KOMISJA EUROPEJSKA

Bruksela, dnia 4.7.2023

COM(2023) 348 final

2023/0202(COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

ustanawiające dodatkowe przepisy proceduralne dotyczące egzekwowania rozporządzenia (UE) 2016/679

UZASADNIENIE

1.KONTEKST WNIOSKU

•Przyczyny i cele wniosku

·Skargi: są zasadniczym źródłem informacji, które pozwalają na wykrycie naruszeń przepisów o ochronie danych. Organy ochrony danych odmiennie interpretują wymogi dotyczące formularza skarg, udziału skarżących w procedurze i odrzucania skarg. Tytułem przykładu: skarga przyjęta przez niektóre organy ochrony danych zostałaby odrzucona przez inne na takiej podstawie, że przedstawione w niej informacje są niewystarczające; niektóre organy ochrony danych przyznają skarżącym prawa na równi ze stronami objętymi postępowaniem, a inne nie uwzględniają skarżących lub dopuszczają ich udział w niezwykle ograniczonym stopniu; niektóre organy ochrony danych przyjmują formalną decyzję o odrzuceniu wszystkich skarg, których nie rozpatrują, a inne organy ochrony danych tego nie robią. Z rozbieżności tych wynika, że traktowanie skarg i udział skarżących w postępowaniu różnią się w zależności od tego, gdzie złożono skargę lub który organ ochrony danych jest w danej sprawie wiodący. W konsekwencji tych różnic dochodzi do opóźnienia zakończenia postępowania i zapewnienia osobie, której dane dotyczą, środka ochrony prawnej w sprawach transgranicznych. W rezolucji w sprawie sprawozdania Komisji z 2020 r. dotyczącego RODO Parlament Europejski podkreślił potrzebę wyjaśnienia sytuacji skarżących w przypadku skarg transgranicznych.

·Prawa procesowe stron objętych postępowaniem: prawo do obrony stanowi jedną z podstawowych zasad prawa Unii, której należy przestrzegać w każdych okolicznościach, w szczególności w postępowaniach, które mogą doprowadzić do nałożenia wysokich kar. Ponieważ w postępowaniach dotyczących naruszenia RODO potencjalne kary są surowe, strony objęte tym postępowaniem muszą korzystać z gwarancji podobnych do tych, które przewidziano w procesie karnym. Prawa procesowe stron objętych postępowaniem, w tym zakres prawa do bycia wysłuchanym i prawa do dostępu do akt, różnią się znacząco w poszczególnych państwach członkowskich. Zakres i termin wysłuchania stron oraz dokumenty przekazywane stronom w celu umożliwienia im wykonywania prawa do bycia wysłuchanym są różnie traktowane w różnych państwach członkowskich. Te odmienne podejścia nie zawsze są spójne z procedurą przewidzianą w art. 60 RODO, opartą na domniemaniu, że strony objęte postępowaniem skorzystały z należnych im praw procesowych zanim wiodący organ ochrony danych przedstawił projekt swojej decyzji. W przypadku skierowania sprawy do Europejskiej Rady Ochrony Danych w celu poddania tej sprawy procedurze rozstrzygania sporów może się okazać, że zakres wysłuchania stron w kwestiach wskazanych w projekcie decyzji i sprzeciwy organów ochrony danych, których sprawa dotyczy, znacznie się różnią. Co więcej, nie doprecyzowano zakresu, w jakim strony objęte postępowaniem powinny zostać wysłuchane podczas rozstrzygania sporów przez Europejską Radę Ochrony Danych na podstawie art. 65 RODO. Brak gwarancji przestrzegania prawa do bycia wysłuchanym może spowodować, że decyzje organów ochrony danych wykrywających naruszenia RODO będą bardziej narażone na kwestionowanie ich z prawnego punktu widzenia.

·Współpraca i rozstrzyganie sporów: w art. 60 RODO ogólnie zarysowano procedurę współpracy. W sprawach transgranicznych organy ochrony danych są zobowiązane wymieniać się „istotnymi informacjami” w celu osiągnięcia porozumienia. Gdy wiodący organ ochrony danych przedstawi projekt decyzji w danej sprawie, pozostałe organy ochrony danych mogą wnieść „uzasadniony sprzeciw mający znaczenie dla sprawy”. Wniesienie sprzeciwu zwiększa możliwość wszczęcia procedury rozstrzygania sporów (jeżeli wiodący organ ochrony danych takiego sprzeciwu nie uwzględni). Chociaż procedura rozstrzygania sporów przewidziana w art. 65 RODO jest istotna, aby zapewnić spójną interpretację RODO, powinna być ona zastrzeżona dla wyjątkowych przypadków, gdy rzetelna współpraca organów ochrony danych nie doprowadziła do porozumienia. Jak wynika z doświadczeń w zakresie stosowania RODO w sprawach transgranicznych, współpraca między organami ochrony danych przed przedstawieniem projektu decyzji przez wiodący organ ochrony danych jest niewystarczająca. Niedostateczna współpraca i brak porozumienia w zasadniczych kwestiach na tak wczesnym etapie postępowania spowodowały, że wiele spraw poddano procedurze rozstrzygania sporów.

Istnieją rozbieżności dotyczące formularzy i struktury uzasadnionych sprzeciwów mających znaczenie dla sprawy, wniesionych przez organy ochrony danych, których sprawa dotyczy, w trakcie współpracy transgranicznej. Różnice te utrudniają pomyślne zakończenie procedury rozstrzygania sporów i włączenie do niej wszystkich organów ochrony danych, których sprawa dotyczy, w szczególności organów ochrony danych mniejszych państw członkowskich, dysponujących mniejszymi zasobami niż organy ochrony danych większych państw członkowskich.

·W RODO nie przewidziano terminów różnych etapów współpracy i procedury rozstrzygania sporów. W świetle zróżnicowanej złożoności postępowań i swobody uznania, jaką organy ochrony danych dysponują w zakresie prowadzenia postępowań dotyczących naruszeń przepisów RODO, nie jest pożądane określenie terminów w odniesieniu do każdego etapu postępowania. W stosownych przypadkach narzucenie terminów pomoże jednak zapobiec zbędnej zwłoce w kończeniu spraw.

·Formularze skarg i sytuacja skarżących: we wniosku ustanowiono formularz wskazujący informacje wymagane w przypadku wszystkich skarg na podstawie art. 77 RODO, dotyczących transgranicznego przetwarzania, i określono przepisy proceduralne dotyczące udziału skarżących w procedurze, w tym ich prawa do przedstawienia opinii. We wniosku określono przepisy proceduralne dotyczące odrzucania skarg w sprawach transgranicznych i wyjaśniono role wiodącego organu ochrony danych i organu ochrony danych, do którego wniesiono skargę. We wniosku uznano również znaczenie i zgodność z prawem ugody w sprawach skargowych.

·Ukierunkowana harmonizacja praw procesowych w sprawach transgranicznych: we wniosku zapewniono stronom objętym postępowaniem prawo do bycia wysłuchanym na zasadniczych etapach procedury, w tym podczas rozstrzygania sporów przez Europejską Radę Ochrony Danych, oraz wyjaśniono treść akt administracyjnych i prawa stron do dostępu do akt. Wniosek stanowi tym samym wzmocnienie praw stron do obrony i zapewnia spójne przestrzeganie tych praw, niezależnie od tego, który organ ochrony danych prowadzi postępowanie.

·Usprawnienie współpracy i rozstrzygania sporów: wniosek zawiera narzędzia niezbędne organom ochrony danych do osiągnięcia porozumienia oraz zwiększa wagę wymogów współpracy organów ochrony danych i wymiany „istotnych informacji” określonych w art. 60 RODO. We wniosku ustanowiono ramy, które pozwolą wszystkim organom ochrony danych wywierać znaczący wpływ na sprawy transgraniczne, jeżeli organy te przedstawią swoje opinie na wczesnym etapie postępowania i wykorzystają wszystkie narzędzia przewidziane w RODO. Co istotne, umożliwi to budowanie porozumienia i przyczyni się do ograniczenia prawdopodobieństwa wystąpienia nieporozumień na późniejszych etapach procedury, co wymagałyby zastosowania mechanizmu rozstrzygania sporów. W razie różnicy zdań między organami ochrony danych w kwestii zasadniczej dla zakresu postępowania w sprawach skargowych, we wniosku przewidziano zaradzenie nieporozumieniu przez Europejską Radę Ochrony Danych w drodze przyjęcia pilnej wiążącej decyzji. Zaangażowanie Europejskiej Rady Ochrony Danych w taką kwestię o charakterze dyskrecjonalnym gwarantuje wiodącemu organowi ochrony danych jasność niezbędną, aby kontynuować postępowanie i zapewnia, aby nieporozumienie dotyczące zakresu postępowania nie wymagało zastosowania mechanizmu rozstrzygania sporów przewidzianego w art. 65.

We wniosku określono szczegółowe wymogi dotyczące formularzy i struktury uzasadnionych sprzeciwów mających znaczenie dla sprawy, wniesionych przez organy ochrony danych, których sprawa dotyczy, co umożliwia skuteczny udział wszystkich organów ochrony danych oraz ukierunkowane i szybkie rozstrzygnięcie sprawy.

·We wniosku przewidziano proceduralne terminy procedury rozstrzygania sporów, określono informacje, które wiodący organ ochrony danych musi przekazać, poddając sprawę procedurze rozstrzygania sporów, i wyjaśniono rolę wszystkich podmiotów zaangażowanych w rozstrzyganie sporów (wiodącego organu ochrony danych, organów ochrony danych, których sprawa dotyczy, i Europejskiej Rady Ochrony Danych). W ten sposób wniosek ułatwia szybsze zakończenie procedury rozstrzygania sporów dla stron objętych postępowaniem i osób, których dane dotyczą.

•Spójność z przepisami obowiązującymi w tej dziedzinie polityki

•Spójność z innymi politykami Unii

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

•Podstawa prawna

•Pomocniczość (w przypadku kompetencji niewyłącznych)

•Proporcjonalność

•Wybór instrumentu

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

•Oceny ex post/oceny adekwatności obowiązującego prawodawstwa

·krajowych procedur administracyjnych, w szczególności w zakresie: procedur rozpatrywania skarg, kryteriów dopuszczalności skarg, czasu trwania postępowań z uwagi na różne ramy czasowe lub brak określonych terminów, etapu postępowania, na którym przysługuje prawo do bycia wysłuchanym, informacji i zaangażowania skarżących w toku postępowania;

·interpretacji pojęć dotyczących mechanizmu współpracy oraz

·stwierdzenia, kiedy należy rozpocząć współpracę, zaangażować organy ochrony danych, których sprawa dotyczy, oraz przekazać im informacje.

•Konsultacje z zainteresowanymi stronami

·Europejska Rada Ochrony Danych: składająca się z organów ochrony danych odpowiedzialnych za egzekwowanie RODO. Do jej zadań należy między innymi rozstrzyganie transgranicznych sporów na podstawie RODO. Komisja należycie uwzględniła informacje otrzymane od Europejskiej Rady Ochrony Danych na wszystkich etapach procesu przygotowawczego. Niniejszy wniosek jest przede wszystkim odpowiedzią na wykaz kwestii, który Europejska Rada Ochrony Danych przekazała Komisji w październiku 2022 r., zawierający aspekty transgranicznej procedury egzekwowania prawa, które można by zharmonizować na szczeblu UE. Wniosek obejmuje większość kwestii zidentyfikowanych w wykazie Europejskiej Rady Ochrony Danych. Komisja zdecydowała się nie zajmować niektórymi kwestiami wskazanymi przez Europejską Radę Ochrony Danych, w szczególności gdy Komisja oceniła, że daną kwestię uwzględniono już odpowiednio w RODO, lub że powinna ona pozostać w zakresie uznania wiodącego organu ochrony danych lub należy ją uregulować w prawie krajowym. We wniosku poruszono ponadto pewne kwestie nieujęte w wykazie Europejskiej Rady Ochrony Danych w przypadku gdy Komisja uznała te kwestie za konieczne, aby zapewnić sprawne funkcjonowanie transgranicznego egzekwowania i poszanowania należnych praw procesowych. Na posiedzeniach 21 marca i 24 kwietnia 2023 r. Komisja przeprowadziła również ukierunkowane konsultacje dotyczące określonych aspektów wniosku z podgrupami Europejskiej Rady Ochrony Danych, zajmującymi się współpracą transgraniczną i transgranicznym egzekwowaniem prawa, w celu wykorzystania fachowej wiedzy organów ochrony danych odpowiedzialnych za rozpatrywanie tych kwestii na co dzień. Podczas tych posiedzeń Europejska Rada Ochrony Danych w pełni poparła podjęcie przez Komisję działań w tym obszarze i przekazała jej wartościowe informacje.

·Grupa ekspertów ds. RODO z udziałem wielu zainteresowanych stron: powołana w celu wspierania Komisji w stosowaniu RODO. W jej skład wchodzą przedstawiciele społeczeństwa obywatelskiego, przedsiębiorstw, środowisk akademickich i prawników praktyków. Grupa ta zdecydowanie opowiedziała się za podjęciem przez Komisję działań w tym obszarze w drodze wniosku ustawodawczego. Podczas posiedzenia 19 października 2022 r. przeprowadzono pierwszą dyskusję na temat wykazu Europejskiej Rady Ochrony Danych z października 2022 r., a na drugim posiedzeniu, 21 kwietnia 2023 r., Komisja przeprowadziła konsultacje na temat konkretnych aspektów wniosku. Ze względu na bardzo duże zróżnicowanie zainteresowanych stron reprezentowanych w tej grupie, ich opinie na temat pewnych aspektów wniosku znacznie się różniły. Jednak wszystkie zainteresowane strony poparły propozycję, aby wniosek zawierał ramy prawne zawarcia ugody. Organizacje pozarządowe poparły zamiar Komisji, aby zharmonizować formularze skarg i włączyć skarżącego do procedury, oraz wskazały na znaczące różnice w traktowaniu skarg w poszczególnych państwach członkowskich. Grupy branżowe reprezentujące administratorów i podmioty przetwarzające dane pokreśliły konieczność przyznania stronom objętym postępowaniem prawa do bycia wysłuchanym i potrzebę zachęcenia do rozstrzygania nieporozumień między organami ochrony danych na wczesnym etapie postępowania.

·Grupa ekspertów państw członkowskich ds. RODO: forum wymiany poglądów i informacji na temat stosowania RODO między Komisją a państwami członkowskimi. Przed przystąpieniem do pracy nad wnioskiem Komisja zasięgnęła opinii państw członkowskich na temat wykazu Europejskiej Rady Ochrony Danych z października 2022 r. Państwa członkowskie zdecydowanie poparły pomysł opracowania wniosku dotyczącego inicjatywy ustawodawczej w celu poprawy transgranicznego egzekwowania RODO. Część państw członkowskich, w których obowiązują horyzontalne przepisy proceduralne mające zastosowanie do wszystkich procedur administracyjnych, wskazały jednak na możliwą ingerencję w te przepisy, w szczególności w odniesieniu do harmonizacji prawa do wysłuchania stron i udziału skarżących w postępowaniu. W związku z tym Komisja starannie ograniczyła we wniosku harmonizację tych aspektów do spraw transgranicznych i do zakresu niezbędnego w celu zapewnienia sprawnego funkcjonowania współpracy i mechanizmu rozstrzygania sporów. 19 kwietnia 2023 r. Komisja przeprowadziła specjalne posiedzenie z udziałem grupy ekspertów państw członkowskich ds. RODO.

•Gromadzenie i wykorzystanie wiedzy eksperckiej

•Ocena skutków

·Organy ochrony danych – inicjatywa wesprze współpracę i zapewni jasność ustaleń i terminów dotyczących współpracy w sprawach transgranicznych. Pozwoli to organom ochrony danych efektywniej wykorzystywać zasoby. Ponadto zapewnienie organom ochrony danych narzędzi poprawy współpracy w sprawach transgranicznych ułatwi osiąganie porozumień między organami ochrony danych, zmniejszy liczbę nieporozumień i będzie wspierać ducha współpracy.

·Skarżący i osoby, których dane dotyczą – usprawnienie współpracy między organami ochrony danych podczas egzekwowania RODO przyczyni się do terminowego kończenia postępowań. Pomoże to skuteczniej radzić sobie w sytuacjach naruszenia RODO oraz zapewnić osobie, której dane dotyczą, szybką ochronę prawną. Co więcej, skarżący będą mogli uczestniczyć w postępowaniu w sprawach transgranicznych na takich samych zasadach, bez względu na to, gdzie wniesiono skargę lub który organ ochrony danych jest wiodący.

·Strony objęte postępowaniem – poprawa współpracy w sprawach transgranicznych pomoże skrócić czas trwania postępowań i zapewnić niezbędne gwarancje, takie jak prawo do bycia wysłuchanym i prawo dostępu do akt, co zapewni stronom objętym postępowaniem ochronę ich prawa do dobrej administracji (art. 41 Karty) i prawa do obrony (art. 48 Karty). Harmonizacja tych praw sprawi również, że ostateczne orzeczenie będzie bardziej wiarygodne.

·Zaufanie publiczne do RODO – inicjatywa wzmocni zaufanie publiczne do RODO dzięki usprawnieniu przebiegu postępowań i zmniejszeniu liczby nieporozumień między organami ochrony danych w sprawach transgranicznych.

•Sprawność regulacyjna i uproszczenie

•Prawa podstawowe

4.WPŁYW NA BUDŻET

5.ELEMENTY FAKULTATYWNE

•Plany wdrożenia i monitorowanie, ocena i sprawozdania

•Dokumenty wyjaśniające (w przypadku dyrektyw)

•Szczegółowe objaśnienia poszczególnych przepisów wniosku

2023/0202 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

ustanawiające dodatkowe przepisy proceduralne dotyczące egzekwowania rozporządzenia (UE) 2016/679

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 14 ,

uwzględniając opinię Komitetu Regionów 15 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 16 ustanawia zdecentralizowany system egzekwowania prawa mający na celu zapewnienie spójnej interpretacji i spójnego stosowania rozporządzenia (UE) 2016/679 w sprawach transgranicznych. W ramach tego systemu, w sprawach dotyczących transgranicznego przetwarzania danych osobowych wymaga się, aby organa nadzorcze współpracowały w celu osiągnięcia porozumienia, a jeżeli nie mogą go osiągnąć, przewiduje się rozstrzyganie sporów przez Europejską Radę Ochrony Danych.

(2)W celu zapewnienia sprawnego i skutecznego funkcjonowania współpracy i mechanizmu rozstrzygania sporów zgodnie z art. 60 i 65 rozporządzenia (UE) 2016/679 konieczne jest ustanowienie zasad prowadzenia postępowań przez organa nadzorcze w sprawach transgranicznych i przez Europejską Radę Ochrony Danych w ramach procedury rozstrzygania sporów, w tym zasad rozpatrywania skarg transgranicznych. Z tego względu konieczne jest również ustanowienie zasad wykonywania przez strony objęte postępowaniem prawa do bycia wysłuchanym przed przyjęciem decyzji przez organy nadzorcze lub, ewentualnie, przez Europejską Radę Ochrony Danych.

(3)Skargi są zasadniczym źródłem informacji, pozwalających na wykrycie naruszeń przepisów o ochronie danych. Niezbędne jest określenie jasnych i skutecznych procedur rozpatrywania skarg w sprawach transgranicznych, ponieważ skargę może rozpatrywać inny organ nadzorczy niż ten, do którego ją wniesiono.

(4)Aby skarga była dopuszczalna, powinna ona zawierać pewne określone informacje. Z tego względu, aby ułatwić skarżącym powiadamianie organów nadzorczych o niezbędnych faktach, należy zapewnić formularz skargi. Informacji zawartych w tym formularzu powinno się wymagać wyłącznie w przypadkach transgranicznego przetwarzania danych w rozumieniu rozporządzenia (UE) 2016/679, choć organy nadzorcze mogą wykorzystywać ten formularz w sprawach niedotyczących przetwarzania transgranicznego. Formularz można przesłać pocztą lub drogą elektroniczną. Przekazanie informacji wymienionych w tym formularzu powinno być warunkiem traktowania skargi dotyczącej transgranicznego przetwarzania jako skargi, o której mowa w art. 77 rozporządzenia (UE) 2016/679. Do celów uznania skargi za dopuszczalną nie należy wymagać żadnych dodatkowych informacji. Organy nadzorcze powinny mieć możliwość ułatwiania wnoszenia skarg w przyjaznym dla użytkownika formacie elektronicznym, z uwzględnieniem potrzeb osób z niepełnosprawnościami, pod warunkiem że informacje wymagane od skarżącego odpowiadają informacjom wymaganym w formularzu i do uznania skargi za dopuszczalną nie wymaga się żadnych dodatkowych informacji.

(5)Organy nadzorcze są zobowiązane podejmować decyzje dotyczące skarg w rozsądnym terminie. Rozumienie pojęcia „rozsądny termin”, zależy od okoliczności sprawy, w szczególności od jej kontekstu i złożoności, od poszczególnych etapów proceduralnych realizowanych przez wiodący organ nadzorczy oraz od postawy stron w trakcie postępowania.

(6)Rozpatrywanie każdej skargi przez organ nadzorczy na podstawie art. 57 ust. 1 lit. f) rozporządzenia (UE) 2016/679 powinno przebiegać z zachowaniem odpowiedniego zakresu należytej staranności, przy czym należy mieć na uwadze, że korzystanie z uprawnień przez organ nadzorczy musi być zawsze stosowne, konieczne i proporcjonalne, aby zapewnić zgodność z rozporządzeniem (UE) 2016/679. Decyzja o tym, w jakim zakresie należy rozpatrzyć skargę, podlega uznaniu każdego właściwego organu. Przy jej podejmowaniu, organy nadzorcze powinny dążyć do zapewnienia skarżącemu zadowalającego rozstrzygnięcia, które niekoniecznie wymaga przeprowadzenia wyczerpującego postępowania w zakresie wszystkich potencjalnych elementów prawnych i faktycznych wynikających ze skargi, lecz powinno zapewniać skarżącemu skuteczną i szybką ochronę prawną. Decyzję o tym, jakie czynności należy przeprowadzić w ramach postępowania przygotowawczego, można oprzeć na informacjach o wadze potencjalnego naruszenia, jego systemowym lub powtarzalnym charakterze, bądź na tym, czy skarżący skorzystał również ze swoich praw wynikających z art. 79 rozporządzenia (UE) 2016/679. 

(7)Wiodący organ nadzorczy powinien przekazywać organowi nadzorczemu, do którego wniesiono skargę, niezbędne informacje o postępach postępowania do celów przekazywania skarżącemu aktualnych informacji.

(8)Właściwy organ nadzorczy powinien zapewnić skarżącemu dostęp do dokumentów, na podstawie których organ nadzorczy podjął wstępną decyzję o odrzuceniu skargi w całości lub w części.

(9)Aby szybko powstrzymać działania naruszające przepisy rozporządzenia (UE) 2016/679 i szybko wydać skarżącemu decyzję kończącą postępowanie, organy nadzorcze powinny, w stosownych przypadkach, dążyć do rozpatrzenia skarg w drodze ugody. Fakt, że daną skargę rozpatrzono w drodze ugody, nie uniemożliwia właściwemu organowi nadzorczemu wszczęcia sprawy z urzędu, np. w przypadkach systemowych lub powtarzalnych naruszeń przepisów rozporządzenia (UE) 2016/679.

(10)Aby zapewnić skuteczne funkcjonowanie mechanizmów współpracy i spójności przewidzianych w rozdziale VII rozporządzenia (UE) 2016/679, istotne jest rozpatrywanie spraw transgranicznych w odpowiednim czasie i w duchu lojalnej i skutecznej współpracy stanowiącej podstawę art. 60 rozporządzenia (UE) 2016/679. Wiodący organ nadzorczy powinien zatem wykonywać swoje kompetencje w ścisłej współpracy z pozostałymi organami nadzorczymi, których sprawa dotyczy. Podobnie organy nadzorcze, których sprawa dotyczy, powinny aktywnie uczestniczyć we wczesnych etapach postępowania, aby osiągnąć porozumienie przy wykorzystaniu narzędzi przewidzianych w rozporządzeniu (UE) 2016/679.

(11)Jest kwestią szczególnie istotną, aby organy nadzorcze – tak szybko, jak to możliwe – porozumiały się w zakresie zasadniczych aspektów postępowania, zanim stronom objętym postępowaniem przedstawione zostaną zarzuty i przyjęty zostanie projekt decyzji, o której mowa w art. 60 rozporządzenia (UE) 2016/679, co pozwoli ograniczyć liczbę spraw poddawanych mechanizmowi rozstrzygania sporów przewidzianemu w art. 65 rozporządzenia (UE) 2016/679 i ostatecznie zapewni szybkie rozstrzyganie spraw transgranicznych.

(12)Współpraca organów nadzorczych powinna opierać się na otwartym dialogu umożliwiającym organom nadzorczym, których sprawa dotyczy, wywieranie znaczącego wpływu na przebieg postępowania w drodze wymiany doświadczeń i poglądów z wiodącym organem nadzorczym, przy należytym uwzględnieniu zakresu uznania, z którego korzysta każdy organ nadzorczy, m. in. przy ocenie, w jakim zakresie należy przeprowadzić postępowanie dotyczące sprawy, i różnych tradycji państw członkowskich. W tym celu wiodący organ nadzorczy powinien przekazać organom nadzorczym, których sprawa dotyczy, streszczenie kluczowych kwestii zawierające wstępną opinię wiodącego organu nadzorczego na temat głównych kwestii danego postępowania. Takie streszczenie należy dostarczyć na tyle wcześnie, aby umożliwić skuteczne włączenie do postępowania organów nadzorczych, których sprawa dotyczy, a jednocześnie dopiero wtedy, gdy opinia wiodącego organu nadzorczego o sprawie jest już wystarczająco utrwalona. Organy nadzorcze, których sprawa dotyczy, powinny mieć możliwość zgłoszenia uwag na temat wielu kwestii, takich jak zakres postępowania i identyfikacja złożonych ocen faktycznych i prawnych. Ponieważ od zakresu rozpatrywania danej sprawy zależy, jakie kwestie wymagają przeprowadzenia postępowania przez wiodący organ nadzorczy, organy nadzorcze powinny jak najszybciej osiągnąć porozumienie w kwestii zakresu postępowania.

(13)Do celów skutecznej inkluzywnej współpracy między wszystkimi organami nadzorczymi, których sprawa dotyczy, a wiodącym organem nadzorczym, uwagi organów nadzorczych, których sprawa dotyczy, powinny być zwięzłe i sformułowane na tyle jasno i precyzyjnie, aby wszystkie organy nadzorcze mogły je łatwo zrozumieć. Argumenty prawne należy pogrupować według części streszczenia kluczowych kwestii, do której się one odnoszą. Uwagi organów nadzorczych, których sprawa dotyczy, można uzupełnić o dodatkowe dokumenty. Odniesienie w uwagach organu nadzorczego, którego sprawa dotyczy, do dokumentów uzupełniających nie może jednak rekompensować braku istotnych argumentów prawnych lub faktycznych, które należy przedstawić w uwagach. W ramach takiej uwagi należy spójnie i zrozumiale wskazać, co najmniej w formie streszczenia, podstawowe szczegóły prawne i faktyczne, na których opierają się takie dokumenty.

(14)W sprawach niespornych szeroko zakrojona dyskusja organów nadzorczych nie jest potrzebna do osiągnięcia porozumienia, w związku z czym sprawy te można rozstrzygnąć szybciej. Jeżeli żaden z organów nadzorczych, których sprawa dotyczy, nie zgłasza uwag na temat streszczenia kluczowych kwestii, wiodący organ nadzorczy powinien w ciągu dziewięciu miesięcy przedstawić wstępne ustalenia, o których mowa w art. 14.

(15)Organy nadzorcze powinny wykorzystać wszystkie niezbędne środki w celu osiągnięcia porozumienia w duchu lojalnej i skutecznej współpracy. W razie rozbieżności opinii organów nadzorczych, których sprawa dotyczy, i wiodącego organu nadzorczego w odniesieniu do zakresu postępowania opartego na skardze, w tym do zakresu przepisów rozporządzenia (UE) 2016/679, których naruszenie będzie przedmiotem postępowania, lub jeżeli uwagi organów nadzorczych, których sprawa dotyczy, dotyczą istotnej zmiany w złożonej ocenie prawnej lub technologicznej, organ, którego sprawa dotyczy, powinien wykorzystać narzędzia przewidziane w art. 61 i 62 rozporządzenia (UE) 2016/679.

(16)Jeżeli zastosowanie tych narzędzi nie umożliwi organom nadzorczym osiągnięcia porozumienia w sprawie zakresu postępowania opartego na skardze, wiodący organ nadzorczy powinien wystąpić do Europejskiej Rady Ochrony Danych z wnioskiem o pilne wydanie wiążącej decyzji na podstawie art. 66 ust. 3 rozporządzenia (UE) 2016/679. Należy przyjąć, że w tym celu wymagane jest zastosowanie trybu pilnego. Do celów wstępnych ustaleń wiodący organ nadzorczy powinien wyciągnąć odpowiednie wnioski z wiążącej decyzji Europejskiej Rady Ochrony Danych wydanej w trybie pilnym. Taka decyzja Europejskiej Rady Ochrony Danych nie może przesądzać o wyniku postępowania prowadzonego przez wiodący organ nadzorczy ani o skuteczności prawa stron objętych postępowaniem do bycia wysłuchanym. W szczególności, Europejska Rada Ochrony Danych nie powinna z własnej inicjatywy rozszerzać zakresu postępowania.

(17)Aby umożliwić skarżącemu skorzystanie z prawa do skutecznego środka ochrony prawnej przed sądem na podstawie art. 78 rozporządzenia (UE) 2016/679, organ nadzorczy odrzucający skargę w całości lub w części powinien to uczynić w drodze decyzji podlegającej zaskarżeniu do sądu krajowego.

(18)Skarżący powinni mieć możliwość przedstawienia swojej opinii zanim podjęta zostanie decyzja, która może negatywnie wpłynąć na ich sytuację. W związku z tym, w przypadku zamiaru odrzucenia skargi w sprawie transgranicznej w całości lub w części, skarżący powinien mieć możliwość wyrażenia swojej opinii zanim przedłożone zostaną projekt decyzji na podstawie art. 60 ust. 3 rozporządzenia (UE) 2016/679, zmieniony projekt decyzji na podstawie art. 60 ust. 4 rozporządzenia (UE) 2016/679 lub wiążąca decyzja Europejskiej Rada Ochrony Danych na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679. Skarżący może zażądać dostępu do niepoufnej wersji dokumentów, na których opiera się decyzja o odrzuceniu skargi w całości lub w części.

(19)W przypadku odrzucenia skargi w sprawie transgranicznej konieczne jest wyjaśnienie podziału obowiązków między wiodącym organem nadzorczym a organem nadzorczym, do którego wniesiono skargę. Organ nadzorczy, do którego wniesiono skargę, jako pełniący podczas postępowania rolę punktu kontaktowego dla skarżącego, powinien uzyskać opinię skarżącego na temat proponowanego odrzucenia skargi i powinien być odpowiedzialny za wszelką wymianę informacji ze skarżącym. Powinien on udostępniać wiodącemu organowi nadzorczemu wszelkie wymieniane informacje. Ponieważ zgodnie z art. 60 ust. 8 i 9 rozporządzenia (UE) 2016/679 organ nadzorczy, do którego wniesiono skargę, jest odpowiedzialny za przyjęcie ostatecznej decyzji o odrzuceniu skargi, ten organ nadzorczy powinien być również odpowiedzialny za przygotowanie projektu decyzji zgodnie z art. 60 ust. 3 rozporządzenia (UE) 2016/679.

(20)Skuteczne egzekwowanie unijnych przepisów o ochronie danych powinno być połączone z pełnym poszanowaniem prawa stron do obrony, stanowiącego jedną z podstawowych zasad prawa Unii, której należy przestrzegać w każdych okolicznościach, w szczególności w postępowaniach, które mogą doprowadzić do nałożenia sankcji.

(21)Aby skutecznie chronić prawo do dobrej administracji oraz prawo do obrony zapisane w Karcie praw podstawowych Unii Europejskiej („Karta”), w tym prawo każdego do bycia wysłuchanym, zanim podejmie się indywidualne środki mogące negatywnie wpłynąć na sytuację danej osoby, ważne jest ustanowienie jasnych przepisów dotyczących wykonywania tego prawa.

(22)Przepisy dotyczące procedury administracyjnej stosowanej przez organy nadzorcze podczas egzekwowania rozporządzenia (UE) 2016/679 powinny zapewniać stronom objętym postępowaniem możliwość skutecznego przedstawienia opinii na temat prawdziwości i znaczenia faktów, zastrzeżeń i okoliczności przedstawionych przez organ nadzorczy w trakcie całego postępowania, co umożliwi im realizację prawa do obrony. We wstępnych ustaleniach przedstawia się – po przeprowadzeniu postępowania – wstępne stanowisko w sprawie ewentualnego naruszenia przepisów rozporządzenia (UE) 2016/679. Ustalenia te stanowią zatem istotną gwarancję proceduralną, która zapewnia przestrzeganie prawa do bycia wysłuchanym. Strony objęte postępowaniem powinny – w drodze uzyskania dostępu do akt administracyjnych – otrzymać dostęp do dokumentów niezbędnych w celu skutecznej obrony i zgłoszenia uwag do stawianych im zarzutów.

(23)We wstępnych ustaleniach określa się zakres postępowania, a tym samym zakres potencjalnej przyszłej ostatecznej decyzji (którą można podjąć na podstawie wiążącej decyzji Europejskiej Rady Ochrony Danych na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679), która może być skierowana do administratorów danych lub podmiotów przetwarzających dane. Wstępne ustalenia należy sformułować w sposób, który nawet jeśli jest zwięzły, jest wystarczająco jasny, aby umożliwić stronom objętym postępowaniem właściwe określenie charakteru ewentualnego naruszenia przepisów rozporządzenia (UE) 2016/679. Obowiązek udzielenia stronom objętym postępowaniem wszelkich informacji niezbędnych do umożliwienia im należytej obrony uznaje się za spełniony, jeżeli w ostatecznej decyzji nie zarzuca się stronom objętym postępowaniem naruszeń innych niż te, o których mowa we wstępnych ustaleniach, i uwzględnia się wyłącznie te fakty, wobec których strony te miały możliwość przedstawienia swojej opinii w ramach postępowania. Ostateczna decyzja wiodącego organu nadzorczego nie musi jednak powtarzać wstępnych ustaleń. Wiodący organ nadzorczy powinien mieć możliwość uwzględnienia w ostatecznej decyzji odpowiedzi stron objętych postępowaniem na wstępne ustalenia oraz, w stosownych przypadkach, zmienionego projektu decyzji na podstawie art. 60 ust. 5 rozporządzenia (UE) 2016/679 oraz decyzji na podstawie art. 65 ust. 1 lit. a) rozstrzygającej spór między organami nadzorczymi. Wiodący organ nadzorczy powinien mieć możliwość przeprowadzenia we własnym zakresie oceny faktów i kwalifikacji prawnych przedstawionych przez strony objęte postępowaniem, aby odrzucić sprzeciwy, które organ nadzorczy uzna za bezzasadne, albo uzupełnić i ponownie sformułować swoje argumenty – zarówno faktyczne, jak i prawne – popierające sprzeciwy, które podtrzymuje. Przykładowo uwzględnienie w toku procedury administracyjnej argumentu przedstawionego przez stronę objętą postępowaniem bez umożliwienia jej wyrażenia opinii w tym temacie przed przyjęciem ostatecznej decyzji nie może samo w sobie stanowić naruszenia prawa do obrony.

(24)Stronom objętym postępowaniem należy zapewnić prawo do bycia wysłuchanym zanim przedłożony zostanie zmieniony projekt decyzji na podstawie art. 60 ust. 5 rozporządzenia (UE) 2016/679 lub zanim Europejska Rada Ochrony Danych przyjmie wiążącą decyzję na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679.

(25)Skarżący powinni mieć możliwość uczestniczenia w postępowaniu wszczętym przez organ nadzorczy w celu zidentyfikowania lub wyjaśnienia kwestii związanych z potencjalnym naruszeniem przepisów rozporządzenia (UE) 2016/679. Fakt, że organ nadzorczy wszczął już postępowanie w sprawie przedmiotu skargi lub rozpatrzy skargę po jej otrzymaniu w ramach postępowania z urzędu, nie wyklucza kwalifikacji osoby, której dane dotyczą, jako skarżącego. Prowadzone przez organ nadzorczy postępowanie w sprawie możliwego naruszenia przepisów rozporządzenia (UE) 2016/679 przez administratora danych lub podmiot przetwarzający dane nie stanowi jednak procesu skargowego z udziałem skarżącego i stron objętych postępowaniem. Organ nadzorczy wszczyna tę procedurę z inicjatywy własnej lub na podstawie skargi w ramach wykonywania zadań wynikających z art. 57 ust. 1 rozporządzenia (UE) 2016/679. Strony objęte postępowaniem i skarżący nie znajdują się zatem w tej samej sytuacji proceduralnej i skarżący nie może powoływać się na prawo do sprawiedliwego wysłuchania, gdy decyzja nie wpływa negatywnie na jego sytuację prawną. Zaangażowanie skarżącego w postępowanie przeciwko stronom objętym postępowaniem nie może naruszać prawa tych ostatnich do bycia wysłuchanymi.

(26)Skarżący powinni mieć możliwość pisemnego wypowiedzenia się w temacie wstępnych ustaleń. Nie powinni oni mieć jednak dostępu do tajemnic handlowych lub innych informacji poufnych należących do innych stron uczestniczących w postępowaniu. Skarżący nie powinni mieć ogólnego dostępu do akt administracyjnych.

(27)Przy określaniu terminów na przedstawienie opinii w temacie wstępnych ustaleń organy nadzorcze powinny uwzględnić złożoność kwestii poruszonych w tych wstępnych ustaleniach, aby zapewnić stronom objętym postępowaniem oraz skarżącym wystarczająco dużo czasu na przedstawienie konstruktywnych opinii o poruszonych kwestiach.

(28)Wymiana poglądów przed przyjęciem projektu decyzji obejmuje otwarty dialog i szeroko zakrojoną wymianę poglądów, w ramach której organy nadzorcze powinny dołożyć wszelkich starań, aby dojść do porozumienia w sprawie dalszego postępowania. Z kolei wyrażanie różnicy zdań na podstawie art. 60 ust. 4 rozporządzenia (UE) 2016/679 w formie uzasadnionych sprzeciwów mających znaczenie dla sprawy, zwiększających potencjał rozstrzygania sporów między organami nadzorczymi na podstawie art. 65 rozporządzenia (UE) 2016/679 i opóźniających przyjęcie ostatecznej decyzji przez właściwy organ nadzorczy, powinno mieć miejsce w wyjątkowych przypadkach, gdy organy nadzorcze nie mogą dojść do porozumienia i, w razie potrzeby, zapewnić spójnej wykładni rozporządzenia (UE) 2016/679. Takie sprzeciwy powinno się stosować z umiarem, jedynie gdy w grę wchodzą kwestie spójnego wykonywania rozporządzenia (UE) 2016/679, ponieważ każde wniesienie uzasadnionego sprzeciwu mającego znaczenie dla sprawy powoduje odroczenie środka ochrony prawnej przysługującego osobie, której dane dotyczą. Ponieważ zakres postępowania i istotne fakty sprawy ustala się przed przekazaniem wstępnych ustaleń, organy nadzorcze, których sprawa dotyczy, nie powinny podnosić tych kwestii w uzasadnionych sprzeciwach mających znaczenie dla sprawy. Mogą je jednak podnosić w uwagach dotyczących streszczenia kluczowych kwestii, zgodnie z art. 9 ust. 3, przed przekazaniem wstępnych ustaleń stronom objętym postępowaniem.

(29)W celu skutecznego i inkluzywnego zakończenia procedury rozstrzygania sporów, w ramach której wszystkie organy nadzorcze mają możliwość przedstawienia opinii, przy uwzględnieniu ograniczeń czasowych obowiązujących przy rozstrzyganiu sporów, forma i struktura uzasadnionych sprzeciwów mających znaczenie dla spraw powinny spełniać określone wymogi. Sprzeciwy te nie powinny zatem przekraczać określonej długości, powinny jasno określać zastrzeżenie dotyczące projektu decyzji i być sformułowane w wystarczająco jasny, spójny i precyzyjny sposób.

(30)Dostęp do akt administracyjnych przewidziano w ramach – zapisanych w Karcie – prawa do obrony i prawa do dobrej administracji. W chwili powiadomienia stron objętych postępowaniem o wstępnych ustaleniach należy zapewnić im dostęp do akt administracyjnych oraz określić termin przedłożenia przez nie pisemnej odpowiedzi na wstępne ustalenia.

(31)Przy udzielaniu dostępu do akt administracyjnych organy nadzorcze powinny zapewnić ochronę tajemnic handlowych i innych informacji poufnych. „Inne informacje poufne” obejmują informacje inne niż tajemnice handlowe, które można uznane za poufne w zakresie, w jakim ich ujawnienie mogłoby wyrządzić istotną szkodę administratorowi danych, podmiotowi przetwarzającemu dane lub osobie fizycznej. Organy nadzorcze powinny mieć możliwość żądania od stron objętych postępowaniem, przekazujących dokumenty lub oświadczenia, wskazania informacji poufnych.

(32)W przypadku, gdy przekazanie tajemnic handlowych lub innych informacji poufnych jest konieczne, aby udowodnić naruszenie, organy nadzorcze powinny w stosunku do każdego dokumentu ocenić, czy potrzeba jego ujawnienia przeważa nad szkodą, jaka mogłaby z tego tytułu wyniknąć.

(33)Wiodący organ nadzorczy, który przekazuje sprawę do rozstrzygnięcia sporu w ramach procedury na podstawie art. 65 rozporządzenia (UE) 2016/679, powinien przekazać Europejskiej Radzie Ochrony Danych wszelkie niezbędne informacje umożliwiające jej ocenę dopuszczalności uzasadnionych sprzeciwów mających znaczenie dla sprawy oraz podjęcie decyzji na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679. Gdy Europejska Rada Ochrony Danych otrzyma wszystkie niezbędne dokumenty wymienione w art. 23, przewodniczący tej Rady powinien zarejestrować przekazanie sprawy w rozumieniu art. 65 ust. 2 rozporządzenia (UE) 2016/679.

(34)Wiążąca decyzja Europejskiej Rady Ochrony Danych podjęta na mocy art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679 powinna dotyczyć wyłącznie kwestii, które doprowadziły do wszczęcia procedury rozstrzygania sporów, i powinna być sformułowana w sposób umożliwiający wiodącemu organowi nadzorczemu przyjęcie ostatecznej decyzji na podstawie decyzji Europejskiej Rady Ochrony Danych, przy jednoczesnym zachowaniu swobody uznania tego organu.

(35)Aby usprawnić rozstrzyganie sporów między organami nadzorczymi, przekazywanych Europejskiej Radzie Ochrony Danych na podstawie art. 65 ust. 1 lit. b) i c) rozporządzenia (UE) 2016/679, konieczne jest opracowanie przepisów proceduralnych dotyczących dokumentów, jakie przedkłada się Europejskiej Radzie Ochrony Danych i na których opiera ona swoją decyzję. Konieczne jest również określenie momentu, w którym Europejska Rada Ochrony Danych powinna zarejestrować przekazanie sprawy do rozstrzygnięcia sporu.

(36)Aby usprawnić przyjmowanie przez Europejską Radę Ochrony Danych opinii oraz wiążących decyzji w trybie pilnym na podstawie art. 66 ust. 2 rozporządzenia (UE) 2016/679, konieczne jest opracowanie przepisów proceduralnych dotyczących terminu złożenia wniosku o wydanie opinii lub wiążącej decyzji w trybie pilnym, dokumentów, jakie przedkłada się Europejskiej Radzie Ochrony Danych i na których opiera ona swoją opinię lub decyzję, adresatów takiej opinii lub decyzji oraz ich skutków.

(37)Rozdziały III i IV dotyczą współpracy między organami nadzorczymi, praw procesowych stron objętych postępowaniem oraz udziału skarżących w postępowaniu. Aby zapewnić pewność prawa, przepisy te nie powinny mieć zastosowania do postępowań będących już w toku w chwili wejścia w życie niniejszego rozporządzenia. Powinny one mieć zastosowanie wyłącznie do postępowań wszczętych z urzędu po wejściu w życie niniejszego rozporządzenia oraz do postępowań, których podstawą były skargi wniesione po wejściu niniejszego rozporządzenia w życie. Rozdział VII zawiera przepisy proceduralne dotyczące spraw przedłożonych do rozstrzygnięcia sporu na podstawie art. 65 rozporządzenia (UE) 2016/679. Ze względu na pewność prawa także ten rozdział nie powinien mieć zastosowania do spraw, które poddano procedurze rozstrzygania sporów przed wejściem w życie niniejszego rozporządzenia. Powinien on mieć zastosowanie do wszystkich spraw poddanych procedurze rozstrzygania sporów po wejściu w życie niniejszego rozporządzenia.

(38)Zgodnie z art. 42 ust. 2 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych, a organy te wydały wspólną opinię w dniu [...],

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

Rozdział I

Przepisy ogólne

Artykuł 1

Przedmiot

W niniejszym rozporządzeniu ustanawia się przepisy proceduralne dotyczące rozpatrywania skarg i prowadzenia postępowań przez organy nadzorcze w sprawach opartych na skargach i w sprawach wszczętych z urzędu w ramach transgranicznego wykonywania rozporządzenia (UE) 2016/679.

Artykuł 2

Definicje

Do celów niniejszego rozporządzenia stosuje się definicje określone w art. 4 rozporządzenia (UE) 2016/679.

Stosuje się również następujące definicje:

1)„strony objęte postępowaniem” oznaczają co najmniej jednego administratora danych lub podmiot przetwarzający dane, wobec którego prowadzone jest postępowanie w związku z potencjalnym naruszeniem przepisów rozporządzenia (UE) 2016/679 dotyczącym transgranicznego przetwarzania danych;

2)„streszczenie kluczowych kwestii” oznacza streszczenie, które wiodący organ nadzorczy ma dostarczyć organom nadzorczym, których sprawa dotyczy, w którym to streszczeniu określa się główne istotne fakty i stanowisko wiodącego organu nadzorczego w danej sprawie;

3)„wstępne ustalenia” oznaczają dokument dostarczony przez wiodący organ nadzorczy stronom objętym postępowaniem, w którym przedstawia się zarzuty, istotne fakty, dowody potwierdzające, analizę prawną oraz, w stosownych przypadkach, proponowane środki naprawcze;

4)„podtrzymane uzasadnione sprzeciwy mające znaczenie dla sprawy” oznaczają sprzeciwy, które Europejska Rada Ochrony Danych uznała za uzasadnione i mające znaczenie dla sprawy w rozumieniu art. 4 ust. 24 rozporządzenia (UE) 2016/679.

ROZDZIAŁ II

Wnoszenie i rozpatrywanie skarg

Artykuł 3

Skargi transgraniczne

1.Skarga wniesiona na podstawie rozporządzenia (UE) 2016/679, dotycząca transgranicznego przetwarzania danych, powinna zawierać wymagane informacje zgodnie z formularzem określonym w załączniku. Aby uznać skargę za dopuszczalną nie są wymagane żadne dodatkowe informacje.

2.Organ nadzorczy, do którego wniesiono skargę, ustala, czy skarga dotyczy transgranicznego przetwarzania.

3.Organ nadzorczy, do którego wniesiono skargę, ustala w terminie jednego miesiąca kompletność informacji wymaganych zgodnie z formularzem.

4.Po dokonaniu oceny kompletności informacji wymaganych zgodnie z formularzem organ nadzorczy, do którego wniesiono skargę, przekazuje ją wiodącemu organowi nadzorczemu.

5.Skarżący, który przy wnoszeniu skargi domaga się zachowania poufności, powinien również przedłożyć niepoufną wersję skargi.

6.Organ nadzorczy, do którego wniesiono skargę, potwierdza jej otrzymanie w terminie jednego tygodnia. Potwierdzenie to pozostaje bez uszczerbku dla oceny dopuszczalności skargi zgodnie z ust. 3.

Artykuł 4

Rozpatrywanie skarg

Podczas dokonywania oceny, w jakim zakresie należy rozpatrywać daną skargę, organ nadzorczy uwzględnia w każdej sprawie wszystkie jej istotne okoliczności, w tym wszystkie poniższe elementy:

a)celowość zapewnienia skarżącemu skutecznego i terminowego środka ochrony prawnej;

b)wagę ewentualnego naruszenia;

c)systemowy lub powtarzalny charakter ewentualnego naruszenia.

Artykuł 5

Ugoda

Skargę można rozpatrzyć w drodze ugody między skarżącym a stronami objętymi postępowaniem. Jeżeli organ nadzorczy uzna, że ustalono ugodowe rozstrzygnięcie sporu, informuje skarżącego o proponowanej ugodzie. Jeżeli skarżący w terminie jednego miesiąca nie wniesie sprzeciwu wobec ugody zaproponowanej przez organ nadzorczy, skargę uznaje się za wycofaną.

Artykuł 6

Tłumaczenia

1.Organ nadzorczy, do którego wniesiono skargę, jest odpowiedzialny za:

a)tłumaczenie skarg i opinii skarżących na język używany do celów postępowania przez wiodący organ nadzorczy;

b)tłumaczenie dokumentów przekazanych przez wiodący organ nadzorczy na język używany do komunikacji ze skarżącym, jeżeli konieczne jest dostarczenie tych dokumentów skarżącemu zgodnie z niniejszym rozporządzeniem lub rozporządzeniem (UE) 2016/679.

2.W swoim regulaminie wewnętrznym Europejska Rada Ochrony Danych określa procedurę tłumaczenia uwag lub uzasadnionych sprzeciwów mających znaczenie dla sprawy, wyrażonych przez organy nadzorcze, których sprawa dotyczy, w języku innym niż język używany do celów postępowania przez wiodący organ nadzorczy.

Rozdział III

Współpraca na podstawie art. 60 rozporządzenia (UE) 2016/679

Sekcja 1

Osiągnięcie porozumienia w rozumieniu art. 60 ust. 1 rozporządzenia (UE) 2016/679

Artykuł 7

Współpraca między organami nadzorczymi

W ramach współpracy w celu osiągnięcia porozumienia, zgodnie z art. 60 ust. 1 rozporządzenia (UE) 2016/679, organy nadzorcze wykorzystują wszystkie środki przewidziane w rozporządzeniu (UE) 2016/679, w tym wzajemną pomoc zgodnie z art. 61 i wspólne operacje zgodnie z art. 62 rozporządzenia (UE) 2016/679.

Przepisy niniejszej sekcji dotyczą stosunków między organami nadzorczymi i nie służą przyznaniu praw osobom fizycznym ani stronom objętym postępowaniem.

Artykuł 8

Stosowne informacje w rozumieniu art. 60 ust. 1 i 3 rozporządzenia (UE) 2016/679

1.Wiodący organ nadzorczy regularnie informuje o prowadzonym postępowaniu pozostałe organy nadzorcze, których sprawa dotyczy, i niezwłocznie przekazuje im wszystkie stosowne informacje, gdy tylko staną się one dostępne.

2.Stosowne informacje w rozumieniu art. 60 ust. 1 i 3 rozporządzenia (UE) 2016/679 obejmują w stosownych przypadkach:

a)informacje o wszczęciu postępowania w sprawie potencjalnego naruszenia przepisów rozporządzenia (UE) 2016/679;

b)wnioski o udzielenie informacji na podstawie art. 58 ust. 1 lit. e) rozporządzenia (UE) 2016/679;

c)informacje o wykorzystaniu w zakresie prowadzonych postępowań innych uprawnień, o których mowa w art. 58 ust. 1 rozporządzenia (UE) 2016/679;

d)w przypadku przewidywanego odrzucenia skargi – powody jej odrzucenia przez wiodący organ nadzorczy;

e)streszczenie kluczowych kwestii w postępowaniu zgodnie z art. 9;

f)informacje o działaniach mających na celu stwierdzenie naruszenia rozporządzenia (UE) 2016/679, podjętych przed przygotowaniem wstępnych ustaleń;

g)wstępne ustalenia;

h)odpowiedź stron objętych postępowaniem na wstępne ustalenia;

i)opinia skarżącego na temat wstępnych ustaleń;

j)w przypadku odrzucenia skargi – pisemne oświadczenie skarżącego;

k)wszelkie stosowne działania podjęte przez wiodący organ nadzorczy po otrzymaniu odpowiedzi stron objętych postępowaniem na wstępne ustalenia oraz przed przedłożeniem projektu decyzji w rozumieniu art. 60 ust. 3 rozporządzenia (UE) 2016/679.

Artykuł 9

Streszczenie kluczowych kwestii

1.Gdy wiodący organ nadzorczy sformułuje wstępną opinię na temat głównych kwestii w postępowaniu, sporządza on streszczenie kluczowych kwestii na potrzeby współpracy zgodnie z art. 60 ust. 1 rozporządzenia (UE) 2016/679.

2.Streszczenie kluczowych kwestii zawiera wszystkie następujące elementy:

a)główne istotne fakty;

b)wstępne określenie zakresu postępowania, w szczególności wskazanie przepisów rozporządzenia (UE) 2016/679, których potencjalne naruszenie będzie przedmiotem postępowania;

c)wskazanie złożonych ocen prawnych i technologicznych, które są istotne dla wstępnego ukierunkowania oceny;

d)wstępne wskazanie potencjalnego działania naprawczego/potencjalnych działań naprawczych.

3.Organy nadzorcze, których sprawa dotyczy, mogą przedstawić uwagi odnośnie do streszczenia kluczowych kwestii. Uwagi takie należy przekazać w terminie czterech tygodni od otrzymania streszczenia kluczowych kwestii.

4.Uwagi przekazane zgodnie z ust. 3 muszą spełniać następujące wymogi:

a)użyty język jest wystarczająco zrozumiały i zawiera precyzyjne terminy umożliwiające wiodącemu organowi nadzorczemu bądź organom nadzorczym, których sprawa dotyczy, przygotowanie opinii;

b)argumenty prawne są zwięzłe i pogrupowane według części streszczenia kluczowych kwestii, do której się odnoszą;

c)uwagi organu nadzorczego, którego sprawa dotyczy, mogą być poparte dokumentami uzupełniającymi uwagi dotyczące konkretnych punktów.

5.Europejska Rada Ochrony Danych może określić w swoim regulaminie wewnętrznym ograniczenia maksymalnej długości uwag zgłaszanych przez organy nadzorcze, których sprawa dotyczy, w odniesieniu do streszczenia kluczowych kwestii.

6.Sprawy, w których żaden z organów nadzorczych, którego sprawa dotyczy, nie przedstawił uwag zgodnie z ust. 3 niniejszego artykułu, uznaje się za sprawy niesporne. W takich przypadkach wstępne ustalenia, o których mowa w art. 14, przekazuje się stronom objętym postępowaniem w terminie dziewięciu miesięcy od upływu terminu przewidzianego w ust. 3 niniejszego artykułu.

Artykuł 10

Środki służące osiągnięciu porozumienia

1.Organ nadzorczy, którego sprawa dotyczy, składa do wiodącego organu nadzorczego wniosek na podstawie art. 61 rozporządzenia (UE) 2016/679, art. 62 rozporządzenia (UE) 2016/679 lub obu tych przepisów, jeżeli po otrzymaniu uwag od pozostałych organów nadzorczych, których sprawa dotyczy, zgonie z art. 9 ust. 3, dany organ nadzorczy, którego sprawa dotyczy, nie zgadza się z oceną wiodącego organu nadzorczego w kwestiach:

a)zakresu postępowania w przypadku spraw, których podstawą były skargi, w tym w kwestii wskazania przepisów rozporządzenia (UE) 2016/679, których potencjalne naruszenie będzie przedmiotem postępowania;

b)wstępnych wytycznych dotyczących złożonych ocen prawnych wskazanych przez wiodący organ nadzorczy zgodnie z art. 9 ust. 2 lit. c);

c)wstępnych wytycznych dotyczących złożonych ocen technologicznych wskazanych przez wiodący organ nadzorczy zgodnie z art. 9 ust. 2 lit. c).

2.Wniosek, o którym mowa w ust. 1, składa się w terminie dwóch miesięcy od upływu terminu, o którym mowa w art. 9 ust. 3.

3.Wiodący organ nadzorczy współpracuje z organami nadzorczymi, których sprawa dotyczy, i opiera się na ich uwagach dotyczących streszczenia kluczowych kwestii oraz, w stosownych przypadkach, sporządzonych w odpowiedzi na wnioski złożone na podstawie art. 61 i 62 rozporządzenia (UE) 2016/679, w celu osiągnięcia porozumienia. Osiągnięte porozumienie służy wiodącemu organowi nadzorczemu za podstawę dalszego postępowania i sporządzenia wstępnych ustaleń lub, w stosownych przypadkach, przekazania organowi nadzorczemu, do którego wniesiono skargę, uzasadnienia wiodącego organu nadzorczego do celów określonych w art. 11 ust. 2.

4.Jeżeli w postępowaniu, którego podstawą była skarga, nie doszło do porozumienia w kwestii, o której mowa w art. 9 ust. 2 lit. b) niniejszego rozporządzenia, między wiodącym organem nadzorczym a co najmniej jednym organem nadzorczym, którego sprawa dotyczy, wiodący organ nadzorczy zwraca się do Europejskiej Rady Ochrony Danych z wnioskiem o pilne wydanie wiążącej decyzji zgodnie z art. 66 ust. 3 rozporządzenia (UE) 2016/679. W takiej sytuacji warunki zwrócenia się z wnioskiem o pilne wydanie wiążącej decyzji zgodnie z art. 66 ust. 3 rozporządzenia (UE) 2016/679 uznaje się za spełnione.

5.Zwracając się do Europejskiej Rady Ochrony Danych z wnioskiem o pilne wydanie wiążącej decyzji zgodnie z ust. 4 niniejszego artykułu, wiodący organ nadzorczy przedstawia wszystkie poniższe elementy:

a)dokumenty, o których mowa w art. 9 ust. 2 lit. a) i b);

b)uwagi organu nadzorczego, którego sprawa dotyczy, który nie zgadza się ze wstępnym określeniem zakresu postępowania dokonanym przez wiodący organ nadzorczy.

6.Europejska Rada Ochrony Danych przyjmuje wiążącą decyzję dotyczącą zakresu postępowania na podstawie uwag organów nadzorczych, których sprawa dotyczy, oraz stanowiska wiodącego organu nadzorczego w odniesieniu do tych uwag.

Sekcja 2

Odrzucanie skarg w całości lub w części

Artykuł 11

Wysłuchanie skarżącego przed odrzuceniem skargi w całości lub w części

1.Zgodnie z procedurą przewidzianą w art. 9 i 10 wiodący organ nadzorczy przekazuje organowi nadzorczemu, do którego wniesiono skargę, uzasadnienie swojej wstępnej opinii, zgodnie z którym skargę należy w całości lub w części odrzucić.

2.Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o powodach powzięcia zamiaru odrzucenia skargi w całości lub w części oraz określa termin, w którym skarżący może przedstawić swoją opinię na piśmie. Termin ten nie może być krótszy niż trzy tygodnie. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o konsekwencjach zaniechania przedstawienia takiej opinii.

3.Jeżeli skarżący nie przedstawi opinii w terminie określonym przez organ nadzorczy, do którego wniesiono skargę, skargę uznaje się za wycofaną.

4.Skarżący może zażądać dostępu do niepoufnej wersji dokumentów, na których opiera się proponowane odrzucenie skargi.

5.Jeżeli skarżący przedstawi opinię w terminie wyznaczonym przez organ nadzorczy, do którego wniesiono skargę, a opinia ta nie spowoduje zmiany wstępnej opinii, zgodnie z którą skargę należy w całości lub w części odrzucić, organ nadzorczy, do którego wniesiono skargę, przygotuje projekt decyzji zgodnie z art. 60 ust. 3 rozporządzenia (UE) 2016/679, a wiodący organ nadzorczy przedłoży go pozostałym organom nadzorczym, których sprawa dotyczy, zgodnie z art. 60 ust. 3 rozporządzenia (UE) 2016/679.

Artykuł 12

Zmieniony projekt decyzji o odrzuceniu skargi w całości lub w części

1.Jeżeli główny organ nadzorczy uzna, że zmieniony projekt decyzji, o którym mowa w art. 60 ust. 5 rozporządzenia (UE) 2016/679, zawiera elementy, w stosunku do których skarżący powinien mieć możliwość przedstawienia swojego stanowiska, organ nadzorczy, do którego wniesiono skargę – przed przedłożeniem zmienionego projektu decyzji na podstawie art. 60 ust. 5 rozporządzenia (UE) 2016/679 – zapewnia skarżącemu możliwość przedstawienia opinii o takich nowych elementach.

2.Organ nadzorczy, do którego wniesiono skargę, określa termin, w którym skarżący może przedstawić swoje uwagi na piśmie.

Artykuł 13

Decyzja o odrzuceniu skargi w całości lub w części

Jeżeli organ nadzorczy, do którego wniesiono skargę, przyjmuje decyzję o odrzuceniu skargi w całości lub w części zgodnie z art. 60 ust. 8 rozporządzenia (UE) 2016/679, informuje on skarżącego o środku ochrony prawnej przed sądem przysługującym mu zgodnie z art. 78 rozporządzenia (UE) 2016/679.

Sekcja 3

Decyzje kierowane do administratorów danych i podmiotów przetwarzających dane

Artykuł 14

Wstępne ustalenia i odpowiedź na wstępne ustalenia

1.Jeżeli wiodący organ nadzorczy zamierza przedłożyć pozostałym organom nadzorczym, których sprawa dotyczy, projekt decyzji w rozumieniu art. 60 ust. 3 rozporządzenia (UE) 2016/679 stwierdzającej naruszenie przepisów rozporządzenia (UE) 2016/679, sporządza on wstępne ustalenia.

2.W takich wstępnych ustaleniach przedstawia się zarzuty sformułowane w sposób wyczerpujący i wystarczająco jasny tak, aby umożliwić stronom objętym postępowaniem zapoznanie się z zachowaniem będącym przedmiotem postępowania prowadzonego przez wiodący organ nadzorczy. We wstępnych ustaleniach należy w szczególności jasno przedstawić wszystkie fakty i całą ocenę prawną, które podniesiono przeciwko stronom objętym postępowaniem, tak aby strony te mogły wyrazić swoje stanowisko w temacie faktów i wniosków prawnych, które wiodący organ nadzorczy zamierza przedstawić w projekcie decyzji w rozumieniu art. 60 ust. 3 rozporządzenia (UE) 2016/679; należy w nich również wskazać wszystkie dowody, na których opiera się ten ostatni organ.

We wstępnych ustaleniach wskazuje się środki naprawcze, jakie wiodący organ nadzorczy zamierza zastosować.

Wiodący organ nadzorczy, który zamierza nałożyć karę pieniężną, we wstępnych ustaleniach wymienia istotne elementy, w oparciu o które oblicza taką karę. W szczególności wiodący organ nadzorczy wskazuje istotne fakty i kwestie prawne, które mogą skutkować nałożeniem administracyjnej kary pieniężnej, oraz elementy wymienione w art. 83 ust. 2 rozporządzenia (UE) 2016/679, w tym wszelkie mające zastosowanie czynniki obciążające lub łagodzące.

3.Wiodący organ nadzorczy powiadamia każdą ze stron objętych postępowaniem o wstępnych ustaleniach.

4.Przy powiadamianiu stron objętych postępowaniem o wstępnych ustaleniach wiodący organ nadzorczy określa termin, w którym strony te mogą wyrazić swoje stanowisko na piśmie. Wiodący organ nadzorczy nie ma obowiązku uwzględnić pisemnych opinii otrzymanych po upływie tego terminu.

5.Przy powiadamianiu stron objętych postępowaniem o wstępnych ustaleniach wiodący organ nadzorczy zapewnia im dostęp do akt administracyjnych zgodnie z art. 20.

6.Strony objęte postępowaniem mogą w pisemnej odpowiedzi na wstępne ustalenia przedstawić wszystkie znane im fakty i argumenty prawne istotne dla ich obrony przed zarzutami wiodącego organu nadzorczego. Do swojej pisemnej odpowiedzi strony dołączają wszelkie istotne dokumenty jako dowody przedstawionych faktów. Wiodący organ nadzorczy w swoim projekcie decyzji zajmuje się wyłącznie zarzutami, w tym faktami i oceną prawną opartą na tych faktach, w odniesieniu do których strony objęte postępowaniem miały możliwość przedstawienia uwag.

Artykuł 15

Przekazywanie skarżącym wstępnych ustaleń

1.W przypadku gdy wiodący organ nadzorczy wydaje wstępne ustalenia w związku z kwestią w sprawie której otrzymał skargę, organ nadzorczy, do którego wniesiono skargę, przekazuje skarżącemu niepoufną wersję tych wstępnych ustaleń oraz określa termin, w którym skarżący może wyrazić swoje stanowisko na piśmie.

2.Ust. 1 ma zastosowanie również wtedy, gdy organ nadzorczy, w stosownych przypadkach, rozpatruje kilka skarg łącznie, dzieli jedną skargę na kilka części lub w jakikolwiek inny sposób korzysta ze swobody uznania zakresu postępowania określonego w ramach wstępnych ustaleń.

3.Jeżeli wiodący organ nadzorczy uzna, że aby skarżący mógł skutecznie przedstawić swoją opinię w temacie wstępnych ustaleń, konieczne jest udostępnienie mu dokumentów włączonych do akt administracyjnych, organ nadzorczy, do którego wniesiono skargę, dostarcza skarżącemu wersję tych dokumentów nieopatrzoną klauzulą poufności, wraz ze wstępnymi ustaleniami przekazywanymi zgodnie z ust. 1.

4.Skarżący otrzymuje niepoufną wersję wstępnych ustaleń wyłącznie do celów konkretnego postępowania, w ramach którego je wydano.

5.Przed otrzymaniem niepoufnej wersji wstępnych ustaleń i wszelkich dokumentów dostarczonych mu zgodnie z ust. 3 skarżący przesyła wiodącemu organowi nadzorczemu oświadczenie o zachowaniu poufności, w którym zobowiązuje się nie ujawniać żadnych informacji ani ocen zawartych w niepoufnej wersji wstępnych ustaleń ani nie wykorzystywać tych ustaleń do celów innych niż konkretne postępowanie, w ramach którego ustalenia te wydano.

Artykuł 16

Przyjęcie ostatecznej decyzji

Po przedłożeniu projektu decyzji organom nadzorczym, których sprawa dotyczy, zgodnie z art. 60 ust. 3 rozporządzenia (UE) 2016/679, jeżeli żaden z organów nadzorczych, których sprawa dotyczy, nie zgłosił sprzeciwu wobec projektu decyzji w terminach, o których mowa w art. 60 ust. 4 i 5 rozporządzenia (UE) 2016/679, wiodący organ nadzorczy przyjmuje decyzję i doręcza ją, na podstawie art. 60 ust. 7 rozporządzenia (UE) 2016/679, głównej bądź pojedynczej jednostce organizacyjnej administratora lub podmiotu przetwarzającego dane oraz informuje o decyzji organy nadzorcze, których sprawa dotyczy, i Europejską Radę Ochrony Danych, dołączając streszczenie stanu faktycznego i powodów podjęcia takiej decyzji.

Artykuł 17

Prawo do bycia wysłuchanym w temacie zmienionego projektu decyzji

1.Jeżeli główny organ nadzorczy uzna, że zmieniony projekt decyzji, o którym mowa w art. 60 ust. 5 rozporządzenia (UE) 2016/679, zawiera elementy, w stosunku do których strony objęte postępowaniem powinny mieć możliwość przedstawienia swojego stanowiska, wiodący organ nadzorczy – przed przedłożeniem zmienionego projektu decyzji na podstawie art. 60 ust. 5 rozporządzenia (UE) 2016/679 – zapewnia stronom objętym postępowaniem możliwość przedstawienia opinii o takich nowych elementach.

2.Wiodący organ nadzorczy określa termin, w którym strony objęte postępowaniem mogą wyrazić swoje stanowisko.

Sekcja 4

Uzasadnione sprzeciwy mające znaczenie dla sprawy

Artykuł 18

Uzasadnione sprzeciwy mające znaczenie dla sprawy

1.Uzasadnione sprzeciwy mające znaczenie dla sprawy w rozumieniu art. 4 ust. 24 rozporządzenia (UE) 2016/679:

a)muszą być oparte wyłącznie na elementach faktycznych ujętych w projekcie decyzji oraz

b)nie mogą zmieniać zakresu zarzutów w wyniku wskazania dodatkowych zarzutów naruszenia przepisów rozporządzenia (UE) 2016/679 lub zmiany charakteru zarzutów już podniesionych.

2.Forma i struktura uzasadnionych sprzeciwów mających znaczenie dla sprawy musi spełniać wszystkie poniższe wymogi:

a)każdy uzasadniony sprzeciw mający znaczenie dla sprawy oraz stanowisko wiodącego organu nadzorczego w sprawie takiego sprzeciwu nie przekraczają trzech stron i nie zawierają załączników. W sprawach dotyczących szczególnie złożonych kwestii prawnych maksymalną długość powyższych dokumentów można podnieść do sześciu stron, chyba że Europejska Rada Ochrony Danych zaakceptuje szczególne okoliczności uzasadniające dodatkowe jej zwiększenie;

b)informację o braku zgody organu nadzorczego, którego sprawa dotyczy, na projekt decyzji podaje się na początku uzasadnionego sprzeciwu mającego znaczenie dla sprawy i formułuje się ją przy użyciu wystarczająco zrozumiałych, spójnych i precyzyjnych terminów, aby umożliwić wiodącemu organowi nadzorczemu bądź organom nadzorczym, których sprawa dotyczy, przygotowanie swoich stanowisk, a Europejskiej Radzie Ochrony Danych – skuteczne rozstrzygnięcie sporu;

c)argumenty prawne są zwięzłe i pogrupowane według części operacyjnych projektu decyzji, do których się odnoszą. Każdy argument lub grupę argumentów poprzedza się zazwyczaj ich streszczeniem.

Rozdział IV

Dostęp do akt administracyjnych i przetwarzanie informacji poufnych

Artykuł 19

Zawartość akt administracyjnych

1.Akta administracyjne w postępowaniu w sprawie potencjalnego naruszenia przepisów rozporządzenia (UE) 2016/679 składają się ze wszystkich dokumentów, które wiodący organ nadzorczy uzyskał, sporządził lub zgromadził w trakcie postępowania.

2.W toku postępowania w sprawie potencjalnego naruszenia rozporządzenia (UE) 2016/679 wiodący organ nadzorczy może zwrócić stronie uzyskane od niej dokumenty, jeżeli po bardziej szczegółowej ich analizie okazało się, że nie są one związane z przedmiotem postępowania. Zwrócone dokumenty nie stanowią już części akt administracyjnych.

3.Prawo dostępu do akt administracyjnych nie obejmuje dostępu do korespondencji i wymiany stanowisk między wiodącym organem nadzorczym a organami nadzorczymi, których sprawa dotyczy. Informacje wymieniane między organami nadzorczymi na potrzeby postępowania w indywidualnej sprawie są dokumentami wewnętrznymi i nie są udostępniane stronom objętym postępowaniem ani skarżącemu.

4.Dostęp do uzasadnionych sprzeciwów mających znaczenie dla sprawy, o których mowa w art. 60 ust. 4 rozporządzenia (UE) 2016/679, zapewnia się zgodnie z art. 24. 

Artykuł 20

Dostęp do akt administracyjnych i wykorzystanie dokumentów

1.Wiodący organ nadzorczy przyznaje stronom objętym postępowaniem dostęp do akt administracyjnych, co umożliwia im skorzystanie z prawa do bycia wysłuchanym. Dostęp do akt administracyjnych przyznaje się po tym, jak wiodący organ nadzorczy powiadomi strony objęte postępowaniem o swoich wstępnych ustaleniach.

2.Akta administracyjne zawierają wszystkie dokumenty, zarówno obciążające, jak i uniewinniające, w tym fakty i dokumenty znane stronom objętym postępowaniem.

3.Wnioski wiodącego organu nadzorczego zawarte w projekcie decyzji, o którym mowa w art. 60 ust. 3 rozporządzenia (UE) 2016/679, oraz w ostatecznej decyzji, o której mowa w art. 60 ust. 7 rozporządzenia (UE) 2016/679, mogą opierać się wyłącznie na dokumentach wymienionych we wstępnych ustaleniach lub na dokumentach, w stosunku do których strony objęte postępowaniem miały możliwość przedstawienia swojej opinii.

4.Dokumenty uzyskane w drodze dostępu do akt administracyjnych zgodnie z niniejszym artykułem wykorzystuje się wyłącznie do celów postępowania sądowego lub administracyjnego dotyczącego stosowania rozporządzenia (UE) 2016/679 w konkretnej sprawie, w związku z którą dokumenty te przekazano.

Artykuł 21

Identyfikacja i ochrona informacji poufnych

1.Jeżeli niniejsze rozporządzenie nie stanowi inaczej, organ nadzorczy nie przekazuje ani nie udostępnia informacji, które zebrał lub uzyskał w sprawach transgranicznych dotyczących rozporządzenia (UE) 2016/679, w tym wszelkich dokumentów zawierających takie informacje, jeżeli zawierają one tajemnice handlowe lub inne informacje poufne dotyczące jakiejkolwiek osoby.

2.W trakcie postępowania wyłącza się z wniosków o dostęp składanych na podstawie przepisów o publicznym dostępie do dokumentów urzędowych wszelkie informacje zebrane lub uzyskane przez organ nadzorczy w sprawach transgranicznych dotyczących rozporządzenia (UE) 2016/679, w tym wszelkie dokumenty zawierające takie informacje.

3.Przekazując wstępne ustalenia stronom objętym postępowaniem i przyznając dostęp do akt administracyjnych na podstawie art. 20, wiodący organ nadzorczy zapewnia, aby strony objęte postępowaniem, którym udziela się dostępu do informacji zawierających tajemnice handlowe lub do innych informacji poufnych, traktowały takie informacje z najwyższym poszanowaniem ich poufności oraz aby informacji tych nie wykorzystywano ze szkodą dla osoby, która ich dostarczyła. W zależności od stopnia poufności informacji wiodący organ nadzorczy przyjmuje odpowiednie ustalenia, aby zapewnić pełną skuteczność prawa do obrony stron objętych postępowaniem z należytym uwzględnieniem poufności informacji.

4.Podmiot przedkładający informacje, które uważa za poufne, musi wyraźnie wskazać te informacje i podać powody, dla których uważa je za poufne. Podmiot ten dostarcza także oddzielną, niepoufną wersję przedkładanych informacji.

5.Bez uszczerbku dla ust. 4 wiodący organ nadzorczy może postawić wymóg, aby strony objęte postępowaniem lub jakiekolwiek inne strony, sporządzające dokumenty zgodnie z rozporządzeniem (UE) 2016/679, oznaczyły dokumenty lub części dokumentów, które według nich zawierają należące do nich tajemnice handlowe lub inne informacje poufne, oraz aby określiły strony, wobec których takie dokumenty uznaje się za poufne.

6.Wiodący organ nadzorczy może wyznaczyć termin, w którym strony objęte postępowaniem i jakiekolwiek inne strony występujące z roszczeniem dotyczącym poufności informacji mogą:

a)uzasadnić swoje roszczenie dotyczące tajemnic handlowych i innych informacji poufnych w odniesieniu do każdego indywidualnego dokumentu lub części dokumentu, oświadczenia lub części oświadczenia;

b)dostarczyć wersję niepoufną dokumentów i oświadczeń, w której utajniono tajemnice handlowe i inne informacje poufne;

c)przekazać zwięzły, niepoufny opis poszczególnych utajnionych informacji.

7.Jeżeli strony objęte postępowaniem lub jakiekolwiek inne strony nie zastosują się do ust. 4 i 5, wiodący organ nadzorczy może założyć, że przedmiotowe dokumenty lub oświadczenia nie zawierają tajemnic handlowych ani innych informacji poufnych.

Rozdział V

Rozstrzyganie sporów

Artykuł 22

Przekazywanie spraw do rozstrzygnięcia sporu na podstawie art. 65 rozporządzenia (UE) 2016/679

1.Jeżeli wiodący organ nadzorczy nie przychyla się do uzasadnionych sprzeciwów mających znaczenie dla sprawy lub sądzi, że sprzeciwy te nie są uzasadnione lub nie mają znaczenia dla sprawy, przekazuje sprawę do rozstrzygnięcia sporu, zgodnie z procedurą określoną w art. 65 rozporządzenia (UE) 2016/679.

2.Przekazując sprawę do rozstrzygnięcia sporu, wiodący organ nadzorczy dostarcza Europejskiej Radzie Ochrony Danych wszystkie następujące dokumenty:

a)projekt decyzji lub zmieniony projekt decyzji będącej przedmiotem uzasadnionych sprzeciwów mających znaczenie dla sprawy;

b)streszczenie istotnych faktów;

c)wstępne ustalenia;

d)ewentualne pisemne opinie stron objętych postępowaniem wyrażone na podstawie art. 14 lub 17;

e)ewentualne pisemne opinie skarżących wyrażone na podstawie art. 11, 12 lub 15;

f)uzasadnione sprzeciwy mające znaczenie dla sprawy, do których nie przychylił się wiodący organ nadzorczy;

g)powody, dla których wiodący organ nadzorczy nie przychylił się do uzasadnionych sprzeciwów mających znaczenie dla sprawy lub uznał, że sprzeciwy te nie są uzasadnione lub nie są istotne dla sprawy.

3.W terminie czterech tygodni od otrzymania dokumentów wymienionych w ust. 2 Europejska Rada Ochrony Danych wskazuje, które z uzasadnionych sprzeciwów mających znaczenie dla sprawy zostają podtrzymane.

Artykuł 23

Rejestracja sprawy w przypadku decyzji przyjmowanej na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679

Przewodniczący Europejskiej Rady Ochrony Danych rejestruje przekazanie sprawy do rozstrzygnięcia sporu na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679 nie później niż tydzień po otrzymaniu wszystkich następujących dokumentów:

a)projektu decyzji lub zmienionego projektu decyzji będącej przedmiotem uzasadnionych sprzeciwów mających znaczenie dla sprawy;

b)streszczenia istotnych faktów;

c)ewentualnych pisemnych opinii stron objętych postępowaniem wyrażonych na podstawie art. 14 lub 17;

d)ewentualnych pisemnych opinii skarżących wyrażonych na podstawie art. 11, 12 i 15;

e)podtrzymanych uzasadnionych sprzeciwów mających znaczenie dla sprawy;

f)powodów, dla których wiodący organ nadzorczy nie przychylił się do podtrzymanych uzasadnionych sprzeciwów mających znaczenie dla sprawy.

Artykuł 24

Uzasadnienie decyzji przyjmowanej na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679 opracowywane przed jej przyjęciem

1.Przed przyjęciem wiążącej decyzji na podstawie art. 65 ust. 1 lit. a) rozporządzenia (UE) 2016/679 przewodniczący Europejskiej Rady Ochrony Danych przekazuje za pośrednictwem wiodącego organu nadzorczego stronom objętym postępowaniem lub – w przypadku odrzucenia skargi w całości lub w części – skarżącemu uzasadnienie wyjaśniające argumentację, jaką Europejska Rada Ochrony Danych zamierza przyjąć w swojej decyzji. W przypadku gdy Europejska Rada Ochrony Danych zamierza przyjąć wiążącą decyzję zobowiązującą wiodący organ nadzorczy do zmiany projektu decyzji lub zmienionego projektu decyzji, Europejska Rada Ochrony Danych decyduje, czy do takiego uzasadnienia dołącza podtrzymane uzasadnione sprzeciwy mające znaczenie dla sprawy, na podstawie których Europejska Rada Ochrony Danych zamierza przyjąć decyzję.

2.Stronom objętym postępowaniem lub – w przypadku odrzucenia skargi w całości lub w części – skarżącemu, przysługuje jeden tydzień od dnia otrzymania uzasadnienia, o którym mowa w ust. 1, na przedstawienie swojego stanowiska.

3.Termin, o którym mowa w ust. 2, przedłuża się o jeden tydzień, w przypadku gdy Europejska Rada Ochrony Danych przedłuży termin na przyjęcie wiążącej decyzji zgodnie z art. 65 ust. 2 rozporządzenia (UE) 2016/679.

4.Termin na przyjęcie wiążącej decyzji przez Europejską Radę Ochrony Danych, o którym mowa w art. 65 ust. 2 rozporządzenia (UE) 2016/679, nie biegnie w okresach, o których mowa w ust. 2 i 3.

Artykuł 25

Procedura w przypadku decyzji przyjmowanej na podstawie art. 65 ust. 1 lit. b) rozporządzenia (UE) 2016/679

1.Organ nadzorczy przekazujący Europejskiej Radzie Ochrony Danych, na podstawie art. 65 ust. 1 lit. b) rozporządzenia 2016/679, sprawę dotyczącą tego, który z organów nadzorczych jest właściwy względem głównej jednostki organizacyjnej, dostarcza Europejskiej Radzie Ochrony Danych wszystkie następujące dokumenty:

a)streszczenie istotnych faktów;

b)ocenę tych faktów pod kątem spełnienia warunków określonych w art. 56 ust. 1 rozporządzenia (UE) 2016/679;

c)opinie administratora danych lub podmiotu przetwarzającego dane, którego główna jednostka organizacyjna jest przedmiotem przekazanej sprawy;

d)opinie innych organów nadzorczych, których dotyczy przekazana sprawa;

e)wszelkie inne dokumenty lub informacje, które organ nadzorczy przekazujący skargę uzna za istotne i niezbędne do rozstrzygnięcia danej sprawy.

2.Przewodniczący Europejskiej Rady Ochrony Danych rejestruje wpłynięcie sprawy nie później niż tydzień po otrzymaniu dokumentów, o których mowa w ust. 1.

Artykuł 26

Procedura w przypadku decyzji przyjmowanej na podstawie art. 65 ust. 1 lit. c) rozporządzenia (UE) 2016/679

1.Komisja lub organ nadzorczy przekazujący Europejskiej Radzie Ochrony Danych sprawę na podstawie art. 65 ust. 1 lit. c) rozporządzenia 2016/679 dostarczają Europejskiej Radzie Ochrony Danych wszystkie następujące dokumenty:

a)streszczenie istotnych faktów;

b)ewentualną opinię wydaną przez Europejską Radę Ochrony Danych zgodnie z art. 64 rozporządzenia (UE) 2016/679;

c)opinię Komisji lub organu nadzorczego zgłaszającego daną sprawę na temat tego, czy organ nadzorczy zobowiązany był wystąpić o opinię Europejskiej Rady Ochrony Danych na podstawie art. 64 ust. 1 rozporządzenia (UE) 2016/679, bądź czy organ nadzorczy nie zastosował się do opinii Europejskiej Rady Ochrony Danych wydanej na podstawie art. 64 rozporządzenia (UE) 2016/679.

2.Przewodniczący Europejskiej Rady Ochrony Danych zwraca się o przekazanie mu następujących dokumentów:

a)opinii organu nadzorczego, któremu zarzuca się naruszenie wymogu wystąpienia o opinię Europejskiej Rady Ochrony Danych lub niezastosowanie się do takiej opinii;

b)wszelkich innych dokumentów lub informacji, które organ nadzorczy uzna za istotne i niezbędne do rozstrzygnięcia danej sprawy.

Jeżeli którykolwiek z organów nadzorczych wyrazi potrzebę przedstawienia opinii w temacie przekazanej sprawy, przedstawia ją w terminie dwóch tygodni od przekazania sprawy, o którym mowa w ust. 1.

3.Przewodniczący Europejskiej Rady Ochrony Danych rejestruje wpłynięcie sprawy nie później niż tydzień po otrzymaniu dokumentów, o których mowa w ust. 1 i 2.

Rozdział VI

Tryb pilny

Artykuł 27

Wydawanie opinii w trybie pilnym na podstawie art. 66 ust. 2 rozporządzenia (UE) 2016/679

1.Wniosek o wydanie przez Europejską Radę Ochrony Danych Radę opinii w trybie pilnym na podstawie art. 66 ust. 2 rozporządzenia (UE) 2016/679 składa się nie później niż na trzy tygodnie przed wygaśnięciem środków tymczasowych przyjętych na postawie art. 66 ust. 1 rozporządzenia (UE) 2016/679, przy czym zawiera on wszystkie następujące elementy:

a)streszczenie istotnych faktów;

b)opis środka tymczasowego przyjętego przez organ nadzorczy na terytorium jego państwa członkowskiego, czas obowiązywania tego środka i powody jego przyjęcia, w tym uzasadnienie pilnej potrzeby podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą;

c)uzasadnienie pilnej potrzeby przyjęcia na terytorium państwa członkowskiego wnioskującego organu nadzorczego środków o charakterze ostatecznym, w tym wyjaśnienie wyjątkowego charakteru okoliczności wymagających przyjęcia tych środków.

2.Opinia Europejskiej Rady Ochrony Danych wydana w trybie pilnym skierowana jest do organu nadzorczego, który wystąpił z wnioskiem. Jest ona podobna do opinii, o której mowa w art. 64 ust. 1 rozporządzenia (UE) 2016/679, i umożliwia organowi wnioskującemu podtrzymanie lub zmianę środka tymczasowego zgodnie z zobowiązaniami określonymi w art. 64 ust. 7 rozporządzenia (UE) 2016/679.

Artykuł 28

Wydawanie decyzji w trybie pilnym na podstawie art. 66 ust. 2 rozporządzenia (UE) 2016/679

1.Wniosek o wydanie przez Europejską Radę Ochrony Danych Radę decyzji w trybie pilnym na podstawie art. 66 ust. 2 rozporządzenia (UE) 2016/679 składa się nie później niż trzy tygodnie przed wygaśnięciem środków tymczasowych przyjętych na postawie art. 61 ust. 8, art. 62 ust. 7 lub art. 66 ust. 1 rozporządzenia (UE) 2016/679. Wniosek ten zawiera wszystkie następujące elementy:

a)streszczenie istotnych faktów;

b)opis środka tymczasowego przyjętego przez organ nadzorczy, który zwrócił się z wnioskiem o wydanie decyzji, na terytorium jego państwa członkowskiego, czas obowiązywania tego środka i powody jego przyjęcia, w szczególności uzasadnienie pilnej potrzeby podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą;

c)informacje o wszelkich środkach podjętych na własnym terytorium w ramach postępowania oraz odpowiedzi lokalnej jednostki organizacyjnej stron objętych postępowaniem lub wszelkie inne informacje będące w posiadaniu organu nadzorczego zwracającego się z wnioskiem;

d)uzasadnienie pilnej potrzeby przyjęcia na terytorium państwa członkowskiego wnioskującego organu nadzorczego środków o charakterze ostatecznym, przy uwzględnieniu wyjątkowego charakteru okoliczności wymagających przyjęcia środków o charakterze ostatecznym, lub dowód nieudzielenia przez organ nadzorczy odpowiedzi na wniosek złożony na podstawie art. 61 ust. 3 lub art. 62 ust. 2 rozporządzenia (UE) 2016/679;

e)jeżeli organ zwracający się z wnioskiem nie jest wiodącym organem nadzorczym – opinia wiodącego organu nadzorczego;

f)w stosownych przypadkach, opinia lokalnej jednostki organizacyjnej stron objętych postępowaniem, wobec których zastosowano środki tymczasowe zgodnie z art. 66 ust. 1 rozporządzenia (UE) 2016/679.

2.Decyzja wydana w trybie pilnym, o której mowa w ust. 1, skierowana jest do organu nadzorczego, który wystąpił z wnioskiem, i umożliwi temu organowi podtrzymanie lub zmianę przyjętego przez siebie środka tymczasowego.

3.Jeżeli Europejska Rada Ochrony Danych wyda w trybie pilnym wiążącą decyzję o przyjęciu środków o charakterze ostatecznym, organ nadzorczy, do którego skierowana jest decyzja, przyjmie takie środki przed wygaśnięciem środków tymczasowych przyjętych na podstawie art. 66 ust. 1 rozporządzenia (UE) 2016/679.

4.Organ nadzorczy, który wystąpił z wnioskiem, o którym mowa w ust. 1, powiadamia jednostkę organizacyjną administratora danych lub podmiotu przetwarzającego dane, znajdującą się na terytorium państwa członkowskiego tego organu, o swojej decyzji w sprawie przyjęcia środków o charakterze ostatecznym oraz informuje o tym Europejską Radę Ochrony Danych. Jeżeli organ zwracający się z wnioskiem nie jest wiodącym organem nadzorczym, informuje on wiodący organ nadzorczy o przyjętym środku o charakterze ostatecznym.

5.Jeżeli w wiążącej decyzji wydanej w trybie pilnym wskazano, że przyjęcie w trybie pilnym środków o charakterze ostatecznym nie jest konieczne, wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, stosują procedurę określoną w art. 60 rozporządzenia (UE) 2016/679.

Rozdział VII

Przepisy ogólne i końcowe

Artykuł 29

Rozpoczęcie biegu terminów i definicja dnia roboczego

1.Terminy przewidziane w rozporządzeniu (UE) 2016/679 lub wyznaczone przez organy nadzorcze na podstawie tego rozporządzenia oblicza się zgodnie z rozporządzeniem Rady (EWG, Euratom) nr 1182/71 17 .

2.Terminy rozpoczynają bieg następnego dnia roboczego po dniu zdarzenia, do którego odnosi się stosowny przepis rozporządzenia (UE) 2016/679 lub niniejszego rozporządzenia.

Artykuł 30

Przepisy przejściowe

Rozdziały III i IV powinny mieć zastosowanie do postępowań wszczętych z urzędu po wejściu w życie niniejszego rozporządzenia oraz do postępowań skargowych, w przypadku gdy skargę wniesiono po wejściu niniejszego rozporządzenia w życie.

Rozdział V powinien mieć zastosowanie do wszystkich spraw poddanych procedurze rozstrzygania sporów, o której mowa w art. 65 rozporządzenia (UE) 2016/679, po wejściu w życie niniejszego rozporządzenia.

Artykuł 31

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia […] r.

(1)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. L 119 z 4.5.2016, s. 1.

(2)    Komunikat Komisji do Parlamentu Europejskiego i Rady dotyczący ochrony danych jako filaru wzmacniania pozycji obywateli oraz podejścia UE do transformacji cyfrowej – dwa lata stosowania ogólnego rozporządzenia o ochronie danych (COM(2020) 264 final).

(3)    Rezolucja Parlamentu Europejskiego z dnia 25 marca 2021 r. w sprawie sprawozdania Komisji z oceny wdrożenia ogólnego rozporządzenia o ochronie danych po dwóch latach jego stosowania (2020/2717(RSP)).

(4)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_pl  

(5)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf  

(6)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=pl&do=groupDetail.groupDetail&groupID=3537  

(7)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=pl&do=groupDetail.groupDetail&groupID=3461  

(8)     https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-programme-2023_pl  

(9)    Komunikat Komisji do Parlamentu Europejskiego i Rady dotyczący ochrony danych jako filaru wzmacniania pozycji obywateli oraz podejścia UE do transformacji cyfrowej – dwa lata stosowania ogólnego rozporządzenia o ochronie danych (COM(2020) 264 final).

(10)    Dokument roboczy służb Komisji towarzyszący komunikatowi Komisji do Parlamentu Europejskiego i Rady dotyczącemu ochrony danych jako filaru wzmacniania pozycji obywateli oraz podejścia UE do transformacji cyfrowej – dwa lata stosowania ogólnego rozporządzenia o ochronie danych (SWD(2020) 115 final).

(11)    Rezolucja Parlamentu Europejskiego z dnia 25 marca 2021 r. w sprawie sprawozdania Komisji z oceny wdrożenia ogólnego rozporządzenia o ochronie danych po dwóch latach jego stosowania (2020/2717(RSP)).

(12)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_pl  

(13)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf  

(14)    Dz.U. C z , s. .

(15)    Dz.U. C z , s. .

(16)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz.U. L 119 z 4.5.2016, s. 1).

(17)    Rozporządzenie Rady (EWG, Euratom) nr 1182/71 z dnia 3 czerwca 1971 r. określające zasady mające zastosowanie do okresów, dat i terminów (Dz.U. L 124 z 8.6.1971, s. 1).

KOMISJA EUROPEJSKA

Bruksela, dnia 4.7.2023

COM(2023) 348 final

ZAŁĄCZNIK

do wniosku

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

ustanawiające dodatkowe przepisy proceduralne dotyczące egzekwowania rozporządzenia (UE) 2016/679

ZAŁĄCZNIK

(1)    Skargę wypełnia się i składa elektronicznie lub uzupełnia się i przekazuje pocztą organowi nadzorczemu.

(2)    Na przykład kopię paszportu, prawa jazdy, krajowego dowodu tożsamości.

(3)    Jeżeli skarżącym jest organ, o którym mowa w art. 80 rozporządzenia (UE) 2016/679, należy podać wszystkie informacje określone w pkt 2.