)„uurimisalune isik“ – vastutav(ad) ja/või volitatud töötleja(d), kes on uurimise all määruse (EL) 2016/679 väidetava rikkumise tõttu, mis on seotud isikuandmete piiriülese töötlemisega;

(2)„põhiküsimuste kokkuvõte“ – kokkuvõte, mille juhtiv järelevalveasutus esitab asjaomastele järelevalveasutustele ning milles on välja toodud peamised asjaomased faktid ja juhtiva järelevalveasutuse seisukohad juhtumi kohta;

(3)„esialgsed järeldused“ – dokument, mille juhtiv järelevalveasutus esitab uurimisalustele isikutele ja milles on esitatud väited, asjaomased faktid, tõendid, õiguslik analüüs ja vajaduse korral kavandatavad parandusmeetmed;

(4)„asjakohased ja põhjendatud vastuväited, millest ei loobuta“ – vastuväited, mille andmekaitsenõukogu on tunnistanud asjakohaseks ja põhjendatuks määruse (EL) 2016/679 artikli 4 punkti 24 tähenduses.

II peatükk

Kaebuste esitamine ja käsitlemine

Artikkel 3

Piiriülesed kaebused

1.Määruse (EL) 2016/679 alusel esitatavas kaebuses, mis on seotud isikuandmete piiriülese töötlemisega, esitatakse lisas sätestatud vormis nõutav teave. Kaebuse vastuvõetavuseks ei ole vaja lisateavet.

2.Järelevalveasutus, kellele kaebus esitati, teeb kindlaks, kas kaebus on seotud isikuandmete piiriülese töötlemisega.

3.Järelevalveasutus, kellele kaebus esitati, teeb ühe kuu jooksul kindlaks vormiga nõutava teabe täielikkuse.

4.Pärast vormiga nõutava teabe täielikkuse hindamist edastab järelevalveasutus, kellele kaebus esitati, kaebuse juhtivale järelevalveasutusele.

5.Kui kaebuse esitaja nõuab kaebuse esitamisel konfidentsiaalsust, esitab ta ka kaebuse mittekonfidentsiaalse versiooni.

6.Järelevalveasutus, kellele kaebus esitati, kinnitab kaebuse kättesaamist ühe nädala jooksul. See kinnitus ei piira kaebuse vastuvõetavuse hindamist vastavalt lõikele 3.

Artikkel 4

Kaebuste uurimine

Hinnates, millises ulatuses tuleks kaebust iga juhtumi puhul uurida, võtab järelevalveasutus arvesse kõiki asjaomaseid asjaolusid, sealhulgas kõiki järgmisi asjaolusid:

(a)kaebuse esitajale tõhusa ja õigeaegse õiguskaitsevahendi andmise otstarbekus;

(b)väidetava rikkumise raskusaste;

(c)väidetava rikkumise süsteemsus või korduvus.

Artikkel 5

Vaidluse lahendamine kompromissiga

Kaebuse võib lahendada kaebuse esitaja ja uurimisaluste isikute vahelise kompromissiga. Kui järelevalveasutus leiab, et kaebuse lahendamiseks on leitud kompromiss, teatab ta kavandatavast kompromissist kaebuse esitajale. Kui kaebuse esitaja ei esita ühe kuu jooksul järelevalveasutuse pakutud kompromissi suhtes vastuväiteid, loetakse kaebus tagasivõetuks.

Artikkel 6

Tõlked

1.Järelevalveasutus, kellele kaebus esitati, vastutab järgmise eest:

(a)kaebuste ja kaebuse esitajate seisukohtade tõlkimine keelde, mida juhtiv järelevalveasutus uurimise eesmärgil kasutab;

(b)juhtiva järelevalveasutuse esitatud dokumentide tõlkimine keelde, mida kasutatakse suhtlemiseks kaebuse esitajaga, kui on vaja anda need dokumendid kaebuse esitajale vastavalt käesolevale määrusele või määrusele (EL) 2016/679.

2.Andmekaitsenõukogu määrab oma kodukorras kindlaks menetluse asjaomaste järelevalveasutuste esitatud märkuste või asjakohaste ja põhjendatud vastuväidete tõlkimiseks keelde, mida juhtiv järelevalveasutus ei kasuta uurimise eesmärgil.

III peatükk

Määruse (EL) 2016/679 artikli 60 kohane koostöö

1. jagu

Konsensuse saavutamine määruse (EL) 2016/679 artikli 60 lõike 1 tähenduses

Artikkel 7

Järelevalveasutuste vaheline koostöö

Tehes koostööd konsensuse saavutamiseks, nagu on sätestatud määruse (EL) 2016/679 artikli 60 lõikes 1, kasutavad järelevalveasutused kõiki määruses (EL) 2016/679 sätestatud vahendeid, sealhulgas määruse (EL) 2016/679 artikli 61 kohast vastastikust abi ja artikli 62 kohaseid ühisoperatsioone.

Käesoleva jao sätted käsitlevad järelevalveasutuste vahelisi suhteid ning nende eesmärk ei ole anda õigusi füüsilistele isikutele ega uurimisalustele isikutele.

Artikkel 8

Asjaomane teave määruse (EL) 2016/679 artikli 60 lõigete 1 ja 3 tähenduses

1.Juhtiv järelevalveasutus annab regulaarselt teistele asjaomastele järelevalveasutustele teavet uurimise kohta ja esitab teistele asjaomastele järelevalveasutustele esimesel võimalusel kogu asjaomase teabe, kui see on kättesaadav.

2.Asjaomane teave määruse (EL) 2016/679 artikli 60 lõigete 1 ja 3 tähenduses hõlmab vajaduse korral:

(a)teavet selle kohta, et on algatatud uurimine määruse (EL) 2016/679 väidetava rikkumise kohta;

(b)määruse (EL) 2016/679 artikli 58 lõike 1 punkti e kohaseid teabenõudeid;

(c)teavet määruse (EL) 2016/679 artikli 58 lõikes 1 osutatud muude uurimisvolituste kasutamise kohta;

(d)kaebuse kavandatava tagasilükkamise korral põhjused, miks juhtiv järelevalveasutus kaebuse tagasi lükkas;

(e)uurimise põhiküsimuste kokkuvõtet vastavalt artiklile 9;

(f)teavet meetmete kohta, mille eesmärk on kindlaks teha määruse (EL) 2016/679 rikkumine enne esialgsete järelduste koostamist;

(g)esialgseid järeldusi;

(h)uurimisaluste isikute vastust esialgsetele järeldustele;

(i)kaebuse esitaja seisukohti esialgsete järelduste kohta;

(j)kaebuse tagasilükkamise korral kaebuse esitaja kirjalikke esildisi;

(k)mis tahes asjakohaseid meetmeid, mida juhtiv järelevalveasutus on võtnud pärast uurimisalustelt isikutelt vastuse saamist esialgsetele järeldustele ja enne otsuse eelnõu esitamist määruse (EL) 2016/679 artikli 60 lõike 3 tähenduses.

Artikkel 9

Põhiküsimuste kokkuvõte

1.Kui juhtiv järelevalveasutus on kujundanud uurimise põhiküsimustes esialgse seisukoha, koostab ta määruse (EL) 2016/679 artikli 60 lõike 1 kohase koostöö eesmärgil põhiküsimuste kokkuvõtte.

2.Põhiküsimuste kokkuvõte sisaldab kõiki järgmisi elemente:

(a)peamised asjaomased faktid;

(b)uurimise esialgne kindlaksmääratud ulatus, eelkõige määruse (EL) 2016/679 sätted, mis on seotud väidetava rikkumisega, mida uuritakse;

(c)esialgse ülevaate saamiseks oluliste keerukate õiguslike ja tehnoloogiliste asjaolude hindamise kindlaksmääratud ulatus;

(d)esialgselt kindlaksmääratud potentsiaalsed parandusmeetmed.

3.Asjaomased järelevalveasutused võivad esitada märkusi põhiküsimuste kokkuvõtte kohta. Sellised märkused tuleb esitada nelja nädala jooksul alates põhiküsimuste kokkuvõtte kättesaamisest.

4.Lõike 3 kohaselt esitatud märkused vastavad järgmistele nõuetele:

(a)kasutatav keel on piisavalt selge ja sisaldab täpseid mõisteid, mis võimaldavad juhtival järelevalveasutusel ja vajaduse korral asjaomastel järelevalveasutustel oma seisukohti ette valmistada;

(b)õiguslikud argumendid on esitatud lühidalt ja rühmitatud, viidates põhiküsimuste kokkuvõtte sellele osale, millega need on seotud;

(c)asjaomase järelevalveasutuse märkusi võib kinnitada dokumentidega, mis võivad täiendada märkusi konkreetsete küsimuste kohta.

5.Andmekaitsenõukogu võib oma kodukorras kindlaks määrata asjaomaste järelevalveasutuste poolt põhiküsimuste kokkuvõtte kohta esitatavate märkuste maksimaalse pikkuse.

6.Juhtumeid, kus ükski asjaomane järelevalveasutus ei esita märkusi käesoleva artikli lõike 3 alusel, loetakse eriarvamusteta juhtumiteks. Sel juhul teatatakse uurimisalustele isikutele artiklis 14 osutatud esialgsetest järeldustest üheksa kuu jooksul pärast käesoleva artikli lõikes 3 sätestatud tähtaja möödumist.

Artikkel 10

Konsensuse saavutamise vahendite kasutamine

1.Asjaomane järelevalveasutus esitab määruse (EL) 2016/679 artikli 61 või artikli 62 või mõlema alusel taotluse juhtivale järelevalveasutusele, kui pärast asjaomaste järelevalveasutuste märkuste esitamist artikli 9 lõike 3 kohaselt see asjaomane järelevalveasutus ei nõustu juhtiva järelevalveasutuse hinnanguga järgmise kohta:

(a)kaebusepõhise juhtumi uurimise ulatus, sealhulgas määruse (EL) 2016/679 sätted, mis on seotud väidetava rikkumisega, mida uuritakse;

(b)esialgne ülevaade keerukate õiguslike asjaolude hindamisest, mille juhtiv järelevalveasutus on kindlaks määranud vastavalt artikli 9 lõike 2 punktile c;

(c)esialgne ülevaade keerukate tehnoloogiliste asjaolude hindamisest, mille juhtiv järelevalveasutus on kindlaks määranud vastavalt artikli 9 lõike 2 punktile c.

2.Lõike 1 kohane taotlus esitatakse kahe kuu jooksul pärast artikli 9 lõikes 3 osutatud tähtaja möödumist.

3.Juhtiv järelevalveasutus teeb asjaomaste järelevalveasutustega koostööd, tuginedes nende märkustele põhiküsimuste kokkuvõtte kohta ning vajaduse korral reageerides määruse (EL) 2016/679 artiklite 61 ja 62 kohastele taotlustele, et jõuda konsensuseni. Konsensuse alusel jätkab juhtiv järelevalveasutus uurimist ja koostab esialgsed järeldused või edastab vajaduse korral järelevalveasutusele, kellele kaebus esitati, oma põhjendused artikli 11 lõike 2 kohaldamiseks.

4.Kui kaebusepõhise uurimise käigus ei jõua juhtiv järelevalveasutus ja üks või mitu asjaomast järelevalveasutust käesoleva määruse artikli 9 lõike 2 punktis b osutatud küsimuses konsensuseni, taotleb juhtiv järelevalveasutus andmekaitsenõukogult määruse (EL) 2016/679 artikli 66 lõike 3 alusel kiireloomulist siduvat otsust. Sellisel juhul eeldatakse, et määruse (EL) 2016/679 artikli 66 lõike 3 kohase kiireloomulise siduva otsuse taotlemise tingimused on täidetud.

5.Kui juhtiv järelevalveasutus taotleb andmekaitsenõukogult käesoleva artikli lõike 4 kohaselt kiireloomulist siduvat otsust, esitab ta kõik järgmised andmed:

(a)artikli 9 lõike 2 punktides a ja b osutatud dokumendid;

(b)selle asjaomase järelevalveasutuse märkused, kes ei ole nõus uurimise esialgse ulatusega, mille juhtiv järelevalveasutus on kindlaks määranud.

6.Andmekaitsenõukogu võtab asjaomaste järelevalveasutuste märkuste ja juhtiva järelevalveasutuse seisukoha põhjal vastu kiireloomulise siduva otsuse uurimise ulatuse kohta.

2. jagu

Kaebuste täielik või osaline tagasilükkamine

Artikkel 11

Kaebuse esitaja ärakuulamine enne kaebuse täielikku või osalist tagasilükkamist

1.Artiklites 9 ja 10 sätestatud menetluse kohaselt esitab juhtiv järelevalveasutus sellele järelevalveasutusele, kellele kaebus esitati, põhjused, miks tema esialgne seisukoht on, et kaebus tuleks täielikult või osaliselt tagasi lükata.

2.Järelevalveasutus, kellele kaebus esitati, teavitab kaebuse esitajat kaebuse kavandatava täieliku või osalise tagasilükkamise põhjustest ning määrab tähtaja, mille jooksul kaebuse esitaja võib oma seisukohad kirjalikult teatavaks teha. Tähtaeg ei tohi olla lühem kui kolm nädalat. Järelevalveasutus, kellele kaebus esitati, teavitab kaebuse esitajat seisukohtade esitamata jätmise tagajärgedest.

3.Kaebus loetakse tagasivõetuks, kui kaebuse esitaja ei esita oma seisukohti selle järelevalveasutuse määratud tähtaja jooksul, kellele kaebus esitati.

4.Kaebuse esitaja võib taotleda juurdepääsu mittekonfidentsiaalsele versioonile dokumentidest, millel põhineb kaebuse kavandatav tagasilükkamine.

5.Kui kaebuse esitaja esitab oma seisukohad selle järelevalveasutuse määratud tähtaja jooksul, kellele kaebus esitati, ja need seisukohad ei muuda esialgset seisukohta kaebuse täieliku või osalise tagasilükkamise kohta, koostab see järelevalveasutus, kellele kaebus esitati, määruse (EL) 2016/679 artikli 60 lõike 3 kohase otsuse eelnõu, mille juhtiv järelevalveasutus esitab teistele asjaomastele järelevalveasutustele vastavalt määruse (EL) 2016/679 artikli 60 lõikele 3.

Artikkel 12

Muudetud otsuse eelnõu kaebuse täieliku või osalise tagasilükkamise kohta

1.Kui juhtiv järelevalveasutus leiab, et muudetud otsuse eelnõu määruse (EL) 2016/679 artikli 60 lõike 5 tähenduses sisaldab elemente, mille kohta kaebuse esitaja peaks saama teha oma seisukohad teatavaks, annab järelevalveasutus, kellele kaebus esitati, enne määruse (EL) 2016/679 artikli 60 lõike 5 kohast muudetud otsuse eelnõu esitamist kaebuse esitajale võimaluse teha teatavaks oma seisukohad selliste uute elementide kohta.

2.Järelevalveasutus, kellele kaebus esitati, määrab tähtaja, mille jooksul kaebuse esitaja võib oma seisukohad teatavaks teha.

Artikkel 13

Otsus kaebuse täieliku või osalise tagasilükkamise kohta

Kui järelevalveasutus, kellele kaebus esitati, võtab vastu otsuse kaebuse täieliku või osalise tagasilükkamise kohta kooskõlas määruse (EL) 2016/679 artikli 60 lõikega 8, teatab ta kaebuse esitajale, et kooskõlas määruse (EL) 2016/679 artikliga 78 on kaebuse esitajal õigus õiguskaitsevahendile.

3. jagu

Vastutavatele töötlejatele ja volitatud töötlejatele adresseeritud otsused

Artikkel 14

Esialgsed järeldused ja vastus

1.Kui juhtiv järelevalveasutus kavatseb esitada teistele asjaomastele järelevalveasutustele määruse (EL) 2016/679 artikli 60 lõike 3 kohase otsuse eelnõu, milles on tuvastatud määruse (EL) 2016/679 rikkumine, koostab ta esialgsed järeldused.

2.Esialgsetes järeldustes kirjeldatakse tõstatatud väiteid ammendavalt ja piisavalt selgelt, et uurimisalustel isikutel oleks võimalik tutvuda juhtiva järelevalveasutuse läbi viidud uurimisega. Eelkõige tuleb selgelt kirjeldada kõiki uurimisaluste isikute vastu esitatud fakte ja kogu õiguslikku hinnangut , et nad saaksid väljendada oma seisukohti nende faktide ja õiguslike järelduste kohta, mille juhtiv järelevalveasutus kavatseb esitada otsuse eelnõus määruse (EL) 2016/679 artikli 60 lõike 3 tähenduses, ning loetleda kõik tõendid, millele juhtiv järelevalveasutus tugineb.

Esialgsetes järeldustes näidatakse ära parandusmeetmed, mida juhtiv järelevalveasutus kavatseb kasutada.

Kui juhtiv järelevalveasutus kavatseb määrata trahvi, loetleb ta esialgsetes järeldustes asjaomased elemendid, millele ta trahvi arvutamisel tugineb. Eelkõige loetleb juhtiv järelevalveasutus olulised faktid ja õiguslikud asjaolud, mis võivad kaasa tuua trahvi määramise, ning määruse (EL) 2016/679 artikli 83 lõikes 2 loetletud elemendid, sealhulgas mis tahes raskendavad või kergendavad asjaolud, mida ta võtab arvesse.

3.Juhtiv järelevalveasutus teavitab iga uurimisalust isikut esialgsetest järeldustest.

4.Uurimisaluseid isikuid esialgsetest järeldustest teavitades määrab juhtiv järelevalveasutus tähtaja, mille jooksul need isikud võivad esitada kirjalikult oma seisukohad. Juhtiv järelevalveasutus ei ole kohustatud võtma arvesse pärast kõnealuse tähtaja möödumist saadud kirjalikke seisukohti.

5.Kui juhtiv järelevalveasutus teavitab uurimisaluseid isikuid esialgsetest järeldustest, võimaldab ta neile kooskõlas artikliga 20 juurdepääsu haldustoimikule.

6.Uurimisalused isikud võivad oma kirjalikus vastuses esialgsetele järeldustele esitada kõik neile teadaolevad faktid ja õiguslikud argumendid, mis on olulised nende kaitsmiseks juhtiva järelevalveasutuse väidete vastu. Esitatud faktide tõendamiseks lisavad nad kõik asjaomased dokumendid. Juhtiv järelevalveasutus käsitleb oma otsuse eelnõus üksnes neid väiteid, sealhulgas fakte ja nendel faktidel põhinevat õiguslikku hinnangut, mille kohta on uurimisalustele isikutele antud võimalus esitada märkusi.

Artikkel 15

Esialgsete järelduste edastamine kaebuse esitajatele

1.Kui juhtiv järelevalveasutus teeb esialgsed järeldused küsimuses, mille kohta ta on saanud kaebuse, annab järelevalveasutus, kellele kaebus esitati, kaebuse esitajale esialgsete järelduste mittekonfidentsiaalse versiooni ja määrab tähtaja, mille jooksul kaebuse esitaja võib teha kirjalikult oma seisukohad teatavaks.

2.Lõiget 1 kohaldatakse ka juhul, kui järelevalveasutus menetleb vajaduse korral mitut kaebust ühiselt, jagab kaebused mitmeks osaks või kasutab mis tahes muul viisil oma kaalutlusõigust seoses uurimise ulatusega, mis on kindlaks määratud esialgsetes järeldustes.

3.Kui juhtiv järelevalveasutus leiab, et kaebuse esitajal on vaja haldustoimikus sisalduvaid dokumente, et teha tulemuslikult teatavaks oma seisukohad esialgsete järelduste kohta, annab järelevalveasutus, kellele kaebus esitati, lõike 1 kohaste esialgsete järelduste esitamisel kaebuse esitajale selliste dokumentide mittekonfidentsiaalse versiooni.

4.Kaebuse esitajale antakse esialgsete järelduste mittekonfidentsiaalne versioon üksnes selle konkreetse uurimise eesmärgil, mille käigus on need esialgsed järeldused tehtud.

5.Enne esialgsete järelduste mittekonfidentsiaalse versiooni ja lõike 3 kohaselt esitatud dokumentide saamist saadab kaebuse esitaja juhtivale järelevalveasutusele konfidentsiaalsuse deklaratsiooni, millega kaebuse esitaja kohustub mitte avalikustama esialgsete järelduste mittekonfidentsiaalses versioonis sisalduvat mis tahes teavet või hinnangut ega kasutama neid järeldusi muul eesmärgil kui konkreetne uurimine, mille käigus on need järeldused tehtud.

Artikkel 16

Lõpliku otsuse vastuvõtmine

Pärast otsuse eelnõu esitamist asjaomastele järelevalveasutustele vastavalt määruse (EL) 2016/679 artikli 60 lõikele 3 ja juhul, kui ükski asjaomane järelevalveasutus ei ole määruse (EL) 2016/679 artikli 60 lõigetes 4 ja 5 osutatud ajavahemike jooksul otsuse eelnõu kohta vastuväiteid esitanud, võtab juhtiv järelevalveasutus vastu määruse (EL) 2016/679 artikli 60 lõike 7 kohase otsuse ja teeb selle teatavaks vastutava töötleja või volitatud töötleja peamisele tegevuskohale või, olenevalt asjaoludest, ainsale tegevuskohale ning teatab kõnealusest otsusest asjaomastele järelevalveasutustele ja andmekaitsenõukogule, lisades kokkuvõtte asjaomastest asjaoludest ja põhjendustest.

Artikkel 17

Õigus olla ära kuulatud seoses muudetud otsuse eelnõuga

1.Kui juhtiv järelevalveasutus leiab, et muudetud otsuse eelnõu määruse (EL) 2016/679 artikli 60 lõike 5 tähenduses sisaldab elemente, mille kohta uurimisalused isikud peaksid saama teha oma seisukohad teatavaks, annab juhtiv järelevalveasutus enne määruse (EL) 2016/679 artikli 60 lõike 5 kohast muudetud otsuse eelnõu esitamist uurimisalustele isikutele võimaluse teha teatavaks oma seisukohad selliste uute elementide kohta.

2.Juhtiv järelevalveasutus määrab tähtaja, mille jooksul uurimisalused isikud võivad oma seisukohad teatavaks teha.

4. jagu

Asjakohased ja põhjendatud vastuväited

Artikkel 18

Asjakohased ja põhjendatud vastuväited

1.Asjakohased ja põhjendatud vastuväited määruse (EL) 2016/679 artikli 4 punkti 24 tähenduses

(a)peavad põhinema üksnes otsuse eelnõus sisalduvatel faktilistel asjaoludel ja

(b)ei tohi muuta väidete ulatust, tõstatades küsimusi, mis kujutaksid endast täiendavaid väiteid määruse (EL) 2016/679 rikkumise kohta või muudaksid esitatud väidete sisulist olemust.

2.Asjakohaste ja põhjendatud vastuväidete vorm ja struktuur peavad vastama kõikidele järgmistele nõuetele:

(a)iga asjakohase ja põhjendatud vastuväite pikkus ning juhtiva järelevalveasutuse seisukoht selliste vastuväidete kohta ei tohi ületada kolme lehekülge ega sisaldada lisasid. Eriti keerukate õiguslike küsimustega seotud juhtudel võib maksimaalset pikkust suurendada kuue leheküljeni, välja arvatud juhul, kui andmekaitsenõukogu nõustub, et konkreetsete asjaolude tõttu on suurem pikkus põhjendatud;

(b)asjaomase järelevalveasutuse lahkarvamus otsuse eelnõu suhtes esitatakse asjakohase ja põhjendatud vastuväite alguses ning see sõnastatakse piisavalt selgesti, sidusalt ja täpselt, et juhtiv järelevalveasutus, ning olenevalt olukorrast, asjaomased järelevalveasutused saaksid oma seisukohad ette valmistada ja andmekaitsenõukogu saaks vaidluse tulemuslikult lahendada;

(c)õiguslikud argumendid esitatakse ja rühmitatakse, viidates otsuse eelnõu sellele osale, millega need on seotud. Igale argumendile või argumentide rühmale eelneb üldjuhul kokkuvõte.

IV peatükk

Juurdepääs haldustoimikule ja konfidentsiaalse teabe käsitlemine

Artikkel 19

Haldustoimiku sisu

1.Määruse (EL) 2016/679 väidetavat rikkumist käsitleva uurimise haldustoimik sisaldab kõiki dokumente, mille juhtiv järelevalveasutus on uurimise kestel saanud, koostanud ja/või kogunud.

2.Määruse (EL) 2016/679 väidetava rikkumise uurimise käigus võib juhtiv järelevalveasutus tagastada dokumendid, mille kohta on pärast üksikasjalikumat uurimist selgunud, et need ei ole uurimise esemega seotud, isikule, kellelt need saadi. Pärast tagastamist ei kuulu need dokumendid enam haldustoimikusse.

3.Haldustoimikuga tutvumise õigus ei laiene juhtiva järelevalveasutuse ja asjaomaste järelevalveasutuste vahelisele kirjavahetusele ja arvamuste vahetusele. Konkreetse juhtumi uurimiseks järelevalveasutuste vahel vahetatav teave kuulub asutusesiseste dokumentide hulka ning uurimisalused isikud ega kaebuse esitaja ei saa sellele juurdepääsu.

4.Juurdepääs määruse (EL) 2016/679 artikli 60 lõike 4 kohastele asjakohastele ja põhjendatud vastuväidetele antakse vastavalt artiklile 24.

Artikkel 20

Juurdepääs haldustoimikule ja dokumentide kasutamine

1.Juhtiv järelevalveasutus annab uurimisalustele isikutele juurdepääsu haldustoimikule, võimaldades neil kasutada oma õigust olla ära kuulatud. Juurdepääs haldustoimikule antakse pärast seda, kui juhtiv järelevalveasutus teavitab uurimisaluseid isikuid esialgsetest järeldustest.

2.Haldustoimik sisaldab kõiki dokumente, nii süüstavaid kui ka kaitsvaid dokumente, sealhulgas uurimisalustele isikutele teadaolevaid fakte ja dokumente.

3.Juhtiva järelevalveasutuse järeldused määruse (EL) 2016/679 artikli 60 lõike 3 kohases otsuse eelnõus ja määruse (EL) 2016/679 artikli 60 lõike 7 kohases lõplikus otsuses võivad tugineda üksnes dokumentidele, millele on viidatud esialgsetes järeldustes või mille kohta oli uurimisalustel isikutel võimalus oma seisukohad teatavaks teha.

4.Käesoleva artikli kohaselt haldustoimikule juurdepääsemise käigus saadud dokumente kasutatakse üksnes kohtu- või haldusmenetlustes määruse (EL) 2016/679 kohaldamiseks konkreetsel juhul, milleks sellised dokumendid esitati.

Artikkel 21

Konfidentsiaalse teabe kindlaksmääramine ja kaitse

1.Kui käesolevas määruses ei ole sätestatud teisiti, ei tohi järelevalveasutus edastada või teha kättesaadavaks teavet, mille järelevalveasutus on kogunud või saanud piiriüleste juhtumite korral määruse (EL) 2016/679 alusel, sealhulgas sellist teavet sisaldavaid mis tahes dokumente, kui see teave sisaldab mõne isiku ärisaladusi või muud konfidentsiaalset teavet.

2.Juurdepääsu mis tahes teabele, mida järelevalveasutus on kogunud või saanud piiriüleste juhtumite korral määruse (EL) 2016/679 alusel, sealhulgas sellist teavet sisaldavatele dokumentidele, ei saa taotleda ametlikele dokumentidele üldsuse juurdepääsu käsitlevate õigusaktide alusel seni, kui menetlus on pooleli.

3.Uurimisalustele isikutele esialgsete järelduste edastamise ja haldustoimikule juurdepääsu võimaldamise korral artikli 20 alusel tagab juhtiv järelevalveasutus, et uurimisalused isikud, kellele antakse juurdepääs ärisaladusi või muud konfidentsiaalset teavet sisaldavale teabele, käsitlevad sellist teavet täiel määral konfidentsiaalsuse põhimõtet järgides ning et sellist teavet ei kasutata teabe esitaja kahjustamiseks. Sõltuvalt teabe konfidentsiaalsuse astmest võtab juhtiv järelevalveasutus vastu sobiva korra, millega tagada uurimisaluste isikute kaitseõiguse täiel määral rakendumine, võttes nõuetekohaselt arvesse teabe konfidentsiaalsust.

4.Üksus, kes esitab teavet, mida ta peab konfidentsiaalseks, märgistab selgelt teabe, mida ta peab konfidentsiaalseks, ning põhjendab väidetavat konfidentsiaalsust. Üksus esitab eraldi mittekonfidentsiaalse versiooni.

5.Ilma et see piiraks lõike 4 kohaldamist, võib juhtiv järelevalveasutus nõuda, et uurimisalused isikud või määruse (EL) 2016/679 kohaselt dokumente esitavad isikud märgistaksid dokumendid või dokumentide osad, mis nende arvates sisaldavad ärisaladusi või muud neile kuuluvat konfidentsiaalset teavet, ja määraksid kindlaks, milliste isikute jaoks loetakse neid dokumente konfidentsiaalseks.

6.Juhtiv järelevalveasutus võib määrata uurimisalustele isikutele ja teistele konfidentsiaalsusnõude esitanud isikutele tähtaja, mille jooksul nad

(a)põhjendavad oma väiteid ärisaladuste ja muu konfidentsiaalse teabe kohta iga dokumendi või dokumendi osa, avalduse või avalduse osa puhul;

(b)esitavad dokumentide ja avalduste mittekonfidentsiaalse versiooni, millest on välja jäetud ärisaladused ja muu konfidentsiaalne teave;

(c)esitavad iga välja jäetud teabeosa kohta täpse ja mittekonfidentsiaalse kirjelduse.

7.Kui uurimisalused isikud või mõni muu isik ei täida lõigete 4 ja 5 sätteid, võib juhtiv järelevalveasutus eeldada, et asjaomased dokumendid või avaldused ei sisalda ärisaladusi ega muud konfidentsiaalset teavet.

V peatükk

Vaidluste lahendamine

Artikkel 22

Vaidluste lahendamisele suunamine määruse (EL) 2016/679 artikli 65 alusel

1.Kui juhtiv järelevalveasutus ei järgi asjakohaseid ja põhjendatud vastuväiteid või on arvamusel, et vastuväited ei ole asjakohased ega põhjendatud, esitab ta sisulise küsimuse käsitlemiseks määruse (EL) 2016/679 artiklis 65 sätestatud vaidluste lahendamise mehhanismi raames.

2.Sisulise küsimuse vaidluste lahendamise mehhanismi suunamise korral esitab juhtiv järelevalveasutus andmekaitsenõukogule kõik järgmised dokumendid:

(a)otsuse eelnõu või muudetud otsuse eelnõu, mille kohta kõnealused asjakohased ja põhjendatud vastuväited on esitatud;

(b)asjaomaste faktide kokkuvõte;

(c)esialgsed järeldused;

(d)uurimisaluste isikute kirjalik seisukoht vastavalt artiklitele 14 ja 17;

(e)kaebuse esitajate kirjalikud seisukohad vastavalt artiklitele 11, 12 ja 15;

(f)asjakohased ja põhjendatud vastuväited, mida juhtiv järelevalveasutus ei järginud;

(g)põhjendused, miks juhtiv järelevalveasutus ei järginud asjakohaseid ja põhjendatud vastuväiteid või leidis, et vastuväited ei ole asjakohased ega põhjendatud.

3.Nelja nädala jooksul alates lõikes 2 loetletud dokumentide saamisest määrab andmekaitsenõukogu kindlaks, millistest asjakohastest ja põhjendatud vastuväidetest ei loobuta.

Artikkel 23

Registreerimine seoses määruse (EL) 2016/679 artikli 65 lõike 1 punkti a kohase otsusega

Andmekaitsenõukogu eesistuja registreerib sisulise küsimuse suunamise vaidluse lahendamiseks vastavalt määruse (EL) 2016/679 artikli 65 lõike 1 punktile a hiljemalt üks nädal pärast kõigi järgmiste dokumentide kättesaamist:

(a)otsuse eelnõu või muudetud otsuse eelnõu, mille kohta kõnealused asjakohased ja põhjendatud vastuväited on esitatud;

(b)asjaomaste faktide kokkuvõte;

(c)uurimisaluste isikute kirjalik seisukoht vastavalt artiklitele 14 ja 17;

(d)kaebuse esitajate kirjalikud seisukohad vastavalt artiklitele 11, 12 ja 15;

(e)asjakohased ja põhjendatud vastuväited, millest ei loobuta;

(f)põhjendused, miks juhtiv järelevalveasutus ei järginud asjakohaseid ja põhjendatud vastuväiteid, millest ei loobuta.

Artikkel 24

Põhjenduste esitamine enne määruse (EL) 2016/679 artikli 65 lõike 1 punkti a kohase otsuse vastuvõtmist

1.Enne siduva otsuse vastuvõtmist vastavalt määruse (EL) 2016/679 artikli 65 lõike 1 punktile a esitab andmekaitsenõukogu eesistuja juhtiva järelevalveasutuse kaudu uurimisalustele isikutele ja/või kaebuse täieliku või osalise tagasilükkamise korral kaebuse esitajale põhjendused, milles selgitatakse põhjendusi, mida andmekaitsenõukogu kavatseb oma otsuses kasutada. Kui andmekaitsenõukogu kavatseb vastu võtta siduva otsuse, mille kohaselt juhtiv järelevalveasutus peab oma otsuse eelnõu või muudetud otsuse eelnõu muutma, otsustab andmekaitsenõukogu, kas sellistele põhjendustele tuleks lisada need asjakohased ja põhjendatud vastuväited, millest ei loobuta ning mille alusel andmekaitsenõukogu kavatseb oma otsuse vastu võtta.

2.Uurimisalustel isikutel ja/või kaebuse täieliku või osalise tagasilükkamise korral kaebuse esitajal on oma seisukohtade teatavaks tegemiseks aega üks nädal alates lõikes 1 osutatud põhjenduste kättesaamisest.

3.Lõikes 2 sätestatud tähtaega pikendatakse ühe nädala võrra, kui andmekaitsenõukogu pikendab siduva otsuse vastuvõtmise tähtaega kooskõlas määruse (EL) 2016/679 artikli 65 lõikega 2.

4.Määruse (EL) 2016/679 artikli 65 lõikes 2 sätestatud andmekaitsenõukogu siduva otsuse vastuvõtmise tähtaeg lõigetes 2 ja 3 sätestatud ajavahemike jooksul ei kulge.

Artikkel 25

Määruse (EL) 2016/679 artikli 65 lõike 1 punkti b kohase otsusega seotud menetlus

1.Järelevalveasutus, kes suunab määruse 2016/679 artikli 65 lõike 1 punkti b alusel andmekaitsenõukogule sisulise küsimuse peamise tegevuskoha jaoks pädeva järelevalveasutuse kohta, esitab andmekaitsenõukogule kõik järgmised dokumendid:

(a)asjaomaste faktide kokkuvõte;

(b)hinnang nende faktide kohta, kuivõrd need on seotud määruse (EL) 2016/679 artikli 56 lõikes 1 sätestatud tingimustega;

(c)selle vastutava töötleja või volitatud töötleja seisukohad, kelle peamisse tegevuskohta küsimus suunati;

(d)teiste suunamisega seotud asjaomaste järelevalveasutuste seisukohad;

(e)mis tahes muu dokument või teave, mida suunamise teinud järelevalveasutus peab asjakohaseks ja vajalikuks, et leida lahendus kõnealuses sisulises küsimuses.

2.Andmekaitsenõukogu eesistuja registreerib suunamise hiljemalt üks nädal pärast lõikes 1 osutatud dokumentide kättesaamist.

Artikkel 26

Määruse (EL) 2016/679 artikli 65 lõike 1 punkti c kohase otsusega seotud menetlus

1.Järelevalveasutus, kes suunab määruse (EL) 2016/679 artikli 65 lõike 1 punkti c alusel andmekaitsenõukogule sisulise küsimuse, või komisjon esitab andmekaitsenõukogule kõik järgmised dokumendid:

(a)asjaomaste faktide kokkuvõte;

(b)vajaduse korral määruse (EL) 2016/679 artikli 64 kohaselt andmekaitsenõukogu esitatud arvamus;

(c)sisulise küsimuse suunanud järelevalveasutuse või komisjoni seisukohad selle kohta, kas järelevalveasutus oli määruse (EL) 2016/679 artikli 64 lõike 1 kohaselt kohustatud edastama andmekaitsenõukogule otsuse eelnõu või kas järelevalveasutus ei järginud määruse (EL) 2016/679 artikli 64 kohaselt esitatud andmekaitsenõukogu arvamust.

2.Andmekaitsenõukogu eesistuja nõuab järgmisi dokumente:

(a)järelevalveasutuse seisukohad, mis väidetavalt on rikkunud nõuet edastada andmekaitsenõukogu otsuse eelnõu või ei ole järginud andmekaitsenõukogu arvamust;

(b)mis tahes muu dokument või teave, mida järelevalveasutus peab asjakohaseks ja vajalikuks, et leida selles sisulises küsimuses lahendus.

Kui mõni järelevalveasutus teatab, et tal on vaja esitada lahendamisele suunatud sisulises küsimuses oma seisukoht, esitab ta selle seisukoha kahe nädala jooksul pärast lõikes 1 osutatud suunamist.

3.Andmekaitsenõukogu eesistuja registreerib suunamise hiljemalt üks nädal pärast lõigetes 1 ja 2 osutatud dokumentide kättesaamist.

VI peatükk

Kiirmenetlus

Artikkel 27

Määruse (EL) 2016/679 artikli 66 lõike 2 kohased kiireloomulised arvamused

1.Taotlus andmekaitsenõukogu kiireloomulise arvamuse saamiseks vastavalt määruse (EL) 2016/679 artikli 66 lõikele 2 esitatakse hiljemalt kolm nädalat enne määruse (EL) 2016/679 artikli 66 lõike 1 kohaselt vastu võetud ajutiste meetmete kehtivuse lõppemist ja see sisaldab kõiki järgmisi andmeid:

(a)asjaomaste faktide kokkuvõte;

(b)järelevalveasutuse territooriumil võetud ajutise meetme kirjeldus, selle kestus ja vastuvõtmise põhjused, sealhulgas põhjendus, miks andmesubjektide õiguste ja vabaduste kaitsmiseks on vaja kiiresti tegutseda;

(c)põhjendus lõplike meetmete võtmise kiireloomulisuse kohta taotluse esitanud järelevalveasutuse liikmesriigi territooriumil, sealhulgas selgitus asjaomaste meetmete võtmist tingivate asjaolude erandlikkuse kohta.

2.Andmekaitsenõukogu kiireloomuline arvamus adresseeritakse taotluse esitanud järelevalveasutusele. See peab olema sarnane arvamusele määruse (EL) 2016/679 artikli 64 lõike 1 tähenduses ja võimaldama taotleval asutusel jääda oma ajutise meetme juurde või muuta seda kooskõlas määruse (EL) 2016/679 artikli 64 lõikes 7 sätestatud kohustustega.

Artikkel 28

Määruse (EL) 2016/679 artikli 66 lõike 2 kohased kiireloomulised otsused

1.Taotlus andmekaitsenõukogu kiireloomulise otsuse tegemiseks vastavalt määruse (EL) 2016/679 artikli 66 lõikele 2 esitatakse hiljemalt kolm nädalat enne määruse (EL) 2016/679 artikli 61 lõike 8, artikli 62 lõike 7 või artikli 66 lõike 1 kohaselt vastu võetud ajutiste meetmete kehtivuse lõppemist. Taotlus peab sisaldama kõiki järgmisi andmeid:

(a)asjaomaste faktide kokkuvõte;

(b)otsust taotleva järelevalveasutuse liikmesriigi territooriumil võetud ajutine meede, selle kestus ja vastuvõtmise põhjused, eelkõige põhjendus, miks andmesubjektide õiguste ja vabaduste kaitsmiseks on vaja kiiresti tegutseda;

(c)teave järelevalveasutuse territooriumil võetud uurimismeetmete kohta ja uurimisaluste isikute kohalikust tegevuskohast saadud vastused või mis tahes muu teave, mis on taotluse esitanud järelevalveasutuse valduses;

(d)taotluse esitanud järelevalveasutuse territooriumil lõplike meetmete võtmise kiireloomulisuse põhjendus, pidades silmas lõpliku meetme võtmist tingivate asjaolude erandlikkust, või tõend selle kohta, et järelevalveasutus on jätnud vastamata määruse (EL) 2016/679 artikli 61 lõike 3 või artikli 62 lõike 2 kohasele taotlusele;

(e)juhtiva järelevalveasutuse seisukohad, kui taotlev asutus ei ole juhtiv järelevalveasutus;

(f)vajaduse korral nende uurimisaluste isikute kohaliku tegevuskoha seisukohad, kelle suhtes võeti ajutisi meetmeid vastavalt määruse (EL) 2016/679 artikli 66 lõikele 1.

2.Lõikes 1 osutatud kiireloomuline otsus adresseeritakse taotluse esitanud järelevalveasutusele ja see võimaldab taotluse esitanud asutusel jääda oma ajutise meetme juurde või muuta seda.

3.Kui andmekaitsenõukogu võtab vastu kiireloomulise siduva otsuse, milles märgitakse, et vastu tuleks võtta lõplikud meetmed, võtab järelevalveasutus, kellele otsus adresseeriti, sellised meetmed vastu enne määruse (EL) 2016/679 artikli 66 lõike 1 kohaselt vastu võetud ajutiste meetmete kehtivuse lõppemist.

4.Lõikes 1 osutatud taotluse esitanud järelevalveasutus teavitab oma otsusest lõplike meetmete kohta vastutava töötleja või volitatud töötleja tegevuskohta oma liikmesriigi territooriumil ning samuti andmekaitsenõukogu. Kui juhtiv järelevalveasutus ei ole taotluse esitanud asutus, teavitab taotluse esitanud asutus juhtivat järelevalveasutust lõplikust meetmest.

5.Kui kiireloomulisest siduvast otsusest nähtub, et lõplikke meetmeid ei ole vaja kiiresti vastu võtta, järgivad juhtiv järelevalveasutus ja asjaomased järelevalveasutused määruse (EL) 2016/679 artiklis 60 sätestatud menetlust.

VII peatükk

Üld- ja lõppsätted

Artikkel 29

Ajavahemike algus ja tööpäeva määratlus

1.Määruses (EL) 2016/679 sätestatud või selle määruse kohaselt järelevalveasutuste määratud tähtajad arvutatakse vastavalt nõukogu määrusele (EMÜ, Euratom) nr 1182/71 17 .

2.Tähtajad algavad tööpäeval, mis järgneb määruse (EL) 2016/679 või käesoleva määruse asjaomases sättes osutatud sündmusele.

Artikkel 30

Üleminekusätted

III ja IV peatükki kohaldatakse ex officio uurimiste suhtes, mis on algatatud pärast käesoleva määruse jõustumist, ja kaebusepõhiste uurimiste suhtes, kui kaebus on esitatud pärast käesoleva määruse jõustumist.

V peatükki kohaldatakse kõigi juhtumite suhtes, mis on esitatud vaidluse lahendamiseks määruse (EL) 2016/679 artikli 65 alusel pärast käesoleva määruse jõustumist.

Artikkel 31

Jõustumine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel,

(1)    Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88).

(2)    Komisjoni teatis Euroopa Parlamendile ja nõukogule „Andmekaitse kodanike võimestajana ja ELi valmistumine digiüleminekuks – isikuandmete kaitse üldmääruse kohaldamise kaks esimest aastat“ (COM(2020) 264 final).

(3)    Euroopa Parlamendi 25. märtsi 2021. aasta resolutsioon, mis käsitleb komisjoni hindamisaruannet isikuandmete kaitse üldmääruse rakendamise kohta kaks aastat pärast selle kohaldamise algust (2020/2717(RSP)).

(4)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_et .

(5)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf .

(6)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=et&do=groupDetail.groupDetail&groupID=3537 .

(7)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=et&do=groupDetail.groupDetail&groupID=3461 .

(8)     https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-programme-2023_en . 

(9)    Komisjoni teatis Euroopa Parlamendile ja nõukogule „Andmekaitse kodanike võimestajana ja ELi valmistumine digiüleminekuks – isikuandmete kaitse üldmääruse kohaldamise kaks esimest aastat“ (COM(2020) 264 final).

(10)    Komisjoni talituste töödokument, mis on lisatud komisjoni teatisele Euroopa Parlamendile ja nõukogule „Andmekaitse kodanike võimestajana ja ELi valmistumine digiüleminekuks – isikuandmete kaitse üldmääruse kohaldamise kaks esimest aastat“ (SWD(2020) 115 final).

(11)    Euroopa Parlamendi 25. märtsi 2021. aasta resolutsioon, mis käsitleb komisjoni hindamisaruannet isikuandmete kaitse üldmääruse rakendamise kohta kaks aastat pärast selle kohaldamise algust (2020/2717(RSP)).

(12)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_et .

(13)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf . 

(14)    ELT C , , lk .

(15)    ELT C , , lk .

(16)    Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

(17)    Nõukogu 3. juuni 1971. aasta määrus (EMÜ, Euratom) nr 1182/71, millega määratakse kindlaks ajavahemike, kuupäevade ja tähtaegade suhtes kohaldatavad eeskirjad (EÜT L 124, 8.6.1971, lk 1).

EUROOPA KOMISJON

Brüssel,4.7.2023

COM(2023) 348 final

LISA

järgmise dokumendi juurde:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

millega kehtestatakse määruse (EL) 2016/679 täitmise tagamisega seotud täiendavad menetlusnormid

LISA

(1)    Kaebus tuleks täita ja esitada elektrooniliselt või täita ning esitada järelevalveasutusele posti teel.

(2)    Näiteks pass, juhiluba, riiklik isikutunnistus.

(3)    Kui kaebuse esitab määruse (EL) 2016/679 artiklis 80 osutatud organ, tuleks esitada kogu punktis 2 nõutav teave.