EUROPEISKA KOMMISSIONEN

Bryssel den 4.7.2023

COM(2023) 348 final

2023/0202(COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679

MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

•Motiv och syfte med förslaget

·Klagomål: Klagomål är en väsentlig informationskälla när det gäller att upptäcka överträdelser av dataskyddsreglerna. Dataskyddsmyndigheterna har olika tolkningar av kraven på formen för ett klagomål, den enskildes deltagande i förfarandet och avslaget på ett klagomål. Till exempel: ett klagomål som godtagits av vissa dataskyddsmyndigheter kan avvisas av andra på grund av att det inte innehåller tillräckligt med information; vissa dataskyddsmyndigheter ger den enskilde samma rättigheter som de parter som är föremål för utredning, medan andra inte inbegriper den enskilde eller involverar den enskilde i mycket begränsad utsträckning; vissa dataskyddsmyndigheter antar ett formellt beslut om att avvisa alla klagomål som inte handläggs, medan andra dataskyddsmyndigheter underlåter att göra det. Dessa skillnader innebär att behandlingen av klagomål och den enskildes deltagande varierar beroende på var klagomålet lämnas in eller vilken dataskyddsmyndighet som är ansvarig dataskyddsmyndighet i ett visst ärende. Det innebär att slutförandet av utredningen och tillhandahållandet av ett rättsmedel fördröjs för den registrerade i gränsöverskridande ärenden. I sin resolution om kommissionens rapport från 2020 om den allmänna dataskyddsförordningen betonade Europaparlamentet behovet av att klargöra den enskildes ställning när det gäller gränsöverskridande klagomål.

·Processuella rättigheter för parter som är föremål för utredning: Rätten till försvar för de parter som är föremål för utredning är en grundläggande princip i unionsrätten som ska respekteras under alla omständigheter, särskilt i förfaranden som kan ge upphov till stränga påföljder. Med tanke på den potentiella strängheten i de påföljder som kan komma att åläggas måste de parter som är föremål för utredning när det gäller överträdelser av dataskyddsförordningen åtnjuta garantier liknande dem som föreskrivs i förfaranden av straffrättslig karaktär. De processuella rättigheterna för de parter som är föremål för utredning, såsom omfattningen av rätten att bli hörd och rätten att få tillgång till handlingarna i ärendet, varierar avsevärt mellan medlemsstaterna. Den utsträckning i vilken parterna hörs, tidpunkten för hörandet och de handlingar som lämnas till parterna för att de ska kunna utöva sin rätt att bli hörda är omständigheter för vilka medlemsstaterna har olika tillvägagångssätt. Dessa olika tillvägagångssätt är inte alltid förenliga med det förfarande som föreskrivs i artikel 60 i dataskyddsförordningen, som bygger på antagandet att de parter som är föremål för utredning har utövat sina rättigheter till ett korrekt rättsförfarande innan den ansvariga dataskyddsmyndigheten lägger fram sitt utkast till beslut. När ett ärende hänskjuts till dataskyddsstyrelsen för tvistlösning kan det variera i vilken utsträckning parterna har hörts om de frågor som tas upp i utkastet till beslut och om de berörda dataskyddsmyndigheternas invändningar. Dessutom är det oklart i vilken utsträckning de parter som är föremål för utredning bör höras vid dataskyddsstyrelsens tvistlösning enligt artikel 65 i den allmänna dataskyddsförordningen. Om rätten att bli hörd inte garanteras kan det innebära att dataskyddsmyndigheternas beslut om överträdelser av dataskyddsförordningen blir mer sårbara för rättslig prövning.

·Samarbete och tvistlösning: Samarbetsförfarandet i artikel 60 i dataskyddsförordningen beskrivs i stora drag. I gränsöverskridande ärenden är dataskyddsmyndigheterna skyldiga att utbyta ”relevant information” i en strävan att nå samförstånd. När den ansvariga dataskyddsmyndigheten lämnar in ett utkast till beslut i ärendet har andra dataskyddsmyndigheter möjlighet att framföra ”relevanta och motiverade invändningar”. Dessa invändningar ger möjlighet till tvistlösning (när de inte följs av den ansvariga dataskyddsmyndigheten). Även om tvistlösningsförfarandet i artikel 65 i dataskyddsförordningen är en viktig faktor för att säkerställa en konsekvent tolkning av dataskyddsförordningen, bör det reserveras för undantagsfall där lojalt samarbete mellan dataskyddsmyndigheterna inte har lett till samförstånd. Erfarenheterna av tillämpningen av den allmänna dataskyddsförordningen i gränsöverskridande ärenden visar att samarbetet mellan dataskyddsmyndigheterna är otillräckligt innan ett utkast till beslut lämnas in av den ansvariga dataskyddsmyndigheten. Bristen på tillräckligt samarbete och samförstånd i viktiga frågor i utredningen i detta tidiga skede har lett till att ett stort antal ärenden har lämnats in för tvistlösning.

Det finns skillnader när det gäller formen och strukturen för relevanta och motiverade invändningar från de berörda dataskyddsmyndigheterna under förfarandet för gränsöverskridande samarbete. Dessa skillnader hindrar att tvistlösningsförfarandet slutförs på ett effektivt sätt och att alla berörda dataskyddsmyndigheter inkluderas i förfarandet, särskilt dataskyddsmyndigheter i mindre medlemsstater, som har mindre resurser än dataskyddsmyndigheterna i större medlemsstater.

·I den allmänna dataskyddsförordningen föreskrivs inga tidsfrister för olika skeden av samarbets- och tvistlösningsförfarandet. Med tanke på utredningarnas varierande komplexitet och dataskyddsmyndigheternas skönsmässiga utrymme för att utreda överträdelser av dataskyddsförordningen är det inte önskvärt att fastställa tidsfrister för varje steg i förfarandet. Införandet av tidsfrister när så är lämpligt kommer dock att hjälpa till att förhindra onödiga förseningar i slutförandet av ärenden.

·Klagomålens form och den enskildes ställning: Förslaget innehåller ett formulär där det anges vilken information som krävs för alla klagomål enligt artikel 77 i den allmänna dataskyddsförordningen i fråga om gränsöverskridande behandling och där det fastställs förfaranderegler för den enskildes deltagande i förfarandet, inbegripet den enskildes rätt att lämna synpunkter. I förslaget anges förfaranderegler för avslag av klagomål i gränsöverskridande ärenden och rollerna förtydligas för den ansvariga dataskyddsmyndigheten och den dataskyddsmyndighet till vilken klagomålet lämnades in i sådana ärenden. Vikten och lagligheten av en uppgörelse i godo i klagomålsbaserade ärenden bekräftas i förslaget.

·Riktad harmonisering av processuella rättigheter i gränsöverskridande ärenden: Enligt förslaget får de parter som är föremål för utredning rätt att bli hörda i viktiga skeden av förfarandet, inbegripet under dataskyddsstyrelsens tvistlösning, och innehållet i handlingarna i ärendet och parternas rätt att få tillgång till dem förtydligas. Förslaget stärker därigenom parternas rätt till försvar och säkerställer konsekvent efterlevnad av dessa rättigheter oavsett vilken dataskyddsmyndighet som leder utredningen.

·Effektivare samarbete och tvistlösning: Förslaget innebär att dataskyddsmyndigheterna får de verktyg som behövs för att nå samförstånd genom tillägg till kravet på att dataskyddsmyndigheterna ska samarbeta och utbyta ”relevant information” enligt artikel 60 i den allmänna dataskyddsförordningen. Genom denna förordning inrättas en ram för att alla dataskyddsmyndigheter på ett meningsfullt sätt ska kunna påverka ett gränsöverskridande ärende genom att lämna sina synpunkter tidigt i utredningsförfarandet och använda alla verktyg som föreskrivs i den allmänna dataskyddsförordningen. Detta kommer att göra det lättare att skapa samförstånd och minska sannolikheten för meningsskiljaktigheter senare i förfarandet, vilket skulle göra det nödvändigt att tillämpa tvistlösningsmekanismen. Om det råder oenighet mellan dataskyddsmyndigheterna i den centrala frågan om utredningens omfattning i klagomålsbaserade ärenden får dataskyddsstyrelsen enligt förslaget möjlighet att lösa tvisten genom att anta ett brådskande bindande beslut. Genom att involvera dataskyddsstyrelsen i denna separata fråga får den ansvariga dataskyddsmyndigheten den klarhet som krävs för att gå vidare med utredningen och det säkerställs att oenigheten om utredningens omfattning inte leder till att tvistlösningsmekanismen enligt artikel 65 måste användas.

I förslaget fastställs detaljerade krav på formen och strukturen för relevanta och motiverade invändningar från berörda dataskyddsmyndigheter, vilket underlättar ett effektivt deltagande av alla dataskyddsmyndigheter och en riktad och snabb lösning av ärendet.

·I förslaget fastställs processuella tidsfrister för tvistlösningsförfarandet, det specificeras vilken information som ska lämnas av den ansvariga dataskyddsmyndigheten när ärendet hänskjuts till tvistlösning och rollen förtydligas för alla aktörer som är inbegripna i tvistlösning (ansvarig dataskyddsmyndighet, berörda dataskyddsmyndigheter och dataskyddsstyrelsen). På så sätt underlättar förslaget ett snabbt slutförande av tvistlösningsförfarandet för de parter som är föremål för utredning och de registrerade.

•Förenlighet med befintliga bestämmelser inom området

•Förenlighet med unionens politik inom andra områden

2.RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

•Subsidiaritetsprincipen (för icke-exklusiv befogenhet)

•Proportionalitetsprincipen

•Val av instrument

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig lagstiftning

·Nationella administrativa förfaranden, särskilt i fråga om förfaranden för hantering av klagomål, kriterier för att klagomål ska tas upp till behandling, längden på förfaranden till följd av skillnader i tidsramar eller avsaknad av tidsfrister, tidpunkt i förfarandet när rätten att bli hörd beviljas, informationen till den enskilde och den enskildes deltagande under förfarandet.

·Tolkningar av begrepp som rör samarbetsmekanismen.

·Hur man ska gå till väga för att inleda samarbetsförfarandet, involvera berörda dataskyddsmyndigheter och förmedla information till dem.

•Samråd med berörda parter

·Dataskyddsstyrelsen: Dataskyddsstyrelsen består av dataskyddsmyndigheterna, som verkställer den allmänna dataskyddsförordningen. Den har bland annat till uppgift att lösa tvister i gränsöverskridande ärenden enligt den allmänna dataskyddsförordningen. Kommissionen tog därför vederbörlig hänsyn till dataskyddsstyrelsens synpunkter i alla skeden av den förberedande processen. I första hand är förslaget ett svar på den förteckning över frågor som dataskyddsstyrelsen överlämnade till kommissionen i oktober 2022 och där det identifieras aspekter av det gränsöverskridande verkställighetsförfarandet som skulle kunna harmoniseras på EU-nivå. De flesta av de frågor som dataskyddsstyrelsen identifierat i sin förteckning behandlas i förslaget. I vissa fall beslutade kommissionen att inte ta itu med de problem som identifierats av dataskyddsstyrelsen, särskilt i de fall där kommissionen ansåg att frågan redan hade åtgärdats på lämpligt sätt genom den allmänna dataskyddsförordningen, eller att frågan borde ligga inom den ansvariga dataskyddsmyndighetens skönsmässiga utrymme eller fastställas i nationell lagstiftning. Dessutom behandlar förslaget vissa frågor utöver dem som identifierats i dataskyddsstyrelsens förteckning, när kommissionen ansåg att detta var nödvändigt för att säkerställa att den gränsöverskridande tillämpningen fungerar smidigt och att rätten till ett korrekt rättsförfarande respekteras. Kommissionen genomförde också riktade samråd om aspekter av förslaget med undergrupper i dataskyddsstyrelsen som arbetar med gränsöverskridande samarbete och verkställighet vid möten den 21 mars 2023 och den 24 april 2023, för att dra nytta av sakkunskapen hos dataskyddsmyndigheter som dagligen arbetar med dessa frågor. Dataskyddsstyrelsen gav sitt fulla stöd till att kommissionen vidtog åtgärder på detta område och lämnade värdefulla bidrag till kommissionen vid mötena i mars och april 2023.

·Flerpartsexpertgruppen för den allmänna dataskyddsförordningen: Denna expertgrupp inrättades för att bistå kommissionen vid tillämpningen av den allmänna dataskyddsförordningen. Den består av företrädare för det civila samhället och för näringslivet samt akademiker och rättstillämpare. Det fanns ett brett stöd bland denna grupp för att kommissionen skulle vidta åtgärder på detta område genom ett lagstiftningsförslag. Vid ett möte den 19 oktober 2022 hölls en första diskussion om dataskyddsstyrelsens förteckning från oktober 2022 och ett andra möte den 21 april 2023 användes av kommissionen för samråd om särskilda aspekter av förslaget. Med tanke på de många olika berörda parter som finns representerade i denna grupp framfördes varierande åsikter om specifika aspekter av förslaget. Alla berörda parter stödde förslaget om en rättslig ram för uppgörelse i godo. Icke-statliga organisationer välkomnade kommissionens avsikt att harmonisera klagomålsformerna och stödde den enskildes deltagande i förfarandet. De noterade de stora skillnaderna i behandlingen av klagomål i medlemsstaterna. Branschgrupper som företräder personuppgiftsansvariga och personuppgiftsbiträden betonade behovet av att ge de parter som är föremål för utredning rätt att höras och att uppmuntra till en lösning av meningsskiljaktigheter mellan dataskyddsmyndigheter i ett tidigt skede av utredningsprocessen.

·Medlemsstaternas expertgrupp för den allmänna dataskyddsförordningen: Denna expertgrupp fungerar som ett forum för utbyte av synpunkter och information mellan kommissionen och medlemsstaterna om tillämpningen av den allmänna dataskyddsförordningen. Kommissionen begärde medlemsstaternas synpunkter på dataskyddsstyrelsens förteckning från oktober 2022 innan utarbetandet inleddes. Medlemsstaterna ställde sig i stort sett bakom och välkomnade idén om ett förslag till lagstiftningsinitiativ för att förbättra den gränsöverskridande tillämpningen av den allmänna dataskyddsförordningen. Vissa medlemsstater med övergripande förfaranderegler som är tillämpliga på alla administrativa förfaranden konstaterade dock att dessa regler eventuellt kan komma att åsidosättas, särskilt när det gäller harmoniseringen av parternas rätt att bli hörda och den enskildes deltagande i förfarandet. Kommissionen har därför noggrant begränsat harmoniseringen av dessa aspekter i förslaget till gränsöverskridande ärenden och i den utsträckning som krävs för att säkerställa att samarbets- och tvistlösningsmekanismen fungerar smidigt. Kommissionen höll ett särskilt möte med medlemsstaternas expertgrupp för den allmänna dataskyddsförordningen den 19 april 2023.

•Insamling och användning av sakkunnigutlåtanden

•Konsekvensbedömning

·Dataskyddsmyndigheter – Initiativet kommer att stödja samarbetsförfarandet och skapa klarhet om formerna och tidpunkten för samarbete i gränsöverskridande ärenden. Detta kommer att göra det möjligt för dataskyddsmyndigheterna att använda sina resurser mer effektivt. Genom att ge dataskyddsmyndigheterna verktyg för att förbättra sitt samarbete i gränsöverskridande ärenden kommer initiativet dessutom att underlätta samförståndsbyggandet mellan dataskyddsmyndigheter, minska antalet meningsskiljaktigheter och främja en anda av samarbete.

·Enskilda och registrerade – En rationalisering av samarbetet mellan dataskyddsmyndigheterna vid tillämpningen av den allmänna dataskyddsförordningen kommer att bidra till att utredningarna slutförs i tid. Detta kommer att bidra till en effektivare hantering av överträdelser av den allmänna dataskyddsförordningen och till snabba åtgärder för den registrerade. Dessutom kommer den enskilde att ha samma möjlighet att delta i förfarandet i gränsöverskridande ärenden oavsett var klagomålet lämnas in eller vilken dataskyddsmyndighet som är ansvarig dataskyddsmyndighet.

·Parter som är föremål för utredning – Förbättrat samarbete i gränsöverskridande ärenden kommer att bidra till att förkorta utredningarna och säkerställa tillhandahållandet av nödvändiga garantier, såsom rätten att bli hörd och att få tillgång till handlingarna i ärendet, och därigenom säkerställa skyddet av rätten till god förvaltning (artikel 41 i stadgan) och rätten till försvar (artikel 48 i stadgan) för de parter som är föremål för utredning. En harmonisering av dessa rättigheter kommer också att göra det slutliga beslutet mer robust.

·Allmänhetens förtroende för den allmänna dataskyddsförordningen – Initiativet kommer att stärka allmänhetens förtroende för den allmänna dataskyddsförordningen genom att underlätta snabbare genomförande av utredningar och minska antalet meningsskiljaktigheter mellan dataskyddsmyndigheter i gränsöverskridande ärenden.

•Lagstiftningens ändamålsenlighet och förenkling

•Grundläggande rättigheter

4.BUDGETKONSEKVENSER

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

•Förklarande dokument (för direktiv)

•Ingående redogörelse för de specifika bestämmelserna i förslaget

2023/0202 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande 14 ,

med beaktande av Regionkommitténs yttrande 15 ,

i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1)Genom Europaparlamentets och rådets förordning (EU) 2016/679 16 inrättas ett decentraliserat tillsynssystem som syftar till att säkerställa en konsekvent tolkning och tillämpning av förordning (EU) 2016/679 i gränsöverskridande ärenden. När det gäller gränsöverskridande behandling av personuppgifter krävs enligt detta system samarbete mellan tillsynsmyndigheter i syfte att nå samförstånd och, om tillsynsmyndigheterna inte kan nå samförstånd, tillhandahålla tvistlösning genom Europeiska dataskyddsstyrelsen (dataskyddsstyrelsen).

(2)För att se till att den samarbets- och tvistlösningsmekanism som föreskrivs i artiklarna 60 och 65 i förordning (EU) 2016/679 fungerar smidigt och effektivt är det nödvändigt att fastställa regler för tillsynsmyndigheternas genomförande av förfaranden i gränsöverskridande ärenden och för dataskyddsstyrelsen vid tvistlösning, inbegripet hantering av gränsöverskridande klagomål. Det är därför också nödvändigt att fastställa regler för hur de parter som är föremål för utredning kan utöva sin rätt att bli hörda innan tillsynsmyndigheterna och, i förekommande fall, dataskyddsstyrelsen fattar beslut.

(3)Klagomål är en väsentlig informationskälla när det gäller att upptäcka överträdelser av dataskyddsreglerna. Det är nödvändigt att fastställa tydliga och effektiva förfaranden för hantering av klagomål i gränsöverskridande ärenden, eftersom klagomålet kan behandlas av en annan tillsynsmyndighet än den till vilken det lämnades in.

(4)För att ett klagomål ska kunna tas upp till prövning bör det innehålla vissa närmare fastställda uppgifter. För att hjälpa den enskilde att lämna in nödvändiga uppgifter om sakförhållanden till tillsynsmyndigheterna bör därför ett klagomålsformulär tillhandahållas. Den information som anges i formuläret bör endast krävas vid gränsöverskridande behandling i den mening som avses i förordning (EU) 2016/679, även om formuläret får användas av tillsynsmyndigheter i ärenden som inte rör gränsöverskridande behandling. Formuläret kan lämnas in elektroniskt eller per post. Inlämnandet av de uppgifter som anges i det formuläret lämnas in bör vara ett villkor för att ett klagomål som rör gränsöverskridande behandling ska behandlas som ett klagomål enligt artikel 77 i förordning (EU) 2016/679. Inga ytterligare uppgifter bör krävas för att ett klagomål ska kunna tas upp till prövning. Det bör vara möjligt för tillsynsmyndigheterna att underlätta inlämning av klagomål i ett användarvänligt elektroniskt format och med beaktande av behoven hos personer med funktionsnedsättning, förutsatt att den information som krävs från den enskilde motsvarar den information som krävs enligt formuläret och ingen ytterligare information krävs för att klagomålet ska kunna tas upp till prövning.

(5)Tillsynsmyndigheterna är skyldiga att fatta beslut om klagomål inom rimlig tid. Vad som är en rimlig tidsram beror på omständigheterna i varje enskilt fall och i synnerhet sammanhanget, de olika åtgärder i förfarandet som den ansvariga tillsynsmyndigheten vidtagit, parternas uppträdande under förfarandet och ärendets komplexitet.

(6)Varje klagomål som behandlas av en tillsynsmyndighet i enlighet med artikel 57.1 f i förordning (EU) 2016/679 ska utredas med tillbörlig aktsamhet i den utsträckning det är lämpligt, med beaktande av att tillsynsmyndighetens utövande av sina befogenheter måste vara lämpligt, nödvändigt och proportionellt för att säkerställa efterlevnaden av förordning (EU) 2016/679. Det är upp till varje behörig myndighet att besluta i vilken utsträckning ett klagomål ska utredas. Vid bedömningen av en utrednings lämpliga omfattning bör tillsynsmyndigheterna sträva efter att nå fram till en för den enskilde tillfredsställande lösning, som inte nödvändigtvis kräver en uttömmande utredning av alla rättsliga och faktiska omständigheter i samband med klagomålet, men som ger den enskilde ett effektivt och snabbt rättsmedel. Bedömningen av omfattningen av de nödvändiga utredningsåtgärderna kan bygga på hur allvarlig den påstådda överträdelsen är, dess systematiska eller återkommande karaktär eller det faktum att den enskilde också har utnyttjat sina rättigheter enligt artikel 79 i förordning (EU) 2016/679. 

(7)Den ansvariga tillsynsmyndigheten bör förse den tillsynsmyndighet till vilken klagomålet lämnades in med nödvändig information om hur utredningen fortskrider, så att den enskilde kan få uppdateringar.

(8)Den behöriga tillsynsmyndigheten bör ge den enskilde tillgång till de handlingar som ligger till grund för tillsynsmyndighetens preliminära slutsats om att helt eller delvis avslå klagomålet.

(9)För att tillsynsmyndigheterna snabbt ska kunna sätta stopp för överträdelser av förordning (EU) 2016/679 och ge den enskilde en snabb lösning bör tillsynsmyndigheterna, när så är lämpligt, sträva efter att lösa klagomål genom uppgörelse i godo. Det faktum att ett enskilt klagomål har hanterats genom en uppgörelse i godo hindrar inte att den behöriga tillsynsmyndigheten driver ett ärende på eget initiativ, till exempel vid systematiska eller upprepade överträdelser av förordning (EU) 2016/679.  

(10)För att garantera att mekanismerna för samarbete och enhetlighet i kapitel VII i förordning (EU) 2016/679 fungerar effektivt är det viktigt att gränsöverskridande ärenden avgörs i tid och i linje med den anda av lojalt och effektivt samarbete som ligger till grund för artikel 60 i förordning (EU) 2016/679. Den ansvariga tillsynsmyndigheten bör utöva sin behörighet inom ramen för ett nära samarbete med övriga berörda tillsynsmyndigheter. På samma sätt bör de berörda tillsynsmyndigheterna aktivt delta i utredningen i ett tidigt skede i en strävan att nå samförstånd, med fullt utnyttjande av de verktyg som föreskrivs i förordning (EU) 2016/679.

(11)Det är särskilt viktigt att tillsynsmyndigheterna når samförstånd om centrala aspekter av utredningen så tidigt som möjligt och innan de parter som är föremål för utredning informeras om påståendena och innan det utkast till beslut som avses i artikel 60 i förordning (EU) 2016/679 antas, för att på så sätt minska antalet ärenden som överlämnas för behandling inom ramen för tvistlösningsmekanismen i artikel 65 i förordning (EU) 2016/679 och i förlängningen säkerställa ett snabbt avgörande av gränsöverskridande ärenden.

(12)Samarbetet mellan tillsynsmyndigheterna bör bygga på en öppen dialog som gör det möjligt för berörda tillsynsmyndigheter att på ett meningsfullt sätt påverka utredningens gång genom att dela med sig av sina erfarenheter och synpunkter till den ansvariga tillsynsmyndigheten, med vederbörlig hänsyn till varje tillsynsmyndighets utrymme för skönsmässig bedömning, inbegripet vid bedömningen av i vilken utsträckning det är lämpligt att utreda ett ärende, och till medlemsstaternas olika traditioner. I detta syfte bör den ansvariga tillsynsmyndigheten förse de berörda tillsynsmyndigheterna med en sammanfattning av de viktigaste punkterna, med en preliminär bedömning av de centrala frågorna i en utredning. Sammanfattningen bör tillhandahållas i tillräckligt god tid för att de berörda tillsynsmyndigheterna ska kunna delta på ett ändamålsenligt sätt, men samtidigt i ett skede då den ansvariga tillsynsmyndighetens synpunkter i ärendet är tillräckligt underbyggda. Berörda tillsynsmyndigheter bör ha möjlighet att lämna synpunkter på ett brett spektrum av frågor, såsom utredningens omfattning och identifieringen av komplexa sakliga och rättsliga bedömningar. Med tanke på att utredningens omfattning avgör vilka frågor som kräver utredning av den ansvariga tillsynsmyndigheten bör tillsynsmyndigheterna sträva efter att nå samförstånd om utredningens omfattning så tidigt som möjligt.

(13)För att uppnå ett ändamålsenligt inkluderande samarbete mellan alla berörda tillsynsmyndigheter och den ansvariga tillsynsmyndigheten bör synpunkterna från de berörda tillsynsmyndigheterna vara koncisa och formulerade på ett tillräckligt klart och exakt sätt för att vara lätta att förstå för alla tillsynsmyndigheter. De rättsliga argumenten bör grupperas efter den del av sammanfattningen av de viktigaste frågorna som de hänför sig till. Synpunkterna från de berörda tillsynsmyndigheterna får kompletteras med ytterligare handlingar. Enbart en hänvisning i kommentarerna från en berörd tillsynsmyndighet till kompletterande handlingar kan emellertid inte kompensera avsaknaden av väsentliga rättsliga eller faktiska argument som ska ingå i kommentarerna. De väsentliga faktiska och rättsliga omständigheter som åberopas i sådana handlingar ska, åtminstone kortfattat, anges på ett konsekvent och begripligt sätt i själva kommentarerna.

(14)Ärenden som inte ger upphov till tvistefrågor kräver inte någon omfattande diskussion mellan tillsynsmyndigheterna för att nå samförstånd och skulle därför kunna behandlas snabbare. Om ingen av de berörda tillsynsmyndigheterna yttrar sig om sammanfattningen av de viktigaste frågorna bör den ansvariga tillsynsmyndigheten inom nio månader meddela de preliminära slutsatserna i enlighet med artikel 14.

(15)Tillsynsmyndigheterna bör använda alla nödvändiga medel för att uppnå samförstånd i en anda av lojalt och effektivt samarbete. Om det råder meningsskiljaktigheter mellan de berörda tillsynsmyndigheterna och den ansvariga tillsynsmyndigheten om omfattningen av en klagomålsbaserad utredning, inbegripet de bestämmelser i förordning (EU) 2016/679 vars eventuella överträdelse ska utredas, eller om synpunkterna från de berörda tillsynsmyndigheterna rör en betydande ändring av den komplexa rättsliga eller tekniska bedömningen, bör den berörda myndigheten använda de verktyg som föreskrivs i artiklarna 61 och 62 i förordning (EU) 2016/679.

(16)Om användningen av dessa verktyg inte gör det möjligt för tillsynsmyndigheterna att nå samförstånd om omfattningen av en klagomålsbaserad utredning bör den ansvariga tillsynsmyndigheten begära ett brådskande bindande beslut av dataskyddsstyrelsen i enlighet med artikel 66.3 i förordning (EU) 2016/679. I detta syfte bör kravet på skyndsamhet förutsättas. Den ansvariga tillsynsmyndigheten bör vederbörligen beakta dataskyddsstyrelsens brådskande bindande beslut vid fastställandet av preliminära slutsatser. Dataskyddsstyrelsens brådskande bindande beslut får inte föregripa resultatet av den ansvariga tillsynsmyndighetens utredning eller rätten för de parter som är föremål för utredning att faktiskt bli hörda. Dataskyddsstyrelsen bör i synnerhet inte utvidga utredningens omfattning på eget initiativ.

(17)För att den enskilde ska kunna utöva sin rätt till ett effektivt rättsmedel enligt artikel 78 i förordning (EU) 2016/679 bör den tillsynsmyndighet som helt eller delvis avslår ett klagomål göra detta genom ett beslut som kan överklagas till en nationell domstol.

(18)Den enskilde bör ha möjlighet att yttra sig innan ett beslut som går denne emot fattas. Om ett klagomål helt eller delvis avslås i ett gränsöverskridande ärende bör den enskilde därför ha möjlighet att lämna sina synpunkter före inlämnandet av ett utkast till beslut enligt artikel 60.3 i förordning (EU) 2016/679, ett reviderat utkast till beslut enligt artikel 60.4 i förordning (EU) 2016/679 eller ett bindande beslut av dataskyddsstyrelsen enligt artikel 65.1 a i förordning (EU) 2016/679. Den enskilde kan begära att få tillgång till den icke-konfidentiella versionen av de handlingar som ligger till grund för beslutet att helt eller delvis avslå klagomålet.

(19)Det är nödvändigt att klargöra ansvarsfördelningen mellan den ansvariga tillsynsmyndigheten och den tillsynsmyndighet till vilken klagomålet lämnades in i händelse av avslag på ett klagomål i ett gränsöverskridande ärende. Som kontaktpunkt för den enskilde under utredningen bör den tillsynsmyndighet till vilken klagomålet lämnades in inhämta den enskildes synpunkter på det föreslagna avslaget på klagomålet och ansvara för all kommunikation med den enskilde. All sådan kommunikation bör delas med den ansvariga tillsynsmyndigheten. Eftersom den tillsynsmyndighet till vilken klagomålet lämnades in enligt artikel 60.8 och 60.9 i förordning (EU) 2016/679 ansvarar för att anta det slutliga beslutet om avslag på klagomålet, bör den tillsynsmyndigheten också ha ansvaret för att utarbeta utkastet till beslut enligt artikel 60.3 i förordning (EU) 2016/679.

(20)Ett effektivt genomförande av unionens dataskyddslagstiftning bör vara förenligt med att parternas rätt till försvar respekteras fullt ut, vilket är en grundläggande princip i unionsrätten som ska respekteras under alla omständigheter, särskilt i förfaranden som kan leda till påföljder.

(21)För att effektivt skydda rätten till god förvaltning och rätten till försvar enligt Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), inbegripet rätten för var och en att bli hörd innan en enskild åtgärd som skulle beröra honom eller henne negativt vidtas mot honom eller henne, är det viktigt att fastställa tydliga regler för utövandet av denna rättighet.

(22)Reglerna för det administrativa förfarande som tillsynsmyndigheterna tillämpar vid genomförandet av förordning (EU) 2016/679 bör säkerställa att de parter som är föremål för utredning faktiskt har möjlighet att sätt framföra sina synpunkter på riktigheten i och relevansen av de sakförhållanden, invändningar och omständigheter som tillsynsmyndigheten lagt fram under hela förfarandet, så att de kan utöva sin rätt till försvar. I de preliminära slutsatserna anges den preliminära ståndpunkten om den påstådda överträdelsen av förordning (EU) 2016/679 efter utredningen. De utgör således en väsentlig processuell garanti som säkerställer att rätten att yttra sig iakttas. De parter som är föremål för utredning bör få tillgång till de handlingar som krävs för att effektivt kunna försvara sig och lämna synpunkter på anklagelserna mot dem genom att få tillgång till handlingarna i ärendet.

(23)I de preliminära slutsatserna fastställs utredningens omfattning och därmed omfattningen av eventuella framtida slutliga beslut (i förekommande fall på grundval av ett bindande beslut som utfärdats av dataskyddsstyrelsen enligt artikel 65.1 a i förordning (EU) 2016/679) och som kan riktas till personuppgiftsansvariga eller personuppgiftsbiträden. De preliminära slutsatserna bör formuleras på ett sätt som, även om de är kortfattade, är tillräckligt tydliga för att de parter som är föremål för utredning på ett korrekt sätt ska kunna identifiera arten av den påstådda överträdelsen av förordning (EU) 2016/679. Skyldigheten att ge de parter som är föremål för utredning alla uppgifter som är nödvändiga för att de ska kunna försvara sig på ett korrekt sätt är uppfylld om det i det slutliga beslutet inte görs gällande att de parter som är föremål för utredning har begått andra överträdelser än de som anges i de preliminära slutsatserna och om endast sakförhållanden som de parter som är föremål för utredning har haft tillfälle att yttra sig om beaktas. Den ansvariga tillsynsmyndighetens slutliga beslut behöver dock inte nödvändigtvis vara en kopia av de preliminära slutsatserna. Den ansvariga tillsynsmyndigheten bör i det slutliga beslutet kunna beakta svaren från de parter som är föremål för utredning på de preliminära slutsatserna och, i tillämpliga fall, på det reviderade utkast till beslut som utarbetats i enlighet artikel 60.5 i förordning (EU) 2016/679 och det beslut för att lösa tvisten mellan tillsynsmyndigheterna som fattats på grundval av artikel 65.1 a. Den ansvariga tillsynsmyndigheten bör kunna göra en egen bedömning av de sakförhållanden och rättsliga argument som de parter som är föremål för utredning har fört fram, antingen för att dra tillbaka invändningarna om tillsynsmyndigheten kommer fram till att de är ogrundade eller för att komplettera och omformulera sina argument, både i sak och rättsligt, till stöd för de invändningar som den vidhåller. Exempelvis kan beaktandet av ett argument som framförts av en part som är föremål för utredning under det administrativa förfarandet, utan att denna part har beretts tillfälle att yttra sig i detta avseende före antagandet av det slutliga beslutet, inte i sig anses utgöra ett åsidosättande av rätten till försvar.

(24)De parter som är föremål för utredning bör ha rätt att bli hörda innan ett reviderat utkast till beslut enligt artikel 60.5 i förordning (EU) 2016/679 överlämnas eller innan dataskyddsstyrelsen antar ett bindande beslut i enlighet med artikel 65.1 a i förordning (EU) 2016/679.  

(25)Klagande bör ges möjlighet att delta i de förfaranden som inleds av en tillsynsmyndighet i syfte att identifiera eller klargöra frågor som rör en eventuell överträdelse av förordning (EU) 2016/679. Det faktum att en tillsynsmyndighet redan har inlett en utredning av föremålet för klagomålet eller kommer att behandla klagomålet i en utredning på eget initiativ efter att klagomålet mottagits hindrar inte att en registrerad person kan betraktas som klagande. En tillsynsmyndighets utredning av en eventuell överträdelse av förordning (EU) 2016/679 som begåtts av en personuppgiftsansvarig eller ett personuppgiftsbiträde utgör dock inte ett kontradiktoriskt förfarande mellan den enskilde och de parter som är föremål för utredning. Det är ett förfarande som inleds av en tillsynsmyndighet, på eget initiativ eller på grundval av ett klagomål, för att den ska fullgöra sina uppgifter enligt artikel 57.1 i förordning (EU) 2016/679. De parter som är föremål för utredning och den enskilde befinner sig därför inte i samma processuella situation och den senare kan inte åberopa rätten till en rättvis rättegång när beslutet inte påverkar hans eller hennes rättsliga ställning negativt. Den enskildes deltagande i förfarandet mot de parter som är föremål för utredning får inte äventyra dessa parters rätt att bli hörda.

(26)Den enskilde bör ges möjlighet att lämna skriftliga synpunkter på de preliminära slutsatserna. Den enskilde bör dock inte ges tillgång till affärshemligheter eller andra konfidentiella uppgifter som tillhör andra parter i förfarandet. Den enskilde bör inte ha rätt att få allmän tillgång till handlingarna i ärendet.

(27)När tillsynsmyndigheterna fastställer tidsfrister för de parter som är föremål för utredning och för den enskilde att lämna synpunkter på preliminära slutsatser bör de ta hänsyn till komplexiteten i de frågor som tas upp i de preliminära slutsatserna, för att säkerställa att de parter som är föremål för utredning och den enskilde har tillräckliga möjligheter att på ett meningsfullt sätt lämna sina synpunkter på de frågor som tas upp.

(28)Diskussionen före antagandet av ett utkast till beslut inbegriper en öppen dialog och en omfattande diskussion där tillsynsmyndigheterna bör göra sitt yttersta för att nå samförstånd om hur man ska gå vidare i en utredning. Omvänt bör den oenighet som kommer till uttryck i relevanta och motiverade invändningar i enlighet med artikel 60.4 i förordning (EU) 2016/679, som ger ökat utrymme för tvistlösning mellan tillsynsmyndigheter enligt artikel 65 i förordning (EU) 2016/679 och fördröjer den behöriga tillsynsmyndighetens antagande av ett slutligt beslut, uppstå i undantagsfall när tillsynsmyndigheterna inte lyckas nå samförstånd och när det är nödvändigt att säkerställa en konsekvent tolkning av förordning (EU) 2016/679. Sådana invändningar bör användas sparsamt när det gäller frågor om konsekvent tillämpning av förordning (EU) 2016/679, eftersom all användning av relevanta och motiverade invändningar innebär ett uppskjutande av den registrerades tillgång till rättsmedel. Eftersom utredningens omfattning och relevanta sakförhållanden bör fastställas innan de preliminära slutsatserna meddelas, bör de berörda tillsynsmyndigheterna inte ta upp dessa frågor i relevanta och motiverade invändningar. De berörda tillsynsmyndigheterna kan dock ta upp dem i sina synpunkter på sammanfattningen av de viktigaste frågorna enligt artikel 9.3 innan de preliminära slutsatserna meddelas de parter som är föremål för utredning.

(29)För att tvistlösningsförfarandet ska kunna slutföras på ett ändamålsenligt och inkluderande sätt, där alla tillsynsmyndigheter bör kunna bidra med sina synpunkter och med beaktande av tidsbegränsningarna i samband med tvistlösning, bör formen och strukturen för relevanta och motiverade invändningar uppfylla vissa krav. Därför bör relevanta och motiverade invändningar begränsas till en föreskriven längd, tydligt identifiera meningsskiljaktigheterna med avseende på utkastet till beslut och formuleras på ett tillräckligt klart, konsekvent och precist sätt.

(30)Tillgång till handlingarna i ärendet föreskrivs som en del av rätten till försvar och rätten till god förvaltning enligt stadgan. De parter som är föremål för utredning bör ges tillgång till handlingarna i ärendet när de underrättas om de preliminära slutsatserna, och deras tidsfrist för att lämna in skriftliga svar på de preliminära slutsatserna bör fastställas.

(31)När tillsynsmyndigheterna beviljar tillgång till handlingarna i ärendet bör de säkerställa skyddet av affärshemligheter och annan konfidentiell information. Kategorin annan konfidentiell information omfattar andra uppgifter än affärshemligheter som kan betraktas som konfidentiella i den mån det skulle vara till betydande skada för en personuppgiftsansvarig, ett personuppgiftsbiträde eller en fysisk person om de lämnades ut. Tillsynsmyndigheterna bör kunna begära att parter som är föremål för utredning och som lämnar in eller har lämnat in handlingar eller förklaringar identifierar konfidentiella uppgifter.

(32)Om affärshemligheter eller andra konfidentiella uppgifter är nödvändiga för att styrka en överträdelse bör tillsynsmyndigheterna för varje enskild handling bedöma huruvida behovet av att lämna ut handlingen är större än den skada som utlämnandet kan leda till.

(33)När en fråga hänskjuts till tvistlösning enligt artikel 65 i förordning (EU) 2016/679 bör den ansvariga tillsynsmyndigheten förse dataskyddsstyrelsen med all information som krävs för att den ska kunna bedöma om relevanta och motiverade invändningar kan tas upp till prövning och fatta beslut i enlighet med artikel 65.1 a i förordning (EU) 2016/679. När dataskyddsstyrelsen har mottagit alla nödvändiga handlingar som förtecknas i artikel 23 bör dataskyddsstyrelsens ordförande registrera hänskjutandet av frågan i den mening som avses i artikel 65.2 i förordning (EU) 2016/679.

(34)Dataskyddsstyrelsens bindande beslut enligt artikel 65.1 a i förordning (EU) 2016/679 bör uteslutande avse frågor som ledde till att tvistlösningen utlöstes och bör utformas på ett sätt som gör det möjligt för den ansvariga tillsynsmyndigheten att anta sitt slutliga beslut på grundval av dataskyddsstyrelsens beslut samtidigt som den behåller sitt utrymme för skönsmässig bedömning.

(35)För att effektivisera lösningen av tvister mellan tillsynsmyndigheter som hänskjutits till dataskyddsstyrelsen enligt artikel 65.1 b och c i förordning (EU) 2016/679 är det nödvändigt att fastställa förfaranderegler för de handlingar som ska lämnas in till dataskyddsstyrelsen och på vilka dataskyddsstyrelsen bör grunda sitt beslut. Det är också nödvändigt att ange när dataskyddsstyrelsen bör registrera hänskjutandet av ärendet till tvistlösning.

(36)För att effektivisera förfarandet för antagande av brådskande yttranden och brådskande bindande beslut från dataskyddsstyrelsen enligt artikel 66.2 i förordning (EU) 2016/679 är det nödvändigt att specificera förfaranderegler för tidpunkten för begäran om ett brådskande yttrande eller brådskande bindande beslut, de handlingar som ska lämnas till dataskyddsstyrelsen och på vilka dataskyddsstyrelsen bör grunda sitt beslut, till vem dataskyddsstyrelsens yttrande eller beslut bör riktas, och konsekvenserna av dataskyddsstyrelsens yttrande eller beslut.

(37)Kapitlen III och IV rör samarbetet mellan tillsynsmyndigheter, de processuella rättigheterna för de parter som är föremål för utredning och den enskildes deltagande. Av rättssäkerhetsskäl bör dessa bestämmelser inte tillämpas på utredningar som redan pågår när denna förordning träder i kraft. De bör tillämpas på utredningar på eget initiativ som inleds efter det att denna förordning har trätt i kraft och på klagomålsbaserade utredningar där klagomålet ingavs efter det att denna förordning har trätt i kraft. Kapitel V innehåller förfaranderegler för ärenden som hänskjuts till tvistlösning enligt artikel 65 i förordning (EU) 2016/679. Av rättssäkerhetsskäl bör detta kapitel inte heller tillämpas på ärenden som har varit föremål för tvistlösning innan denna förordning träder i kraft. Den bör tillämpas på alla ärenden som hänskjuts till tvistlösning efter det att denna förordning har trätt i kraft.

(38)Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen har hörts i enlighet med artikel 42.2 i förordning (EU) 2018/1725 och de avgav ett gemensamt yttrande den [ ].

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Kapitel I

Allmänna bestämmelser

Artikel 1

Innehåll

I denna förordning fastställs förfaranderegler för tillsynsmyndigheternas hantering av klagomål och utredningar i klagomålsbaserade ärenden och på eget initiativ vid gränsöverskridande tillämpning av förordning (EU) 2016/679.

Artikel 2

Definitioner

I denna förordning ska definitionerna i artikel 4 i förordning (EU) nr 2016/679 gälla.

Dessutom gäller följande definitioner:

(1)parter som är föremål för utredning: den eller de personuppgiftsansvariga och/eller det eller de personuppgiftsbiträden som utreds för påstådda överträdelser av förordning (EU) 2016/679 i samband med gränsöverskridande behandling.

(2)sammanfattning av de viktigaste frågorna: den sammanfattning som den ansvariga tillsynsmyndigheten ska lämna till de berörda tillsynsmyndigheterna med angivande av de viktigaste relevanta sakförhållandena och den ansvariga tillsynsmyndighetens synpunkter i ärendet.

(3)preliminära slutsatser: det dokument som den ansvariga tillsynsmyndigheten tillhandahåller de parter som är föremål för utredning och som innehåller påståenden, relevanta sakförhållanden, styrkande bevis, rättslig analys och, i tillämpliga fall, förslag till korrigerande åtgärder.

(4)bibehållna relevanta och motiverade invändningar: de invändningar som enligt dataskyddsstyrelsen är relevanta och motiverade i den mening som avses i artikel 4.24 i förordning (EU) 2016/679.

Kapitel II

Inlämning och hantering av klagomål

Artikel 3

Gränsöverskridande klagomål

1.Ett klagomål på grundval av förordning (EU) 2016/679 som rör gränsöverskridande behandling ska innehålla de uppgifter som krävs i formuläret, i enlighet med bilagan. Inga ytterligare uppgifter ska krävas för att klagomålet ska kunna tas upp till prövning.

2.Den tillsynsmyndighet till vilken klagomålet lämnades in ska fastställa om klagomålet gäller gränsöverskridande behandling.

3.Den tillsynsmyndighet till vilken klagomålet lämnades in ska inom en månad avgöra om de uppgifter som krävs i formuläret är fullständiga.

4.Efter en bedömning av huruvida de uppgifter som krävs i formuläret är fullständiga ska den tillsynsmyndighet till vilken klagomålet lämnades in översända klagomålet till den ansvariga tillsynsmyndigheten.

5.Om den enskilde begär konfidentiell behandling när han eller hon lämnar in ett klagomål ska den enskilde också lämna in en icke-konfidentiell version av klagomålet.

6.Den tillsynsmyndighet till vilken ett klagomål lämnats in ska bekräfta mottagandet av klagomålet inom en vecka. Denna bekräftelse ska inte påverka bedömningen av huruvida klagomålet kan tas upp till prövning enligt punkt 3.

Artikel 4

Utredning av klagomål

Vid bedömningen av i vilken utsträckning ett klagomål bör utredas i varje enskilt fall ska tillsynsmyndigheten ta hänsyn till alla relevanta omständigheter, däribland samtliga följande omständigheter:

(a)Lämpligheten av att tillhandahålla ett effektivt rättsmedel i god tid till den enskilde.

(b)Hur allvarlig den påstådda överträdelsen är.

(c)Huruvida den påstådda överträdelsen är systematisk eller upprepad.

Artikel 5

Uppgörelse i godo

Ett klagomål kan lösas genom uppgörelse i godo mellan den enskilde och de parter som är föremål för utredning. Om tillsynsmyndigheten anser att en uppgörelse i godo på klagomålet har hittats, ska den underrätta den enskilde om den föreslagna uppgörelsen. Om den enskilde inte inom en månad invänder mot den uppgörelse i godo som har föreslagits av tillsynsmyndigheten ska klagomålet anses ha återkallats.

Artikel 6

Översättningar

1.Den tillsynsmyndighet till vilken klagomålet lämnades in ska ansvara för

(a)översättning av klagomålet och den enskildes synpunkter till det språk som används av den ansvariga tillsynsmyndigheten för utredningen,

(b)översättning av de handlingar som tillhandahålls av den ansvariga tillsynsmyndigheten till det språk som används för kommunikation med den enskilde, om det är nödvändigt att tillhandahålla sådana handlingar till den enskilde i enlighet med denna förordning eller förordning (EU) 2016/679.

2.I sin arbetsordning ska dataskyddsstyrelsen fastställa förfarandet för översättning av synpunkter eller relevanta och motiverade invändningar från de berörda tillsynsmyndigheterna till ett annat språk än det språk som används av den ansvariga tillsynsmyndigheten för utredningen.

Kapitel III

Samarbete enligt artikel 60 i förordning (EU) 2016/679

Avsnitt 1

Uppnående av samförstånd i den mening som avses i artikel 60.1 i förordning (EU) 2016/679

Artikel 7

Samarbete mellan tillsynsmyndigheter

När tillsynsmyndigheterna samarbetar i en strävan att nå samförstånd i enlighet med artikel 60.1 i förordning (EU) 2016/679 ska de använda alla de medel som föreskrivs i förordning (EU) 2016/679, inbegripet ömsesidigt bistånd enligt artikel 61 och gemensamma insatser enligt artikel 62 i förordning (EU) 2016/679.

Bestämmelserna i detta avsnitt rör förhållandet mellan tillsynsmyndigheter och syftar inte till att ge enskilda eller parter som är föremål för utredning rättigheter.

Artikel 8

Relevant information i den mening som avses i artikel 60.1 och 60.3 i förordning (EU) 2016/679

1.Den ansvariga tillsynsmyndigheten ska regelbundet uppdatera övriga berörda tillsynsmyndigheter om utredningen och så snart som möjligt förse övriga berörda tillsynsmyndigheter med all relevant information så snart den finns tillgänglig.

2.Relevant information i den mening som avses i artikel 60.1 och 60.3 i förordning (EU) 2016/679 ska i tillämpliga fall omfatta följande:

(a)Information om inledandet av en utredning av en påstådd överträdelse av förordning (EU) 2016/679.

(b)Begäran om information i enlighet med artikel 58.1 e i förordning (EU) 2016/679.

(c)Information om användningen av andra utredningsbefogenheter som avses i artikel 58.1 i förordning (EU) 2016/679.

(d)Om ett avslag på klagomålet planeras, den ansvariga tillsynsmyndighetens skäl till avslaget.

(e)En sammanfattning av de viktigaste frågorna i en utredning i enlighet med artikel 9.

(f)Information om åtgärder som syftar till att fastställa en överträdelse av förordning (EU) 2016/679 innan de preliminära slutsatserna utarbetas.

(g)Preliminära slutsatser.

(h)Svaret på de preliminära slutsatserna från de parter som är föremål för utredning.

(i)Den enskildes synpunkter på de preliminära slutsatserna.

(j)Om klagomålet avslås, den enskildes skriftliga inlagor.

(k)Alla relevanta åtgärder som vidtagits av den ansvariga tillsynsmyndigheten efter att ha mottagit svaret på de preliminära slutsatserna från de parter som är föremål för utredning och innan ett utkast till beslut lagts fram i enlighet med artikel 60.3 i förordning (EU) 2016/679.

Artikel 9

Sammanfattning av de viktigaste frågorna

1.När den ansvariga tillsynsmyndigheten har utformat en preliminär ståndpunkt om huvudfrågorna i en utredning ska den utarbeta en sammanfattning av de viktigaste frågorna för samarbete enligt artikel 60.1 i förordning (EU) 2016/679.

2.Sammanfattningen av de viktigaste frågorna ska omfatta samtliga följande delar:

(a)De viktigaste relevanta sakförhållandena.

(b)Ett preliminärt fastställande av utredningens omfattning, särskilt de bestämmelser i förordning (EU) 2016/679 som berörs av den påstådda överträdelse som kommer att utredas.

(c)Identifiering av komplexa rättsliga och tekniska bedömningar som är relevanta för den preliminära inriktningen på bedömningen.

(d)Preliminär identifiering av potentiella korrigerande åtgärder.

3.De berörda tillsynsmyndigheterna får lämna synpunkter på sammanfattningen av de viktigaste frågorna. Sådana synpunkter ska lämnas inom fyra veckor från mottagandet av sammanfattningen av de viktigaste frågorna.

4.Synpunkter som lämnas enligt punkt 3 ska uppfylla följande krav:

(a)Det språk som används ska vara tillräckligt tydligt, klart och exakt formulerat för att den ansvariga tillsynsmyndigheten och, i förekommande fall, de berörda tillsynsmyndigheterna, ska kunna förbereda sina ståndpunkter.

(b)De rättsliga argumenten ska vara kortfattade och grupperade efter den del av sammanfattningen av de viktigaste frågorna som de hänför sig till.

(c)Den berörda tillsynsmyndighetens synpunkter får underbyggas av handlingar som kan komplettera kommentarerna på specifika punkter.

5.Dataskyddsstyrelsen får i sin arbetsordning ange begränsningar av den maximala längden på de berörda tillsynsmyndigheternas synpunkter på sammanfattningen av de viktigaste frågorna.

6.Ärenden där ingen av de berörda tillsynsmyndigheterna har lämnat synpunkter enligt punkt 3 i denna artikel ska betraktas som obestridda ärenden. I sådana fall ska de preliminära slutsatser som avses i artikel 14 meddelas de parter som är föremål för utredning inom nio månader efter utgången av den tidsfrist som anges i punkt 3 i denna artikel.

Artikel 10

Användning av metoder för att nå samförstånd

1.En berörd tillsynsmyndighet ska göra en begäran till den ansvariga tillsynsmyndigheten enligt artikel 61 i förordning (EU) 2016/679, artikel 62 i förordning (EU) 2016/679 eller båda, om en berörd tillsynsmyndighet, efter synpunkter från de berörda tillsynsmyndigheterna enligt artikel 9.3, motsätter sig den ansvariga tillsynsmyndighetens bedömning av

(a)utredningens omfattning i klagomålsbaserade ärenden, inbegripet de bestämmelser i förordning (EU) 2016/679 som berörs av den påstådda överträdelse som kommer att utredas,

(b)den preliminära inriktningen mot bakgrund av komplicerade rättsliga bedömningar som fastställts av den ansvariga tillsynsmyndigheten i enlighet med artikel 9.2 c,

(c)den preliminära inriktningen mot bakgrund av komplexa tekniska bedömningar som fastställts av den ansvariga tillsynsmyndigheten i enlighet med artikel 9.2 c.

2.Begäran enligt punkt 1 ska göras inom två månader efter utgången av den period som avses i artikel 9.3.

3.Den ansvariga tillsynsmyndigheten ska samarbeta med de berörda tillsynsmyndigheterna på grundval av deras synpunkter på sammanfattningen av de viktigaste frågorna och, i tillämpliga fall, som svar på en begäran enligt artikel 61 och 62 i förordning (EU) 2016/679, i en strävan att nå samförstånd. Samförståndet ska användas som grund för den ansvariga tillsynsmyndigheten att fortsätta utredningen och utarbeta ett utkast till preliminära slutsatser eller, i tillämpliga fall, förse den tillsynsmyndighet till vilken klagomålet lämnades in med sin motivering i enlighet med artikel 11.2.

4.Om det i en klagomålsbaserad utredning inte råder samförstånd mellan den ansvariga tillsynsmyndigheten och en eller flera berörda tillsynsmyndigheter i den fråga som avses i artikel 9.2 b i denna förordning, ska den ansvariga tillsynsmyndigheten begära ett brådskande bindande beslut av dataskyddsstyrelsen i enlighet med artikel 66.3 i förordning (EU) 2016/679. I så fall ska villkoren för att begära ett brådskande bindande beslut enligt artikel 66.3 i förordning (EU) 2016/679 antas vara uppfyllda.

5.När den ansvariga tillsynsmyndigheten begär ett brådskande bindande beslut av dataskyddsstyrelsen i enlighet med punkt 4 i denna artikel ska den tillhandahålla följande:

(a)De handlingar som avses i artikel 9.2 a och b.

(b)De synpunkter från tillsynsmyndigheten som inte överensstämmer med den ansvariga tillsynsmyndighetens preliminära fastställande av utredningens omfattning.

6.Dataskyddsstyrelsen ska anta ett brådskande bindande beslut om utredningens omfattning på grundval av synpunkterna från de berörda tillsynsmyndigheterna och den ansvariga tillsynsmyndighetens ståndpunkt om dessa synpunkter.

Avsnitt 2

Helt eller delvis avslag på klagomål

Artikel 11

Hörande av den enskilde innan ett klagomål helt eller delvis avslås

1.I enlighet med förfarandet i artikel 9 och 10 ska den ansvariga tillsynsmyndigheten underrätta den tillsynsmyndighet till vilken klagomålet lämnades in om skälen till sin preliminära uppfattning att klagomålet helt eller delvis bör avslås.

2.Den tillsynsmyndighet till vilken klagomålet lämnades in ska underrätta den enskilde om skälen till att myndigheten har för avsikt att avslå det helt eller delvis, och fastställa en tidsfrist inom vilken den enskilde skriftligen får framföra sina synpunkter. Tidsfristen ska vara minst tre veckor. Den tillsynsmyndighet till vilken klagomålet lämnades in ska underrätta den enskilde om följderna av att han eller hon inte framför sina synpunkter.

3.Om den enskilde underlåter att framföra sina synpunkter inom den tidsfrist som fastställts av den tillsynsmyndighet till vilken klagomålet ingavs, ska klagomålet anses ha återkallats.

4.Den enskilde kan begära att få tillgång till den icke-konfidentiella versionen av de handlingar som ligger till grund för det föreslagna avslaget av klagomålet.

5.Om den enskilde framför sina synpunkter inom den tidsfrist som fastställts av den tillsynsmyndighet till vilken klagomålet lämnades in och synpunkterna inte leder till någon ändring av den preliminära uppfattningen att klagomålet helt eller delvis bör avslås, ska den tillsynsmyndighet till vilken klagomålet lämnades in utarbeta ett utkast till beslut enligt artikel 60.3 i förordning (EU) 2016/679 som ska överlämnas till de andra berörda tillsynsmyndigheterna av den ansvariga tillsynsmyndigheten i enlighet med artikel 60.3 i förordning (EU) 2016/679.

Artikel 12

Reviderat utkast till beslut om att helt eller delvis avslå ett klagomål

1.Om den ansvariga tillsynsmyndigheten anser att det reviderade utkastet till beslut i den mening som avses i artikel 60.5 i förordning (EU) 2016/679 innehåller inslag som den enskilde bör ges tillfälle att lämna synpunkter på, ska den tillsynsmyndighet till vilken klagomålet lämnades in, innan det reviderade utkastet till beslut enligt artikel 60.5 i förordning (EU) 2016/679 överlämnas, ge den enskilde möjlighet att framföra sina synpunkter på dessa nya inslag.

2.Den tillsynsmyndighet till vilken klagomålet lämnades in ska fastställa en tidsfrist inom vilken den enskilde får framföra sina synpunkter.

Artikel 13

Beslut om att helt eller delvis avslå ett klagomål

Vid antagandet av ett beslut om att helt eller delvis avslå ett klagomål i enlighet med artikel 60.8 i förordning (EU) 2016/679 ska den tillsynsmyndighet till vilken klagomålet lämnades in underrätta den enskilde om det rättsmedel som står till hans eller hennes förfogande i enlighet med artikel 78 i förordning (EU) 2016/679.

Avsnitt 3

Beslut riktade till personuppgiftsansvariga och personuppgiftsbiträden

Artikel 14

Preliminära slutsatser och svar

1.När den ansvariga tillsynsmyndigheten har för avsikt att överlämna ett utkast till beslut i den mening som avses i artikel 60.3 i förordning (EU) 2016/679 till övriga berörda tillsynsmyndigheter om att en överträdelse av förordning (EU) 2016/679 har konstaterats, ska den utarbeta ett utkast till preliminära slutsatser.

2.De preliminära slutsatserna ska redogöra för de framförda påståendena på ett uttömmande och tillräckligt tydligt sätt, så att de parter som är föremål för utredning kan ta ställning till det beteende som utreds av den ansvariga tillsynsmyndigheten. Slutsatserna måste i synnerhet innehålla en tydlig beskrivning av alla sakförhållanden och hela den rättsliga bedömning som gjorts gällande gentemot de parter som är föremål för utredning, så att de kan framföra sina synpunkter på dessa sakförhållanden och de rättsliga slutsatser som den ansvariga tillsynsmyndigheten avser att dra i utkastet till beslut i den mening som avses i artikel 60.3 i förordning (EU) 2016/679, samt en förteckning över all bevisning som myndigheten åberopar.

De preliminära slutsatserna ska innehålla information om de korrigerande åtgärder som den ansvariga tillsynsmyndigheten avser att vidta.

Om den ansvariga tillsynsmyndigheten har för avsikt att ålägga böter ska den i de preliminära slutsatserna ange de relevanta faktorer som den grundar sig på vid beräkningen av böterna. Den ansvariga tillsynsmyndigheten ska i synnerhet ange de viktigaste sakförhållanden och rättsfrågor som kan leda till åläggande av böter och de faktorer som förtecknas i artikel 83.2 i förordning (EU) 2016/679, inbegripet eventuella försvårande eller förmildrande omständigheter som den kommer att beakta.

3.Den ansvariga tillsynsmyndigheten ska underrätta var och en av de parter som är föremål för utredning om de preliminära slutsatserna.

4.Den ansvariga tillsynsmyndigheten ska, när den underrättar de parter som är föremål för utredning om de preliminära slutsatserna, fastställa en tidsfrist inom vilken dessa parter får lämna skriftliga synpunkter. Den ansvariga tillsynsmyndigheten ska inte vara skyldig att beakta skriftliga synpunkter som mottagits efter det att tidsfristen löpt ut.

5.När den ansvariga tillsynsmyndigheten underrättar de parter som är föremål för utredning om de preliminära slutsatserna ska den ge dessa parter tillgång till handlingarna i ärendet i enlighet med artikel 20.

6.De parter som är föremål för utredning får i sitt skriftliga svar på de preliminära slutsatserna redogöra för alla sakförhållanden och rättsliga argument som de känner till och som är relevanta för deras försvar mot den ansvariga tillsynsmyndighetens påståenden. De ska bifoga alla handlingar som kan tjäna som bevis för de angivna sakförhållandena. Den ansvariga tillsynsmyndigheten ska i sitt utkast till beslut endast behandla påståenden, inbegripet sakförhållanden och den rättsliga bedömning som grundar sig på dessa sakförhållanden, om vilka de parter som är föremål för utredning har beretts tillfälle att yttra sig.

Artikel 15

Vidarebefordran av preliminära slutsatser till den enskilde

1.Om den ansvariga tillsynsmyndigheten meddelar preliminära slutsatser i ett ärende som den har mottagit ett klagomål om, ska den tillsynsmyndighet till vilken klagomålet lämnades in förse den enskilde med en icke-konfidentiell version av de preliminära slutsatserna och fastställa en tidsfrist inom vilken den enskilde får framföra sina synpunkter skriftligen.

2.Punkt 1 ska också tillämpas när en tillsynsmyndighet, i lämpliga fall, behandlar flera klagomål gemensamt, delar upp klagomålen i flera delar eller på något annat sätt utövar sin rätt till skönsmässig bedömning när det gäller utredningens omfattning enligt de preliminära slutsatserna.

3.Om den ansvariga tillsynsmyndigheten anser att det nödvändigt att handlingarna i ärendet ställs till den enskildes förfogande för att denne ska kunna framföra sina synpunkter på de preliminära slutsatserna, ska den tillsynsmyndighet till vilken klagomålet lämnades in förse den enskilde med den icke-konfidentiella versionen av dessa handlingar i samband med att den tillhandahåller de preliminära slutsatserna i enlighet med punkt 1.

4.Den enskilde ska få den icke-konfidentiella versionen av de preliminära slutsatserna endast för den konkreta utredning där de preliminära slutsatserna utfärdades.

5.Innan den enskilde mottar den icke-konfidentiella versionen av de preliminära slutsatserna och eventuella handlingar som tillhandahålls i enlighet med punkt 3, ska han eller hon skicka en förklaring om konfidentialitet till den ansvariga tillsynsmyndigheten, där den enskilde åtar sig att inte lämna ut några uppgifter eller bedömningar som gjorts i den icke-konfidentiella versionen av de preliminära slutsatserna eller att använda dessa för andra ändamål än den konkreta utredning inom ramen för vilken dessa slutsatser utfärdades.

Artikel 16

Antagande av slutligt beslut

Efter att ha överlämnat utkastet till beslut till de berörda tillsynsmyndigheterna i enlighet med artikel 60.3 i förordning (EU) 2016/679 och om ingen av de berörda tillsynsmyndigheterna har invänt mot utkastet till beslut inom de tidsfrister som avses i artikel 60.4 och 60.5 i förordning (EU) 2016/679, ska den ansvariga tillsynsmyndigheten anta och anmäla sitt beslut enligt artikel 60.7 i förordning (EU) 2016/679 till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe, beroende på omständigheterna, och informera de berörda tillsynsmyndigheterna och dataskyddsstyrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta sakförhållanden och grunder.

Artikel 17

Rätten att bli hörd i samband med det reviderade utkastet till beslut

1.Om den ansvariga tillsynsmyndigheten anser att det reviderade utkastet till beslut i den mening som avses i artikel 60.5 i förordning (EU) 2016/679 har inslag som de parter som är föremål för utredning borde ges möjlighet att lämna synpunkter på, ska den ansvariga tillsynsmyndigheten, innan det reviderade utkastet till beslut enligt artikel 60.5 i förordning (EU) 2016/679 läggs fram, ge de parter som är föremål för utredning möjlighet att lämna synpunkter på sådana nya uppgifter.

2.Den ansvariga tillsynsmyndigheten ska fastställa en tidsfrist inom vilken de parter som är föremål för utredning får lämna synpunkter.

Avsnitt 4

Relevanta och motiverade invändningar

Artikel 18

Relevanta och motiverade invändningar

1.Relevanta och motiverade invändningar i den mening som avses i artikel 4.24 i förordning (EU) 2016/679 ska

(a)baseras uteslutande på fakta som ingår i utkastet till beslut, och

(b)inte ändra påståendenas omfattning genom att lyfta fram ytterligare påståenden om överträdelse av förordning (EU) 2016/679 eller ändra de framförda påståendenas inneboende karaktär.

2.Formen och strukturen för relevanta och motiverade invändningar ska uppfylla samtliga följande krav:

(a)Längden på varje relevant och motiverad invändning och den ansvariga tillsynsmyndighetens ståndpunkt om en sådan invändning får inte överstiga tre sidor och får inte innehålla bilagor. I ärenden som rör särskilt komplicerade rättsliga frågor får den maximala längden ökas till sex sidor, utom om särskilda omständigheter som motiverar en längre invändning godtas av dataskyddsstyrelsen.

(b)I inledningen av den relevanta och motiverade invändningen ska det anges att den berörda tillsynsmyndigheten motsätter sig utkastet till beslut och invändningen ska vara formulerad på ett tillräckligt klart, konsekvent och exakt sätt för att den ansvariga tillsynsmyndigheten, och i förekommande fall de berörda tillsynsmyndigheterna, ska kunna förbereda sina ståndpunkter och göra det möjligt för dataskyddsstyrelsen att effektivt lösa tvisten.

(c)Rättsliga argument ska redovisas och grupperas med hänvisning till beslutsdelen i det utkast till beslut som de hänför sig till. Varje argument eller grupp av argument ska i allmänhet föregås av en sammanfattande redogörelse.

Kapitel IV

Tillgång till handlingarna i ärendet och behandling av konfidentiella uppgifter

Artikel 19

Innehållet i handlingarna i ärendet

1.Handlingarna i ärendet i en utredning om en påstådd överträdelse av förordning (EU) 2016/679 består av alla handlingar som den ansvariga tillsynsmyndigheten har mottagit, utarbetat och/eller samlat in under utredningen.

2.I samband med en utredning av en påstådd överträdelse av förordning (EU) 2016/679 får den ansvariga tillsynsmyndigheten till den part från vilken de har erhållits återlämna handlingar som efter en mer ingående granskning visar sig sakna samband med föremålet för utredningen. När dessa handlingar återlämnats ska de inte längre ingå i handlingarna i ärendet.

3.Rätten till tillgång till handlingarna i ärendet ska inte omfatta korrespondens och åsiktsutbyte mellan den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna. Den information som utväxlas mellan tillsynsmyndigheterna i syfte att utreda ett enskilt ärende är interna handlingar och ska inte vara tillgänglig för de parter som är föremål för utredning eller för den enskilde.

4.Tillgång till relevanta och motiverade invändningar enligt artikel 60.4 i förordning (EU) 2016/679 ska ges i enlighet med artikel 24. 

Artikel 20

Tillgång till handlingarna i ärendet och användning av handlingar

1.Den ansvariga tillsynsmyndigheten ska ge de parter som är föremål för utredning tillgång till handlingarna i ärendet, så att de kan utöva sin rätt att bli hörda. Tillgång till handlingarna i ärendet ska beviljas efter det att den ansvariga tillsynsmyndigheten har underrättat de parter som är föremål för utredning om de preliminära slutsatserna.

2.Handlingarna i ärendet ska omfatta alla handlingar, oavsett om de är till fördel eller till nackdel för de parter som är föremål för utredning, inbegripet sakförhållanden och handlingar som är kända för dessa parter.

3.Den ansvariga tillsynsmyndighetens slutsatser i utkastet till beslut enligt artikel 60.3 i förordning (EU) 2016/679 och det slutliga beslutet enligt artikel 60.7 i förordning (EU) 2016/679 får endast grunda sig på handlingar som nämns i de preliminära slutsatserna eller på vilka de parter som är föremål för utredning har haft möjlighet att lämna synpunkter.

4.Handlingar som erhållits genom tillgång till handlingarna i ärendet i enlighet med denna artikel ska endast användas för rättsliga eller administrativa förfaranden för tillämpningen av förordning (EU) 2016/679 i det specifika ärende för vilket sådana handlingar tillhandahölls.

Artikel 21

Identifiering och skydd av konfidentiella uppgifter

1.Om inte annat föreskrivs i denna förordning ska information som samlats in eller erhållits av en tillsynsmyndighet i gränsöverskridande ärenden enligt förordning (EU) 2016/679, inbegripet handlingar som innehåller sådan information, inte meddelas eller göras tillgänglig av tillsynsmyndigheten i den mån den innehåller affärshemligheter eller annan konfidentiell information om någon person.

2.All information som samlats in eller erhållits av en tillsynsmyndighet i gränsöverskridande ärenden enligt förordning (EU) 2016/679, inbegripet handlingar som innehåller sådan information, är utesluten från begäranden om tillgång enligt lagstiftningen om allmänhetens tillgång till officiella handlingar så länge förfarandena pågår.

3.När den ansvariga tillsynsmyndigheten underrättar de parter som är föremål för utredning om preliminära slutsatser och ger tillgång till handlingarna i ärendet på grundval av artikel 20, ska den se till att de parter som är föremål för utredning och som får tillgång till uppgifter som innehåller affärshemligheter eller andra konfidentiella uppgifter behandlar dessa uppgifter med största möjliga respekt för konfidentialiteten, och säkerställa att uppgifterna inte används till nackdel för uppgiftslämnaren. Beroende på informationens grad av konfidentialitet ska den ansvariga tillsynsmyndigheten vidta lämpliga åtgärder för att ge full verkan åt rätten till försvar för de parter som är föremål för utredning, med vederbörlig hänsyn till informationens konfidentialitet.

4.En enhet som lämnar in information som den anser vara konfidentiell ska tydligt ange vilka uppgifter som den anser vara konfidentiella, med angivande av skälen till den begärda konfidentialiteten. Enheten ska tillhandahålla en separat icke-konfidentiell version av inlagan.

5.Utan att det påverkar tillämpningen av punkt 4 får den ansvariga tillsynsmyndigheten begära att de parter som är föremål för utredning eller någon annan part som lägger fram handlingar enligt förordning (EU) nr 2016/679 anger vilka handlingar eller delar av handlingar som de anser innehåller affärshemligheter eller andra konfidentiella uppgifter som tillhör dem och gentemot vilka parter dessa handlingar betraktas som konfidentiella.

6.Den ansvariga tillsynsmyndigheten får fastställa en tidsfrist för parter som är föremål för utredning och varje annan part som framställer en begäran om konfidentiell behandling att

(a)styrka sina påståenden om affärshemligheter och andra konfidentiella uppgifter för varje enskild handling eller del av handling, redogörelse eller del av redogörelse,

(b)tillhandahålla en icke-konfidentiell version av handlingarna och redogörelserna i vilken affärshemligheter och andra konfidentiella uppgifter är maskerade,

(c)ge en kortfattad, icke-konfidentiell och tydlig beskrivning av varje maskerad uppgift.

7.Om de parter som är föremål för utredning eller någon annan part inte uppfyller kraven i punkterna 4 och 5 får den ansvariga tillsynsmyndigheten anta att de berörda handlingarna eller redogörelserna inte innehåller affärshemligheter eller andra konfidentiella uppgifter.

Kapitel V

Tvistlösning

Artikel 22

Hänskjutande till tvistlösning enligt artikel 65 i förordning (EU) 2016/679.

1.Om den ansvariga tillsynsmyndigheten inte följer de relevanta och motiverade invändningarna eller anser att invändningarna inte är relevanta eller motiverade, ska den hänskjuta ärendet till den tvistlösningsmekanism som anges i artikel 65 i förordning (EU) 2016/679.

2.När ärendet hänskjuts till tvistlösning ska den ansvariga tillsynsmyndigheten förse dataskyddsstyrelsen med samtliga följande handlingar:

(a)Utkastet till beslut eller det reviderade utkastet till beslut mot vilket relevanta och motiverade invändningar har riktats.

(b)En sammanfattning av relevanta sakförhållanden.

(c)De preliminära slutsatserna.

(d)Skriftliga synpunkter från de parter som är föremål för utredning, i förekommande fall, i enlighet med artiklarna 14 och 17.

(e)Skriftliga synpunkter från den enskilde, i förekommande fall, i enlighet med artiklarna 11, 12 och 15.

(f)Relevanta och motiverade invändningar som inte följdes av den ansvariga tillsynsmyndigheten.

(g)De skäl på grundval av vilka den ansvariga tillsynsmyndigheten inte följde de relevanta och motiverade invändningarna eller ansåg att invändningarna inte var relevanta eller motiverade.

3.Dataskyddsstyrelsen ska inom fyra veckor efter mottagandet av de handlingar som förtecknas i punkt 2 identifiera de bibehållna relevanta och motiverade invändningarna.

Artikel 23

Registrering i samband med ett beslut enligt artikel 65.1 a i förordning (EU) 2016/679

Dataskyddsstyrelsens ordförande ska registrera hänskjutandet av ett ärende till tvistlösning enligt artikel 65.1 a i förordning (EU) 2016/679 senast en vecka efter att ha mottagit samtliga följande handlingar:

(a)Utkastet till beslut eller det reviderade utkastet till beslut mot vilket relevanta och motiverade invändningar har riktats.

(b)En sammanfattning av relevanta sakförhållanden.

(c)Skriftliga synpunkter från de parter som är föremål för utredning, i förekommande fall, i enlighet med artiklarna 14 och 17.

(d)Skriftliga synpunkter från den enskilde, i förekommande fall, i enlighet med artiklarna 11, 12 och 15.

(e)De bibehållna relevanta och motiverade invändningarna.

(f)De skäl på grundval av vilka den ansvariga tillsynsmyndigheten inte följde de bibehållna relevanta och motiverade invändningarna.

Artikel 24

Motivering före antagandet av ett beslut enligt artikel 65.1 a i förordning (EU) 2016/679

1.Innan det bindande beslutet enligt artikel 65.1 a i förordning (EU) 2016/679 antas ska dataskyddsstyrelsens ordförande, genom den ansvariga tillsynsmyndigheten, förse de parter som är föremål för utredning och/eller, om ett klagomål helt eller delvis avvisas, den enskilde med en motivering som förklarar det resonemang som dataskyddsstyrelsen avser att lägga till grund för sitt beslut. Om dataskyddsstyrelsen avser att anta ett bindande beslut om att den ansvariga tillsynsmyndigheten ska ändra sitt utkast till beslut eller reviderade utkast till beslut, ska dataskyddsstyrelsen besluta huruvida en sådan motivering bör åtföljas av de bibehållna relevanta och motiverade invändningar på grundval av vilka dataskyddsstyrelsen avser att anta sitt beslut.

2.Om ett klagomål helt eller delvis avvisas ska de parter som är föremål för utredning och/eller den enskilde ska ha en vecka på sig från mottagandet av den motivering som avses i punkt 1 för att lämna sina synpunkter.

3.Tidsfristen i punkt 2 ska förlängas med en vecka om dataskyddsstyrelsen förlänger perioden för antagande av det bindande beslutet i enlighet med artikel 65.2 i förordning (EU) 2016/679.

4.Den tidsfrist för antagande av dataskyddsstyrelsens bindande beslut som föreskrivs i artikel 65.2 i förordning (EU) 2016/679 ska inte löpa under de perioder som anges i punkterna 2 och 3.

Artikel 25

Förfarande i samband med beslut enligt artikel 65.1 b i förordning (EU) 2016/679

1.När en fråga hänskjuts till dataskyddsstyrelsen enligt artikel 65.1 b i förordning 2016/679 ska den tillsynsmyndighet som hänskjuter ärendet förse dataskyddsstyrelsen med samtliga följande handlingar avseende behörigheten för det huvudsakliga verksamhetsstället:

(a)En sammanfattning av relevanta sakförhållanden.

(b)Bedömningen av dessa sakförhållanden när det gäller villkoren i artikel 56.1 i förordning (EU) 2016/679.

(c)Synpunkter från den personuppgiftsansvarige eller det personuppgiftsbiträde vars huvudsakliga verksamhetsställe är föremål för hänskjutandet.

(d)Synpunkter från andra tillsynsmyndigheter som berörs av hänskjutandet.

(e)Alla andra handlingar eller all annan information som den hänskjutande tillsynsmyndigheten anser vara relevanta och nödvändiga för att hitta en lösning på frågan.

2.Dataskyddsstyrelsens ordförande ska registrera hänskjutandet senast en vecka efter att ha mottagit de handlingar som avses i punkt 1.

Artikel 26

Förfarande i samband med beslut enligt artikel 65.1 c i förordning (EU) 2016/679

1.När en fråga hänskjuts till dataskyddsstyrelsen enligt artikel 65.1 c i förordning 2016/679 ska den tillsynsmyndighet som hänskjuter ärendet eller kommissionen förse dataskyddsstyrelsen med samtliga följande handlingar:

(a)En sammanfattning av relevanta sakförhållanden.

(b)I förekommande fall det yttrande som utfärdats av dataskyddsstyrelsen i enlighet med artikel 64 i förordning (EU) 2016/679.

(c)Synpunkterna från den tillsynsmyndighet som hänskjuter ärendet eller från kommissionen om huruvida en tillsynsmyndighet, i förekommande fall, var skyldig att överlämna utkastet till beslut till dataskyddsstyrelsen i enlighet med artikel 64.1 i förordning (EU) 2016/679, eller om en tillsynsmyndighet inte följde ett yttrande från dataskyddsstyrelsen som avgetts i enlighet med artikel 64 i förordning (EU) 2016/679.

2.Dataskyddsstyrelsens ordförande ska begära in följande handlingar:

(a)Synpunkter från den tillsynsmyndighet som påstås ha brutit mot kravet på att överlämna ett utkast till beslut till dataskyddsstyrelsen eller underlåtit att följa ett yttrande från dataskyddsstyrelsen.

(b)Alla andra handlingar eller all annan information som tillsynsmyndigheten anser vara relevanta och nödvändiga för att finna en lösning på frågan.

Om en tillsynsmyndighet förklarar att den behöver lämna synpunkter på det aktuella ärendet, ska den lämna dessa synpunkter inom två veckor från det hänskjutande som avses i punkt 1.

3.Dataskyddsstyrelsens ordförande ska registrera hänskjutandet senast en vecka efter att ha mottagit de handlingar som avses i punkterna 1 och 2.

Kapitel VI

Skyndsamt förfarande

Artikel 27

Brådskande yttranden enligt artikel 66.2 i förordning (EU) 2016/679

1.En begäran om ett brådskande yttrande från dataskyddsstyrelsen i enlighet med artikel 66.2 i förordning (EU) 2016/679 ska göras senast tre veckor innan provisoriska åtgärder som antagits enligt artikel 66.1 i förordning (EU) 2016/679 upphör att gälla och ska innehålla samtliga följande uppgifter:

(a)En sammanfattning av relevanta sakförhållanden.

(b)En beskrivning av den provisoriska åtgärd som antagits på dess eget territorium, dess varaktighet och skälen till att den antagits, inbegripet en motivering av det brådskande behovet av att agera för att skydda de registrerades rättigheter och friheter.

(c)En motivering till det brådskande behovet av att anta slutliga åtgärder på territoriet för den begärande tillsynsmyndighetens medlemsstat, inbegripet en förklaring av den exceptionella karaktären hos de omständigheter som kräver att de berörda åtgärderna antas.

2.Dataskyddsstyrelsens brådskande yttrande ska skickas till den tillsynsmyndighet som lämnade in begäran. Det ska vara jämförbart med ett yttrande i den mening som avses i artikel 64.1 i förordning (EU) 2016/679 och göra det möjligt för den begärande myndigheten att bibehålla eller ändra sin provisoriska åtgärd i enlighet med skyldigheterna i artikel 64.7 i förordning (EU) 2016/679.

Artikel 28

Brådskande beslut enligt artikel 66.2 i förordning (EU) 2016/679

1.En begäran om ett brådskande beslut från dataskyddsstyrelsen i enlighet med artikel 66.2 i förordning (EU) 2016/679 ska göras senast tre veckor innan provisoriska åtgärder som antagits enligt artiklarna 61.8, 62.7 eller 66.1 i förordning (EU) 2016/679 upphör att gälla. Begäran ska innehålla samtliga följande uppgifter:

(a)En sammanfattning av relevanta sakförhållanden.

(b)Den provisoriska åtgärd som vidtagits på territoriet för medlemsstaten för den tillsynsmyndighet som begär beslutet, dess varaktighet och skälen för att vidta den, särskilt motiveringen till det brådskande behovet av att agera för att skydda de registrerades rättigheter och friheter.

(c)Information om eventuella utredningsåtgärder som vidtagits på dess eget territorium och svar från det lokala verksamhetsstället för de parter som är föremål för utredning eller annan information som den begärande tillsynsmyndigheten förfogar över.

(d)En motivering till det brådskande behovet av att vidta slutliga åtgärder på den begärande tillsynsmyndighetens territorium, med beaktande av de exceptionella omständigheter som kräver att den slutliga åtgärden antas, eller bevis för att en tillsynsmyndighet underlåtit att besvara en begäran enligt artiklarna 61.3 eller 62.2 i förordning (EU) 2016/679.

(e)Den ansvariga tillsynsmyndighetens synpunkter, om den begärande myndigheten inte är den ansvariga tillsynsmyndigheten.

(f)I tillämpliga fall, synpunkter från det lokala etableringsstället för de parter som är föremål för utredning och mot vilka provisoriska åtgärder har vidtagits i enlighet med artikel 66.1 i förordning (EU) 2016/679.

2.Det brådskande beslut som avses i punkt 1 ska riktas till den tillsynsmyndighet som lämnade in begäran och ska göra det möjligt för den begärande myndigheten att bibehålla eller ändra sin provisoriska åtgärd.

3.Om dataskyddsstyrelsen antar ett brådskande bindande beslut om att slutliga åtgärder bör antas, ska den tillsynsmyndighet till vilken beslutet är riktat anta sådana åtgärder innan de provisoriska åtgärder som antagits enligt artikel 66.1 i förordning (EU) 2016/679 löper ut.

4.Den tillsynsmyndighet som lämnade in den begäran som avses i punkt 1 ska meddela sitt beslut om de slutgiltiga åtgärderna till den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställe på sin medlemsstats territorium och informera dataskyddsstyrelsen. Om den ansvariga tillsynsmyndigheten inte är den begärande myndigheten ska den begärande myndigheten informera den ansvariga tillsynsmyndigheten om den slutliga åtgärden.

5.Om det i det brådskande bindande beslutet anges att slutgiltiga åtgärder inte omedelbart behöver antas, ska de berörda ansvariga myndigheterna och tillsynsmyndigheterna följa förfarandet i artikel 60 i förordning (EU) 2016/679.

Kapitel VII

Allmänna bestämmelser och slutbestämmelser

Artikel 29

Tidsfristers början och definition av arbetsdag

1.De tidsfrister som föreskrivs i eller fastställs av tillsynsmyndigheterna i enlighet med förordning (EU) 2016/679 ska beräknas i enlighet med rådets förordning (EEG, Euratom) nr 1182/71 17 .

2.Tidsfrister ska börja löpa den arbetsdag som följer på den händelse som det hänvisas till i den relevanta bestämmelsen i förordning (EU) 2016/679 eller i denna förordning.

Artikel 30

Övergångsbestämmelser

Kapitlen III och IV ska tillämpas på utredningar på eget initiativ som inleds efter denna förordnings ikraftträdande och på klagomålsbaserade utredningar där klagomålet ingavs efter det att denna förordning har trätt i kraft.

Kapitel V ska tillämpas på alla ärenden som hänskjuts till tvistlösning enligt artikel 65 i förordning (EU) 2016/679 efter det att denna förordning har trätt i kraft.

Artikel 31

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den

(1)    Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EUT L 119, 4.5.2016, s. 1.

(2)    Meddelande från kommissionen till Europaparlamentet och rådet, Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid (COM/2020/264 final).

(3)    Europaparlamentets resolution av den 25 mars 2021 om kommissionens utvärderingsrapport om genomförandet av den allmänna dataskyddsförordningen två år efter dess tillämpning (2020/2717(RSP)).

(4)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_sv (inte översatt till svenska).

(5)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf .

(6)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sv&do=groupDetail.groupDetail&groupID=3537 .

(7)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sv&do=groupDetail.groupDetail&groupID=3461 .

(8)     https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-programme-2023_sv (inte översatt till svenska).

(9)    Meddelande från kommissionen till Europaparlamentet och rådet Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid (COM/2020/264 final).

(10)    Arbetsdokument från kommissionens avdelningar som åtföljer meddelande från kommissionen till Europaparlamentet, och rådet, Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid (inte översatt till svenska) (SWD(2020) 115 final).

(11)    Europaparlamentets resolution av den 25 mars 2021 om kommissionens utvärderingsrapport om genomförandet av den allmänna dataskyddsförordningen två år efter dess tillämpning (2020/2717(RSP)).

(12)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_sv (inte översatt till svenska).

(13)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf .

(14)    EUT C , , s. .

(15)    EUT C , , s. .

(16)    Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(17)    Rådets förordning (EEG, Euratom) nr 1182/71 av den 3 juni 1971 om regler för bestämning av perioder, datum och frister (EGT L 124, 8.6.1971, s. 1).

EUROPEISKA KOMMISSIONEN

Bryssel den 4.7.2023

COM(2023) 348 final

BILAGA

till förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679

BILAGA

(1)    Klagomålet ska fyllas i och lämnas in elektroniskt eller fyllas i och skickas till tillsynsmyndigheten per post.

(2)    T.ex. pass, körkort, nationellt id-kort.

(3)    Om ett klagomål lämnas in av ett organ som avses i artikel 80 i förordning (EU) 2016/679 ska all information som anges i punkt 2 lämnas.