Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679

FR FR
COMMISSION
EUROPÉENNE
Bruxelles, le 4.7.2023
COM(2023) 348 final
2023/0202 (COD)
Proposition de
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
établissant des règles de procédure supplémentaires relatives à l’application du
règlement (UE) 2016/679
Offentligt
KOM (2023) 0348 - Forslag til forordning
Europaudvalget 2023
FR 1 FR
EXPOSÉ DES MOTIFS
1. CONTEXTE DE LA PROPOSITION
• Justification et objectifs de la proposition
L’application effective des règles de l’UE en matière de protection des données est une
condition préalable à la garantie du respect du droit à la protection des données à caractère
personnel consacré par l’article 8, paragraphe 1, de la charte des droits fondamentaux de
l’Union européenne (ci-après la «charte») et par l’article 16, paragraphe 1, du traité sur le
fonctionnement de l’Union européenne (ci-après le «TFUE»).
Des autorités de protection des données (ci-après les «APD») nationales indépendantes sont
chargées de faire appliquer le règlement (UE) 2016/679 (règlement général sur la protection
des données ou «RGPD»)1
depuis son entrée en application en 2018. Le système de mise en
œuvre décentralisée «à guichet unique» vise à garantir une interprétation et une application
cohérentes du RGPD tout en préservant le principe de proximité, qui donne aux personnes la
possibilité de contacter leur APD locale et de recevoir une réponse. Ce système exige une
coopération entre APD dans les situations «transfrontalières». En pareil cas, l’APD «cheffe de
file» (celle de l’établissement principal du responsable du traitement ou du sous-traitant
faisant l’objet de l’enquête) conduit l’enquête et est tenue de coopérer avec les autres APD
«concernées» en s’efforçant de parvenir à un consensus grâce à un dialogue mené dans un
esprit de coopération loyale et efficace. L’APD cheffe de file doit exercer ses compétences
dans le cadre d’une coopération étroite avec les APD concernées. Lorsque les APD ne
parviennent pas à dégager un consensus dans une situation transfrontalière, le RGPD prévoit
le règlement du litige, sur des questions particulières soulevées au moyen d’objections
pertinentes et motivées, par le comité européen de la protection des données (ci-après le
«comité»), qui se compose du chef de l’APD de chaque État membre et du Contrôleur
européen de la protection des données et auquel la Commission participe.
Dans son rapport à l’issue de deux années d’application du RGPD, la Commission a relevé
que de nouvelles avancées devaient être réalisées en vue d’un traitement plus efficace et
davantage harmonisé des situations transfrontières dans l’ensemble de l’UE2
. Le rapport fait
état de différences importantes entre les procédures administratives nationales et dans
l’interprétation des notions dans le mécanisme de coopération du RGPD. Dans sa résolution
concernant le rapport d’évaluation de la Commission de 2020 sur le RGPD, le Parlement
européen a pressé la Commission d’évaluer si les procédures administratives nationales
entravaient la pleine efficacité de la coopération au titre de l’article 60 du RGPD ainsi que sa
mise en œuvre effective3
. Il a également demandé au comité d’établir les éléments de base
d’une procédure administrative commune pour traiter les réclamations dans les situations
1
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des
données) (JO L 119 du 4.5.2016, p. 1).
2
Communication de la Commission au Parlement européen et au Conseil, «La protection des données:
un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition
numérique – deux années d’application du règlement général sur la protection des données»
[COM(2020) 264 final].
3
Résolution du Parlement européen du 25 mars 2021 concernant le rapport d’évaluation de la
Commission sur la mise en œuvre du règlement général sur la protection des données deux ans après
son entrée en application (2020/2717(RSP)).
FR 2 FR
transfrontalières en vertu de la coopération mise en place au titre de l’article 60 du RGPD. En
2020, le comité a lancé une réflexion sur l’amélioration de la coopération entre les APD dans
les situations transfrontalières, qui a débouché, en avril 2022, sur l’adoption d’une déclaration
sur la coopération en matière de contrôle de l’application de la législation, dans laquelle le
comité prenait l’engagement de dresser une liste des aspects de procédure qui pourraient être
davantage harmonisés en droit de l’Union4
. En octobre 2022, le comité a transmis cette liste à
la Commission5
.
La présente proposition s’appuie sur le rapport de la Commission de 2020 sur le RGPD, sur la
liste du comité d’octobre 2022 et sur les conclusions que la Commission a tirées du suivi de
l’application du RGPD depuis son entrée en application, sur le groupe d’experts multipartite
du RGPD6
et sur le groupe d’experts des États membres sur le RGPD7
, ainsi que sur les
observations que la Commission a reçues en réponse à un appel à contributions lancé en
février 2023. Elle figure dans le programme de travail de la Commission pour 20238
(sous la
rubrique générale «Un nouvel élan pour la démocratie européenne»).
L’application cohérente du RGPD dépend du bon fonctionnement du système d’application
transfrontalière de celui-ci. Les différences dans les procédures appliquées par les APD
entravent le fonctionnement harmonieux et efficace des mécanismes de coopération et de
règlement des litiges du RGPD dans les situations transfrontalières. Elles ont également des
conséquences importantes sur les droits des parties faisant l’objet de l’enquête et des auteurs
de réclamation (en tant que personnes concernées). Il est indispensable de veiller à ce que le
RGPD soit correctement appliqué pour garantir la confiance du public dans le processus de
numérisation au sens large et pour garantir des conditions de concurrence équitables pour
toutes les entités traitant des données à caractère personnel.
La proposition vise à remédier aux problèmes qui se posent dans les domaines suivants:
 Réclamations: les réclamations sont une source d’information essentielle pour
déceler les violations des règles de protection des données. Les APD ont des
interprétations divergentes en ce qui concerne les exigences relatives au formulaire
de réclamation, à la participation des auteurs de réclamation à la procédure et au rejet
des réclamations. À titre d’exemple, une réclamation acceptée par certaines APD
pourrait être rejetée par d’autres au motif qu’elle ne fournit pas suffisamment
d’informations; certaines APD octroient aux auteurs de réclamation les mêmes droits
qu’aux parties faisant l’objet de l’enquête, alors que d’autres ne prévoient pas la
participation des auteurs de réclamation ou ne les associent que de manière très
limitée; certaines ADP adoptent une décision formelle pour rejeter toutes les
réclamations auxquelles il ne sera pas donné suite, tandis que d’autres ne le font pas.
Ces différences aboutissent à ce que le traitement des réclamations et la participation
de leurs auteurs à la procédure varient en fonction du lieu où la réclamation est
4
https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-
cooperation_en
5
https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-
0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf
6
https://ec.europa.eu/transparency/expert-groups-register/screen/expert-
groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3537
7
https://ec.europa.eu/transparency/expert-groups-register/screen/expert-
groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3461
8
https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-
programme-2023_fr
FR 3 FR
introduite ou de l’ADP qui est cheffe de file dans une situation donnée. En
conséquence, elles retardent la conclusion de l’enquête et la mise en œuvre d’une
mesure réparatoire pour la personne concernée dans les situations transfrontalières.
Dans sa résolution concernant le rapport d’évaluation de la Commission de 2020 sur
le RGPD, le Parlement européen a souligné la nécessité de clarifier la position des
auteurs de réclamation dans les situations transfrontalières.
 Droits procéduraux des parties faisant l'objet de l'enquête: les droits de la
défense des parties faisant l’objet de l’enquête constituent un principe fondamental
du droit de l’Union qui doit être respecté en toutes circonstances, en particulier dans
les procédures qui risquent de donner lieu à des sanctions élevées. Compte tenu de la
sévérité potentielle des sanctions qui peuvent être infligées, les parties faisant l’objet
d’une enquête portant sur une violation du RGPD doivent bénéficier de garanties
similaires à celles prévues dans les procédures revêtant un caractère pénal. Les droits
procéduraux des parties faisant l’objet de l’enquête, tels que la portée du droit d’être
entendu et du droit d’accès au dossier, varient considérablement d’un État membre à
un autre. La mesure dans laquelle les parties sont entendues, le stade auquel elles
peuvent faire connaître leur point de vue et les documents qui leur sont fournis pour
leur permettre d’exercer leur droit d’être entendues sont des points sur lesquels les
États membres adoptent des approches différentes. Ces approches divergentes ne
sont pas toujours compatibles avec la procédure prévue à l’article 60 du RGPD, qui
repose sur la prémisse que les parties faisant l’objet de l’enquête ont exercé leurs
droits procéduraux avant que le projet de décision ne soit présenté par l’APD cheffe
de file. Lorsqu’un litige est soumis au comité à des fins de règlement, la mesure dans
laquelle les parties ont été entendues sur les points soulevés dans le projet de
décision et sur les objections des APD concernées peut varier. En outre, la mesure
dans laquelle les parties faisant l’objet de l’enquête doivent être entendues au cours
du processus de règlement du litige par le comité prévu à l’article 65 manque de
clarté. L’absence de garantie du droit d’être entendu peut rendre les décisions des
APD constatant des violations du RGPD plus contestables sur le plan juridique.
 Coopération et règlement des litiges: l’article 60 du RGPD expose les grandes
lignes de la procédure de coopération. Dans les situations transfrontalières, les ADP
sont tenues d’échanger toute «information utile» en s’efforçant de parvenir à un
consensus. Une fois que l’APD cheffe de file a soumis un projet de décision, les
autres APD ont la possibilité de formuler des «objections pertinentes et motivées».
Ces objections font naître la possibilité de recourir à la procédure de règlement des
litiges (lorsqu’elles ne sont pas suivies par l’APD cheffe de file). La procédure de
règlement des litiges prévue à l’article 65 du RGPD constitue certes un élément
essentiel pour garantir l’interprétation cohérente du RGPD, mais elle devrait être
réservée aux situations exceptionnelles dans lesquelles la coopération loyale entre
APD n’a pas débouché sur un consensus. Le bilan de l’application du RGPD dans les
situations transfrontalières montre qu’«avant la soumission d’un projet de décision»
par l’APD cheffe de file, la coopération entre les APD est insuffisante. Le manque de
coopération et de recherche d’un consensus sur les points essentiels pendant
l’enquête à ce stade précoce a conduit à ce que de nombreux cas soient portés devant
le comité de règlement des litiges.
Les objections pertinentes et motivées soumises par les ADP durant la procédure de
coopération transfrontalière sont disparates tant par la forme que par la structure. Ces
divergences empêchent l’achèvement efficace de la procédure de règlement des
litiges et la participation de toutes les APD concernées à la procédure, en particulier
FR 4 FR
les APD de petits États membres, qui disposent de moins de ressources que celles
d’États membres plus grands.
 Le RGPD ne fixe pas de délais pour les différentes étapes de la procédure de
coopération et de règlement des litiges. À la lumière de la complexité variable des
enquêtes et du pouvoir discrétionnaire dont les APD disposent pour enquêter sur les
violations du RGPD, il n’est pas souhaitable de fixer des délais pour chaque étape de
la procédure. Toutefois, l’introduction de délais lorsqu’il y a lieu contribuera à
empêcher les retards indus dans le règlement des litiges.
La proposition vise à remédier à ces problèmes en édictant des règles de procédure pour
certaines étapes du processus d’enquête dans les situations transfrontalières, ce qui facilitera
le bon fonctionnement des mécanismes de coopération et de règlement des litiges du RGPD.
Plus précisément, la proposition remédie aux problèmes recensés ci-dessus de la manière
suivante:
 Formulaire de réclamation et position des auteurs de réclamation: la proposition
contient un formulaire précisant les informations requises pour toute réclamation
introduite conformément à l’article 77 du RGPD concernant un traitement
transfrontalier et précise les règles de procédure applicables à la participation des
auteurs de la réclamation à la procédure, y compris leur droit d’être entendus. Elle
expose les règles de procédure applicables au rejet des réclamations dans les
situations transfrontalières et clarifie le rôle de l’APD cheffe de file et des APD
auprès desquelles la réclamation a été introduite dans ces situations. Elle reconnaît
l’importance et la légalité du règlement amiable des cas fondés sur des réclamations.
 Harmonisation ciblée des droits procéduraux dans les situations
transfrontalières: la proposition donne aux parties faisant l’objet de l'enquête le
droit d’être entendues à des étapes clés de la procédure, notamment au cours du
règlement du litige par le comité, et clarifie le contenu du dossier administratif ainsi
que le droit des parties d’accéder à ce dernier. La proposition renforce ainsi les droits
de la défense des parties et garantit leur respect cohérent indépendamment de l’APD
qui mène l’enquête.
 Rationaliser la coopération et le règlement des litiges: la proposition dote les APD
des outils nécessaires pour parvenir à un consensus en ajoutant de la substance à
l’exigence faite aux ADP, à l’article 60 du RGPD, de coopérer et de partager toute
«information utile». Le règlement établit un cadre permettant à toutes les APD
d’avoir une incidence significative dans une situation transfrontalière en donnant leur
avis à un stade précoce de la procédure d’enquête et en ayant recours à tous les outils
prévus par le RGPD. Cela permettra surtout de faciliter la formation d’un consensus
et de réduire la probabilité de désaccords à un stade avancé de la procédure, ce qui
nécessiterait le recours au mécanisme de règlement des litiges. En cas de désaccord
entre les APD sur la question clé de la portée de l’enquête dans des cas fondés sur
des réclamations, la proposition confie au comité le rôle de régler le désaccord en
adoptant une décision contraignante d’urgence. Le fait de demander au comité de
trancher cette question autonome donne à l’APD cheffe de file la clarté nécessaire
pour poursuivre l’enquête et garantit que le désaccord sur la portée de l’enquête ne
nécessitera pas de recourir au mécanisme de règlement des litiges prévu à
l’article 65.
La proposition énonce des exigences précises concernant la forme et la structure des
objections pertinentes et motivées soulevées par les APD concernées, facilitant ainsi
FR 5 FR
la participation effective de toutes les APD et la résolution ciblée et rapide de
l’affaire.
 La proposition fixe des délais pour la procédure de règlement des litiges, précise les
informations que l’APD cheffe de file doit fournir lors de la soumission de la
question au mécanisme de résolution des litiges, et clarifie le rôle de tous les acteurs
participant au règlement des litiges (APD cheffe de file, APD concernées et comité).
Ainsi, la proposition facilite l’achèvement rapide de la procédure de règlement des
litiges pour les parties faisant l’objet de l’enquête et les personnes concernées.
• Cohérence avec les dispositions existantes dans le domaine d'action
La proposition complète le RGPD en précisant les règles de procédure pour les grandes étapes
du processus d’enquête établi par le RGPD. Elle ne porte pas atteinte aux droits des
personnes concernées, aux obligations des responsables du traitement et des sous-traitants, ni
aux motifs licites de traitement des données à caractère personnel énoncés dans le RGPD.
La proposition s’appuie sur les principes de base du RGPD concernant les réclamations, la
coopération et le règlement des litiges, et complète ces dispositions par des ajouts ciblés
visant à renforcer l’efficacité et l’efficience de l’application des règles dans les situations
transfrontalières.
• Cohérence avec les autres politiques de l'Union
La proposition est parfaitement cohérente et pleinement compatible avec les politiques
existantes de l’Union dans d’autres domaines.
2. BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ
• Base juridique
La base juridique de la proposition est l’article 16 du traité sur le fonctionnement de l’Union
européenne (TFUE).
L’article 16 du TFUE habilite le Parlement européen et le Conseil à établir des règles relatives
à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données. La proposition concerne l’application du
RGPD dans les situations transfrontalières. L’objectif est de garantir le droit des personnes
concernées à la protection de leurs données à caractère personnel. De ce fait, l’article 16 du
TFUE constitue la base juridique appropriée pour la proposition.
• Subsidiarité (en cas de compétence non exclusive)
L’UE est la mieux placée pour agir, car la proposition porte sur une procédure existante
établie par le RGPD impliquant des APD de plusieurs États membres de l’UE et le comité
européen de la protection des données (un organe de l’UE). Par conséquent, les problèmes
recensés ci-dessus ne peuvent être résolus par des États membres de l’UE agissant isolément.
• Proportionnalité
La proposition établit un juste équilibre, en ce qu’elle permet la réalisation de l’objectif visant
à garantir le bon fonctionnement de l’application transfrontalière du RGPD sans ingérence
indue dans les systèmes légaux nationaux.
FR 6 FR
La proposition vise à garantir le bon fonctionnement du mécanisme de coopération et de
règlement des litiges établi par le RGPD. En conséquence, elle ne concerne que les situations
transfrontalières relevant du RGPD. Celles-ci impliquent des APD de plusieurs États
membres de l’UE et le comité.
La mesure dans laquelle les parties faisant l’objet de l’enquête sont entendues et la
participation des auteurs de réclamation à la procédure administrative sont actuellement régies
par les règles de procédure nationales. Ces éléments influencent la manière dont l’enquête est
conduite du début à la fin. De ce fait, une harmonisation ciblée du droit d’être entendu et de la
participation des auteurs de réclamation à des étapes clés de la procédure et uniquement dans
les situations transfrontalières est essentielle pour atteindre l’objectif de la proposition –
rationaliser l’application transfrontalière – et ne va pas au-delà de ce qui est nécessaire dans
ce contexte. Surtout, le droit des parties faisant l’objet de l’enquête d’être entendues
s'applique déjà aux enquêtes menées par les APD dans le cadre du RGPD, étant donné que ce
droit constitue un élément essentiel des droits de la défense et du droit à une bonne
administration consacrés par la charte. De même, l’auteur d’une réclamation doit être informé
de l’avancement de sa réclamation conformément à l’article 77, paragraphe 2, du RGPD. La
proposition vise principalement à harmoniser et à définir les modalités de ces étapes de la
procédure.
• Choix de l'instrument
Un règlement est l’instrument approprié. La proposition complète une procédure énoncée
dans un règlement existant, le RGPD. Elle vise à résoudre le problème de la disparité des
approches procédurales suivies par les APD, en harmonisant certains aspects de la procédure
administrative appliquée par les APD lorsqu’elles mettent en œuvre le RGPD. En
conséquence, un règlement (qui est directement applicable dans les États membres) est
nécessaire pour réduire la fragmentation juridique et assurer le degré d’harmonisation requis
pour garantir le bon fonctionnement des mécanismes de coopération et de contrôle de la
cohérence établis par le RGPD et pour fournir une sécurité juridique aux auteurs de
réclamation, aux parties faisant l’objet de l’enquête et aux APD. Une directive, qui laisse aux
États membres une marge d’appréciation quant à la manière de parvenir aux résultats
souhaités, ne permettrait pas de garantir le niveau d’harmonisation nécessaire pour réaliser les
objectifs de la proposition.
3. RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES
PARTIES INTÉRESSÉES ET DES ANALYSES D'IMPACT
• Évaluations ex post/bilans de qualité de la législation existante
Dans son rapport à l’issue de deux années d’application du RGPD, la Commission a relevé
que de nouvelles avancées devaient être réalisées en vue d’un traitement plus efficace et
davantage harmonisé des situations transfrontalières dans l’ensemble de l’UE9
. Dans un
9
Communication de la Commission au Parlement européen et au Conseil, «La protection des données:
un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition
numérique – deux années d’application du règlement général sur la protection des données»
[COM(2020) 264 final].
FR 7 FR
document de travail de ses services accompagnant le rapport10
, elle a souligné la nécessité de
remédier aux divergences dans les domaines suivants:
 les procédures administratives nationales, notamment en ce qui concerne: les
procédures de traitement des réclamations, les critères de recevabilité des
réclamations, la durée des procédures en raison des délais différents ou de l’absence
de délais, le moment de l’octroi du droit d’être entendu au cours de la procédure,
l’information et la participation des auteurs de réclamation au cours de la procédure;
 les interprétations des notions relatives au mécanisme de coopération; et
 l’approche adoptée concernant le moment auquel lancer la procédure de coopération,
permettre aux APD concernées de participer à celle-ci et leur communiquer des
informations.
Dans sa résolution concernant le rapport d’évaluation de la Commission de 2020 sur le
RGPD, le Parlement européen a pressé la Commission d’évaluer si les procédures
administratives nationales entravaient la pleine efficacité de la coopération au titre de
l’article 60 du RGPD ainsi que sa mise en œuvre effective11
. Il a également demandé au
comité d’établir les éléments de base d’une procédure administrative commune pour traiter les
réclamations dans les situations transfrontalières en vertu de la coopération mise en place au
titre de l’article 60 du RGPD. En 2020, le comité a lancé une réflexion sur l’amélioration de la
coopération entre les APD dans les situations transfrontalières, à l’issue de laquelle12
, en
octobre 2022, il a transmis à la Commission une liste recensant les aspects procéduraux de la
coopération entre les APD qui pourraient être harmonisés au niveau de l’Union13
.
Dans son rapport à l’issue de deux années d’application du RGPD, la Commission indiquait
qu’il n’y avait pas encore eu d’exemple de règlement d’un litige au niveau du comité. Depuis
la publication du rapport en 2020, le comité a adopté huit décisions contraignantes au titre de
l’article 65, paragraphe 1, point a), du RGPD. La participation de la Commission au comité
lui a permis de tirer des enseignements concernant le fonctionnement du mécanisme de
règlement des litiges. Plus précisément, la Commission estime que la durée de l’enquête
pourrait être écourtée et que le règlement des litiges pourrait être évité en augmentant le
niveau de coopération entre les APD avant la soumission du projet de décision par l’APD
cheffe de file.
• Consultation des parties intéressées
La proposition a été élaborée à partir des contributions d’un large éventail de parties
prenantes. Toutes se sont accordées à dire qu’il conviendrait de faire davantage pour
améliorer l’efficience de l’application transfrontalière du RGPD.
10
Document de travail des services de la Commission accompagnant le document «Communication de la
Commission au Parlement européen et au Conseil, Les règles en matière de protection des données: un
pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique
– deux années d’application du règlement général sur la protection des données» [SWD(2020) 115
final].
11
Résolution du Parlement européen du 25 mars 2021 concernant le rapport d’évaluation de la
Commission sur la mise en œuvre du règlement général sur la protection des données deux ans après
son entrée en application (2020/2717(RSP)).
12
https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-
cooperation_en
13
https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-
0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf
FR 8 FR
Plus précisément, la Commission a reçu des contributions sur la proposition par les canaux
suivants:
 Le comité: le comité se compose des APD, les autorités chargées de faire appliquer
le RGPD. Il a pour mission, entre autres, de régler les litiges dans les situations
transfrontalières relevant du RGPD. La Commission a donc tenu dûment compte de
l’avis du comité à toutes les étapes de la phase préparatoire. En premier lieu, la
proposition aborde les problèmes énumérés dans la liste que le comité a transmise à
la Commission en octobre 2022, qui recense les aspects de la procédure d’application
transfrontalière qui pourraient être harmonisés au niveau de l’UE. La proposition
remédie à la plupart des problèmes énumérés par le comité dans cette liste. Dans
certains cas, la Commission a décidé de ne pas remédier au problème, en particulier
lorsqu’elle a estimé que celui-ci était déjà réglé de manière adéquate par le RGPD ou
qu’il convenait de laisser à l’APD cheffe de file ou au droit national le soin d’y
apporter une solution. Par ailleurs, la proposition règle certaines questions en plus de
celles mentionnées par le comité dans sa liste, lorsque la Commission l’a jugé
nécessaire pour permettre le bon fonctionnement de l’application transfrontalière et
le respect des garanties procédurales. La Commission a également mené une
consultation ciblée, portant sur certains aspects de la proposition, avec les sous-
groupes du comité traitant de la coopération et de l’application transfrontalières lors
de réunions qui se sont tenues le 21 mars 2023 et le 24 avril 2023, afin de bénéficier
de l’expertise des ADP traitant ces questions au quotidien. Le comité s’est montré
pleinement favorable au fait que la Commission agisse dans ce domaine et a fourni
une contribution précieuse à la Commission lors des réunions de mars et
d’avril 2023.
 Le groupe d’experts multipartite du RGPD: ce groupe d’experts, créé pour
assister la Commission dans l’application du RGPD, est composé de représentants de
la société civile, d’entreprises, du monde universitaire et de praticiens du droit. Il
s’est montré largement favorable à ce que la Commission agisse dans ce domaine au
moyen d’une proposition législative. Une réunion organisée le 19 octobre 2022 a été
l’occasion d’une première discussion sur la liste du comité d’octobre 2022 et une
seconde réunion, le 21 avril 2023, a permis à la Commission de procéder à une
consultation sur des aspects particuliers de la proposition. Compte tenu de la grande
diversité des parties prenantes représentées au sein de ce groupe, les avis sur ces
aspects particuliers de la proposition ont été variés. Toutes les parties prenantes
étaient favorables à l’introduction d’un cadre juridique pour le règlement amiable
dans la proposition. Les ONG ont salué l’intention de la Commission d’harmoniser le
formulaire de réclamation et ont soutenu la participation des auteurs de réclamation à
la procédure, notant les grandes différences dans le traitement des réclamations d’un
État membre à un autre. Les groupes sectoriels représentant les responsables du
traitement et les sous-traitants ont souligné la nécessité de donner aux parties faisant
l’objet de l’enquête le droit d’être entendues et la nécessité d’encourager la
résolution des désaccords entre les APD à un stade précoce du processus d’enquête.
 Le groupe d’experts des États membres sur le RGPD: ce groupe d’experts sert
d’espace d’échange de points de vue et d’informations entre la Commission et les
États membres sur la manière dont le RGPD est appliqué. La Commission a demandé
l’avis des États membres sur la liste du comité d’octobre 2022 avant le début du
processus de rédaction. Dans l’ensemble, les États membres ont soutenu et bien
accueilli l’idée d’une proposition d’initiative législative visant à renforcer
l’application transfrontalière du RGPD. Toutefois, certains États membres dotés de
FR 9 FR
règles de procédure horizontales applicables à toutes les procédures administratives
ont décelé des interférences possibles avec ces règles, en particulier en ce qui
concerne l’harmonisation des droits des parties d’être entendues et la participation
des auteurs de réclamation à la procédure. En conséquence, dans la proposition, la
Commission a soigneusement limité l’harmonisation de ces aspects aux situations
transfrontalières et à la mesure nécessaire pour garantir le bon fonctionnement du
mécanisme de coopération et de règlement des litiges. La Commission a organisé une
réunion spéciale avec le groupe d’experts des États membres sur le RGPD le 19 avril
2023.
La Commission a également organisé, sur demande, des réunions bilatérales sur la proposition
avec des ONG, des autorités nationales et des organisations sectorielles.
La Commission a publié un appel à contributions auquel les parties intéressées ont pu
répondre du 24 février au 24 mars 2023 et elle a reçu 73 réponses. La Commission a reçu des
contributions d’un large éventail de parties prenantes, au nombre desquelles des ONG et des
associations sectorielles.
La Commission a dûment tenu compte des contributions de l’ensemble des parties prenantes
lors de l’élaboration de la proposition.
• Obtention et utilisation d'expertise
La proposition tient compte de toutes les contributions reçues des parties prenantes durant la
phase préparatoire, en particulier de l’expertise fournie par le comité, le groupe d’experts
multipartite du RGPD et le groupe d’experts des États membres sur le RGPD.
La proposition s'appuie également sur la jurisprudence de la Cour de justice de l’Union
européenne (ci-après la «CJUE»), en particulier celle concernant le fonctionnement du
mécanisme de coopération et de contrôle de la cohérence figurant dans le RGPD, ainsi que sur
celle concernant le droit d’être entendu et le droit à une bonne administration consacré par
l’article 41 de la charte.
• Analyse d’impact
Aucune analyse d’impact n’a été réalisée pour la proposition. Celle-ci ne porte pas atteinte
aux droits des personnes concernées, aux obligations des responsables du traitement et des
sous-traitants, ni aux motifs licites de traitement des données à caractère personnel énoncés
dans le RGPD.
La proposition complète le RGPD de manière ciblée, en précisant les règles de procédure
régissant la procédure d’application transfrontalière établie par le chapitre VII du RGPD. De
cette manière, la proposition s’inscrit dans le cadre de procédure établi par le RGPD.
Ainsi, la proposition aura pour seule incidence d’améliorer le fonctionnement de la procédure
d’application transfrontalière définie par le RGPD. La proposition ne modifie pas le rôle des
acteurs de la procédure – auteurs de réclamation, ADP cheffe de file, ADP concernées et
comité – qui est établi dans le RGPD. De ce fait, la proposition n’aura pas d’incidences
économiques, environnementales ou sociales considérables ni n’occasionnera de dépenses
importantes.
FR 10 FR
L’harmonisation de ces aspects de procédure aura une incidence positive pour les ADP, les
auteurs de réclamation, les parties faisant l’objet de l’enquête et la confiance du public dans le
RGPD:
 APD – l’initiative soutiendra la procédure de coopération et clarifiera les modalités
et le calendrier de la coopération dans les situations transfrontalières. Cela permettra
aux APD d’utiliser leurs ressources de manière plus efficiente. En outre, en dotant les
APD d’outils permettant d’améliorer leur coopération dans les situations
transfrontalières, l’initiative facilitera la recherche de consensus entre les APD,
réduira le nombre de désaccords et encouragera un esprit de coopération.
 Auteurs de réclamation et personnes concernées – la rationalisation de la
coopération entre les APD lors de l’application du RGPD contribuera à l’achèvement
des enquêtes en temps utile. Cela permettra de traiter plus efficacement les violations
du RGPD et d’offrir une mesure réparatoire rapide aux personnes concernées. En
outre, les auteurs de réclamation auront la même possibilité de participer à la
procédure dans les situations transfrontalières quels que soient le lieu d’introduction
de la réclamation ou l’APD qui est cheffe de file.
 Parties faisant l’objet d’une enquête – l’amélioration de la coopération dans les
situations transfrontalières contribuera à raccourcir les enquêtes et à garantir la
fourniture des garanties nécessaires, telles que le droit d’être entendu et d’accéder au
dossier, ce qui garantit la protection du droit à une bonne administration (article 41
de la charte) et les droits de la défense (article 48 de la charte) pour les parties faisant
l’objet de l’enquête. L’harmonisation de ces droits rendra également la décision
finale plus solide.
 Confiance du public dans le RGPD – l’initiative renforcera la confiance du public
dans le RGPD en facilitant une résolution plus rapide des enquêtes et en réduisant le
nombre de désaccords entre les APD dans les situations transfrontalières.
• Réglementation affûtée et simplification
Non applicable.
• Droits fondamentaux
En facilitant le traitement rapide de situations transfrontalières, la proposition soutient le droit
des personnes concernées à la protection des données à caractère personnel les concernant,
prévu par l’article 8 de la charte, et le droit à un recours effectif, prévu par l’article 47 de la
charte.
En harmonisant le droit des parties faisant l’objet de l’enquête d’être entendues et d’avoir
accès au dossier, la proposition garantit que le droit des parties à une bonne administration,
prévu par l’article 41 de la charte, et les droits de la défense, prévus par l’article 48 de la
charte, sont respectés.
4. INCIDENCE BUDGÉTAIRE
La proposition n’aura pas d’incidence budgétaire notable.
FR 11 FR
5. AUTRES ÉLÉMENTS
• Plans de mise en œuvre et modalités de suivi, d'évaluation et d'information
La Commission contrôlera l’application du règlement en même temps qu’elle suit déjà
l’application du RGPD.
• Documents explicatifs (pour les directives)
Non applicable.
• Explication détaillée de certaines dispositions de la proposition
Le chapitre I définit l’objet du règlement et énonce les définitions utilisées dans l’ensemble de
l’acte. Les définitions utilisées dans le RGPD s’appliquent dans la proposition. La proposition
ne traite que de l’application du RGPD dans les situations transfrontalières.
Le chapitre II contient des règles détaillées concernant l’introduction et le traitement des
réclamations. Il prescrit l’utilisation d’un formulaire précisant les informations requises pour
les réclamations transfrontalières soumises sur la base de l’article 77 du RGPD et énonce les
facteurs que les APD doivent prendre en compte lors de l’évaluation de la mesure nécessaire à
l’examen d’une réclamation. L’utilisation d’un formulaire commun pour toutes les
réclamations transfrontalières simplifie la procédure de réclamation pour les personnes
concernées et élimine les approches fragmentées de la notion de réclamation. L’article 3
impose aux ADP de fournir à l’auteur d’une réclamation un accusé de réception de la
réclamation. L’article 5 fixe un cadre juridique pour le règlement à l’amiable des réclamations
afin de faciliter le recours au règlement à l’amiable par les APD et de clarifier les
conséquences juridiques d’un règlement à l’amiable tant pour les auteurs de réclamation que
pour les APD. L’article 6 énonce des règles détaillées concernant la traduction des documents
dans le cadre de la coopération transfrontalière.
Le chapitre III traite de la coopération entre les autorités de contrôle dans les situations
transfrontalières.
La section 1 du chapitre III fournit aux APD des outils supplémentaires pour parvenir à un
consensus dans les situations transfrontalières. Elle précise que les «informations utiles» que
les autorités de contrôle doivent s’échanger dans le cadre de la coopération transfrontalière
devraient inclure certains documents et que ces documents devraient être fournis dans les
meilleurs délais. Cette disposition garantit que les APD concernées disposeront de toutes les
informations nécessaires pour faire connaître leur point de vue sur l’enquête menée par l’APD
cheffe de file.
L’article 9 prévoit qu’une fois que l’APD cheffe de file s’est forgé un avis préliminaire sur
l’enquête, elle envoie aux APD concernées un «résumé des points essentiels» recensant ses
principales constatations de fait et son avis sur le cas d’espèce. Le résumé des points
essentiels a pour objectif de permettre aux APD concernées d’influencer de manière utile le
cours de l’enquête à un stade précoce en donnant leur point de vue sur l’appréciation de
l’APD cheffe de file. Cela aidera les APD à résoudre les désaccords concernant, par exemple,
l’appréciation juridique ou, dans les cas fondés sur une réclamation, la portée de l’enquête, à
un stade précoce, réduisant ainsi la probabilité d’un recours au mécanisme de règlement des
litiges plus tard dans la procédure. En cas de désaccord à ce stade au sujet de la portée de
l’enquête dans des cas fondés sur une réclamation ou au sujet de l’appréciation juridique ou
technologique complexe réalisée par l’APD cheffe de file, l’article 10 fait obligation à l’ADP
en désaccord avec l’APD cheffe de file de présenter une demande à cette dernière en vertu de
FR 12 FR
l’article 61 (Assistance mutuelle) ou de l’article 62 (Opérations conjointes) du RGPD. Cette
disposition garantit que les APD feront usage de tous les outils mis à disposition par le RGPD
pour résoudre les différends sur les points essentiels au cours de la procédure de coopération.
Lorsque les APD ne parviennent pas à un consensus sur la portée de l’enquête dans des cas
fondés sur une réclamation, l’article 10 prévoit que l’APD cheffe de file demande une
décision contraignante d’urgence au comité conformément à l’article 66, paragraphe 3, du
RGPD. Dans ce cas, les circonstances permettant de considérer qu’il est urgent d’intervenir
sont réputées réunies. Cette disposition garantit que le désaccord sur la portée de l’enquête
sera résolu de manière rapide et efficiente, donnant à l’APD cheffe de file la clarté nécessaire
pour poursuivre l’enquête.
La section 2 du chapitre III fixe des règles détaillées concernant le rejet total ou partiel des
réclamations. Ces dispositions visent à faire en sorte que l’APD auprès de laquelle la
réclamation a été introduite dispose des informations nécessaires pour lui permettre d’adopter
la décision rejetant la réclamation et qu’une décision rejetant une réclamation soit adoptée
dans tous les cas dans lesquels il n’est pas donné suite à la réclamation ou celle-ci est retirée.
L’auteur de la réclamation a également la possibilité de faire connaître son point de vue avant
le rejet partiel ou total de sa réclamation.
La section 3 du chapitre III harmonise le droit des parties faisant l’objet de l’enquête d’être
entendues. Il prévoit que l’APD cheffe de file communique aux parties faisant l’objet de
l’enquête ses conclusions préliminaires, exposant les objections soulevées, les faits pertinents,
les éléments de preuve à l’appui, l’analyse juridique et, lorsqu’il y a lieu, les mesures
correctives proposées. Les conclusions préliminaires permettront aux parties faisant l’objet de
l’enquête de comprendre pleinement les allégations formulées et d’y répondre, dans le respect
de leurs droits de la défense. L’article 15 prévoit que les auteurs de réclamation auront la
possibilité de présenter par écrit leurs observations sur les conclusions préliminaires.
L’article 17 prévoit que les parties faisant l’objet de l’enquête auront la possibilité de faire
connaître leur point de vue lorsque l’APD cheffe de file a l’intention de présenter un projet de
décision révisé à la lumière des objections pertinentes et motivées soulevées par les APD
concernées.
La section 4 du chapitre III énonce des exigences précises concernant la forme et la structure
des objections pertinentes et motivées soulevées par les APD concernées, ce qui devrait
faciliter la participation effective de toutes les APD et la résolution rapide de l’affaire.
Le chapitre IV énonce des règles détaillées relatives à l’accès au dossier et au traitement des
informations confidentielles. Ces dispositions apportent des éclaircissements sur les
documents qui devraient figurer dans le dossier administratif dans les situations
transfrontalières et sur le moment auquel l’accès au dossier est accordé aux parties faisant
l’objet de l’enquête.
Le chapitre V énonce les règles de procédure applicables à la procédure de règlement des
litiges visée à l’article 65 du RGPD. L’article 22 précise les informations que l’APD cheffe de
file doit fournir au comité lors de la soumission d’une question au mécanisme de règlement
des litiges. Il précise les délais et les modalités pour l’appréciation de la recevabilité des
objections pertinentes et motivées par le comité. L’article 24 prévoit que les parties faisant
l’objet de l’enquête ou, en cas de rejet d’une réclamation, l’auteur de celle-ci, seront entendus
avant l’adoption de la décision contraignante du comité en vertu de l’article 65, paragraphe 1,
point a), du RGPD. En clarifiant les rôles de tous les acteurs et en fixant des délais pour
FR 13 FR
certaines étapes de la procédure, ces dispositions faciliteront la conclusion rapide et efficiente
de la procédure de règlement des litiges.
Les articles 25 et 26 fixent les modalités détaillées relatives à la soumission de questions au
mécanisme de règlement des litiges conformément à l’article 65, paragraphe 1, points b) et c),
du RGPD.
Le chapitre VI énonce les règles de procédure détaillées relatives à la procédure d’urgence
visée à l’article 66 du RGPD.
Le chapitre VII contient les dispositions finales, qui concernent les délais, les dispositions
transitoires et l’entrée en vigueur du règlement.
FR 14 FR
2023/0202 (COD)
Proposition de
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
établissant des règles de procédure supplémentaires relatives à l’application du
règlement (UE) 2016/679
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen14
,
vu l’avis du Comité des régions15
,
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1) Le règlement (UE) 2016/679 du Parlement européen et du Conseil16
établit un système
de mise en œuvre décentralisée qui vise à garantir son interprétation et son application
cohérentes dans les situations transfrontalières. Dans les situations concernant un
traitement transfrontalier de données à caractère personnel, ce système exige des
autorités de contrôle qu’elles coopèrent en s’efforçant de parvenir à un consensus et,
lorsqu’elles ne parviennent pas à dégager un consensus, il prévoit le règlement du
litige par le comité européen de la protection des données (ci-après le «comité»).
(2) Afin de permettre un fonctionnement harmonieux et efficace des mécanismes de
coopération et de règlement des litiges prévus aux articles 60 et 65 du règlement (UE)
2016/679, il y a lieu d’établir des règles concernant la conduite de la procédure par les
autorités de contrôle dans les situations transfrontalières, et par le comité lors du
règlement des litiges, incluant le traitement des réclamations transfrontalières. Il y a
également lieu, pour cette raison, d’établir des règles concernant l’exercice, par les
parties faisant l’objet de l'enquête, du droit d’être entendues avant l’adoption de
décisions par les autorités de contrôle et, s’il y a lieu, par le comité.
(3) Les réclamations sont une source d’information essentielle pour déceler les violations
des règles de protection des données. Il est nécessaire de définir des procédures claires
14
JO C , , p. .
15
JO C , , p. .
16
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des
données) (JO L 119 du 4.5.2016, p. 1).
FR 15 FR
et efficientes pour le traitement des réclamations dans les situations transfrontalières,
car une réclamation peut être traitée par une autorité de contrôle différente de celle
auprès de laquelle elle a été introduite.
(4) Pour être recevable, une réclamation devrait contenir certaines informations précises.
En conséquence, pour aider l'auteur de la réclamation à exposer les faits pertinents aux
autorités de contrôle, un formulaire de réclamation devrait être fourni. Les
informations prévues par ce formulaire ne devraient être requises qu’en cas de
traitement transfrontalier au sens du règlement (UE) 2016/679, même si le formulaire
peut être utilisé par les autorités de contrôle dans des situations qui ne concernent pas
un traitement transfrontalier. Le formulaire peut être présenté par voie électronique ou
postale. Une réclamation concernant un traitement transfrontalier ne pourra être
qualifiée de réclamation au sens de l’article 77 du règlement (UE) 2016/679 qu’à la
condition que soient fournies les informations prévues par ledit formulaire. Aucune
autre information ne devrait être exigée pour qu’une réclamation soit jugée recevable.
Il devrait être possible pour les autorités de contrôle de faciliter l’introduction de
réclamations dans un format électronique convivial et en tenant compte des besoins
des personnes handicapées, tant que les informations requises de la part de l’auteur de
la réclamation correspondent à celles demandées sur le formulaire et qu’aucune
information supplémentaire n’est requise pour que la réclamation soit jugée recevable.
(5) Les autorités de contrôle sont tenues de statuer sur les réclamations dans un délai
raisonnable. Le caractère raisonnable du délai s’apprécie en fonction des circonstances
propres à chaque situation et, en particulier, du contexte de celle-ci, des différentes
étapes procédurales que l’autorité de contrôle chef de file doit suivre, du
comportement des parties au cours de la procédure et de la complexité de la situation.
(6) Chaque réclamation traitée par une autorité de contrôle conformément à l’article 57,
paragraphe 1, point f), du règlement (UE) 2016/679 doit être examinée avec toute la
diligence requise, dans la mesure nécessaire et en tenant compte du fait que tout usage
de ses pouvoirs par l’autorité de contrôle doit être approprié, nécessaire et
proportionné en vue de garantir le respect du règlement (UE) 2016/679. Il revient à
chaque autorité compétente de décider de la mesure dans laquelle une réclamation
devrait être examinée. Tout en évaluant la mesure nécessaire à une enquête, les
autorités de contrôle devraient viser à parvenir à une solution satisfaisante pour
l’auteur de la réclamation, ce qui peut ne pas nécessairement exiger un examen
exhaustif de tous les éléments juridiques et factuels possibles découlant de la
réclamation mais offre à l’auteur de la réclamation une mesure réparatoire effective et
rapide. L’appréciation de la mesure appropriée pour les mesures d’enquêtes requises
pourrait être fondée sur la gravité de la violation alléguée, la nature systémique ou
répétée de celle-ci, ou, s’il y a lieu, le fait que l’auteur de la réclamation a aussi exercé
ses droits au titre de l’article 79 du règlement (UE) 2016/679.
(7) L’autorité de contrôle chef de file devrait communiquer à l’autorité de contrôle auprès
de laquelle la réclamation a été introduite les informations sur l’état d’avancement de
l’enquête nécessaires pour tenir l’auteur de la réclamation informé.
(8) L’autorité de contrôle compétente devrait donner à l’auteur de la réclamation accès
aux documents sur la base desquels l’autorité de contrôle a conclu à titre préliminaire
au rejet, total ou partiel, de la réclamation.
(9) Pour que les autorités de contrôle puissent rapidement mettre fin aux violations du
règlement (UE) 2016/679 et apporter une réponse aux auteurs de réclamation, elles
devraient s’efforcer, lorsqu’il y a lieu, de trouver une issue amiable aux réclamations.
FR 16 FR
Le fait qu’une réclamation individuelle ait fait l’objet d’un règlement à l’amiable
n’empêche pas l’autorité de contrôle compétente d’ouvrir une enquête d’office, par
exemple en cas de violations systémiques ou répétées du règlement (UE) 2016/679.
(10) Pour garantir le bon fonctionnement des mécanismes de coopération et de contrôle de
la cohérence établis au chapitre VII du règlement (UE) 2016/679, il importe que les
situations transfrontalières soient traitées en temps opportun et dans l’esprit de
coopération loyale et efficace qui sous-tend l’article 60 dudit règlement. L’autorité de
contrôle chef de file devrait exercer ses compétences dans le cadre d’une coopération
étroite avec les autres autorités de contrôle concernées. De même, les autorités de
contrôle concernées devraient participer activement à l’enquête à un stade précoce en
s’efforçant de parvenir à un consensus, en faisant pleinement usage des outils mis à
disposition par le règlement (UE) 2016/679.
(11) Il est particulièrement important pour les autorités de contrôle de parvenir à un
consensus sur les principaux aspects de l’enquête aussi rapidement que possible et
avant la communication des allégations aux parties faisant l’objet de l’enquête et
l’adoption du projet de décision visé à l’article 60 du règlement (UE) 2016/679, ce qui
réduit le nombre de cas soumis au mécanisme de règlement des litiges visé à
l’article 65 dudit règlement et, en fin de compte, permet le traitement rapide des
situations transfrontalières.
(12) La coopération entre les autorités de contrôle devrait être basée sur un dialogue ouvert
permettant aux autorités de contrôle concernées d’influencer de manière utile le cours
de l’enquête en partageant leurs expériences et leurs avis avec l’autorité de contrôle
chef de file, en tenant dûment compte de la marge de manœuvre laissée à chaque
autorité de contrôle, notamment pour évaluer dans quelle mesure une réclamation
devrait faire l’objet d’une enquête, ainsi que des diverses traditions qui existent dans
les États membres. Pour ce faire, l’autorité de contrôle chef de file devrait fournir aux
autorités de contrôle concernées un résumé des points essentiels dans lequel elle
expose son avis préliminaire sur les principales questions soulevées dans l’enquête. Ce
résumé devrait être fourni à un stade à la fois suffisamment précoce pour permettre la
participation effective des autorités de contrôle concernées et suffisamment avancé
pour que l’autorité de contrôle chef de file ait eu le temps de mûrir son avis sur le
dossier. Les autorités de contrôle concernées devraient avoir la possibilité de formuler
leurs observations sur un large éventail de questions, telles que la portée de l’enquête
et l’identification d’appréciations factuelles et juridiques complexes. La portée de
l’enquête déterminant les questions qui doivent être examinées par l’autorité de
contrôle chef de file, les autorités de contrôle devraient s’efforcer de parvenir le plus
tôt possible à un consensus sur celle-ci.
(13) Dans l’intérêt d’une coordination efficace et inclusive entre toutes les autorités de
contrôle concernées et l’autorité de contrôle chef de file, les observations des autorités
de contrôle concernées devraient être concises et formulées dans des termes
suffisamment clairs et précis pour être facilement compréhensibles par toutes les
autorités de contrôle. Les arguments juridiques devraient être structurés en fonction de
la partie du résumé des points essentiels qu’ils concernent. Les observations des
autorités de contrôle concernées peuvent être complétées par des documents
supplémentaires. Toutefois, un simple renvoi, dans les observations d’une autorité de
contrôle concernée, à des documents supplémentaires ne saurait pallier l’absence des
arguments essentiels en droit ou en fait qui devraient figurer dans les observations. Les
éléments essentiels de fait et de droit sur lesquels ces documents se fondent devraient
FR 17 FR
ressortir, à tout le moins sommairement, mais d’une façon cohérente et
compréhensible, du texte de l’observation elle-même.
(14) Les cas ne soulevant pas de problème litigieux ne nécessitent pas de discussions
approfondies entre les autorités de contrôle pour parvenir à un consensus et pourraient,
de ce fait, être traités plus rapidement. Lorsqu’aucune des autorités de contrôle
concernées ne formule d’observations sur le résumé des points essentiels, l’autorité de
contrôle chef de file devrait communiquer les conclusions préliminaires visées à
l’article 14 dans un délai maximal de neuf mois.
(15) Les autorités de contrôle devraient utiliser tous les moyens nécessaires pour parvenir à
un consensus dans un esprit de coopération loyale et effective. En conséquence, en cas
de divergence d’opinions entre les autorités de contrôle concernées et l’autorité de
contrôle chef de file concernant la portée d’une enquête menée sur la base d’une
réclamation, notamment les dispositions du règlement (UE) 2016/679 dont la violation
fera l’objet d’une enquête ou si les observations des autorités de contrôle concernées
ont trait à une modification importante dans l’appréciation juridique ou technologique
complexe, l’autorité concernée devrait utiliser tous les outils prévus aux articles 61 et
62 du règlement (UE) 2016/679.
(16) Si l’utilisation de ces outils ne permet pas aux autorités de contrôle de parvenir à un
consensus sur la portée d’une enquête menée sur la base d'une réclamation, l’autorité
de contrôle chef de file devrait demander au comité une décision contraignante
d’urgence au titre de l’article 66, paragraphe 3, du règlement (UE) 2016/679. Pour ce
faire, les circonstances permettant de considérer qu’il est urgent d’intervenir devraient
être réputées réunies. L’autorité de contrôle chef de file devrait tirer des conclusions
appropriées de la décision contraignante d’urgence du comité aux fins de
l’établissement des conclusions préliminaires. La décision contraignante d’urgence
adoptée par le comité ne saurait préjuger du résultat de l’enquête de l’autorité de
contrôle chef de file ni de l’effectivité des droits des parties faisant l’objet de l’enquête
d’être entendues. Plus précisément, le comité ne devrait pas étendre la portée de
l’enquête de sa propre initiative.
(17) Afin de permettre à l’auteur de la réclamation d’exercer son droit à un recours
juridictionnel effectif au titre de l’article 78 du règlement (UE) 2016/679, l’autorité de
contrôle qui rejette une réclamation, en tout ou en partie, devrait le faire au moyen
d’une décision susceptible d’être contestée devant une juridiction nationale.
(18) L'auteur de la réclamation devrait avoir la possibilité de faire connaître son point de
vue avant que ne soit prise une décision qui ne lui est pas favorable. En conséquence,
en cas de rejet total ou partiel d’une réclamation dans une situation transfrontalière,
l’auteur de la réclamation devrait avoir la possibilité de faire connaître son point de
vue avant la présentation d’un projet de décision au titre de l’article 60, paragraphe 3,
du règlement (UE) 2016/679, d’un projet de décision révisé au titre de l’article 60,
paragraphe 4, du règlement (UE) 2016/679 ou d’une décision contraignante du comité
au titre de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679. L’auteur
de la réclamation peut demander l’accès à la version non confidentielle des documents
sur lesquels se fonde la décision de rejet total ou partiel de la réclamation.
(19) Il est nécessaire de clarifier la répartition des responsabilités entre l’autorité de
contrôle chef de file et l’autorité de contrôle auprès de laquelle la réclamation a été
introduite en cas de rejet d’une réclamation dans une situation transfrontalière. En tant
que point de contact de l’auteur de la réclamation au cours de l’enquête, l’autorité de
contrôle auprès de laquelle la réclamation a été introduite devrait recueillir l’avis de
FR 18 FR
l’auteur de la réclamation sur le rejet proposé de celle-ci et être chargée de toutes les
communications avec ce dernier. Toutes ces communications devraient être partagées
avec l’autorité de contrôle chef de file. Étant donné que, en vertu de l’article 60,
paragraphe 8 et 9, du règlement (UE) 2016/679, l’autorité de contrôle auprès de
laquelle la réclamation a été introduite est chargée d’adopter la décision finale rejetant
la réclamation, cette autorité de contrôle devrait également être chargée d’élaborer le
projet de décision en vertu de l’article 60, paragraphe 3, du règlement (UE) 2016/679.
(20) L'application effective des règles de protection des données de l’Union devrait être
compatible avec le respect intégral des droits de la défense, principe essentiel du droit
de l’Union, à respecter en toutes circonstances, en particulier dans les procédures qui
risquent de donner lieu à des sanctions.
(21) Afin de garantir effectivement le droit à une bonne administration et les droits de la
défense consacrés par la charte des droits fondamentaux de l’Union européenne (ci-
après la «charte»), y compris le droit de chacun à être entendu avant que soit prise
toute mesure individuelle susceptible de lui porter atteinte, il importe de prévoir des
règles claires concernant l’exercice de ce droit.
(22) Les règles relatives à la procédure administrative appliquées par les autorités de
contrôle pour assurer l’exécution du règlement (UE) 2016/679 devraient garantir que
les parties faisant l’objet de l’enquête ont effectivement la possibilité de faire connaître
leur point de vue sur la réalité et la pertinence des faits, objections et circonstances
invoqués par l’autorité de contrôle tout au long de la procédure, leur permettant ainsi
d’exercer leurs droits de la défense. Les conclusions préliminaires exposent la position
préliminaire sur la violation alléguée du règlement (UE) 2016/679 à la suite de
l’enquête. Elles constituent de ce fait une garantie procédurale fondamentale qui
permet le respect du droit d'être entendu. Les parties faisant l’objet de l’enquête
devraient recevoir les documents nécessaires pour se défendre efficacement et faire
part de leurs observations sur les allégations formulées à leur encontre, en ayant accès
au dossier administratif.
(23) Les conclusions préliminaires définissent la portée de l’enquête et donc la portée de
toute décision finale future [le cas échéant, prise sur la base d’une décision
contraignante rendue par le comité en vertu de l’article 65, paragraphe 1, point a), du
règlement (UE) 2016/679] qui peut être adressée aux responsables du traitement ou
aux sous-traitants. Elles devraient être rédigées en des termes qui, même succincts,
sont suffisamment clairs pour permettre aux parties faisant l’objet de l’enquête
d’identifier correctement la nature de la violation alléguée du règlement (UE)
2016/679. L’obligation de fournir aux parties faisant l’objet de l’enquête tous les
éléments d’information nécessaires pour leur permettre de se défendre correctement
est satisfaite si la décision finale ne fait pas grief aux parties faisant l’objet de
l’enquête d’avoir commis des infractions autres que celles mentionnées dans les
conclusions préliminaires et ne prend en considération que les faits sur lesquels les
parties faisant l’objet de l’enquête ont eu l’occasion de faire connaître leur point de
vue. La décision finale de l’autorité de contrôle chef de file ne doit toutefois pas
nécessairement être une copie des constatations préliminaires. L’autorité de contrôle
chef de file devrait être autorisée, dans la décision finale, à tenir compte des réponses
des parties faisant l’objet de l’enquête aux conclusions préliminaires et, le cas échéant,
au projet de décision révisé relevant de l’article 60, paragraphe 5, du règlement (UE)
2016/679 et à la décision de règlement du litige entre les autorités de contrôle adoptée
en vertu de l’article 65, paragraphe 1, point a). L’autorité de contrôle chef de file
devrait pouvoir procéder à sa propre appréciation des faits et des qualifications
FR 19 FR
juridiques avancés par les parties faisant l’objet de l’enquête, soit pour abandonner les
objections formulées lorsque l’autorité de contrôle les juge infondés, soit pour
compléter et reformuler ses arguments, tant en fait qu’en droit, à l’appui des objections
qu’elle maintient. Par exemple, la prise en compte d’un argument avancé par une
partie faisant l’objet d’une enquête au cours de la procédure administrative, sans
qu’elle ait eu la possibilité de s’exprimer à cet égard avant l’adoption de la décision
finale, ne saurait constituer en soi une violation des droits de la défense.
(24) Les parties faisant l’objet de l’enquête devraient avoir le droit d’être entendues avant
la présentation d’un projet de décision révisé en vertu de l’article 60, paragraphe 5, du
règlement (UE) 2016/679 ou l’adoption d’une décision contraignante par le comité en
vertu de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679.
(25) L'auteur de la réclamation devrait avoir la possibilité d’être associé à la procédure
engagée par une autorité de contrôle en vue de définir ou de clarifier les questions
relatives à une violation potentielle du règlement (UE) 2016/679. Le fait qu’une
autorité de contrôle ait déjà ouvert une enquête concernant l’objet de la réclamation ou
qu’elle traitera celle-ci dans le cadre d’une enquête menée d’office postérieure à la
réception de la réclamation ne fait pas obstacle à la qualification d’une personne
concernée en tant qu’auteur de la réclamation. Toutefois, une enquête menée par une
autorité de contrôle sur une éventuelle violation du règlement (UE) 2016/679 par un
responsable du traitement ou un sous-traitant ne constitue pas une procédure
contradictoire entre l’auteur de la réclamation et les parties faisant l’objet de l’enquête.
Il s’agit d’une procédure engagée par une autorité de contrôle, de sa propre initiative
ou sur la base d’une réclamation, dans l’accomplissement des tâches qui lui incombent
en vertu de l’article 57, paragraphe 1, du règlement (UE) 2016/679. Les parties faisant
l’objet de l’enquête et l’auteur de la réclamation ne se trouvent donc pas dans la même
situation procédurale et ce dernier ne peut invoquer le droit à un procès équitable
lorsque la décision ne porte pas atteinte à sa situation juridique. La participation de
l’auteur de la réclamation à la procédure à l’encontre des parties faisant l’objet de
l’enquête ne saurait compromettre le droit de ces parties d’être entendues.
(26) L'auteur de la réclamation devrait avoir la possibilité de présenter par écrit son point
de vue sur les conclusions préliminaires. Cependant, il ne devrait pas avoir accès aux
secrets d'affaires ou autres informations confidentielles appartenant à d'autres parties
associées à la procédure. L'auteur de la réclamation ne devrait pas avoir le droit
d’avoir un accès généralisé au dossier administratif.
(27) Lorsqu’elles fixent des délais dans lesquels les parties faisant l’objet de l’enquête et
l'auteur de la réclamation peuvent faire connaître leur point de vue sur les conclusions
préliminaires, les autorités de contrôle devraient tenir compte de la complexité des
questions soulevées dans les conclusions préliminaires, afin de veiller à ce que les
parties faisant l’objet de l’enquête et l'auteur de la réclamation aient suffisamment
l’occasion de faire connaître utilement leur point de vue sur les questions soulevées.
(28) L’échange de vues préalable à l’adoption d’un projet de décision implique un dialogue
ouvert et un échange de vues approfondi au cours desquels les autorités de contrôle
devraient tout mettre en œuvre pour trouver un consensus sur la voie à suivre dans le
cadre d’une enquête. À l’inverse, le désaccord exprimé dans des objections pertinentes
et motivées au titre de l’article 60, paragraphe 4, du règlement (UE) 2016/679, qui
augmentent la possibilité de recourir à un règlement de litige entre autorités de
contrôle au titre de l’article 65 du règlement (UE) 2016/679 et retardent l’adoption
d’une décision finale par l’autorité de contrôle compétente, devrait avoir lieu dans le
FR 20 FR
cas exceptionnel où les autorités de contrôle ne parviennent pas à un consensus et, si
nécessaire, pour garantir une interprétation cohérente du règlement (UE) 2016/679.
Ces objections devraient être utilisées avec parcimonie, lorsque des questions relatives
à une application cohérente du règlement (UE) 2016/679 sont en jeu, étant donné que
tout recours aux objections pertinentes et motivées retarde l’adoption d’une mesure
réparatoire pour la personne concernée. La portée de l’enquête et les faits pertinents
devant être déterminés avant la communication des conclusions préliminaires, ces
points ne devraient pas être soulevés par les autorités de contrôle concernées dans des
objections pertinentes et motivées. Ils pourraient toutefois être soulevés par les
autorités de contrôle concernées dans les observations qu’elles peuvent formuler sur le
résumé des points essentiels en vertu de l’article 9, paragraphe 3, avant la
communication des conclusions préliminaires aux parties faisant l’objet de l’enquête.
(29) Dans l’intérêt d’un achèvement efficace et inclusif de la procédure de règlement des
litiges, dans le cadre de laquelle toutes les autorités de contrôle devraient être en
mesure de faire connaître leur point de vue, et compte tenu des contraintes de temps
liées au règlement des litiges, la forme et la structure des objections pertinentes et
motivées devraient satisfaire à certaines exigences. Par conséquent, les objections
pertinentes et motivées devraient être d’une longueur limitée, devraient clairement
identifier le désaccord avec le projet de décision et devraient être formulées dans des
termes suffisamment clairs, cohérents et précis.
(30) L’accès au dossier administratif est prévu dans le cadre des droits de la défense et du
droit à une bonne administration consacrés par la charte. Il conviendrait d’accorder
l’accès au dossier administratif aux parties faisant l’objet de l’enquête lorsqu’elles sont
informées des conclusions préliminaires et de fixer le délai dans lequel elles peuvent
soumettre leur réponse écrite aux conclusions préliminaires.
(31) Lorsqu’elles accordent l’accès au dossier administratif, les autorités de contrôle
devraient garantir la protection des secrets d’affaires et d’autres informations
confidentielles. La catégorie des «autres informations confidentielles» comprend les
informations autres que les secrets d'affaires, qui peuvent être considérées comme
confidentielles dans la mesure où leur divulgation porterait gravement préjudice à un
responsable du traitement, à un sous-traitant ou à une personne physique. Les autorités
de contrôle devraient pouvoir demander aux parties faisant l’objet de l’enquête qui
présentent ou ont présenté des documents ou des déclarations d’identifier les
informations confidentielles qui y figurent.
(32) Lorsque la divulgation de secrets d'affaires ou d'autres informations confidentielles est
nécessaire pour prouver une violation, les autorités de contrôle doivent apprécier, pour
chaque document, si la nécessité de le divulguer l'emporte sur le préjudice pouvant
résulter d’une telle divulgation.
(33) Lorsqu’elle transmet une question au mécanisme de règlement des litiges en vertu de
l’article 65 du règlement (UE) 2016/679, l’autorité de contrôle chef de file devrait
fournir au comité toutes les informations nécessaires pour lui permettre d’apprécier la
recevabilité des objections pertinentes et motivées et de prendre la décision prévue à
l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679. Une fois que le
comité a reçu tous les documents nécessaires énumérés à l’article 23, son président
devrait enregistrer la transmission de la question au sens de l’article 65, paragraphe 2,
du règlement (UE) 2016/679.
(34) La décision contraignante du comité au titre de l’article 65, paragraphe 1, point a), du
règlement (UE) 2016/679 devrait porter exclusivement sur les questions qui ont
FR 21 FR
conduit au déclenchement de la procédure de règlement des litiges et être rédigée de
manière à permettre à l’autorité de contrôle chef de file d’adopter sa décision finale sur
la base de la décision du comité tout en conservant son pouvoir discrétionnaire.
(35) Afin de rationaliser le règlement des litiges entre autorités de contrôle soumis au
comité en vertu de l’article 65, paragraphe 1, points b) et c), du règlement (UE)
2016/679, il est nécessaire de préciser les règles de procédure concernant les
documents à présenter au comité et sur lesquels celui-ci devrait fonder sa décision. Il
est également nécessaire de préciser à quel moment le comité devrait enregistrer la
soumission de la question au mécanisme de règlement des litiges.
(36) Afin de rationaliser la procédure d’adoption des avis d’urgence et des décisions
contraignantes d’urgence du comité au titre de l’article 66, paragraphe 2, du règlement
(UE) 2016/679, il est nécessaire de préciser les règles de procédure concernant le délai
de présentation de la demande d’avis d’urgence ou de décision contraignante
d’urgence, les documents à soumettre au comité et sur lesquels ce dernier devrait
fonder sa décision, les destinataires auxquels l’avis ou la décision du comité devrait
être adressé, et les conséquences de l’avis ou de la décision du comité.
(37) Les chapitres III et IV concernent la coopération entre les autorités de contrôle, les
droits procéduraux des parties faisant l’objet de l’enquête et la participation de l'auteur
de la réclamation. Dans un souci de sécurité juridique, ces dispositions ne devraient
pas s’appliquer aux enquêtes déjà en cours au moment de l’entrée en vigueur du
présent règlement. Elles devraient s’appliquer aux enquêtes menées d’office ouvertes
après l’entrée en vigueur du présent règlement et aux enquêtes menées sur la base
d’une réclamation lorsque cette dernière a été introduite après l’entrée en vigueur du
présent règlement. Le chapitre V établit des règles de procédure pour les cas soumis au
mécanisme de règlement des litiges en vertu de l’article 65 du règlement (UE)
2016/679. Toujours pour des raisons de sécurité juridique, ce chapitre ne devrait pas
s’appliquer aux cas soumis au mécanisme de règlement des litiges avant l’entrée en
vigueur du présent règlement. Il devrait s’appliquer à tous les cas soumis au
mécanisme de règlement des litiges après l’entrée en vigueur du présent règlement.
(38) Le Contrôleur européen de la protection des données et le comité européen de la
protection des données ont été consultés conformément à l’article 42, paragraphe 2, du
règlement (UE) 2018/1725 et ont rendu un avis conjoint le [...],
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
Chapitre I
Dispositions générales
Article premier
Objet
Le présent règlement établit des règles de procédure pour le traitement des réclamations et la
conduite des enquêtes, tant sur les cas fondés sur des réclamations que sur les cas examinés
d’office, menées par les autorités de contrôle dans le cadre de l’application transfrontalière du
règlement (UE) 2016/679.
FR 22 FR
Article 2
Définitions
Aux fins du présent règlement, les définitions de l’article 4 du règlement (UE) 2016/679
s’appliquent.
En outre, on entend par:
(1) «parties faisant l’objet de l’enquête»: le ou les responsables du traitement et/ou le ou
les sous-traitants faisant l’objet d’une enquête pour violation alléguée du règlement
(UE) 2016/679 dans le contexte d’un traitement transfrontalier;
(2) «résumé des points essentiels»: le résumé que l’autorité de contrôle chef de file doit
fournir aux autorités de contrôle concernées, exposant les principaux faits pertinents
et l’avis de l’autorité de contrôle chef de file sur le cas;
(3) «conclusions préliminaires»: le document fourni par l’autorité de contrôle chef de
file aux parties faisant l’objet de l’enquête, exposant les allégations, les faits
pertinents, les preuves à l’appui, l’analyse juridique et, s'il y a lieu, les mesures
correctrices proposées;
(4) «objections jugées pertinentes et motivées»: les objections que le comité a jugées
pertinentes et motivées au sens de l’article 4, point 24), du règlement (UE) 2016/679.
Chapitre II
Introduction et traitement des réclamations
Article 3
Réclamations transfrontalières
1. Une réclamation fondée sur le règlement (UE) 2016/679 et relative à un traitement
transfrontalier fournit les informations requises par le formulaire figurant en annexe.
Aucune autre information ne doit être exigée pour qu’une réclamation soit recevable.
2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite détermine si
la réclamation concerne un traitement transfrontalier.
3. L’autorité de contrôle auprès de laquelle la réclamation a été introduite détermine
dans un délai d’un mois si les informations requises par le formulaire sont complètes.
4. Après avoir évalué si les informations requises par le formulaire sont complètes,
l’autorité de contrôle auprès de laquelle la réclamation a été introduite transmet la
réclamation à l’autorité de contrôle chef de file.
5. Lorsque l’auteur de la réclamation demande la confidentialité lors de l’introduction
de sa réclamation, il présente également une version non confidentielle de celle-ci.
6. L’autorité de contrôle auprès de laquelle la réclamation a été introduite accuse
réception de celle-ci dans un délai d’une semaine. Cet accusé de réception est sans
préjudice de l’évaluation de la recevabilité de la réclamation conformément au
paragraphe 3.
FR 23 FR
Article 4
Enquêtes portant sur les réclamations
Chaque fois qu’elle évalue la mesure nécessaire dans laquelle une réclamation devrait faire
l’objet d’une enquête, l’autorité de contrôle tient compte de toutes les circonstances
pertinentes, y compris de l’ensemble des éléments suivants:
(a) l’opportunité d’offrir une mesure réparatoire effective et en temps utile à l’auteur de
la réclamation;
(b) la gravité de la violation alléguée;
(c) la nature systémique ou répétitive de la violation alléguée.
Article 5
Règlement à l’amiable
Une réclamation peut faire l’objet d’un règlement à l’amiable entre l’auteur de la réclamation
et les parties faisant l’objet de l’enquête. Lorsque l’autorité de contrôle considère qu’un
règlement à l’amiable de la réclamation a été trouvé, elle communique le projet de règlement
à l’auteur de la réclamation. Si l’auteur de la réclamation ne s’oppose pas au règlement à
l’amiable proposé par l’autorité de contrôle dans un délai d’un mois, la réclamation est
réputée retirée.
Article 6
Traduction
1. L’autorité de contrôle auprès de laquelle la réclamation a été introduite est chargée
de:
(a) la traduction de la réclamation et du point de vue de l’auteur de la réclamation
dans la langue employée par l’autorité de contrôle chef de file aux fins de
l’enquête;
(b) la traduction des documents fournis par l’autorité de contrôle chef de file dans
la langue employée pour la communication avec l’auteur de la réclamation,
lorsqu’il est nécessaire de lui fournir ces documents conformément au présent
règlement ou au règlement (UE) 2016/679.
2. Dans son règlement intérieur, le comité détermine la procédure à suivre pour la
traduction des observations ou des objections pertinentes et motivées formulées par
les autorités de contrôle concernées dans une langue autre que celle employée par
l’autorité de contrôle chef de file aux fins de l’enquête.
FR 24 FR
Chapitre III
Coopération au titre de l’article 60 du règlement (UE) 2016/679
SECTION 1
FORMATION D’UN CONSENSUS AU SENS DE L’ARTICLE 60, PARAGRAPHE 1, DU
REGLEMENT (UE) 2016/679
Article 7
Coopération entre les autorités de contrôle
Tout en coopérant en s’efforçant de parvenir à un consensus, comme le prévoit l’article 60,
paragraphe 1, du règlement (UE) 2016/679, les autorités de contrôle utilisent tous les moyens
prévus par le règlement (UE) 2016/679, y compris l’assistance mutuelle de l’article 61 et les
opérations conjointes de l’article 62 du règlement (UE) 2016/679.
Les dispositions de la présente section concernent les relations entre les autorités de contrôle
et n’ont pas pour objet de conférer des droits aux personnes ou aux parties faisant l’objet de
l’enquête.
Article 8
Informations utiles au sens de l’article 60, paragraphes 1 et 3, du règlement (UE) 2016/679
1. L’autorité de contrôle chef de file informe régulièrement les autres autorités de
contrôle concernées sur l’enquête et fournit aux autres autorités de contrôle
concernées, dans les meilleurs délais, toutes les informations utiles dès qu’elles sont
disponibles.
2. Les informations utiles au sens de l’article 60, paragraphes 1 et 3, du règlement (UE)
2016/679 comprennent, s'il y a lieu:
(a) des informations sur l’ouverture d’une enquête relative à une violation alléguée
du règlement (UE) 2016/679;
(b) des demandes d’informations au titre de l’article 58, paragraphe 1, point e), du
règlement (UE) 2016/679;
(c) des informations sur l’utilisation des autres pouvoirs d’enquête visés à
l’article 58, paragraphe 1, du règlement (UE) 2016/679;
(d) dans le cas où il est envisagé de rejeter la réclamation, les motifs de rejet
retenus par l’autorité de contrôle chef de file;
(e) le résumé des points essentiels d’une enquête prévu à l’article 9;
(f) des informations sur les mesures visant à établir une violation du règlement
(UE) 2016/679 avant l’élaboration des conclusions préliminaires;
(g) les conclusions préliminaires;
FR 25 FR
(h) la réponse des parties faisant l’objet de l’enquête aux conclusions
préliminaires;
(i) l’avis de l’auteur de la réclamation sur les conclusions préliminaires;
(j) en cas de rejet d’une réclamation, les observations écrites de l’auteur de cette
réclamation;
(k) toute mesure utile prise par l’autorité de contrôle chef de file après la réception
de la réponse des parties faisant l’objet de l’enquête aux conclusions
préliminaires et avant la présentation d’un projet de décision au sens de
l’article 60, paragraphe 3, du règlement (UE) 2016/679.
Article 9
Résumé des points essentiels
1. Une fois que l’autorité de contrôle chef de file s’est forgé un avis préliminaire sur les
principales questions soulevées dans le cadre d’une enquête, elle rédige un résumé
des points essentiels aux fins de la coopération prévue à l’article 60, paragraphe 1, du
règlement (UE) 2016/679.
2. Le résumé des points essentiels comprend tous les éléments suivants:
(a) les principaux faits pertinents;
(b) une définition préliminaire de la portée de l’enquête, en particulier des
dispositions du règlement (UE) 2016/679 concernées par la violation alléguée
qui fera l’objet de l’enquête;
(c) le recensement des appréciations juridiques et technologiques complexes
pertinentes pour l’orientation préliminaire de l’évaluation de ces points;
(d) la définition préliminaire d’éventuelles mesures correctrices.
3. Les autorités de contrôle concernées peuvent formuler des observations sur le résumé
des points essentiels. Ces observations doivent être transmises dans un délai de
quatre semaines à compter de la réception dudit résumé.
4. Les observations formulées en application du paragraphe 3 répondent aux conditions
suivantes:
(a) le langage utilisé est suffisamment clair et contient des termes précis pour
permettre à l’autorité de contrôle chef de file et, selon le cas, aux autorités de
contrôle concernées d'élaborer leurs positions;
(b) les arguments juridiques sont exposés de manière succincte et structurés en
fonction de la partie du résumé des points essentiels auxquels ils se rapportent;
(c) les observations de l’autorité de contrôle concernée peuvent être étayées par
des documents qui peuvent compléter les observations sur des points précis.
5. Le comité peut spécifier, dans son règlement intérieur, des restrictions concernant la
longueur maximale des observations présentées par les autorités de contrôle
concernées sur le résumé des points essentiels.
6. Lorsqu'aucune des autorités de contrôle concernées n’a formulé d’observations au
titre du paragraphe 3 du présent article, la situation est considérée comme non
contentieuse. En pareil cas, les conclusions préliminaires visées à l’article 14 sont
FR 26 FR
communiquées aux parties faisant l’objet de l’enquête dans un délai de 9 mois à
compter de l’expiration du délai prévu au paragraphe 3 du présent article.
Article 10
Utilisation de moyens pour parvenir à un consensus
1. Une autorité de contrôle concernée soumet une demande à l’autorité de contrôle chef
de file en vertu de l’article 61 du règlement (UE) 2016/679, de l’article 62 du
règlement (UE) 2016/679, ou des deux, lorsque, à la suite des observations formulées
par les autorités de contrôle concernées en vertu de l’article 9, paragraphe 3, elle est
en désaccord avec l’évaluation de l’autorité de contrôle chef de file concernant:
(a) la portée de l’enquête dans les cas fondés sur une réclamation, en particulier les
dispositions du règlement (UE) 2016/679 concernées par la violation alléguée
qui fera l’objet de l’enquête;
(b) l’orientation préliminaire en lien avec les appréciations juridiques complexes
recensées par l’autorité de contrôle chef de file conformément à l’article 9,
paragraphe 2, point c);
(c) l’orientation préliminaire en lien avec les appréciations technologiques
complexes recensées par l’autorité de contrôle chef de file conformément à
l’article 9, paragraphe 2, point c).
2. La demande visée au paragraphe 1 est présentée dans un délai de deux mois à
compter de l’expiration du délai visé à l’article 9, paragraphe 3.
3. L’autorité de contrôle chef de file engage un dialogue avec les autorités de contrôle
concernées sur la base de leurs observations relatives au résumé des points essentiels
et, s'il y a lieu, en réponse aux demandes formulées au titre des articles 61 et 62 du
règlement (UE) 2016/679, en s'efforçant de parvenir à un consensus. Le consensus
sert de base à l’autorité de contrôle chef de file pour poursuivre l’enquête et rédiger
les conclusions préliminaires ou, s'il y a lieu, fournir à l’autorité de contrôle auprès
de laquelle la réclamation a été introduite sa motivation aux fins de l’article 11,
paragraphe 2.
4. Lorsque, dans le cadre d’une enquête fondée sur une réclamation, il n’existe pas de
consensus entre l’autorité de contrôle chef de file et une ou plusieurs autorités de
contrôle concernées sur la question visée à l’article 9, paragraphe 2, point b), du
présent règlement, l’autorité de contrôle chef de file demande au comité une décision
contraignante d’urgence en vertu de l’article 66, paragraphe 3, du règlement (UE)
2016/679. Dans ce cas, les conditions pour demander une décision contraignante
d’urgence au titre de l’article 66, paragraphe 3, du règlement (UE) 2016/679 sont
présumées remplies.
5. Lorsqu’elle demande une décision contraignante d’urgence du comité en vertu du
paragraphe 4 du présent article, l’autorité de contrôle chef de file fournit l’ensemble
des éléments suivants:
(a) les documents visés à l’article 9, paragraphe 2, points a) et b);
(b) les observations de l’autorité de contrôle concernée qui est en désaccord avec
la définition préliminaire de la portée de l’enquête par l’autorité de contrôle
chef de file.
FR 27 FR
6. Le comité adopte une décision contraignante d’urgence sur la portée de l’enquête sur
la base des observations des autorités de contrôle concernées et de la position de
l’autorité de contrôle chef de file sur ces observations.
SECTION 2
REJET TOTAL OU PARTIEL DES RECLAMATIONS
Article 11
Droit d’être entendu de l’auteur de la réclamation avant le rejet total ou partiel d’une
réclamation
1. Conformément à la procédure prévue aux articles 9 et 10, l’autorité de contrôle chef
de file communique à l’autorité de contrôle auprès de laquelle la réclamation a été
introduite les motifs pour lesquels elle estime à titre préliminaire que la réclamation
devrait être rejetée totalement ou partiellement.
2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe son
auteur des motifs du rejet total ou partiel envisagé de la réclamation et fixe un délai
dans lequel il peut faire connaître son point de vue par écrit. Ce délai ne peut être
inférieur à trois semaines. L’autorité de contrôle auprès de laquelle la réclamation a
été introduite informe l’auteur de la réclamation des conséquences de l’absence de
communication de son point de vue.
3. Si l’auteur de la réclamation ne fait pas connaître son point de vue dans le délai fixé
par l’autorité de contrôle auprès de laquelle la réclamation a été introduite, la
réclamation est réputée retirée.
4. L’auteur de la réclamation peut demander l’accès à la version non confidentielle des
documents sur lesquels se fonde la proposition de rejet de la réclamation.
5. Si l’auteur de la réclamation fait connaître son point de vue dans le délai fixé par
l’autorité de contrôle auprès de laquelle la réclamation a été introduite et si ce point
de vue ne modifie pas l’avis préliminaire selon lequel la réclamation devrait être
rejetée totalement ou partiellement, l’autorité de contrôle auprès de laquelle la
réclamation a été introduite élabore le projet de décision au titre de l’article 60,
paragraphe 3, du règlement (UE) 2016/679, qui est soumis aux autres autorités de
contrôle concernées par l’autorité de contrôle chef de file conformément à
l’article 60, paragraphe 3, du règlement (UE) 2016/679.
Article 12
Projet révisé de décision rejetant totalement ou partiellement une réclamation
1. Lorsque l’autorité de contrôle chef de file considère que le projet de décision révisé
au sens de l’article 60, paragraphe 5, du règlement (UE) 2016/679 soulève des
éléments sur lesquels l’auteur de la réclamation devrait avoir la possibilité de faire
connaître son point de vue, l’autorité de contrôle auprès de laquelle la réclamation a
été introduite donne à l’auteur de la réclamation, avant la présentation du projet de
décision révisé en vertu de l’article 60, paragraphe 5, du règlement (UE) 2016/679, la
possibilité de faire connaître son point de vue sur ces nouveaux éléments.
FR 28 FR
2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite fixe un délai
dans lequel l’auteur de la réclamation peut faire connaître son point de vue.
Article 13
Décision rejetant totalement ou partiellement une réclamation
Lorsqu’elle adopte une décision rejetant totalement ou partiellement une réclamation en vertu
de l’article 60, paragraphe 8, du règlement (UE) 2016/679, l’autorité de contrôle auprès de
laquelle la réclamation a été introduite informe l’auteur de la réclamation du recours
juridictionnel dont il dispose en vertu de l’article 78 du règlement (UE) 2016/679.
SECTION 3
DECISIONS ADRESSEES AUX RESPONSABLES DU TRAITEMENT ET AUX SOUS-
TRAITANTS
Article 14
Conclusions préliminaires et réponse
1. Lorsque l’autorité de contrôle chef de file a l’intention de soumettre aux autres
autorités de contrôle concernées un projet de décision au sens de l’article 60,
paragraphe 3, du règlement (UE) 2016/679 constatant une violation du règlement
(UE) 2016/679, elle rédige des conclusions préliminaires.
2. Les conclusions préliminaires présentent les allégations formulées de manière
exhaustive et suffisamment claire pour permettre aux parties faisant l’objet de
l’enquête de prendre connaissance du comportement visé par l’enquête de l’autorité
de contrôle chef de file. En particulier, elles doivent exposer clairement tous les faits
et l’ensemble de l’appréciation juridique opposés aux parties faisant l’objet de
l’enquête, afin que ces dernières puissent exprimer leur point de vue sur les faits et
les conclusions juridiques que l’autorité de contrôle chef de file entend établir dans le
projet de décision au sens de l’article 60, paragraphe 3, du règlement (UE) 2016/679,
et énumérer tous les éléments de preuve sur lesquels cette dernière se fonde.
Les conclusions préliminaires exposent les mesures correctrices que l’autorité de
contrôle chef de file a l’intention d’appliquer.
Lorsque l’autorité de contrôle chef de file a l’intention d’imposer une amende, elle
énumère dans ses conclusions préliminaires les éléments pertinents sur lesquels elle
se fonde pour calculer l’amende. Plus spécifiquement, l’autorité de contrôle chef de
file énumère les éléments essentiels de fait et de droit susceptibles d’entraîner
l’imposition de l’amende ainsi que les éléments énumérés à l’article 83,
paragraphe 2, du règlement (UE) 2016/679, y compris les circonstances aggravantes
ou atténuantes qu’elle prendra en considération.
3. L’autorité de contrôle chef de file notifie les conclusions préliminaires à chacune des
parties faisant l’objet de l’enquête.
4. Lorsqu’elle notifie les conclusions préliminaires aux parties faisant l’objet de
l’enquête, l’autorité de contrôle chef de file fixe un délai dans lequel ces parties
FR 29 FR
peuvent faire connaître leur point de vue par écrit. L’autorité de contrôle chef de file
n’est pas tenue de tenir compte des avis écrits reçus après l’expiration de ce délai.
5. Lorsqu’elle notifie les conclusions préliminaires aux parties faisant l’objet de
l’enquête, l’autorité de contrôle chef de file donne à ces parties accès au dossier
administratif conformément à l’article 20.
6. Les parties faisant l’objet de l’enquête peuvent, dans leur réponse écrite aux
conclusions préliminaires, exposer tous les faits et arguments juridiques dont elles
ont connaissance et qui sont pertinents pour leur défense contre les allégations de
l’autorité de contrôle chef de file. Elles joignent à leur réponse tout document
attestant les faits exposés. Dans son projet de décision, l’autorité de contrôle chef de
file ne traite que les allégations, y compris les faits et l’appréciation juridique
reposant sur ceux-ci, au sujet desquelles les parties faisant l’objet de l’enquête ont eu
la possibilité de présenter leurs observations.
Article 15
Transmission des conclusions préliminaires à l'auteur de la réclamation
1. Lorsque l’autorité de contrôle chef de file émet des conclusions préliminaires
concernant une question au sujet de laquelle elle a été saisie d’une réclamation,
l’autorité de contrôle auprès de laquelle la réclamation a été introduite fournit à
l’auteur de la réclamation une version non confidentielle des conclusions
préliminaires et fixe un délai dans lequel il peut faire connaître son point de vue par
écrit.
2. Le paragraphe 1 s’applique également lorsqu’une autorité de contrôle, le cas échéant,
traite plusieurs réclamations conjointement, scinde les réclamations en plusieurs
parties ou exerce d’une autre manière son pouvoir discrétionnaire en ce qui concerne
la portée de l’enquête telle qu’exposée dans les conclusions préliminaires.
3. Lorsque l’autorité de contrôle chef de file estime qu’il est nécessaire que des
documents figurant dans le dossier administratif soient communiqués à l’auteur de la
réclamation pour permettre à celui-ci de faire connaître utilement son point de vue
sur les conclusions préliminaires, l’autorité de contrôle auprès de laquelle la
réclamation a été introduite fournit à l’auteur de la réclamation la version non
confidentielle de ces documents lorsqu’elle communique les conclusions
préliminaires conformément au paragraphe 1.
4. La version non confidentielle des conclusions préliminaires n'est communiquée à
l’auteur de la réclamation qu’aux fins de l’enquête concrète dans le cadre de laquelle
les conclusions préliminaires ont été établies.
5. Avant de recevoir la version non confidentielle des conclusions préliminaires et tout
document fourni conformément au paragraphe 3, l’auteur de la réclamation envoie à
l’autorité de contrôle chef de file une déclaration de confidentialité dans laquelle il
s’engage à ne divulguer aucune information ou évaluation figurant dans la version
non confidentielle des conclusions préliminaires ni à utiliser ces conclusions à des
fins autres que l’enquête concrète dans le cadre de laquelle ces conclusions ont été
établies.
FR 30 FR
Article 16
Adoption d’une décision finale
Après avoir soumis le projet de décision aux autorités de contrôle concernées conformément à
l’article 60, paragraphe 3, du règlement (UE) 2016/679 et lorsqu’aucune des autorités de
contrôle concernées n’a formulé d’objection au projet de décision dans les délais visés à
l’article 60, paragraphes 4 et 5, du règlement (UE) 2016/679, l’autorité de contrôle chef de
file adopte sa décision et la notifie, conformément à l’article 60, paragraphe 7, du règlement
(UE) 2016/679, à l’établissement principal ou à l’établissement unique du responsable du
traitement ou du sous-traitant, selon le cas, et informe les autorités de contrôle concernées et
le comité de la décision en question, en joignant un résumé des faits et motifs pertinents.
Article 17
Droit d’être entendu sur le projet de décision révisé
1. Lorsque l’autorité de contrôle chef de file considère que le projet de décision révisé
au sens de l’article 60, paragraphe 5, du règlement (UE) 2016/679 soulève des
éléments sur lesquels les parties faisant l’objet de l’enquête devraient avoir la
possibilité de faire connaître leur point de vue, elle donne, avant la présentation du
projet de décision révisé au titre de l’article 60, paragraphe 5, du règlement (UE)
2016/679, la possibilité aux parties faisant l’objet de l’enquête de faire connaître leur
point de vue sur ces nouveaux éléments.
2. L’autorité de contrôle chef de file fixe un délai dans lequel les parties faisant l’objet
de l’enquête peuvent faire connaître leur point de vue.
SECTION 4
OBJECTIONS PERTINENTES ET MOTIVEES
Article 18
Objections pertinentes et motivées
1. Les objections pertinentes et motivées au sens de l’article 4, point 24), du règlement
(UE) 2016/679:
(a) se fondent exclusivement sur des éléments factuels figurant dans le projet de
décision; et
(b) ne modifient pas la portée des allégations en soulevant des points équivalant à
déterminer d’autres allégations de violation du règlement (UE) 2016/679 ou en
modifiant la nature intrinsèque des allégations soulevées.
2. La forme et la structure des objections pertinentes et motivées satisfont à toutes les
exigences suivantes:
(a) la longueur de chaque objection pertinente et motivée et de la position de
l’autorité de contrôle chef de file sur toute objection de ce type ne dépasse pas
trois pages et ne comprend pas d’annexes. Dans les cas impliquant des
questions juridiques particulièrement complexes, la longueur maximale peut
FR 31 FR
être portée à six pages, sauf si des circonstances particulières justifiant une
longueur supérieure sont acceptées par le comité;
(b) le désaccord de l’autorité de contrôle concernée sur le projet de décision est
exprimé au début de l’objection pertinente et motivée et est formulé en des
termes suffisamment clairs, cohérents et précis pour permettre à l’autorité de
contrôle chef de file et, le cas échéant, aux autorités de contrôle concernées
d’élaborer leurs positions et au comité de régler efficacement le litige;
(c) les arguments juridiques sont exposés et structurés en fonction du dispositif du
projet de décision auquel ils se rapportent. Chaque argument ou groupe
d’arguments est généralement précédé d’un exposé sommaire.
Chapitre IV
Accès au dossier administratif et traitement des informations
confidentielles
Article 19
Contenu du dossier administratif
1. Le dossier administratif d’une enquête concernant une violation alléguée du
règlement (UE) 2016/679 est constitué de tous les documents qui ont été recueillis,
produits et/ou réunis par l’autorité de contrôle chef de file au cours de l’enquête.
2. Au cours de l’enquête sur une violation alléguée du règlement (UE) 2016/679,
l’autorité de contrôle chef de file peut renvoyer à la partie auprès de laquelle elle les
a obtenus, des documents qui, à la suite d’un examen plus approfondi, se révèlent
sans rapport avec l’objet de l’enquête. Une fois renvoyés, ces documents ne font plus
partie du dossier administratif.
3. Le droit d’accès au dossier administratif ne s’étend pas à la correspondance et aux
échanges de vues entre l’autorité de contrôle chef de file et les autorités de contrôle
concernées. Les informations échangées entre les autorités de contrôle aux fins de
l’enquête sur un cas particulier sont des documents internes et ne sont pas accessibles
aux parties faisant l’objet de l’enquête ni à l’auteur de la réclamation.
4. L’accès aux objections pertinentes et motivées au titre de l’article 60, paragraphe 4,
du règlement (UE) 2016/679 est accordé conformément à l’article 24.
Article 20
Accès au dossier administratif et utilisation des documents
1. L’autorité de contrôle chef de file accorde l’accès au dossier administratif aux parties
faisant l’objet de l’enquête, leur permettant ainsi d’exercer leur droit d’être
entendues. L’accès au dossier administratif est accordé après que l’autorité de
contrôle chef de file a notifié les conclusions préliminaires aux parties faisant l’objet
de l’enquête.
FR 32 FR
2. Le dossier administratif comprend tous les documents, à charge et à décharge, y
compris les faits et documents connus des parties faisant l’objet de l’enquête.
3. Les conclusions de l’autorité de contrôle chef de file dans le projet de décision visé à
l’article 60, paragraphe 3, du règlement (UE) 2016/679 et dans la décision finale
visée à l’article 60, paragraphe 7, du règlement (UE) 2016/679 ne peuvent se fonder
que sur des documents cités dans les conclusions préliminaires ou sur lesquels les
parties faisant l’objet de l’enquête ont eu l’occasion de faire connaître leur point de
vue.
4. Les documents obtenus grâce à l’accès au dossier administratif accordé en vertu du
présent article ne sont utilisés qu’aux fins de la procédure judiciaire ou
administrative visant à faire appliquer le règlement (UE) 2016/679 dans le cas
spécifique pour lequel ces documents ont été fournis.
Article 21
Identification et protection des informations confidentielles
1. Sauf disposition contraire du présent règlement, les informations collectées ou
obtenues par une autorité de contrôle dans des situations transfrontalières en vertu du
règlement (UE) 2016/679, y compris tout document contenant de telles informations,
ne sont pas communiquées ou rendues accessibles par l’autorité de contrôle dans la
mesure où elles contiennent des secrets d’affaires ou d’autres informations
confidentielles appartenant à une personne quelconque.
2. Toute information collectée ou obtenue par une autorité de contrôle dans des
situations transfrontalières en vertu du règlement (UE) 2016/679, y compris tout
document contenant de telles informations, est exclue des demandes d’accès relevant
de dispositions législatives relatives à l’accès du public aux documents officiels tant
que la procédure est en cours.
3. Lorsqu’elle communique ses conclusions préliminaires aux parties faisant l’objet de
l’enquête et accorde l'accès au dossier administratif sur la base de l’article 20,
l’autorité de contrôle chef de file veille à ce que les parties faisant l’objet de
l’enquête auxquelles est accordé l’accès à des informations contenant des secrets
d’affaires ou d’autres informations confidentielles traitent ces informations dans le
plus grand respect de leur confidentialité et à ce que ces informations ne soient pas
utilisées au détriment du fournisseur des informations. En fonction du degré de
confidentialité des informations, l’autorité de contrôle chef de file adopte les
dispositions appropriées pour donner plein effet aux droits de la défense des parties
faisant l’objet de l’enquête, en tenant dûment compte de la confidentialité des
informations.
4. Une entité qui soumet des informations qu’elle considère comme confidentielles
signale clairement les informations qu'elle juge confidentielles, en motivant sa
demande de confidentialité. L’entité fournit à part une version non confidentielle des
informations soumises.
5. Sans préjudice du paragraphe 4, l’autorité de contrôle chef de file peut exiger des
parties faisant l’objet de l’enquête, ou de toute autre partie qui produit des documents
en vertu du règlement (UE) 2016/679, qu’elles identifient les documents ou parties
de documents qu’elles considèrent comme contenant des secrets d’affaires ou
FR 33 FR
d’autres informations confidentielles leur appartenant et qu’elles identifient les
parties à l'égard desquelles ces documents sont considérés comme confidentiels.
6. L’autorité de contrôle chef de file peut fixer un délai pour que les parties faisant
l’objet de l’enquête et toute autre partie introduisant une demande de confidentialité:
(a) étayent leurs demandes de protection des secrets d’affaires et d’autres
informations confidentielles pour chaque document ou partie de document,
déclaration ou partie de déclaration;
(b) fournissent une version non confidentielle des documents et déclarations dans
laquelle les secrets d’affaires et d’autres informations confidentielles sont
expurgés;
(c) fournissent une description concise et non confidentielle de chaque information
expurgée.
7. Si les parties faisant l’objet de l’enquête ou toute autre partie ne se conforment pas
aux paragraphes 4 et 5, l’autorité de contrôle chef de file peut supposer que les
documents ou déclarations concernés ne contiennent pas de secrets d’affaires ou
d’autres informations confidentielles.
Chapitre V
Règlement des litiges
Article 22
Transmission au mécanisme de règlement des litiges au titre de l’article 65 du règlement
(UE) 2016/679
1. Si l’autorité de contrôle chef de file ne donne pas suite aux objections pertinentes et
motivées ou estime que les objections ne sont pas pertinentes ou motivées, elle
transmet la question au mécanisme de règlement des litiges prévu à l’article 65 du
règlement (UE) 2016/679.
2. Lorsqu’elle transmet la question au mécanisme de règlement des litiges, l’autorité de
contrôle chef de file fournit au comité tous les documents suivants:
(a) le projet de décision ou le projet de décision révisé faisant l’objet des
objections pertinentes et motivées;
(b) un résumé des faits pertinents;
(c) les conclusions préliminaires;
(d) le point de vue exprimé par écrit par les parties faisant l’objet de l’enquête,
selon le cas, conformément aux articles 14 et 17;
(e) le point de vue exprimé par écrit par l'auteur de la réclamation, selon le cas,
conformément aux articles 11, 12 et 15;
(f) les objections pertinentes et motivées auxquelles l’autorité de contrôle chef de
file n’a pas donné suite;
FR 34 FR
(g) les motifs pour lesquels l’autorité de contrôle chef de file n’a pas donné suite
aux objections pertinentes et motivées ou a considéré que les objections
n’étaient ni pertinentes ni motivées.
3. Dans un délai de quatre semaines à compter de la réception des documents énumérés
au paragraphe 2, le comité détermine les objections jugées pertinentes et motivées.
Article 23
Enregistrement concernant une décision relevant de l’article 65, paragraphe 1, point a), du
règlement (UE) 2016/679
Le président du comité enregistre la transmission d’une question au mécanisme de règlement
des litiges au titre de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679 au plus
tard une semaine après avoir reçu tous les documents suivants:
(a) le projet de décision ou le projet de décision révisé faisant l’objet des objections
pertinentes et motivées;
(b) un résumé des faits pertinents;
(c) le point de vue exprimé par écrit par les parties faisant l’objet de l’enquête, selon le
cas, conformément aux articles 14 et 17;
(d) le point de vue exprimé par écrit par l'auteur de la réclamation, selon le cas,
conformément aux articles 11, 12 et 15;
(e) les objections jugées pertinentes et motivées;
(f) les motifs pour lesquels l’autorité de contrôle chef de file n’a pas donné suite aux
objections jugées pertinentes et motivées.
Article 24
Exposé des motifs préalable à l’adoption d’une décision au titre de l’article 65,
paragraphe 1, point a), du règlement (UE) 2016/679
1. Avant d’adopter une décision contraignante en vertu de l’article 65, paragraphe 1,
point a), du règlement (UE) 2016/679, le président du comité, par l’intermédiaire de
l’autorité de contrôle chef de file, fournit aux parties faisant l’objet de l’enquête
et/ou, en cas de rejet total ou partiel d’une réclamation, à l’auteur de cette dernière,
un exposé des motifs expliquant le raisonnement que le comité entend adopter dans
sa décision. Lorsque le comité a l’intention d’adopter une décision contraignante
exigeant de l’autorité de contrôle chef de file qu’elle modifie son projet de décision
ou son projet de décision révisé, il décide s’il convient d’accompagner cet exposé des
motifs des objections jugées pertinentes et motivées sur la base desquelles il a
l’intention d’adopter sa décision.
2. Les parties faisant l’objet de l’enquête et/ou, en cas de rejet total ou partiel d’une
réclamation, l’auteur de cette dernière disposent d’un délai d’une semaine à compter
de la réception de l’exposé des motifs visé au paragraphe 1 pour faire connaître leur
point de vue.
3. Le délai visé au paragraphe 2 est prolongé d’une semaine dans le cas où le comité
prolonge le délai d’adoption de la décision contraignante en vertu de l’article 65,
paragraphe 2, du règlement (UE) 2016/679.
FR 35 FR
4. Le délai d’adoption de la décision contraignante du comité prévu à l’article 65,
paragraphe 2, du règlement (UE) 2016/679 ne court pas pendant les délais prévus
aux paragraphes 2 et 3.
Article 25
Procédure relative à la décision fondée sur l’article 65, paragraphe 1, point b), du règlement
(UE) 2016/679
1. Lorsqu’elle transmet une question au comité en vertu de l’article 65, paragraphe 1,
point b), du règlement (UE) 2016/679, l’autorité de contrôle qui transmet la question
relative à la compétence pour l’établissement principal fournit au comité tous les
documents suivants:
(a) un résumé des faits pertinents;
(b) l’appréciation de ces faits au regard des conditions de l’article 56,
paragraphe 1, du règlement (UE) 2016/679;
(c) les points de vue exprimés par le responsable du traitement ou le sous-traitant
dont l’établissement principal fait l’objet de la transmission;
(d) les points de vue des autres autorités de contrôle concernées par la
transmission;
(e) tout autre document ou information que l’autorité de contrôle qui transmet la
question juge pertinent et nécessaire pour parvenir au règlement de la question.
2. Le président du comité enregistre la transmission au plus tard une semaine après
avoir reçu les documents visés au paragraphe 1.
Article 26
Procédure relative à la décision fondée sur l’article 65, paragraphe 1, point c), du règlement
(UE) 2016/679
1. Lorsqu’elle transmet une question au comité en vertu de l’article 65, paragraphe 1,
point c), du règlement (UE) 2016/679, l’autorité de contrôle qui transmet la question
ou la Commission fournit au comité tous les documents suivants:
(a) un résumé des faits pertinents;
(b) l’avis éventuellement émis par le comité conformément à l’article 64 du
règlement (UE) 2016/679;
(c) le point de vue de l’autorité de contrôle qui transmet la question ou de la
Commission sur la question de savoir si, selon le cas, une autorité de contrôle
était tenue de communiquer le projet de décision au comité conformément à
l’article 64, paragraphe 1, du règlement (UE) 2016/679, ou une autorité de
contrôle n’a pas donné suite à un avis rendu par le comité conformément à
l’article 64 du règlement (UE) 2016/679.
2. Le président du comité demande les documents suivants:
(a) le point de vue de l’autorité de contrôle présumée avoir violé l’obligation de
communiquer un projet de décision au comité ou ne pas avoir donné suite à un
avis du comité;
FR 36 FR
(b) tout autre document ou information que l’autorité de contrôle juge pertinent et
nécessaire pour parvenir au règlement de la question.
Si une autorité de contrôle fait part de la nécessité de présenter son point de vue sur
la question transmise, elle soumet celui-ci dans un délai de deux semaines à compter
de la transmission visée au paragraphe 1.
3. Le président du comité enregistre la transmission au plus tard une semaine après
avoir reçu les documents visés aux paragraphes 1 et 2.
Chapitre VI
Procédure d’urgence
Article 27
Avis d’urgence relevant de l’article 66, paragraphe 2, du règlement (UE) 2016/679
1. Une demande d’avis d’urgence du comité au titre de l’article 66, paragraphe 2, du
règlement (UE) 2016/679 est introduite au plus tard trois semaines avant l’expiration
des mesures provisoires adoptées en vertu de l’article 66, paragraphe 1, du règlement
(UE) 2016/679 et contient l’ensemble des éléments suivants:
(a) un résumé des faits pertinents;
(b) une description de la mesure provisoire adoptée sur son propre territoire, sa
durée et les motifs de son adoption, y compris une justification de l’urgence
d’agir pour protéger les droits et libertés des personnes concernées;
(c) une justification de la nécessité urgente d’adopter des mesures définitives sur le
territoire de l’État membre de l’autorité de contrôle requérante, y compris une
explication du caractère exceptionnel des circonstances nécessitant l’adoption
des mesures concernées.
2. L’avis d’urgence du comité est adressé à l’autorité de contrôle qui a soumis la
demande. Il est similaire à un avis au sens de l’article 64, paragraphe 1, du règlement
(UE) 2016/679 et permet à l’autorité requérante de maintenir ou de modifier sa
mesure provisoire conformément aux obligations de l’article 64, paragraphe 7, du
règlement (UE) 2016/679.
Article 28
Décision d’urgence relevant de l’article 66, paragraphe 2, du règlement (UE) 2016/679
1. Une demande de décision d’urgence du comité au titre de l’article 66, paragraphe 2,
du règlement (UE) 2016/679 est introduite au plus tard trois semaines avant
l’expiration des mesures provisoires adoptées en vertu de l’article 61, paragraphe 8,
de l’article 62, paragraphe 7, ou de l’article 66, paragraphe 1, du règlement (UE)
2016/679. Cette demande contient tous les éléments suivants:
(a) un résumé des faits pertinents;
(b) la mesure provisoire adoptée sur le territoire de l’État membre de l’autorité de
contrôle demandant la décision, sa durée et les motifs de son adoption, en
FR 37 FR
particulier une justification de l’urgence d’agir pour protéger les droits et
libertés des personnes concernées;
(c) des informations sur toute mesure d’enquête prise sur son propre territoire et
les réponses reçues de l’établissement local des parties faisant l’objet de
l’enquête, ou toute autre information en possession de l’autorité de contrôle
requérante;
(d) une justification de la nécessité urgente d’adopter des mesures définitives sur le
territoire de l’autorité de contrôle requérante, compte tenu du caractère
exceptionnel des circonstances exigeant l’adoption de la mesure définitive, ou
la preuve qu’une autorité de contrôle n’a pas répondu à une demande fondée
sur l’article 61, paragraphe 3, ou de l’article 62, paragraphe 2, du règlement
(UE) 2016/679;
(e) dans le cas où l’autorité requérante n’est pas l’autorité de contrôle chef de file,
le point de vue de cette dernière;
(f) s'il y a lieu, le point de vue de l’établissement local des parties faisant l’objet de
l’enquête à l’encontre desquelles des mesures provisoires ont été prises en
vertu de l’article 66, paragraphe 1, du règlement (UE) 2016/679.
2. La décision d’urgence visée au paragraphe 1 est adressée à l’autorité de contrôle qui
a présenté la demande et permet à l’autorité requérante de maintenir ou de modifier
sa mesure provisoire.
3. Lorsque le comité adopte une décision contraignante d’urgence indiquant que des
mesures définitives devraient être adoptées, l’autorité de contrôle destinataire de la
décision adopte ces mesures avant l’expiration des mesures provisoires adoptées en
vertu de l’article 66, paragraphe 1, du règlement (UE) 2016/679.
4. L’autorité de contrôle qui a présenté la demande visée au paragraphe 1 notifie sa
décision sur les mesures définitives à l’établissement du responsable du traitement ou
du sous-traitant sur le territoire de son État membre et informe le comité. Dans le cas
où l’autorité de contrôle chef de file n’est pas l’autorité requérante, cette dernière
informe l’autorité de contrôle chef de file de la mesure définitive.
5. Lorsque la décision contraignante d’urgence indique qu’il n’est pas urgent d’adopter
des mesures définitives, l’autorité de contrôle chef de file et les autorités de contrôle
concernées suivent la procédure prévue à l’article 60 du règlement (UE) 2016/679.
FR 38 FR
Chapitre VII
Dispositions générales et finales
Article 29
Début des délais et définition du jour ouvrable
1. Les délais prévus ou fixés par les autorités de contrôle en vertu du règlement (UE)
2016/679 sont calculés conformément au règlement (CEE, Euratom) nº 1182/71 du
Conseil17
.
2. Les délais courent à partir du jour ouvrable suivant l'événement auquel fait référence
la disposition applicable du règlement (UE) 2016/679 ou le présent règlement.
Article 30
Dispositions transitoires
Les chapitres III et IV s’appliquent aux enquêtes menées d’office qui ont été ouvertes après
l’entrée en vigueur du présent règlement et aux enquêtes menées sur la base d’une
réclamation lorsque cette dernière a été introduite après l’entrée en vigueur du présent
règlement.
Le chapitre V s’applique à tous les cas soumis au mécanisme de règlement des litiges en vertu
de l’article 65 du règlement (UE) 2016/679 après l’entrée en vigueur du présent règlement.
Article 31
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au
Journal officiel de l'Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans
tout État membre.
Fait à Bruxelles, le
Par le Parlement européen Par le Conseil
La présidente Le président
17
Règlement (CEE, Euratom) nº 1182/71 du Conseil du 3 juin 1971 portant détermination des règles
applicables aux délais, aux dates et aux termes (JO L 124 du 8.6.1971, p. 1).


DA DA
EUROPA-
KOMMISSIONEN
Bruxelles, den 4.7.2023
COM(2023) 348 final
2023/0202 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679
Offentligt
KOM (2023) 0348 - Forslag til forordning
Europaudvalget 2023
DA 1 DA
BEGRUNDELSE
1. BAGGRUND FOR FORSLAGET
• Forslagets begrundelse og formål
En effektiv håndhævelse af EU's databeskyttelsesregler er en forudsætning for at sikre
beskyttelsen af retten til beskyttelse af personoplysninger, der er nedfældet i artikel 8, stk. 1, i
Den Europæiske Unions charter om grundlæggende rettigheder ("chartret") og artikel 16,
stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF).
Uafhængige nationale databeskyttelsesmyndigheder har haft til opgave at håndhæve
forordning (EU) 2016/679 (den generelle forordning om databeskyttelse eller
databeskyttelsesforordningen)1
, siden den trådte i kraft i 2018. Det decentrale "one-stop-
shop"-håndhævelsessystem har til formål at sikre en konsekvent fortolkning og anvendelse af
databeskyttelsesforordningen, samtidig med at nærhedsprincippet bevares, således at
enkeltpersoner har mulighed for at kontakte deres lokale databeskyttelsesmyndighed og
modtage et svar. Dette system kræver samarbejde mellem databeskyttelsesmyndighederne i
"grænseoverskridende" sager. I sådanne tilfælde gennemfører den "ledende"
databeskyttelsesmyndighed (databeskyttelsesmyndigheden for den dataansvarliges eller
databehandlerens hovedvirksomhed) undersøgelsen og er forpligtet til at samarbejde med
andre "berørte" databeskyttelsesmyndigheder i et forsøg på at nå til enighed ved at indlede en
dialog i en ånd af loyalt og effektivt samarbejde. Den ledende databeskyttelsesmyndighed bør
udøve sin kompetence i tæt samarbejde med de øvrige berørte databeskyttelsesmyndigheder.
Hvis databeskyttelsesmyndighederne ikke er i stand til at nå til enighed i en
grænseoverskridende sag, indeholder databeskyttelsesforordningen bestemmelser om
tvistbilæggelse i specifikke spørgsmål, der rejses af Det Europæiske Databeskyttelsesråd
(Databeskyttelsesrådet), som er sammensat af lederne af databeskyttelsesmyndigheden i hver
medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse og har deltagelse af
Kommissionen, i de såkaldte "relevante og begrundede indsigelser".
Kommissionen bemærkede i sin rapport efter to års anvendelse af
databeskyttelsesforordningen, at der var behov for yderligere fremskridt for at gøre
behandlingen af grænseoverskridende sager mere effektiv og harmoniseret i hele EU2
. I
rapporten blev det bemærket, at der var store forskelle i de nationale administrative
procedurer og fortolkninger af begreber inden for rammerne af databeskyttelsesforordningens
samarbejdsmekanisme. Europa-Parlamentet opfordrede i sin beslutning om Kommissionens
rapport fra 2020 om den generelle forordning om databeskyttelse indtrængende
Kommissionen til at vurdere, om de nationale administrative procedurer står i vejen for et
fuldt effektivt samarbejde, jf. databeskyttelsesforordningens artikel 60, og en effektiv
anvendelse af forordningen3
. Europa-Parlamentet opfordrede Databeskyttelsesrådet til at
fastlægge de grundlæggende elementer i en fælles administrativ procedure til behandling af
1
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse) (EUT
L 119 af 4.5.2016, s. 1).
2
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en hjørnesten i
borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle
forordning om databeskyttelse (COM(2020) 264 final).
3
Europa-Parlamentets beslutning af 25. marts 2021 om Kommissionens evalueringsrapport vedrørende
implementeringen af databeskyttelsesforordningen to år efter dens anvendelse(2020/2717(RSP)).
DA 2 DA
klager i grænseoverskridende sager inden for rammerne af det samarbejde, der er etableret i
henhold til databeskyttelsesforordningens artikel 60. I 2020 indledte Databeskyttelsesrådet
overvejelser om at forbedre samarbejdet mellem databeskyttelsesmyndighederne i
grænseoverskridende sager, hvilket i april 2022 kulminerede med vedtagelsen af en erklæring
om håndhævelsessamarbejde, hvori Databeskyttelsesrådet forpligtede sig til at opstille en liste
over proceduremæssige aspekter, der kan harmoniseres yderligere i EU-retten4
. I oktober
2022 fremsendte Databeskyttelsesrådet denne liste til Kommissionen5
.
Dette forslag bygger på Kommissionens rapport fra 2020 om databeskyttelsesforordningen,
Databeskyttelsesrådets liste fra oktober 2022 og de konklusioner, som Kommissionen har
draget af overvågningen af håndhævelsen af databeskyttelsesforordningen siden dens
ikrafttræden, fra Multiinteressent-Ekspertgruppen6
vedrørende Den Generelle Forordning om
Databeskyttelse og fra medlemsstaternes Ekspertgruppe vedrørende Den Generelle
Forordning om Databeskyttelse7
samt de bemærkninger, som Kommissionen har modtaget
som svar på en indkaldelse af feedback, der blev iværksat i februar 2023. Det indgår i
Kommissionens arbejdsprogram for 20238
(under den generelle overskrift "Nyt skub i
europæisk demokrati").
En forudsætning for en konsekvent anvendelse af databeskyttelsesforordningen er, at det
grænseoverskridende håndhævelsessystem fungerer effektivt. De proceduremæssige forskelle
hos databeskyttelsesmyndighederne forhindrer, at databeskyttelsesforordningens samarbejds-
og tvistbilæggelsesmekanismer fungerer gnidningsløst og effektivt i grænseoverskridende
sager. Disse forskelle har også betydelige konsekvenser for de rettigheder, som de parter, der
er genstand for en undersøgelse, og klagerne har (som registrerede). En forudsætning for at
sikre offentlighedens tillid til den bredere digitaliseringsproces og for at sikre lige vilkår for
alle enheder, der behandler personoplysninger, er, at databeskyttelsesforordningen håndhæves
korrekt.
Forslaget har til formål at løse problemerne på følgende områder:
 Klager: Klager udgør en vigtig informationskilde, når det drejer sig om at opdage
overtrædelser af databeskyttelsesreglerne. Databeskyttelsesmyndighederne har
forskellige fortolkninger af kravene til klagens form, klagernes deltagelse i
proceduren og afvisningen af klager. Eksempler: En klage, der accepteres af nogle
databeskyttelsesmyndigheder, kan afvises af andre med den begrundelse, at den ikke
indeholder tilstrækkelige oplysninger. Nogle databeskyttelsesmyndigheder giver
klagerne samme rettigheder som de parter, der er genstand for en undersøgelse, mens
andre ikke medtager klagere i proceduren eller inddrager klagere i meget begrænset
omfang. Nogle databeskyttelsesmyndigheder træffer en formel afgørelse om
afvisning af alle klager, der ikke går videre, mens andre
databeskyttelsesmyndigheder undlader at gøre det. Disse forskelle betyder, at
4
https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-
cooperation_en
5
https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-
0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf
6
https://ec.europa.eu/transparency/expert-groups-register/screen/expert-
groups/consult?lang=da&do=groupDetail.groupDetail&groupID=3537
7
https://ec.europa.eu/transparency/expert-groups-register/screen/home?lang=da
8
https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-
programme-2023_en
DA 3 DA
behandlingen af klager og klagernes inddragelse varierer, alt efter hvor klagen
indgives, eller hvilken databeskyttelsesmyndighed der er den ledende
databeskyttelsesmyndighed i en given sag. Som følge heraf forsinker de afslutningen
af undersøgelsen og den registreredes adgang til retsmidler i grænseoverskridende
sager. Europa-Parlamentet fremhævede i sin beslutning om Kommissionens rapport
fra 2020 om databeskyttelsesforordningen behovet for at præcisere klagernes stilling
i tilfælde af grænseoverskridende klager.
 Proceduremæssige rettigheder for parter, der er genstand for en undersøgelse:
Retten til et forsvar for parter, der er genstand for en undersøgelse, er et
grundlæggende princip i EU-retten, som skal overholdes under alle omstændigheder,
navnlig i procedurer, der kan give anledning til høje bøder. I betragtning af de
potentielt strenge sanktioner, der kan pålægges, skal de parter, der er genstand for en
undersøgelse vedrørende overtrædelse af databeskyttelsesforordningen, have
garantier svarende til dem, der er fastsat i procedurer af strafferetlig karakter. De
proceduremæssige rettigheder for parter, der er genstand for en undersøgelse, såsom
omfanget af retten til at blive hørt og retten til aktindsigt, varierer betydeligt fra
medlemsstat til medlemsstat. I hvilket omfang parterne høres, tidspunktet for
høringen og de dokumenter, der stilles til rådighed for parterne for at sætte dem i
stand til at udøve deres ret til at blive hørt, er elementer, som medlemsstaterne har
forskellige tilgange til. Disse forskellige tilgange er ikke altid forenelige med
proceduren i databeskyttelsesforordningens artikel 60, som bygger på formodningen
om, at de parter, der er genstand for en undersøgelse, har udøvet deres ret til at blive
hørt, inden udkastet til afgørelse forelægges af den ledende
databeskyttelsesmyndighed. Når en sag indbringes for Databeskyttelsesrådet med
henblik på tvistbilæggelse, kan det variere, i hvilket omfang parterne er blevet hørt
om de spørgsmål, der er rejst i udkastet til afgørelse, og de berørte
databeskyttelsesmyndigheders indsigelser. Desuden mangler der klarhed om, i
hvilket omfang de parter, der er genstand for en undersøgelse, bør høres af
Databeskyttelsesrådet i forbindelse med tvistbilæggelse i henhold til
databeskyttelsesforordningens artikel 65. Manglende sikring af retten til at blive hørt
kan gøre afgørelser truffet af databeskyttelsesmyndighederne, hvori det fastslås, at
der er sket en overtrædelse af databeskyttelsesforordningen, lettere at anfægte.
 Samarbejde og tvistbilæggelse: Samarbejdsproceduren i
databeskyttelsesforordningens artikel 60 er bredt beskrevet. I grænseoverskridende
sager skal databeskyttelsesmyndighederne udveksle "relevante oplysninger" i et
forsøg på at nå til enighed. Når den ledende databeskyttelsesmyndighed forelægger
et udkast til afgørelse i sagen, har andre databeskyttelsesmyndigheder mulighed for
at fremsætte "relevante og begrundede indsigelser". Disse indsigelser giver mulighed
for tvistbilæggelse (når de ikke følges af den ledende databeskyttelsesmyndighed).
Selv om tvistbilæggelsesproceduren i databeskyttelsesforordningens artikel 65 udgør
et væsentligt element med henblik på at sikre en konsekvent fortolkning af
databeskyttelsesforordningen, bør den forbeholdes ekstraordinære tilfælde, hvor
loyalt samarbejde mellem databeskyttelsesmyndighederne ikke har ført til konsensus.
Erfaringerne med håndhævelsen af databeskyttelsesforordningen i
grænseoverskridende sager viser, at samarbejdet mellem
databeskyttelsesmyndighederne er utilstrækkeligt, inden den ledende
databeskyttelsesmyndighed forelægger et udkast til afgørelse. Det utilstrækkelige
samarbejde og den utilstrækkelige konsensusopbygning om centrale spørgsmål i
undersøgelsen på dette tidlige stadium har ført til, at der er blevet indgivet en lang
række sager til tvistbilæggelse.
DA 4 DA
Der er forskelle, hvad angår formen og strukturen af de relevante og begrundede
indsigelser fra de berørte databeskyttelsesmyndigheder under proceduren for
grænseoverskridende samarbejde. Disse forskelle hindrer en effektiv afslutning af
tvistbilæggelsesproceduren og inddragelse af alle berørte
databeskyttelsesmyndigheder i proceduren, navnlig databeskyttelsesmyndighederne i
mindre medlemsstater, som har færre ressourcer end databeskyttelsesmyndighederne
i større medlemsstater.
 I databeskyttelsesforordningen fastsættes der ikke frister for forskellige faser af
samarbejds- og tvistbilæggelsesproceduren. I betragtning af undersøgelsernes
varierende kompleksitet og databeskyttelsesmyndighedernes skønsbeføjelser til at
undersøge overtrædelser af databeskyttelsesforordningen er det ikke ønskeligt at
fastsætte frister for alle faser af proceduren. Indførelsen af frister, hvor det er
relevant, vil imidlertid være med til at forhindre unødige forsinkelser i behandlingen
af sager.
Forslaget har til formål at løse disse problemer ved, at der fastsættes procedureregler for visse
faser af undersøgelsesproceduren i grænseoverskridende sager for derved at understøtte
databeskyttelsesforordningens samarbejds- og tvistbilæggelsesmekanismers gnidningsløse
funktion. I forslaget tages der navnlig fat på de ovenfor beskrevne problemer på følgende
måder:
 Klagernes form og klageres stilling: Forslaget indeholder en formular, hvori det
præciseres, hvilke oplysninger der kræves i forbindelse med alle klager i henhold til
databeskyttelsesforordningens artikel 77 vedrørende grænseoverskridende
behandling, og hvilke procedureregler der skal anvendes for inddragelse af klagere i
proceduren, herunder deres ret til at fremsætte deres synspunkter. Der fastsættes
procedureregler for afvisning af klager i grænseoverskridende sager, og det
præciseres, hvilken rolle den ledende databeskyttelsesmyndighed og den
databeskyttelsesmyndighed, som klagen blev indgivet til, har i sådanne sager. I
forslaget anerkendes betydningen og lovligheden af mindelig bilæggelse af
klagesager.
 Målrettet harmonisering af procedurereglerne i grænseoverskridende sager:
Forslaget giver de parter, der er genstand for en undersøgelse, ret til at blive hørt i
procedurens vigtigste faser, bl.a. under Det Europæiske Databeskyttelsesråds
tvistbilæggelse, og bestemmelserne om indholdet af de administrative sagsakter og
parternes ret til aktindsigt præciseres. Forslaget styrker dermed parternes ret til et
forsvar og sikrer konsekvent overholdelsen af disse rettigheder, uanset hvilken
databeskyttelsesmyndighed der leder undersøgelsen.
 Strømlining af samarbejde og tvistbilæggelse: Forslaget giver
databeskyttelsesmyndighederne de værktøjer, der er nødvendige for at opnå
konsensus, ved at give kravet om, at databeskyttelsesmyndighederne skal samarbejde
og dele "relevante oplysninger", jf. databeskyttelsesforordningens artikel 60, mere
indhold. Med denne forordning fastlægges der en ramme, der gør det muligt for alle
databeskyttelsesmyndigheder på meningsfuld vis at påvirke en grænseoverskridende
sag ved at fremsætte deres synspunkter tidligt i undersøgelsesproceduren og gøre
brug af alle værktøjer i databeskyttelsesforordningen. Dette vil gøre det lettere at
opnå konsensus og mindske sandsynligheden for uenighed senere i proceduren,
hvilket vil kræve anvendelse af tvistbilæggelsesmekanismen. Hvis der er uenighed
mellem databeskyttelsesmyndighederne om det centrale spørgsmål om omfanget af
undersøgelsen i en klagebaseret sag, giver forslaget mulighed for, at
DA 5 DA
Databeskyttelsesrådet kan bilægge tvisten ved at vedtage en hurtig bindende
afgørelse. Ved at inddrage Databeskyttelsesrådet i dette særskilte spørgsmål får den
ledende databeskyttelsesmyndighed den nødvendige klarhed til at fortsætte
undersøgelsen og sikre, at uenigheden om undersøgelsens omfang ikke vil kræve
anvendelse af tvistbilæggelsesmekanismen i artikel 65.
Forslaget indeholder detaljerede krav til formen og strukturen af de relevante og
begrundede indsigelser fra de berørte databeskyttelsesmyndigheder og letter dermed
alle databeskyttelsesmyndigheders effektive deltagelse og en målrettet og hurtig
bilæggelse af sagen.
 I forslaget fastsættes der proceduremæssige frister for tvistbilæggelsesproceduren, og
det præciseres, hvilke oplysninger den ledende databeskyttelsesmyndighed skal give,
når den forelægger sagen til tvistbilæggelse, og hvilken rolle alle aktører, der er
involveret i tvistbilæggelsen (den ledende databeskyttelsesmyndighed, de berørte
databeskyttelsesmyndigheder og Databeskyttelsesrådet) spiller. På den måde gør
forslaget det lettere hurtigt at afslutte tvistbilæggelsesproceduren for de parter, der er
genstand for en undersøgelse, og de registrerede.
• Sammenhæng med de gældende regler på samme område
Forslaget supplerer databeskyttelsesforordningen ved at præcisere procedurereglerne for de
vigtigste faser af den undersøgelsesprocedure, der er fastsat i databeskyttelsesforordningen.
Det berører ikke de registreredes rettigheder, de dataansvarliges og databehandlernes
forpligtelser eller retsgrundlaget for behandlingen af personoplysninger som fastsat i
databeskyttelsesforordningen.
Forslaget bygger på de grundlæggende principper i databeskyttelsesforordningen vedrørende
klager, samarbejde og tvistbilæggelse og supplerer disse bestemmelser med målrettede
tilføjelser for at øge effektiviteten af håndhævelsen i grænseoverskridende sager.
• Sammenhæng med Unionens politik på andre områder
Forslaget er i fuld overensstemmelse og fuldt foreneligt med eksisterende EU-politikker på
andre områder.
2. RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG
PROPORTIONALITETSPRINCIPPET
• Retsgrundlag
Retsgrundlaget for forslaget er artikel 16 i traktaten om Den Europæiske Unions
funktionsmåde (TEUF).
Artikel 16 i TEUF giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger. Forslaget vedrører håndhævelsen af
databeskyttelsesforordningen i grænseoverskridende sager. Formålet med en sådan
håndhævelse er at sikre de registreredes ret til beskyttelse af deres personoplysninger. Som
sådan er artikel 16 i TEUF det korrekte retsgrundlag for forslaget.
• Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)
EU har de bedste forudsætninger for at handle, fordi forslaget vedrører en eksisterende
procedure, der er indført ved databeskyttelsesforordningen, og som involverer
DA 6 DA
databeskyttelsesmyndighederne i flere EU-medlemsstater og Det Europæiske
Databeskyttelsesråd (et EU-organ). Ovennævnte problemer kan derfor ikke løses af EU-
medlemsstaterne hver for sig.
• Proportionalitetsprincippet
Dette forslag sikrer en passende balance mellem at opfylde målet om at sikre en gnidningsløs
håndhævelse af databeskyttelsesforordningen på tværs af grænserne og målet om ikke at gribe
unødigt ind i de nationale retssystemer.
Forslaget har til formål at sikre, at den samarbejds- og tvistbilæggelsesmekanisme, der er
oprettet ved databeskyttelsesforordningen, fungerer gnidningsløst. Forslaget vedrører derfor
kun grænseoverskridende sager inden for rammerne af databeskyttelsesforordningen. Sådanne
sager involverer databeskyttelsesmyndigheder i flere EU-medlemsstater og
Databeskyttelsesrådet.
I hvilket omfang de parter, der er genstand for en undersøgelse, høres, og klagerne inddrages i
den administrative procedure er i øjeblikket omfattet af de nationale procedureregler. Disse
elementer påvirker den måde, hvorpå en undersøgelse gennemføres fra start til slut. Som
sådan er en målrettet harmonisering af retten til at blive hørt og inddragelsen af klagere i
vigtige faser af proceduren og kun i grænseoverskridende sager afgørende for at nå forslagets
mål – at strømline den grænseoverskridende håndhævelse – og går ikke ud over, hvad der er
nødvendigt under omstændighederne. Det er af afgørende betydning, at den ret, som de parter,
der er genstand for en undersøgelse, har til at blive hørt, allerede finder anvendelse på de
undersøgelser, som databeskyttelsesmyndighederne foretager i henhold til
databeskyttelsesforordningen, eftersom retten til at blive hørt er et væsentligt element i retten
til et forsvar og retten til god forvaltning som sikret ved chartret. Klagerne skal ligeledes
underrettes om forløbet af deres klage i henhold til databeskyttelsesforordningens artikel 77,
stk. 2. Med dette forslaget harmoniseres og udstikkes navnlig retningslinjerne for disse
proceduremæssige skridt.
• Valg af retsakt
En forordning et passende instrument for forslaget. Forslaget supplerer den procedure, der er
fastlagt i databeskyttelsesforordningen. Målet er at løse problemet med
databeskyttelsesmyndighedernes forskellige proceduremæssige tilgange ved at harmonisere
visse aspekter af den administrative procedure, som databeskyttelsesmyndighederne anvender
i forbindelse med håndhævelsen af databeskyttelsesforordningen. Derfor er en forordning
(som finder direkte anvendelse i medlemsstaterne) nødvendig for at mindske den retlige
fragmentering og sikre den grad af harmonisering, der er nødvendig for at sikre, at de
samarbejds- og sammenhængsmekanismer, der er indført ved databeskyttelsesforordningen,
fungerer gnidningsløst, og for at skabe retssikkerhed for klagerne, de parter, der er genstand
for en undersøgelse, og databeskyttelsesmyndighederne. Et direktiv, der indrømmer
medlemsstaterne et skøn med hensyn til, hvordan de ønskede resultater nås, vil ikke sikre den
grad af harmonisering, der er nødvendig for at nå forslagets mål.
3. RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF
INTERESSENTER OG KONSEKVENSANALYSER
• Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning
Kommissionen bemærkede i sin rapport om to års anvendelse af
databeskyttelsesforordningen, at der var behov for yderligere fremskridt for at gøre
DA 7 DA
behandlingen af grænseoverskridende sager mere effektiv og harmoniseret i hele EU9
. I det
arbejdsdokument, der ledsager rapporten10
, pegede Kommissionen på behovet for at tackle
forskellene på følgende områder:
 de nationale administrative procedurer, navnlig vedrørende:
klagebehandlingsprocedurer, antagelighedskriterier for klager, varigheden af
procedurer på grund af forskellige tidsrammer eller manglende frister, det tidspunkt i
proceduren, hvor retten til at blive hørt bevilges, oplysninger om og inddragelse af
klagerne i proceduren
 fortolkninger af begreber vedrørende samarbejdsmekanismen
 tilgangen til, hvornår samarbejdsproceduren indledes, hvornår de berørte
databeskyttelsesmyndigheder inddrages, og hvornår der videregives oplysninger til
dem.
Europa-Parlamentet opfordrede i sin beslutning om Kommissionens rapport fra 2020 om den
generelle forordning om databeskyttelse indtrængende Kommissionen til at vurdere, om de
nationale administrative procedurer står i vejen for et fuldt effektivt samarbejde, jf. artikel 60,
og en effektiv anvendelse heraf11
. Europa-Parlamentet opfordrede Databeskyttelsesrådet til at
fastlægge de grundlæggende elementer i en fælles administrativ procedure til behandling af
klager i grænseoverskridende sager inden for rammerne af det samarbejde, der er etableret i
henhold til databeskyttelsesforordningens artikel 60. I 2020 iværksatte Databeskyttelsesrådet
overvejelser om, hvordan samarbejdet mellem databeskyttelsesmyndighederne i
grænseoverskridende sager kunne forbedres. Efter disse overvejelser12
sendte
Databeskyttelsesrådet i oktober 2022 Kommissionen en liste over proceduremæssige aspekter
af samarbejdet mellem databeskyttelsesmyndighederne, som kan harmoniseres på EU-plan13
.
I rapporten om to års anvendelse af databeskyttelsesforordningen bemærkede Kommissionen,
at der endnu ikke havde været nogen eksempler på tvistbilæggelse i Databeskyttelsesrådet.
Siden offentliggørelsen af rapporten i 2020 har Databeskyttelsesrådet vedtaget otte bindende
afgørelser i henhold til databeskyttelsesforordningens artikel 65, stk. 1, litra a).
Kommissionens deltagelse i Databeskyttelsesrådet har givet den mulighed for at lære af,
hvordan tvistbilæggelsesmekanismen fungerer. Det er navnlig Kommissionens vurdering, at
undersøgelsen kan gøres mere hensigtsmæssig, og at det er muligt at undgå tvistbilæggelse
ved at øge graden af samarbejde mellem databeskyttelsesmyndighederne, inden den ledende
databeskyttelsesmyndighed forelægger et udkast til afgørelse.
9
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en hjørnesten i
borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle
forordning om databeskyttelse (COM(2020) 264 final).
10
Arbejdsdokument fra Kommissionens tjenestegrene – Ledsagedokument til meddelelse fra
Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en hjørnesten i borgernes
indflydelse og EU's tilgang til den digitale.
omstilling – to års anvendelse af den generelle forordning om databeskyttelse (SWD(2020) 115 final).
11
Europa-Parlamentets beslutning af 25. marts 2021 om Kommissionens evalueringsrapport vedrørende
implementeringen af databeskyttelsesforordningen to år efter dens anvendelse(2020/2717(RSP)).
12
https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-
cooperation_en
13
https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-
0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf
DA 8 DA
• Høringer af interessenter
Udarbejdelsen af forslaget bygger på input fra en bred vifte af interessenter. Der var bred
enighed blandt interessenterne om, at der kunne gøres mere for at forbedre effektiviteten af
den grænseoverskridende håndhævelse af databeskyttelsesforordningen.
Kommissionen modtog navnlig input til forslaget fra følgende:
 Databeskyttelsesrådet: Databeskyttelsesrådet består af
databeskyttelsesmyndighederne, som håndhæver databeskyttelsesforordningen. Det
har bl.a. til opgave at bilægge tvister i grænseoverskridende sager inden for
rammerne af databeskyttelsesforordningen. Kommissionen tog behørigt hensyn til
Databeskyttelsesrådets input i alle faser af den forberedende proces. I første omgang
er forslaget en reaktion på den liste over spørgsmål, som Databeskyttelsesrådet
fremsendte til Kommissionen i oktober 2022, og hvori de aspekter af den
grænseoverskridende håndhævelsesprocedure, der kan harmoniseres på EU-plan,
kortlægges. I forslaget behandles de fleste af de spørgsmål, som
Databeskyttelsesrådet har opført på sin liste. I visse tilfælde besluttede
Kommissionen ikke at behandle de spørgsmål, som Databeskyttelsesrådet havde
påpeget, navnlig når Kommissionen mente, at spørgsmålet allerede var blevet
behandlet tilstrækkeligt i databeskyttelsesforordningen, eller at sagen fortsat bør
ligge inden for den ledende databeskyttelsesmyndigheds skøn eller afgøres i henhold
til national ret. Desuden behandles visse spørgsmål i forslaget ud over dem, som
Databeskyttelsesrådet har opført på sin liste, når Kommissionen fandt dette
nødvendigt for at sikre en gnidningsløs håndhævelse på tværs af grænserne og
respekt for retten til en retfærdig rettergang. På møderne den 21. marts 2023 og den
24. april 2023 gennemførte Kommissionen også målrettede høringer om visse
aspekter af forslaget med undergrupper af Databeskyttelsesrådet, der beskæftiger sig
med grænseoverskridende samarbejde og håndhævelse, for at udnytte ekspertisen hos
de databeskyttelsesmyndigheder, der beskæftiger sig med disse spørgsmål i deres
daglige arbejde. Databeskyttelsesrådet støttede fuldt ud Kommissionens indsats på
dette område og gav værdifuldt input til Kommissionen på møderne i marts og april
2023.
 Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om
Databeskyttelse: Denne ekspertgruppe blev nedsat for at bistå Kommissionen med
anvendelsen af databeskyttelsesforordningen. Den består af repræsentanter for
civilsamfundet, erhvervslivet, den akademiske verden og aktører fra retsvæsenet. Der
var bred opbakning i denne gruppe til, at Kommissionen træffer foranstaltninger på
dette område gennem et lovgivningsmæssigt forslag. På et møde den 19. oktober
2022 fandt der en første drøftelse sted af Databeskyttelsesrådets liste fra oktober
2022, og et andet møde den 21. april 2023 anvendte Kommissionen til at høre om
specifikke aspekter af forslaget. I betragtning af den brede vifte af interessenter, der
er repræsenteret i denne gruppe, varierede interessenternes synspunkter vedrørende
bestemte aspekter af forslaget. Alle interessenter støttede indførelsen af en retlig
ramme for mindelig bilæggelse i forslaget. NGO'erne udtrykte tilfredshed med, at
Kommissionen har til hensigt at harmonisere klagernes form og støttede forslaget om
at inddrage klageren i proceduren, idet de bemærkede de store forskelle i
behandlingen af klager i medlemsstaterne. Branchegrupper, der repræsenterer
dataansvarlige og databehandlere, understregede behovet for at give de parter, der er
genstand for en undersøgelse, ret til at blive hørt og tilskynde til bilæggelse af tvister
mellem databeskyttelsesmyndigheder tidligt i undersøgelsesprocessen.
DA 9 DA
 Medlemsstaternes Ekspertgruppe vedrørende Den Generelle Forordning om
Databeskyttelse: Denne ekspertgruppe fungerer som et forum for udveksling af
synspunkter og oplysninger mellem Kommissionen og medlemsstaterne om
anvendelsen af databeskyttelsesforordningen. Kommissionen anmodede om
medlemsstaternes synspunkter vedrørende Databeskyttelsesrådets liste fra oktober
2022, inden den påbegyndte udarbejdelsen af forslaget. Medlemsstaterne støttede i
det store og hele idéen om et lovgivningsmæssigt forslag til styrkelse af den
grænseoverskridende håndhævelse af databeskyttelsesforordningen og hilste den
velkommen. Visse medlemsstater med horisontale procedureregler, der finder
anvendelse på alle administrative procedurer, konstaterede imidlertid, der kunne
være interferens med disse regler, navnlig med hensyn til harmoniseringen af
parternes ret til at blive hørt og klagernes inddragelse i proceduren. Kommissionen
har derfor nøje begrænset harmoniseringen af disse aspekter i forslaget til
grænseoverskridende sager og i det omfang, det er nødvendigt for at sikre, at
samarbejds- og tvistbilæggelsesmekanismen fungerer gnidningsløst. Kommissionen
afholdt den 19. april 2023 et særligt møde med medlemsstaternes Ekspertgruppe
vedrørende Den Generelle Forordning om Databeskyttelse.
Kommissionen afholdt efter anmodning også bilaterale møder om forslaget med NGO'er,
nationale myndigheder og brancheorganisationer.
Kommissionen offentliggjorde en indkaldelse af feedback fra den 24. februar til den 24. marts
2023 og modtog 73 svar. Kommissionen modtog feedback fra en bred vifte af interessenter,
herunder NGO'er og industrisammenslutninger.
Kommissionen har taget behørigt hensyn til feedback fra alle interessenter i forbindelse med
udarbejdelsen af forslaget.
• Indhentning og brug af ekspertbistand
I forslaget tages der hensyn til den input, der er modtaget fra interessenter under den
forberedende proces, navnlig den ekspertise, der blev stillet til rådighed af
Databeskyttelsesrådet, Multiinteressent-Ekspertgruppen vedrørende Den Generelle
Forordning om Databeskyttelse og medlemsstaternes Ekspertgruppe vedrørende Den
Generelle Forordning om Databeskyttelse.
Forslaget bygger også på Den Europæiske Unions Domstols (EU-Domstolen) praksis, navnlig
dens praksis vedrørende samarbejds- og sammenhængsmekanismen i
databeskyttelsesforordningen og dens praksis vedrørende retten til at blive hørt og retten til
god forvaltning, jf. chartrets artikel 41.
• Konsekvensanalyse
Der er ikke blevet foretaget en konsekvensanalyse af dette forslag. Forslaget berører ikke de
registreredes rettigheder, de dataansvarliges og databehandlernes forpligtelser eller
retsgrundlaget for behandlingen af personoplysninger som fastsat i
databeskyttelsesforordningen.
Forslaget supplerer databeskyttelsesforordningen på en målrettet måde ved at præcisere
procedurereglerne for den grænseoverskridende håndhævelsesprocedure, der er fastsat i
kapitel VII i databeskyttelsesforordningen. På den måde ligger forslaget inden for den
proceduremæssige ramme, der er fastsat i databeskyttelsesforordningen
DA 10 DA
Forslagets virkning vil således være begrænset til at forbedre den måde, hvorpå den
grænseoverskridende håndhævelsesprocedure, der er fastsat i databeskyttelsesforordningen,
fungerer. Forslaget ændrer ikke på de roller, aktørerne i denne procedure har – klagere, den
ledende databeskyttelsesmyndighed, de berørte databeskyttelsesmyndigheder og
Databeskyttelsesrådet – som er fastsat i databeskyttelsesforordningen. Forslaget vil derfor
ikke få væsentlige økonomiske, miljømæssige eller sociale virkninger eller medføre
betydelige udgifter.
Harmoniseringen af disse proceduremæssige aspekter vil have en positiv indvirkning på
databeskyttelsesmyndighederne, klagerne, de parter, der er genstand for en undersøgelse, og
offentlighedens tillid til databeskyttelsesforordningen:
 Databeskyttelsesmyndighederne – initiativet vil understøtte samarbejdsproceduren
og skabe klarhed om ordningerne for og timingen af samarbejde i
grænseoverskridende sager. Det vil gøre det muligt for
databeskyttelsesmyndighederne at udnytte deres ressourcer mere effektivt. Ved at
give databeskyttelsesmyndighederne redskaber til at styrke deres samarbejde i
grænseoverskridende sager vil initiativet desuden lette konsensusopbygningen
mellem databeskyttelsesmyndighederne, mindske antallet af tvister og fremme
samarbejdsånden.
 Klagere og registrerede – strømliningen af samarbejdet mellem
databeskyttelsesmyndighederne i forbindelse med håndhævelsen af
databeskyttelsesforordningen vil understøtte en rettidig afslutning af
undersøgelserne. Dette vil være med til at sikre, at overtrædelser af
databeskyttelsesforordningen håndteres mere effektivt, og sikre den registrerede et
hurtigt retsmiddel. Desuden vil klagerne have samme mulighed for at blive inddraget
i proceduren i grænseoverskridende sager, uanset hvor klagen indgives, eller hvilken
databeskyttelsesmyndighed der er den ledende databeskyttelsesmyndighed.
 De parter, der er genstand for en undersøgelse – et forbedret samarbejde i
grænseoverskridende sager vil bidrage til at afkorte undersøgelsen og sikre, at der
stilles de nødvendige garantier såsom retten til at blive hørt og til aktindsigt, hvorved
der sikres beskyttelse af retten til god forvaltning (chartrets artikel 41) og retten til et
forsvar (chartrets artikel 48) for de parter, der er genstand for en undersøgelse. En
harmonisering af disse rettigheder vil også gøre den endelige afgørelse mere solid.
 Offentlighedens tillid til databeskyttelsesforordningen – initiativet vil styrke
offentlighedens tillid til databeskyttelsesforordningen ved at fremme en hurtigere
gennemførelse af undersøgelser og mindske antallet af tvister mellem
databeskyttelsesmyndigheder i grænseoverskridende sager.
• Målrettet regulering og forenkling
Ikke relevant
• Grundlæggende rettigheder
Ved at fremme en hurtig bilæggelse af grænseoverskridende sager understøtter forslaget de
registreredes ret til beskyttelse af deres personoplysninger i henhold til chartrets artikel 8 og
retten til effektive retsmidler i henhold til chartrets artikel 47.
DA 11 DA
Ved at harmonisere den ret, som de parter, der er genstand for en undersøgelse, har til at blive
hørt og til at få aktindsigt, sikrer forslaget parternes ret til god forvaltning i henhold til
chartrets artikel 41 og retten til et forsvar i henhold til chartrets artikel 48.
4. VIRKNINGER FOR BUDGETTET
Forslaget har ingen budgetmæssige konsekvenser.
5. ANDRE FORHOLD
• Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og
rapportering
Kommissionen vil overvåge anvendelsen af forordningen sammen med sin løbende
overvågning af anvendelsen af databeskyttelsesforordningen.
• Forklarende dokumenter (for direktiver)
Ikke relevant
• Nærmere redegørelse for de enkelte bestemmelser i forslaget
I kapitel I beskrives forordningens genstand, og de definitioner, der anvendes i forordningen,
fastsættes. De definitioner, der anvendes i databeskyttelsesforordningen, finder anvendelse på
forslaget. Forslaget omhandler kun den grænseoverskridende håndhævelse af
databeskyttelsesforordningen.
Kapitel II indeholder detaljerede regler for indgivelse og behandling af klager. Der fastsættes
heri bestemmelser om en formular, der specificerer de oplysninger, der kræves i forbindelse
med grænseoverskridende klager indgivet på grundlag af databeskyttelsesforordningens
artikel 77, og det angives, hvilket faktorer databeskyttelsesmyndighederne skal tage hensyn
til, når de overvejer, i hvilket omfang det er hensigtsmæssigt at undersøge en klage. Ved at
indføre en fælles formular for alle grænseoverskridende klager forenkles klageproceduren for
de registrerede, og de fragmenterede tilgange til begrebet klage fjernes. I henhold til artikel 3
skal databeskyttelsesmyndighederne give klageren en kvittering for modtagelsen af klagen. I
artikel 5 fastsættes der en retlig ramme for mindelig bilæggelse af klager for at gøre det lettere
for databeskyttelsesmyndighederne at anvende mindelig bilæggelse og for at præcisere de
retlige konsekvenser af en mindelig bilæggelse for klagere og databeskyttelsesmyndigheder.
Artikel 6 indeholder detaljerede regler for oversættelse af dokumenter i forbindelse med
grænseoverskridende samarbejde.
Kapitel III vedrører samarbejde mellem tilsynsmyndigheder i grænseoverskridende sager.
Afsnit 1 indeholder yderligere værktøjer, som databeskyttelsesmyndighederne kan bruge til at
nå til enighed i grænseoverskridende sager. Det præciseres, at de "relevante oplysninger",
som tilsynsmyndighederne skal dele i forbindelse med grænseoverskridende samarbejde, bør
omfatte visse dokumenter, og at disse dokumenter bør deles hurtigst muligt. Denne
bestemmelse sikrer, at de berørte databeskyttelsesmyndigheder får alle de oplysninger, der er
nødvendige for at kunne fremsætte deres synspunkter vedrørende undersøgelsen til den
ledende databeskyttelsesmyndighed.
I artikel 9 fastsættes det, at når den ledende databeskyttelsesmyndighed har foretaget en
foreløbig vurdering af undersøgelsen, sender den et "resumé af de centrale spørgsmål" med
angivelse af de vigtigste faktiske omstændigheder og den ledende
DA 12 DA
databeskyttelsesmyndigheds synspunkter i sagen til de berørte databeskyttelsesmyndigheder.
Formålet med resuméet af de centrale spørgsmål er at gøre det muligt for de berørte
databeskyttelsesmyndigheder på meningsfuld vis at få indflydelse på undersøgelsens forløb på
et tidligt tidspunkt ved at fremsætte deres synspunkter vedrørende den ledende
databeskyttelsesmyndigheds vurdering. Dette vil hjælpe databeskyttelsesmyndighederne med
at bilægge tvister om f.eks. den juridiske vurdering eller, i klagebaserede sager,
undersøgelsens omfang på et tidligt tidspunkt og dermed mindske sandsynligheden for
tvistbilæggelse senere i proceduren. Hvis der på dette tidspunkt ikke er enighed om omfanget
af undersøgelsen i klagebaserede sager eller den komplekse juridiske eller teknologiske
vurdering, som den ledende databeskyttelsesmyndighed har foretaget, kræves det i artikel 10,
at den databeskyttelsesmyndighed, der er uenig med den ledende databeskyttelsesmyndighed,
skal fremsætte en anmodning til den ledende databeskyttelsesmyndighed i henhold til
databeskyttelsesforordningens artikel 61 (gensidig bistand) eller 62 (fælles aktiviteter). Denne
bestemmelse sikrer, at databeskyttelsesmyndighederne vil gøre brug af alle de værktøjer, som
databeskyttelsesforordningen stiller til rådighed, til at løse uoverensstemmelser om centrale
spørgsmål under samarbejdsproceduren. Hvis databeskyttelsesmyndighederne ikke kan nå til
enighed om omfanget af undersøgelsen i klagebaserede sager, fastsættes det i artikel 10, at
den ledende databeskyttelsesmyndighed skal anmode Databeskyttelsesrådet om en hurtig
bindende afgørelse i henhold til databeskyttelsesforordningens artikel 66, stk. 3. I så fald må
det anses for at være nødvendigt at handle hurtigt. Denne bestemmelse sikrer, at uenigheden
om omfanget bilægges hurtigt og effektivt, hvilket giver den ledende
databeskyttelsesmyndighed den nødvendige klarhed til at kunne gå videre med undersøgelsen.
Afdeling 2 i kapitel III indeholder detaljerede regler for hel eller delvis afvisning af klager.
Disse bestemmelser sikrer, at den databeskyttelsesmyndighed, som klagen er indgivet til,
råder over de oplysninger, der er nødvendige for, at den kan vedtage afgørelsen om afvisning
af en klage, og at der træffes en afgørelse om afvisning af en klage i alle tilfælde, hvor der
ikke gås videre med klagen, eller den trækkes tilbage. Klageren får også mulighed for at
fremsætte sine synspunkter, inden klagen afvises helt eller delvist.
Afdeling 3 i kapitel III harmoniserer den ret, som de parter, der er genstand for en
undersøgelse, har til at blive hørt. Det fastsættes, at den ledende databeskyttelsesmyndighed
skal forelægge de parter, der er genstand for undersøgelsen, sine foreløbige konklusioner med
angivelse af de fremsatte indsigelser, de relevante kendsgerninger, dokumentation, juridiske
analyser og, hvor det er relevant, foreslåede korrigerende foranstaltninger. De foreløbige
konklusioner vil gøre det muligt for de parter, der er genstand for undersøgelsen, fuldt ud at
forstå de fremsatte påstande og reagere på disse påstande, samtidig med at deres ret til et
forsvar sikres. Artikel 15 giver klagerne mulighed for at fremsætte deres synspunkter
vedrørende de foreløbige konklusioner skriftligt. I artikel 17 fastsættes det, at de parter, der er
genstand for en undersøgelse, skal have mulighed for at fremsætte deres synspunkter, hvis den
ledende databeskyttelsesmyndighed har til hensigt at forelægge et revideret udkast til
afgørelse i lyset af relevante og begrundede indsigelser fra de berørte
databeskyttelsesmyndigheder.
I afdeling 4 i kapitel III fastsættes der detaljerede krav til formen og strukturen af de relevante
og begrundede indsigelser fra de berørte databeskyttelsesmyndigheder for dermed at sikre alle
databeskyttelsesmyndigheders effektive deltagelse og en målrettet og hurtig bilæggelse af
sagen.
Kapitel IV indeholder detaljerede regler for aktindsigt og behandling af fortrolige
oplysninger. Disse bestemmelser skaber klarhed om, hvilke dokumenter der skal indgå i de
DA 13 DA
administrative sagsakter i grænseoverskridende sager, og hvornår de parter, der er genstand
for en undersøgelse, gives aktindsigt.
I kapitel V fastsættes procedurereglerne for tvistbilæggelsesproceduren i
databeskyttelsesforordningens artikel 65. I artikel 22 præciseres det, hvilke oplysninger den
ledende databeskyttelsesmyndighed skal give Databeskyttelsesmyndigheden, når den
forelægger en sag til tvistbilæggelse. Der fastsættes frister og ordninger for vurdering af,
hvorvidt Databeskyttelsesrådet kan antage de relevante og begrundede indsigelser. Artikel 24
indeholder bestemmelser om høring af de parter, der er genstand for en undersøgelse, eller, i
tilfælde af afvisning af en klage, klageren forud for Databeskyttelsesrådets bindende afgørelse
i henhold til databeskyttelsesforordningens artikel 65, stk. 1, litra a). Ved at præcisere alle
aktørers roller og fastsætte frister for visse proceduremæssige skridt vil disse bestemmelser
gøre det lettere hurtigt og effektivt at afslutte tvistbilæggelsesproceduren.
I artikel 25 og 26 fastsættes der detaljerede ordninger for forelæggelse af spørgsmål til
tvistbilæggelse i henhold til databeskyttelsesforordningens artikel 65, stk. 1, litra b) og c).
I kapitel VI fastsættes detaljerede procedureregler for hasteproceduren i
databeskyttelsesforordningens artikel 66.
Kapitel VII indeholder de afsluttende bestemmelser i forordningen, som vedrører frister,
overgangsbestemmelser og forordningens ikrafttræden.
DA 14 DA
2023/0202 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg14
,
under henvisning til udtalelse fra Regionsudvalget15
,
efter den almindelige lovgivningsprocedure, og
ud fra følgende betragtninger:
(1) Med Europa-Parlamentets og Rådets forordning (EU) 2016/67916
blev der indført et
decentraliseret håndhævelsessystem, der har til formål at sikre en konsekvent
fortolkning og anvendelse af forordning (EU) 2016/679 i grænseoverskridende sager. I
sager vedrørende grænseoverskridende behandling af personoplysninger kræves der i
medfør af dette system et samarbejde mellem tilsynsmyndighederne, som skal forsøge
at nå til enighed, og hvis de ikke kan det, skal Det Europæiske Databeskyttelsesråd
("Databeskyttelsesrådet") bilægge tvisten.
(2) For at sikre, at den samarbejds- og tvistbilæggelsesmekanisme, der er omhandlet i
artikel 60 og 65 i forordning (EU) 2016/679, fungerer gnidningsfrit og effektivt, er det
nødvendigt at fastsætte regler for tilsynsmyndighedernes gennemførelse af procedurer
i grænseoverskridende sager og for Databeskyttelsesrådet i forbindelse med
tvistbilæggelse, herunder behandling af grænseoverskridende klager. Det er derfor
også nødvendigt at fastsætte regler for, hvordan de parter, der er genstand for en
undersøgelse, kan udøve deres ret til at blive hørt, inden tilsynsmyndighederne og i
givet fald Databeskyttelsesrådet træffer afgørelse.
(3) Klager udgør en vigtig informationskilde, når det drejer sig om at opdage
overtrædelser af databeskyttelsesreglerne. Det er nødvendigt at fastlægge klare og
14
EUT C , , s. .
15
EUT C , , s. .
16
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse) (EUT
L 119 af 4.5.2016, s. 1).
DA 15 DA
effektive procedurer for behandling af klager i grænseoverskridende sager, da en klage
kan blive behandlet af en anden tilsynsmyndighed end den, klagen er indgivet til.
(4) For at en klage kan antages til behandling, bør den indeholde visse nærmere angivne
oplysninger. For at hjælpe klagerne med at indgive de nødvendige oplysninger til
tilsynsmyndighederne bør der derfor stilles en klageformular til rådighed. De
oplysninger, der er angivet i formularen, bør kun kræves i tilfælde af
grænseoverskridende behandling som omhandlet i forordning (EU) 2016/679, selv om
formularen kan anvendes af tilsynsmyndighederne i sager, der ikke vedrører
grænseoverskridende behandling. Formularen kan indsendes elektronisk eller pr. post.
Det bør være en betingelse for, at en klage vedrørende grænseoverskridende
behandling kan behandles som en klage, jf. artikel 77 i forordning (EU) 2016/679, at
de oplysninger, der kræves i denne formular, indgives. Der bør ikke kræves yderligere
oplysninger, for at en klage kan antages til behandling. Det bør være muligt for
tilsynsmyndighederne at gøre det lettere at indgive klager i et brugervenligt
elektronisk format og under hensyntagen til behovene hos personer med handicap, så
længe de oplysninger, der kræves af klageren, svarer til de oplysninger, der kræves i
formularen, og der ikke er behov for yderligere oplysninger, for at klagen kan antages
til behandling.
(5) Tilsynsmyndighederne er forpligtet til at træffe afgørelse om klager inden for en
rimelig frist. Hvad der er en rimelig frist, afhænger af omstændighederne i den enkelte
sag og navnlig af konteksten, den ledende tilsynsmyndigheds forskellige
proceduremæssige skridt, parternes adfærd under proceduren og sagens kompleksitet.
(6) Enhver klage, der behandles af en tilsynsmyndighed i henhold til artikel 57, stk. 1, litra
f), i forordning (EU) 2016/679, skal undersøges med den fornødne omhu, i det omfang
det er hensigtsmæssigt, under hensyntagen til at enhver brug af tilsynsmyndighedens
beføjelser skal være hensigtsmæssig, nødvendig og forholdsmæssig med henblik på at
sikre overholdelse af forordning (EU) 2016/679. Det er op til den enkelte kompetente
myndighed at afgøre, i hvilket omfang en klage skal undersøges. Når
tilsynsmyndighederne vurderer, i hvilket omfang en undersøgelse vil være
hensigtsmæssig, bør de sigte mod at nå frem til en for klageren tilfredsstillende
løsning, som ikke nødvendigvis kræver en udtømmende undersøgelse af alle mulige
retlige og faktuelle elementer i forbindelse med klagen, men som giver klageren
effektive og hurtige retsmidler. Vurderingen af de nødvendige
undersøgelsesforanstaltningers omfang kan baseres på den påståede overtrædelses
grovhed, dens systemiske eller gentagne karakter eller det forhold, at klageren også
har udnyttet sine rettigheder i henhold til artikel 79 i forordning (EU) 2016/679.
(7) Den ledende tilsynsmyndighed bør give den tilsynsmyndighed, som klagen er indgivet
til, de nødvendige oplysninger om forløbet af undersøgelsen med henblik på at give
klageren opdateringer.
(8) Den kompetente tilsynsmyndighed bør give klageren adgang til de dokumenter, på
grundlag af hvilke tilsynsmyndigheden er nået frem til en foreløbig konklusion om
helt eller delvist at afvise klagen.
(9) For at tilsynsmyndighederne hurtigt kan bringe overtrædelser af forordning (EU)
2016/679 til ophør og sikre en hurtig løsning for klagere, bør tilsynsmyndighederne,
hvor det er relevant, bestræbe sig på at opnå en mindelig løsning af klagesager. Det
forhold, at der er fundet en mindelig løsning på en individuel klage, forhindrer ikke
den kompetente tilsynsmyndighed i at forfølge en sag på eget initiativ, f.eks. i tilfælde
af systemiske eller gentagne overtrædelser af forordning (EU) 2016/679.
DA 16 DA
(10) For at sikre, at samarbejds- og sammenhængsmekanismerne i kapitel VII i forordning
(EU) 2016/679 fungerer effektivt, er det vigtigt, at grænseoverskridende sager afgøres
rettidigt og i overensstemmelse med den ånd af loyalt og effektivt samarbejde, der
ligger til grund for artikel 60 i forordning (EU) 2016/679. Den ledende
tilsynsmyndighed bør udøve sin kompetence i tæt samarbejde med de øvrige berørte
tilsynsmyndigheder. På samme måde bør de berørte tilsynsmyndigheder aktivt deltage
i undersøgelsen på et tidligt tidspunkt med henblik på at nå til enighed og gøre fuld
brug af de værktøjer, der er fastsat i forordning (EU) 2016/679.
(11) Det er navnlig vigtigt for tilsynsmyndighederne at nå til enighed om centrale aspekter
af undersøgelsen så tidligt som muligt og forud for fremsendelsen af påstandene til de
parter, der er genstand for en undersøgelse, og for vedtagelsen af det udkast til
afgørelse, der er omhandlet i artikel 60 i forordning (EU) 2016/679, for derved at
reducere antallet af sager, der forelægges tvistbilæggelsesmekanismen, jf. artikel 65 i
forordning (EU) 2016/679, og i sidste ende sikre en hurtig løsning af
grænseoverskridende sager.
(12) Samarbejdet mellem tilsynsmyndighederne bør være baseret på en åben dialog, der
giver de berørte tilsynsmyndigheder mulighed for på meningsfuld vis at påvirke
undersøgelsens forløb ved at dele deres erfaringer og synspunkter med den ledende
tilsynsmyndighed under behørig hensyntagen til den enkelte tilsynsmyndigheds
skønsmargen, herunder ved vurderingen af, i hvilket omfang det er hensigtsmæssigt at
undersøge en sag, og til medlemsstaternes forskellige traditioner. Med henblik herpå
bør den ledende tilsynsmyndighed give de berørte tilsynsmyndigheder et resumé af de
centrale spørgsmål med en foreløbig vurdering af de vigtigste spørgsmål i en
undersøgelse. Resuméet bør gives på et så tidligt tidspunkt, at det er muligt at inddrage
de berørte tilsynsmyndigheder effektivt, men samtidig på et tidspunkt, hvor den
ledende tilsynsmyndigheds synspunkter om sagen er tilstrækkeligt nuancerede. De
berørte tilsynsmyndigheder bør have mulighed for at fremsætte bemærkninger til en
bred vifte af spørgsmål såsom undersøgelsens omfang og kortlægningen af komplekse
faktuelle og retlige vurderinger. Da undersøgelsens omfang er afgørende for, hvilke
spørgsmål den ledende tilsynsmyndighed skal undersøge, bør tilsynsmyndighederne
bestræbe sig på at nå til enighed om undersøgelsens omfang så tidligt som muligt.
(13) For at sikre et effektivt og inkluderende samarbejde mellem alle berørte
tilsynsmyndigheder og den ledende tilsynsmyndighed bør bemærkningerne fra de
berørte tilsynsmyndigheder være kortfattede og formuleret tilstrækkelig klart og
præcist til, at de er let forståelige for alle tilsynsmyndigheder. De retlige argumenter
bør grupperes efter den del af resuméet af de centrale spørgsmål, som de vedrører. De
berørte tilsynsmyndigheders bemærkninger kan suppleres med yderligere dokumenter.
Det kan imidlertid ikke kompensere for det forhold, at bemærkningerne ikke
indeholder de krævede væsentlige retlige eller faktiske argumenter, at en berørt
tilsynsmyndighed i sine bemærkninger blot henviser til supplerende dokumenter. De
væsentlige faktiske og retlige omstændigheder, der lægges til grund i disse
dokumenter, skal, i det mindste kortfattet, fremgå af selve bemærkningerne på en
sammenhængende og forståelig måde.
(14) Sager, der ikke rejser stridsspørgsmål, kræver ikke omfattende drøftelser mellem
tilsynsmyndighederne for, at de kan nå til enighed, og kan derfor behandles hurtigere.
Hvis ingen af de berørte tilsynsmyndigheder fremsætter bemærkninger til resuméet af
de centrale spørgsmål, bør den ledende tilsynsmyndighed inden for ni måneder
meddele de foreløbige konklusioner, jf. artikel 14.
DA 17 DA
(15) Tilsynsmyndighederne bør benytte alle de midler, der er nødvendige for at opnå
enighed i en ånd af loyalt og effektivt samarbejde. Hvis der er holdningsforskelle
mellem de berørte tilsynsmyndigheder og den ledende tilsynsmyndighed om omfanget
af en klagebaseret undersøgelse, herunder om bestemmelserne i forordning (EU)
2016/679, hvis overtrædelse skal undersøges, eller hvis bemærkningerne fra de berørte
tilsynsmyndigheder vedrører en vigtig ændring i den komplekse juridiske eller
teknologiske vurdering, bør den berørte myndighed anvende de værktøjer, der er
fastsat i artikel 61 og 62 i forordning (EU) 2016/679.
(16) Hvis anvendelsen af disse værktøjer ikke gør det muligt for tilsynsmyndighederne at
nå til enighed om omfanget af en klagebaseret undersøgelse, bør den ledende
tilsynsmyndighed anmode om en hurtig bindende afgørelse fra Databeskyttelsesrådet,
jf. artikel 66, stk. 3, i forordning (EU) 2016/679. Med henblik herpå bør det formodes,
at der er krav om uopsættelighed. Den ledende tilsynsmyndighed bør drage passende
konklusioner af Databeskyttelsesrådets hurtige bindende afgørelse med henblik på de
foreløbige konklusioner. Databeskyttelsesrådets hurtige bindende afgørelse kan ikke
foregribe resultatet af den ledende tilsynsmyndigheds undersøgelse eller påvirke
overholdelsen af de berørte parters ret til at blive hørt. Databeskyttelsesrådet bør
navnlig ikke udvide undersøgelsens omfang på eget initiativ.
(17) For at gøre det muligt for klageren at udøve sin ret til effektive retsmidler i henhold til
artikel 78 i forordning (EU) 2016/679 bør tilsynsmyndigheden, når den helt eller
delvis afviser en klage, gøre det ved en afgørelse, der kan anfægtes ved en national
domstol.
(18) Klagere bør have mulighed for at give udtryk for deres synspunkter, inden der træffes
en afgørelse, der går dem imod. Ved hel eller delvis afvisning af en klage i en
grænseoverskridende sag bør klageren derfor have mulighed for at fremsætte sine
synspunkter forud for forelæggelsen af et udkast til afgørelse, jf. artikel 60, stk. 3, i
forordning (EU) 2016/679, et revideret udkast til afgørelse, jf. artikel 60, stk. 4, i
forordning (EU) 2016/679, eller en bindende afgørelse fra Databeskyttelsesrådet, jf.
artikel 65, stk. 1, litra a), i forordning (EU) 2016/679. Klageren kan anmode om
aktindsigt i den ikkefortrolige udgave af de dokumenter, der ligger til grund for
afgørelsen om helt eller delvis at afvise klagen.
(19) Det er nødvendigt at præcisere ansvarsfordelingen mellem den ledende
tilsynsmyndighed og den tilsynsmyndighed, som klagen er indgivet til, i tilfælde af
afvisning af en klage i en grænseoverskridende sag. Den tilsynsmyndighed, som
klagen er indgivet til, og som er kontaktpunkt for klageren under undersøgelsen, bør
indhente klagerens synspunkter om den foreslåede afvisning af klagen og være
ansvarlig for al kommunikation med klageren. Al sådan kommunikation bør deles med
den ledende tilsynsmyndighed. Eftersom den tilsynsmyndighed, som klagen er
indgivet til, jf. artikel 60, stk. 8 og 9, i forordning (EU) 2016/679, har ansvaret for at
træffe den endelige afgørelse om afvisning af klagen, bør denne tilsynsmyndighed
også have ansvaret for at udarbejde udkastet til afgørelse, jf. artikel 60, stk. 3, i
forordning (EU) 2016/679.
(20) En effektiv håndhævelse af Unionens databeskyttelsesregler udelukker på ingen måde
fuld respekt for parternes ret til et forsvar, hvilket er et af EU-rettens grundprincipper,
som under alle omstændigheder skal overholdes og i særdeleshed i sager, hvor der kan
være tale om bødepålæg.
(21) For effektivt at sikre retten til god forvaltning og retten til et forsvar som fastsat i Den
Europæiske Unions charter om grundlæggende rettigheder ("chartret"), herunder retten
DA 18 DA
for enhver til at blive hørt, inden der træffes en individuel foranstaltning over for den
pågældende, som måtte berøre vedkommende negativt, er det vigtigt at fastsætte klare
regler for udøvelsen af denne ret.
(22) Reglerne vedrørende den administrative procedure, som tilsynsmyndighederne
anvender i forbindelse med håndhævelsen af forordning (EU) 2016/679, bør sikre, at
de parter, der er genstand for en undersøgelse, reelt har mulighed for at fremsætte
deres synspunkter med hensyn til rigtigheden og relevansen af de kendsgerninger,
indsigelser og omstændigheder, som tilsynsmyndigheden har fremført under hele
proceduren, og dermed sætte dem i stand til at udøve deres ret til et forsvar. De
foreløbige konklusioner indeholder den foreløbige holdning til den påståede
overtrædelse af forordning (EU) 2016/679 efter en undersøgelse. De udgør dermed en
meget vigtig proceduremæssig garanti, der sikrer, at retten til at blive hørt respekteres.
De parter, der er genstand for en undersøgelse, bør modtage de dokumenter, der er
nødvendige for at forsvare sig effektivt og fremsætte bemærkninger til de påstande,
der gøres gældende mod dem, ved at få aktindsigt i de administrative sagsakter.
(23) I de foreløbige konklusioner fastlægges undersøgelsens omfang og dermed omfanget
af enhver fremtidig endelig afgørelse (som alt efter omstændighederne træffes på
grundlag af en bindende afgørelse truffet af Databeskyttelsesrådet, jf. artikel 65, stk. 1,
litra a), i forordning (EU) 2016/679)), der kan rettes til de dataansvarlige eller
databehandlerne. De foreløbige konklusioner bør formuleres således, at de, selv om de
er kortfattede, er tilstrækkeligt klare til, at de parter, der er genstand for en
undersøgelse, på korrekt vis kan fastslå arten af den påståede overtrædelse af
forordning (EU) 2016/679. Forpligtelsen til at give de parter, der er genstand for en
undersøgelse, alle de oplysninger, der er nødvendige for, at de kan forsvare sig, er
opfyldt, hvis det i den endelige afgørelse ikke gøres gældende, at de parter, der er
genstand for en undersøgelse, har begået andre overtrædelser end dem, der er nævnt i
de foreløbige konklusioner, og der kun tages hensyn til de faktiske omstændigheder,
som de parter, der er genstand for en undersøgelse, har haft lejlighed til at udtale sig
om. Den ledende tilsynsmyndigheds endelige afgørelse er imidlertid ikke
nødvendigvis en kopi af de foreløbige konklusioner. Den ledende tilsynsmyndighed
bør i den endelige afgørelse kunne tage hensyn til svarene fra de parter, der er
genstand for en undersøgelse, på de foreløbige konklusioner og, hvor det er relevant,
det reviderede udkast til afgørelse, jf. artikel 60, stk. 5, i forordning (EU) 2016/679, og
afgørelsen om bilæggelse af tvisten mellem tilsynsmyndighederne, jf. artikel 65, stk. 1,
litra a). Den ledende tilsynsmyndighed bør kunne foretage sin egen vurdering af de
faktiske omstændigheder og de retlige vurderinger, som de parter, der er genstand for
en undersøgelse, har fremført, enten for at opgive indsigelserne, når
tilsynsmyndigheden finder dem ubegrundede, eller for at supplere og omformulere
sine argumenter, både de jure eller de facto, til støtte for de indsigelser, den fastholder.
Eksempelvis kan det forhold, at der tages hensyn til et argument, der er fremført af en
part, der er genstand for en undersøgelse under den administrative procedure, uden at
denne part har haft mulighed for at udtale sig herom inden vedtagelsen af den endelige
afgørelse, ikke i sig selv udgøre en tilsidesættelse af retten til et forsvar.
(24) De parter, der er genstand for en undersøgelse, bør have ret til at blive hørt forud for
forelæggelsen af et revideret udkast til afgørelse, jf. artikel 60, stk. 5, i forordning
(EU) 2016/679, eller Databeskyttelsesrådets vedtagelse af en bindende afgørelse, jf.
artikel 65, stk. 1, litra a), i forordning (EU) 2016/679.
(25) Klagere bør have mulighed for at blive inddraget i de procedurer, der indledes af en
tilsynsmyndighed med henblik på at kortlægge eller afklare spørgsmål vedrørende en
DA 19 DA
potentiel overtrædelse af forordning (EU) 2016/679. Det forhold, at en
tilsynsmyndighed allerede har indledt en undersøgelse vedrørende klagens genstand
eller vil behandle klagen i en undersøgelse på eget initiativ efter modtagelsen af
klagen, udelukker ikke, at en registreret kan betragtes som klager. En
tilsynsmyndigheds undersøgelse af en dataansvarligs eller databehandlers eventuelle
overtrædelse af forordning (EU) 2016/679 udgør imidlertid ikke en kontradiktorisk
procedure mellem klageren og de parter, der undersøges. Det er en procedure, der
indledes af en tilsynsmyndighed på eget initiativ eller på grundlag af en klage som led
i udførelsen af dens opgaver i henhold til artikel 57, stk. 1, i forordning (EU)
2016/679. De parter, der er genstand for en undersøgelse, og klageren befinder sig
derfor ikke i samme proceduremæssige situation, og sidstnævnte kan ikke påberåbe sig
retten til at blive hørt, når afgørelsen ikke påvirker vedkommendes retsstilling
negativt. Klagerens inddragelse i sagen mod de parter, der er genstand for en
undersøgelse, kan ikke bringe disse parters ret til at blive hørt i fare.
(26) Klagerne bør have mulighed for at fremsætte deres synspunkter vedrørende de
foreløbige konklusioner skriftligt. De bør imidlertid ikke have adgang til
forretningshemmeligheder eller andre fortrolige oplysninger, der tilhører andre parter,
der er involveret i sagen. Klagere bør ikke have ret til generel aktindsigt i de
administrative sagsakter.
(27) Når tilsynsmyndighederne fastsætter frister for parter, der er genstand for en
undersøgelse, og klagere til at fremsætte deres synspunkter vedrørende de foreløbige
konklusioner, bør de tage hensyn til kompleksiteten af de spørgsmål, der rejses i de
foreløbige konklusioner, for at sikre, at de parter, der er genstand for en undersøgelse,
og klagerne har tilstrækkelig mulighed for på meningsfuld vis at fremsætte deres
synspunkter vedrørende de rejste spørgsmål.
(28) Udvekslingen af synspunkter forud for vedtagelsen af et udkast til afgørelse omfatter
en åben dialog og en omfattende udveksling af synspunkter, hvor
tilsynsmyndighederne bør gøre deres yderste for at nå til enighed om vejen frem i en
undersøgelse. Omvendt bør den uenighed, der er givet udtryk for i relevante og
begrundede indsigelser, jf. artikel 60, stk. 4, i forordning (EU) 2016/679, som
forbedrer muligheden for tvistbilæggelse mellem tilsynsmyndighederne, jf. artikel 65 i
forordning (EU) 2016/679, og forsinker den kompetente tilsynsmyndigheds vedtagelse
af en endelig afgørelse, kun undtagelsesvis opstå i tilfælde af, at tilsynsmyndighederne
ikke opnår enighed, og hvor det er nødvendigt for at sikre en konsekvent fortolkning
af forordning (EU) 2016/679. Sådanne indsigelser bør kun anvendes i beskedent
omfang, når det drejer sig om at sikre en konsekvent håndhævelse af forordning (EU)
2016/679, eftersom enhver anvendelse af relevante og begrundede indsigelser
forsinker den registreredes adgang til retsmidler. Da omfanget af undersøgelsen og de
relevante faktiske omstændigheder bør fastlægges, inden de foreløbige konklusioner
meddeles, bør de berørte tilsynsmyndigheder ikke rejse disse spørgsmål i relevante og
begrundede indsigelser. De kan dog tages op af de berørte tilsynsmyndigheder i deres
bemærkninger til resuméet af centrale spørgsmål, jf. artikel 9, stk. 3, inden de
foreløbige konklusioner meddeles de parter, der er genstand for en undersøgelse.
(29) For at sikre en effektiv og inkluderende afslutning på tvistbilæggelsesproceduren, hvor
alle tilsynsmyndigheder bør kunne bidrage med deres synspunkter, og under
hensyntagen til tidspresset i forbindelse med tvistbilæggelse, bør relevante og
begrundede indsigelsers form og struktur opfylde visse krav. Derfor bør relevante og
begrundede indsigelser begrænses til en fastsat længde, klart kortlægge uenigheden i
udkastet til afgørelse og formuleres tilstrækkelig klart, sammenhængende og præcist.
DA 20 DA
(30) Aktindsigt i administrative sagsakter er fastsat som en del af retten til et forsvar og
retten til god forvaltning, der er nedfældet i chartret. De parter, der er genstand for en
undersøgelse, bør have aktindsigt i de administrative sagsakter, når de underrettes om
de foreløbige konklusioner, og der bør fastsættes en frist for indgivelsen af deres
skriftlige svar på de foreløbige konklusioner.
(31) Når tilsynsmyndighederne giver aktindsigt i de administrative sagsakter, bør de sikre,
at forretningshemmeligheder og andre fortrolige oplysninger beskyttes. Kategorien
"andre fortrolige oplysninger" omfatter andre oplysninger end
forretningshemmeligheder, der kan betragtes som fortrolige, for så vidt som det vil
være til betydelig skade for en registeransvarlig, en databehandler eller en fysisk
person, hvis de videregives. Tilsynsmyndighederne bør kunne anmode de parter, der er
genstand for en undersøgelse, og som fremlægger eller har fremlagt dokumenter eller
erklæringer, om at udpege de fortrolige oplysninger.
(32) Når der er behov for forretningshemmeligheder eller andre fortrolige oplysninger for
at bevise en overtrædelse, bør tilsynsmyndighederne for hvert enkelt dokument
vurdere, om behovet for at videregive oplysningerne vejer tungere end hensynet til den
skade, som videregivelsen kan forvolde.
(33) Når et spørgsmål henvises til tvistbilæggelse, jf. artikel 65 i forordning (EU)
2016/679, bør den ledende tilsynsmyndighed give Databeskyttelsesrådet alle de
oplysninger, der er nødvendige for, at det kan vurdere, om de relevante og begrundede
indsigelser kan antages, og træffe afgørelse i henhold til artikel 65, stk. 1, litra a), i
forordning (EU) 2016/679. Når Databeskyttelsesrådet har modtaget alle de nødvendige
dokumenter, der er anført i artikel 23, bør formanden for Databeskyttelsesrådet
registrere forelæggelsen af spørgsmålet, jf. artikel 65, stk. 2, i forordning (EU)
2016/679.
(34) Databeskyttelsesrådets bindende afgørelse i henhold til artikel 65, stk. 1, litra a), i
forordning (EU) 2016/679 bør udelukkende vedrøre de spørgsmål, der førte til
indledning af tvistbilæggelsesproceduren, og være udformet på en måde, der gør det
muligt for den ledende tilsynsmyndighed at træffe sin endelige afgørelse på grundlag
af Databeskyttelsesrådets afgørelse, samtidig med at den bevarer sin skønsbeføjelse.
(35) For at strømline bilæggelsen af tvister mellem tilsynsmyndigheder, der forelægges
Databeskyttelsesrådet i henhold til artikel 65, stk. 1, litra b) og c), i forordning (EU)
2016/679, er det nødvendigt at præcisere procedurereglerne for hvilke dokumenter der
skal forelægges Databeskyttelsesrådet, og som Databeskyttelsesrådet bør basere sin
afgørelse på. Det er også nødvendigt at præcisere, hvornår Databeskyttelsesrådet bør
registrere forelæggelsen af sagen til tvistbilæggelse.
(36) For at strømline proceduren for Databeskyttelsesrådets vedtagelse af hasteudtalelser og
hurtige bindende afgørelser, jf. artikel 66, stk. 2, i forordning (EU) 2016/679, er det
nødvendigt at fastsætte procedureregler for tidsplanen for anmodningen om en
hasteudtalelse eller en hurtig bindende afgørelse, de dokumenter, der skal forelægges
Databeskyttelsesrådet, og som Databeskyttelsesrådet bør basere sin afgørelse på, hvem
Databeskyttelsesrådets udtalelse eller afgørelse skal rettes til, og konsekvenserne af
Databeskyttelsesrådets udtalelse eller afgørelse.
(37) Kapitel III og IV vedrører samarbejde mellem tilsynsmyndigheder, proceduremæssige
rettigheder for de parter, der er genstand for en undersøgelse, og inddragelse af
klagere. Af hensyn til retssikkerheden bør disse bestemmelser ikke finde anvendelse
på undersøgelser, der allerede er i gang på tidspunktet for denne forordnings
DA 21 DA
ikrafttræden. De bør finde anvendelse på undersøgelser på eget initiativ, der indledes
efter denne forordnings ikrafttræden, og på klagebaserede undersøgelser, hvor klagen
blev indgivet efter denne forordnings ikrafttræden. Kapitel V indeholder
procedureregler for sager, der indbringes til tvistbilæggelse i henhold til artikel 65 i
forordning (EU) 2016/679. Af hensyn til retssikkerheden bør dette kapitel heller ikke
finde anvendelse på sager, der har været genstand for tvistbilæggelse inden denne
forordnings ikrafttræden. Det bør finde anvendelse på alle sager, der forelægges til
tvistbilæggelse efter denne forordnings ikrafttræden.
(38) Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske
Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42, stk. 2, i
forordning (EU) 2018/1725 og afgav en fælles udtalelse den [...] —
VEDTAGET DENNE FORORDNING:
Kapitel I
Generelle bestemmelser
Artikel 1
Genstand
I denne forordning fastsættes procedurereglerne for tilsynsmyndighedernes behandling af
klager og gennemførelse af undersøgelser i sager indledt på baggrund af klager eller på eget
initiativ i forbindelse med grænseoverskridende håndhævelse af forordning (EU) 2016/679.
Artikel 2
Definitioner
Med henblik på denne forordning finder definitionerne i artikel 4 i forordning (EU) 2016/679
anvendelse.
Derudover forstås ved:
(1) "parter, der er genstand for en undersøgelse": dataansvarlig(e) og/eller
databehandler(e), der undersøges for en påstået overtrædelse af forordning (EU)
2016/679 i forbindelse med grænseoverskridende behandling
(2) "resumé af centrale spørgsmål": resumé, som skal fremlægges for de berørte
tilsynsmyndigheder af den ledende tilsynsmyndighed, og hvoraf de primære
relevante omstændigheder og den ledende tilsynsmyndigheds synspunkter i sagen
fremgår
(3) "foreløbige konklusioner": det dokument, som den ledende tilsynsmyndighed skal
fremlægge for de parter, der er genstand for en undersøgelse, og hvoraf påstande,
relevante omstændigheder, dokumentation, den retlige analyse og, hvis det er
relevant, foreslåede korrigerende foranstaltninger fremgår
(4) "fastholdte relevante og begrundede indsigelser": indsigelser, som af
Databeskyttelsesrådet er fastslået som relevante og begrundede, jf. artikel 4, nr. 24, i
forordning (EU) 2016/679
DA 22 DA
Kapitel II
Indgivelse og behandling af klager
Artikel 3
Grænseoverskridende klager
1. En klage på baggrund af forordning (EU) 2016/679, der vedrører
grænseoverskridende behandling, skal indeholde de oplysninger, der kræves i den
formular, som er angivet i bilaget. Der kræves ikke yderligere oplysninger for, at
klagen kan antages.
2. Den tilsynsmyndighed, til hvilken klagen er indgivet, fastslår, om klagen vedrører
grænseoverskridende behandling.
3. Den tilsynsmyndighed, til hvilken klagen er indgivet, afgør inden for en måned, om
de oplysninger, som kræves i formularen, er fuldstændige.
4. Efter vurdering af om de oplysninger, som kræves i formularen, er fuldstændige,
videregiver den tilsynsmyndighed, til hvilken klagen er indgivet, klagen til den
ledende tilsynsmyndighed.
5. Hvis klageren ved indgivelse af klagen anfører, at den indeholder
forretningshemmeligheder, skal klageren også indgive en ikkefortrolig udgave af
klagen.
6. Den tilsynsmyndighed, til hvilken klagen er indgivet, bekræfter modtagelsen af
klagen inden for en uge. Denne bekræftelse vedrører ikke vurderingen af klagens
antagelighed i henhold til stk. 3.
Artikel 4
Undersøgelse af klager
Ved vurdering af i hvilket omfang den enkelte klage bør undersøges, tager
tilsynsmyndigheden hensyn til alle relevante omstændigheder, herunder alle de følgende:
(a) det hensigtsmæssige ved rettidigt at sikre klageren et effektivt retsmiddel
(b) den påståede overtrædelses grovhed
(c) den påståede overtrædelses systemiske eller gentagne karakter.
Artikel 5
Mindelig bilæggelse
En klage kan bilægges ved en mindelig løsning mellem klageren og de parter, der er genstand
for en undersøgelse. Hvis tilsynsmyndigheden finder, at klagen er bilagt ved mindelig løsning
på klagen, underretter den klageren om den foreslåede løsning. Hvis klageren ikke inden for
en måned gør indsigelse mod den mindelige løsning, som tilsynsmyndigheden har foreslået,
betragtes klagen som tilbagetrukket.
DA 23 DA
Artikel 6
Oversættelser
1. Den tilsynsmyndighed, til hvilken klagen er indgivet, er ansvarlig for:
(a) oversættelse af klagerne og klagerens synspunkter til det sprog, som den
ledende tilsynsmyndighed anvender i forbindelse med undersøgelsen
(b) oversættelse af de dokumenter, der er stillet til rådighed af den ledende
tilsynsmyndighed, til det sprog, der anvendes til at kommunikere med
klageren, for så vidt der er behov for at stille disse dokumenter til rådighed for
klageren i henhold til denne forordning eller forordning (EU) 2016/679.
2. Databeskyttelsesrådet fastsætter i sin forretningsorden proceduren for oversættelse af
bemærkninger eller relevante og begrundede indsigelser fra de berørte
tilsynsmyndigheder på et andet sprog end det, den ledende tilsynsmyndighed
anvender i forbindelse med undersøgelsen.
Kapitel III
Samarbejde i henhold til artikel 60 i forordning (EU) 2016/679
AFDELING 1
OPNÅELSE AF ENIGHED I HENHOLD TIL ARTIKEL 60, STK. 1, I FORORDNING
(EU) 2016/679
Artikel 7
Samarbejde mellem tilsynsmyndigheder
Når tilsynsmyndighederne samarbejder med henblik på at nå til enighed, jf. artikel 60, stk. 1, i
forordning (EU) 2016/679 gør de brug af alle midler i forordning (EU) 2016/679, herunder
gensidig bistand i henhold til artikel 61 og fælles aktiviteter i henhold til artikel 62 i
forordning (EU) 2016/679.
Bestemmelserne i denne afdeling vedrører forbindelserne mellem tilsynsmyndigheder og har
ikke til formål at tillægge fysiske personer eller parter, der er genstand for en undersøgelse,
rettigheder.
Artikel 8
Relevante oplysninger i henhold til artikel 60, stk. 1 og 3, i forordning (EU) 2016/679
1. Den ledende tilsynsmyndighed informerer regelmæssigt de andre berørte
tilsynsmyndigheder om undersøgelsen og giver snarest muligt de andre berørte
tilsynsmyndigheder alle relevante oplysninger, når de er tilgængelige.
2. Relevante oplysninger i henhold til artikel 60, stk. 1 og 3, i forordning (EU)
2016/679 omfatter, hvor det er relevant:
DA 24 DA
(a) oplysninger om indledning af en undersøgelse af en påstået overtrædelse af
forordning (EU) 2016/679
(b) anmodninger om oplysninger i henhold til artikel 58, stk. 1, litra e), i
forordning (EU) 2016/679
(c) oplysninger om anvendelse af andre undersøgelsesbeføjelser som omhandlet i
artikel 58, stk. 1, i forordning (EU) 2016/679
(d) hvis det påtænkes at afvise en klage, den ledende tilsynsmyndigheds
begrundelse for afvisning af klagen
(e) resumé af centrale spørgsmål i en undersøgelse i henhold til artikel 9
(f) oplysninger om skridt med henblik på at fastslå, om der er tale om en
overtrædelse af forordning (EU) 2016/679, forud for udarbejdelsen af de
foreløbige konklusioner
(g) foreløbige konklusioner
(h) svar fra de parter, der er genstand for en undersøgelse, på de foreløbige
konklusioner
(i) klagerens synspunkter om de foreløbige konklusioner
(j) hvis klagen afvises, klagerens skriftlige indlæg
(k) alle de relevante skridt, som den ledende tilsynsmyndighed har taget efter at
have modtaget et svar fra de parter, der er genstand for en undersøgelse, på de
foreløbige konklusioner og forud for forelæggelsen af et udkast til afgørelse, jf.
artikel 60, stk. 3, i forordning (EU) 2016/679.
Artikel 9
Resumé af centrale spørgsmål
1. Når den ledende tilsynsmyndighed først har dannet sig et foreløbigt overblik over
undersøgelsens hovedspørgsmål, udarbejder den et resumé af centrale spørgsmål
med henblik på samarbejde, jf. artikel 60, stk. 1, i forordning (EU) 2016/679.
2. Resuméet af centrale spørgsmål skal omfatte alle følgende elementer:
(a) de primære relevante omstændigheder
(b) en foreløbig fastlæggelse af undersøgelsens omfang, navnlig af de
bestemmelser i forordning (EU) 2016/679, som er berørt af den påståede
overtrædelse, der skal undersøges
(c) kortlægning af komplekse retlige og teknologiske vurderinger, som er relevante
for, i hvilken retning den foreløbige vurdering af dem går
(d) foreløbig fastlæggelse af potentielle korrigerende foranstaltninger.
3. De berørte tilsynsmyndigheder kan fremsætte bemærkninger til resuméet af de
centrale spørgsmål. Disse bemærkninger skal fremsættes senest fire uger efter
modtagelsen af resuméet af de centrale spørgsmål.
4. Bemærkninger i henhold til stk. 3 skal opfylde følgende krav:
DA 25 DA
(a) det brugte sprog skal være tilstrækkelig klart og indeholde præcise begreber,
der gør den ledende tilsynsmyndighed og, alt efter omstændighederne, de
berørte tilsynsmyndigheder i stand til at forberede deres holdninger
(b) der redegøres kort for de retlige argumenter, og de grupperes efter den del af
resuméet af centrale spørgsmål, som de vedrører
(c) de berørte tilsynsmyndigheders bemærkninger kan understøttes af dokumenter,
som kan suppleres af bemærkninger til specifikke punkter.
5. Databeskyttelsesrådet kan i sin forretningsorden fastsætte begrænsninger for den
maksimale længde på de bemærkninger til resuméet af centrale spørgsmål, som kan
fremsættes af de berørte tilsynsmyndigheder.
6. Sager, hvor ingen af de berørte tilsynsmyndigheder har fremsat bemærkninger i
henhold til denne artikels stk. 3, betragtes som sager, hvor ingen af myndighederne
har bestridt de faktiske forhold. I disse sager formidles de foreløbige konklusioner,
som er omhandlet i artikel 14, til de parter, der er genstand for en undersøgelse,
senest ni måneder efter udløbet af den frist, der er fastsat i denne artikels stk. 3.
Artikel 10
Anvendelse af midler til opnåelse af enighed
1. En berørt tilsynsmyndighed indgiver en anmodning til den ledende tilsynsmyndighed
i henhold til artikel 61 i forordning (EU) 2016/679, artikel 62 i forordning (EU)
2016/679, eller begge, hvis en berørt tilsynsmyndighed efter bemærkninger fra de
berørte tilsynsmyndigheder i henhold til artikel 9, stk. 3, er uenig med den ledende
tilsynsmyndigheds vurdering for så vidt angår:
(a) undersøgelsens omfang i klagebaserede sager, herunder de bestemmelser i
forordning (EU) 2016/679, som er berørt af den påståede overtrædelse, der skal
undersøges
(b) vurderingens foreløbige retning i lyset af de komplekse retlige vurderinger som
fastslået af den ledende tilsynsmyndighed i henhold til artikel 9, stk. 2, litra c)
(c) vurderingens foreløbige retning i lyset af de komplekse teknologiske
vurderinger som fastslået af den ledende tilsynsmyndighed i henhold til artikel
9, stk. 2, litra c).
2. Anmodningen i stk. 1 indgives senest to måneder efter udløbet af den frist, der er
omhandlet i artikel 9, stk. 3.
3. Den ledende tilsynsmyndighed indgår i dialog med de berørte tilsynsmyndigheder på
baggrund af deres bemærkninger til resuméet af de centrale spørgsmål og, hvor det er
relevant, som svar på anmodninger i henhold til artikel 61 og 62 i forordning (EU)
2016/679 med henblik på at nå til enighed. Enigheden skal danne grundlag for, at
den ledende tilsynsmyndighed kan fortsætte undersøgelsen og udarbejde de
foreløbige konklusioner eller, hvor det er relevant, stille sit ræsonnement til rådighed
for den tilsynsmyndighed, som klagen er indgivet til, med henblik på artikel 11, stk.
2.
4. Hvis der i en klagebaseret undersøgelse ikke opnås enighed mellem den ledende
tilsynsmyndighed og en eller flere berørte tilsynsmyndigheder om den sag, der er
henvist til i denne forordnings artikel 9, stk. 2, litra b), anmoder den ledende
DA 26 DA
tilsynsmyndighed Databeskyttelsesrådet om at træffe en hurtig bindende afgørelse i
henhold til artikel 66, stk. 3, i forordning (EU) 2016/679. I så fald betragtes
betingelserne for at anmode om en hurtig bindende afgørelse i henhold artikel 66,
stk. 3, i forordning (EU) 2016/679 som opfyldt.
5. Når den ledende tilsynsmyndighed anmoder Databeskyttelsesrådet om at træffe en
hurtig bindende afgørelse i henhold denne artikels stk. 4, stiller den samtlige af
følgende elementer til rådighed:
(a) de dokumenter, der er henvist til i artikel 9, stk. 2, litra a) og b),
(b) bemærkningerne fra den berørte tilsynsmyndighed, der er uenig i den ledende
tilsynsmyndigheds foreløbige fastlæggelse af undersøgelsens omfang.
6. Databeskyttelsesrådet vedtager en hurtig bindende afgørelse om undersøgelsens
omfang på grundlag af bemærkningerne fra de berørte tilsynsmyndigheder og den
ledende tilsynsmyndigheds holdning til disse bemærkninger.
AFDELING 2
HEL ELLER DELVIS AFVISNING AF KLAGER
Artikel 11
Høring af klageren forud for hel eller delvis afvisning af en klage
1. Efter proceduren i artikel 9 og 10 stiller den ledende tilsynsmyndighed begrundelsen
for sin foreløbige vurdering af, hvorvidt klagen bør afvises helt eller delvis, til
rådighed for den tilsynsmyndighed, til hvilken klagen er indgivet.
2. Den tilsynsmyndighed, til hvilken klagen er indgivet, underretter klageren om
begrundelsen for, at det påtænkes at afvise klagen helt eller delvis, og fastsætter en
frist, inden hvilken klageren skriftligt kan fremsætte sine synspunkter. Fristen skal
være på mindst tre uger. Den tilsynsmyndighed, til hvilken klagen er indgivet,
underretter klageren om konsekvenserne af at undlade at fremsætte sine synspunkter.
3. Hvis klageren ikke fremsætter sine synspunkter inden den frist, som er fastsat af den
tilsynsmyndighed, til hvilken klagen er indgivet, anses klagen for at være trukket
tilbage.
4. Klageren kan anmode om aktindsigt i den ikkefortrolige udgave af de dokumenter,
der ligger til grund for den foreslåede afvisning af klagen.
5. Hvis klageren fremsætter sine synspunkter inden for den frist, der er fastsat af den
tilsynsmyndighed, til hvilken klagen er indgivet, og synspunkterne ikke fører til
nogen ændring af den foreløbige vurdering af, hvorvidt klagen bør afvises helt eller
delvis, udarbejder den tilsynsmyndighed, til hvilken klagen er indgivet, et udkast til
afgørelse i henhold til artikel 60, stk. 3, i forordning (EU) 2016/679, som forelægges
de andre berørte tilsynsmyndigheder af den ledende tilsynsmyndighed i henhold til
artikel 60, stk. 3, i forordning (EU) 2016/679.
DA 27 DA
Artikel 12
Revideret udkast til afgørelse om helt eller delvis at afvise en klage
1. Hvis den ledende tilsynsmyndighed finder, at der i det reviderede udkast til afgørelse
i henhold til artikel 60, stk. 5, i forordning (EU) 2016/679 fremføres elementer, som
klageren bør have mulighed for at fremsætte sine synspunkter til, giver den
tilsynsmyndighed, til hvilken klagen er indgivet, klageren mulighed for at fremsætte
sine synspunkter vedrørende disse nye elementer, inden forelæggelsen af det
reviderede udkast til afgørelse i henhold til artikel 60, stk. 5, i forordning (EU)
2016/679.
2. Den tilsynsmyndighed, til hvilken klagen er indgivet, fastsætter en frist, inden
hvilken klageren kan fremsætte sine synspunkter.
Artikel 13
Afgørelse om helt eller delvis at afvise en klage
Når der vedtages en afgørelse om helt eller delvis at afvise en klage i overensstemmelse med
artikel 60, stk. 8, i forordning (EU) 2016/679, underretter den tilsynsmyndighed, til hvilken
klagen er indgivet, klageren om, hvilke retsmidler denne har til rådighed i henhold til
artikel 78 i forordning (EU) 2016/679.
AFDELING 3
AFGØRELSER RETTET TIL DATAANSVARLIGE OG DATABEHANDLERE
Artikel 14
Foreløbige konklusioner og svar
1. Når den ledende tilsynsmyndighed agter at forelægge et udkast til afgørelse i henhold
til artikel 60, stk. 3, i forordning (EU) 2016/679 for de andre berørte
tilsynsmyndigheder med konklusioner vedrørende en overtrædelse af forordning
(EU) 2016/679, udarbejder den et udkast til foreløbige konklusioner.
2. I de foreløbige konklusioner fremlægges de fremførte påstande på en udtømmende
og tilstrækkelig klar måde, der gør de parter, der er genstand for en undersøgelse, i
stand at tage stilling til den adfærd, som undersøges af den ledende
tilsynsmyndighed. De skal navnlig indeholde en beskrivelse af alle faktiske
omstændigheder og hele den retlige vurdering af sagen vedrørende de parter, der er
genstand for en undersøgelse, så de kan give udtryk for deres synspunkter
vedrørende de faktiske omstændigheder og de retlige konklusioner, som den ledende
tilsynsmyndighed agter at drage i udkastet til afgørelse i henhold til artikel 60, stk. 3,
i forordning (EU) 2016/679, og en oversigt over al den dokumentation, der lægges til
grund.
De foreløbige konklusioner skal omfatte de korrigerende foranstaltninger, som den
ledende tilsynsmyndighed har til hensigt at gøre brug af.
Hvis den ledende tilsynsmyndighed agter at pålægge en bøde, skal den i de
foreløbige konklusioner anføre de relevante elementer, som den lægger til grund ved
DA 28 DA
beregning af bødens størrelse. Den ledende tilsynsmyndighed anfører navnlig de
væsentlige faktiske og retlige omstændigheder, som kan resultere i et bødepålæg, og
de elementer, der er anført i artikel 83, stk. 2, i forordning (EU) 2016/679, herunder
eventuelt skærpende eller formildende omstændigheder, den vil tage hensyn til.
3. Den ledende tilsynsmyndighed underretter hver af de parter, der er genstand for en
undersøgelse, om de foreløbige resultater.
4. Når den ledende tilsynsmyndighed underretter de parter, der er genstand for en
undersøgelse, om de foreløbige konklusioner, fastsætter den en frist, inden hvilken
parterne skriftligt kan fremsætte deres synspunkter. Den ledende tilsynsmyndighed er
ikke forpligtet til at tage hensyn til skriftlige synspunkter modtaget efter fristens
udløb.
5. Når den ledende tilsynsmyndighed underretter de parter, der er genstand for en
undersøgelse, om de foreløbige konklusioner, giver den parterne aktindsigt i de
administrative sagsakter i henhold til artikel 20.
6. De parter, der er genstand for en undersøgelse, kan i deres skriftlige svar på de
foreløbige konklusioner anføre alle faktiske omstændigheder og retlige argumenter,
de har kendskab til, og som er relevante for deres forsvar over for den ledende
tilsynsmyndigheds påstande. De skal vedlægge alle relevante dokumenter som bevis
for de faktiske omstændigheder. Den ledende tilsynsmyndighed behandler i sit
udkast til afgørelse kun påstande, herunder faktiske omstændigheder og retlige
vurderinger baseret på disse faktiske omstændigheder, som de parter, der er genstand
for en undersøgelse, har haft mulighed for at fremsætte bemærkninger til.
Artikel 15
Fremsendelse af de foreløbige konklusioner til klagerne
1. Når den ledende tilsynsmyndighed udarbejder foreløbige konklusioner vedrørende et
forhold, som den har modtaget en klage over, giver den tilsynsmyndighed, til hvilken
klagen er indgivet, klageren en ikkefortrolig udgave af de foreløbige konklusioner og
fastsætter en frist, inden hvilken klageren skriftligt kan fremsætte sine synspunkter.
2. Stk. 1 finder også anvendelse, selv om en tilsynsmyndighed, hvor det er relevant,
behandler flere klager sammen, deler klager op i forskellige dele eller på anden vis
udøver sine skønsbeføjelser i forbindelse med undersøgelsens omfang, som angivet i
de foreløbige konklusioner.
3. Hvis den ledende tilsynsmyndighed finder, at der er behov for, at klageren gives
dokumenter, som indgår i de administrative sagsakter, for at klageren effektivt kan
fremsætte sine synspunkter vedrørende de foreløbige konklusioner, medsender den
tilsynsmyndighed, til hvilken klagen er indgivet, klageren en ikkefortrolig udgave af
disse dokumenter, når den fremsender de foreløbige konklusioner, jf. stk. 1.
4. Klageren får kun en ikkefortrolig udgave af de foreløbige konklusioner med henblik
på den konkrete undersøgelse, i forbindelse med hvilken de foreløbige konklusioner
blev udarbejdet.
5. Inden klageren modtager den ikkefortrolige udgave af de foreløbige konklusioner og
eventuelt andre dokumenter i medfør af stk. 3, sender klageren den ledende
tilsynsmyndighed en fortrolighedserklæring, hvori klageren forpligter sig til ikke at
videregive nogen oplysninger eller vurderinger i den ikkefortrolige udgave af de
DA 29 DA
foreløbige konklusioner og til ikke at anvende disse konklusioner til andet end den
konkrete undersøgelse, i forbindelse med hvilken disse konklusioner blev udarbejdet.
Artikel 16
Vedtagelse af en endelig afgørelse
Efter forelæggelse af udkastet til afgørelse for de berørte tilsynsmyndigheder i henhold til
artikel 60, stk. 3, i forordning (EU) 2016/679, og forudsat at ingen af de berørte
tilsynsmyndigheder har gjort indsigelse mod udkastet til afgørelse inden for de frister, der er
omhandlet i artikel 60, stk. 4 og 5, i forordning (EU) 2016/679, vedtager og meddeler den
ledende tilsynsmyndighed sin afgørelse i henhold til artikel 60, stk. 7, i forordning (EU)
2016/679, til den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste
etableringssted, alt efter omstændighederne, og underretter de andre berørte
tilsynsmyndigheder og Databeskyttelsesrådet om den pågældende afgørelse, herunder ved
hjælp af et resumé af de relevante faktiske omstændigheder og begrundelser.
Artikel 17
Retten til at blive hørt i forbindelse med det reviderede udkast til afgørelse
1. Hvis den ledende tilsynsmyndighed finder, at der i det reviderede udkast til afgørelse
i henhold til artikel 60, stk. 5, i forordning (EU) 2016/679 fremføres elementer, som
de parter, der er genstand for en undersøgelse, bør have mulighed for at fremsætte
deres synspunkter til, giver den ledende tilsynsmyndighed de parter, der er genstand
for en undersøgelse, mulighed for at fremsætte deres synspunkter vedrørende disse
nye elementer, inden forelæggelsen af det reviderede udkast til afgørelse i henhold til
artikel 60, stk. 5, i forordning (EU) 2016/679.
2. Den ledende tilsynsmyndighed fastsætter en frist, inden hvilken de parter, der er
genstand for en undersøgelse, kan fremsætte deres synspunkter.
AFDELING 4
RELEVANTE OG BEGRUNDEDE INDSIGELSER
Artikel 18
Relevante og begrundede indsigelser
1. For relevante oplysninger i henhold til artikel 4, stk. 24, i forordning (EU) 2016/679
gælder det, at de:
(a) alene er baseret på faktuelle elementer i udkastet til afgørelse, og
(b) ikke ændrer omfanget af påstandene ved at indeholde nye punkter, som kan
give indtryk af, at der foreligger yderligere påstande om overtrædelse af
forordning (EU) 2016/679, eller som ændrer de fremsatte påstandes art.
2. De relevante og begrundede indsigelsers form og struktur skal opfylde samtlige af
følgende krav:
DA 30 DA
(a) længden på hver relevant og begrundet indsigelse og den ledende
tilsynsmyndigheds holdning til hver indsigelse må ikke overstige tre sider og
må ikke omfatte bilag. I sager med særligt komplekse retlige spørgsmål kan
den maksimale længde øges til seks sider, medmindre specifikke
omstændigheder, som berettiger en øget længde, accepteres af
Databeskyttelsesrådet
(b) den berørte tilsynsmyndigheds uenighed i udkastet til afgørelse anføres i
begyndelsen af den relevante og begrundede indsigelse og formuleres
tilstrækkelig klart, sammenhængende og præcist til, at den ledende
tilsynsmyndighed og, hvis det er relevant, de berørte tilsynsmyndigheder kan
forberede deres holdninger og sætte Databeskyttelsesrådet i stand til effektivt at
bilægge tvisten
(c) de retlige argumenter skal fastsættes og grupperes under henvisning til
konklusionen i udkastet til afgørelse, som de vedrører. Hvert argument eller
hver gruppe af argumenter skal generelt indledes af en kortfattet oversigt.
Kapitel IV
Aktindsigt og behandling af fortrolige oplysninger
Artikel 19
Indholdet af de administrative sagsakter
1. De administrative sagsakter i en undersøgelse af en påstået overtrædelse af
forordning (EU) 2016/679 består af alle de dokumenter, der er modtaget, udarbejdet
og/eller samlet af den ledende tilsynsmyndighed i løbet af undersøgelsen.
2. Den ledende tilsynsmyndighed kan i løbet af undersøgelsen af en påstået
overtrædelse af forordning (EU) 2016/679 returnere dokumenter, som efter en mere
detaljeret undersøgelse viser sig ikke at have forbindelse til undersøgelsens genstand,
til den part, hvorfra den har modtaget. Efter returnering indgår disse dokumenter ikke
længere i de administrative sagsakter.
3. Retten til aktindsigt i de administrative sagsakter omfatter ikke korrespondance eller
udveksling af synspunkter mellem den ledende tilsynsmyndighed og de berørte
tilsynsmyndigheder. De oplysninger, der udveksles mellem tilsynsmyndighederne
med henblik undersøgelse af en individuel sag, er interne dokumenter og må ikke
være tilgængelige for de parter, der er genstand for en undersøgelse, eller klageren.
4. Aktindsigt i relevante og begrundede indsigelser i henhold til artikel 60, stk. 4, i
forordning (EU) 2016/679 gives i overensstemmelse med artikel 24.
DA 31 DA
Artikel 20
Aktindsigt i de administrative sagsakter og anvendelse af dokumenter
1. Den ledende tilsynsmyndighed giver aktindsigt i de administrative sagsakter til de
parter, der er genstand for en undersøgelse, og gør det således muligt for dem at
udøve deres ret til at blive hørt. Der gives aktindsigt i de administrative sagsakter
efter, at den ledende tilsynsmyndighed har meddelt de parter, der er genstand for en
undersøgelse, de foreløbige resultater.
2. De administrative sagsakter omfatter alle dokumenter, såvel belastende som
diskulperende, herunder de faktiske omstændigheder og dokumenter, som de parter,
der er genstand for en undersøgelse, har kendskab til.
3. Den ledende tilsynsmyndigheds konklusioner i udkastet til afgørelse i henhold til
artikel 60, stk. 3, i forordning (EU) 2016/679 og den endelige afgørelse i henhold til
artikel 60, stk. 7, i forordning (EU) 2016/679 må kun lægge de dokumenter til grund,
der er nævnt i de foreløbige konklusioner, eller hvortil de parter, der er genstand for
en undersøgelse, havde mulighed for at fremsætte deres synspunkter.
4. Dokumenter, der er modtaget som følge af aktindsigt i de administrative sagsakter, jf.
nærværende artikel, må kun anvendes til retlige eller administrative procedurer med
henblik på anvendelse af forordning (EU) 2016/679 i de specifikke sager, hvortil
disse dokumenter er blevet fremlagt.
Artikel 21
Udpegelse og beskyttelse af fortrolige oplysninger
1. Medmindre andet er fastsat i denne forordning, må oplysninger indsamlet eller
modtaget af en tilsynsmyndighed i grænseoverskridende sager i henhold til
forordning (EU) 2016/679, herunder alle dokumenter, der indeholder sådanne
oplysninger, ikke videregives eller stilles til rådighed af tilsynsmyndigheden, for så
vidt som de indeholder forretningshemmeligheder eller andre fortrolige oplysninger
om en person.
2. Alle oplysninger, som er indsamlet eller modtaget af en tilsynsmyndighed i
grænseoverskridende sager i henhold til forordning (EU) 2016/679, herunder alle
dokumenter, der indeholder sådanne oplysninger, er udelukket fra anmodninger om
aktindsigt i henhold til lovgivningen om aktindsigt i officielle dokumenter, så længe
sagen verserer.
3. Når den ledende tilsynsmyndighed meddeler de parter, der er genstand for en
undersøgelse, de foreløbige konklusioner og giver aktindsigt på grundlag af artikel
20, sikrer den, at de parter, der er genstand for en undersøgelse, og som gives
aktindsigt i oplysninger, der indeholder forretningshemmeligheder eller andre
fortrolige oplysninger, behandler disse oplysninger med den størst mulige respekt for
deres fortrolige karakter, og at disse oplysninger ikke anvendes til skade for
formidleren af oplysningerne. Afhængigt af oplysningernes grad af fortrolighed
vedtager den ledende tilsynsmyndighed passende foranstaltninger, som giver fuld
virkning til retten til et forsvar for de parter, der er genstand for en undersøgelse,
under behørig hensyntagen til oplysningernes fortrolighed.
DA 32 DA
4. En enhed, der forelægger oplysninger, som den anser for at være fortrolige, skal klart
angive de oplysninger, den anser for at være fortrolige, og begrunde den begærede
fortrolighed. Enheden skal forelægge en separat ikkefortrolig udgave af de forelagte
oplysninger.
5. Uanset stk. 4 kan den ledende tilsynsmyndighed kræve, at de parter, der er genstand
for en undersøgelse, eller enhver anden part, der udarbejder dokumenter i henhold til
forordning (EU) 2016/679, angiver de dokumenter eller dele af dokumenter, som de
anser for at indeholde forretningshemmeligheder eller andre fortrolige oplysninger,
der tilhører dem, og udpege de parter, for hvem disse dokumenter betragtes som
fortrolige.
6. Den ledende tilsynsmyndighed kan fastsætte en frist, inden hvilken de parter, der er
genstand for en undersøgelse, og enhver anden part, der mener at have indgivet
fortrolige oplysninger, skal:
(a) begrunde deres begæring om at få oplysningerne behandlet som
forretningshemmeligheder og andre fortrolige oplysninger for hvert enkelt
dokument eller hver enkel del af et dokument, en erklæring eller del af en
erklæring
(b) fremlægge en ikkefortrolig udgave af de dokumenter og erklæringer, hvori
forretningshemmelighederne og de andre fortrolige oplysninger er omskrevet
(c) fremlægge en kortfattet, ikkefortrolig beskrivelse af hver enkelt omskrevne
oplysning.
7. Hvis de parter, der er genstand for en undersøgelse, eller enhver anden part ikke
efterkommer stk. 4 og 5, må den ledende tilsynsmyndighed antage, at de pågældende
dokumenter eller erklæringer ikke indeholder forretningshemmeligheder eller andre
fortrolige oplysninger.
Kapitel V
Tvistbilæggelse
Artikel 22
Forelæggelse til tvistbilæggelse i henhold til artikel 65 i forordning (EU) 2016/679
1. Hvis den ledende tilsynsmyndighed ikke følger de relevante og begrundede
indsigelser eller er af den opfattelse, at indsigelserne ikke er relevante eller
begrundede, forelægger den spørgsmålet for den tvistbilæggelsesmekanisme, som er
fastsat i artikel 65 i forordning (EU) 2016/679.
2. Når den forelægger spørgsmålet til tvistbilæggelse, stiller den ledende
tilsynsmyndighed samtlige af følgende dokumenter til rådighed for
Databeskyttelsesrådet:
(a) udkastet til afgørelse eller det reviderede udkast til afgørelse med de relevante
og begrundede indsigelser
(b) et sammendrag af de relevante omstændigheder
(c) de foreløbige konklusioner
DA 33 DA
(d) synspunkter fremsat skriftligt af de parter, der er genstand for en undersøgelse,
hvis det er relevant, jf. artikel 14 og 17
(e) synspunkter fremsat skriftligt af klagerne, hvis det er relevant, jf. artikel 11, 12
og 15
(f) de relevante og begrundede indsigelser, som ikke blev fulgt af den ledende
tilsynsmyndighed
(g) begrundelserne for, at den ledende tilsynsmyndighed ikke har fulgt de
relevante og begrundede indsigelser eller har anset indsigelserne for ikke være
relevante eller begrundede.
3. Databeskyttelsesrådet udpeger senest fire uger efter modtagelsen af de dokumenter,
der fremgår af stk. 2, de fastholdte relevante og begrundede indsigelser.
Artikel 23
Registrering i forbindelse med en afgørelse i henhold til artikel 65, stk. 1, litra a), i
forordning (EU) 2016/679
Formanden for Databeskyttelsesrådet registrerer forelæggelsen af et spørgsmål til
tvistbilæggelse i henhold til artikel 65, stk. 1, litra a), i forordning (EU) 2016/679 senest en
uge efter modtagelse af samtlige af følgende dokumenter:
(a) udkastet til afgørelse eller det reviderede udkast til afgørelse med de relevante og
begrundede indsigelser
(b) et sammendrag af de relevante omstændigheder
(c) synspunkter fremsat skriftligt af de parter, der er genstand for en undersøgelse, hvis
det er relevant, jf. artikel 14 og 17
(d) synspunkter fremsat skriftligt af klagerne, hvis det er relevant, jf. artikel 11, 12 og 15
(e) de fastholdte relevante og begrundede indsigelser
(f) begrundelserne for, at den ledende tilsynsmyndighed ikke har fulgt de relevante og
begrundede indsigelser.
Artikel 24
Begrundelse forud for vedtagelsen af en afgørelse i henhold til artikel 65, stk. 1, litra a), i
forordning (EU) 2016/679
1. Forud for vedtagelsen af den bindende afgørelse i henhold til artikel 65, stk. 1, litra
a), i forordning (EU) 2016/679 forelægger formanden for Databeskyttelsesrådet
gennem den ledende tilsynsmyndighed de parter, der er genstand for en
undersøgelse, og/eller, såfremt der er tale om en hel eller delvis afvisning af en klage,
klageren en begrundelse, hvori formanden forklarer det ræsonnement,
Databeskyttelsesrådet agter at lægge til grund i sin afgørelse. Hvis
Databeskyttelsesrådet agter at vedtage en bindende afgørelse, som pålægger den
ledende tilsynsmyndighed at ændre sit udkast til afgørelse eller sit reviderede udkast,
beslutter Databeskyttelsesrådet, om denne begrundelse skal ledsages af de fastholdte
relevante og begrundede indsigelser, som Databeskyttelsesrådet agter at vedtage sin
afgørelse på grundlag af.
DA 34 DA
2. De parter, der er genstand for en undersøgelse, og/eller klageren, hvis der er tale om
en hel eller delvis afvisning af en klage, har en uge fra modtagelsen af den i stk. 1
omtalte begrundelse til at fremsætte deres synspunkter.
3. Fristen i stk. 2 forlænges med en uge, hvis Databeskyttelsesrådet forlænger perioden
for vedtagelse af den bindende afgørelse i overensstemmelse med artikel 65, stk. 2, i
forordning (EU) 2016/679.
4. Databeskyttelsesrådets frist for vedtagelse af den bindende afgørelse i medfør af
artikel 65, stk. 2, i forordning (EU) 2016/679 løber ikke i de tidsrum, der er
omhandlet i stk. 2 og 3.
Artikel 25
Procedure i forbindelse med afgørelse i henhold til artikel 65, stk. 1, litra b), i forordning
(EU) 2016/679
1. Ved forelæggelse af et spørgsmål til Databeskyttelsesrådet i henhold til artikel 65,
stk. 1, litra b), i forordning (EU) 2016/679 stiller den tilsynsmyndighed, der
forelægger spørgsmålet om kompetence med hensyn til hovedvirksomheden,
samtlige af følgende dokumenter til rådighed for Databeskyttelsesrådet:
(a) et sammendrag af de relevante omstændigheder
(b) vurderingen af disse relevante faktiske omstændigheder, for så vidt angår
betingelserne i artikel 56, stk. 1, i forordning (EU) 2016/679
(c) den dataansvarliges eller databehandlerens synspunkter, når deres
hovedvirksomhed er genstand for forelæggelsen
(d) andre berørte tilsynsmyndigheders synspunkter i forbindelse med
forelæggelsen
(e) eventuelle andre dokumenter eller oplysninger, som den henvisende
tilsynsmyndighed betragter som relevante og nødvendige for at kunne afgøre
spørgsmålet.
2. Formanden for Databeskyttelsesrådet registrerer senest forelæggelsen en uge efter
modtagelse af samtlige de i stk. 1 omhandlede dokumenter.
Artikel 26
Procedure i forbindelse med en afgørelse i henhold til artikel 65, stk. 1, litra c), i forordning
(EU) 2016/679
1. Ved forelæggelse af et spørgsmål til Databeskyttelsesrådet i henhold til artikel 65,
stk. 1, litra c), i forordning (EU) 2016/679 stiller den tilsynsmyndighed, der
forelægger spørgsmålet, eller Kommissionen samtlige af følgende dokumenter til
rådighed for Databeskyttelsesrådet:
(a) et sammendrag af de relevante omstændigheder
(b) den udtalelse, hvis det er relevant, der er afgivet af Databeskyttelsesrådet i
henhold til artikel 64 i forordning (EU) 2016/679
(c) synspunkterne hos den tilsynsmyndighed, der forelægger spørgsmålet, eller
Kommissionen, alt efter omstændighederne, med hensyn til spørgsmålet om,
DA 35 DA
hvorvidt der var behov for, at en tilsynsmyndighed sendte udkastet til afgørelse
i henhold til artikel 64, stk. 1, i forordning (EU) 2016/679 til
Databeskyttelsesrådet, eller hvorvidt en tilsynsmyndighed ikke fulgte en
udtalelse fra Databeskyttelsesrådet afgivet i henhold til artikel 64 i forordning
(EU) 2016/679.
2. Formanden for Databeskyttelsesrådet anmoder om følgende dokumenter:
(a) synspunkterne hos den tilsynsmyndighed, der påstås at have tilsidesat kravet
om at sende et udkast til afgørelse til Databeskyttelsesrådet eller ikke at have
fulgt Databeskyttelsesrådets udtalelse
(b) eventuelle andre dokumenter eller oplysninger, som tilsynsmyndigheden
betragter som relevante og nødvendige for at kunne afgøre spørgsmålet.
Hvis en tilsynsmyndighed erklærer, at den har behov for at fremsætte sine
synspunkter vedrørende det forelagte spørgsmål, skal den fremsætte disse
synspunkter senest to uger efter, at forelæggelsen i stk. 1 har fundet sted.
3. Formanden for Databeskyttelsesrådet registrerer senest forelæggelsen en uge efter
modtagelse af samtlige de i stk. 1 og 2 omhandlede dokumenter.
Kapitel VI
Hasteprocedure
Artikel 27
Hasteudtalelser i henhold til artikel 66, stk. 2, i forordning (EU) 2016/679
1. En anmodning om en hasteudtalelse fra Databeskyttelsesrådet i henhold til artikel 66,
stk. 2, i forordning (EU) 2016/679 kan indgives senest tre uger inden udløbet af de
foreløbige foranstaltninger, der er vedtaget i henhold til artikel 66, stk. 1, i forordning
(EU) 2016/679, og skal indeholde samtlige af følgende elementer:
(a) et sammendrag af de relevante omstændigheder
(b) en beskrivelse af den foreløbige foranstaltning, der er vedtaget for dens eget
område, dens varighed og begrundelsen for at vedtage den, herunder
begrundelsen for, at det er nødvendigt at handle omgående for at beskytte
registreredes rettigheder og frihedsrettigheder
(c) en begrundelse for, at det haster at vedtage den endelig foranstaltning for den
anmodende tilsynsmyndigheds medlemsstats område, herunder en redegørelse
for de ekstraordinære omstændigheder, der nødvendiggør vedtagelsen af de
pågældende foranstaltninger.
2. Databeskyttelsesrådets hasteudtalelse er rettet til den tilsynsmyndighed, der indgav
anmodningen. Den skal svare til en udtalelse, jf. artikel 64, stk. 1, i forordning (EU)
2016/679, og give den anmodende myndighed mulighed for at fastholde eller ændre
sin foreløbige foranstaltning i overensstemmelse med forpligtelserne i artikel 64, stk.
7, i forordning (EU) 2016/679.
DA 36 DA
Artikel 28
Hurtige afgørelser i henhold til artikel 66, stk. 2, i forordning (EU) 2016/679
1. En anmodning om en hurtig afgørelse fra Databeskyttelsesrådet i henhold til artikel
66, stk. 2, i forordning (EU) 2016/679 kan indgives senest tre uger inden udløbet af
de foreløbige foranstaltninger, der er vedtaget i henhold til artikel 61, stk. 8, artikel
62, stk. 7, eller artikel 66, stk. 1, i forordning (EU) 2016/679. Denne anmodning skal
indeholde samtlige af følgende oplysninger:
(a) et sammendrag af de relevante omstændigheder
(b) den foreløbige foranstaltning, der er vedtaget for den anmodende
tilsynsmyndigheds medlemsstats område, dens varighed og begrundelsen for at
vedtage den foreløbige foranstaltning, navnlig begrundelsen for, at det er
nødvendigt at handle omgående for at beskytte registreredes rettigheder og
frihedsrettigheder
(c) oplysninger om eventuelle undersøgelsesforanstaltninger truffet på dens
område og svar modtaget fra det lokale etableringssted tilhørende de parter, der
er genstand for en undersøgelse, eller eventuelle andre oplysninger i den
anmodende tilsynsmyndigheds besiddelse
(d) en begrundelse for, at det er nødvendigt at vedtage de endelige foranstaltninger
omgående på den anmodende tilsynsmyndigheds område under hensyntagen til
de ekstraordinære omstændigheder, der nødvendiggør vedtagelsen af den
endelige foranstaltning, eller dokumentation for, at en tilsynsmyndighed har
forsømt at reagere på en anmodning i henhold til artikel 61, stk. 3, eller artikel
62. stk. 2, i forordning (EU) 2016/679
(e) hvis den anmodende myndighed ikke er den ledende tilsynsmyndighed, den
ledende tilsynsmyndigheds synspunkter
(f) hvor det er relevant, synspunkterne fra det lokale etableringssted for de parter,
der er genstand for en undersøgelse, og over for hvem der er truffet foreløbige
foranstaltninger i henhold til artikel 66, stk. 1, i forordning (EU) 2016/679.
2. Den hurtige afgørelse, der er omhandlet i stk. 1, skal rettes til den tilsynsmyndighed,
der indgav anmodningen, og sætte den anmodende myndighed i stand til at fastholde
eller ændre sin foreløbige foranstaltning.
3. Hvis Databeskyttelsesrådet vedtager en hurtig bindende afgørelse, hvoraf det
fremgår, at de endelige foranstaltninger bør vedtages, vedtager den
tilsynsmyndighed, som afgørelsen er rettet til, disse foranstaltninger inden udløbet af
de foreløbige foranstaltninger, som er vedtaget i henhold til artikel 66, stk. 1, i
forordning (EU) 2016/679.
4. Den tilsynsmyndighed, der indgav den i stk. 1 omtalte anmodning, meddeler den
dataansvarliges eller databehandlerens etableringssted på dens medlemsstats område
og Databeskyttelsesrådet sin afgørelse om de endelige foranstaltninger. Hvis den
ledende tilsynsmyndighed ikke er den anmodende myndighed, underretter den
anmodende myndighed den ledende myndighed om den endelige foranstaltning.
5. Hvis det i den hurtige bindende afgørelse angives, at vedtagelsen af de endelige
foranstaltninger ikke haster, følger den berørte ledende tilsynsmyndighed og de
berørte tilsynsmyndigheder proceduren i artikel 60 i forordning (EU) 2016/679.
DA 37 DA
Kapitel VII
Almindelige og afsluttende bestemmelser
Artikel 29
Fristers begyndelse og definition af arbejdsdag
1. Frister, som fremgår af eller fastsættes af tilsynsmyndighederne i henhold til
forordning (EU) 2016/679, beregnes i overensstemmelse med Rådets forordning
(EØF, Euratom) nr. 1182/7117
.
2. Frister begynder at løbe fra den arbejdsdag, der følger efter den begivenhed, som den
relevante bestemmelse i forordning (EU) 2016/679 eller nærværende forordning
henviser til.
Artikel 30
Overgangsbestemmelser
Kapitel III og IV finder anvendelse på undersøgelser på eget initiativ, der indledes efter denne
forordnings ikrafttræden, og på klagebaserede undersøgelser, hvor klagen blev indgivet efter
nærværende forordnings ikrafttræden.
Kapitel V finder anvendelse på alle sager, der forelægges til tvistbilæggelse i henhold til
artikel 65 i forordning (EU) 2016/679 efter nærværende forordnings ikrafttræden.
Artikel 31
Ikrafttræden
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske
Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den […].
På Europa-Parlamentets vegne På Rådets vegne
Formand Formand
17
Rådets forordning (EØF, Euratom) nr. 1182/71 af 3. juni 1971 om fastsættelse af regler om tidsfrister,
datoer og terminer (EFT L 124 af 8.6.1971, s. 1).