Bruxelles, 4.7.2023

COM(2023) 348 final

2023/0202(COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI


de stabilire a unor norme procedurale suplimentare referitoare la asigurarea respectării Regulamentului (UE) 2016/679


EXPUNERE DE MOTIVE

1.CONTEXTUL PROPUNERII

Motivele și obiectivele propunerii

Asigurarea respectării efective a normelor UE privind protecția datelor este o condiție prealabilă pentru asigurarea protejării dreptului la protecția datelor cu caracter personal consacrat la articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”) și la articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE).

Autorităților naționale independente de protecție a datelor (APD) li s-a atribuit sarcina de a asigura respectarea Regulamentului (UE) 2016/679 (Regulamentul general privind protecția datelor sau RGPD) 1 de la intrarea sa în vigoare în 2018. Scopul sistemului descentralizat de asigurare a respectării normelor („mecanismul ghișeului unic”) este să asigure interpretarea și aplicarea coerente ale RGPD, menținând în același timp principiul proximității, care garantează faptul că persoanele au posibilitatea de a contacta APD locală și de a primi un răspuns. Acest sistem presupune cooperarea dintre autoritățile pentru protecția datelor în cazurile „transfrontaliere”. În astfel de cazuri, APD „principală” (APD din locul în care se află sediul principal al operatorului sau al persoanei împuternicite de operator care face obiectul investigației) este cea care desfășoară investigația și are obligația de a coopera cu alte APD „vizate” în încercarea de a ajunge la un consens, angajându-se într-un dialog cu acestea într-un spirit de cooperare loială și eficace. APD principală trebuie să își exercite competența într-un cadru de cooperare strânsă cu celelalte APD vizate. În cazul în care APD-urile nu pot ajunge la un consens într-un caz transfrontalier, RGPD prevede soluționarea litigiilor referitoare la chestiuni specifice ridicate prin așa-numitele „obiecții relevante și motivate” de către Comitetul european pentru protecția datelor (denumit în continuare „comitetul”), care este alcătuit din șefii APD din fiecare stat membru și din Autoritatea Europeană pentru Protecția Datelor și la care participă și Comisia.

În raportul său întocmit la doi ani de la aplicarea RGPD, Comisia a remarcat că sunt necesare progrese suplimentare pentru ca tratarea cazurilor transfrontaliere să devină mai eficientă și mai armonizată în întreaga UE 2 . În raport s-au remarcat diferențe importante în ceea ce privește procedurile administrative naționale și interpretările conceptelor din cadrul mecanismului de cooperare prevăzut de RGPD. În rezoluția sa referitoare la raportul Comisiei din 2020 privind RGPD, Parlamentul European a îndemnat Comisia să evalueze dacă procedurile administrative naționale obstrucționează eficacitatea deplină a cooperării, în conformitate cu articolul 60 din RGPD, precum și punerea sa efectivă în practică 3 . Parlamentul European a solicitat comitetului să stabilească elementele de bază ale unei proceduri administrative comune pentru soluționarea plângerilor în cazurile transfrontaliere în cadrul cooperării prevăzute la articolul 60. În 2020, comitetul a lansat un proces de reflecție privind îmbunătățirea cooperării dintre APD în cazurile transfrontaliere; rezultatul a fost adoptarea, în aprilie 2022, a unei declarații privind cooperarea în materie de asigurare a respectării normelor, în care comitetul s-a angajat să identifice o listă de aspecte procedurale care ar putea fi mai bine armonizate în legislația UE 4 . În octombrie 2022, comitetul a transmis această listă Comisiei 5 .

Prezenta propunere se bazează pe raportul Comisiei din 2020 privind RGPD, pe lista comitetului din octombrie 2022 și pe concluziile pe care Comisia le-a desprins din monitorizarea asigurării respectării RGPD de la intrarea sa în vigoare, din activitatea Grupului multipartit de experți privind RGPD 6 și a Grupului de experți al statelor membre privind RGPD 7 , precum și pe observațiile primite de Comisie ca răspuns la o cerere de contribuții lansată în februarie 2023. Propunerea face parte din programul de lucru al Comisiei pentru 2023 8 (rubrica generală „Un nou elan pentru democrația europeană”).

Aplicarea consecventă a RGPD depinde de funcționarea eficace a sistemului transfrontalier de asigurare a respectării normelor prevăzut de RGPD. Diferențele dintre procedurile aplicate de APD împiedică funcționarea armonioasă și eficace a mecanismelor de cooperare și de soluționare a litigiilor prevăzute de RGPD în cazurile transfrontaliere. Aceste diferențe au, totodată, consecințe importante asupra drepturilor părților care fac obiectul investigațiilor și ale reclamanților (în calitate de persoane vizate). Asigurarea respectării corespunzătoare a RGPD este o condiție prealabilă pentru a câștiga încrederea opiniei publice în procesul mai amplu de digitalizare și pentru a garanta condiții de concurență echitabile pentru toate entitățile care prelucrează date cu caracter personal.

Propunerea urmărește să abordeze problemele din domeniile menționate mai jos.

·Plângeri: Plângerile sunt o sursă esențială de informare pentru detectarea încălcărilor normelor privind protecția datelor. Autoritățile de protecție a datelor interpretează diferit cerințele privind forma unei plângeri, implicarea reclamanților în procedură și respingerea plângerilor. De exemplu: o plângere acceptată de unele APD ar putea fi respinsă de altele pe motiv că nu furnizează informații suficiente; unele APD acordă reclamanților drepturi egale cu părțile care fac obiectul investigației, în timp ce alte APD nu îi implică pe reclamanți sau îi implică într-o măsură foarte limitată; unele APD adoptă o decizie oficială de respingere a tuturor plângerilor cărora nu li s-a dat curs, în timp ce alte APD nu fac acest lucru. Din cauza acestor diferențe, tratarea plângerilor și implicarea reclamanților variază în funcție de locul în care este depusă plângerea sau de autoritatea de protecție a datelor care este APD principală într-un anumit caz. Prin urmare, în cazurile transfrontaliere, aceste diferențe întârzie încheierea investigației și oferirea unei soluționări persoanei vizate ca răspuns la plângerea acesteia. În rezoluția sa referitoare la raportul Comisiei din 2020 privind RGPD, Parlamentul European a subliniat necesitatea de a clarifica poziția reclamanților în cazul plângerilor transfrontaliere.

·Drepturile procedurale ale părților care fac obiectul investigației: Dreptul la apărare al părților care fac obiectul investigației este un principiu fundamental al dreptului Uniunii, care trebuie respectat în toate circumstanțele, în special în procedurile care pot conduce la sancțiuni importante. Având în vedere gravitatea potențială a sancțiunilor care pot fi impuse, părțile care fac obiectul unei investigații pentru încălcări ale RGPD trebuie să beneficieze de garanții similare celor prevăzute în procedurile cu caracter penal. Drepturile procedurale ale părților care fac obiectul investigației, cum ar fi măsura în care se recunoaște părților dreptul de a fi ascultate și dreptul de acces la dosar, variază substanțial de la un stat membru la altul. Măsura în care părțile sunt ascultate, momentul ascultării opiniilor acestora și documentele care sunt furnizate părților pentru a le permite să își exercite dreptul de a fi ascultate sunt elemente cu privire la care statele membre adoptă abordări diferite. Aceste abordări diferite nu sunt întotdeauna compatibile cu procedura prevăzută la articolul 60 din RGPD, care pornește de la presupoziția că părțile care fac obiectul investigației și-au exercitat dreptul la un proces echitabil înainte ca APD principală să își prezinte proiectul de decizie. Atunci când comitetului i se prezintă un caz pentru soluționarea litigiilor, măsura în care părțile au fost ascultate cu privire la problemele ridicate în proiectul de decizie și la obiecțiile formulate de diversele APD vizate poate varia. În plus, există o lipsă de claritate cu privire la dreptul părților care fac obiectul investigației de a fi ascultate în timpul soluționării litigiilor de către comitet în temeiul articolului 65 din RGPD. Dacă dreptul de a fi ascultat nu este respectat, deciziile autorităților de protecție a datelor care constată încălcări ale RGPD pot fi mai susceptibile să fie contestate în justiție.

·Cooperarea și soluționarea litigiilor: Articolul 60 din RGPD schițează în linii mari procedura de cooperare. În cazurile transfrontaliere, li se cere APD să facă schimb de „informații relevante” în încercarea de a ajunge la un consens. Odată ce APD principală prezintă un proiect de decizie într-un caz, alte APD au posibilitatea de a formula „obiecții relevante și motivate”. Aceste obiecții dau posibilitatea recurgerii la soluționarea litigiilor (atunci când APD principală nu le dă curs). Deși procedura de soluționare a litigiilor prevăzută la articolul 65 din RGPD este un element esențial pentru asigurarea unei interpretări coerente a RGPD, aceasta ar trebui să fie rezervată doar cazurilor excepționale în care cooperarea loială între APD-uri nu a dus la un consens. Experiența desprinsă din asigurarea respectării RGPD în cazurile transfrontaliere arată o cooperare insuficientă între diferitele APD înainte de prezentarea unui proiect de decizie de către APD principală. Lipsa unei cooperări suficiente și faptul că nu se ajunge la un consens cu privire la aspectele-cheie ale investigației în această etapă timpurie a făcut ca numeroase cazuri să fie trimise spre soluționare prin procedura de soluționare a litigiilor.

Există disparități în ceea ce privește forma și structura obiecțiilor relevante și motivate prezentate de APD vizate în cursul procedurii de cooperare transfrontalieră. Aceste diferențe împiedică încheierea eficientă a procedurii de soluționare a litigiilor, precum și implicarea în procedură a tuturor APD vizate, în special a APD din statele membre mai mici, care dispun de mai puține resurse decât APD din statele membre mai mari.

·RGPD nu prevede termene pentru diferitele etape ale procedurii de cooperare și de soluționare a litigiilor. Având în vedere gradele diferite de complexitate ale investigațiilor și marja de care dispun APD pentru a investiga încălcările RGPD, nu este de dorit să se prevadă termene pentru fiecare etapă a procedurii. Cu toate acestea, impunerea unor termene în cazurile în care acest lucru se impune va contribui la prevenirea întârzierilor nejustificate în finalizarea cazurilor.

Propunerea vizează soluționarea acestor aspecte prin definirea unor norme procedurale pentru anumite etape ale procesului de investigație în cazurile transfrontaliere, sprijinind astfel buna funcționare a mecanismelor de cooperare și de soluționare a litigiilor prevăzute în RGPD. În special, propunerea abordează problemele identificate mai sus în următoarele moduri:

·Forma plângerilor și poziția reclamanților: Propunerea prevede un formular care indică ce informații trebuie furnizate pentru toate plângerile depuse în temeiul articolului 77 din RGPD privind prelucrarea transfrontalieră; de asemenea, sunt definite normele procedurale pentru implicarea reclamanților în procedură, inclusiv dreptul acestora de a-și face cunoscute opiniile. Propunerea detaliază normele procedurale pentru respingerea plângerilor în cazurile transfrontaliere și clarifică, în astfel de cazuri, rolurile APD principale și ale APD la care a fost depusă plângerea. Propunerea recunoaște importanța și legalitatea soluționării pe cale amiabilă a cazurilor bazate pe plângeri.

·Armonizarea specifică a drepturilor procedurale în cazurile transfrontaliere: Propunerea oferă părților care fac obiectul investigației dreptul de a fi ascultate în etapele-cheie ale procedurii, inclusiv în timpul soluționării litigiilor de către comitet, și clarifică ce trebuie să conțină dosarul administrativ, precum și drepturile părților de a avea acces la dosar. Prin urmare, propunerea consolidează dreptul la apărare al părților și asigură respectarea consecventă a acestor drepturi, indiferent care este autoritatea pentru protecția datelor care conduce investigația.

·Raționalizarea cooperării și a soluționării litigiilor: Propunerea pune la dispoziția tuturor APD instrumentele necesare pentru a ajunge la un consens, fundamentând și mai mult cerința prevăzută la articolul 60 din RGPD ca APD să coopereze între ele și să facă schimb de „informații relevante”. Prezentul regulament stabilește un cadru care permite tuturor APD să aibă un impact semnificativ asupra cazurilor transfrontaliere prin posibilitatea de a-și transmite opiniile într-o etapă timpurie a procedurii de investigație și prin utilizarea tuturor instrumentelor prevăzute de RGPD. În mod esențial, acest lucru va facilita ajungerea la un consens și va reduce probabilitatea apariției unor dezacorduri într-o etapă ulterioară a procedurii, care ar impune recurgerea la mecanismul de soluționare a litigiilor. În cazul în care între diferite APD există un dezacord privind aspectul-cheie reprezentat de domeniul de aplicare al investigației în cazurile bazate pe plângeri, propunerea prevede soluționarea dezacordului de către comitet prin adoptarea unei decizii obligatorii urgente. Implicarea comitetului în această chestiune distinctă îi oferă APD principale claritatea necesară pentru a continua investigația și asigură faptul că dezacordul privind domeniul de aplicare al investigației nu va impune recurgerea la mecanismul de soluționare a litigiilor prevăzut la articolul 65.

Propunerea stabilește cerințe detaliate privind forma și structura obiecțiilor relevante și motivate formulate de APD vizate, facilitând astfel participarea efectivă a tuturor APD și soluționarea specifică și rapidă a cazului.

·Propunerea stabilește termene procedurale pentru procedura de soluționare a litigiilor, precizează informațiile pe care APD principală trebuie să le prezinte atunci când supune chestiunea în vederea soluționării litigiilor și clarifică rolul tuturor actorilor implicați în soluționarea litigiilor (APD principală, APD vizate și comitetul). Astfel, propunerea facilitează încheierea rapidă a procedurii de soluționare a litigiilor pentru părțile care fac obiectul investigației și pentru persoanele vizate.

Coerența cu dispozițiile existente în domeniul de politică vizat

Propunerea completează RGPD prin detalierea normelor procedurale pentru etapele-cheie ale procesului de investigație instituit prin RGPD. Propunerea nu afectează drepturile persoanelor vizate, obligațiile operatorilor de date și ale persoanelor împuternicite de operatori sau temeiurile legale pentru prelucrarea datelor cu caracter personal, astfel cum sunt prevăzute în RGPD.

Propunerea se bazează pe principiile de bază ale RGPD privind plângerile, respectiv cooperarea și soluționarea litigiilor, și completează aceste dispoziții cu adăugiri specifice, pentru a spori eficacitatea și eficiența asigurării respectării normelor în cazurile transfrontaliere.

Coerența cu alte politici ale Uniunii

Propunerea este pe deplin coerentă și compatibilă cu politicile în vigoare ale UE în alte domenii.

2.TEMEI JURIDIC, SUBSIDIARITATE ȘI PROPORȚIONALITATE

Temeiul juridic

Temeiul juridic al propunerii îl constituie articolul 16 din Tratatul privind funcționarea Uniunii Europene (TFUE).

Articolul 16 din TFUE împuternicește Parlamentul European și Consiliul să stabilească norme privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. Propunerea se referă la asigurarea respectării RGPD în cazurile transfrontaliere. Obiectivul unei astfel de respectări este de a garanta dreptul persoanelor vizate la protecția datelor lor cu caracter personal. Ca atare, articolul 16 din TFUE este temeiul juridic adecvat pentru propunere.

Subsidiaritatea (în cazul competențelor neexclusive)

UE este cea mai în măsură să acționeze deoarece propunerea se referă la o procedură existentă, instituită prin RGPD, care implică APD din mai multe state membre ale UE și Comitetul european pentru protecția datelor (un organism al UE). În consecință, problemele identificate mai sus nu pot fi soluționate de către statele membre ale UE acționând individual.

Proporționalitatea

Prezenta propunere asigură un echilibru adecvat, astfel încât îndeplinirea obiectivului de a asigura buna funcționare a respectării la nivel transfrontalier a RGPD să nu interfereze în mod nejustificat cu sistemele juridice naționale. 

Propunerea urmărește să asigure buna funcționare a mecanismului de cooperare și de soluționare a litigiilor instituit prin RGPD. În consecință, propunerea vizează numai cazurile transfrontaliere de încălcare a RGPD. În astfel de cazuri sunt implicate APD din mai multe state membre ale UE, precum și comitetul.

Măsura în care sunt ascultate părțile care fac obiectul investigației și implicarea reclamanților în procedura administrativă sunt în prezent reglementate de normele procedurale naționale. Aceste elemente influențează modul în care se desfășoară o investigație, de la începutul până la sfârșitul acesteia. Ca atare, armonizarea punctuală a dreptului de a fi ascultat și a implicării reclamanților în etapele-cheie ale procedurii și numai în cazurile transfrontaliere reprezintă un element crucial pentru atingerea obiectivului propunerii – de a raționaliza asigurarea respectării normelor la nivel transfrontalier – și nu depășește ceea ce este necesar în circumstanțele date. În mod esențial, dreptul părților care fac obiectul investigației de a fi ascultate se aplică deja investigațiilor efectuate de APD în temeiul RGPD, întrucât dreptul de a fi ascultat este un element fundamental al dreptului la apărare și al dreptului la bună administrare, astfel cum sunt garantate de cartă. De asemenea, reclamantul trebuie să fie informat cu privire la evoluția plângerii sale în temeiul articolului 77 alineatul (2) din RGPD. În principal, propunerea armonizează și definește modalitățile de derulare a acestor etape procedurale.

Alegerea instrumentului

Un regulament este instrumentul adecvat pentru propunere. Propunerea completează o procedură prevăzută într-un regulament existent, și anume RGPD. Scopul său este de a rezolva problema abordărilor procedurale divergente utilizate de diferitele APD prin armonizarea anumitor aspecte ale procedurii administrative aplicate de APD atunci când asigură respectarea RGPD. În consecință, este necesar un regulament (care este direct aplicabil în statele membre) pentru a reduce fragmentarea juridică și pentru a oferi gradul de armonizare necesar asigurării unei bune funcționări a mecanismului de cooperare și a mecanismului pentru asigurarea coerenței instituite de RGPD, precum și pentru a oferi securitate juridică reclamanților, părților care fac obiectul investigației și diferitelor APD. O directivă, care lasă la latitudinea statelor membre modalitatea de a obține rezultatele dorite, nu ar asigura gradul de armonizare necesar pentru atingerea obiectivelor propunerii.

3.REZULTATELE EVALUĂRILOR EX POST, ALE CONSULTĂRILOR CU PĂRȚILE INTERESATE ȘI ALE EVALUĂRILOR IMPACTULUI

Evaluările ex post/verificarea adecvării legislației existente

În raportul său întocmit la doi ani de la aplicarea RGPD, Comisia a remarcat că sunt necesare progrese suplimentare pentru ca tratarea cazurilor transfrontaliere să devină mai eficientă și mai armonizată în întreaga UE 9 . În cadrul documentului de lucru al serviciilor Comisiei care însoțește raportul 10 , Comisia a identificat necesitatea de a aborda diferențele din următoarele domenii:

·procedurile administrative naționale care privesc în special: procedurile de soluționare a plângerilor, criteriile de admisibilitate a plângerilor, durata procedurilor (din cauza termenelor diferite sau a absenței oricăror termene), momentul în cadrul procedurii în care este prevăzut dreptul de a fi ascultat, informarea și implicarea reclamanților în timpul procedurii;

·interpretările conceptelor legate de mecanismul de cooperare, precum și

·abordarea privind momentul în care trebuie inițiată procedura de cooperare, implicarea APD vizate și comunicarea informațiilor către acestea.

În rezoluția sa referitoare la raportul Comisiei din 2020 privind RGPD, Parlamentul European a îndemnat Comisia să evalueze dacă procedurile administrative naționale obstrucționează eficacitatea deplină a cooperării, în conformitate cu articolul 60 din RGPD, precum și punerea sa efectivă în practică 11 . Parlamentul European a solicitat comitetului să stabilească elementele de bază ale unei proceduri administrative comune pentru soluționarea plângerilor în cazurile transfrontaliere în cadrul cooperării prevăzute la articolul 60. În 2020, comitetul a lansat un proces de reflecție privind îmbunătățirea cooperării dintre APD în cazurile transfrontaliere. În urma acestui proces de reflecție 12 , în octombrie 2022, comitetul a transmis Comisiei o listă în care a identificat aspectele procedurale ale cooperării dintre APD care ar putea fi armonizate la nivelul UE 13 .

În raportul întocmit la doi ani de la aplicarea RGPD, Comisia a constatat că, până în acel moment, nu existaseră cazuri de soluționare a litigiilor de către comitet. De la publicarea raportului în 2020, comitetul a adoptat opt decizii obligatorii în temeiul articolului 65 alineatul (1) litera (a) din RGPD. Participarea Comisiei în cadrul comitetului i-a permis să desprindă învățăminte privind funcționarea mecanismului de soluționare a litigiilor. În special, potrivit evaluării Comisiei, durata investigației ar putea fi redusă, iar recurgerea la procedura de soluționare a litigiilor ar putea fi evitată prin îmbunătățirea cooperării dintre APD înainte ca APD principală să prezinte un proiect de decizie.

Consultările cu părțile interesate

Pregătirea propunerii se bazează pe contribuții din partea unei game largi de părți interesate. S-a înregistrat un consens larg în rândul părților interesate cu privire la faptul că s-ar putea face mai mult pentru a îmbunătăți eficiența respectării RGPD la nivel transfrontalier.

În special, Comisia a primit contribuții privind propunerea din următoarele surse:

·Comitetul: Comitetul este alcătuit din autoritățile pentru protecția datelor, care sunt entitățile ce asigură respectarea RGPD. Printre altele, comitetul are sarcina de a soluționa litigiile în cazurile transfrontaliere ce țin de respectarea RGPD. Ca atare, Comisia a ținut seama în mod corespunzător de contribuția comitetului în toate etapele procesului de pregătire. În primul rând, propunerea răspunde listei de probleme transmise de comitet Comisiei în octombrie 2022, în care erau identificate aspectele procedurii transfrontaliere de asigurare a respectării normelor care ar putea fi armonizate la nivelul UE. Propunerea abordează majoritatea problemelor identificate de comitet în lista sa. În anumite cazuri, Comisia a decis să nu abordeze problemele identificate de comitet, în special atunci când a considerat că problema era deja abordată în mod adecvat de RGPD sau că respectiva chestiune ar trebui să rămână la latitudinea APD principale sau să fie stabilită de dreptul intern. În plus, propunerea abordează anumite aspecte în afara celor identificate de comitet în lista sa, în cazurile în care Comisia a considerat că acest lucru este necesar pentru a asigura buna funcționare a asigurării respectării normelor la nivel transfrontalier și respectarea dreptului la un proces echitabil. De asemenea, în cadrul reuniunilor din 21 martie 2023 și 24 aprilie 2023, Comisia a desfășurat o consultare specifică cu privire la aspecte ale propunerii cu subgrupurile comitetului care se ocupă de cooperarea transfrontalieră și de asigurarea respectării normelor, pentru a valorifica expertiza APD care se ocupă de aceste aspecte în activitatea lor zilnică. Comitetul a sprijinit pe deplin acțiunile întreprinse de Comisie în acest domeniu și a furnizat Comisiei o contribuție valoroasă în cadrul reuniunilor din martie și aprilie 2023.

·Grupul multipartit de experți privind RGPD: Acest grup de experți a fost instituit pentru a acorda asistență Comisiei în aplicarea RGPD. Este alcătuit din reprezentanți ai societății civile, ai mediului de afaceri, ai mediului academic și din practicieni din domeniul dreptului. Grupul a manifestat un sprijin larg pentru luarea de măsuri de către Comisie în acest domeniu prin intermediul unei propuneri legislative. În reuniunea din 19 octombrie 2022 a avut loc o primă discuție privind lista comitetului din octombrie 2022; într-o a doua reuniune, din 21 aprilie 2023, Comisia a consultat grupul cu privire la aspecte specifice ale propunerii. Având în vedere marea varietate de părți interesate reprezentate în acest grup, opiniile părților interesate cu privire la anumite aspecte ale propunerii au variat. Toate părțile interesate au sprijinit includerea în propunere a unui cadru juridic pentru soluționarea amiabilă. ONG-urile au salutat intenția Comisiei de a armoniza forma plângerilor și au sprijinit implicarea reclamantului în procedură, remarcând diferențele mari dintre statele membre în ceea ce privește tratarea plângerilor. Grupurile sectoriale care reprezintă operatorii și persoanele împuternicite de operatori au subliniat necesitatea de a acorda părților care fac obiectul investigației dreptul de a fi ascultate, precum și de a încuraja soluționarea dezacordurilor dintre APD într-o etapă timpurie a procesului de investigație.

·Grupul de experți privind RGPD al statelor membre: Acest grup de experți servește drept forum pentru schimbul de opinii și informații între Comisie și statele membre privind modul în care este aplicat RGPD. Înainte să înceapă elaborarea propunerii, Comisia a solicitat opiniile statelor membre cu privire la lista comitetului din octombrie 2022. Statele membre au sprijinit în mare măsură și au salutat ideea unei propuneri de inițiativă legislativă care să consolideze asigurarea respectării RGPD la nivel transfrontalier. Cu toate acestea, anumite state membre care dispun de norme procedurale orizontale aplicabile tuturor procedurilor administrative au identificat o posibilă interferență cu aceste norme, în special în ceea ce privește armonizarea drepturilor părților de a fi ascultate și implicarea reclamanților în procedură. În consecință, în cadrul propunerii, Comisia a limitat cu atenție armonizarea acestor aspecte la cazurile transfrontaliere și în măsura necesară pentru a asigura buna funcționare a mecanismului de cooperare și de soluționare a litigiilor. La 19 aprilie 2023, Comisia a organizat o reuniune specială cu Grupul de experți privind RGPD al statelor membre.

De asemenea, Comisia a organizat, la cerere, reuniuni bilaterale privind propunerea cu ONG­uri, autorități naționale și organizații reprezentând diverse sectoare.

Comisia a publicat o cerere de contribuții în perioada 24 februarie – 24 martie 2023 și a primit 73 de răspunsuri. Comisia a primit feedback de la o gamă largă de părți interesate, inclusiv ONG-uri și asociații sectoriale.

La pregătirea propunerii, Comisia a ținut seama în mod corespunzător de feedbackul primit de la toate părțile interesate.

Obținerea și utilizarea cunoștințelor de specialitate

Propunerea ține seama de gama de contribuții primite de la părțile interesate în cursul procesului de pregătire, în special de expertiza furnizată de comitet, de Grupul multipartit de experți privind RGPD și de Grupul de experți privind RGPD al statelor membre.

Propunerea se bazează, de asemenea, pe jurisprudența Curții de Justiție a Uniunii Europene (CJUE), în special pe jurisprudența referitoare la funcționarea mecanismului de cooperare și pentru asigurarea coerenței prevăzut de RGPD, precum și pe jurisprudența privind dreptul de a fi ascultat și dreptul la bună administrare prevăzute la articolul 41 din cartă.

Evaluarea impactului

Nu s-a efectuat o evaluare a impactului propunerii. Propunerea nu afectează drepturile persoanelor vizate, obligațiile operatorilor de date și ale persoanelor împuternicite de operatori sau temeiurile legale pentru prelucrarea datelor cu caracter personal, astfel cum sunt prevăzute în RGPD.

Propunerea completează RGPD într-un mod specific, detaliind normele procedurale aferente procedurii de asigurare a respectării normelor la nivel transfrontalier stabilită în capitolul VII din RGPD. Astfel, propunerea funcționează în limitele cadrului procedural instituit de RGPD.

Ca atare, impactul propunerii se va limita la îmbunătățirea funcționării procedurii de asigurare a respectării normelor la nivel transfrontalier prevăzute de RGPD. Propunerea nu modifică rolurile actorilor din cadrul acestei proceduri care sunt prevăzute în RGPD – reclamanții, APD principală, APD vizate și comitetul. Prin urmare, propunerea nu va avea un impact economic, de mediu sau social semnificativ și nu va implica cheltuieli semnificative.

Armonizarea acestor aspecte procedurale va avea un impact pozitiv asupra APD, a reclamanților, a părților care fac obiectul investigației și a încrederii publicului în RGPD:

·APD – inițiativa va sprijini procedura de cooperare și va oferi claritate privind modalitățile și calendarul cooperării în cazurile transfrontaliere. Acest lucru le va permite APD să își utilizeze mai eficient resursele. În plus, punând la dispoziția APD instrumentele pentru a-și consolida cooperarea în cazurile transfrontaliere, inițiativa va facilita ajungerea la un consens între APD, reducând numărul de dezacorduri și promovând un spirit de cooperare.

·Reclamanții și persoanele vizate – raționalizarea cooperării dintre APD atunci când asigură respectarea RGPD va sprijini încheierea rapidă a investigațiilor. Astfel, încălcările RGPD vor fi abordate mai eficient, iar persoanelor vizate li se va oferi o soluționare rapidă. În plus, reclamanții vor avea în egală măsură posibilitatea de a fi implicați în procedură în cazurile transfrontaliere, indiferent de locul în care este depusă plângerea sau de autoritatea pentru protecția datelor care este APD principală.

·Părțile care fac obiectul investigației – îmbunătățirea cooperării în cazurile transfrontaliere va contribui la scurtarea investigațiilor și va asigura furnizarea garanțiilor necesare, cum ar fi dreptul de a fi ascultat și de a avea acces la dosar, asigurând astfel protejarea dreptului la bună administrare (articolul 41 din cartă) și a dreptului la apărare (articolul 48 din cartă) ale părților care fac obiectul investigației. În același timp, armonizarea acestor drepturi va face mai solidă decizia finală.

·Încrederea publicului în RGPD – inițiativa va consolida încrederea publicului în RGPD prin facilitarea unei soluționări mai rapide a investigațiilor și prin reducerea numărului de dezacorduri dintre APD în cazurile transfrontaliere.

Adecvarea reglementărilor și simplificarea

Nu se aplică.

Drepturile fundamentale

Prin facilitarea soluționării rapide a cazurilor transfrontaliere, propunerea sprijină dreptul persoanelor vizate la protecția datelor lor cu caracter personal, în temeiul articolului 8 din cartă, precum și dreptul la o cale de atac eficientă, în temeiul articolului 47 din cartă.

Prin armonizarea dreptului părților care fac obiectul investigației de a fi ascultate și de a avea acces la dosar, propunerea asigură respectarea drepturilor părților la bună administrare, în temeiul articolului 41 din cartă, și a dreptului la apărare, în temeiul articolului 48 din cartă.

4.IMPLICAȚII BUGETARE

Prezenta propunere nu va avea implicații bugetare substanțiale.

5.ALTE ELEMENTE

Planurile de punere în aplicare și măsurile de monitorizare, evaluare și raportare

Comisia va monitoriza aplicarea regulamentului în același timp cu monitorizarea continuă a aplicării RGPD.

Documentele explicative (în cazul directivelor)

Nu se aplică.

Explicarea detaliată a dispozițiilor specifice ale propunerii

Capitolul I definește obiectul regulamentului și stabilește definițiile utilizate în cadrul instrumentului. Definițiile utilizate în RGPD se aplică și în propunere. Propunerea se referă numai la asigurarea respectării RGPD la nivel transfrontalier.

Capitolul II prevede norme detaliate privind depunerea și tratarea plângerilor. Acesta prevede un formular care precizează informațiile care trebuie furnizate pentru plângerile transfrontaliere depuse în temeiul articolului 77 din RGPD și prevede factorii pe care APD trebuie să îi ia în considerare atunci când analizează măsura în care este adecvată investigarea unei plângeri. Existența unui formular comun pentru toate plângerile transfrontaliere simplifică procedura de depunere a plângerilor pentru persoanele vizate și elimină abordările fragmentate ale noțiunii de plângere. Articolul 3 prevede obligația APD-urilor de a furniza reclamantului o confirmare de primire a plângerii. Articolul 5 prevede un cadru juridic pentru soluționarea pe cale amiabilă a plângerilor pentru a facilita utilizarea soluționării pe cale amiabilă de către APD și pentru a clarifica implicațiile juridice ale soluționării pe cale amiabilă pentru reclamanți și pentru APD. Articolul 6 prevede norme detaliate privind traducerea documentelor în cursul cooperării transfrontaliere.

Capitolul III se referă la cooperarea dintre autoritățile de supraveghere în cazurile transfrontaliere.

Secțiunea 1 le oferă APD instrumente suplimentare pentru a ajunge la un consens în cazurile transfrontaliere. Aceasta precizează că „informațiile relevante” care trebuie partajate de autoritățile de supraveghere în cursul cooperării transfrontaliere ar trebui să includă anumite documente și că aceste documente ar trebui să fie puse la dispoziție în cel mai scurt timp posibil de către APD. Această dispoziție asigură faptul că APD vizate vor dispune de toate informațiile necesare pentru a-i transmite APD principale opiniile lor cu privire la investigație.

Articolul 9 prevede că, odată ce APD principală și-a format o opinie preliminară cu privire la investigație, aceasta le trimite APD vizate un „rezumat al aspectelor-cheie”, în care sunt furnizate principalele constatări de fapt și opiniile APD principale cu privire la caz. Scopul rezumatului aspectelor-cheie este de a le permite APD vizate să aibă un impact semnificativ asupra desfășurării investigației într-o etapă timpurie a acesteia, exprimându-și opiniile cu privire la evaluarea efectuată de APD principală. Acest lucru va ajuta APD-urile să soluționeze într-o etapă timpurie dezacordurile privind, de exemplu, evaluarea juridică sau, în cazurile bazate pe plângeri, domeniul de aplicare al investigației, reducând astfel probabilitatea recurgerii la mecanismul de soluționare a litigiilor într-o etapă ulterioară a procedurii. În cazul în care, în această etapă, nu există niciun acord cu privire la domeniul de aplicare al investigației în cazurile bazate pe plângeri ori la evaluarea juridică sau tehnologică complexă efectuată de APD principală, articolul 10 prevede că APD care nu este de acord cu APD principală trebuie să adreseze o cerere APD principale în temeiul articolului 61 (asistență reciprocă) sau al articolului 62 (operațiuni comune) din RGPD. Această dispoziție asigură faptul că autoritățile pentru protecția datelor vor utiliza toate instrumentele prevăzute de RGPD pentru a soluționa diferendele cu privire la aspecte-cheie în cursul procedurii de cooperare. În cazul în care APD nu pot ajunge la un acord privind domeniul de aplicare al investigației în cazurile bazate pe plângeri, articolul 10 prevede că APD principală îi solicită comitetului o decizie obligatorie urgentă în temeiul articolului 66 alineatul (3) din RGPD. În acest caz, se consideră că este îndeplinită nevoia urgentă de a acționa. Grație acestei dispoziții, dezacordul privind domeniul de aplicare va fi soluționat într-un mod rapid și eficient, iar APD principală va dispune de claritatea necesară pentru a continua investigația.

Secțiunea 2 din capitolul III prevede norme detaliate privind respingerea integrală sau parțială a plângerilor. Aceste dispoziții asigură faptul că APD la care a fost depusă plângerea deține informațiile necesare pentru a-i permite să adopte decizia de respingere a plângerii și că, în toate cazurile în care nu se dă curs plângerii sau aceasta este retrasă, se adoptă o decizie de respingere a plângerii. Reclamantului i se oferă, de asemenea, posibilitatea de a-și face cunoscute opiniile înainte de respingerea integrală sau parțială a plângerii.

Secțiunea 3 din capitolul III armonizează dreptul de a fi ascultate al părților care fac obiectul investigației. Aceasta prevede că APD principală trebuie să transmită părților care fac obiectul investigației constatările sale preliminare, prezentând obiecțiile formulate, faptele relevante, elementele de probă justificative, analiza juridică și, după caz, măsurile corective propuse. Constatările preliminare vor permite părților care fac obiectul investigației să înțeleagă pe deplin acuzațiile formulate și să răspundă la acestea, cu asigurarea respectării dreptului lor la apărare. Articolul 15 prevede că reclamanților ar trebui să li se ofere posibilitatea de a prezenta în scris observații privind constatările preliminare. Articolul 17 prevede că părțile care fac obiectul investigației au posibilitatea de a-și prezenta opiniile în cazul în care APD principală intenționează să prezinte un proiect revizuit de decizie în lumina obiecțiilor relevante și motivate exprimate de APD vizate.

Secțiunea 4 din capitolul III stabilește cerințe detaliate privind forma și structura obiecțiilor relevante și motivate formulate de APD vizate, facilitând astfel participarea efectivă a tuturor APD și soluționarea rapidă a cazului.

Capitolul IV stabilește norme detaliate privind accesul la dosar și tratarea informațiilor confidențiale. Aceste dispoziții oferă claritate privind documentele care ar trebui să facă parte din dosarul administrativ în cazurile transfrontaliere și momentul în care se acordă acces la dosar părților care fac obiectul investigației.

Capitolul V specifică normele procedurale pentru procedura de soluționare a litigiilor prevăzută la articolul 65 din RGPD. Articolul 22 precizează informațiile pe care APD principală trebuie să le furnizeze comitetului atunci când îi transmite acestuia o chestiune în vederea soluționării prin procedura de soluționare a litigiilor. Sunt specificate termenele și modalitățile conform cărora comitetul stabilește admisibilitatea obiecțiilor relevante și motivate. Articolul 24 prevede audierea părților care fac obiectul investigației sau, în cazul respingerii unei plângeri, a reclamantului, înainte de adoptarea deciziei obligatorii a comitetului în temeiul articolului 65 alineatul (1) litera (a) din RGPD. Prin clarificarea rolurilor tuturor actorilor și prin stabilirea unor termene pentru anumite etape procedurale, aceste dispoziții vor facilita încheierea rapidă și eficientă a procedurii de soluționare a litigiilor.

Articolele 25 și 26 stabilesc modalități detaliate pentru transmiterea chestiunilor spre soluționare prin procedura de soluționare a litigiilor prevăzută la articolul 65 alineatul (1) literele (b) și (c) din RGPD.

Capitolul VI prevede norme procedurale detaliate pentru procedura de urgență de la articolul 66 din RGPD.

Capitolul VII conține dispozițiile finale ale regulamentului, care se referă la termene, dispozițiile tranzitorii și intrarea în vigoare a regulamentului.

2023/0202 (COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI


de stabilire a unor norme procedurale suplimentare referitoare la asigurarea respectării Regulamentului (UE) 2016/679

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16,

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ parlamentelor naționale,

având în vedere avizul Comitetului Economic și Social European 14 ,

având în vedere avizul Comitetului Regiunilor 15 ,

hotărând în conformitate cu procedura legislativă ordinară,

întrucât:

(1)Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului 16 instituie un sistem descentralizat de asigurare a respectării normelor, care urmărește să asigure interpretarea și aplicarea coerentă a Regulamentului (UE) 2016/679 în cazurile transfrontaliere. În cazurile referitoare la prelucrarea transfrontalieră a datelor cu caracter personal, acest sistem necesită ca autoritățile de supraveghere să coopereze în încercarea de a ajunge la un consens și, în cazul în care un astfel de consens nu poate fi atins, prevede soluționarea litigiilor de către Comitetul european pentru protecția datelor („comitetul”).

(2)Pentru a asigura funcționarea armonioasă și eficace a mecanismului de cooperare prevăzut la articolul 60 din Regulamentul (UE) 2016/679 și a mecanismului de soluționare a litigiilor prevăzut la articolul 65 din regulamentul menționat, este necesar să se stabilească norme privind desfășurarea procedurilor de către autoritățile de supraveghere în cazurile transfrontaliere și de către comitet în timpul soluționării litigiilor, inclusiv în ceea ce privește tratarea plângerilor transfrontaliere. Din acest motiv, este necesar, totodată, să se stabilească norme privind exercitarea de către părțile care fac obiectul investigației a dreptului de a fi ascultate înainte ca autoritățile de supraveghere și, după caz, comitetul să adopte decizii în acest sens.

(3)Plângerile sunt o sursă esențială de informare pentru detectarea încălcărilor normelor privind protecția datelor. Este necesar să se definească proceduri clare și eficiente pentru tratarea plângerilor în cazurile transfrontaliere, deoarece plângerea poate fi tratată de o altă autoritate de supraveghere decât cea la care a fost depusă.

(4)Pentru a fi admisibilă, o plângere ar trebui să conțină anumite informații specificate. Prin urmare, pentru a-i ajuta pe reclamanți să prezinte autorităților de supraveghere faptele necesare, ar trebui furnizat un formular de plângere. Informațiile specificate în formular ar trebui solicitate numai în cazurile de prelucrare transfrontalieră în sensul Regulamentului (UE) 2016/679, deși autoritățile de supraveghere pot utiliza formularul și pentru cazurile care nu se referă la prelucrarea transfrontalieră. Formularul poate fi transmis pe cale electronică sau prin poștă. Transmiterea informațiilor incluse în formularul respectiv ar trebui să fie o condiție pentru ca o plângere referitoare la prelucrarea transfrontalieră să fie tratată ca plângere în sensul articolului 77 din Regulamentul (UE) 2016/679. Pentru ca o plângere să fie considerată admisibilă nu ar trebui să fie necesară furnizarea de informații suplimentare. Ar trebui să fie posibil ca autoritățile de supraveghere să faciliteze depunerea plângerilor într-un format electronic ușor de utilizat și ținând seama de nevoile persoanelor cu handicap, atât timp cât informațiile solicitate din partea reclamantului corespund informațiilor solicitate în formular și nu sunt necesare informații suplimentare pentru a considera plângerea admisibilă.

(5)Autoritățile de supraveghere sunt obligate să decidă cu privire la plângeri într-un termen rezonabil. Definirea a ceea ce înseamnă un termen rezonabil depinde de împrejurările fiecărui caz și, în special, de contextul acestuia, de diferitele etape procedurale parcurse de autoritatea de supraveghere principală, de comportamentul părților în cursul procedurii și de complexitatea cazului.

(6)Fiecare plângere tratată de o autoritate de supraveghere în temeiul articolului 57 alineatul (1) litera (f) din Regulamentul (UE) 2016/679 trebuie investigată cu toată diligența necesară și într-o măsură adecvată, ținând seama de faptul că orice utilizare a competențelor sale de către autoritatea de supraveghere trebuie să fie adecvată, necesară și proporțională în vederea asigurării conformității cu Regulamentul (UE) 2016/679. Este la latitudinea fiecărei autorități competente să decidă în ce măsură ar trebui investigată o plângere. Atunci când evaluează în ce măsură este adecvată o investigație, autoritățile de supraveghere ar trebui să urmărească să îi ofere reclamantului o soluție satisfăcătoare, care ar putea să nu necesite neapărat investigarea exhaustivă a tuturor elementelor de drept și de fapt posibile care decurg din plângere, dar care îi oferă reclamantului o soluționare eficientă și rapidă a plângerii sale. Evaluarea amplorii măsurilor de investigare necesare ar putea să se bazeze pe gravitatea presupusei încălcări, pe caracterul său sistemic sau repetitiv ori, după caz, pe faptul că reclamantul și-a exercitat, de asemenea, drepturile prevăzute la articolul 79 din Regulamentul (UE) 2016/679. 

(7)Autoritatea de supraveghere principală ar trebui să furnizeze autorității de supraveghere la care a fost depusă plângerea informațiile necesare cu privire la evoluția investigației cu scopul de a-i oferi informații actualizate reclamantului.

(8)Autoritatea de supraveghere competentă ar trebui să îi acorde reclamantului acces la documentele pe baza cărora aceasta a ajuns la concluzia preliminară de a respinge integral sau parțial plângerea.

(9)Pentru a pune capăt rapid încălcărilor Regulamentului (UE) 2016/679 și a le oferi reclamanților o soluționare rapidă a plângerii lor, autoritățile de supraveghere ar trebui să depună eforturi, după caz, pentru a soluționa plângerile pe cale amiabilă. Faptul că o plângere individuală a fost soluționată pe cale amiabilă nu împiedică autoritatea de supraveghere competentă să instrumenteze un caz din oficiu, de exemplu în situația unor încălcări sistemice sau repetate ale Regulamentului (UE) 2016/679. 

(10)Pentru a garanta funcționarea eficace a mecanismelor de cooperare și pentru asigurarea coerenței prevăzute în capitolul VII din Regulamentul (UE) 2016/679, este important să se asigure soluționarea cazurilor transfrontaliere în timp util și în spiritul cooperării loiale și eficace care stă la baza articolului 60 din Regulamentul (UE) 2016/679. Autoritatea de supraveghere principală ar trebui să își exercite competența într-un cadru de cooperare strânsă cu celelalte autorități de supraveghere vizate. De asemenea, autoritățile de supraveghere vizate ar trebui să se implice activ în investigație dintr-un stadiu incipient al acesteia, în încercarea de a ajunge la un consens, utilizând pe deplin instrumentele prevăzute în Regulamentul (UE) 2016/679.

(11)Este deosebit de important ca autoritățile de supraveghere să ajungă la un consens cu privire la aspectele-cheie ale investigației cât mai curând posibil și înainte ca acuzațiile să fie comunicate părților care fac obiectul investigației și ca proiectul de decizie menționat la articolul 60 din Regulamentul (UE) 2016/679 să fie adoptat, reducându­se astfel numărul de cazuri supuse mecanismului de soluționare a litigiilor prevăzut la articolul 65 din Regulamentul (UE) 2016/679 și asigurându-se, în cele din urmă, soluționarea rapidă a cazurilor transfrontaliere.

(12)Cooperarea dintre autoritățile de supraveghere ar trebui să se bazeze pe un dialog deschis, care să permită autorităților de supraveghere vizate să aibă un impact semnificativ asupra desfășurării investigației prin împărtășirea experiențelor și a opiniilor lor cu autoritatea de supraveghere principală, ținând seama în mod corespunzător de marja de apreciere de care dispune fiecare autoritate de supraveghere, inclusiv în ceea ce privește evaluarea măsurii în care este adecvat să se investigheze un caz, precum și de tradițiile diferite ale statelor membre. În acest scop, autoritatea de supraveghere principală ar trebui să furnizeze autorităților de supraveghere vizate un rezumat al aspectelor-cheie, în care să își prezinte opinia preliminară cu privire la principalele aspecte ale unei investigații. Acest rezumat ar trebui furnizat într-o etapă suficient de timpurie pentru a permite includerea efectivă a autorităților de supraveghere vizate, dar și suficient de avansată pentru ca opiniile autorității de supraveghere principale cu privire la caz să fie îndeajuns de mature. Autoritățile de supraveghere vizate ar trebui să aibă posibilitatea de a-și prezenta observațiile cu privire la o gamă largă de chestiuni, cum ar fi domeniul de aplicare al investigației și identificarea evaluărilor factuale și juridice complexe. Având în vedere că domeniul de aplicare al investigației determină aspectele care trebuie investigate de autoritatea de supraveghere principală, autoritățile de supraveghere ar trebui să depună eforturi pentru a ajunge la un consens cât mai curând posibil cu privire la domeniul de aplicare al investigației.

(13)În interesul unei cooperări eficace și incluzive între toate autoritățile de supraveghere vizate și autoritatea de supraveghere principală, observațiile autorităților de supraveghere vizate ar trebui să fie concise și formulate în termeni suficient de clari și de preciși pentru a fi ușor de înțeles de către toate autoritățile de supraveghere. Argumentele juridice ar trebui grupate în funcție de partea din rezumatul aspectelor-cheie la care se referă. Observațiile autorităților de supraveghere vizate pot fi completate cu documente suplimentare. Cu toate acestea, simpla referire în observațiile unei autorități de supraveghere vizate la documente suplimentare nu poate suplini lipsa unor argumente esențiale în drept sau în fapt care ar trebui să figureze în observații. Elementele esențiale de drept și de fapt pe care se bazează astfel de documente ar trebui să figureze, cel puțin într-o formă succintă, însă exprimate într-o manieră coerentă și inteligibilă, în observația propriu-zisă.

(14)Cazurile care nu ridică probleme litigioase nu necesită discuții ample între autoritățile de supraveghere pentru a ajunge la un consens și, prin urmare, ar putea fi soluționate mai rapid. În cazul în care niciuna dintre autoritățile de supraveghere vizate nu formulează observații cu privire la rezumatul aspectelor-cheie, autoritatea de supraveghere principală ar trebui să comunice constatările preliminare prevăzute la articolul 14 în termen de nouă luni. 

(15)Autoritățile de supraveghere ar trebui să utilizeze toate mijloacele necesare pentru a ajunge la un consens într-un spirit de cooperare loială și eficace. Prin urmare, în cazul în care există o divergență de opinii între autoritățile de supraveghere vizate și autoritatea de supraveghere principală în ceea ce privește domeniul de aplicare al unei investigații bazate pe o plângere, inclusiv cu privire la dispozițiile Regulamentului (UE) 2016/679 care sunt vizate de încălcarea ce ar urma să fie investigată, sau în cazul în care observațiile autorităților de supraveghere vizate se referă la o modificare importantă a evaluării juridice sau tehnologice complexe, autoritatea vizată ar trebui să utilizeze instrumentele prevăzute la articolele 61 și 62 din Regulamentul (UE) 2016/679.

(16)Dacă utilizarea acestor instrumente nu permite autorităților de supraveghere să ajungă la un consens cu privire la domeniul de aplicare al unei investigații bazate pe o plângere, autoritatea de supraveghere principală ar trebui să solicite o decizie obligatorie urgentă a comitetului în temeiul articolului 66 alineatul (3) din Regulamentul (UE) 2016/679. În acest scop, ar trebui să se prezume necesitatea urgenței. Autoritatea de supraveghere principală ar trebui să tragă concluziile corespunzătoare din decizia obligatorie urgentă a comitetului în scopul constatărilor preliminare. Decizia obligatorie urgentă a comitetului nu poate aduce atingere rezultatului investigației autorității de supraveghere principale sau eficacității drepturilor de a fi ascultate ale părților care fac obiectul investigației. În special, comitetul nu ar trebui să extindă domeniul de aplicare al investigației din proprie inițiativă.

(17)Pentru a-i permite reclamantului să își exercite dreptul la o cale de atac judiciară eficientă în temeiul articolului 78 din Regulamentul (UE) 2016/679, autoritatea de supraveghere care respinge integral sau parțial o plângere ar trebui să facă acest lucru printr-o decizie care să poată fi contestată în fața unei instanțe naționale.

(18)Reclamanții ar trebui să aibă posibilitatea de a-și exprima opiniile înainte de luarea unei decizii care îi afectează în mod negativ. Prin urmare, în cazul respingerii integrale sau parțiale a unei plângeri într-un caz transfrontalier, reclamantul ar trebui să aibă posibilitatea de a-și face cunoscută opinia înainte de prezentarea unui proiect de decizie în temeiul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679, a unui proiect revizuit de decizie în temeiul articolului 60 alineatul (4) din Regulamentul (UE) 2016/679 sau a unei decizii obligatorii a comitetului în temeiul articolului 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679. Reclamantul poate solicita acces la versiunea neconfidențială a documentelor pe care se bazează decizia de respingere integrală sau parțială a plângerii.

(19)În cazul respingerii unei plângeri într-un caz transfrontalier, este necesar să se clarifice repartizarea responsabilităților între autoritatea de supraveghere principală și autoritatea de supraveghere la care a fost depusă plângerea. În calitate de punct de contact pentru reclamant în cursul investigației, autoritatea de supraveghere la care a fost depusă plângerea ar trebui să obțină opiniile reclamantului cu privire la propunerea de respingere a plângerii și ar trebui să fie responsabilă de toate comunicările cu reclamantul. Toate aceste comunicări ar trebui transmise autorității de supraveghere principale. Întrucât, în conformitate cu articolul 60 alineatele (8) și (9) din Regulamentul (UE) 2016/679, autoritatea de supraveghere la care a fost depusă plângerea are responsabilitatea de a adopta decizia finală de respingere a plângerii, autoritatea de supraveghere respectivă ar trebui să aibă și responsabilitatea de a elabora proiectul de decizie în temeiul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679.

(20)Asigurarea respectării eficiente a normelor Uniunii privind protecția datelor ar trebui să fie compatibilă cu respectarea deplină a dreptului la apărare al părților – un principiu fundamental al dreptului Uniunii care trebuie respectat în orice situație, în special în cazul procedurilor care pot conduce la aplicarea de sancțiuni.

(21)Pentru a garanta în mod eficace dreptul la bună administrare și dreptul la apărare, astfel cum sunt consacrate în Carta drepturilor fundamentale a Uniunii Europene („carta”), inclusiv dreptul oricărei persoane de a fi ascultată înainte de luarea oricărei măsuri individuale care i-ar putea aduce atingere, este important să se prevadă norme clare privind exercitarea acestui drept.

(22)Normele privind procedura administrativă aplicată de autoritățile de supraveghere atunci când asigură respectarea Regulamentului (UE) 2016/679 ar trebui să asigure faptul că părțile care fac obiectul investigației au efectiv posibilitatea de a-și face cunoscute opiniile cu privire la veridicitatea și relevanța faptelor, obiecțiilor și circumstanțelor prezentate de autoritatea de supraveghere pe parcursul întregii proceduri, permițându-le astfel să își exercite dreptul la apărare. Constatările preliminare stabilesc poziția preliminară cu privire la presupusa încălcare a Regulamentului (UE) 2016/679 în urma investigației. Acestea constituie, așadar, o garanție procedurală esențială, prin care se asigură respectarea dreptului de a fi ascultat. Părților care fac obiectul investigației ar trebui să li se furnizeze documentele necesare pentru a se apăra în mod eficient și pentru a prezenta observații cu privire la acuzațiile formulate împotriva lor, primind acces la dosarul administrativ.

(23)Constatările preliminare definesc domeniul de aplicare al investigației și, prin urmare, domeniul de aplicare al oricărei decizii finale viitoare [adoptată, după caz, pe baza unei decizii obligatorii emise de comitet în temeiul articolului 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679] care poate fi adresată operatorilor sau persoanelor împuternicite de operatori. Constatările preliminare ar trebui formulate în termeni care, chiar dacă sunt succinți, sunt suficient de clari pentru a permite părților care fac obiectul investigației să identifice în mod corespunzător natura presupusei încălcări a Regulamentului (UE) 2016/679. Obligația de a furniza părților care fac obiectul investigației toate informațiile necesare pentru a se apăra în mod corespunzător este îndeplinită în cazul în care decizia finală nu susține că părțile care fac obiectul investigației au săvârșit alte încălcări decât cele menționate în constatările preliminare și ia în considerare numai faptele cu privire la care părțile care fac obiectul investigației au avut posibilitatea de a-și face cunoscute opiniile. Cu toate acestea, decizia finală a autorității de supraveghere principale nu trebuie să fie în mod necesar identică cu constatările preliminare. În decizia finală, autorității de supraveghere principale ar trebui să i se permită să țină seama de răspunsurile părților care fac obiectul investigației la constatările preliminare și, după caz, de proiectul revizuit de decizie prevăzut la articolul 60 alineatul (5) din Regulamentul (UE) 2016/679 și de decizia de soluționare a litigiului dintre autoritățile de supraveghere prevăzută la articolul 65 alineatul (1) litera (a). Autoritatea de supraveghere principală ar trebui să poată efectua propria evaluare a faptelor și a calificărilor juridice prezentate de părțile care fac obiectul investigației, fie pentru a renunța la obiecții atunci când autoritatea de supraveghere le consideră nefondate, fie pentru a-și completa și reformula argumentele, atât în fapt, cât și în drept, în sprijinul obiecțiilor pe care le menține. De exemplu, luarea în considerare a unui argument invocat de o parte care face obiectul investigației în cursul procedurii administrative, fără ca acesteia să i se fi oferit posibilitatea de a-și exprima o opinie în această privință înainte de adoptarea deciziei finale, nu poate constitui în sine o încălcare a dreptului la apărare.

(24)Părților care fac obiectul investigației ar trebui să li se acorde dreptul de a fi ascultate înainte de prezentarea unui proiect revizuit de decizie în temeiul articolului 60 alineatul (5) din Regulamentul (UE) 2016/679 sau de adoptarea unei decizii obligatorii de către comitet în temeiul articolului 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679. 

(25)Reclamanților ar trebui să li se ofere posibilitatea de a fi asociați la procedurile inițiate de o autoritate de supraveghere în vederea identificării sau a clarificării aspectelor legate de o posibilă încălcare a Regulamentului (UE) 2016/679. Faptul că o autoritate de supraveghere a inițiat deja o investigație cu privire la obiectul plângerii sau că va trata plângerea în cadrul unei investigații din oficiu după primirea acesteia nu împiedică încadrarea unei persoane vizate drept reclamant. Totuși, o investigație efectuată de o autoritate de supraveghere cu privire la o posibilă încălcare a Regulamentului (UE) 2016/679 de către un operator sau o persoană împuternicită de operator nu constituie o procedură contradictorie între reclamant și părțile care fac obiectul investigației. Aceasta este o procedură inițiată de o autoritate de supraveghere, din proprie inițiativă sau pe baza unei plângeri, în vederea îndeplinirii sarcinilor care îi revin în temeiul articolului 57 alineatul (1) din Regulamentul (UE) 2016/679. Părțile care fac obiectul investigației și reclamantul nu se află, prin urmare, în aceeași situație procedurală, iar acesta din urmă nu poate invoca dreptul la un proces echitabil atunci când decizia nu îi afectează în mod negativ situația juridică. Implicarea reclamantului în procedura împotriva părților care fac obiectul investigației nu poate compromite dreptul acestor părți de a fi ascultate.

(26)Reclamanților ar trebui să li se ofere posibilitatea de a prezenta în scris opinii cu privire la constatările preliminare. Totuși, aceștia nu ar trebui să aibă acces la secretele comerciale sau la alte informații confidențiale care aparțin altor părți implicate în procedură. Reclamanții nu ar trebui să aibă dreptul de a avea acces generalizat la dosarul administrativ.

(27)Atunci când stabilesc termenele în care părțile care fac obiectul investigației și reclamanții trebuie să își prezinte opiniile cu privire la constatările preliminare, autoritățile de supraveghere ar trebui să țină seama de complexitatea problemelor ridicate în constatările preliminare, pentru a se asigura că părțile care fac obiectul investigației și reclamanții au suficient timp să își prezinte în mod judicios opiniile cu privire la problemele ridicate.

(28)Schimbul de opinii înainte de adoptarea unui proiect de decizie implică un dialog deschis și este un schimb de opinii amplu, în cadrul căruia autoritățile de supraveghere ar trebui să facă tot posibilul pentru a ajunge la un consens cu privire la calea de urmat în cadrul unei investigații. În schimb, dezacordul exprimat în cadrul obiecțiilor relevante și motivate formulate în temeiul articolului 60 alineatul (4) din Regulamentul (UE) 2016/679, care mărește posibilitatea recurgerii la mecanismul de soluționare a litigiilor dintre autoritățile de supraveghere prevăzut la articolul 65 din Regulamentul (UE) 2016/679 și întârzie adoptarea unei decizii finale de către autoritatea de supraveghere competentă, ar trebui să survină în cazul excepțional în care autoritățile de supraveghere nu reușesc să ajungă la un consens și, dacă este necesar, pentru a asigura interpretarea consecventă a Regulamentului (UE) 2016/679. Astfel de obiecții ar trebui utilizate cu moderație, atunci când sunt în joc aspecte legate de asigurarea consecventă a respectării Regulamentului (UE) 2016/679, deoarece orice utilizare a obiecțiilor relevante și motivate înseamnă pentru persoana vizată o amânare în obținerea unei soluționări a plângerii sale. Întrucât domeniul de aplicare al investigației și faptele relevante ar trebui să fie decise înainte de comunicarea constatărilor preliminare, aceste aspecte nu ar trebui să fie ridicate de autoritățile de supraveghere vizate în obiecțiile relevante și motivate. Totuși, acestea pot fi menționate de autoritățile de supraveghere vizate în observațiile lor cu privire la rezumatul aspectelor-cheie în temeiul articolului 9 alineatul (3), înainte de a li se comunica părților care fac obiectul investigației constatările preliminare.

(29)În interesul încheierii eficiente și incluzive a procedurii de soluționare a litigiilor, în care toate autoritățile de supraveghere ar trebui să fie în măsură să își prezinte opiniile și ținând seama de constrângerile de timp aferente procedurii de soluționare a litigiilor, forma și structura obiecțiilor relevante și motivate ar trebui să îndeplinească anumite cerințe. Prin urmare, obiecțiile relevante și motivate ar trebui să aibă anumite limite de lungime, ar trebui să identifice în mod clar dezacordul cu proiectul de decizie și ar trebui să fie formulate în termeni suficient de clari, coerenți și preciși.

(30)Accesul la dosarul administrativ este prevăzut ca parte a dreptului la apărare și a dreptului la bună administrare consacrate în cartă. Accesul la dosarul administrativ ar trebui acordat părților care fac obiectul investigației atunci când acestea sunt notificate cu privire la constatările preliminare și ar trebui stabilit termenul pentru transmiterea răspunsului lor scris la constatările preliminare.

(31)Atunci când acordă acces la dosarul administrativ, autoritățile de supraveghere ar trebui să asigure protecția secretelor comerciale și a altor informații confidențiale. Categoria „alte informații confidențiale” cuprinde informații, altele decât secretele comerciale, care pot fi considerate confidențiale în măsura în care dezvăluirea lor ar produce un prejudiciu grav unui operator, unei persoane împuternicite de operator sau unei persoane fizice. Autoritățile de supraveghere ar trebui să poată solicita ca părțile care fac obiectul investigației și care prezintă sau au prezentat documente sau declarații să identifice informațiile confidențiale.

(32)Atunci când divulgarea secretelor comerciale sau a altor informații confidențiale este necesară pentru a dovedi o încălcare, autoritățile de supraveghere ar trebui să evalueze pentru fiecare document în parte dacă nevoia de a-l divulga prevalează asupra prejudiciului care ar putea fi generat de divulgare.

(33)Atunci când transmite o sesizare cu privire la un subiect în vederea soluționării prin recurgerea la procedura de soluționare a litigiilor prevăzută la articolul 65 din Regulamentul (UE) 2016/679, autoritatea de supraveghere principală ar trebui să furnizeze comitetului toate informațiile necesare pentru a permite acestuia să evalueze admisibilitatea obiecțiilor relevante și motivate și să adopte o decizie în temeiul articolului 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679. Odată ce comitetul primește toate documentele necesare enumerate la articolul 23, președintele comitetului ar trebui să înregistreze sesizarea subiectului în vederea soluționării prin recurgerea la procedura de soluționare a litigiilor în sensul articolului 65 alineatul (2) din Regulamentul (UE) 2016/679.

(34)Decizia obligatorie a comitetului adoptată în temeiul articolului 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679 ar trebui să se refere exclusiv la aspectele care au condus la declanșarea procedurii de soluționare a litigiilor și să fie redactată într-un mod care să permită autorității de supraveghere principale să își adopte decizia finală pe baza deciziei comitetului, menținându-și, în același timp, puterea discreționară.

(35)Pentru a raționaliza soluționarea litigiilor dintre autoritățile de supraveghere sesizate comitetului în temeiul articolului 65 alineatul (1) literele (b) și (c) din Regulamentul (UE) 2016/679, este necesar să se precizeze normele procedurale privind documentele care trebuie transmise comitetului și pe care comitetul ar trebui să își întemeieze decizia. De asemenea, este necesar să se precizeze momentul în care comitetul ar trebui să înregistreze transmiterea spre soluționare a chestiunii prin procedura de soluționare a litigiilor.

(36)Pentru a raționaliza procedura de adoptare a avizelor de urgență și a deciziilor obligatorii urgente ale comitetului în temeiul articolului 66 alineatul (2) din Regulamentul (UE) 2016/679, este necesar să se specifice normele procedurale privind momentul introducerii unei solicitări de aviz de urgență sau al pronunțării unei decizii obligatorii urgente, documentele care trebuie transmise comitetului și pe care comitetul ar trebui să își întemeieze decizia, destinatarii cărora ar trebui să li se adreseze avizul sau decizia comitetului, precum și consecințele avizului sau ale deciziei comitetului.

(37)Capitolele III și IV se referă la cooperarea dintre autoritățile de supraveghere, la drepturile procedurale ale părților care fac obiectul investigației și la implicarea reclamanților. Pentru a asigura securitatea juridică, aceste dispoziții nu ar trebui să se aplice investigațiilor în curs la momentul intrării în vigoare a prezentului regulament. Acestea ar trebui să se aplice investigațiilor din oficiu deschise după intrarea în vigoare a prezentului regulament și investigațiilor bazate pe plângeri care au fost depuse după intrarea în vigoare a prezentului regulament. Capitolul V prevede norme procedurale pentru cazurile supuse procedurii de soluționare a litigiilor prevăzute la articolul 65 din Regulamentul (UE) 2016/679. De asemenea, din motive de securitate juridică, acest capitol nu ar trebui să se aplice cazurilor supuse procedurii de soluționare a litigiilor înainte de intrarea în vigoare a prezentului regulament. Acesta ar trebui să se aplice tuturor cazurilor supuse procedurii de soluționare a litigiilor după intrarea în vigoare a prezentului regulament.

(38)Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 alineatul (2) din Regulamentul (UE) 2018/1725 și au emis un aviz comun la [ ],

ADOPTĂ PREZENTUL REGULAMENT:

Capitolul I

Dispoziții generale

Articolul 1

Obiect

Prezentul regulament stabilește norme procedurale pentru tratarea plângerilor și desfășurarea investigațiilor în cazurile bazate pe plângeri și inițiate din oficiu (ex officio) de către autoritățile de supraveghere în contextul asigurării respectării transfrontaliere a Regulamentului (UE) 2016/679.

Articolul 2

Definiții

În sensul prezentului regulament, se aplică definițiile de la articolul 4 din Regulamentul (UE) 2016/679.

De asemenea, se aplică următoarele definiții:

(1)„părțile care fac obiectul investigației” înseamnă operatorul (operatorii) și/sau persoana (persoanele) împuternicită (împuternicite) investigată (investigate) pentru presupusa încălcare a Regulamentului (UE) 2016/679 în legătură cu prelucrarea transfrontalieră;

(2)„rezumatul aspectelor-cheie” înseamnă rezumatul care trebuie furnizat de autoritatea de supraveghere principală autorităților de supraveghere vizate, în care sunt identificate principalele fapte relevante și opiniile autorității de supraveghere principale cu privire la caz;

(3)„constatări preliminare” înseamnă documentul furnizat de autoritatea de supraveghere principală părților care fac obiectul investigației, în care sunt prezentate acuzațiile, faptele relevante, elementele de probă în sprijinul acestora, analiza juridică și, după caz, măsurile corective propuse;

(4)„obiecții relevante și motivate reținute” înseamnă obiecțiile pe care comitetul le-a stabilit ca fiind relevante și motivate în sensul articolului 4 alineatul (24) din Regulamentul (UE) 2016/679.

Capitolul II

Depunerea și tratarea plângerilor

Articolul 3

Plângeri transfrontaliere

1.O plângere depusă în temeiul Regulamentului (UE) 2016/679 care se referă la prelucrarea transfrontalieră furnizează informațiile solicitate în formular, astfel cum este prevăzut în anexă. Pentru ca o plângere să fie admisibilă nu este necesară furnizarea de informații suplimentare.

2.Autoritatea de supraveghere la care a fost depusă plângerea stabilește dacă plângerea se referă la prelucrarea transfrontalieră.

3.Autoritatea de supraveghere la care a fost depusă plângerea stabilește dacă informațiile solicitate în formular sunt complete în termen de o lună.

4.După ce a evaluat dacă informațiile solicitate în formular sunt complete, autoritatea de supraveghere la care a fost depusă plângerea transmite plângerea autorității de supraveghere principale.

5.În cazul în care reclamantul solicită păstrarea confidențialității atunci când depune o plângere, acesta transmite și o versiune neconfidențială a plângerii.

6.Autoritatea de supraveghere la care a fost depusă plângerea confirmă primirea plângerii în termen de o săptămână. Această confirmare de primire nu aduce atingere evaluării admisibilității plângerii în temeiul alineatului (3).

Articolul 4

Investigarea plângerilor

Atunci când evaluează, în fiecare caz în parte, măsura în care o plângere ar trebui investigată, autoritatea de supraveghere ține seama de toate circumstanțele relevante, inclusiv de toate elementele următoare:

(a)măsura în care poate oferi persoanei vizate o soluționare eficace și rapidă;

(b)gravitatea presupusei încălcări;

(c)caracterul sistemic sau repetitiv al presupusei încălcări.

Articolul 5

Soluționarea pe cale amiabilă

O plângere poate fi soluționată pe cale amiabilă între reclamant și părțile care fac obiectul investigației. În cazul în care consideră că s-a ajuns la o soluționare pe cale amiabilă a plângerii, autoritatea de supraveghere comunică reclamantului soluția propusă. În cazul în care reclamantul nu se opune în termen de o lună soluționării pe cale amiabilă a plângerii propusă de autoritatea de supraveghere, se consideră că plângerea a fost retrasă.

Articolul 6

Traduceri

1.Autoritatea de supraveghere la care a fost depusă plângerea este responsabilă de:

(a)traducerea plângerilor și a opiniilor reclamanților în limba utilizată de autoritatea de supraveghere principală în scopul investigației;

(b)traducerea documentelor furnizate de autoritatea de supraveghere principală în limba utilizată pentru comunicarea cu reclamantul, în cazul în care este necesar să se furnizeze reclamantului astfel de documente în temeiul prezentului regulament sau al Regulamentului (UE) 2016/679.

2.În regulamentul său de procedură, comitetul stabilește procedura de traducere a observațiilor sau a obiecțiilor relevante și motivate formulate de autoritățile de supraveghere vizate într-o altă limbă decât limba utilizată de autoritatea de supraveghere principală în scopul investigației.

Capitolul III

Cooperarea în temeiul articolului 60 din Regulamentul (UE) 2016/679

Secțiunea 1

Ajungerea la un consens în temeiul articolului 60 alineatul (1) din Regulamentul (UE) 2016/679

Articolul 7

Cooperarea dintre autoritățile de supraveghere

Atunci când cooperează între ele în încercarea de a ajunge la un consens, astfel cum se prevede la articolul 60 alineatul (1) din Regulamentul (UE) 2016/679, autoritățile de supraveghere utilizează toate mijloacele prevăzute în Regulamentul (UE) 2016/679, inclusiv asistența reciprocă, în temeiul articolului 61, și operațiunile comune, în temeiul articolului 62 din Regulamentul (UE) 2016/679.

Dispozițiile din prezenta secțiune se referă la relațiile dintre autoritățile de supraveghere și nu sunt destinate să confere drepturi persoanelor fizice sau părților care fac obiectul investigației.

Articolul 8

Informațiile relevante în sensul articolului 60 alineatele (1) și (3) din Regulamentul (UE) 2016/679

1.Autoritatea de supraveghere principală informează periodic celelalte autorități de supraveghere vizate cu privire la investigație și furnizează celorlalte autorități de supraveghere vizate, în cel mai scurt timp posibil, toate informațiile relevante, de îndată ce sunt disponibile.

2.Informațiile relevante în sensul articolului 60 alineatele (1) și (3) din Regulamentul  (UE) 2016/679 includ, după caz:

(a)informațiile privind deschiderea unei investigații privind o presupusă încălcare a Regulamentului (UE) 2016/679;

(b)cererile de informații în temeiul articolului 58 alineatul (1) litera (e) din Regulamentul (UE) 2016/679;

(c)informațiile privind utilizarea altor competențe de investigare menționate la articolul 58 alineatul (1) din Regulamentul (UE) 2016/679;

(d)în cazul în care se are în vedere respingerea unei plângeri, motivele pentru care autoritatea de supraveghere principală respinge plângerea;

(e)rezumatul aspectelor-cheie din cadrul unei investigații, în conformitate cu articolul 9;

(f)informațiile privind etapele care trebuie parcurse pentru a se stabili existența unei încălcări a Regulamentului (UE) 2016/679 înainte de formularea constatărilor preliminare;

(g)constatările preliminare;

(h)răspunsul părților care fac obiectul investigației la constatările preliminare;

(i)opiniile reclamantului cu privire la constatările preliminare;

(j)în cazul respingerii unei plângeri, observațiile scrise ale reclamantului;

(k)orice măsuri relevante luate de autoritatea de supraveghere principală după primirea răspunsului părților care fac obiectul investigației la constatările preliminare și înainte de prezentarea unui proiect de decizie în sensul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679.

Articolul 9

Rezumatul aspectelor-cheie

1.Odată ce autoritatea de supraveghere principală a formulat o opinie preliminară privind principalele aspecte ale unei investigații, aceasta întocmește un rezumat al aspectelor-cheie în scopul cooperării în temeiul articolului 60 alineatul (1) din Regulamentul (UE) 2016/679.

2.Rezumatul aspectelor-cheie include toate elementele următoare:

(a)principalele fapte relevante;

(b)o identificare preliminară a domeniului de aplicare al investigației, în special a dispozițiilor Regulamentului (UE) 2016/679 vizate de presupusa încălcare care urmează să fie investigată;

(c)identificarea evaluărilor juridice și tehnologice complexe care sunt relevante pentru orientarea preliminară a evaluării acestora;

(d)identificarea preliminară a măsurii (măsurilor) corective potențiale.

3.Autoritățile de supraveghere vizate pot prezenta observații privind rezumatul aspectelor-cheie. Aceste observații trebuie furnizate în termen de patru săptămâni de la primirea rezumatului aspectelor-cheie.

4.Observațiile transmise în conformitate cu alineatul (3) trebuie să îndeplinească următoarele cerințe:

(a)limbajul utilizat este suficient de clar și conține termeni preciși pentru a permite autorității de supraveghere principale și, după caz, autorităților de supraveghere vizate să își pregătească pozițiile;

(b)argumentele juridice sunt prezentate succint și sunt grupate în funcție de partea din rezumatul aspectelor-cheie la care se referă;

(c)observațiile autorității de supraveghere vizate pot fi susținute prin documente care pot completa observațiile vizând aspecte specifice.

5.În regulamentul său de procedură, comitetul poate defini restricții privind lungimea maximă a observațiilor transmise de autoritățile de supraveghere vizate cu privire la rezumatul aspectelor-cheie.

6.Cazurile în care niciuna dintre autoritățile de supraveghere vizate nu a prezentat observații în temeiul alineatului (3) din prezentul articol sunt considerate cazuri necontencioase. În astfel de cazuri, constatările preliminare menționate la articolul 14 sunt comunicate părților care fac obiectul investigației în termen de 9 luni de la expirarea termenului prevăzut la alineatul (3) din prezentul articol.

Articolul 10

Utilizarea mijloacelor care permit ajungerea la un consens

1.O autoritate de supraveghere vizată adresează o cerere autorității de supraveghere principale în temeiul articolului 61 din Regulamentul (UE) 2016/679, al articolului 62 din Regulamentul (UE) 2016/679 sau în temeiul ambelor articole, în cazul în care, în urma observațiilor formulate de autoritățile de supraveghere vizate în temeiul articolului 9 alineatul (3), autoritatea de supraveghere vizată respectivă nu este de acord cu evaluarea autorității de supraveghere principale cu privire la:

(a)domeniul de aplicare al investigației în cazurile bazate pe plângeri, în special la dispozițiile Regulamentului (UE) 2016/679 care sunt vizate de presupusa încălcare ce urmează să fie investigată;

(b)orientarea preliminară privind evaluările juridice complexe identificate de autoritatea de supraveghere principală în temeiul articolului 9 alineatul (2) litera (c);

(c)orientarea preliminară privind evaluările tehnologice complexe identificate de autoritatea de supraveghere principală în temeiul articolului 9 alineatul (2) litera (c).

2.Cererea prevăzută la alineatul (1) se transmite în termen de două luni de la expirarea termenului menționat la articolul 9 alineatul (3).

3.Autoritatea de supraveghere principală inițiază un dialog cu autoritățile de supraveghere vizate pe baza observațiilor prezentate de acestea privind rezumatul aspectelor-cheie și, după caz, ca răspuns la cererile formulate în temeiul articolelor 61 și 62 din Regulamentul (UE) 2016/679, în încercarea de a ajunge la un consens. Consensul servește drept bază pentru ca autoritatea de supraveghere principală să continue investigația și să elaboreze constatările preliminare sau, după caz, să transmită autorității de supraveghere la care a fost depusă plângerea motivele sale în sensul articolului 11 alineatul (2).

4.În cazul în care, în cadrul unei investigații bazate pe plângeri, nu există un consens între autoritatea de supraveghere principală și una sau mai multe autorități de supraveghere vizate cu privire la aspectele menționate la articolul 9 alineatul (2) litera (b) din prezentul regulament, autoritatea de supraveghere principală solicită comitetului o decizie obligatorie urgentă în temeiul articolului 66 alineatul (3) din Regulamentul (UE) 2016/679. În acest caz, se consideră că sunt îndeplinite condițiile pentru solicitarea unei decizii obligatorii urgente în temeiul articolului 66 alineatul (3) din Regulamentul (UE) 2016/679.

5.Atunci când solicită comitetului o decizie obligatorie urgentă în temeiul alineatului (4) din prezentul articol, autoritatea de supraveghere principală furnizează toate informațiile următoare:

(a)documentele menționate la articolul 9 alineatul (2) literele (a) și (b);

(b)observațiile autorității de supraveghere vizate care nu este de acord cu identificarea preliminară a domeniului de aplicare al investigației de către autoritatea de supraveghere principală.

6.Comitetul adoptă o decizie obligatorie urgentă privind domeniul de aplicare al investigației pe baza observațiilor autorităților de supraveghere vizate și a poziției autorității de supraveghere principale cu privire la observațiile respective.

Secțiunea 2

Respingerea integrală sau parțială a plângerilor

Articolul 11

Audierea reclamantului înainte de respingerea totală sau parțială a unei plângeri

1.În conformitate cu procedura prevăzută la articolele 9 și 10, autoritatea de supraveghere principală furnizează autorității de supraveghere la care a fost depusă plângerea motivele care stau la baza opiniei sale preliminare conform căreia plângerea ar trebui respinsă integral sau parțial.

2.Autoritatea de supraveghere la care a fost depusă plângerea îl informează pe reclamant cu privire la motivele respingerii preconizate integrale sau parțiale a plângerii și stabilește un termen în care reclamantul își poate face cunoscute opiniile în scris. Termenul este de minimum trei săptămâni. Autoritatea de supraveghere la care a fost depusă plângerea îl informează pe reclamant cu privire la consecințele neprezentării opiniilor sale.

3.În cazul în care reclamantul nu își face cunoscute opiniile în termenul stabilit de autoritatea de supraveghere la care a fost depusă plângerea, se consideră că plângerea a fost retrasă.

4.Reclamantul poate solicita acces la versiunea neconfidențială a documentelor pe care se bazează propunerea de respingere a plângerii. 

5.În cazul în care reclamantul își face cunoscute opiniile în termenul stabilit de autoritatea de supraveghere la care a fost depusă plângerea, iar opiniile nu conduc la o modificare a opiniei preliminare conform căreia plângerea ar trebui respinsă integral sau parțial, autoritatea de supraveghere la care a fost depusă plângerea întocmește proiectul de decizie în temeiul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679, care este transmis celorlalte autorități de supraveghere vizate de către autoritatea de supraveghere principală în temeiul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679.

Articolul 12

Proiect revizuit de decizie de respingere integrală sau parțială a unei plângeri

1.În cazul în care autoritatea de supraveghere principală consideră că proiectul revizuit de decizie în sensul articolului 60 alineatul (5) din Regulamentul (UE) 2016/679 cuprinde elemente cu privire la care reclamantul ar trebui să aibă posibilitatea de a-și face cunoscute opiniile, autoritatea de supraveghere la care a fost depusă plângerea îi oferă reclamantului, înainte de prezentarea proiectului revizuit de decizie în temeiul articolului 60 alineatul (5) din Regulamentul (UE) 2016/679, posibilitatea de a-și face cunoscute opiniile cu privire la aceste noi elemente.

2.Autoritatea de supraveghere la care a fost depusă plângerea stabilește un termen în care reclamantul își poate face cunoscute opiniile.

Articolul 13

Decizia de respingere integrală sau parțială a unei plângeri

Atunci când adoptă o decizie de respingere integrală sau parțială a unei plângeri în conformitate cu articolul 60 alineatul (8) din Regulamentul (UE) 2016/679, autoritatea de supraveghere la care a fost depusă plângerea îl informează pe reclamant privind calea de atac pe care o are la dispoziție în conformitate cu articolul 78 din Regulamentul (UE) 2016/679.

Secțiunea 3

Decizii adresate operatorilor și persoanelor împuternicite de operatori

Articolul 14

Constatări preliminare și răspuns

1.În cazul în care intenționează să prezinte celorlalte autorități de supraveghere vizate un proiect de decizie în sensul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679 în care constată o încălcare a Regulamentului (UE) 2016/679, autoritatea de supraveghere principală elaborează constatări preliminare.

2.Constatările preliminare prezintă acuzațiile formulate într-un mod exhaustiv și suficient de clar pentru a le permite părților care fac obiectul investigației să ia cunoștință de comportamentul investigat de autoritatea de supraveghere principală. În special, constatările preliminare trebuie să prezinte în mod clar toate faptele și întreaga evaluare juridică invocată împotriva părților care fac obiectul investigației, astfel încât acestea să își poată exprima opiniile privind faptele și concluziile juridice pe care autoritatea de supraveghere principală intenționează să le formuleze în proiectul de decizie în sensul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679 și să enumere toate elementele de probă pe care se bazează.

Constatările preliminare indică măsurile corective pe care autoritatea de supraveghere principală intenționează să le utilizeze.

În cazul în care intenționează să impună o amendă, autoritatea de supraveghere principală enumeră în constatările preliminare elementele relevante pe care se bazează la calcularea amenzii. În special, autoritatea de supraveghere principală enumeră faptele și elementele de drept esențiale care pot conduce la impunerea amenzii și elementele enumerate la articolul 83 alineatul (2) din Regulamentul (UE) 2016/679, inclusiv orice circumstanțe agravante sau atenuante pe care le va lua în considerare.

3.Autoritatea de supraveghere principală notifică fiecăreia dintre părțile care fac obiectul investigației constatările preliminare.

4.Atunci când notifică părților care fac obiectul investigației constatările preliminare, autoritatea de supraveghere principală stabilește un termen în care aceste părți își pot prezenta opiniile în scris. Autoritatea de supraveghere principală nu este obligată să ia în considerare opiniile scrise primite după expirarea termenului respectiv.

5.Atunci când notifică constatările preliminare părților care fac obiectul investigației, autoritatea de supraveghere principală le oferă părților respective acces la dosarul administrativ în conformitate cu articolul 20.

6.În răspunsul lor scris la constatările preliminare, părțile care fac obiectul investigației pot prezenta toate faptele și argumentele juridice pe care le cunosc și care sunt relevante pentru apărarea lor împotriva acuzațiilor formulate de autoritatea de supraveghere principală. Părțile anexează orice documente relevante care dovedesc faptele menționate. În proiectul său de decizie, autoritatea de supraveghere principală abordează numai acuzațiile, inclusiv faptele și evaluarea juridică bazată pe aceste fapte, cu privire la care părțile care fac obiectul investigației au avut posibilitatea de a-și prezenta observațiile.

Articolul 15

Transmiterea constatărilor preliminare către reclamanți

1.În cazul în care autoritatea de supraveghere principală emite constatări preliminare referitoare la o chestiune cu privire la care a primit o plângere, autoritatea de supraveghere la care a fost depusă plângerea pune la dispoziția reclamantului o versiune neconfidențială a constatărilor preliminare și stabilește un termen în care reclamantul își poate face cunoscute opiniile în scris.

2.Alineatul (1) se aplică, de asemenea, în cazul în care o autoritate de supraveghere, după caz, tratează mai multe plângeri în comun, împarte plângerile în mai multe părți sau își exercită în orice alt mod puterea de apreciere cu privire la domeniul de aplicare al investigației, astfel cum este prezentat în constatările preliminare.

3.În cazul în care autoritatea de supraveghere principală consideră că este necesar ca reclamantului să i se furnizeze documentele incluse în dosarul administrativ pentru ca reclamantul să își facă în mod eficace cunoscute opiniile privind constatările preliminare, autoritatea de supraveghere la care a fost depusă plângerea îi furnizează reclamantului versiunea neconfidențială a acestor documente atunci când îi pune la dispoziție constatările preliminare în temeiul alineatului (1). 

4.Reclamantului i se furnizează versiunea neconfidențială a constatărilor preliminare numai în scopul investigației concrete în cadrul căreia au fost emise constatările preliminare.

5.Înainte de a primi versiunea neconfidențială a constatărilor preliminare și orice documente furnizate în temeiul alineatului (3), reclamantul trimite autorității de supraveghere principale o declarație de confidențialitate în care se angajează să nu divulge nicio informație sau evaluare din versiunea neconfidențială a constatărilor preliminare sau să utilizeze constatările respective în alte scopuri decât investigația concretă în cadrul căreia au fost emise constatările respective.

Articolul 16

Adoptarea deciziei finale

După transmiterea proiectului de decizie către autoritățile de supraveghere vizate în temeiul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679 și în cazul în care niciuna dintre autoritățile de supraveghere vizate nu a formulat obiecții la proiectul de decizie în termenele menționate la articolul 60 alineatele (4) și (5) din Regulamentul (UE) 2016/679, autoritatea de supraveghere principală adoptă o decizie și o notifică în temeiul articolului 60 alineatul (7) din Regulamentul (UE) 2016/679 transmițând-o către sediul principal sau sediul unic al operatorului sau al persoanei împuternicite de operator, după caz, și informează autoritățile de supraveghere vizate și comitetul cu privire la decizia în cauză, incluzând un rezumat al faptelor și motivelor relevante.

Articolul 17

Dreptul de a fi ascultat în legătură cu proiectul revizuit de decizie

1.În cazul în care autoritatea de supraveghere principală consideră că proiectul revizuit de decizie în sensul articolului 60 alineatul (5) din Regulamentul (UE) 2016/679 cuprinde elemente cu privire la care părțile care fac obiectul investigației ar trebui să aibă posibilitatea de a-și face cunoscute opiniile, autoritatea de supraveghere principală oferă părților care fac obiectul investigației, înainte de prezentarea proiectului revizuit de decizie în temeiul articolului 60 alineatul (5) din Regulamentul (UE) 2016/679, posibilitatea de a-și face cunoscute opiniile cu privire la aceste noi elemente.

2.Autoritatea de supraveghere principală stabilește un termen în care părțile care fac obiectul investigației își pot face cunoscute opiniile.

Secțiunea 4

Obiecții relevante și motivate

Articolul 18

Obiecții relevante și motivate

1.Obiecțiile relevante și motivate în sensul articolului 4 alineatul (24) din Regulamentul (UE) 2016/679:

(a)se bazează exclusiv pe elemente factuale incluse în proiectul de decizie și

(b)nu modifică domeniul de aplicare al acuzațiilor prin invocarea unor aspecte care să conducă la identificarea unor acuzații suplimentare de încălcare a Regulamentului (UE) 2016/679 sau prin modificarea naturii intrinseci a acuzațiilor formulate.

2.Forma și structura obiecțiilor relevante și motivate trebuie să îndeplinească toate cerințele următoare:

(a)lungimea fiecărei obiecții relevante și motivate și poziția autorității de supraveghere principale cu privire la orice astfel de obiecție nu depășește trei pagini și nu sunt incluse anexe. În cazurile care implică aspecte juridice deosebit de complexe, lungimea maximă poate fi mărită la șase pagini, cu excepția cazului în care comitetul acceptă circumstanțe specifice care justifică o lungime mai mare;

(b)dezacordul autorității de supraveghere vizate cu proiectul de decizie este exprimat la începutul obiecției relevante și motivate și este formulat în termeni suficient de clari, coerenți și preciși pentru a permite autorității de supraveghere principale și, după caz, autorităților de supraveghere vizate, să își pregătească pozițiile și a permite comitetului să soluționeze în mod eficient litigiul;

(c)argumentele juridice sunt prezentate și grupate făcând trimitere la elementele din dispozitivul proiectului de decizie la care se referă. Fiecare argument sau grup de argumente este precedat, în general, de o situație rezumativă.

Capitolul IV

Accesul la dosarul administrativ și tratarea informațiilor confidențiale

Articolul 19

Conținutul dosarului administrativ

1.Dosarul administrativ al unei investigații privind o presupusă încălcare a Regulamentului (UE) 2016/679 constă în toate documentele care au fost obținute, produse și/sau compilate de autoritatea de supraveghere principală în cursul investigației.

2.În cursul investigării unei presupuse încălcări a Regulamentului (UE) 2016/679, autoritatea de supraveghere principală poate returna părții de la care au fost obținute documentele care, în urma unei examinări mai detaliate, se dovedesc a nu avea legătură cu obiectul investigației. După returnare, aceste documente nu mai fac parte din dosarul administrativ.

3.Dreptul de acces la dosarul administrativ nu include și corespondența și schimbul de opinii dintre autoritatea de supraveghere principală și autoritățile de supraveghere vizate. Informațiile pe care și le-au comunicat între ele autoritățile de supraveghere în scopul investigării unui caz individual sunt documente interne și nu sunt accesibile părților care fac obiectul investigației sau reclamantului. 

4.Accesul la obiecțiile relevante și motivate în temeiul articolului 60 alineatul (4) din Regulamentul (UE) 2016/679 se acordă în conformitate cu articolul 24. 

Articolul 20

Accesul la dosarul administrativ și utilizarea documentelor

1.Autoritatea de supraveghere principală acordă acces la dosarul administrativ părților care fac obiectul investigației, permițându-le să își exercite dreptul de a fi ascultate. Accesul la dosarul administrativ se acordă după ce autoritatea de supraveghere principală notifică părților care fac obiectul investigației constatările preliminare.

2.Dosarul administrativ cuprinde toate documentele incriminatoare și dezincriminatoare, inclusiv faptele și documentele care sunt cunoscute de părțile care fac obiectul investigației. 

3.Concluziile autorității de supraveghere principale formulate în proiectul de decizie în temeiul articolului 60 alineatul (3) din Regulamentul (UE) 2016/679 și în decizia finală în temeiul articolului 60 alineatul (7) din Regulamentul (UE) 2016/679 se pot baza numai pe documentele menționate în constatările preliminare sau cu privire la care părțile care fac obiectul investigației au avut posibilitatea de a-și face cunoscute opiniile.

4.Documentele obținute prin accesul la dosarul administrativ în temeiul prezentului articol se utilizează numai în scopul procedurilor judiciare sau administrative inițiate în vederea aplicării Regulamentului (UE) 2016/679 în cazul specific pentru care au fost furnizate.

Articolul 21

Identificarea și protejarea informațiilor confidențiale

1.Cu excepția cazului în care se prevede altfel în prezentul regulament, informațiile colectate sau obținute de o autoritate de supraveghere în cazuri transfrontaliere în temeiul Regulamentului (UE) 2016/679, inclusiv orice document care conține astfel de informații, nu sunt comunicate sau puse la dispoziție de către autoritatea de supraveghere, în măsura în care acestea conțin secrete comerciale sau alte informații confidențiale ale oricărei persoane.

2.Orice informații colectate sau obținute de o autoritate de supraveghere în cazurile transfrontaliere în temeiul Regulamentului (UE) 2016/679, inclusiv orice document care conține astfel de informații, nu fac obiectul cererilor de acces la documente introduse în temeiul legislației privind accesul public la documentele oficiale, atât timp cât procedurile sunt în curs.

3.Atunci când comunică părților care fac obiectul investigației constatările preliminare și furnizează acces la dosarul administrativ în temeiul articolului 20, autoritatea de supraveghere principală se asigură că părțile care fac obiectul investigației cărora li se acordă acces la informații ce conțin secrete comerciale sau alte informații confidențiale tratează aceste informații cu respectarea deplină a confidențialității lor și că aceste informații nu sunt utilizate în detrimentul furnizorului informațiilor. În funcție de gradul de confidențialitate a informațiilor, autoritatea de supraveghere principală adoptă măsurile corespunzătoare pentru a asigura respectarea deplină a drepturilor la apărare ale părților care fac obiectul investigației, ținând seama în mod corespunzător de confidențialitatea informațiilor.

4.O entitate care transmite informații pe care le consideră confidențiale identifică în mod clar informațiile pe care le consideră confidențiale, indicând motivele pentru care solicită păstrarea confidențialității. Entitatea furnizează o versiune separată neconfidențială a informațiilor.

5.Fără să aducă atingere alineatului (4), autoritatea de supraveghere principală poate cere părților care fac obiectul investigației sau oricărei alte părți care furnizează documente în temeiul Regulamentului (UE) 2016/679 să precizeze care sunt documentele sau părțile din documente care, din punctul lor de vedere, conțin secrete comerciale sau alte informații confidențiale care le aparțin și să precizeze părțile față de care aceste documente sunt considerate confidențiale.

6.Autoritatea de supraveghere principală poate stabili un termen în care părțile care fac obiectul investigației și orice altă parte care depune o cerere de confidențialitate:

(a)să își motiveze afirmațiile privind secretele comerciale și alte informații confidențiale pentru fiecare document sau parte a documentului și pentru fiecare declarație sau parte a declarației;

(b)să furnizeze o versiune neconfidențială a documentelor și declarațiilor, în care secretele comerciale și alte informații confidențiale sunt ocultate;

(c)să furnizeze o descriere concisă și neconfidențială a fiecărei informații ocultate.

7.În cazul în care părțile care fac obiectul investigației sau oricare altă parte nu respectă alineatele (4) și (5), autoritatea de supraveghere principală poate presupune că documentele sau declarațiile în cauză nu conțin secrete comerciale sau alte informații confidențiale.

Capitolul V

Soluționarea litigiilor

Articolul 22

Transmiterea unei sesizări în vederea soluționării prin procedura de soluționare a litigiilor prevăzută la articolul 65 din Regulamentul (UE) 2016/679

1.În cazul în care autoritatea de supraveghere principală nu dă curs obiecțiilor relevante și motivate sau este de părere că obiecțiile nu sunt relevante sau motivate, aceasta supune chestiunea mecanismului de soluționare a litigiilor prevăzut la articolul 65 din Regulamentul (UE) 2016/679.

2.Atunci când transmite o sesizare cu privire la un subiect în vederea soluționării prin recurgerea la procedura de soluționare a litigiilor, autoritatea de supraveghere principală pune la dispoziția comitetului toate documentele următoare:

(a)proiectul de decizie sau proiectul revizuit de decizie care face obiectul obiecțiilor relevante și motivate;

(b)un rezumat al faptelor relevante;

(c)constatările preliminare;

(d)opiniile exprimate în scris de către părțile care fac obiectul investigației, după caz, în temeiul articolelor 14 și 17;

(e)opiniile exprimate în scris de către reclamanți, după caz, în temeiul articolelor 11, 12 și 15;

(f)obiecțiile relevante și motivate cărora autoritatea de supraveghere principală nu le-a dat curs;

(g)motivele pe baza cărora autoritatea de supraveghere principală nu a dat curs obiecțiilor relevante și motivate sau a considerat că obiecțiile nu sunt relevante sau motivate.

3.Comitetul identifică obiecțiile relevante și motivate reținute în termen de patru săptămâni de la primirea documentelor enumerate la alineatul (2).

Articolul 23

Înregistrarea aferentă deciziilor adoptate în temeiul articolului 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679

Președintele comitetului înregistrează sesizarea unui subiect în vederea soluționării prin recurgerea la procedura de soluționare a litigiilor prevăzută la articolul 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679 în termen de cel mult o săptămână de la primirea tuturor documentelor următoare:

(a)proiectul de decizie sau proiectul revizuit de decizie care face obiectul obiecțiilor relevante și motivate;

(b)un rezumat al faptelor relevante;

(c)opiniile exprimate în scris de către părțile care fac obiectul investigației, după caz, în temeiul articolelor 14 și 17;

(d)opiniile exprimate în scris de către reclamanți, după caz, în temeiul articolelor 11, 12 și 15;

(e)obiecțiile relevante și motivate reținute;

(f)motivele pe baza cărora autoritatea de supraveghere principală nu a dat curs obiecțiilor relevante și motivate reținute.

Articolul 24

Motivarea înainte de adoptarea unei decizii în temeiul articolului 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679

1.Înainte de adoptarea deciziei obligatorii în temeiul articolului 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679, președintele comitetului, prin intermediul autorității de supraveghere principale, furnizează părților care fac obiectul investigației și/sau, în cazul respingerii integrale sau parțiale a unei plângeri, reclamantului, o motivare în care explică raționamentul pe care comitetul intenționează să îl adopte în decizia sa. În cazul în care comitetul intenționează să adopte o decizie obligatorie prin care să solicite autorității de supraveghere principale să își modifice proiectul de decizie sau proiectul revizuit de decizie, comitetul decide dacă o astfel de motivare ar trebui să fie însoțită de obiecțiile relevante și motivate reținute pe baza cărora comitetul intenționează să își adopte decizia.

2.Părțile care fac obiectul investigației și/sau, în cazul respingerii integrale sau parțiale a unei plângeri, reclamantul au la dispoziție o săptămână de la primirea motivării menționate la alineatul (1) pentru a-și face cunoscute opiniile.

3.Termenul prevăzut la alineatul (2) se prelungește cu o săptămână în cazul în care comitetul prelungește perioada de adoptare a deciziei obligatorii în conformitate cu articolul 65 alineatul (2) din Regulamentul (UE) 2016/679.

4.Perioada pentru adoptarea deciziei obligatorii a comitetului prevăzută la articolul 65 alineatul (2) din Regulamentul (UE) 2016/679 nu curge în perioadele menționate la alineatele (2) și (3).

Articolul 25

Procedura aferentă deciziilor adoptate în temeiul articolului 65 alineatul (1) litera (b) din Regulamentul (UE) 2016/679

1.Atunci când sesizează comitetul cu privire la un subiect în temeiul articolului 65 alineatul (1) litera (b) din Regulamentul 2016/679, autoritatea de supraveghere care transmite sesizarea respectivă referitoare la competența sediului principal furnizează comitetului toate documentele următoare:

(a)un rezumat al faptelor relevante;

(b)evaluarea acestor fapte din perspectiva condițiilor prevăzute la articolul 56 alineatul (1) din Regulamentul (UE) 2016/679;

(c)opiniile exprimate de operator sau de persoana împuternicită de operator al cărui (cărei) sediu principal face obiectul sesizării;

(d)opiniile altor autorități de supraveghere vizate de sesizare;

(e)orice alt document sau informație pe care autoritatea de supraveghere care a trimis sesizarea o consideră relevantă și necesară pentru a găsi o soluție cu privire la subiectul în cauză.

2.Președintele comitetului înregistrează sesizarea în termen de cel mult o săptămână de la primirea documentelor menționate la alineatul (1).

Articolul 26

Procedura aferentă deciziilor adoptate în temeiul articolului 65 alineatul (1) litera (c) din Regulamentul (UE) 2016/679

1.Atunci când sesizează comitetul cu privire la un subiect în temeiul articolului 65 alineatul (1) litera (c) din Regulamentul 2016/679, autoritatea de supraveghere care transmite sesizarea respectivă sau Comisia furnizează comitetului toate documentele următoare:

(a)un rezumat al faptelor relevante;

(b)după caz, avizul emis de comitet în temeiul articolului 64 din Regulamentul (UE) 2016/679;

(c)opiniile autorității de supraveghere care transmite sesizarea în cauză sau ale Comisiei cu privire la întrebarea dacă, după caz, o autoritate de supraveghere avea obligația de a comunica proiectul de decizie comitetului în temeiul articolului 64 alineatul (1) din Regulamentul (UE) 2016/679 sau dacă o autoritate de supraveghere nu a dat curs unui aviz al comitetului emis în temeiul articolului 64 din Regulamentul (UE) 2016/679. 

2.Președintele comitetului solicită următoarele documente:

(a)opiniile autorității de supraveghere despre care se presupune că a încălcat cerința de a comunica comitetului un proiect de decizie sau că nu a dat curs unui aviz al comitetului;

(b)orice alt document sau informație pe care autoritatea de supraveghere o consideră relevantă și necesară pentru a găsi o soluție cu privire la subiectul în cauză.

În cazul în care declară că este necesar să își prezinte opiniile cu privire la subiectul sesizării, o autoritate de supraveghere transmite aceste opinii în termen de două săptămâni de la sesizarea menționată la alineatul (1).

3.Președintele comitetului înregistrează sesizarea în termen de cel mult o săptămână de la primirea documentelor menționate la alineatele (1) și (2).

Capitolul VI

Procedura de urgență

Articolul 27

Avize de urgență adoptate în temeiul articolului 66 alineatul (2) din Regulamentul (UE) 2016/679

1.O cerere de emitere a unui aviz de urgență al comitetului în temeiul articolului 66 alineatul (2) din Regulamentul (UE) 2016/679 se transmite cel târziu cu trei săptămâni înainte de expirarea măsurilor provizorii adoptate în temeiul articolului 66 alineatul (1) din Regulamentul (UE) 2016/679 și conține toate elementele următoare:

(a)un rezumat al faptelor relevante;

(b)o descriere a măsurii provizorii adoptate pe teritoriul său, durata și motivele adoptării acesteia, inclusiv justificarea necesității urgente de a acționa în vederea protejării drepturilor și libertăților persoanelor vizate;

(c)o justificare a necesității urgente de a adopta măsuri definitive pe teritoriul statului membru al autorității de supraveghere solicitante, inclusiv o explicație a caracterului excepțional al circumstanțelor care impun adoptarea măsurilor în cauză.

2.Avizul de urgență al comitetului se adresează autorității de supraveghere care a transmis cererea. Acesta este similar unui aviz în sensul articolului 64 alineatul (1) din Regulamentul (UE) 2016/679 și permite autorității solicitante să își mențină sau să își modifice măsura provizorie în conformitate cu obligațiile prevăzute la articolul 64 alineatul (7) din Regulamentul (UE) 2016/679. 

Articolul 28

Decizii urgente adoptate în temeiul articolului 66 alineatul (2) din Regulamentul (UE) 2016/679

1.O cerere de emitere a unei decizii urgente a comitetului în temeiul articolului 66 alineatul (2) din Regulamentul (UE) 2016/679 se transmite cel târziu cu trei săptămâni înainte de expirarea măsurilor provizorii adoptate în temeiul articolului 61 alineatul (8), a articolului 62 alineatul (7) sau a articolului 66 alineatul (1) din Regulamentul (UE) 2016/679. Cererea cuprinde toate elementele următoare:

(a)un rezumat al faptelor relevante;

(b)măsura provizorie adoptată pe teritoriul statului membru al autorității de supraveghere care solicită decizia, durata și motivele adoptării măsurii provizorii, în special justificarea necesității urgente de a acționa în vederea protejării drepturilor și libertăților persoanelor vizate;

(c)informații privind orice măsuri de investigare luate pe teritoriul său și răspunsurile primite de la sediul local al părților care fac obiectul investigației sau orice alte informații aflate în posesia autorității de supraveghere solicitante;

(d)o justificare a necesității urgente de a adopta măsuri definitive pe teritoriul autorității de supraveghere solicitante, ținând seama de natura excepțională a circumstanțelor care impun adoptarea măsurii definitive, sau dovada că o autoritate de supraveghere nu a răspuns la o cerere formulată în temeiul articolului 61 alineatul (3) sau al articolului 62 alineatul (2) din Regulamentul (UE) 2016/679;

(e)în cazul în care autoritatea solicitantă nu este autoritatea de supraveghere principală, opiniile autorității de supraveghere principale;

(f)după caz, opiniile sediului local al părților care fac obiectul investigației împotriva cărora au fost luate măsuri provizorii în temeiul articolului 66 alineatul (1) din Regulamentul (UE) 2016/679.

2.Decizia urgentă menționată la alineatul (1) se adresează autorității de supraveghere care a transmis cererea și permite autorității solicitante să își mențină sau să își modifice măsura provizorie.

3.În cazul în care comitetul adoptă o decizie obligatorie urgentă care indică faptul că ar trebui adoptate măsuri definitive, autoritatea de supraveghere căreia i se adresează decizia adoptă astfel de măsuri înainte de expirarea măsurilor provizorii adoptate în temeiul articolului 66 alineatul (1) din Regulamentul (UE) 2016/679.

4.Autoritatea de supraveghere care a depus cererea menționată la alineatul (1) notifică decizia sa privind măsurile definitive sediului operatorului sau al persoanei împuternicite de operator de pe teritoriul statului său membru și informează comitetul. În cazul în care autoritatea de supraveghere principală nu este autoritatea solicitantă, autoritatea solicitantă informează autoritatea de supraveghere principală cu privire la măsura definitivă.

5.În cazul în care decizia obligatorie urgentă indică faptul că nu trebuie adoptate de urgență măsuri definitive, autoritatea de supraveghere principală și autoritățile de supraveghere vizate urmează procedura prevăzută la articolul 60 din Regulamentul (UE) 2016/679.

Capitolul VII

Dispoziții generale și finale

Articolul 29

Începutul termenelor și definiția zilei lucrătoare

1.Termenele prevăzute sau stabilite de autoritățile de supraveghere în temeiul Regulamentului (UE) 2016/679 se calculează în conformitate cu Regulamentul (CEE, Euratom) nr. 1182/71 al Consiliului 17 .

2.Termenele încep să curgă din ziua lucrătoare următoare evenimentului la care face trimitere dispoziția corespunzătoare din Regulamentul (UE) 2016/679 sau din prezentul regulament.

Articolul 30

Dispoziții tranzitorii

Capitolele III și IV se aplică investigațiilor din oficiu deschise după intrarea în vigoare a prezentului regulament și investigațiilor bazate pe plângeri care au fost depuse după intrarea în vigoare a prezentului regulament.

Capitolul V se aplică tuturor cazurilor supuse procedurii soluționării litigiilor în temeiul articolului 65 din Regulamentul (UE) 2016/679 după intrarea în vigoare a prezentului regulament.

Articolul 31

Intrare în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles,

Pentru Parlamentul European,    Pentru Consiliu,

Președinta    Președintele

(1)    Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119, 4.5.2016, p. 1.
(2)    Comunicarea Comisiei către Parlamentul European și Consiliu intitulată „Protecția datelor ca pilon al capacitării cetățenilor și al abordării UE privind tranziția digitală - doi ani de aplicare a Regulamentului general privind protecția datelor” [COM(2020) 264 final].
(3)    Rezoluția Parlamentului European din 25 martie 2021 referitoare la raportul de evaluare al Comisiei privind punerea în aplicare a Regulamentului general privind protecția datelor, la doi ani de la aplicarea acestuia (2020/2717(RSP)).
(4)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en  
(5)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf  
(6)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=ro&do=groupDetail.groupDetail&groupID=3537  
(7)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=ro&do=groupDetail.groupDetail&groupID=3461  
(8)     https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-programme-2023_ro  
(9)    Comunicarea Comisiei către Parlamentul European și Consiliu intitulată „Protecția datelor ca pilon al capacitării cetățenilor și al abordării UE privind tranziția digitală - doi ani de aplicare a Regulamentului general privind protecția datelor” [COM(2020) 264 final].
(10)    Document de lucru al serviciilor Comisiei care însoțește Comunicarea Comisiei către Parlamentul European și Consiliu intitulată „Protecția datelor ca pilon al capacitării cetățenilor și al abordării UE privind tranziția digitală - doi ani de aplicare a Regulamentului general privind protecția datelor” [SWD(2020) 115 final].
(11)    Rezoluția Parlamentului European din 25 martie 2021 referitoare la raportul de evaluare al Comisiei privind punerea în aplicare a Regulamentului general privind protecția datelor, la doi ani de la aplicarea acestuia (2020/2717(RSP)).
(12)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en  
(13)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf  
(14)    JO C , , p. .
(15)    JO C , , p. .
(16)    Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
(17)    Regulamentul (CEE, Euratom) nr. 1182/71 al Consiliului din 3 iunie 1971 privind stabilirea regulilor care se aplică termenelor, datelor și expirării termenelor (JO L 124, 8.6.1971, p. 1).

Bruxelles, 4.7.2023

COM(2023) 348 final

ANEXĂ

la Propunerea de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

de stabilire a unor norme procedurale suplimentare referitoare la asigurarea respectării Regulamentului (UE) 2016/679







ANEXĂ

Plângere depusă în temeiul articolului 3 1

Partea A: Informații obligatorii

1.Identificarea persoanei sau a entității care depune plângerea

În cazul în care reclamantul este o persoană fizică, se prezintă o formă de identificare 2 .

În cazul în care plângerea este depusă de un organism menționat la articolul 80 din Regulamentul (UE) 2016/679, se prezintă dovada că organismul a fost constituit în mod corespunzător în conformitate cu dreptul intern.

În cazul în care plângerea este depusă în temeiul articolului 80 alineatul (1) din Regulamentul 2016/679, se prezintă dovada că organismul care depune plângerea acționează pe baza mandatului din partea unei persoane vizate.

2.Date de contact 3

În cazul în care plângerea este depusă electronic, adresa de e-mail.

În cazul în care plângerea este depusă prin poștă, adresa poștală.

Numărul de telefon.

3.Entitatea care, în contextul prelucrării datelor dumneavoastră cu caracter personal, încalcă dispozițiile Regulamentului (UE) 2016/679

Vă rugăm să ne furnizați toate informațiile pe care le dețineți pentru a facilita identificarea entității care face obiectul plângerii dumneavoastră.

4.Obiectul plângerii

Vă rugăm să prezentați faptele pe baza cărora, în opinia dumneavoastră, datele dumneavoastră cu caracter personal sunt sau au fost prelucrate cu încălcarea dispozițiilor Regulamentului (UE) 2016/679 (RGPD). Indicați în special contextul în care au fost prelucrate datele dumneavoastră cu caracter personal.

Partea B: Informații suplimentare

Dacă este posibil, indicați dispozițiile Regulamentului (UE) 2016/679 (RGPD) care considerați că au fost încălcate de entitatea care vă prelucrează datele cu caracter personal.

Vă rugăm să precizați dacă ați contactat entitatea menționată în partea A punctul 3 înainte de depunerea plângerii și să prezentați rezultatul oricăror astfel de acțiuni. Dacă este posibil, vă rugăm să anexați corespondența relevantă dintre dumneavoastră și entitate.

Vă rugăm să precizați dacă ați inițiat alte proceduri administrative și/sau judiciare cu privire la obiectul plângerii dumneavoastră. În caz afirmativ, vă rugăm să furnizați o explicație privind stadiul și, după caz, rezultatul unor astfel de acțiuni.

Vă rugăm să ne transmiteți toate documentele pe care le dețineți cu privire la faptele prezentate în plângere [de exemplu, o copie a documentelor care atestă relația cu operatorul de date (cum ar fi facturi sau contracte); o copie a mesajelor sau a e-mailurilor de marketing; imagini, fotografii sau capturi de ecran; rapoarte ale experților; rapoarte ale martorilor; rapoarte de inspecție].

Partea C: Declarație și semnătură

Vă rugăm să confirmați că informațiile completate în acest formular sunt furnizate cu bună­credință.

Data și semnătura

(1)    Plângerea ar trebui completată și depusă în format electronic sau completată și transmisă autorității de supraveghere prin poștă.
(2)    De exemplu, pașaport, permis de conducere, carte de identitate națională.
(3)    În cazul în care o plângere este depusă de un organism menționat la articolul 80 din Regulamentul (UE) 2016/679, ar trebui furnizate toate informațiile de la punctul 2.