(1)

I de seneste år har datadrevne teknologier haft omskabende virkning på alle sektorer i økonomien. Navnlig udbredelsen af produkter, der er forbundet med internettet, har øget mængden og den potentielle værdi af data for forbrugere, virksomheder og samfundet. Interoperable data af høj kvalitet fra forskellige områder øger konkurrenceevnen og innovationen og sikrer bæredygtig økonomisk vækst. De samme data kan anvendes og videreanvendes til forskellige formål og i ubegrænset omfang, uden at kvalitet eller omfang forringes.

(2)

Hindringer for deling af data vanskeliggør en optimal datafordeling til gavn for samfundet. Disse hindringer omfatter manglende incitamenter for dataindehavere til frivilligt at indgå aftaler om datadeling, usikkerhed om rettigheder og forpligtelser vedrørende data, omkostningerne ved indgåelse af aftaler og gennemførelse af tekniske grænseflader, den høje grad af fragmentering af oplysninger i datasiloer, ringe metadataforvaltning, manglende standarder for semantisk og teknisk interoperabilitet, flaskehalse, der hindrer dataadgang, en mangel på fælles praksis for datadeling samt misbruget af aftalemæssige skævheder for så vidt angår adgang til og anvendelse af data.

(3)

I de sektorer, der er kendetegnet ved tilstedeværelsen af mikrovirksomheder, små virksomheder og mellemstore virksomheder som defineret i artikel 2 i bilaget til Kommissionens henstilling 2003/361/EF (5) (SMV'er), mangler der ofte digital kapacitet og digitale færdigheder til at indsamle, analysere og anvende data, og adgangen er ofte begrænset, hvor en enkelt aktør besidder dataene i systemet, eller som følge af manglende interoperabilitet mellem data, mellem datatjenester eller på tværs af grænserne.

(4)

For at imødekomme den digitale økonomis behov og fjerne hindringer for et velfungerende indre marked for data er det nødvendigt at fastlægge en harmoniseret ramme, der præciserer, hvem der har ret til at anvende produktdata eller relaterede tjenestedata, på hvilke betingelser og på hvilket grundlag. Medlemsstaterne bør derfor ikke vedtage eller opretholde yderligere nationale krav med hensyn til spørgsmål, der falder ind under denne forordnings anvendelsesområde, medmindre det udtrykkeligt er fastsat i denne forordning, da dette vil påvirke dens direkte og ensartede anvendelse. Desuden bør tiltag på EU-plan ikke berøre pligter og tilsagn, som er indeholdt i internationale handelsaftaler indgået af Unionen.

(5)

Ved denne forordning sikres det, at brugere af et forbundet produkt eller en relateret tjeneste i Unionen rettidigt kan få adgang til de data, der genereres ved brugen af det pågældende forbundne produkt eller den pågældende relaterede tjeneste, og at brugerne kan anvende dataene, bl.a. ved at dele dem med tredjeparter efter eget valg. Dataindehavere pålægges en forpligtelse til stille data til rådighed for brugere og tredjeparter efter brugerens valg under visse omstændigheder. Ved denne forordning sikres det også, at dataindehavere stiller data til rådighed for datamodtagere i Unionen på fair, rimelige og ikkeforskelsbehandlende vilkår og betingelser og på en gennemsigtig måde. Privatretlige regler er vigtige i den overordnede ramme for datadeling. Denne forordning tilpasser derfor aftaleretlige regler og forhindrer udnyttelse af aftalemæssige skævheder, der hindrer fair adgang til og anvendelse af data. Ved denne forordning sikres det også, at dataindehavere stiller de data, der er nødvendige for udførelsen af en specifik opgave i offentlighedens interesse, til rådighed for offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer, hvis der er et ekstraordinært behov herfor. Desuden har denne forordning til formål at gøre det lettere at skifte mellem databehandlingstjenester og at forbedre interoperabiliteten af data og datadelingsmekanismer og -tjenester i Unionen. Denne forordning bør ikke fortolkes således, at der ved den anerkendes eller tillægges en ny ret for dataindehaverne til at anvende data, der er genereret ved brug af et forbundet produkt eller en relateret tjeneste.

(6)

Datagenerering er resultatet af handlinger foretaget af mindst to aktører, navnlig designeren eller producenten af et forbundet produkt, som i mange tilfælde også kan være en udbyder af relaterede tjenester, og brugeren af dette forbundne produkt eller denne relaterede tjeneste. Det giver anledning til spørgsmål om retfærdighed i den digitale økonomi, da de data, der registreres af forbundne produkter eller relaterede tjenester, er et vigtigt input i eftersalgsservice, accessoriske tjenesteydelser og andre tjenester. For at kunne udnytte de vigtige økonomiske fordele ved data, herunder ved datadeling på grundlag af frivillige aftaler og udvikling af datadrevet værdiskabelse fra EU-virksomheders side, er en generel tilgang til tildeling af rettigheder vedrørende adgang til og brug af data at foretrække frem for eksklusive adgangs- og brugsrettigheder. Denne forordning indeholder horisontelle regler, som vil kunne følges af EU-ret eller national ret, som imødegår de særlige situationer i de relevante sektorer.

(7)

Den grundlæggende ret til beskyttelse af personoplysninger er navnlig sikret ved Europa-Parlamentets og Rådets forordning (EU) 2016/679 (6) og (EU) 2018/1725 (7). Europa-Parlamentets og Rådets direktiv 2002/58/EF (8) beskytter desuden privatlivets fred og kommunikationshemmeligheden, herunder i form af betingelser for enhver form for personoplysninger og andre data end personoplysninger, der er lagret i og tilgås fra terminaludstyr. Disse lovgivningsmæssige EU-retsakter danner grundlaget for bæredygtig og ansvarlig databehandling, herunder når datasæt omfatter en blanding af personoplysninger og andre data end personoplysninger. Nærværende forordning supplerer, og berører ikke, EU-retten om beskyttelse af personoplysninger og af privatlivets fred, navnlig forordning (EU) 2016/679 og (EU) 2018/1725 og direktiv 2002/58/EF. Ingen bestemmelse i nærværende forordning bør anvendes eller fortolkes på en sådan måde, at retten til beskyttelse af personoplysninger, retten til privatlivets fred eller kommunikationshemmeligheden mindskes eller begrænses. Enhver behandling af personoplysninger i henhold til nærværende forordning bør overholde EU-retten om databeskyttelse, herunder kravet om et gyldigt retsgrundlag for behandling i henhold til artikel 6 i forordning (EU) 2016/679 og, hvor det er relevant, betingelserne i artikel 9 i nævnte forordning og i artikel 5, stk. 3, i direktiv 2002/58/EF. Nærværende forordning udgør ikke et retsgrundlag for indsamling eller generering af personoplysninger fra dataindehaverens side. Nærværende forordning pålægger dataindehavere en forpligtelse til at stille personoplysninger til rådighed for brugere eller tredjeparter efter en brugers valg på anmodning fra denne bruger. En sådan adgang bør gives til personoplysninger, der behandles af dataindehaveren på grundlag af et af de retsgrundlag, der er omhandlet i artikel 6 i forordning (EU) 2016/679. Når brugeren ikke er en registreret, skaber nærværende forordning ikke et retsgrundlag for at give adgang til personoplysninger eller for at stille personoplysninger til rådighed for en tredjepart og bør ikke forstås således, at den giver dataindehaveren nogen ny ret til at anvende personoplysninger, der er genereret ved brug af et forbundet produkt eller en relateret tjeneste. I disse tilfælde kan det være i brugerens interesse at lette opfyldelsen af kravene i artikel 6 i forordning (EU) 2016/679. Da nærværende forordning ikke bør påvirke registreredes databeskyttelsesrettigheder i negativ retning, kan dataindehaveren imødekomme anmodninger i disse tilfælde, bl.a. ved at anonymisere personoplysninger eller, hvis de let tilgængelige data indeholder personoplysninger om adskillige registrerede, ved kun at overføre personoplysninger vedrørende brugeren.

(8)

Principperne om dataminimering og databeskyttelse gennem design og databeskyttelse gennem standardindstillinger er afgørende, når behandlingen indebærer betydelige risici for fysiske personers grundlæggende rettigheder. Under hensyntagen til det aktuelle tekniske niveau bør alle parter i en datadeling, herunder datadeling inden for denne forordnings anvendelsesområde, gennemføre tekniske og organisatoriske foranstaltninger for at beskytte disse rettigheder. Sådanne foranstaltninger omfatter ikke kun pseudonymisering og kryptering, men også anvendelse af stadig mere tilgængelig teknologi, der gør det muligt at overføre algoritmer til data og opnå værdifuld indsigt uden overførsel mellem parterne eller unødvendig kopiering af de rå eller strukturerede data.

(9)

Medmindre andet er fastsat i denne forordning, berører den ikke national aftaleret, herunder regler om indgåelse, gyldighed eller virkning af aftaler eller konsekvenserne af en aftales opsigelse. Denne forordning supplerer, og berører ikke, EU-ret, der har til formål at fremme forbrugernes interesser og sikre et højt forbrugerbeskyttelsesniveau og at beskytte forbrugernes sundhed, sikkerhed og økonomiske interesser, navnlig Rådets direktiv 93/13/EØF (9) og Europa-Parlamentets og Rådets direktiv 2005/29/EF (10) og 2011/83/EU (11).

(10)

Denne forordning berører ikke EU-retsakter og nationale retsakter, der indeholder bestemmelser om deling af, adgang til og anvendelse af data med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner eller til told- og skatteformål, uanset det retsgrundlag i traktaten om Den Europæiske Unions funktionsmåde (TEUF), som sådanne EU-retsakter er vedtaget på grundlag af, samt internationalt samarbejde på dette område, navnlig på grundlag af Europarådets konvention om IT-kriminalitet (ETS nr. 185), udfærdiget i Budapest den 23. november 2001. Sådanne retsakter omfatter Europa-Parlamentets og Rådets forordning (EU) 2021/784 (12), (EU) 2022/2065 (13) og (EU) 2023/1543 (14) og Europa-Parlamentets og Rådets direktiv (EU) 2023/1544 (15). Nærværende forordning finder ikke anvendelse på indsamling eller deling af, adgang til eller behandling af data i henhold til Europa-Parlamentets og Rådets forordning (EU) 2015/847 (16) og Europa-Parlamentets og Rådets direktiv (EU) 2015/849 (17). Nærværende forordning finder ikke anvendelse på områder, der falder uden for EU-retten, og berører under alle omstændigheder ikke medlemsstaternes beføjelser vedrørende offentlig sikkerhed, forsvar eller national sikkerhed, told- og skatteforvaltning eller borgernes sundhed og sikkerhed, uanset hvilken type enhed medlemsstaterne har bemyndiget til at udføre opgaver i forbindelse med disse kompetencer.

(11)

EU-ret, hvorved der er fastsat krav vedrørende den fysiske udformning af og datakrav til produkter, der skal bringes i omsætning på EU-markedet, bør ikke berøres, medmindre det udtrykkeligt er fastsat i denne forordning.

(12)

Denne forordning supplerer, og berører ikke, EU-ret, der har til formål at fastsætte tilgængelighedskrav for visse produkter og tjenester, navnlig Europa-Parlamentets og Rådets direktiv (EU) 2019/882 (18).

(13)

Denne forordning berører ikke EU-retsakter og nationale retsakter til beskyttelse af intellektuelle ejendomsrettigheder, herunder Europa-Parlamentets og Rådets direktiv 2001/29/EF (19), 2004/48/EF (20) og (EU) 2019/790 (21).

(14)

Forbundne produkter, der ved hjælp af deres komponenter eller operativsystemer opnår, genererer eller indsamler data vedrørende deres ydeevne, anvendelse eller omgivelser, og som er i stand til at formidle disse data via en elektronisk kommunikationstjeneste, en fysisk forbindelse eller adgang på en enhed, som ofte kaldes tingenes internet, bør være omfattet af denne forordnings anvendelsesområde med undtagelse af prototyper. Eksempler på sådanne elektroniske kommunikationstjenester omfatter navnlig landbaserede telefonnet, kabel-TV-net, satellitbaserede net og nærfeltskommunikationsnet. Forbundne produkter findes i alle aspekter af økonomien og samfundet, herunder i privat, civil eller kommerciel infrastruktur, køretøjer, udstyr til sundheds- og livsstilsektoren, skibe, luftfartøjer, husholdningsudstyr og forbrugsvarer, medicinske og sundhedsmæssige redskaber eller landbrugs- og industrimaskiner. Producenters valg af udformning og, hvor det er relevant, EU-ret eller national ret, som imødegår sektorspecifikke behov og mål, og kompetente myndigheders relevante afgørelser bør bestemme, hvilke data et forbundet produkt kan stille til rådighed.

(15)

Dataene repræsenterer en digitalisering af brugerhandlinger og -begivenheder og bør derfor være tilgængelige for brugeren. Reglerne for adgang til og anvendelse af data fra forbundne produkter og relaterede tjenester i henhold til denne forordning vedrører både produktdata og relaterede tjenestedata. Ved produktdata forstås data, der er genereret ved brug af et forbundet produkt, som producenten har udformet til at kunne hentes fra det forbundne produkt af en bruger, dataindehaver eller en tredjepart, herunder, hvis det er relevant, producenten. Ved relaterede tjenestedata forstås data, som også repræsenterer digitaliseringen af brugerhandlinger eller -begivenheder i forbindelse med det forbundne produkt, som genereres under udbyderens levering af en relateret tjeneste. Data, der er genereret ved brug af et forbundet produkt eller en relateret tjeneste, bør forstås således, at de omfatter data, som bevidst er registreret, eller data, der indirekte er et resultat af brugerens handling, såsom data om det forbundne produkts omgivelser eller interaktioner. Dette bør omfatte data om brugen af et forbundet produkt, der er genereret af en brugergrænseflade eller via en relateret tjeneste, og bør ikke være begrænset til oplysningerne om, at en sådan brug har fundet sted, men bør omfatte alle data, som det forbundne produkt genererer som følge af en sådan brug, såsom data, der er genereret automatisk af sensorer, og data, der er registreret af integrerede applikationer, herunder applikationer, der angiver hardwarestatus og funktionsfejl. Dette bør også omfatte data, der er genereret af det forbundne produkt eller den relaterede tjeneste i perioder uden handling fra brugerens side, f.eks. når brugeren vælger ikke at anvende et forbundet produkt i en given periode og i stedet holde det i standbytilstand eller endda slukket, da et forbundet produkts eller dets komponenters, f.eks. dets batteriers, status kan variere, når det forbundne produkt er i standbytilstand eller er slukket. Data, som ikke ændres væsentligt, dvs. data i ubearbejdet form, også kendt som kildedata eller primære data, hvilket henviser til datapunkter, der er genereret automatisk uden yderligere behandling, samt data, der er blevet forbehandlet med henblik på at gøre dem forståelige og anvendelige forud for yderligere behandling og analyse, falder inden for denne forordnings anvendelsesområde. Sådanne data omfatter data indsamlet fra en enkelt sensor eller en forbundet gruppe af sensorer med henblik på at gøre de indsamlede data forståelige for bredere brugstilfælde ved at bestemme en fysisk mængde eller kvalitet eller ændringen i en fysisk mængde såsom temperatur, tryk, strømningshastighed, lyd, pH-værdi, væskeniveau, position, acceleration eller hastighed. Udtrykket »forbehandlede data« bør ikke fortolkes på en sådan måde, at dataindehaveren forpligtes til at foretage betydelige investeringer i rensning og transformation af dataene. De data, som skal stilles til rådighed, bør omfatte de relevante metadata, herunder deres grundlæggende kontekst og tidsstempel, til at gøre dataene anvendelige kombineret med andre data såsom data sorteret og klassificeret sammen med andre datapunkter vedrørende dem, eller omformateret til et almindeligt anvendt format. Sådanne data er potentielt værdifulde for brugeren og støtter innovation og udviklingen af digitale tjenester og andre tjenester for at beskytte miljøet, sundheden og den cirkulære økonomi, herunder ved at lette vedligeholdelse og reparation af de pågældende forbundne produkter. Derimod bør oplysninger, der udledes eller afledes af sådanne data, og som er resultatet af yderligere investeringer i tildeling af værdier eller indsigt fra dataene, navnlig ved hjælp af proprietære komplekse algoritmer, herunder algoritmer, der er en del af proprietær software, ikke anses for at falde ind under denne forordnings anvendelsesområde og bør derfor ikke være underlagt en dataindehavers forpligtelse til at stille dem til rådighed for en bruger eller datamodtager, medmindre andet er aftalt mellem brugeren og dataindehaveren. Sådanne data kan navnlig omfatte oplysninger, der afledes ved sensorintegration, hvor data udledes eller afledes af flere sensorer, indsamlet i det forbundne produkt, ved hjælp af proprietære komplekse algoritmer, og som kunne være omfattet af intellektuelle ejendomsrettigheder.

(16)

Denne forordning gør det muligt for brugere af forbundne produkter at drage fordel af eftersalgsservice, accessoriske tjenesteydelser og andre tjenester baseret på data indsamlet af sensorer, der er integreret i sådanne produkter, idet indsamlingen af disse data er af potentiel værdi med hensyn til at forbedre de forbundne produkters ydeevne. Det er vigtigt at foretage en afgrænsning mellem, på den ene side, markeder for levering af sådanne sensorudstyrede forbundne produkter og relaterede tjenester og, på den anden side, markeder for ikkerelateret software og indhold såsom tekstindhold, lydindhold eller audiovisuelt indhold, der ofte er omfattet af intellektuelle ejendomsrettigheder, på den anden side. Som følge heraf bør data, som sådanne sensorudstyrede forbundne produkter genererer, når brugeren optager, overfører, viser eller afspiller indhold, samt selve indholdet, som ofte er omfattet af intellektuelle ejendomsrettigheder, bl.a. til brug for en onlinetjeneste, ikke være omfattet af denne forordning. Denne forordning bør heller ikke omfatte data, der er opnået, genereret eller tilgået fra det forbundne produkt, eller som er overført til det med henblik på lagring eller andre behandlingsaktiviteter på vegne af andre parter, som ikke er brugeren, hvilket kan være tilfældet med servere eller cloudinfrastruktur, der drives af deres ejere udelukkende på vegne af tredjeparter, bl.a. til brug for en onlinetjeneste.

(17)

Det er nødvendigt at fastsætte regler vedrørende produkter, som er forbundet med en relateret tjeneste på købs-, leje- eller leasingtidspunktet på en sådan måde, at dens fravær ville forhindre det forbundne produkt i at udføre en eller flere af sine funktioner, eller som efterfølgende forbindes med produktet af producenten eller en tredjepart med henblik på at supplere eller tilpasse det forbundne produkts funktionalitet. Sådanne relaterede tjenester omfatter udveksling af data mellem det forbundne produkt og tjenesteudbyderen og bør forstås som værende udtrykkeligt knyttet til den måde, hvorpå det forbundne produkts funktioner fungerer, såsom tjenester, der i givet fald overfører kommandoer til det forbundne produkt, som er i stand til at påvirke dets handlinger eller opførsel. Tjenester, der ikke påvirker den måde, hvorpå det forbundne produkt fungerer, og som ikke indebærer, at tjenesteudbyderen overfører data eller kommandoer til det forbundne produkt, bør ikke betragtes som relaterede tjenester. Sådanne tjenester kan f.eks. omfatte hjælperådgivning, analyse eller finansielle tjenesteydelser eller regelmæssig reparation og vedligeholdelse. Relaterede tjenester kan tilbydes som en del af købs-, leje- eller leasingaftalen. Sådanne relaterede tjenester kan også leveres i forbindelse med produkter af samme type, og brugere kan med rimelighed forvente leveringen i betragtning af det forbundne produkts karakter og eventuelle offentlige udsagn fremsat af eller på vegne af sælger, udlejer, leasinggiver eller andre personer i forudgående led i transaktionskæden, herunder producenten. Disse relaterede tjenester kan selv generere data af værdi for brugeren uafhængigt af det forbundne produkts kapacitet til at indsamle data. Denne forordning bør også finde anvendelse på relaterede tjenester, der ikke leveres af sælger, udlejer eller leasinggiver selv, men som leveres af en tredjepart. I tilfælde af tvivl om, hvorvidt tjenesten leveres som en del af købs-, leje- eller leasingaftalen, bør denne forordning finde anvendelse. Hverken strømforsyningen eller tilvejebringelsen af konnektivitet skal fortolkes som relaterede tjenester i henhold til denne forordning.

(18)

Brugeren af et forbundet produkt bør forstås som en fysisk eller juridisk person såsom en virksomhed, en forbruger eller en offentlig myndighed, der ejer et forbundet produkt, har fået visse midlertidige rettigheder, f.eks. gennem en leje- eller leasingaftale, til at få adgang til eller anvende data, der er opnået fra det forbundne produkt, eller modtager relaterede tjenester med henblik på det forbundne produkt. Disse adgangsrettigheder bør på ingen måde ændre eller gribe ind i rettighederne for registrerede, som kan interagere med et forbundet produkt eller en relateret tjeneste med hensyn til personoplysninger, der er genereret af det forbundne produkt eller under leveringen af den relaterede tjeneste. Brugeren bærer de risici og nyder godt af de fordele, der er forbundet med at bruge det forbundne produkt, og bør også have adgang til de data, det genererer. Brugeren bør derfor have ret til at drage fordel af de data, der er genereret af det forbundne produkt og enhver relateret tjeneste. En ejer, udlejer eller leasingtager bør også anses for at være en bruger, herunder når flere enheder kan anses for at være brugere. I forbindelse med flere brugere kan hver bruger bidrage på forskellig vis til datagenereringen og have en interesse i flere former for anvendelse såsom forvaltning af en bilpark for en leasingvirksomhed eller mobilitetsløsninger for enkeltpersoner, der benytter en bildelingstjeneste.

(19)

Ved datakompetence forstås færdigheder, viden og forståelse, der gør det muligt for brugere, forbrugere og virksomheder, navnlig SMV'er, der falder ind under denne forordnings anvendelsesområde, at få kendskab til den potentielle værdi af de data, som de har genereret, producerer og deler, og som de er motiverede til at tilbyde og give adgang til i overensstemmelse med relevante retsregler. Datakompetence bør være mere end blot læring om værktøjer og teknologier og bør sigte mod at give borgere og virksomheder evne og myndighed til at drage fordel af et inklusivt og retfærdigt datamarked. Udbredelsen af foranstaltninger vedrørende datakompetence og indførelsen af passende opfølgende tiltag kan bidrage til at forbedre arbejdsvilkårene og i sidste ende understøtte dataøkonomiens konsoliderings- og innovationssti i Unionen. De kompetente myndigheder bør fremme værktøjer og vedtage foranstaltninger til at fremme datakompetence blandt brugere og enheder, der falder ind under denne forordnings anvendelsesområde, og et kendskab til deres rettigheder og forpligtelser i henhold til denne forordning.

(20)

I praksis er ikke alle data, der genereres af forbundne produkter eller relaterede tjenester, let tilgængelige for brugeren, og der er ofte begrænsede muligheder med hensyn til portabilitet af data genereret af produkter, der er forbundet med internettet. Brugeren er ude af stand til at opnå de data, der er nødvendige for at gøre brug af leverandører af reparationstjenester og andre tjenester, og virksomheder er ude af stand til at tilbyde innovative, bekvemme og mere effektive tjenester. I mange sektorer kan producenterne gennem deres kontrol over de forbundne produkters eller de relaterede tjenesters tekniske udformning bestemme, hvilke data der genereres, og hvordan de kan tilgås, selv om de ikke har nogen juridisk ret til de pågældende data. Det er derfor nødvendigt at sikre, at forbundne produkter udformes og fremstilles, og at relaterede tjenester udformes og leveres, på en sådan måde, at produktdata og relaterede tjenestedata, herunder de tilhørende metadata, der er nødvendige for at fortolke og anvende disse data, herunder med henblik på at hente, anvende eller dele dem, altid er let og sikkert tilgængelige for en bruger gratis og i et fyldestgørende, struktureret, almindeligt anvendt og maskinlæsbart format. Produktdata og relaterede tjenestedata, som en dataindehaver lovligt opnår eller lovligt kan opnå fra det forbundne produkt eller den relaterede tjeneste såsom gennem det forbundne produkts udformning, dataindehaverens aftale med brugeren om levering af relaterede tjenester og dennes tekniske midler til dataadgang uden en uforholdsmæssig stor indsats, benævnes »let tilgængelige data«. Let tilgængelige data omfatter ikke data, der er genereret via brugen af et forbundet produkt, hvor det forbundne produkts udformning ikke kræver, at sådanne data skal lagres eller overføres uden for den komponent, som de er genereret i, eller det forbundet produkt som helhed. Denne forordning bør derfor ikke forstås således, at den pålægger en forpligtelse til at lagre data på et forbundet produkts centrale databehandlingsenhed. Fravær af en sådan forpligtelse bør ikke forhindre producenten eller dataindehaveren i frivilligt at indgå aftale med brugeren om at foretage sådanne tilpasninger. Denne forordnings udformningsforpligtelser berører heller ikke princippet om dataminimering, der er fastsat i artikel 5, stk. 1, litra c), i forordning (EU) 2016/679, og bør ikke forstås således, at de pålægger en forpligtelse til at udforme forbundne produkter og relaterede tjenester på en sådan måde, at de lagrer eller på anden måde behandler andre personoplysninger end de personoplysninger, der er nødvendige i forbindelse med at opfylde de formål, hvortil de behandles. Der vil kunne indføres EU-ret eller national ret for at skitsere yderligere særlige forhold såsom minimumsniveauet af produktdata, der bør være tilgængelige fra forbundne produkter eller relaterede tjenester, eftersom sådanne data kan være afgørende for disse forbundne produkters eller relaterede tjenesters effektive funktion, reparation eller vedligeholdelse. Hvis efterfølgende opdateringer eller ændringer af et forbundet produkt eller en relateret tjeneste foretaget af producenten eller en anden part fører til yderligere tilgængelige data eller en begrænsning af oprindeligt tilgængelige data, bør de pågældende ændringer meddeles brugeren i forbindelse med opdateringen eller ændringen.

(21)

Hvis flere personer eller enheder betragtes som brugere, f.eks. i tilfælde af fælles ejerskab, eller hvis en ejer, udlejer eller leasingtager deler rettigheder til dataadgang eller -anvendelse, bør udformningen af det forbundne produkt, den relaterede tjeneste eller den relevante grænseflade gøre det muligt for hver bruger at få adgang til de data, de genererer. Typisk kræves det, at brugere af forbundne produkter, der genererer data, opretter en brugerkonto. En sådan brugerkonto gør det muligt for en dataindehaver, som kan være producenten, at identificere brugeren. Den kan også anvendes som et kommunikationsmiddel og til at indgive og behandle anmodninger om dataadgang. Hvis flere producenter eller udbydere af relaterede tjenester har solgt, udlejet eller leaset forbundne produkter eller leveret relaterede tjenester, der er integreret, til den samme bruger, bør brugeren henvende sig til hver af de parter, som brugeren har en aftale med. Producenter eller designere af et forbundet produkt, der typisk anvendes af flere personer, bør indføre de nødvendige mekanismer, der gør det muligt for individuelle personer at have særskilte brugerkonti i de tilfælde, hvor det er relevant, eller for flere personer at benytte den samme brugerkonto. Kontoløsninger bør gøre det muligt for brugerne at slette deres konti og de data, der vedrører dem, og kunne give brugerne mulighed for at bringe dataadgangen, -anvendelsen eller -delingen til ophør eller indgive anmodninger med henblik herpå, navnlig under hensyntagen til situationer, hvor ejerskabet eller anvendelsen af det forbundne produkt ændres. Brugeren bør få adgang på grundlag af en simpel anmodningsmekanisme, hvor udførelsen sker automatisk, og hvor der ikke kræves undersøgelse eller godkendelse fra producentens eller dataindehaverens side. Det betyder, at dataene kun bør stilles til rådighed, når brugeren rent faktisk ønsker adgang. Hvis det ikke er muligt at udføre anmodningen om dataadgang automatisk, f.eks. via en brugerkonto eller en ledsagende mobilapplikation leveret sammen med det forbundne produkt eller den relaterede tjeneste, bør producenten oplyse brugeren om, hvordan der kan opnås adgang til dataene.

(22)

Forbundne produkter kan være udformet således, at visse data er direkte tilgængelige fra datalagring på enheden eller fra en fjernserver, som dataene videresendes til. Adgang til datalagring på enheden kan gøres mulig via kabelbaserede eller trådløse lokale net, der er forbundet med en offentligt tilgængelig elektronisk kommunikationstjeneste eller et offentligt tilgængeligt mobilnet. Serveren kan være producentens egen lokale serverkapacitet eller en tredjeparts eller cloudtjenesteudbyders. Databehandlere som defineret i artikel 4, nr. 8), i forordning (EU) 2016/679 anses ikke for at fungere som dataindehavere. Den dataansvarlige som defineret i artikel 4, nr. 7), i forordning (EU) 2016/679 kan dog specifikt give dem til opgave at stille data til rådighed. Forbundne produkter kan være udformet med henblik på at gøre det muligt for brugeren eller en tredjepart at behandle dataene i det forbundne produkt, i en databehandlingsinstans fra producenten eller i et informations- og kommunikationsteknologimiljø (IKT-miljø), der er valgt af brugeren eller tredjeparten.

(23)

Virtuelle assistenter spiller en stadig større rolle i digitaliseringen af forbrugermiljøer og professionelle miljøer og fungerer som en brugervenlig grænseflade til at afspille indhold, få adgang til oplysninger eller aktivere produkter, der er forbundet med internettet. Virtuelle assistenter kan fungere som en fælles portal i f.eks. et intelligent hjemmemiljø og registrere betydelige mængder relevante data om, hvordan brugerne interagerer med produkter, der er forbundet med internettet, også produkter fremstillet af andre parter, og kan overflødiggøre brugen af grænseflader leveret af producenten såsom touchscreens eller smartphoneapplikationer. Brugeren ønsker måske at stille disse data til rådighed for tredjepartsproducenter og drage fordel af nye intelligente tjenester. Virtuelle assistenter bør være omfattet af dataadgangsrettighederne fastsat i denne forordning. Data, der genereres, når en bruger interagerer med et forbundet produkt via en virtuel assistent, der er leveret af en anden enhed end producenten af det forbundne produkt, bør også være omfattet af dataadgangsrettighederne fastsat i denne forordning. Det er imidlertid kun de data, der stammer fra interaktionen mellem brugeren og et forbundet produkt eller en relateret tjeneste via den virtuelle assistent, der bør være omfattet af denne forordning. Data, der er produceret af den virtuelle assistent, og som ikke vedrører anvendelsen af et forbundet produkt eller en relateret tjeneste, er ikke omfattet af denne forordning.

(24)

Inden der indgås en aftale om køb, leje eller leasing af et forbundet produkt, bør sælgeren, udlejeren eller leasinggiveren, som kan være producenten, på en klar og forståelig måde give brugeren oplysninger om de produktdata, som det forbundne produkt er i stand til at generere, herunder typen, formatet og den anslåede mængde af de pågældende data. Dette kan omfatte oplysninger om datastrukturer, dataformater, ordlister, klassifikationsordninger, taksonomier og kodelister, hvis sådanne foreligger, samt klare og tilstrækkelige oplysninger, der er relevante for udøvelsen af brugerens rettigheder, om, hvordan dataene kan lagres, hentes eller tilgås, herunder anvendelsesbetingelser og tjenestekvalitet for programmeringsgrænseflader for applikationer eller i givet fald levering af softwareudviklingssæt. Denne forpligtelse sikrer gennemsigtighed for så vidt angår de genererede produktdata og fremmer let adgang for brugeren. Oplysningspligten kan f.eks. opfyldes ved at have en stabil URL-adresse på internettet, som kan distribueres som et weblink eller en QR-kode og fører til de relevante oplysninger, som sælgeren, udlejeren eller leasinggiveren, som kan være producenten, kan give brugeren, inden der indgås en aftale om køb, leje eller leasing af et forbundet produkt. Det er under alle omstændigheder nødvendigt at gøre det er muligt for brugeren at lagre oplysningerne på en måde, der muliggør senere adgang, og som giver mulighed for uændret gengivelse af de lagrede oplysninger. Dataindehaveren kan ikke forventes at lagre dataene på ubestemt tid i betragtning af de behov, som brugeren af det forbundne produkt har, men bør gennemføre en rimelig dataopbevaringspolitik, i givet fald i overensstemmelse med princippet om opbevaringsbegrænsning i henhold til artikel 5, stk. 1, litra e), i forordning (EU) 2016/679, der giver mulighed for en effektiv anvendelse af dataadgangsrettighederne i henhold til nærværende forordning. Oplysningspligten berører ikke den dataansvarliges forpligtelse til at oplyse den registrerede i henhold til artikel 12, 13 og 14 i forordning (EU) 2016/679. Forpligtelsen til at give oplysninger, inden der indgås en aftale om levering af en relateret tjeneste, bør påhvile den potentielle dataindehaver, uanset om dataindehaveren indgår en aftale om køb, leje eller leasing af et forbundet produkt. Hvis oplysningerne ændres i løbet af det forbundne produkts levetid eller aftaleperioden for den relaterede tjeneste, herunder når det formål, som de pågældende data skal anvendes til, ændres fra det oprindeligt angivne formål, bør de også gives til brugeren.

(25)

Denne forordning bør ikke forstås således, at dataindehaverne tillægges nogen ny ret til at anvende produktdata eller relaterede tjenestedata. Hvis producenten af et forbundet produkt er dataindehaver, bør grundlaget for producentens anvendelse af andre data end personoplysninger være en aftale mellem producenten og brugeren. En sådan aftale kan være en del af en aftale om levering af den relaterede tjeneste, som kan leveres sammen med købs-, leje- eller leasingaftalen vedrørende det forbundne produkt. Ethvert aftalevilkår, der fastsætter, at dataindehaveren kan anvende produktdata eller relaterede tjenestedata, bør være gennemskueligt for brugeren, herunder med hensyn til de formål, som dataindehaveren har til hensigt at anvende dataene til. Sådanne formål kan omfatte forbedring af det forbundne produkts eller de relaterede tjenesters funktion, udvikling af nye produkter eller tjenester eller aggregering af data med henblik på at stille de deraf følgende afledte data til rådighed for tredjeparter, forudsat at sådanne afledte data ikke gør det muligt at identificere specifikke data, der overføres til dataindehaveren fra det forbundne produkt, eller gør det muligt for en tredjepart at aflede de pågældende data af datasættet. Enhver ændring af aftalen bør afhænge af brugerens informerede samtykke. Denne forordning forhindrer ikke parter i at indgå aftale om aftalevilkår, hvis virkning er at udelukke eller begrænse dataindehaverens anvendelse af andre data end personoplysninger eller visse kategorier af andre data end personoplysninger. Den forhindrer heller ikke parter i at indgå aftale om at stille produktdata eller relaterede tjenestedata direkte eller indirekte til rådighed, herunder i givet fald via en anden dataindehaver. Denne forordning forhindrer heller ikke sektorspecifikke reguleringskrav i henhold til EU-ret eller national ret, der er forenelig med EU-retten, som af veldefinerede hensyn til den offentlige orden udelukker eller begrænser dataindehaverens anvendelse af visse sådanne data. Denne forordning er ikke til hinder for, at brugere i forbindelse med relationer mellem virksomheder stiller data til rådighed for tredjeparter eller dataindehavere i henhold til et lovligt aftalevilkår, herunder ved at aftale at begrænse eller indskrænke yderligere deling af sådanne data, eller bliver godtgjort forholdsmæssigt, f.eks. for at give afkald på deres ret til at anvende eller dele de pågældende data. Selv om begrebet »dataindehaver« generelt ikke omfatter offentlige myndigheder, kan det dog omfatte offentlige virksomheder.

(26)

For at fremme udviklingen af likvide, retfærdige og effektive markeder for andre data end personoplysninger bør brugere af forbundne produkter være i stand til at dele data med andre, herunder til kommercielle formål, med en minimal juridisk og teknisk indsats. Det er i øjeblikket ofte vanskeligt for virksomheder at begrunde de personale- eller databehandlingsomkostninger, der er nødvendige for at udarbejde datasæt eller dataprodukter med andre data end personoplysninger og tilbyde dem til potentielle modparter via dataformidlingstjenester, herunder datamarkeder. En væsentlig hindring for virksomhedernes deling af andre data end personoplysninger skyldes derfor den manglende forudsigelighed med hensyn til det økonomiske udbytte af at investere i kurateringen og tilrådighedsstillelsen af datasæt eller dataprodukter. For at gøre det muligt at skabe likvide, fair og effektive markeder for andre data end personoplysninger i Unionen skal det præciseres, hvilken part der har ret til at tilbyde sådanne data på et marked. Brugere bør derfor have ret til at dele andre data end personoplysninger med datamodtagere til kommercielle og ikkekommercielle formål. En sådan datadeling kan udføres direkte af brugeren, efter anmodning fra brugeren via en dataindehaver eller gennem dataformidlingstjenester. Dataformidlingstjenester som reguleret ved Europa-Parlamentets og Rådets forordning (EU) 2022/868 (22) kan fremme en dataøkonomi ved at etablere kommercielle forbindelser mellem brugere, datamodtagere og tredjeparter og kan støtte brugerne i udøvelsen af deres ret til at anvende data såsom ved at sikre anonymisering af personoplysninger eller aggregering af adgangen til data fra flere individuelle brugere. Hvis data er udelukket fra en dataindehavers forpligtelse til at stille dem til rådighed for brugere eller tredjeparter, kan omfanget af sådanne data præciseres i aftalen mellem brugeren og dataindehaveren om levering af en relateret tjeneste, således at brugerne let kan afgøre, hvilke data der er til rådighed for dem med henblik på deling med datamodtagere eller tredjeparter. Dataindehavere bør ikke stille andre produktdata end personoplysninger til rådighed for tredjeparter til andre kommercielle eller ikkekommercielle formål end opfyldelsen af deres aftale med brugeren, uden at det berører retlige krav i henhold til EU-retten eller national ret om, at en dataindehaver skal stille data til rådighed. Hvor det er relevant, bør dataindehavere kontraktligt forpligte tredjeparter til ikke at dele data, som de har modtaget fra dem, med andre.

(27)

I de sektorer, der er kendetegnet ved koncentration af et lille antal producenter, der leverer forbundne produkter til slutbrugere, har brugerne måske kun begrænsede muligheder for dataadgang, -anvendelse og -deling. Under sådanne omstændigheder kan kontraktlige aftaler være utilstrækkelige til at nå målet om brugerindflydelse, hvilket gør det vanskeligt for brugerne at opnå værdi af de data, der er genereret af det forbundne produkt, de køber, lejer eller leaser. Der er derfor et begrænset potentiale for, at innovative mindre virksomheder kan tilbyde databaserede løsninger på en konkurrencedygtig måde, og en begrænset mulighed for en mangfoldig dataøkonomi i Unionen. Denne forordning bør derfor bygge på den seneste udvikling i specifikke sektorer såsom adfærdskodeksen for deling af landbrugsdata ved aftale. EU-ret eller national ret kan vedtages for at imødekomme sektorspecifikke behov og mål. Dataindehavere bør endvidere ikke anvende let tilgængelige andre data end personoplysninger til at opnå indsigt i brugerens økonomiske situation, aktiver eller produktionsmetoder eller i brugerens anvendelse på anden vis, som kan underminere den pågældende brugers forretningsmæssige stilling på de markeder, hvor vedkommende er aktiv. Dette kan omfatte anvendelse til skade for brugeren af viden om en virksomheds eller en bedrifts overordnede resultater i kontraktforhandlinger med brugeren om den potentielle erhvervelse af brugerens produkter eller landbrugsprodukter eller anvendelse af sådanne oplysninger i større databaser vedrørende bestemte markeder samlet set, f.eks. databaser over høstudbyttet i den kommende høstsæson, da en sådan anvendelse indirekte kan påvirke brugeren negativt. Brugeren bør have den nødvendige tekniske grænseflade til rådighed til at kunne forvalte tilladelser, helst med detaljerede valgmuligheder, f.eks. »Tillad én gang« eller »Tillad, mens du bruger denne app eller tjeneste«, herunder muligheden for at trække sådanne tilladelser tilbage.

(28)

I aftaler mellem en dataindehaver og en forbruger som bruger af et forbundet produkt eller en relateret tjeneste, der genererer data, finder Unionens forbrugerret, særlig direktiv 93/13/EØF og 2005/29/EF, anvendelse for at sikre, at forbrugeren ikke er underlagt urimelige aftalevilkår. Med henblik på denne forordning bør urimelige aftalevilkår, der ensidigt pålægges en virksomhed, ikke være bindende for den pågældende virksomhed.

(29)

Dataindehavere kan kræve en hensigtsmæssig brugeridentifikation for at kontrollere en brugers ret til at få adgang til dataene. Hvis personoplysninger behandles af en databehandler på vegne af den dataansvarlige, bør dataindehavere sørge for, at anmodningen om adgang modtages og behandles af databehandleren.

(30)

Brugeren bør frit kunne anvende dataene til et hvilket som helst lovligt formål. Dette omfatter levering af de data, som brugeren har modtaget under udøvelsen af sine rettigheder i henhold til denne forordning, til en tredjepart, der udbyder eftersalgsservice, som kan være i konkurrence med en tjeneste, der leveres af en dataindehaver, eller instruks til dataindehaveren om at gøre dette. Anmodningen bør indgives af brugeren eller af en autoriseret tredjepart, der handler på en brugers vegne, herunder en udbyder af en autoriseret dataformidlingstjeneste. Dataindehavere bør sikre, at de data, der stilles til rådighed for tredjepart, er lige så nøjagtige, fuldstændige, pålidelige, relevante og ajourførte som de data, som dataindehaveren selv kan få adgang til eller har ret til at få adgang til i forbindelse med brugen af det forbundne produkt eller den relaterede tjeneste. Alle intellektuelle ejendomsrettigheder bør respekteres i forbindelse med behandlingen af dataene. Det er vigtigt at bevare incitamenterne til at investere i produkter med funktionaliteter baseret på anvendelsen af data fra sensorer, der er indbygget i de pågældende produkter.

(31)

Europa-Parlamentets og Rådets direktiv (EU) 2016/943 (23) fastsætter, at erhvervelse, brug eller videregivelse af en forretningshemmelighed bl.a. betragtes som lovlig, hvis EU-retten eller national ret kræver eller tillader en sådan erhvervelse, brug eller videregivelse. Selv om denne forordning kræver, at dataindehavere videregiver visse data til brugere eller tredjeparter efter en brugers eget valg, selv når de pågældende data opfylder betingelserne for beskyttelse som forretningshemmeligheder, bør den fortolkes på en sådan måde, at den beskyttelse, der ydes forretningshemmeligheder i henhold til direktiv (EU) 2016/943, bevares. I denne forbindelse bør dataindehavere være i stand til at kræve, at brugere eller tredjeparter efter en brugers eget valg, skal beskytte fortroligheden af data, der betragtes som forretningshemmeligheder. Dataindehavere bør derfor identificere forretningshemmeligheder forud for videregivelsen og have mulighed for at aftale nødvendige foranstaltninger med brugere eller tredjeparter efter en brugers eget valg for at beskytte deres fortrolighed, herunder ved brug af en model for aftalevilkår, fortrolighedsaftaler, strenge adgangsprotokoller, tekniske standarder og anvendelse af adfærdskodekser. Ud over anvendelsen af den model for aftalevilkår, der skal udarbejdes og anbefales af Kommissionen, kan udarbejdelsen af adfærdskodekser og tekniske standarder vedrørende beskyttelse af forretningshemmeligheder i forbindelse med behandlingen af dataene bidrage til at nå målet med denne forordning og bør fremmes. Hvis der ikke foreligger nogen aftale om de nødvendige foranstaltninger, eller hvis en bruger eller tredjeparter efter brugerens eget valg undlader at gennemføre de aftalte foranstaltninger eller bringer fortroligheden af forretningshemmelighederne i fare, bør dataindehaveren kunne tilbageholde eller suspendere delingen af data, der er identificeret som forretningshemmeligheder. I sådanne tilfælde bør dataindehaveren uden unødigt ophold meddele brugeren eller tredjeparten beslutningen skriftligt og underrette den kompetente myndighed i den medlemsstat, hvor dataindehaveren er etableret, om, at vedkommende har tilbageholdt eller suspenderet datadeling, og udpege de foranstaltninger, der ikke er aftalt eller gennemført, og, hvis det er relevant, de forretningshemmeligheder, hvis fortrolighed er bragt i fare. Dataindehavere kan i princippet ikke afslå en anmodning om dataadgang i henhold til denne forordning udelukkende med den begrundelse, at visse data anses som en forretningshemmelighed, eftersom dette ville undergrave de tilsigtede virkninger med denne forordning. Under særlige omstændigheder bør en dataindehaver, der er en forretningshemmelighedshaver, dog fra sag til sag kunne afslå en anmodning om de pågældende specifikke data, hvis vedkommende er i stand til at påvise over for brugeren eller tredjeparten, at videregivelsen af forretningshemmeligheden på trods af tekniske og organisatoriske foranstaltninger truffet af brugeren eller af tredjeparten højst sandsynligt vil medføre alvorlig økonomisk skade. Alvorlig økonomisk skade indebærer alvorlig og uoprettelig økonomisk tab. Dataindehaveren bør uden unødigt ophold og skriftligt behørigt begrunde sit afslag over for brugeren eller tredjeparten og underrette den kompetente myndighed. En sådan begrundelse bør baseres på objektive forhold, som påviser den konkrete risiko for alvorlig økonomisk skade, der forventes at opstå som følge af en specifik videregivelse af data, og årsagerne til, at de foranstaltninger, der er truffet for at beskytte de ønskede data, ikke anses for at være tilstrækkelige. Der kan i denne forbindelse tages hensyn til en mulig negativ indvirkning på cybersikkerheden. Uden at det berører retten til prøvelse ved en medlemsstats domstol eller ret, hvor brugeren eller en tredjepart ønsker at anfægte dataindehaverens beslutning om at afslå eller om at tilbageholde eller suspendere datadeling, kan brugeren eller tredjeparten indgive en klage til den kompetente myndighed, som uden unødigt ophold bør beslutte, om og på hvilke betingelser datadeling bør påbegyndes eller genoptages, eller kan aftale med dataindehaveren at indbringe sagen for et tvistbilæggelsesorgan. Undtagelserne fra dataadgangsrettighederne i denne forordning bør under ingen omstændigheder begrænse registreredes indsigtsret og ret til dataportabilitet i henhold til forordning (EU) 2016/679.

(32)

Formålet med denne forordning er ikke kun fremme af udviklingen af nye, innovative forbundne produkter og relaterede tjenester og stimulering af innovationen på eftermarkederne, men også stimulering af udviklingen af helt nye tjenester, der gør brug af de pågældende data, bl.a. på grundlag af data fra en række forbundne produkter eller relaterede tjenester. Samtidig sigter denne forordning mod at undgå at underminere investeringsincitamenterne for den type forbundet produkt, som dataene stammer fra, f.eks. hvis dataene anvendes til at udvikle et konkurrerende forbundet produkt, som brugerne betragter som indbyrdes udskifteligt og substituerbart, navnlig på grundlag af det forbundne produkts egenskaber, pris og påtænkte anvendelse. Denne forordning indeholder intet forbud mod udvikling af en relateret tjeneste ved hjælp af data, der er opnået i henhold til denne forordning, da dette ville have en uønsket afskrækkende virkning på innovation. Et forbud mod anvendelse af data, der tilgås i henhold til denne forordning, til udvikling af et konkurrerende forbundet produkt beskytter dataindehavernes innovationsindsats. Hvorvidt et forbundet produkt konkurrerer med det forbundne produkt, som dataene stammer fra, afhænger af, om de to forbundne produkter konkurrerer på det samme produktmarked. Dette skal fastslås på grundlag af de i EU-konkurrenceretten fastlagte principper for afgrænsning af det relevante produktmarked. Lovlige formål med anvendelsen af dataene kan dog omfatte reverse engineering, forudsat at den opfylder kravene i denne forordning og i EU-retten eller national ret. Dette kan være tilfældet med henblik på reparation af et forbundet produkt eller forlængelse af dets levetid eller levering af eftersalgsservice for forbundne produkter.

(33)

En tredjepart, som data stilles til rådighed for, kan være en fysisk eller juridisk person såsom en forbruger, en virksomhed, en forskningsinstitution, en nonprofitorganisation eller en enhed, der handler i erhvervsøjemed. Når en dataindehaver stiller data til rådighed for tredjepart, bør dataindehaveren ikke misbruge sin stilling til at opnå en konkurrencemæssig fordel på markeder, hvor dataindehaveren og tredjeparten kan være i direkte konkurrence. Dataindehaveren bør derfor ikke anvende let tilgængelige data til at opnå indsigt i tredjepartens økonomiske situation, aktiver eller produktionsmetoder eller anvendelse på anden vis, som kunne underminere tredjepartens forretningsmæssige stilling på de markeder, hvor tredjeparten er aktiv. Brugeren bør kunne dele andre data end personoplysninger med tredjeparter til kommercielle formål. Efter aftale med brugeren og med forbehold af denne forordnings bestemmelser bør tredjeparter kunne overføre de dataadgangsrettigheder, som brugeren har tildelt andre tredjeparter, herunder mod godtgørelse. Formidlere af data mellem virksomheder og systemer til forvaltning af personoplysninger (PIMS), benævnt dataformidlingstjenester i forordning (EU) 2022/868, kan hjælpe brugere eller tredjeparter med at etablere kommercielle forbindelser med et ubestemt antal potentielle modparter til ethvert lovligt formål, der falder ind under nærværende forordnings anvendelsesområde. De kan spille en afgørende rolle med hensyn til at aggregere adgang til data, således at analyser af big data eller maskinlæring bliver lettere, forudsat at brugere fortsat har fuld kontrol over, om de vil give deres data til en sådan aggregering, og på hvilke kommercielle vilkår deres data skal anvendes.

(34)

Brugen af et forbundet produkt eller en relateret tjeneste kan, navnlig når brugeren er en fysisk person, generere data, der vedrører den registrerede. Behandlingen af sådanne data er underlagt reglerne i forordning (EU) 2016/679, herunder i tilfælde, hvor personoplysninger og andre data end personoplysninger i et datasæt er uløseligt forbundet. Den registrerede kan være brugeren eller en anden fysisk person. Kun en dataansvarlig eller en registreret kan anmode om personoplysninger. En bruger, der er den registrerede, har under visse omstændigheder i henhold til forordning (EU) 2016/679 ret til at få adgang til personoplysninger om sig selv, og disse rettigheder berøres ikke af nærværende forordning. I henhold til nærværende forordning har en bruger, der er en fysisk person, yderligere ret til at få adgang til alle data, der er genereret af anvendelsen af et forbundet produkt, hvad enten der er tale om personoplysninger eller andre data end personoplysninger. I andre tilfælde end fælles husholdningsbrug af det forbundne produkt skal brugeren, hvis denne ikke er den registrerede, men en virksomhed, herunder en enkeltmandsvirksomhed, betragtes som dataansvarlig. En sådan bruger, der som dataansvarlig har til hensigt at anmode om personoplysninger, der er genereret ved brug af et forbundet produkt eller en relateret tjeneste, skal derfor have et retsgrundlag for behandlingen af oplysningerne som krævet i henhold til artikel 6, stk. 1, i forordning (EU) 2016/679, såsom den registreredes samtykke eller opfyldelse af en aftale, som den registrerede er part i. En sådan bruger bør sikre sig, at den registrerede er behørigt oplyst om de specifikke, eksplicitte og legitime formål med behandlingen af oplysningerne, og om hvordan den registrerede kan udøve sine rettigheder effektivt. Hvis dataindehaveren og brugeren er fælles dataansvarlige som omhandlet i artikel 26 i forordning (EU) 2016/679, er de forpligtet til på gennemsigtig måde ved hjælp af en ordning mellem dem at fastlægge deres relevante ansvar for overholdelse af nævnte forordning. Det bør forstås, at en sådan bruger, når dataene er blevet stillet rådighed, kan blive dataindehaver, hvis den pågældende bruger opfylder kriterierne i nærværende forordning og dermed bliver omfattet af forpligtelsen til at stille data til rådighed i henhold til nærværende forordning.

(35)

Produktdata eller relaterede tjenestedata bør kun stilles til rådighed for en tredjepart efter anmodning fra brugeren. Denne forordning supplerer i overensstemmelse hermed den registreredes ret, der er fastsat i artikel 20 i forordning (EU) 2016/679, til at modtage personoplysninger om sig selv i et struktureret, almindeligt anvendt og maskinlæsbart format samt til at portere disse oplysninger til en anden dataansvarlig, hvis disse oplysninger behandles automatisk på grundlag af artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller en aftale i henhold til nævnte forordnings artikel 6, stk. 1, litra b). Registrerede har også ret til at få overført personoplysningerne direkte fra en dataansvarlig til en anden, dog kun hvis det er teknisk muligt. I artikel 20 i forordning (EU) 2016/679 præciseres det, at nævnte artikel vedrører personoplysninger fra den registrerede, men det præciseres ikke, om dette kræver en aktiv adfærd fra den registreredes side, eller om artiklen også finder anvendelse i situationer, hvor et forbundet produkt eller en relateret tjeneste gennem sin udformning observerer den registreredes adfærd eller genererer andre oplysninger vedrørende den registrerede på passiv vis. De rettigheder, der er fastsat i nærværende forordning, supplerer retten til at modtage og portere personoplysninger i henhold til artikel 20 i forordning (EU) 2016/679 på et antal måder. Nærværende forordning giver brugerne ret til at tilgå produktdata eller relaterede tjenestedata og stille dem til rådighed for en tredjepart, uanset om der er tale om personoplysninger, uanset om der er tale om data, der er leveret aktivt eller genereret passivt, og uanset retsgrundlaget for behandlingen. Til forskel fra artikel 20 i forordning (EU) 2016/679 foreskriver og sikrer nærværende forordning den tekniske gennemførlighed af tredjeparters adgang til alle de typer data, der falder ind under nærværende forordnings anvendelsesområde, uanset om der er tale om personoplysninger eller andre data end personoplysninger, hvorved det sikres, at tekniske hindringer ikke længere vanskeliggør eller står i vejen for adgangen til sådanne data. Ved nærværende forordning gives dataindehavere mulighed for at fastsætte rimelig godtgørelse, der skal betales af tredjepart, men ikke af brugeren, for omkostninger ved at give direkte adgang til de data, der er genereret af brugerens forbundne produkt. Hvis en dataindehaver og en tredjepart ikke kan nå til enighed om vilkårene for en sådan direkte adgang, bør den registrerede på ingen måde forhindres i at udøve de rettigheder, der er fastsat i forordning (EU) 2016/679, herunder retten til dataportabilitet, ved at gøre brug af retsmidler i overensstemmelse med nævnte forordning. Det skal i denne forbindelse forstås, at en aftale i overensstemmelse med forordning (EU) 2016/679 ikke tillader dataindehaverens eller tredjepartens behandling af særlige kategorier af personoplysninger.

(36)

Adgang til data, der er lagret i og tilgås fra terminaludstyr, er omfattet af direktiv 2002/58/EF og kræver abonnentens eller brugerens samtykke som omhandlet i nævnte direktiv, medmindre det er strengt nødvendigt for leveringen af en informationssamfundstjeneste, som brugeren eller abonnenten udtrykkeligt har anmodet om, eller udelukkende med det formål at overføre kommunikation. Med direktiv 2002/58/EF beskyttes integriteten af en brugers terminaludstyr i forbindelse med anvendelsen af behandlings- og opbevaringsfunktioner og indsamlingen af oplysninger. Udstyr vedrørende tingenes internet betragtes som terminaludstyr, hvis det er direkte eller indirekte forbundet med et offentligt kommunikationsnet.

(37)

For at forhindre, at brugerne udnyttes, bør tredjeparter, for hvem der er stillet data til rådighed efter anmodning fra brugeren, kun behandle de pågældende data til de formål, der er aftalt med brugeren, og kun dele dem med en anden tredjepart med brugerens samtykke til en sådan datadeling.

(38)

I overensstemmelse med princippet om dataminimering bør tredjeparter kun få adgang til oplysninger, der er nødvendige for leveringen af den tjeneste, som brugeren har anmodet om. Efter at have fået adgang til dataene bør tredjeparten behandle dem til de formål, der er aftalt med brugeren, uden indblanding fra dataindehaverens side. Det bør være lige så let for brugeren at afvise eller afbryde tredjepartens adgang til dataene, som det er for brugeren at give tilladelse til adgang. Hverken tredjeparter eller dataindehavere bør gøre brugernes udøvelse af valg eller rettigheder unødigt vanskelig, herunder ved at tilbyde brugeren valgmuligheder på en ikkeneutral måde eller ved at tvinge, vildlede eller manipulere brugeren eller undergrave eller begrænse brugerens autonomi, beslutningstagning eller valgmuligheder, herunder ved hjælp af en digital brugergrænseflade eller en del heraf. I denne forbindelse bør tredjeparter eller dataindehavere ikke benytte sig af såkaldte »mørke mønstre« i udformningen af deres digitale grænseflader. Mørke mønstre er designteknikker, der presser eller vildleder forbrugere til at træffe beslutninger, der har negative konsekvenser for dem. Disse manipulerende teknikker kan bruges til at påvirke brugerne, navnlig sårbare forbrugere, til at udvise uønsket adfærd, til at vildlede dem ved at tilskynde dem til at træffe beslutninger om at videregive data eller til på urimelig vis at skævvride tjenestebrugernes beslutningstagning på en sådan måde, at det undergraver eller forringer deres autonomi, beslutningstagning og valgmuligheder. Almindelig og legitim handelspraksis, der overholder EU-retten, bør ikke i sig selv betragtes som mørke mønstre. Tredjeparter og dataindehavere bør overholde deres forpligtelser i henhold til den relevante EU-ret, navnlig kravene i Europa-Parlamentets og Rådets direktiv 98/6/EF (24) og 2000/31/EF (25) samt i direktiv 2005/29/EF og 2011/83/EU.

(39)

Tredjeparter bør også afholde sig fra at anvende data, der er omfattet af denne forordnings anvendelsesområde, til at profilere enkeltpersoner, medmindre sådanne behandlingsaktiviteter er strengt nødvendige for at levere den tjeneste, som brugeren har anmodet om, herunder i forbindelse med automatiske afgørelser. Kravet om, at data slettes, når de ikke længere er nødvendige til det formål, der er aftalt med brugeren, medmindre andet er aftalt for andre data end personoplysninger, supplerer den registreredes ret til sletning i henhold til artikel 17 i forordning (EU) 2016/679. Hvis en tredjepart er udbyder af en dataformidlingstjeneste, finder foranstaltningerne til beskyttelse af den registrerede i forordning (EU) 2022/868 anvendelse. Tredjeparten kan anvende dataene til at udvikle et nyt og innovativt forbundet produkt eller en ny og innovativ relateret tjeneste, men ikke til at udvikle et konkurrerende forbundet produkt.

(40)

Opstartsvirksomheder, små virksomheder, virksomheder, der er mellemstore virksomheder i henhold til artikel 2 i bilaget til henstilling 2003/361/EF, og virksomheder fra traditionelle sektorer med mindre udviklet digital kapacitet har svært ved at få adgang til relevante data. Denne forordning har til formål at lette adgangen til data for disse enheder, samtidig med at de tilsvarende forpligtelser er så forholdsmæssige som muligt for at undgå overdreven regulering. Samtidig er der dukket et lille antal meget store virksomheder op, som har opnået betydelig økonomisk magt i den digitale økonomi gennem akkumulering og aggregering af enorme mængder data, og som har den teknologiske infrastruktur til at udnytte dataene kommercielt. Disse meget store virksomheder omfatter virksomheder, der udbyder centrale platformstjenester, som kontrollerer hele platformsøkosystemer i den digitale økonomi, og som eksisterende eller nye markedsaktører ikke er i stand til at udfordre eller konkurrere med. Europa-Parlamentets og Rådets forordning (EU) 2022/1925 (26) har til formål at afhjælpe disse ineffektiviteter og ubalancer ved at give Kommissionen mulighed for at udpege en virksomhed som en »gatekeeper« og pålægge sådanne gatekeepere en række forpligtelser, bl.a. et forbud mod at kombinere visse data uden samtykke og en forpligtelse til at sikre en effektiv ret til dataportabilitet i overensstemmelse med artikel 20 i forordning (EU) 2016/679. I overensstemmelse med forordning (EU) 2022/1925 og i betragtning af disse virksomheders enestående evne til at erhverve data er det ikke nødvendigt for at nå målet med nærværende forordning at lade retten til dataadgang omfatte gatekeepere, og det ville derfor være uforholdsmæssigt for de dataindehavere, der er underlagt sådanne forpligtelser. En sådan medtagelse vil sandsynligvis også begrænse fordelene ved nærværende forordning for SMV'er i forbindelse med en retfærdig fordeling af dataværdien på tværs af markedsaktørerne. Det betyder, at en virksomhed, der udbyder centrale platformstjenester, og som er udpeget som gatekeeper, ikke kan anmode om eller få adgang til brugerdata, der er genereret ved brug af et forbundet produkt eller en relateret tjeneste eller genereret af en virtuel assistent i henhold til nærværende forordning. Ydermere må tredjeparter, for hvem der er stillet data til rådighed efter anmodning fra brugeren, ikke stille dataene til rådighed for en gatekeeper. F.eks. må tredjeparten ikke give tjenesteleveringen i underentreprise til en gatekeeper. Dette forhindrer dog ikke tredjeparten i at anvende databehandlingstjenester, der udbydes af en gatekeeper. Det forhindrer heller ikke disse virksomheder i at opnå og anvende de samme data på andre lovlige måder. Adgangsrettighederne i nærværende forordning bidrager til et større udvalg af tjenester for forbrugerne. Da frivillige aftaler mellem gatekeepere og dataindehavere ikke berøres, vil begrænsningen af at give gatekeepere adgang ikke udelukke dem fra markedet eller forhindre dem i at udbyde deres tjenester.

(41)

I betragtning af det nuværende teknologiske niveau vil det være alt for byrdefuldt for mikrovirksomheder og små virksomheder at pålægge yderligere designforpligtelser vedrørende forbundne produkter, der fremstilles eller udformes, eller de relaterede tjenester, der leveres, af dem. Det er imidlertid ikke tilfældet, hvor en mikrovirksomhed eller en lille virksomhed har en partnervirksomhed eller en tilknyttet virksomhed som omhandlet i artikel 3 i bilaget til henstilling 2003/361/EF, der ikke er en mikrovirksomhed eller en lille virksomhed, og hvor den er givet fremstillingen eller udformningen af et forbundet produkt eller levering af relaterede tjenester i underentreprise. I disse tilfælde er den virksomhed, der har udliciteret fremstillingen eller udformningen til en mikrovirksomhed eller en lille virksomhed, i stand til at yde en passende godtgørelse til underleverandøren. En mikrovirksomhed eller en lille virksomhed kan dog være omfattet af kravene i denne forordning som dataindehaver, hvis den ikke er producent af det forbundne produkt eller udbyder af relaterede tjenester. Tilsvarende bør en virksomhed, der har været en mellemstor virksomhed i mindre end ét år, og forbundne produkter i ét år efter den dato, hvorpå de blev bragt i omsætning, nyde godt af en overgangsperiode. En sådan étårsperiode gør det muligt for disse mellemstore virksomheder at tilpasse og forberede sig inden de udsættes for konkurrence på tjenestemarkedet for de forbundne produkter, de fremstiller, på grundlag af adgangsrettigheder i henhold til denne forordning. En sådan overgangsperiode finder ikke anvendelse, hvor en sådan mellemstor virksomhed har en partnervirksomhed eller en tilknyttet virksomhed, der ikke er en mikrovirksomhed eller en lille virksomhed, eller hvor en sådan mellemstor virksomhed er givet fremstillingen eller udformningen af det forbundne produkt eller levering af den relaterede tjeneste i underentreprise

(42)

Under hensyntagen til den række af forskellige omfattede forbundne produkter, som genererer data af forskellig art, mængde og hyppighed, som frembyder forskellige niveauer af datarelaterede risici og cybersikkerhedsrisici, og som giver økonomiske muligheder af forskellig værdi og med henblik på at sikre konsekvens i datadelingspraksis på det indre marked, herunder på tværs af sektorer, og for at tilskynde til og fremme fair datadelingspraksis, selv på områder, hvor der ikke er fastsat en sådan ret til dataadgang, fastsætter denne forordning horisontale regler om de nærmere ordninger for adgang til data, når en dataindehaver i henhold til EU-retten eller national lovgivning, der er vedtaget i overensstemmelse med EU-retten, er forpligtet til at stille data til rådighed for en datamodtager. En sådan adgang bør være baseret på fair, rimelige, ikkeforskelsbehandlende og gennemsigtige vilkår og betingelser. Disse generelle regler om adgang finder ikke anvendelse på forpligtelser til at stille data til rådighed i henhold til forordning (EU) 2016/679. Frivillig datadeling berøres ikke af disse regler. Den ikkebindende model for aftalevilkår for deling af data mellem virksomheder, som Kommissionen skal udvikle og anbefale, kan hjælpe parterne med at indgå aftaler, som omfatter fair, rimelige og ikkeforskelsbehandlende vilkår og betingelser, og som skal gennemføres på en gennemsigtig måde. Indgåelsen af aftaler, som kan indeholde den ikkebindende model for aftalevilkår, bør ikke betyde, at retten til at dele data med tredjeparter på nogen måde er betinget af, at der foreligger en sådan aftale. Hvis parterne ikke er i stand til at indgå en aftale om datadeling, herunder med støtte fra tvistbilæggelsesorganer, kan retten til at dele data med tredjeparter håndhæves ved de nationale domstole eller retter.

(43)

På grundlag af princippet om aftalefrihed bør parterne fortsat frit kunne forhandle de præcise betingelser for at stille data til rådighed i deres aftaler inden for rammerne af de generelle adgangsregler for tilrådighedsstillelse af data. Vilkårene for sådanne aftaler kan omfatte tekniske og organisatoriske foranstaltninger, herunder i forbindelse med datasikkerhed.

(44)

For at sikre at betingelserne for obligatorisk dataadgang er rimelige for begge parter i en aftale, bør der i de generelle regler om dataadgangsrettigheder henvises til reglen om undgåelse af urimelige aftalevilkår.

(45)

Enhver aftale, der indgås i relationer mellem virksomheder om at stille data til rådighed, bør være ikkeforskelsbehandlende mellem sammenlignelige kategorier af datamodtagere, uanset om parterne er store virksomheder eller SMV'er. For at opveje den manglende viden om betingelserne i forskellige aftaler, hvilket gør det vanskeligt for datamodtageren at vurdere, om betingelserne for at stille dataene til rådighed er ikkeforskelsbehandlende, bør det påhvile dataindehavere at påvise, at et aftalevilkår ikke er forskelsbehandlende. Der er ikke tale om ulovlig forskelsbehandling, når en dataindehaver anvender forskellige aftalevilkår for at stille data til rådighed, hvis disse forskelle er begrundet i objektive forhold. Disse forpligtelser berører ikke forordning (EU) 2016/679.

(46)

For at fremme fortsat investering i generering og tilrådighedsstillelse af værdifulde data, herunder investeringer i relevante tekniske værktøjer, og samtidig undgå uforholdsmæssigt store byrder for adgangen til og anvendelsen af data, hvilket betyder, at datadelingen ikke længere er kommercielt rentabel, indeholder denne forordning princippet om, at dataindehavere i relationer mellem virksomheder kan anmode om rimelig godtgørelse, når de i henhold til EU-retten eller national lovgivning, der er vedtaget i overensstemmelse med EU-retten, er retligt forpligtede til at stille data til rådighed for en datamodtager. En sådan godtgørelse bør ikke forstås som betaling for selve dataene. Kommissionen bør vedtage retningslinjer for beregningen af en rimelig godtgørelse i dataøkonomien.

(47)

For det første kan en rimelig godtgørelse for opfyldelse af forpligtelsen i henhold til EU-retten eller national lovgivning, der er vedtaget i overensstemmelse med EU-retten, til at imødekomme en anmodning om at stille data til rådighed omfatte godtgørelse for de omkostninger, der er forbundet med at stille dataene til rådighed. Disse omkostninger kan være tekniske omkostninger såsom de omkostninger, der er nødvendige for reproduktion, elektronisk formidling og lagring af dataene, men ikke for indsamlingen eller genereringen af dataene. Sådanne tekniske omkostninger kan også omfatte de omkostninger til behandling, der er nødvendige for at stille dataene til rådighed, herunder de omkostninger, der er forbundet med formatering af dataene. Omkostningerne ved at stille dataene til rådighed kan også omfatte omkostningerne ved at fremme konkrete anmodninger om datadeling. De kan også variere afhængigt af datamængden og de ordninger, der indføres for at stille dataene til rådighed. Langsigtede ordninger mellem dataindehavere og datamodtagere, f.eks. via en abonnementsmodel eller brug af intelligente kontrakter, kan reducere omkostningerne ved regelmæssige eller gentagne transaktioner i en forretningsforbindelse. Omkostninger ved at stille data til rådighed er enten specifikke for en bestemt anmodning eller deles med andre anmodninger. I sidstnævnte tilfælde bør en enkelt datamodtager ikke betale de fulde omkostninger ved at stille dataene til rådighed. For det andet kan rimelig godtgørelse også omfatte en margen, undtagen for så vidt angår SMV'er og nonprofitforskningsinstitutioner. En margen kan variere afhængigt af faktorer, der vedrører selve dataene, såsom dataenes mængde, format eller art. Den kan tage hensyn til omkostningerne ved indsamling af dataene. En margen kan derfor falde, hvis dataindehaveren har indsamlet dataene for sin egen virksomhed uden væsentlige investeringer, eller den kan stige, hvis investeringerne i dataindsamlingen med henblik på dataindehaverens virksomhed er store. Den kan begrænses eller endog udelukkes i situationer, hvor datamodtagerens anvendelse af dataene ikke påvirker dataindehaverens egne aktiviteter. Det forhold, at dataene er samgenererede af et forbundet produkt, der er ejet, lejet eller leaset af brugeren, kan også nedsætte godtgørelsesbeløbet i forhold til andre situationer, hvor dataene genereres af dataindehaveren, f.eks. under leveringen af en relateret tjeneste.

(48)

Det er ikke nødvendigt at gribe ind i tilfælde af datadeling mellem store virksomheder, eller hvor dataindehaveren er en lille virksomhed eller en mellemstor virksomhed, og datamodtageren er en stor virksomhed. I sådanne tilfælde anses virksomhederne for at være i stand til at forhandle om godtgørelsen inden for grænserne af, hvad der er rimeligt og ikkeforskelsbehandlende.

(49)

For at beskytte SMV'er mod uforholdsmæssigt store økonomiske byrder, som ville gøre det for vanskeligt for dem kommercielt at udvikle og drive innovative forretningsmodeller, bør den rimelige godtgørelse for at stille data til rådighed, som de skal betale, ikke overstige de omkostninger, der er direkte forbundet med at stille dataene til rådighed. Direkte forbundne omkostninger er de omkostninger, der kan henføres til individuelle anmodninger, idet der tages hensyn til, at dataindehaveren permanent skal indføre de nødvendige tekniske grænseflader eller relateret software og konnektivitet. Samme ordning bør gælde for nonprofitforskningsinstitutioner.

(50)

I behørigt begrundede tilfælde, herunder hvis der er behov for at sikre forbrugernes deltagelse og konkurrencen eller for at fremme innovation på bestemte markeder, kan der i EU-retten eller national lovgivning, der er vedtaget i overensstemmelse med EU-retten, fastlægges bestemmelser om reguleret godtgørelse for tilrådighedsstillelse af specifikke typer data.

(51)

Gennemsigtighed er et vigtigt princip for at sikre, at den godtgørelse, som en dataindehaver anmoder om, er rimelig, eller, hvis datamodtageren er en SMV eller en nonprofitforskningsinstitution, at godtgørelsen ikke overstiger de omkostninger, der er direkte forbundet med at stille dataene til rådighed for datamodtageren, og at den kan henføres til den pågældende individuelle anmodning. For at datamodtagere kan vurdere og kontrollere, om godtgørelsen opfylder kravene i denne forordning, bør dataindehaveren give datamodtageren tilstrækkeligt detaljerede oplysninger til at kunne beregne godtgørelsen.

(52)

En sikring af adgangen til alternative metoder til bilæggelse af nationale og grænseoverskridende tvister, der opstår i forbindelse med tilrådighedsstillelse af data, bør være til gavn for dataindehavere og datamodtagere og dermed styrke tilliden til datadeling. Hvis parterne ikke kan nå til enighed om fair, rimelige og ikkeforskelsbehandlende vilkår og betingelser for at stille data til rådighed, bør tvistbilæggelsesorganer tilbyde parterne en enkel, hurtig og billig løsning. Selv om denne forordning kun fastsætter de betingelser, som tvistbilæggelsesorganer skal opfylde for at blive certificeret, står det medlemsstaterne frit for at vedtage eventuelle særlige regler for certificeringsproceduren, herunder certificeringens udløb eller tilbagekaldelse. Bestemmelserne i denne forordning om tvistbilæggelse bør ikke forpligte medlemsstaterne til at oprette tvistbilæggelsesorganer.

(53)

Tvistbilæggelsesproceduren i henhold til denne forordning er en frivillig procedure, der gør det muligt for brugere, dataindehavere og datamodtagere at aftale at indbringe deres tvister for tvistbilæggelsesorganer. Parterne bør derfor frit kunne henvende sig til et tvistbilæggelsesorgan efter eget valg, hvad enten det er i eller uden for de medlemsstater, hvor de pågældende parter er etableret.

(54)

For at undgå tilfælde, hvor to eller flere tvistbilæggelsesorganer inddrages i samme tvist, navnlig i en grænseoverskridende situation, bør et tvistbilæggelsesorgan kunne afvise at behandle en anmodning om bilæggelse af en tvist, der allerede er indbragt for et andet tvistbilæggelsesorgan eller for en medlemsstats domstol eller ret.

(55)

For at sikre en ensartet anvendelse af denne forordning bør tvistbilæggelsesorganerne tage hensyn til den ikkebindende model for aftalevilkår, som Kommissionen skal udvikle og anbefale, samt EU-ret eller national ret, som specificerer forpligtelser, eller retningslinjer vedrørende datadeling, som udstedes af sektormyndigheder med henblik på anvendelsen af sådan ret.

(56)

Parterne i tvistbilæggelsesprocedurer bør ikke forhindres i at udøve deres grundlæggende ret til adgang til effektive retsmidler og en retfærdig rettergang. Beslutningen om at indbringe en tvist for et tvistbilæggelsesorgan bør derfor ikke fratage parterne deres ret til prøvelse ved en medlemsstats domstol eller ret. Tvistbilæggelsesorganer bør offentliggøre årlige aktivitetsrapporter.

(57)

Dataindehavere kan anvende passende tekniske beskyttelsesforanstaltninger for at forhindre ulovlig videregivelse af eller adgang til data. Disse foranstaltninger bør dog hverken forskelsbehandle datamodtagere eller hindre brugeres eller datamodtageres adgang til eller anvendelse af data. I tilfælde af misbrug fra en datamodtagers side såsom vildledning af dataindehaveren ved at give urigtige oplysninger med den hensigt at anvende dataene til ulovlige formål, herunder udvikling af et konkurrerende forbundet produkt på grundlag af dataene, kan dataindehaveren og, i givet fald og hvor de ikke er den samme person, forretningshemmelighedshaveren eller brugeren anmode tredjeparten eller datamodtageren om at gennemføre korrigerende eller afhjælpende foranstaltninger uden unødigt ophold. Alle sådanne anmodninger og navnlig anmodninger om at ophøre med produktion, udbud til salg eller bringen i omsætning af varer, afledte data eller tjenester samt anmodninger om at ophøre med import, eksport eller oplagring af krænkende varer eller tilintetgørelse heraf bør vurderes i lyset af, om de står i et rimeligt forhold til dataindehaverens, forretningshemmelighedshaverens eller brugerens interesser.

(58)

Hvis den ene part befinder sig i en stærkere forhandlingsposition, er der risiko for, at denne part kan udnytte en sådan position til skade for den anden kontraherende part i forhandlinger om adgang til data med det resultat, at adgangen til data er kommercielt mindre rentabel eller endda økonomisk uoverkommelig. Sådanne aftalemæssige skævheder skader alle virksomheder, der ikke har en reel evne til at forhandle betingelserne for adgang til data, og som måske ikke har andet valg end at acceptere »take it or leave it«-aftalevilkår. Urimelige aftalevilkår, der regulerer adgang til og anvendelse af data eller ansvar og retsmidler i forbindelse med tilsidesættelse eller ophør af datarelaterede forpligtelser, bør derfor ikke være bindende for virksomheder, når de pågældende vilkår er blevet pålagt disse virksomheder ensidigt.

(59)

I regler om aftalevilkår bør der tages hensyn til princippet om aftalefrihed som et væsentligt begreb i relationer mellem virksomheder. Derfor bør ikke alle aftalevilkår underkastes en urimelighedsprøve, men kun de vilkår, der ensidigt er pålagt. Det omfatter take it or leave it-situationer, hvor den ene part fremsætter et bestemt aftalevilkår, og den anden virksomhed ikke kan påvirke indholdet af dette vilkår på trods af forsøg på forhandling. Et aftalevilkår, der blot fremsættes af en part og accepteres af den anden virksomhed, eller et vilkår, der forhandles og efterfølgende aftales med ændringer mellem kontraherende parter, bør ikke betragtes som ensidigt pålagt.

(60)

Endvidere bør reglerne om urimelige aftalevilkår kun finde anvendelse på de dele af en aftale, der vedrører tilrådighedsstillelse af data, dvs. aftalevilkår vedrørende adgang til og anvendelse af dataene samt ansvar og retsmidler i forbindelse med tilsidesættelse og ophør af datarelaterede forpligtelser. Andre dele af samme aftale, som ikke vedrører tilrådighedsstillelse af data, bør ikke være underlagt en urimelighedsprøve som fastsat i denne forordning.

(61)

Kriterierne for påvisning af urimelige aftalevilkår bør kun anvendes på vidtgående aftalevilkår, hvor en stærkere forhandlingsposition er blevet misbrugt. Langt de fleste aftalevilkår, der er kommercielt gunstigere for den ene part end for den anden, herunder vilkår, der er sædvanlige i aftaler mellem virksomheder, er et normalt udtryk for princippet om aftalefrihed og finder fortsat anvendelse. I denne forordning vil klar afvigelse fra god handelspraksis bl.a. omfatte objektiv forringelse af muligheden for, at den part, som vilkåret ensidigt er blevet pålagt, kan beskytte sin legitime kommercielle interesse i de pågældende data.

(62)

For at sikre retssikkerheden fastlægges der ved denne forordning en liste med bestemmelser, der altid betragtes som urimelige, og en liste med bestemmelser, som formodes at være urimelige. I sidstnævnte tilfælde bør den virksomhed, der pålægger aftalevilkåret, kunne afkræfte formodningen om, at det er urimeligt, ved at påvise, at det i denne forordning anførte aftalevilkår ikke er urimeligt i det konkrete tilfælde. Hvis et aftalevilkår ikke er medtaget på listen over vilkår, der altid betragtes som urimelige, eller som formodes at være urimelige, finder den generelle bestemmelse om urimelige aftalevilkår anvendelse. I denne forbindelse bør de vilkår, der er opregnet som urimelige aftalevilkår i denne forordning, tjene som målestok for fortolkningen af den generelle bestemmelse om urimelige aftalevilkår. Endelig kan den ikkebindende model for aftalevilkår for aftaler om datadeling mellem virksomheder, der skal udvikles og anbefales af Kommissionen, også være nyttig for kommercielle parter, når der forhandles aftaler. Hvis et aftalevilkår erklæres urimeligt, bør den pågældende aftale fortsat finde anvendelse uden dette vilkår, medmindre det urimelige aftalevilkår ikke kan udskilles fra aftalens øvrige vilkår.

(63)

I tilfælde, hvor der er et ekstraordinært behov, kan det være nødvendigt for offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer under udførelsen af deres lovbestemte opgaver i offentlighedens interesse at anvende eksisterende data, herunder, hvis det er relevant, ledsagende metadata, til at reagere på offentlige nødsituationer eller i andre ekstraordinære tilfælde. Ekstraordinære behov er omstændigheder, der er uforudseelige og tidsbegrænsede, i modsætning til andre omstændigheder, der kan være planlagte, fastlagte, periodiske eller hyppige. Selv om begrebet »dataindehaver« generelt ikke omfatter offentlige myndigheder, kan det omfatte offentlige virksomheder. Forskningsinstitutioner og forskningsfinansierende organisationer kan også organiseres som offentlige myndigheder eller offentligretlige organer. For at begrænse byrden for virksomheder bør mikrovirksomheder og små virksomheder kun være forpligtet til at levere data til offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer i tilfælde af ekstraordinært behov, hvor sådanne data er nødvendige for at reagere på en offentlig nødsituation, og den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet er ikke i stand til rettidigt og effektivt at opnå de pågældende data ved hjælp af alternative midler på tilsvarende betingelser.

(64)

I offentlige nødsituationer såsom folkesundhedsmæssige krisesituationer, nødsituationer som følge af naturkatastrofer, herunder katastrofer, der forværres af klimaændringer og miljøforringelse, samt større menneskeskabte katastrofer såsom større cybersikkerhedsrelaterede hændelser vil offentlighedens interesse i anvendelsen af dataene veje tungere end dataindehavernes interesse i frit at kunne disponere over de data, de er i besiddelse af. I disse tilfælde bør dataindehaverne pålægges en forpligtelse til at stille dataene til rådighed for offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer på disses anmodning. Eksistensen af en offentlig nødsituation bør bestemmes eller erklæres i overensstemmelse med EU-retten og national ret og på grundlag af de relevante procedurer, herunder relevante internationale organisationers relevante procedurer. I sådanne tilfælde bør den offentlige myndighed påvise, at de data, der er omfattet af anmodningen, ellers ikke kunne opnås rettidigt og effektivt og på tilsvarende betingelser, f.eks. gennem en anden virksomheds frivillige levering af data eller søgning i en offentlig database.

(65)

Et ekstraordinært behov kan også skyldes situationer, der ikke er nødsituationer. I sådanne tilfælde bør en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ kun kunne anmode om andre data end personoplysninger. Den offentlige myndighed bør påvise, at dataene er nødvendige for udførelsen af en specifik opgave i offentlighedens interesse, som udtrykkeligt er fastsat ved lov, såsom udarbejdelse af officielle statistikker eller afbødning eller genopretning efter en offentlig nødsituation. Desuden kan en sådan anmodning kun fremsættes, når den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ har identificeret specifikke data, der ellers ikke kunne opnås rettidigt og effektivt og på tilsvarende betingelser, og kun hvis den eller det har udtømt alle andre til rådighed stående muligheder for at opnå de pågældende data såsom opnåelse af dataene gennem frivillige aftaler, herunder køb af andre data end personoplysninger på markedet ved at tilbyde markedspriser eller ved at gøre brug af eksisterende forpligtelser til at stille data til rådighed, eller vedtagelse af nye lovgivningsmæssige foranstaltninger, der kan garantere rettidig tilgængelighed af dataene. De betingelser og principper, som regulerer anmodninger, såsom vedrørende formålsbegrænsning, proportionalitet, gennemsigtighed og tidsbegrænsning, bør også finde anvendelse. I tilfælde af anmodninger om data, der er nødvendige for udarbejdelse af officielle statistikker, bør den anmodende offentlige myndighed også påvise, hvorvidt den nationale ret giver den mulighed for at købe andre data end personoplysninger på markedet.

(66)

Denne forordning bør ikke finde anvendelse på eller foregribe frivillige ordninger for udveksling af data mellem private og offentlige enheder, herunder SMV'ers levering af data, og berører ikke EU-retsakter, der indeholder bestemmelser om offentlige enheders obligatoriske anmodninger om oplysninger fra private enheder. Denne forordning bør ikke berøre dataindehaveres forpligtelser til at levere data, der er begrundede i behov af ikkeekstraordinær karakter, navnlig hvis dataomfanget og dataindehaverne er kendte, eller hvis dataanvendelsen kan finde sted regelmæssigt, som det er tilfældet med indberetningsforpligtelser og forpligtelser vedrørende det indre marked. Denne forordning bør heller ikke berøre krav om dataadgang for at kontrollere overholdelsen af gældende regler, herunder hvor offentlige myndigheder overdrager opgaven med kontrol af overholdelsen til andre enheder end offentlige myndigheder.

(67)

Denne forordning supplerer, og berører ikke, EU-retten og national ret om adgang til og anvendelse af data til statistiske formål, navnlig Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 (27) samt nationale retsakter vedrørende officielle statistikker.

(68)

Offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer bør med henblik på udførelsen af deres opgaver inden for forebyggelse, efterforskning, afsløring eller retsforfølgning af strafferetlige og administrative overtrædelser, fuldbyrdelse af strafferetlige og administrative sanktioner samt indsamling af data til skatte- eller toldformål gøre brug af deres beføjelser i henhold til EU-retten eller national ret. Denne forordning berører derfor ikke lovgivningsmæssige retsakter vedrørende deling af, adgang til og anvendelse af data på disse områder.

(69)

I overensstemmelse med artikel 6, stk. 1 og 3, i forordning (EU) 2016/679 er en forholdsmæssig, begrænset og forudsigelig ramme på EU-plan nødvendig ved fastsættelsen af retsgrundlaget for, at dataindehavere i tilfælde, hvor der er et ekstraordinært behov, kan stille data til rådighed for offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer, både for at sikre retssikkerhed og for at minimere de administrative byrder, der pålægges virksomhederne. Med henblik herpå bør dataanmodninger fra offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer til dataindehavere være specifikke, gennemsigtige og forholdsmæssige i omfang og detaljeringsgrad. Formålet med anmodningen og den påtænkte anvendelse af de data, der anmodes om, bør være konkret og tydeligt forklaret, samtidig med at den anmodende enhed gives tilstrækkelig fleksibilitet til at udføre sine specifikke opgaver i offentlighedens interesse. Anmodningen bør også respektere de legitime interesser hos den dataindehaver, som anmodningen rettes til. Byrden for dataindehaverne bør minimeres ved at forpligte de anmodende enheder til at overholde engangsprincippet, hvilket forhindrer, at de samme data rekvireres flere gange af flere offentlige myndigheder eller Kommissionen, Den Europæiske Centralbank eller EU-organer. For at sikre gennemsigtighed bør dataanmodninger fremsat af Kommissionen, Den Europæiske Centralbank eller EU-organer offentliggøres uden unødigt ophold af den enhed, der anmoder om dataene. Den Europæiske Centralbank og EU-organer bør oplyse Kommissionen om deres anmodninger. Hvis dataanmodningen fremsættes af en offentlig myndighed, bør denne myndighed også underrette datakoordinatoren i den medlemsstat, hvor den offentlige myndighed er etableret. Der bør sikres offentlig onlineadgang til alle anmodninger. Efter modtagelsen af en underretning om en dataanmodning kan den kompetente myndighed beslutte at vurdere anmodningens lovlighed og udøve sine funktioner i forbindelse med håndhævelsen og anvendelsen af denne forordning. Datakoordinatoren bør sikre, at alle anmodninger fremsat af offentlige myndigheder er offentligt tilgængelige online.

(70)

Formålet med forpligtelsen til at levere data er at sikre, at offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer har den nødvendige viden til at reagere på, forebygge eller komme på fode igen efter offentlige nødsituationer eller til at opretholde evnen til at udføre specifikke opgaver, der udtrykkeligt er fastsat ved lov. Sådanne data kan være kommercielt følsomme. Hverken forordning (EU) 2022/868 eller Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 (28) bør derfor finde anvendelse på data, der stilles til rådighed i henhold til nærværende forordning, og som derfor ikke bør betragtes som åbne data, der er til rådighed for tredjeparter med henblik på videreanvendelse. Dette bør dog ikke berøre anvendelsen af direktiv (EU) 2019/1024 på videreanvendelse af officielle statistikker, til hvis udarbejdelse data opnået i henhold til denne forordning er blevet anvendt, forudsat at videreanvendelsen ikke omfatter de underliggende data. Forudsat at betingelserne i nærværende forordning er opfyldt, bør muligheden for datadeling med henblik på forskning eller udvikling, udarbejdelse og formidling af officielle statistikker ikke berøres. Offentlige myndigheder bør også have mulighed for at udveksle data, der er opnået i henhold til nærværende forordning, med andre offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer for at imødekomme de ekstraordinære behov, som afstedkom anmodningen om data.

(71)

Dataindehavere bør have mulighed for enten at afslå en anmodning fremsat af en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ eller at anmode om en ændring heraf uden unødigt ophold og i alle tilfælde inden for en periode på fem eller 30 arbejdsdage afhængigt af arten af det ekstraordinære behov, der gøres gældende i anmodningen. Hvor det er relevant, bør dataindehaveren have denne mulighed, hvis vedkommende ikke har kontrol over de data, der anmodes om, dvs. hvis vedkommende ikke har øjeblikkelig adgang til dataene og ikke kan afgøre, om de er til rådighed. Der bør anses for at være en gyldig grund til ikke at stille dataene til rådighed, hvis det kan påvises, at anmodningen svarer til en tidligere indgivet anmodning til samme formål fra en anden offentlig myndighed eller Kommissionen, Den Europæiske Centralbank eller et EU-organ, og dataindehaveren ikke er blevet underrettet om sletningen af dataene i henhold til denne forordning. En dataindehaver, der afviser anmodningen eller anmoder om ændring heraf, bør meddele begrundelsen herfor til den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ, der anmoder om dataene. Hvis sui generis-retten i henhold til Europa-Parlamentets og Rådets direktiv 96/9/EF (29) finder anvendelse i forbindelse med de datasæt, der anmodes om, bør dataindehaverne udøve deres rettigheder på en måde, der ikke forhindrer den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet i at opnå dataene eller dele dem i overensstemmelse med denne forordning.

(72)

I tilfælde af et ekstraordinært behov i forbindelse med en reaktion på en offentlig nødsituation bør de offentlige myndigheder så vidt muligt anvende andre data end personoplysninger. I tilfælde af anmodninger baseret på et ekstraordinært behov, der ikke vedrører en offentlig nødsituation, kan der ikke anmodes om personoplysninger. Når anmodningen omfatter personoplysninger, bør dataindehaveren anonymisere dataene. Hvis det er strengt nødvendigt at medtage personoplysninger i de data, der skal stilles til rådighed for en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ, eller hvis anonymisering viser sig umulig, bør den enhed, der anmoder om dataene, påvise den strenge nødvendighed og de specifikke og begrænsede formål med behandlingen. De gældende regler om beskyttelse af personoplysninger bør overholdes. Tilrådighedsstillelsen og den efterfølgende anvendelse af dataene bør ledsages af garantier for beskyttelse af de berørte fysiske personers rettigheder og interesser.

(73)

Data, der stilles til rådighed for offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer på grundlag af et ekstraordinært behov, bør kun anvendes til de formål, hvortil der blev anmodet om dem, medmindre den dataindehaver, der har stillet dataene til rådighed, udtrykkeligt har indvilliget i, at dataene anvendes til andre formål. Medmindre andet er aftalt, bør dataene slettes, når de ikke længere er nødvendige til de i anmodningen anførte formål, og dataindehaveren bør underrettes herom. Denne forordning er baseret på de eksisterende aktindsigtsordninger i Unionen og medlemsstaterne og ændrer ikke national ret om aktindsigt i forbindelse med gennemsigtighedsforpligtelser. Data bør slettes, når de ikke længere er nødvendige for at opfylde sådanne gennemsigtighedsforpligtelser.

(74)

Ved videreanvendelse af data, som en dataindehaver leveret, bør offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer overholde både eksisterende gældende EU-ret eller national ret og kontraktlige forpligtelser, som dataindehaveren er underlagt. De bør afholde sig fra at udvikle eller forbedre et forbundet produkt eller en relateret tjeneste, der konkurrerer med dataindehaverens produkt eller tjeneste, og fra at dele dataene med en tredjepart til disse formål. De bør ligeledes give dataindehaverne offentlig anerkendelse efter anmodning og være ansvarlige for at opretholde sikkerheden i forbindelse med de modtagne data. Hvis videregivelse af dataindehaverens forretningshemmeligheder til offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer er strengt nødvendig for at opfylde det formål, hvortil der blev anmodet om data, bør der garanteres fortrolighed forud for videregivelsen af dataene.

(75)

Når det drejer sig om beskyttelse af et vigtigt offentligt gode, f.eks. reaktion på offentlige nødsituationer, bør det ikke forventes, at den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller det pågældende EU-organ godtgør virksomhederne for de opnåede data. Offentlige nødsituationer er sjældne begivenheder, og ikke alle sådanne nødsituationer vil kræve anvendelse af virksomheders data. Samtidig kunne forpligtelsen til at levere data udgøre en betydelig byrde for mikrovirksomheder og små virksomheder. De bør derfor have mulighed for at kræve godtgørelse, selv i forbindelse med en reaktion på en offentlig nødsituation. Dataindehavernes forretningsaktiviteter vil derfor sandsynligvis ikke blive påvirket negativt som følge af, at de offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer anvender denne forordning. Et ekstraordinært behov, som ikke er en reaktion på offentlige nødsituationer, kan forekomme hyppigere, og dataindehavere bør i sådanne tilfælde have ret til en rimelig godtgørelse, som ikke bør overstige de tekniske og organisatoriske omkostninger i forbindelse med at efterkomme anmodningen, og den rimelige margen, der er nødvendig for at stille dataene til rådighed for den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet. Godtgørelsen bør ikke forstås som betaling for selve dataene eller som obligatorisk. Dataindehavere bør ikke kunne kræve godtgørelse, hvis national ret forhindrer nationale statistiske kontorer eller andre nationale myndigheder med ansvar for udarbejdelse af statistikker i at yde godtgørelse til dataindehavere for at stille data til rådighed. Den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller det pågældende EU-organ bør kunne anfægte niveauet for den godtgørelse, som dataindehaveren anmoder om, ved at indbringe sagen for den kompetente myndighed i den medlemsstat, hvor dataindehaveren er etableret.

(76)

Den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ bør være berettiget til at dele de efter anmodning opnåede data med andre enheder eller personer, når dette er nødvendigt for at udføre videnskabelige forsknings- eller analyseaktiviteter, som den eller det ikke selv kan udføre, forudsat at disse aktiviteter er forenelige med det formål, hvortil der er anmodet om data. Den eller det bør rettidigt underrette dataindehaveren om en sådan deling. Sådanne data kan under de samme omstændigheder også deles med de nationale statistiske kontorer og Eurostat med henblik på udvikling, udarbejdelse og formidling af officielle statistikker. Sådanne forskningsaktiviteter bør dog være forenelige med det formål, hvortil der blev anmodet om data, og dataindehaveren bør underrettes om den videre deling af de data, vedkommende har leveret. Personer, der udfører forskning, eller forskningsinstitutioner, som disse data deles med, bør handle enten uden fortjeneste for øje eller med henblik på at opfylde en almennyttig opgave, der anerkendes af staten. Institutioner bør ikke betragtes som forskningsinstitutioner inden for rammerne af denne forordning, når kommercielle foretagender på grund af strukturelle forhold har en væsentlig indflydelse på dem, der gør det muligt for sådanne foretagender at udøve kontrol, idet dette kan medføre privilegeret adgang til forskningsresultater.

(77)

For at håndtere en grænseoverskridende offentlig nødsituation eller et andet ekstraordinært behov kan dataanmodninger rettes til dataindehavere i andre medlemsstater end den anmodende offentlige myndigheds medlemsstat. I så fald bør den anmodende offentlige myndighed underrette den kompetente myndighed i den medlemsstat, hvor dataindehaveren er baseret, således at den kan behandle anmodningen på grundlag af de kriterier, der er fastsat i denne forordning. Det samme bør gælde anmodninger fra Kommissionen, Den Europæiske Centralbank eller et EU-organ. Hvis der anmodes om personoplysninger, bør den offentlige myndighed underrette det tilsynsorgan, der er ansvarlig for at føre tilsyn med anvendelsen af forordning (EU) 2016/679 i den medlemsstat, hvor den offentlig myndighed er etableret. Den berørte kompetente myndighed bør have ret til at råde den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet til at samarbejde med den offentlige myndighed i den medlemsstat, hvor dataindehaveren er etableret, om behovet for at sikre en minimeret administrativ byrde for dataindehaveren. Når den kompetente myndighed har begrundede indsigelser, hvad angår anmodningens efterlevelse af nærværende forordning, bør den afvise anmodningen fra den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet, som bør tage disse indsigelser i betragtning, inden yderligere tiltag træffes, herunder genindsendelse af anmodningen.

(78)

At kunder til databehandlingstjenester, herunder cloud- og edgetjenester, har mulighed for at skifte fra én databehandlingstjeneste til en anden og samtidig er sikret et minimum af tjenestefunktionalitet uden tjenestenedetid eller for at gøre brug af flere udbyderes tjenester samtidig uden at blive pålagt unødige hindringer og omkostninger til dataoverførsel, er en afgørende forudsætning for et mere konkurrencepræget marked med lavere adgangsbarrierer for nye udbydere af databehandlingstjenester og for at sikre yderligere modstandsdygtighed for brugerne af disse tjenester. Kunder, der nyder fordel af tilbud om gratis niveau, bør også nyde fordel af de bestemmelser om skift, der er fastsat i denne forordning, således at disse tilbud ikke fører til en fastlåst situation for kunderne.

(79)

Europa-Parlamentets og Rådets forordning (EU) 2018/1807 (30) tilskynder udbydere af databehandlingstjenester til at udvikle og effektivt gennemføre selvregulerende adfærdskodekser, der omfatter bedste praksis for bl.a. at lette skift af udbydere af databehandlingstjenester og dataportering. I betragtning af den begrænsede udbredelse af de selvregulerende rammer, der er udviklet som reaktion herpå, og den generelle mangel på åbne standarder og grænseflader er det nødvendigt at vedtage et sæt reguleringsmæssige minimumsforpligtelser for udbydere af databehandlingstjenester for at fjerne prækommercielle, kommercielle, tekniske, kontraktmæssige og organisatoriske hindringer, som ikke er begrænset til nedsat hastighed for dataoverførsel ved kundens exit, hvilket hindrer effektivt skift mellem databehandlingstjenester.

(80)

Databehandlingstjenester bør omfatte tjenester, der giver mulighed for alment tilgængelig on demand-netværksadgang til en konfigurerbar, skalerbar og elastisk fælles pulje af distribuerede databehandlingsressourcer. Disse databehandlingsressourcer omfatter ressourcer såsom netværk, servere eller anden virtuel eller fysisk infrastruktur, software, herunder softwareudviklingsværktøjer, lagring, applikationer og tjenester. Den mulighed, som kunden af databehandlingstjenesten har for ensidigt selvforsynende databehandlingskapacitet, f.eks. servertid eller netlagring, uden nogen menneskelig interaktion fra udbyderen af databehandlingstjenestens side, kan beskrives som noget, der kræver minimal administration og indebærer minimal interaktion mellem udbyder og kunde. Udtrykket »alment tilgængelig« anvendes til at beskrive den databehandlingskapacitet, der leveres over nettet og tilgås gennem mekanismer, der fremmer brugen af heterogene tynde eller tykke klientplatforme (herunder webbrowsere, mobilenheder og arbejdsstationer). Udtrykket »skalerbar« henviser til databehandlingsressourcer, der fordeles fleksibelt af udbyderen af databehandlingstjenester, uanset ressourcernes geografiske placering, med henblik på at håndtere udsving i efterspørgslen. Udtrykket »elastisk « bruges til at beskrive de databehandlingsressourcer, der tilvejebringes og stilles til rådighed alt efter efterspørgslen for hurtigt at øge eller mindske de tilgængelige ressourcer alt efter arbejdsbelastningen. Udtrykket »fælles pulje« bruges til at beskrive de databehandlingsressourcer, der leveres til flere brugere, som deler en fælles adgang til tjenesten, men hvor databehandlingen foretages særskilt for hver bruger, selv om tjenesten leveres fra samme elektroniske udstyr. Udtrykket »distribueret« anvendes til at beskrive de databehandlingsressourcer, der befinder sig på forskellige netforbundne computere eller enheder, og som kommunikerer og koordinerer indbyrdes ved at sende meddelelser. Udtrykket »stærkt distribueret« anvendes til at beskrive databehandlingstjenester, der indebærer databehandling tættere på det sted, hvor data genereres eller indsamles, f.eks. i en tilsluttet databehandlingsenhed. Edgecomputing, som er en form for stærkt distribueret databehandling, forventes at skabe nye forretningsmodeller og modeller for levering af cloudtjenester, som bør være åbne og interoperable fra starten.

(81)

Det generiske begreb »databehandlingstjenester« dækker et betydeligt antal tjenester med en meget bred vifte af forskellige formål, funktionaliteter og tekniske strukturer. Som det almindeligvis forstås af udbydere og brugere og i overensstemmelse med bredt anvendte standarder falder databehandlingstjenester ind under en eller flere af følgende tre modeller for levering af databehandlingstjenester, nemlig Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) og Software-as-a-Service (SaaS). Disse modeller for levering af tjenester udgør en specifik færdigpakket kombination af IKT-ressourcer, der tilbydes af en udbyder af databehandlingstjenester. Disse tre grundlæggende modeller for levering af databehandlingstjenester suppleres yderligere med nye variationer, der hver især består af en særskilt kombination af IKT-ressourcer såsom Storage-as-a-Service og Database-as-a-Service. Databehandlingstjenester kan kategoriseres mere detaljeret og opdeles i en ikkeudtømmende liste af sæt af databehandlingstjenester, der har det samme primære mål og de samme hovedfunktionaliteter samt den samme type databehandlingsmodeller, som ikke har at gøre med tjenestens operationelle karakteristika (samme tjenestetype). Tjenester, der falder ind under den samme tjenestetype, kan have den samme model for levering af databehandlingstjenester, men to databaser kan synes at have det samme primære formål, men efter betragtning af deres databehandlingsmodel, distributionsmodel og de brugstilfælde, de er rettet mod, kan sådanne databaser falde ind under en mere detaljeret underkategori af lignende tjenester. Tjenester af samme tjenestetype kan have forskellige og konkurrerende karakteristika såsom ydeevne, sikkerhed, modstandsdygtighed og tjenestekvalitet.

(82)

Underminering af udtrækningen af de eksporterbare data, som tilhører kunden, fra kildeudbyderen af databehandlingstjenester kan hindre genoprettelsen af tjenestefunktionaliteterne i infrastruktur hos destinationsudbyderen af databehandlingstjenester. For at lette kundens exitstrategi, undgå unødvendige og byrdefulde opgaver og sikre, at kunden ikke mister nogen af sine data som følge af skifteprocessen, bør kildeudbyderen af databehandlingstjenester på forhånd informere kunden om omfanget af de data, der kan eksporteres, når den pågældende kunde beslutter at skifte til en anden tjeneste, der leveres af en anden udbyder af databehandlingstjenester, eller at flytte til en lokal IKT-infrastruktur. Omfanget af eksporterbare data bør som minimum omfatte de input- og outputdata, herunder metadata, der direkte eller indirekte genereres eller samgenereres ved kundens anvendelse af databehandlingstjenesten, med undtagelse af alle aktiver eller data tilhørende udbyderen af databehandlingstjenester eller en tredjepart. De eksporterbare data bør udelukke aktiver eller data fra udbydere af databehandlingstjenester eller fra tredjeparten, der er beskyttet af intellektuelle ejendomsrettigheder eller udgør forretningshemmeligheder for den pågældende udbyder eller for den pågældende tredjepart, eller data vedrørende tjenestens integritet og sikkerhed, hvis eksporten vil udsætte udbyderne af databehandlingstjenester for cybersikkerhedssårbarheder. Disse undtagelser bør ikke hindre eller forsinke skifteprocessen.

(83)

Digitale aktiver henviser til elementer i digitalt format, som kunden har brugsret til, herunder applikationer og metadata vedrørende konfigurationen af indstillinger, sikkerhed og forvaltning af adgangs- og kontrolrettigheder, og andre elementer såsom udtryk for virtualiseringsteknologier, herunder virtuelle maskiner og beholdere. Digitale aktiver kan overføres, hvis kunden har brugsret, uafhængigt af kontraktforholdet med den databehandlingstjeneste, som vedkommende ønsker at skifte fra. Disse andre elementer er afgørende for en effektiv anvendelse af kundens data og applikationer i miljøet hos destinationsudbyderen af databehandlingstjenester.

(84)

Denne forordning har til formål at gøre det lettere at skifte mellem databehandlingstjenester, hvilket omfatter de betingelser og handlinger, der er nødvendige for, at en kunde kan opsige en aftale om en databehandlingstjeneste, indgå en eller flere nye aftaler med forskellige udbydere af databehandlingstjenester og portere sine eksporterbare data og digitale aktiver og i givet fald drage fordel af funktionel ækvivalens.

(85)

Skift er en kundedrevet operation, der består af flere trin, herunder dataudtrækning, hvilket henviser til download af data fra økosystemet hos en kildeudbyder af databehandlingstjenester; transformation, hvis dataene er struktureret på en måde, som ikke matcher bestemmelseslokationens skema; og upload af dataene på en ny destinationslokation. I en specifik situation, der er beskrevet i denne forordning, bør adskillelse af en bestemt tjeneste fra aftalen og flytning af den til en anden udbyder også betragtes som skift. Skifteprocessen forvaltes undertiden af en tredjepartsenhed på kundens vegne. I overensstemmelse hermed bør alle de rettigheder og forpligtelser, som kunden har i henhold til denne forordning, herunder forpligtelsen til at samarbejde i god tro, forstås således, at de finder anvendelse på en sådan tredjepartsenhed under de pågældende omstændigheder. Udbydere af databehandlingstjenester og kunder har forskellige ansvarsområder, alt efter trinnene i den omhandlede proces. Kildeudbyderen af databehandlingstjenester er eksempelvis ansvarlig for at udtrække dataene til et maskinlæsbart format, men det er kunden og destinationsudbyderen af databehandlingstjenester, der skal uploade dataene til det nye miljø, medmindre der er indgået en specifik professionel overgangstjeneste. En kunde, der har til hensigt at udøve de rettigheder i forbindelse med skift, der er fastsat i denne forordning, bør informere kildeudbyderen af databehandlingstjenester om beslutningen om enten at skifte til en anden udbyder af databehandlingstjenester, skifte til en lokal IKT-infrastruktur eller slette den pågældende kundes aktiver og eksporterbare data.

(86)

Ved funktionel ækvivalens forstås, at der på grundlag af kundens eksporterbare data og digitale aktiver genetableres et minimumsniveau af funktionalitet i miljøet hos en ny databehandlingstjeneste af samme tjenestetype efter et skift, hvor destinationsdatabehandlingstjenesten leverer et materielt sammenligneligt resultat som svar på det samme input for delte elementer, der leveres til kunden i henhold til aftalen. Udbydere af databehandlingstjenester kan kun forventes at lette den funktionelle ækvivalens for så vidt angår de elementer, som både kilde- og destinationsdatabehandlingstjenesterne tilbyder uafhængigt. Denne forordning udgør ikke en forpligtelse til at lette den funktionelle ækvivalens for andre udbydere af databehandlingstjenester end dem, der tilbyder tjenester ud fra modellen for levering af IaaS.

(87)

Databehandlingstjenester anvendes på tværs af sektorer og varierer i kompleksitet og tjenestetype. Dette er vigtigt at tage i betragtning med hensyn til porteringsprocessen og tidsrammerne. Ikke desto mindre bør en forlængelse af overgangsperioden på grund af teknisk uigennemførlighed for at gøre det muligt at gennemføre skifteprocessen inden for den givne tidsramme kun påberåbes i behørigt begrundede tilfælde. Bevisbyrden i denne henseende bør fuldt ud påhvile udbyderen af den pågældende databehandlingstjeneste. Dette berører ikke kundens eneret til at forlænge overgangsperioden en enkelt gang med en periode, som kunden finder mere hensigtsmæssig med henblik på sine egne behov. Kunden kan påberåbe sig denne ret til en forlængelse forud for eller under overgangsperioden under hensyntagen til, at aftalen fortsat finder anvendelse i overgangsperioden.

(88)

Skiftegebyrer er gebyrer, som udbydere af databehandlingstjenester pålægger deres kunder for skifteprocessen. Formålet med disse gebyrer er typisk at lægge omkostninger, som kildeudbyderen af databehandlingstjenester kan påføres som følge af skifteprocessen, over på den kunde, der ønsker at skifte. Almindelige eksempler på skiftegebyrer er omkostninger til overførsel af data fra én udbyder af databehandlingstjenester til en anden eller til en lokal IKT-infrastruktur (gebyrer for udgående dataoverførsel) eller de omkostninger, der påløber for specifikke støttehandlinger under skifteprocessen. Unødvendigt høje gebyrer for udgående dataoverførsel og andre uberettigede gebyrer, som ikke vedrører de faktiske omkostninger ved at skifte, forhindrer kunderne i at skifte, begrænser den frie datastrøm, kan potentielt begrænse konkurrencen og forårsage fastlåsningsvirkninger for kunderne, idet incitamenterne til at vælge en anden eller endnu en udbyder mindskes. Skiftegebyrer bør derfor afskaffes efter tre år fra datoen for denne forordnings ikrafttræden. Udbydere af databehandlingstjenester bør kunne pålægge reducerede skiftegebyrer indtil denne dato.

(89)

En kildeudbyder af databehandlingstjenester bør kunne outsource visse opgaver og godtgøre tredjepartsenheder for at opfylde forpligtelserne i denne forordning. En kunde bør ikke bære omkostningerne ved outsourcing af tjenester, der er indgået af kildeudbyderen af databehandlingstjenester under skifteprocessen, og sådanne omkostninger bør betragtes som uberettigede, medmindre de dækker arbejde, der udføres af udbyderen af databehandlingstjenester på kundens anmodning om yderligere støtte i forbindelse med skifteprocessen, og som ligger ud over udbyderens forpligtelser i forbindelse med et skift som udtrykkeligt fastsat i denne forordning. Intet i denne forordning forhindrer en kunde i at godtgøre tredjepartsenheder for støtte i migrationsprocessen eller parterne i at indgå aftaler om databehandlingstjenester af en bestemt varighed, herunder forholdsmæssige sanktioner for førtidig opsigelse til dækning af sådanne aftalers førtidige opsigelse, i overensstemmelse med EU-retten eller national ret. For at fremme konkurrencen bør den gradvise udfasning af de gebyrer, der er forbundet med at skifte mellem databehandlingstjenester, specifikt omfatte gebyrer for udgående dataoverførsel, som en udbyder af databehandlingstjenester pålægger en kunde. Standardtjenestegebyrer for levering af selve databehandlingstjenesterne er ikke skiftegebyrer. Disse standardtjenestegebyrer er ikke underlagt udfasning og forbliver gældende, indtil aftalen om levering af de relevante tjenester ikke længere finder anvendelse. Denne forordning giver kunden mulighed for at anmode om levering af supplerende tjenester, der er mere vidtgående end udbyderens forpligtelser i forbindelse med et skift i henhold til denne forordning. Disse supplerende tjenester kan udføres og pålægges gebyrer af udbyderen, når de udføres på kundens anmodning, og kunden på forhånd accepterer prisen for de pågældende tjenester.

(90)

Der er behov for en ambitiøs og innovationsfremmende reguleringstilgang til interoperabilitet for at overvinde fastlåsning til leverandør, som underminerer konkurrencen og udviklingen af nye tjenester. Interoperabilitet mellem databehandlingstjenester involverer flere brugergrænseflader og infrastruktur- og softwarelag og er sjældent begrænset til en binær test af, om det kan lade sig gøre eller ej. Opbygningen af en sådan interoperabilitet er i stedet underlagt en cost-benefit-analyse, som er nødvendig for at kunne fastslå, om det kan betale sig at forfølge rimeligt forudsigelige resultater. ISO/IEC 19941:2017 er en vigtig international standard, der udgør en reference for opfyldelsen af målene i denne forordning, da den indeholder tekniske overvejelser, der præciserer kompleksiteten af en sådan proces.

(91)

Hvis udbydere af databehandlingstjenester selv er kunder for så vidt angår databehandlingstjenester hos en tredjepartsudbyder, vil de selv drage fordel af et mere effektivt skift, samtidig med at de forbliver bundet af denne forordnings forpligtelser vedrørende deres egne tjenesteudbud.

(92)

Udbydere af databehandlingstjenester bør forpligtes til at tilbyde al den bistand og støtte inden for rammerne af deres kapacitet og forholdsmæssigt til deres respektive forpligtelser, der er nødvendig for at gøre skiftet til en tjeneste hos en anden udbyder af databehandlingstjenester vellykket, effektivt og sikkert. Denne forordning kræver ikke, at udbydere af databehandlingstjenester udvikler nye kategorier af databehandlingstjenester, herunder inden for eller på grundlag af IKT-infrastrukturen hos andre udbydere af databehandlingstjenester for at sikre funktionel ækvivalens i et andet miljø end deres egne systemer. En kildeudbyder af databehandlingstjenester har ikke adgang til eller indsigt i miljøet hos destinationsudbyderen af databehandlingstjenester. Funktionel ækvivalens bør ikke forstås således, at kildeudbyderen af databehandlingstjenester er forpligtet til at genopbygge den pågældende tjeneste inden for infrastrukturen hos destinationsudbyderen af databehandlingstjenester. I stedet bør kildeudbyderen af databehandlingstjenester træffe alle rimelige foranstaltninger inden for rammerne af sine beføjelser til at lette processen med at opnå funktionel ækvivalens ved at stille kapacitet, fyldestgørende information, dokumentation, teknisk støtte og, hvor det er relevant, de nødvendige værktøjer til rådighed.

(93)

Udbydere af databehandlingstjenester bør også pålægges at fjerne eksisterende hindringer og ikke at pålægge nye hindringer, herunder for kunder, der ønsker at skifte til en lokal IKT-infrastruktur. Hindringer kan bl.a. være af prækommerciel, kommerciel, teknisk, kontraktmæssig eller organisatorisk art. Udbydere af databehandlingstjenester bør også være forpligtet til at fjerne hindringer for adskillelse af en specifik individuel tjeneste fra andre databehandlingstjenester, der leveres i henhold til en aftale, og stille den relevante tjeneste til rådighed med henblik på skift, hvis der ikke foreligger væsentlige og påviste tekniske hindringer, der forhindrer en sådan adskillelse.

(94)

Under hele skifteprocessen bør der opretholdes et højt sikkerhedsniveau. Det betyder, at kildeudbyderen af databehandlingstjenester bør udvide det sikkerhedsniveau, som denne har forpligtet sig til for tjenesten, til at omfatte alle tekniske ordninger, som udbyderen er ansvarlig for under skifteprocessen, såsom netværksforbindelser eller fysiske enheder. Eksisterende rettigheder vedrørende opsigelse af aftaler, herunder dem, der blev indført ved forordning (EU) 2016/679 og Europa-Parlamentets og Rådets direktiv (EU) 2019/770 (31), bør ikke berøres. Nærværende forordning bør ikke forstås således, at den forhindrer en udbyder af databehandlingstjenester i at levere nye og forbedrede tjenester, elementer og funktionaliteter til sine kunder eller i at konkurrere med andre udbydere af databehandlingstjenester på det grundlag.

(95)

De oplysninger, som udbydere af databehandlingstjenester skal give kunden, vil kunne understøtte kundens exitstrategi. Disse oplysninger bør omfatte procedurer for iværksættelse af skiftet fra databehandlingstjenesten; de maskinlæsbare dataformater, som brugerens data kan eksporteres til; værktøjerne, der er beregnet til at eksportere data, herunder åbne grænseflader og oplysninger om kompatibilitet med harmoniserede standarder eller fælles specifikationer på grundlag af åbne interoperabilitetsspecifikationer; oplysninger om kendte tekniske restriktioner og begrænsninger, der kunne påvirke skifteprocessen; og den anslåede tid, der er nødvendig for at fuldføre skifteprocessen.

(96)

For at lette interoperabiliteten og et skift mellem databehandlingstjenester bør brugere og udbydere af databehandlingstjenester overveje at anvende gennemførelses- og overholdelsesværktøjer, navnlig dem, der offentliggøres af Kommissionen i form af et EU-regelsæt for skyen og en vejledning om offentlige indkøb af databehandlingstjenester. Navnlig er standardkontraktbestemmelser gavnlige, fordi de øger tilliden til databehandlingstjenester, skaber et mere afbalanceret forhold mellem brugere og udbydere af databehandlingstjenester og forbedrer retssikkerheden med hensyn til de betingelser, der gælder for skift til andre databehandlingstjenester. I denne forbindelse bør brugere og udbydere af databehandlingstjenester overveje at anvende standardkontraktbestemmelser eller andre selvregulerende overholdelsesværktøjer, der er udarbejdet af relevante organer eller ekspertgrupper, der er nedsat i henhold til EU-retten, forudsat at de fuldt ud overholder kravene i denne forordning.

(97)

For at gøre det lettere at skifte mellem databehandlingstjenester bør alle involverede parter, herunder både kilde- og destinationsudbydere af databehandlingstjenester, samarbejde i god tro for at gøre skifteprocessen effektiv og muliggøre en sikker og rettidig overførsel af de nødvendige data i et almindeligt anvendt, maskinlæsbart format og ved hjælp af åbne grænseflader, idet driftsafbrydelser undgås og kontinuitet i tjenesten opretholdes.

(98)

Databehandlingstjenester, der vedrører tjenester, hvis vigtigste elementer for størstedelens vedkommende er skræddersyet til at imødekomme en individuel kundes specifikke behov, eller hvor alle komponenter er udviklet med henblik på en individuel kunde, bør undtages fra nogle af de forpligtelser, der gælder for skift af databehandlingstjeneste. Dette bør ikke omfatte tjenester, som udbyderen af databehandlingstjenester tilbyder i stor kommerciel målestok via sit tjenestekatalog. Det er en af forpligtelserne for udbyderen af databehandlingstjenester forud for indgåelsen af en aftale behørigt at informere potentielle kunder til sådanne tjenester om de forpligtelser i denne forordning, der ikke finder anvendelse på de relevante tjenester. Der er intet til hinder for, at udbyderen af databehandlingstjenester i sidste ende indfører sådanne tjenester i stor målestok, i hvilket tilfælde udbyderen vil skulle opfylde alle forpligtelser i forbindelse med skift i denne forordning.

(99)

I overensstemmelse med minimumskravet om at tillade skift mellem udbydere af databehandlingstjenester har denne forordning også til formål at forbedre interoperabiliteten for parallel anvendelse af flere databehandlingstjenester med komplementære funktionaliteter. Dette vedrører situationer, hvor kunderne ikke opsiger en aftale for at skifte til en anden udbyder af databehandlingstjenester, men hvor flere tjenester fra forskellige udbydere anvendes parallelt og på en interoperabel måde for at drage fordel af de forskellige tjenesters komplementære funktionaliteter i opsætningen af kundens system. Det anerkendes dog, at udgående overførsel af data fra én udbyder af databehandlingstjenester til en anden for at lette den parallelle anvendelse af tjenester kan være en løbende aktivitet i modsætning til den engangsoverførsel af udgående data, der kræves som led i skifteprocessen. Udbydere af databehandlingstjenester bør derfor fortsat kunne pålægge gebyrer for udgående dataoverførsel, der ikke overstiger de afholdte omkostninger, med henblik på parallel anvendelse efter tre år fra datoen for denne forordnings ikrafttræden. Dette er bl.a. vigtigt for en vellykket indførelse af multicloudstrategier, der giver kunderne mulighed for at gennemføre fremtidssikrede IKT-strategier, og som mindsker afhængigheden af individuelle udbydere af databehandlingstjenester. Fremme af en multicloudtilgang for kunder til databehandlingstjenester kan også bidrage til at øge deres digitale operationelle modstandsdygtighed, således som det anerkendes for så vidt angår institutioner, der tilbyder finansielle tjenesteydelser, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (32).

(100)

Åbne interoperabilitetsspecifikationer og -standarder, der er udviklet i overensstemmelse med bilag II til Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 (33) inden for interoperabilitet og portabilitet, forventes at muliggøre et cloudmiljø med flere leverandører, hvilket er et centralt krav til åben innovation i den europæiske dataøkonomi. Da markedsudbredelsen af identificerede standarder under initiativet vedrørende koordinering af cloudstandardisering (CSC), der blev afsluttet i 2016, har været begrænset, er det også nødvendigt, at Kommissionen forlader sig på parterne på markedet med hensyn til at udvikle relevante åbne interoperabilitetsspecifikationer for at holde trit med den hurtige teknologiske udvikling i denne industri. Sådanne åbne interoperabilitetsspecifikationer kan derefter vedtages af Kommissionen i form af fælles specifikationer. Hvis markedsdrevne processer ikke har været tilstrækkelige til at muliggøre fastsættelsen af fælles specifikationer eller standarder, der fremmer effektiv cloudinteroperabilitet på PaaS- og SaaS-niveau, bør Kommissionen på grundlag af denne forordning og i overensstemmelse med forordning (EU) nr. 1025/2012 endvidere kunne anmode europæiske standardiseringsorganer om at udvikle sådanne standarder for specifikke tjenestetyper, hvor sådanne standarder endnu ikke findes. Derudover vil Kommissionen tilskynde markedsaktørerne til at udvikle relevante åbne interoperabilitetsspecifikationer. Efter høring af de interesserede parter bør Kommissionen ved hjælp af gennemførelsesretsakter kunne fastsætte brugen af harmoniserede standarder for interoperabilitet eller fælles specifikationer for specifikke tjenestetyper gennem en reference i et centralt EU-standardiseringsregister for databehandlingstjenesters interoperabilitet. Udbydere af databehandlingstjenester bør sikre kompatibilitet med disse harmoniserede standarder og fælles specifikationer på grundlag af åbne interoperabilitetsspecifikationer, hvilket ikke bør påvirke datasikkerheden eller -integriteten negativt. Der vil kun blive refereret til harmoniserede standarder for interoperabiliteten af databehandlingstjenester og fælles specifikationer på grundlag af åbne interoperabilitetsspecifikationer, hvis de er i overensstemmelse med kriterierne i denne forordning, som har samme betydning som kravene i bilag II til forordning (EU) nr. 1025/2012 og de interoperabilitetsfacetter, der er defineret i den internationale standard ISO/IEC 19941:2017. Desuden bør standardiseringen tage hensyn til SMV'ers behov.

(101)

Tredjelande kan vedtage love, forskrifter og andre retsakter, der har til formål direkte at overføre eller give statslig adgang til andre data end personoplysninger, der befinder sig uden for deres grænser, herunder i Unionen. En dom afsagt af en domstol eller ret eller en afgørelse truffet af andre judicielle eller administrative myndigheder, herunder retshåndhævende myndigheder, i et tredjeland, ifølge hvilken der pålægges krav om overførsel af eller adgang til andre data end personoplysninger, bør kunne håndhæves, hvis den er baseret på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en medlemsstat. I andre tilfælde kan der opstå situationer, hvor en anmodning om overførsel af eller adgang til andre data end personoplysninger, der følger af et tredjelands ret, er i strid med en forpligtelse til at beskytte sådanne data i henhold til EU-retten eller i henhold til den relevante medlemsstats nationale ret, navnlig med hensyn til beskyttelsen af den enkeltes grundlæggende rettigheder såsom retten til sikkerhed og adgang til effektive retsmidler, eller en medlemsstats grundlæggende interesser i forbindelse med national sikkerhed eller forsvar, samt beskyttelse af kommercielt følsomme data, herunder beskyttelse af forretningshemmeligheder, og beskyttelse af intellektuelle ejendomsrettigheder, herunder kontraktlige forpligtelser vedrørende fortrolighed i overensstemmelse med sådan ret. I mangel af internationale aftaler om sådanne spørgsmål bør overførsel eller adgang til andre data end personoplysninger kun tillades, hvis det er blevet verificeret, at tredjelandets retssystem kræver, at begrundelsen for og proportionaliteten af afgørelsen angives, at dommen eller afgørelsen er af specifik karakter, og at en begrundet indsigelse fra adressaten kan prøves ved en kompetent tredjelandsdomstol eller -ret, som har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de pågældende data til rådighed. Når det er muligt i henhold til betingelserne i anmodningen om dataadgang fra tredjelandets myndighed, bør udbyderen af databehandlingstjenester, inden der gives adgang til de pågældende data, kunne informere den kunde, hvis data der anmodes om, med henblik på at kontrollere, om der er en potentiel konflikt mellem en sådan adgang og EU-retten eller national ret, f.eks. retten om beskyttelse af kommercielt følsomme data, herunder beskyttelse af forretningshemmeligheder og intellektuelle ejendomsrettigheder, og de kontraktlige forpligtelser vedrørende fortrolighed.

(102)

For at øge datatilliden er det vigtigt, at der så vidt muligt gennemføres sikkerhedsforanstaltninger, således at unionsborgere, offentlige myndigheder og virksomhederne har kontrol over deres data. Desuden bør EU-retten og Unionens værdier og standarder med hensyn til bl.a. sikkerhed, databeskyttelse og privatlivets fred, og forbrugerbeskyttelse opretholdes. For at forhindre ulovlig statslig adgang til andre data end personoplysninger fra tredjelandsmyndigheders side bør udbydere af databehandlingstjenester, der er omfattet af denne forordning, såsom cloud- og edgetjenester, træffe alle rimelige foranstaltninger for at forhindre adgang til de systemer, hvorpå andre data end personoplysninger er lagret, herunder, hvor det er relevant, gennem kryptering af data, hyppig indgivelse af revisioner, verificeret overholdelse af relevante certificeringsordninger for sikkerhedsgarantier og ændring af virksomhedspolitikker.

(103)

Standardisering og semantisk interoperabilitet bør være i centrum, når der skal tilvejebringes tekniske løsninger til sikring af interoperabilitet inden for og mellem fælles europæiske dataområder, som er formåls- eller sektorspecifikke eller tværsektorielle interoperable rammer for fælles standarder og praksis med hensyn til deling eller fælles behandling af data, bl.a. udvikling af nye produkter og tjenester, videnskabelig forskning eller civilsamfundsinitiativer. Denne forordning fastsætter visse væsentlige krav til interoperabilitet. Deltagere i dataområder, der tilbyder data eller datatjenester til andre deltagere, som er enheder, der letter eller deltager i datadeling inden for fælles europæiske dataområder, herunder dataindehavere, bør opfylde disse krav for så vidt angår elementer, der er under deres kontrol. Overholdelse af disse regler kan sikres ved at opfylde de væsentlige krav, der er fastsat i denne forordning, eller formodes ved at overholde harmoniserede standarder eller fælles specifikationer gennem en formodning om overensstemmelse. For at lette overensstemmelsen med interoperabilitetskravene er det nødvendigt at fastsætte bestemmelser om en formodning om overensstemmelse for interoperabilitetsløsninger, der lever op til harmoniserede standarder eller dele deraf i overensstemmelse med forordning (EU) nr. 1025/2012, som udgør standardrammen for udarbejdelse af standarder, der indeholder bestemmelser om sådanne formodninger. Kommissionen bør vurdere hindringer for interoperabilitet og prioritere standardiseringsbehov, på grundlag af hvilke den kan anmode en eller flere europæiske standardiseringsorganisationer om i henhold til forordning (EU) nr. 1025/2012 at udarbejde harmoniserede standarder, der opfylder de væsentlige krav i nærværende forordning. Hvis sådanne anmodninger ikke fører til harmoniserede standarder, eller de pågældende harmoniserede standarder ikke er tilstrækkelige til at sikre overensstemmelse med de væsentlige krav i nærværende forordning, bør Kommissionen kunne vedtage fælles specifikationer på disse områder, forudsat at den i denne forbindelse behørigt respekterer standardiseringsorganisationernes rolle og funktioner. Fælles specifikationer bør kun vedtages som en ekstraordinær nødløsning for at lette opfyldelsen af de væsentlige krav, der er fastsat i nærværende forordning, eller når standardiseringsprocessen er blokeret, eller når der er forsinkelser i fastlæggelsen af passende harmoniserede standarder. Hvis en sådan forsinkelse skyldes den pågældende standards tekniske kompleksitet, bør Kommissionen tage dette i betragtning, inden det overvejes at udarbejde fælles specifikationer. Fælles specifikationer bør udvikles på en åben og inklusiv måde og, hvor det er relevant, tage hensyn til rådgivningen fra Det Europæiske Datainnovationsråd (EDIB), der er oprettet ved forordning (EU) 2022/868. Desuden kan der vedtages fælles specifikationer i forskellige sektorer i overensstemmelse med EU-retten eller national ret på grundlag af disse sektorers specifikke behov. Endvidere bør Kommissionen have mulighed for at give mandat til udvikling af harmoniserede standarder for databehandlingstjenesters interoperabilitet.

(104)

For at fremme interoperabiliteten mellem værktøjer til automatisk gennemførelse af datadelingsaftaler er det nødvendigt at fastsætte væsentlige krav til intelligente kontrakter, som fagpersoner opretter for andre eller integrerer i applikationer, der understøtter gennemførelsen af aftaler om datadeling. For at lette sådanne intelligente kontrakters overensstemmelse med de væsentlige krav er det nødvendigt at fastsætte bestemmelser om en formodning om overensstemmelse for intelligente kontrakter, der lever op til harmoniserede standarder eller dele deraf i overensstemmelse med forordning (EU) nr. 1025/2012. Begrebet »intelligent kontrakt« i nærværende forordning er teknologineutralt. Intelligente kontrakter kan f.eks. være forbundet med en elektronisk hovedbog. De væsentlige krav bør kun gælde for leverandører af intelligente kontrakter, dog ikke når de udvikler intelligente kontrakter internt udelukkende til intern brug. Det væsentlige krav, der skal sikre, at intelligente kontrakter kan afsluttes og opsiges, indebærer gensidigt samtykke fra parterne i aftalen om datadeling. Anvendelsen af de relevante civil-, aftale- og forbrugerbeskyttelsesretlige regler på datadelingsaftaler berøres ikke eller bør ikke berøres af anvendelsen af intelligente kontrakter med henblik på automatisk gennemførelse af sådanne aftaler.

(105)

For at påvise, at de væsentlige krav i denne forordning er opfyldt, bør leverandøren af en intelligent kontrakt eller, hvis en sådan ikke findes, den person, hvis erhverv, forretning eller profession omfatter indførelse af intelligente kontrakter for andre i forbindelse med gennemførelsen af en aftale eller en del heraf om at stille data til rådighed i forbindelse med denne forordning, foretage en overensstemmelsesvurdering og udstede en EU-overensstemmelseserklæring. En sådan overensstemmelsesvurdering bør være underlagt de generelle principper i Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (34) og Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF (35).

(106)

Ud over forpligtelsen for professionelle udviklere af intelligente kontrakter til at opfylde væsentlige krav er det også vigtigt at tilskynde de deltagere i dataområder, der tilbyder data eller databaserede tjenester til andre deltagere i og på tværs af fælles europæiske dataområder, til at understøtte interoperabiliteten mellem værktøjer til datadeling, herunder intelligente kontrakter.

(107)

For at sikre anvendelse og håndhævelse af denne forordning bør medlemsstaterne udpege en eller flere kompetente myndigheder. Hvis en medlemsstat udpeger mere end én kompetent myndighed, bør den også udpege en datakoordinator iblandt dem. De kompetente myndigheder bør samarbejde med hinanden. De kompetente myndigheder bør gennem udøvelsen af deres undersøgelsesbeføjelser i overensstemmelse med gældende nationale procedurer kunne søge efter og opnå oplysninger, navnlig vedrørende enheders aktiviteter inden for deres kompetence og, herunder i forbindelse med fælles undersøgelser, under behørig hensyntagen til, at tilsyns- og håndhævelsesforanstaltninger vedrørende en enhed, der er underlagt en anden medlemsstats kompetence, bør vedtages af den kompetente myndighed i denne anden medlemsstat, hvor det er relevant i overensstemmelse med procedurerne for grænseoverskridende samarbejde. Kompetente myndigheder bør bistå hinanden rettidigt, navnlig når en kompetent myndighed i en medlemsstat ligger inde med relevante oplysninger med henblik på en undersøgelse foretaget af de kompetente myndigheder i andre medlemsstater eller er i stand til at indsamle sådanne oplysninger, som de kompetente myndigheder i den medlemsstat, hvor enheden er etableret, ikke har adgang til. Kompetente myndigheder og datakoordinatorer bør identificeres i et offentligt register, som Kommissionen fører. Datakoordinatoren vil kunne være et yderligere middel til at lette samarbejdet i grænseoverskridende situationer, såsom når en kompetent myndighed fra en given medlemsstat ikke ved, hvilken myndighed den bør henvende sig til i datakoordinatorens medlemsstat, f.eks. hvis sagen vedrører mere end én kompetent myndighed eller sektor. Datakoordinatoren bør bl.a. fungere som et enkelt kontaktpunkt for alle spørgsmål vedrørende denne forordnings anvendelse. Hvis der ikke er udpeget nogen datakoordinator, bør den kompetente myndighed påtage sig de opgaver, som datakoordinatoren pålægges i henhold til denne forordning. De myndigheder, der er ansvarlige for at føre tilsyn med overholdelsen af databeskyttelsesretten, og de kompetente myndigheder, der er udpeget i henhold til EU-retten eller national ret, bør være ansvarlige for anvendelsen af denne forordning inden for deres respektive kompetenceområder. For at undgå interessekonflikter bør de kompetente myndigheder, der er ansvarlige for denne forordnings anvendelse og håndhævelse med hensyn til at stille data til rådighed efter en anmodning på grundlag af et ekstraordinært behov, ikke have ret til at indsende en sådan anmodning.

(108)

For at håndhæve deres rettigheder i henhold til denne forordning bør fysiske og juridiske personer have ret til at søge erstatning for krænkelser af deres rettigheder i henhold til denne forordning ved at indgive klager. Datakoordinatoren bør efter anmodning give alle nødvendige oplysninger til fysiske og juridiske personer med henblik på indgivelsen af deres klager til den relevante kompetente myndighed. Disse myndigheder bør have pligt til at samarbejde for at sikre, at en klage effektivt og rettidigt behandles og løses på passende vis. For at gøre brug af forbrugerbeskyttelsesnetværket og muliggøre gruppesøgsmål ændre denne forordning bilagene til Europa-Parlamentets og Rådets forordning (EU) 2017/2394 (36) og Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 (37).

(109)

Kompetente myndigheder bør sikre, at overtrædelser af de forpligtelser, der er fastsat i denne forordning, er underlagt sanktioner. Sådanne sanktioner kan omfatte økonomiske sanktioner, advarsler, irettesættelser eller påbud om at bringe forretningspraksis i overensstemmelse med forpligtelserne pålagt ved denne forordning. Sanktioner, der fastsættes af medlemsstaterne, bør være effektive, stå i et rimeligt forhold til overtrædelsen og have en afskrækkende virkning og bør tage hensyn til anbefalingerne fra EDIB og dermed bidrage til at opnå den størst mulige grad af konsekvens i fastsættelsen og anvendelsen af sanktioner. De kompetente myndigheder bør, hvor det er relevant, gøre brug af foreløbige forholdsregler for at begrænse virkningerne af en påstået overtrædelse, mens undersøgelsen af den pågældende overtrædelse pågår. I forbindelse hermed bør de bl.a. tage hensyn til overtrædelsens art, grovhed, omfang og varighed set i lyset af de samfundsmæssige hensyn, der varetages, omfanget og arten af de aktiviteter, der udføres, og den krænkende parts økonomiske formåen. De bør også tage hensyn til, om den krænkende part systematisk eller gentagne gange har undladt at opfylde sine forpligtelser i henhold til denne forordning. For at sikre overholdelse af ne bis in idem-princippet og navnlig for at undgå, at samme overtrædelse af en forpligtelse fastsat i denne forordning sanktioneres mere end én gang, bør en medlemsstat, der agter at udøve sin kompetence vedrørende en overtrædende part, der ikke er etableret og ikke har udpeget en retlig repræsentant i Unionen, uden unødigt ophold informere alle datakoordinatorer samt Kommissionen.

(110)

EDIB bør rådgive og bistå Kommissionen med at koordinere nationale praksisser og politikker vedrørende de emner, der er omfattet af denne forordning, samt med at opfylde dennes mål i forbindelse med teknisk standardisering for at øge interoperabiliteten. EDIB bør også spille en central rolle med hensyn til at lette omfattende drøftelser mellem de kompetente myndigheder om denne forordnings anvendelse og håndhævelse. Denne udveksling af oplysninger har til formål at øge den effektive adgang til domstolsprøvelse samt håndhævelsen og det retlige samarbejde i hele Unionen. De kompetente myndigheder bør bl.a. gøre brug af EDIB som en platform til at evaluere, koordinere og vedtage anbefalinger om fastsættelsen af sanktioner for overtrædelser af denne forordning. Det bør give de kompetente myndigheder mulighed for med bistand fra Kommissionen at koordinere den optimale tilgang til fastlæggelse og pålæggelse af sådanne sanktioner. Denne tilgang forhindrer fragmentering, samtidig med at den giver medlemsstaterne fleksibilitet, og bør føre til effektive anbefalinger, der støtter en konsekvent anvendelse af denne forordning. EDIB bør også have en rådgivende rolle i forbindelse med standardiseringsprocesserne og vedtagelsen af fælles specifikationer ved hjælp af gennemførelsesretsakter, i forbindelse med vedtagelsen af delegerede retsakter med henblik på at oprette en overvågningsmekanisme for skiftegebyrer, som udbydere af databehandlingstjenester pålægger, og for yderligere at præcisere de væsentlige krav til interoperabilitet mellem data, mellem datadelingsmekanismer og -tjenester og mellem de fælles europæiske dataområder. Det bør også rådgive og bistå Kommissionen i forbindelse med vedtagelsen af de retningslinjer, der fastsætter interoperabilitetsspecifikationer for driften af de fælles europæiske dataområder.

(111)

For at hjælpe virksomhederne med at udarbejde og forhandle aftaler bør Kommissionen udvikle og anbefale en ikkebindende model for aftalevilkår for aftaler om datadeling mellem virksomheder, om nødvendigt under hensyntagen til betingelserne i specifikke sektorer og den eksisterende praksis med frivillige datadelingsmekanismer. Denne model for aftalevilkår bør først og fremmest være et praktisk redskab, der kan hjælpe især SMV'er med at indgå aftaler. Når denne model for aftalevilkår anvendes bredt og integreret, må den også forventes at have en gavnlig virkning på udformningen af aftaler vedrørende adgang til og anvendelse af data og derfor i bredere forstand føre til mere retfærdige aftaleforhold i forbindelse med adgang til og deling af data.

(112)

For at fjerne risikoen for, at indehavere af data i databaser, der er opnået eller genereret ved hjælp af fysiske komponenter, f.eks. sensorer, af et forbundet produkt og en relateret tjeneste eller andre maskingenererede data, påberåber sig sui generis-retten i henhold til artikel 7 i direktiv 96/9/EF og derved navnlig hindrer brugernes effektive udøvelse af deres ret til at tilgå og anvende data og deres ret til at dele data med tredjeparter i henhold til denne forordning, bør det præciseres, at sui generis-retten ikke finder anvendelse på sådanne databaser. Dette berører ikke den mulige anvendelse af den i artikel 7 i direktiv 96/9/EF fastsatte sui generis-ret på databaser, som indeholder data, der ikke er omfattet af denne forordnings anvendelsesområde, såfremt kravene til beskyttelse i henhold til nævnte artikels stk. 1 er opfyldt.

(113)

For at tage hensyn til de tekniske aspekter af databehandlingstjenester bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF for så vidt angår supplering af denne forordning for at oprette en overvågningsmekanisme for de skiftegebyrer, som udbydere af databehandlingstjenester pålægger på markedet, og for at præcisere de væsentlige interoperabilitetskrav til deltagere i dataområder, der tilbyder data eller datatjenester til andre deltagere. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (38). For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.

(114)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser med hensyn til vedtagelsen af fælles specifikationer for at sikre interoperabilitet mellem data, mellem datadelingsmekanismer og -tjenester og mellem fælles europæiske dataområder, fælles specifikationer for databehandlingstjenesters interoperabilitet, og fælles specifikationer for interoperabilitet mellem intelligente kontrakter. Kommission bør også tillægges gennemførelsesbeføjelser med henblik på at offentliggøre gennemførelsesretsakter referencerne for harmoniserede standarder og fælles specifikationer for databehandlingstjenesters interoperabilitet i et centralt EU-standardiseringsregister for databehandlingstjenesters interoperabilitet. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (39).

(115)

Denne forordning bør ikke berøre regler, der vedrører behov, der er specifikke for individuelle sektorer eller områder af offentlig interesse. Sådanne regler kan omfatte yderligere krav til tekniske aspekter af dataadgangen såsom grænsefladerne for dataadgang, eller hvordan dataadgang kan gives, f.eks. direkte fra produktet eller via dataformidlingstjenester. Sådanne regler kan også omfatte begrænsninger af dataindehavernes ret til adgang til eller anvendelse af brugerdata eller kan omfatte andre aspekter ud over dataadgang og -anvendelse såsom forvaltningsaspekter eller sikkerhedskrav, herunder cybersikkerhedskrav. Denne forordning bør heller ikke berøre mere specifikke regler i forbindelse med udviklingen af fælles europæiske dataområder eller, med de undtagelser, der er fastsat i denne forordning, EU-ret og national ret, der indeholder bestemmelser om adgang til og tilladelse til anvendelse af data til videnskabelige forskningsformål.

(116)

Denne forordning bør ikke berøre anvendelsen af konkurrencereglerne, særlig artikel 101 og 102 i TEUF. Foranstaltningerne i denne forordning bør ikke anvendes til at begrænse konkurrencen på en måde, der er i strid med TEUF.

(117)

For at give aktører inden for denne forordnings anvendelsesområde mulighed for at tilpasse sig de nye regler i denne forordning og træffe de nødvendige tekniske ordninger bør disse regler finde anvendelse fra den 12. september 2025.

(118)

Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42, stk. 1 og 2, i forordning (EU) 2018/1725 og afgav deres udtalelse den 4. maj 2022.

(119)

Målene for denne forordning, nemlig sikring af fairness i fordelingen af værdi fra data mellem aktører i dataøkonomien og fremme af fair adgang til og anvendelse af data med henblik på at bidrage til at etablere et ægte indre marked for data, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af handlingens omfang eller virkninger og grænseoverskridende anvendelse af data bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål —