欧盟发布《通用数据保护条例》执行规则,明确官方机构的监管程序

来源:出海互联网法律观察

文章摘要
2025 年 12 月 12 日,欧洲议会和理事会于 2025 年 11 月 26 日通过的关于执行 (EU) 2016/679 号条例(GDPR执行规则条例)的补充程序规则的第2025/2518 号

2025 年 12 月 12 日,欧洲议会和理事会于 2025 年 11 月 26 日通过的关于执行 (EU) 2016/679 号条例(GDPR执行规则条例)的补充程序规则的第2025/2518 号条例在欧盟官方公报上发布。
具体而言,《GDPR执行规则条例》为在跨境处理的情况下执行《通用数据保护条例》(GDPR) 制定了额外的程序规则,特别是监管机构开展的基于投诉和依职权进行的调查,以及欧洲数据保护委员会 (EDPB) 开展的争议解决。
投诉的受理规则
《GDPR执行规则条例》规定,有关跨境处理的投诉,如果包含以下信息,则应予以受理:
投诉人的姓名和联系方式;
证明提出投诉的非营利机构、组织或协会已按照成员国法律正式成立;
非营利机构、组织或协会的名称和联系方式,以及证明其是根据数据主体的授权行事的证据;
有助于识别被投诉对象(数据控制者或处理者)的信息;以及
对涉嫌违反GDPR行为的描述。
监管机构必须在收到不包含上述信息的投诉后两周内宣布该投诉不予受理,并告知投诉人宣布该投诉不予受理的理由。
投诉处理
监管机构必须在六周内将符合受理条件的投诉转交给推定牵头监管机构(LSA),并通知投诉人。推定牵头监管机构必须确认其管辖权,或将案件提交欧洲数据保护委员会(EDPB)进行争议解决。在处理投诉时,推定牵头监管机构必须在15个月内提交决定草案,对于复杂案件,期限可延长至12个月。
此外,《GDPR执行规则条例》规定,如果侵权行为得到纠正,则可启动早期解决机制,投诉人可在四周内提出异议。启动早期解决机制的监管机构必须在两周内确认解决方案并通知所有相关方。如果投诉由法律服务机构(LSA)处理,则LSA必须在四周内提交确认解决方案的决定草案。
对于案情简单的案件,可采用简单的合作程序,要求监管机构在 12 个月内发布决定草案。
程序性权利
最后,《GDPR执行规则条例》赋予被调查方和投诉人陈述意见和查阅行政文件的权利,但不包括机密信息。“机密数据”是指包含指令(EU) 2016/943所定义的商业秘密的信息,或根据欧盟或成员国法律规定的其他机密信息。
GDPR执行规则条例将在发布 20 天后生效,并将于 2027 年 4 月 2 日起正式实施。
新闻来源:
https://www.dataguidance.com/news/eu-gdpr-enforcement-rules-regulation-published

技术驱动法律,专业成就未来