EUROPA-KOMMISSIONEN

Bruxelles, den 19.11.2025

COM(2025) 837 final

2025/0360(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om ændring af forordning (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 og direktiv 2002/58/EF, (EU) 2022/2555 og (EU) 2022/2557 for så vidt angår forenkling af det digitale regelsæt og om ophævelse af forordning (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 og direktiv (EU) 2019/1024 (den digitale omnibus)

{SWD(2025) 836 final}

BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

•Forslagets begrundelse og formål

I sin meddelelse om gennemførelse og forenkling ("Et enklere og hurtigere Europa") 1 fremlagde Kommissionen sin tilgang til at tilpasse Unionens lovgivningsmæssige rammer til en mere ustabil verden: en ny indsats for at forenkle, præcisere og forbedre den gældende EU-ret som en vigtig foranstaltning til støtte for EU's konkurrenceevne.

Denne vision afspejler den bredere plan, som Kommissionens formand Ursula von der Leyen har fremlagt i sine politiske retningslinjer for perioden 2024-2029 2 . Som det også fremhæves i Draghirapporten 3 og Lettarapporten 4 har akkumuleringen af regler undertiden haft en negativ indvirkning på konkurrenceevnen. Der er behov for hurtige og synlige forbedringer for borgere og virksomheder gennem en mere omkostningseffektiv og innovationsvenlig gennemførelse af vores regler, samtidig med at vi forfølger høje standarder og opfylder de aftalte mål.

Det Europæiske Råd opfordrede i sine konklusioner af 20. marts 2025 endvidere Kommissionen til "fortsat at gennemgå og stressteste gældende EU-ret for at finde frem til, hvordan eksisterende lovgivning kan forenkles yderligere og konsolideres" 5 . Det understregede også behovet for at følge op med yderligere forenklingsinitiativer. I sine konklusioner af 26. juni understregede Det Europæiske Råd vigtigheden af "enkelhed gennem design" i lovgivningen, "uden at forudsigeligheden, de politiske mål og de høje standarder undermineres" 6 . Det Europæiske Råds konklusioner af 23. oktober 2025 bekræftede på ny "det presserende behov for at fremme en ambitiøs og horisontalt drevet dagsorden for forenkling og bedre regulering på alle niveauer – på EU-niveau, nationalt og regionalt – og på alle områder for at sikre Europas konkurrenceevne". Det opfordrede også Kommissionen til "hurtigt at fremlægge yderligere ambitiøse forenklingspakker om bl.a. [...] det digitale område" 7 .

I sin beslutning om gennemførelse og strømlining af reglerne for EU's indre marked med henblik på at styrke det indre marked, som blev vedtaget på plenarmødet den 11. september 8 , understregede Europa-Parlamentet behovet for forenkling for at lette processerne for regeloverholdelse, samtidig med at man fastholder EU's centrale politiske målsætninger.

I Kommissionens hørings- og inddragelsesaktiviteter i forbindelse med forenklingsdagsordenen har interessenter, der repræsenterer forskellige interesser, slået til lyd for målrettede ændringer af visse digitale regler for både at strømline overholdelsesomkostningerne og afklare, hvordan reglerne i deres sektor spiller sammen.

Med en merværdi på 791 mia. EUR i hele Den Europæiske Union i 2022 9 spiller IKT-sektoren en afgørende rolle i at styrke EU's konkurrenceevne på tværs af alle økonomiske sektorer, både gennem væksten i digitale virksomheder og ved at tilbyde centrale digitale løsninger på tværs af sektorer. Digitale regler har været afgørende for at skabe et retfærdigt erhvervsmiljø i EU. De har etableret et ægte indre marked for digitale tjenester. EU har været banebrydende inden for digital regulering og har sat standarden for det højeste niveau af beskyttelse af grundlæggende rettigheder, forbrugersikkerhed og beskyttelse af europæiske værdier.

Kommissionen er forpligtet til at gennemføre en omfattende "stresstest" af det digitale regelsæt i hele lovgivningsperioden. Målet er meget klart: at sikre, at reglerne fortsat er egnede til at støtte innovation og vækst, at de opfylder deres mål, og at de er en drivkraft for konkurrenceevnen. I hele denne proces vil Kommissionen søge at levere overbevisende løsninger til at forenkle, præcisere og styrke reglernes effektivitet og deres håndhævelse gennem alle tilgængelige instrumenter, det være sig reguleringsmæssige tilpasninger, øget samarbejde på tværs af myndigheder, fremme af digitale løsninger, der forenkler "indbygget" overholdelse af reglerne eller andre ledsageforanstaltninger.

Forslaget om en digital omnibus er et første skridt til at optimere anvendelsen af det digitale regelsæt. Den omfatter en række tekniske ændringer af et stort korpus af digital lovgivning, der er udvalgt for straks at lette byrderne for virksomheder, offentlige forvaltninger og borgere og for at stimulere konkurrenceevnen. Det umiddelbare mål er at sikre, at overholdelsen af reglerne sker til lavere omkostninger, opfylder de samme mål og i sig selv giver ansvarlige virksomheder en konkurrencefordel. Ændringerne blev prioriteret på baggrund af høringer med interessenter og de første gennemførelsesdialoger, der blev afholdt af ledende næstformand Henna Virkkunen og kommissær Michael McGrath.

Af disse grunde fokuserer ændringsforslagene på at frigøre muligheder for anvendelse af data som en grundlæggende ressource i EU's økonomi, ikke mindst med henblik på at støtte udviklingen og anvendelsen af pålidelig kunstig intelligens på EU-markedet. Målrettede ændringer af reglerne om databeskyttelse og privatlivets fred støtter dette mål og sikrer øjeblikkelig forenkling for virksomheder og enkeltpersoner, hvilket styrker deres mulighed for at udøve deres rettigheder.

Desuden har ændringerne af forordning (EU) 2024/1689 (forordningen om kunstig intelligens 10 ), der fremlægges i et særskilt lovforslag som en del af den digitale omnibus, til formål at fremme en gnidningsløs og effektiv anvendelse af reglerne for sikker og pålidelig udvikling og brug af kunstig intelligens.

I den digitale omnibus foreslås også en meget klar løsning til at strømline indberetningen af cybersikkerhedshændelser ved at samle alle relaterede indberetningsforpligtelser under én fælles indberetningsmekanisme.

Endelig ophæver forslaget forældede regler på området for platformsregulering, som er blevet erstattet af nyere forordninger.

Ændringerne har til formål at strømline reglerne ved at reducere antallet af love og harmonisere bestemmelserne. De nedbringer de administrative omkostninger ved at forenkle bestemmelser og procedurer. De fritager små midcapvirksomheder fra visse forpligtelser i datalovgivningen og forordning (EU) 2024/1689 (forordningen om kunstig intelligens 11 ), ud over de små virksomheder og mikrovirksomheder, der allerede er omfattet af en særlig ordning. De stimulerer også mulighederne for et dynamisk erhvervsklima, der skaber større retssikkerhed og muligheder, især med hensyn til deling og videreanvendelse af data, behandling af personoplysninger eller træning af systemer og modeller for kunstig intelligens.

Samtidig er de foreslåede ændringer fortsat af teknisk karakter og har til formål at tilpasse de lovgivningsmæssige rammer, men ikke at ændre deres underliggende mål. Foranstaltningerne er kalibreret for at bevare den samme standard for beskyttelse af grundlæggende rettigheder.

Sammen med den digitale omnibus fremlægger Kommissionen også sit forslag til en forordning om europæiske virksomhedstegnebøger som et hjørnestensinitiativ, der skal forenkle overholdelsen af lovgivningen og mindske de administrative byrder for virksomhederne. Virksomhedstegnebøgerne vil blive udformet som sikre digitale værktøjer for virksomheder og fungere som en fælles platform, der skal forenkle deres interaktioner i hele EU. Ved at indføre en entydig og vedvarende identifikator vil virksomheder få mulighed for digitalt at verificere identiteter, underskrive dokumenter, tidsstemple og udveksle verificerede digitale oplysninger problemfrit på tværs af grænserne ved hjælp af en enkelt løsning. Med europæiske virksomhedstegnebøger vil virksomheder, især SMV'er, nemt kunne navigere i overholdelsen af reglerne og frigøre vigtige ressourcer, der kan omdirigeres til vækst og innovation.

Som et andet skridt i forpligtelsen til at "stressteste" det digitale regelsæt er Kommissionen også i færd med at foretage en digital kvalitetskontrol. Forslagene til den digitale omnibus er umiddelbare og målrettede, mens den analyse, som Kommissionen vil foretage i forbindelse med den digitale kvalitetskontrol, vil fokusere på den kumulative virkning af de digitale regler for at teste, hvordan de understøtter EU's konkurrenceevne, og hvor der skal foreslås yderligere tilpasninger i anden halvdel af lovgivningsmandatet.

Den digitale kvalitetskontrol lanceres samtidig med omnibusforslaget, ledsaget af en bred offentlig høring. Kommissionen søger at inddrage alle interessenter og foretage brede høringer. Målet er at følge op med en oversigt og en bred kortlægning af, hvordan det digitale regelsæt dækker strategiske sektorer i EU's industri, og afdække, hvordan reglernes kumulative virkning påvirker deres konkurrenceevne. På dette grundlag vil analysen i et næste trin gå mere i dybden med synergier og områder, der kan tilpasses yderligere, lige fra definitioner og juridiske begreber til effektiviteten af og samspillet mellem forvaltningssystemerne og andre støtteforanstaltninger.

"Stresstesten" af det digitale regelsæt vil også fortsætte gennem gennemførelsesdialoger samt med evalueringer af alle de vigtigste retsinstrumenter. I den nuværende planlægning forventer Kommissionen bl.a. i 2026 at offentliggøre en revision af forordningen om digitale markeder, politikprogrammet for det digitale årti, mikrochipforordningen, direktivet om audiovisuelle medietjenester og en evaluering af direktivet om ophavsret. For 2027 omfatter de retsakter, der forventes evalueret, bl.a. forordningen om cybersolidaritet, forordningen om det åbne internet, NIS 2 og forordningen om digitale tjenester. I 2028 bør Kommissionen f.eks. evaluere den europæiske forordning om mediefrihed og dataforordningen, efterfulgt af en evaluering af forordningen om kunstig intelligens i 2029 og en evaluering af udløbsklausulen i forordningen om oprettelse af Det Europæiske Kompetencecenter og Netværk for Cybersikkerhed.

Interessenterne har gentagne gange understreget, at forenklingsindsatsen i mange tilfælde handler mindre om at ændre reglerne og mere om at skabe klarhed over deres anvendelse. Kommissionen prioriterer en række retningslinjer, der har til formål at støtte en ensartet anvendelse af reglerne, uden at dette berører Domstolens fortolkninger.

Hvad angår den lovgivningsmæssige ramme for data, har Kommissionen annonceret, at dette er en prioritet i strategien for en dataunion, især med fokus på retningslinjer for rimelig kompensation for at præcisere, hvad der kan opkræves for datadeling, skabe retssikkerhed for både dataindehavere og datamodtagere samt retningslinjer for præcisering af definitioner.

For at støtte anvendelsen af forordningen om kunstig intelligens prioriterer Kommissionen fortsat at udstede retningslinjer om flere aspekter, som nærmere beskrevet i begrundelsen til forslaget om en digital omnibus, der ændrer forordningen om kunstig intelligens.

Forslag i den digitale omnibus

For så vidt angår personoplysninger, trådte forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse, GDPR) i kraft den 25. maj 2018 og skabte EU-dækkende standarder, regler og garantier for behandling af personoplysninger, registreredes rettigheder samt en generel retlig ramme for dem, der behandler personoplysninger. Selv om interessenterne generelt mener, at forordning (EU) 2016/679 (generel forordning om databeskyttelse) er afbalanceret og hensigtsmæssig og fortsat egnet til formålet, har nogle enheder, navnlig mindre virksomheder og sammenslutninger med et lavt antal ikkeintensive databehandlingsaktiviteter, som ofte indebærer en lav risiko, udtrykt bekymring over anvendelsen af visse forpligtelser i den generelle forordning om databeskyttelse. Nogle af disse bekymringer kan løses gennem en mere konsekvent og harmoniseret fortolkning og håndhævelse på tværs af medlemsstaterne, mens andre kræver målrettede ændringer af lovgivningen. I denne sammenhæng har ændringerne i dette forslag til formål at imødegå disse bekymringer, navnlig ved at præcisere visse centrale definitioner, f.eks. begrebet personoplysninger, ved at lette overholdelsen, f.eks. ved at støtte dataansvarlige med hensyn til kriterierne og midlerne til at afgøre, om data, der stammer fra pseudonymisering, ikke udgør personoplysninger, i forbindelse med oplysningskrav og anmeldelser af brud på datasikkerheden til tilsynsmyndigheder, samt ved at præcisere visse aspekter af behandlingen af data til AI-træning og -udvikling. De foreslåede ændringer afhjælper også den manglende klarhed om betingelserne for videnskabelig forskning ved at fastlægge en definition af videnskabelig forskning, yderligere præcisere, at viderebehandling til videnskabelige formål er forenelig med det oprindelige formål med behandlingen, og præcisere, at videnskabelig forskning udgør en legitim interesse. Det foreslås også at udvide undtagelserne fra oplysningspligten i forbindelse med behandling. Hvor det er relevant, afspejler dette forslag ændringerne af den generelle forordning om databeskyttelse i forordning (EU) 2018/1725 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU's institutioner, organer, kontorer og agenturer.

De ændringer, der foreslås i denne forordning, vil indføre et centralt kontaktpunkt, hvorigennem enheder kan opfylde deres forpligtelser til indberetning af hændelser i henhold til flere retsakter samtidig. Ved at fremme princippet om "indberet én gang, del med mange" vil det centrale kontaktpunkt mindske den administrative byrde for enhederne, samtidig med at der sikres en effektiv og sikker strøm af oplysninger om sikkerhedshændelser til de modtagere, der er defineret i den respektive lovgivning.

Forslaget fastsætter ENISA's forpligtelse til at udvikle det centrale kontaktpunkt under hensyntagen til den fælles indberetningsplatform for underretninger om aktivt udnyttede sårbarheder og alvorlige hændelser i henhold til forordning (EU) 2024/2847 (forordningen om cyberrobusthed). Det fastsætter specifikke krav til værktøjet som en sikker kanal for oplysninger, der indberettes af enheder og videresendes til de kompetente myndigheder. Det ændrer ikke de underliggende juridiske krav til hændelsesrapportering, men optimerer i væsentlig grad arbejdsgangen og de ressourcer, der kræves af enhederne.

Ifølge forslaget skal det centrale kontaktpunkt også anvendes for en række tæt forbundne forpligtelser til indberetning af hændelser, der er fastsat i direktiv (EU) 2022/2555 (NIS 2-direktivet), forordning (EU) 2016/679 (GDPR), forordning (EU) 2022/2554 (DORA), forordning (EU) nr. 910/2014 (eIDAS-forordningen) og direktiv (EU) 2022/2557 (direktivet om kritiske enheders modstandsdygtighed). Andre sektorspecifikke rapporteringsforpligtelser, såsom dem der er fastsat inden for rammerne af netreglerne for cybersikkerhedsmæssige aspekter af grænseoverskridende elektricitetsstrømme og de relevante instrumenter for luftfartssektoren, vil også blive underlagt det centrale kontaktpunkt gennem ændringer af de respektive delegerede retsakter og gennemførelsesretsakter, der fastsætter indberetningsforpligtelserne i henhold til disse rammer.

Forslaget har også til formål at strømline indholdet af de indberettede oplysninger ved at indføre beføjelser for flere retsakter, hvor sådanne ikke findes. I forslaget præciseres det, at Kommissionen, når den udvikler fælles indberetningsskabeloner for direktiv (EU) 2022/2555, direktiv (EU) 2022/2557 eller forordning (EU) 2016/679, for at sikre sammenhæng, fremme synergier og mindske den administrative byrde for enheder ved at minimere antallet af datafelter, som enheder skal udfylde, bør tage behørigt hensyn til de indhøstede erfaringer og de fælles modeller, der er udviklet i henhold til forordning (EU) 2022/2554 (DORA).

Ud over disse centrale ændringer benyttes muligheden også for at ophæve Europa-Parlamentets og Rådets forordning (EU) 2019/1150 af 20. juni 2019 om fremme af retfærdighed og gennemsigtighed for erhvervsbrugere af onlineformidlingstjenester (forordningen om forbindelserne mellem platforme og virksomheder eller "P2B-forordningen"). Forordningen har fundet anvendelse siden den 12. juli 2020 og var det første skridt i retning af at skabe en omfattende retlig ramme for platformsøkonomien. Siden dens ikrafttræden er andre EU-retsakter, som regulerer onlineformidlingstjenester og onlineplatforme, kommet til. Disse omfatter forordning (EU) 2022/1925 (forordningen om digitale markeder) og forordning (EU) 2022/2065 (forordningen om digitale tjenester), som i vid udstrækning erstatter bestemmelserne i P2B-forordningen. Udvalgte bestemmelser i P2B-forordningen vil fortsat være gældende for at sikre retssikkerheden for retsakter, der indeholder krydshenvisninger til disse bestemmelser, f.eks. direktiv (EU) 2023/2831 om forbedring af arbejdsvilkårene for platformsarbejde. Generelt vil en forenkling af de lovgivningsmæssige rammer for onlineplatforme reducere overholdelsesomkostningerne som følge af lagdelte og overlappende regler, hvilket interessenterne har opfordret til. Udbydere af onlineformidlingstjenester vil drage fordel af den øgede klarhed i de retlige bestemmelser. Håndhævelsen vil blive mere målrettet.

•Sammenhæng med de gældende regler på samme område

•Sammenhæng med Unionens politik på andre områder

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

•Retsgrundlag

•Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)

•Proportionalitetsprincippet

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSENTER OG KONSEKVENSANALYSER

•Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning

•Høringer af interessenter

I foråret 2025 blev der offentliggjort tre offentlige høringer og indkaldelser af feedback om forslagets centrale søjler. Der blev afholdt en høring om strategien for anvendelse af kunstig intelligens fra den 9. april til den 4. juni 14 , en anden om revision af forordning (EU) 2019/881 (forordningen om cybersikkerhed) fra den 11. april til den 20. juni 15 og endelig endnu en om strategien for en europæisk dataunion fra den 23. maj til den 20. juli 16 . Hvert spørgeskema havde et særligt afsnit (og nogle havde flere) om gennemførelses- og forenklingsproblemer, der var direkte relateret til overvejelserne om den digitale omnibus. Tilsammen blev der modtaget 718 unikke svar som led i denne første høringsrunde.

En opfordring til indsendelse af dokumentation om den digitale omnibus løb desuden fra den 16. september til den 14. oktober 2025 17 . Formålet var at give interessenter mulighed for at kommentere på et konsolideret forslag til anvendelsesområdet for den digitale omnibus. Der blev modtaget 513 svar fra forskellige interessentgrupper, navnlig fra virksomheder og erhvervsorganisationer, civilsamfundet, akademikere, myndigheder samt individuelle bidrag fra borgere.

Ledende næstformand Henna Virkkunen var vært for to gennemførelsesdialoger om de centrale emner, der blev behandlet i den digitale omnibus: den første om datapolitik 18 (1. juli 2025) og den anden om cybersikkerhedspolitik 19 (15. september).

Kommissær McGrath var vært for en gennemførelsesdialog om anvendelsen af GDPR (16. juli 2025).

Kommissionens tjenestegrene gennemførte også flere "realitetstjek", som er dybdegående fokusgrupper med virksomheder og repræsentanter for civilsamfundet, og som blev afholdt mellem den 15. september og den 6. oktober 2025 for at drøfte de praktiske udfordringer ved gennemførelsen, som opleves i det daglige, og for at anslå overholdelsesomkostningerne.

Med henblik på specifikt at høre små og mellemstore virksomheder (SMV'er) og indsamle deres feedback blev der gennemført et særligt SMV-panel via Enterprise Europe Network (EEN) 20 mellem den 4. september og den 16. oktober 2025.

Endelig modtog Kommissionens tjenestegrene adskillige positionspapirer og afholdt bilaterale møder med en række forskellige interessenter. Kommissionens tjenestegrene samarbejdede også med medlemsstaterne i rundbordsdrøftelser eller i forbindelse med forskellige arbejdsgrupper i Rådet.

Generelt var der enighed blandt interessenterne om behovet for at forenkle anvendelsen af nogle af de digitale regler. Interessenterne glædede sig over, at der blev sat fokus på sammenhæng og konsolidering af reglerne samt på optimering af overholdelsesomkostningerne.

Der var en klar opfordring til at strømline dataregelsættet og konsolidere reglerne. Dette behandles i forslaget sammen med målrettede ændringer, der støttes af interessenter, herunder for så vidt angår den generelle forordning om databeskyttelse og den samtykketræthed, der er forbundet med cookiebannere. Desuden har virksomheder peget på behovet for yderligere vurderinger af samspillet mellem datareglerne, som kræver en dybere analyse gennem værktøjerne til bedre regulering, navnlig den kommende digitale kvalitetskontrol.

Virksomheder på tværs af forskellige sektorer har også peget på de uberettigede byrder, der opstår som følge af dobbelt indberetning af hændelser under flere retlige rammer. Denne opfordring til handling imødekommes gennem forslaget om et centralt kontaktpunkt for indberetning af hændelser.

Hvad angår forordningen om kunstig intelligens, har interessenter påpeget behovet for retssikkerhed ved anvendelsen af reglerne og har især understreget behovet for, at der udarbejdes standarder og vejledning, inden reglerne tages i brug. Det særskilte lovgivningsforslag under den digitale omnibus imødekommer deres bekymringer.

Endelig har interessenterne ikke udtalt sig om virkningen af forordningen om forholdet mellem platforme og virksomheder, hvilket bekræfter resultaterne af den foreløbige evalueringsrapport, nemlig at reglerne hverken er velkendte eller effektive med hensyn til at nå deres mål. I denne forordning foreslås det at ophæve reglerne om forholdet mellem platforme og virksomheder, navnlig i lyset af deres overlap med nyere regler.

En detaljeret oversigt over disse høringer af interessenter, og hvordan de er anvendt i forslaget, findes i arbejdsdokumentet fra Kommissionens tjenestegrene, der ledsager den digitale omnibus.

•Indhentning og brug af ekspertbistand

•Konsekvensanalyse

•Målrettet regulering og forenkling

•Grundlæggende rettigheder

4.VIRKNINGER FOR BUDGETTET

5.ANDRE FORHOLD

•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

•Nærmere redegørelse for de enkelte bestemmelser i forslaget

·I stk. 4 indføres definitioner fra de bestemmelser, der er indsat i forordning (EU) 2023/2854 (dataforordningen), for at ensrette definitionen af data og dokumenter ved at foretage en klar afgrænsning mellem digitalt (data) og ikkedigitalt (dokument) indhold.

·Det nye kapitel VIIc om videreanvendelse af data og dokumenter, som offentlige myndigheder er i besiddelse af, indføres.

·Der indføres en ny afdeling 1, som fastlægger de generelle principper, der gælder for det nyligt indsatte kapitel.

·Genstanden for og anvendelsesområdet for det sammenlagte kapitel fastlægges ved at kombinere de fælles regler i kapitel II i forordning (EU) 2022/868 (forordningen om datastyring) og direktiv (EU) 2019/1024 (direktivet om åbne data).

·Det fælles princip om ikkeforskelsbehandling, der gælder for deling af åbne offentlige data og visse kategorier af beskyttede data, fastsættes.

·Forbuddet mod eneretsaftaler, som er fælles for ordningen med åbne offentlige data og visse kategorier af beskyttede data, fastsættes.

·Der fastsættes generelle principper for opkrævning af gebyrer for videreanvendelse af åbne offentlige data eller visse kategorier af beskyttede data. Som en ny regel skal offentlige myndigheder sikre, at eventuelle gebyrer også kan betales online via bredt tilgængelige grænseoverskridende betalingstjenester uden forskelsbehandling for videreanvendelse af åbne offentlige data. Dette udvider denne regel, der tidligere kun omfattede videreanvendelse af visse kategorier af beskyttede data i henhold til kapitel II i forordning (EU) 2022/868 (forordningen om datastyring).

·Videreanvendere af åbne offentlige data og visse kategorier af beskyttede data får ret til at blive informeret om tilgængelige klagemuligheder i forbindelse med afgørelser eller praksis, som berører dem.

·Der indsættes en afdeling om reglerne for videreanvendelse af åbne offentlige data fra direktiv (EU) 2019/1024 (direktivet om åbne data).

·Afdelingens anvendelsesområde fastlægges, herunder at visse kategorier af beskyttede data, som er omfattet af det generelle kapitel om videreanvendelse af data og dokumenter, der er i offentlige myndigheders besiddelse, ikke er omfattet.

·Det generelle princip for videreanvendelse af åbne offentlige data fastsættes.

·Reglerne for behandlingen af anmodninger om videreanvendelse af åbne offentlige data fastsættes, og den tidligere bestemmelse fra direktiv (EU) 2019/1024 (direktivet om åbne data) indsættes.

·Der indføres regler om tilgængelige formater for videreanvendelse af åbne offentlige data, som tidligere var omfattet af direktiv (EU) 2019/1024 (direktivet om åbne data).

·Der indføres regler for opkrævning af gebyrer for åbne offentlige data, som tidligere var reguleret af direktiv (EU) 2019/1024 (direktivet om åbne data). Som en ny regel kan offentlige myndigheder opkræve højere gebyrer for videreanvendelse fra meget store virksomheder. Sådanne gebyrer skal være forholdsmæssige, og deres størrelse skal baseres på objektive kriterier.

·Der indføres regler om standardlicenser for videreanvendelse af åbne offentlige data, som tidligere var indeholdt i direktiv (EU) 2019/1024 (direktivet om åbne data). Som en ny regel kan offentlige myndigheder fastsætte særlige betingelser for meget store virksomheder. Sådanne betingelser skal være forholdsmæssige og baseret på objektive kriterier.

·Reglerne om praktiske ordninger fra direktiv (EU) 2019/1024 (direktivet om åbne data) indføres i forordning (EU) 2023/2854 (dataforordningen) for at lette søgningen efter data eller dokumenter til videreanvendelse.

·Reglerne om forskningsdata fra direktiv (EU) 2019/1024 (direktivet om åbne data) indføres i forordning (EU) 2023/2854 (dataforordningen).

·Reglerne om datasæt af høj værdi fra direktiv (EU) 2019/1024 (direktivet om åbne data) indføres i forordning (EU) 2023/2854 (dataforordningen).

·Der oprettes en ny afdeling om videreanvendelse af visse kategorier af beskyttede data for at indføre de tidligere regler i kapitel II i forordning (EU) 2022/868 (forordningen om datastyring) i dette kapitel. Punktet skitserer anvendelsesområdet for denne afdeling 3, som udelukker de data og dokumenter, der er omfattet af afdeling 2, der regulerer ordningen for videreanvendelse af åbne offentlige data, fra anvendelsesområdet. Som en ny regel er dokumenter omfattet af denne afdelings anvendelsesområde.

·Det generelle princip om videreanvendelse af bestemte kategorier af beskyttede data fastsættes. Dette er det princip, der er fastsat i kapitel II i forordning (EU) 2022/868 (forordningen om datastyring), nemlig at de offentlige myndigheder ikke pålægges nogen forpligtelse til at tillade videreanvendelse af beskyttede data, men i stedet fastsætter minimumsbetingelser, hvis offentlige myndigheder beslutter at stille sådanne data til rådighed for videreanvendelse.

·Reglerne om betingelserne for videreanvendelse af bestemte kategorier af beskyttede data fra kapitel II i forordning (EU) 2022/868 (forordningen om datastyring) indføres i en forenklet og strømlinet form. Det præciseres, hvilke regler der finder anvendelse i tilfælde, hvor personoplysninger er blevet anonymiseret. Kravene vedrørende overførsel af andre data end personoplysninger til tredjelande bevares, men opdeles i en ny artikel under punkt 54.

·Reglerne om opkrævning af gebyrer fra kapitel II i forordning (EU) 2022/868 (forordningen om datastyring) indføres i forordning (EU) 2023/2854 (dataforordningen). Som en ny regel kan offentlige myndigheder fastsætte højere gebyrer for meget store virksomheders videreanvendelse. Sådanne gebyrer skal være forholdsmæssige og baseret på objektive kriterier. Det særlige hensyn til at tilskynde SMV'er til videreanvendelse udvides til også at omfatte SMC'er.

·Reglerne om kompetente organer fra kapitel II i forordning (EU) 2022/868 (forordningen om datastyring) indføres i forordning (EU) 2023/2854 (dataforordningen). De kompetente organer skal hjælpe offentlige myndigheder med at besvare anmodninger om videreanvendelse af data og dokumenter, der er omfattet af afdeling 3.

·Reglerne om det centrale informationssted fra kapitel II i forordning (EU) 2022/868 (forordningen om datastyring) indføres i forordning (EU) 2023/2854 (dataforordningen). Centrale informationssteder har til formål at hjælpe videreanvendere med at finde oplysninger om videreanvendelse af visse kategorier af beskyttede data på en nem måde.

·Reglerne om proceduren for anmodninger om videreanvendelse af visse kategorier af beskyttede data fra kapitel II i forordning (EU) 2022/868 (forordningen om datastyring) indføres i forordning (EU) 2023/2854 (dataforordningen).

Ændring af forordning (EU) 2016/679, forordning (EU) 2018/1725 og direktiv 2002/58/EF

I artikel 3 i forslaget indføres målrettede ændringer af forordning (EU) 2016/679 (generel forordning om databeskyttelse).

Artikel 3:

I stk. 1 vil definitionen af personoplysninger i henhold til artikel 4 i forordning (EU) 2016/679 (generel forordning om databeskyttelse) blive præciseret ved at fastslå, at oplysninger ikke skal betragtes som personoplysninger for en given enhed, når denne ikke har midler, der med rimelighed kan forventes at blive anvendt til at identificere den fysiske person, som oplysningerne vedrører. Som følge heraf vil en sådan enhed i princippet ikke være omfattet af nævnte forordnings anvendelsesområde.

Stk. 2 vil give mulighed for to yderligere undtagelser fra behandlingen af særlige kategorier af oplysninger: Der vil blive mulighed for en undtagelse fra det generelle forbud mod behandling af biometriske oplysninger, når det er nødvendigt for at bekræfte den registreredes identitet, og når oplysningerne og midlerne til en sådan verifikation er under den registreredes enekontrol. Der vil også blive mulighed for en undtagelse for den resterende behandling af særlige kategorier af personoplysninger med henblik på udvikling og drift af et AI-system eller en AI-model på visse betingelser, herunder passende organisatoriske og tekniske foranstaltninger til at undgå at indsamle særlige kategorier af personoplysninger og fjerne sådanne oplysninger.

I stk. 3 præciseres situationen med hensyn til artikel 12 i forordning (EU) 2016/679 (generel forordning om databeskyttelse), hvor retten til indsigt misbruges af registrerede til andre formål end beskyttelse af deres personoplysninger. Som følge heraf kan den dataansvarlige nægte at efterkomme anmodningen eller opkræve et rimeligt gebyr. Desuden præciseres betingelserne for at godtgøre, at en anmodning om indsigt var overdreven.

I stk. 4 fokuseres der på den dataansvarliges forpligtelse til at underrette de registrerede om behandlingen af deres personoplysninger i henhold til artikel 13 i forordning (EU) 2016/679 (generel forordning om databeskyttelse) ved at fjerne denne forpligtelse i situationer, hvor der er rimelig grund til at antage, at den registrerede allerede er bekendt med oplysningerne, medmindre den dataansvarlige videregiver oplysningerne til andre modtagere eller kategorier af modtagere, overfører oplysningerne til et tredjeland, foretager automatiseret beslutningstagning, eller hvis behandlingen sandsynligvis vil medføre en høj risiko for den registreredes rettigheder.

I stk. 5 præciseres kravene til automatiseret individuel beslutningstagning i henhold til artikel 22 i forordning (EU) 2016/679 (generel forordning om databeskyttelse) i forbindelse med indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig, navnlig at kravet om "nødvendighed" gælder uanset, om afgørelsen kunne træffes på anden måde end ved udelukkende automatiserede midler.

Med stk. 6 bringes den dataansvarliges forpligtelse til at anmelde brud på datasikkerheden til den kompetente tilsynsmyndighed i henhold til artikel 33 i forordning (EU) 2016/679 (generel forordning om databeskyttelse) i overensstemmelse med forpligtelsen til at underrette de registrerede om sådanne brud ved at fastsætte, at anmeldelse kun er påkrævet, hvis et brud på datasikkerheden sandsynligvis vil medføre en høj risiko for den registreredes rettigheder. Endvidere forlænges anmeldelsesfristen til 96 timer. Det foreslås også, at dataansvarlige anvender det centrale kontaktpunkt, når de anmelder brud på datasikkerheden til tilsynsmyndigheden. Desuden vil Det Europæiske Databeskyttelsesråd være forpligtet til at udarbejde og forelægge Kommissionen et forslag til en fælles model for anmeldelser af brud på datasikkerheden, som Kommissionen får bemyndigelse til at vedtage ved hjælp af en gennemførelsesretsakt, efter at den om nødvendigt har revideret den.

Med stk. 7 harmoniseres listerne over behandlingsaktiviteter, der kræver og ikke kræver en konsekvensanalyse vedrørende databeskyttelse, ved at fastsætte, at der på EU-plan skal udarbejdes én samlet liste over behandlingsaktiviteter, der kræver og ikke kræver en konsekvensanalyse vedrørende databeskyttelse, hvilket derved bidrager til harmoniseringen af begrebet høj risiko. Det Europæiske Databeskyttelsesråd vil være forpligtet til at udarbejde forslag til sådanne lister. Det vil også være forpligtet til at udarbejde et forslag til en fælles model og en fælles metode til gennemførelse af konsekvensanalyser vedrørende databeskyttelse, som Kommissionen vil få bemyndigelse til at vedtage ved hjælp af en gennemførelsesretsakt, efter om nødvendigt at have revideret dem.

I stk. 8 fastslås det, at Kommissionen sammen med Det Europæiske Databeskyttelsesråd kan støtte de dataansvarlige i vurderingen af, om data, der hidrører fra pseudonymisering, ikke udgør personoplysninger, ved at præcisere de midler og kriterier, der er relevante for en sådan vurdering, herunder det teknologiske niveau for tilgængelige teknikker og kriterier for vurdering af risikoen for genidentifikation.

Ophævelse af retsakter og afsluttende bestemmelser

2025/0360 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om ændring af forordning (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 og direktiv 2002/58/EF, (EU) 2022/2555 og (EU) 2022/2557 for så vidt angår forenkling af det digitale regelsæt og om ophævelse af forordning (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 og direktiv (EU) 2019/1024 (den digitale omnibus)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16 og 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 21 ,

under henvisning til udtalelse fra Den Europæiske Centralbank 22 ,

under henvisning til udtalelse fra Regionsudvalget 23 ,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

1)I sin meddelelse om et enklere og hurtigere Europa 24 bebudede Kommissionen, at den ville forfølge et ambitiøst program med fremsynede, innovative politikker, som styrker Unionens konkurrenceevne og markant letter regelbyrden for borgere, virksomheder og forvaltninger, samtidig med at de højeste standarder for fremme af Unionens værdier opretholdes. Kommissionen prioriterede derfor forslaget om øjeblikkelige tilpasninger af lovgivningen, herunder den digitale lovgivning, for at imødegå Unionens udfordringer med konkurrenceevnen.

2)Unionens digitale lovgivning sætter høje standarder i Unionen og kan spille en vigtig rolle med hensyn til at give virksomheder, der overholder reglerne, en konkurrencefordel, og den tjener som verdens førende kvalitets-, sikkerheds- og pålidelighedsstempel. Digitale regler har udstukket klare spilleregler i Unionen for ansvarlige virksomheder, som sikrer retfærdighed og gennemsigtighed i relationer mellem virksomheder, stimulerer innovative forretningsmodeller og fastsætter høje standarder for forbrugerbeskyttelse og ‑sikkerhed samt for beskyttelse af grundlæggende rettigheder, ikke mindst privatlivets fred og databeskyttelse.

3)Unionens digitale lovgivning har udviklet sig gradvist i de seneste år som reaktion på de digitale teknologiers hastigt stigende betydning i Unionens økonomi og samfundsdynamik og med henblik på at imødegå nye udfordringer og fremme forretningsmuligheder i EU. Der behov for øjeblikkelige lovændringer, uanset Kommissionens tilsagn om en systematisk "stresstest" af de digitale regler sammen med andre EU-regler, hvilket kan føre til yderligere reguleringsmæssige tilpasninger, navnlig efter den kommende digitale kvalitetskontrol samt andre målrettede evalueringer af digitale regler. I denne forordning foreslås derfor et første sæt ændringer af den digitale lovgivningsramme, der har til formål at tilvejebringe øjeblikkelige reguleringsmæssige præciseringer, som stimulerer innovation på EU-markedet og reducerer de administrative overholdelsesomkostninger, navnlig for virksomheder, samtidig med at tilsynsmyndighedernes og de rådgivende organers tilsyns- og administrationsomkostninger strømlines. Ændringerne har også til formål at skabe klarhed for borgerne.

4)I betragtning af den grundlæggende rolle, som data spiller for værdiskabelse i den digitale økonomi, og i overensstemmelse med målene i meddelelsen om en strategi for en europæisk dataunion, har de ændringer, der fremlægges i denne forordning til den lovgivningsmæssige ramme for data, til formål at opbygge en sammenhængende og ensartet lovgivningsmæssig ramme for tilgængeligheden og anvendelsen af data ved at strømline og konsolidere den lovgivningsmæssige ramme for data til kun to retsakter, nemlig Europa-Parlamentets og Rådets forordning (EU) 2016/679 25 og (EU) 2023/2854 26 , i stedet for de nuværende fem forskellige retsakter. Ændringerne har til formål at reducere unødvendige administrative omkostninger og fremme tilgængeligheden af data som en forudsætning for at støtte konkurrencedygtige digitale virksomheder i Unionen, samtidig med at de højeste standarder for beskyttelse af privatlivets fred, beskyttelse af personoplysninger og fair forretningspraksis opretholdes, og der sikres centrale reguleringsmæssige mål, herunder overholdelse af EU's og den nationale konkurrencelovgivning.

5)I erkendelse af den iterative udvikling af horisontale og sektorspecifikke regler er det strengt nødvendigt også at afhjælpe de overlap i specifikke bestemmelser, der fører til unødvendig forøgelse af de administrative byrder. Dette er tilfældet med krav i flere forskellige regler om indberetning efter cybersikkerheds- og relaterede hændelser, hvor digitale løsninger, som foreslået i denne forordning, kan give virksomheder i alle berørte sektorer øjeblikkelig lettelse.

6)På samme måde har den iterative regulering af onlineplatforme over de seneste år medført, at nyere regler har etableret en klarere og mere ambitiøs ramme end nogle af de tidligere regler, som nu er forældede. Det er derfor nødvendigt, at den retlige ramme udvikler sig og eliminerer unødvendige overlapninger, der skaber juridisk kompleksitet.

7)I Europa-Parlamentets og Rådets forordning (EU) 2022/868 27 er der fastsat regler for formidlingsfunktioner i tre forskellige sammenhænge: a) funktioner, der understøtter videreanvendelse af beskyttede data, der opbevares af offentlige myndigheder, under kontrollerede forhold, b) dataformidlingstjenester, der letter datadeling mellem registrerede, dataindehavere og databrugere, og c) dataaltruistiske organisationer, der støtter anvendelsen af data, der stilles til rådighed af registrerede og dataindehavere på et altruistisk eller filantropisk grundlag. Funktioner til støtte for videreanvendelse af beskyttede data, som offentlige myndigheder er i besiddelse af, er tæt forbundet med reglerne i Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 28 . Samspillet mellem de to regelsæt har skabt forvirring, navnlig blandt offentlige myndigheder. Det er derfor nødvendigt at sammenlægge dem. Evalueringen af reglerne om dataformidlingstjenester har vist, at definitionen af dataformidlingstjenesteudbydere har svagheder, og at reglerne er alt for strenge til, at tjenesteudbydere kan finde en bæredygtig finansiel model. Det er derfor også nødvendigt at strømline ordningen. Med hensyn til dataaltruisme forekommer visse regler i forordning (EU) 2022/868, navnlig medlemsstaternes forpligtelse til at have nationale politikker for dataaltruisme, udarbejdelse af et regelsæt og udviklingen af en europæisk samtykkeformular for dataaltruisme, som unødvendig regulering, også i lyset af Det Europæiske Databeskyttelsesråds igangværende arbejde, jf. artikel 68 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 29 om vejledning i behandling af personoplysninger i forbindelse med videnskabelig forskning.

8)Selv om betydningen af dataformidlingstjenester anerkendes i forbindelse med mange initiativer til støtte for datadeling og -samarbejde, bør reglerne i forordning (EU) 2022/868 om dataformidlingstjenesteudbydere præciseres. Navnlig bør definitionen af sådanne udbydere gøres mere præcis ved at fjerne elementer, der kun tjente som illustrative eksempler og ikke som undtagelser. Desuden bør der rettes op på smuthuller som følge af tvetydige formuleringer, navnlig med hensyn til begrebet "lukket koncern". Tjenester bør ikke kunne registreres som dataformidlingstjenester, hvis de udelukkende anvendes af en lukket koncern, og hvis en eventuel udvidelse af denne koncern kun kan besluttes af koncernen selv og ikke af tjenesteudbyderen. Endnu vigtigere er det, at det har medført unødvendige overholdelsesomkostninger at underlægge dette nye marked en obligatorisk ordning. På dette stadium af markedsudviklingen forekommer det at være tilstrækkeligt med en frivillig ordning, der giver neutrale aktører mulighed for at skille sig ud fra andre aktører. For at bane vejen for bæredygtige forretningsmodeller bør ordningen også gøres mindre streng ved at afskaffe kravet om en retlig adskillelse mellem dataformidlingstjenester og andre værdiforøgende tjenester, som en tjeneste bør kunne tilbyde, og erstatte det med en funktionel adskillelse, samtidig med at visse garantier bevares. Den administrative overvågningsordning bør forenkles. I stedet for et nationalt og et EU-offentligt register for dataformidlingstjenesteudbydere og dataaltruistiske organisationer bør der kun være offentlige EU-registre, nemlig et for dataformidlingstjenesteudbydere og et andet for dataaltruistiske organisationer. De kompetente myndigheder, der fører tilsyn med tildelingen af mærket og enhedernes overholdelse af kravene for at opnå det, bør være uafhængige med hensyn til denne opgave. Dette bør forstås således, at de er juridisk og funktionelt uafhængige af en dataformidlingstjeneste eller en dataaltruistisk organisation, herunder på topledelsesniveau. Det bør være muligt for offentlige organisationer at yde finansiel støtte til dataformidlingstjenester eller dataaltruistiske organisationer, navnlig i betragtning af at der er tale om nye enheder, forudsat at de er juridisk adskilte enheder. For at sikre, at anerkendte enheder let kan identificeres i hele Unionen, har Kommissionen vedtaget gennemførelsesforordning (EU) 2023/1622 om udformning af fælles logoer til identifikation af dataformidlingstjenesteudbydere og dataaltruistiske organisationer, der er anerkendt i Unionen.

9)Forordning (EU) 2023/2854 fjerner hindringer for dataadgang og -anvendelse, fremmer datadreven innovation og konkurrenceevne og beskytter incitamenterne for dem, der investerer i datateknologier.

10)I henhold til kapitel II i forordning (EU) 2023/2854 skal dataindehavere stille data, herunder data, der er beskyttet som forretningshemmeligheder, til rådighed for brugere og deres udvalgte tredjeparter, forudsat at de fortrolighedsforanstaltninger, som dataindehaveren har fastsat, opretholdes. Dette krav om opretholdelse af fortrolighed supplerer Europa-Parlamentets og Rådets direktiv (EU) 2016/943 30 , som fastsætter standarden for beskyttelse af forretningshemmeligheder i Unionen. Videregivelse af forretningshemmeligheder til enheder i tredjelande kan imidlertid øge risiciene for deres integritet og fortrolighed, hvis der er eksponering for jurisdiktioner med utilstrækkelig beskyttelse eller vanskeligheder med deres faktiske håndhævelse, hvilket potentielt kan føre til uautoriseret brug, økonomisk skade og retsusikkerhed.

11)Det er nødvendigt at styrke forordning (EU) 2023/2854 ved at indføre en yderligere begrundelse for, at dataindehavere kan nægte at videregive forretningshemmeligheder, som supplerer de eksisterende bestemmelser, der tillader afslag, hvis dataindehaveren kan påvise en høj sandsynlighed for alvorlig økonomisk skade. I henhold til den nye bestemmelse kan dataindehavere nægte at videregive forretningshemmeligheder, hvis de påviser en høj risiko for ulovlig erhvervelse, brug eller videregivelse til enheder, der er omfattet af ordninger med utilstrækkelig beskyttelse, ikkeækvivalente eller svagere retlige rammer end de gældende EU-regler. Den nye bestemmelse omfatter også tilfælde, hvor tredjelandets retlige rammer i teorien er solide eller strengere end sådanne EU-regler, men hvor der i praksis mangler passende håndhævelse. Sådanne risici fremhæver muligheden for, at forretningshemmeligheder kan erhverves, anvendes eller videregives i strid med EU-retten, hvilket truer integriteten og fortroligheden af forretningshemmeligheder.

12)Det bør stadig være frivilligt at aktivere afslagsmekanismen, og påvisning bør kun foretages, når den er aktiveret. Dataindehavere bør ikke være forpligtet til at foretage en fuldstændig analyse eller påvisning af niveauet for beskyttelse af forretningshemmeligheder i tredjelande eller af en enhed i et tredjeland som en forudsætning for at kunne begrunde deres afslag på at dele data eller videregive forretningshemmeligheder. Dataindehavere kan i deres påvisning tage hensyn til forskellige faktorer, såsom utilstrækkelige eller mangelfulde retlige standarder, ringe eller vilkårlig håndhævelse, historiske overtrædelser, udenlandske oplysningsforpligtelser, der er i strid med EU-retten, begrænsede retsmidler for EU-enheder, strategisk misbrug af proceduremæssige taktikker til at underminere konkurrenter eller utilbørlig politisk indflydelse. I betragtning af de mange forskellige involverede enheder, tredjelande og datadelingsscenarier bør dataindehavere fokusere deres vurdering og påvisning på relevante risici og handle i overensstemmelse hermed, herunder ved at fastsætte passende garantier eller aktivere afslagsmekanismen. Afslag bør være klare, forholdsmæssige og tilpasset de specifikke omstændigheder i hver enkelt sag, i stedet for at blive anvendt systematisk eller generelt i et helt tredjeland.

13)En utilstrækkelig beskyttelse af forretningshemmeligheder og udfordringerne med at håndhæve dem i tredjelande kan forårsage uoprettelig skade for europæiske virksomheder. Målet er derfor at styrke beskyttelsen af forretningshemmeligheder ved at forhindre, at de lækkes til fysiske eller juridiske personer, der er etableret i eller underlagt jurisdiktioner, der udgør sådanne risici. Dette omfatter enheder i EU, der kontrolleres af enheder i tredjelande, som kan handle i ond tro eller fungere som stråmænd for enheder i tredjelande. Desuden er målet at afværge direkte eksponering for tredjelandsenheder, der opererer i Unionen, og som er underlagt sådanne jurisdiktioner. At være underlagt et tredjelands jurisdiktion betyder, at den fysiske eller juridiske person er retligt reguleret, kontrolleret eller på anden måde bundet af et tredjelands lovgivning eller regulerende myndighed. Datterselskaber eller associerede selskaber af moderselskaber i tredjelande kan udnytte disse jurisdiktioner til at unddrage sig eller omgå EU-lovgivningen. Direkte eller indirekte kontrol henviser til evnen til at udøve afgørende eller bestemmende indflydelse på en anden enheds ledelse eller strategiske beslutninger, enten gennem ejerskab af kapital eller stemmerettigheder, finansiel deltagelse, kontraktlige ordninger eller formidlende enheder. Kontrol kan udøves direkte eller på anden måde, selv uden majoritetsejerskab. Dataindehavere bør gøre deres yderste for at indhente de relevante oplysninger, hvilket kan omfatte søgninger i offentlige registre eller direkte anmodning herom fra brugeren eller tredjeparten, samtidig med at det sikres, at dette fortsat ikke er indgribende.

14)Beskyttelse af forretningshemmeligheder mod disse sårbarheder er afgørende for, at europæiske virksomheder kan opretholde deres markedsposition og konkurrencefordel. Selv om dataindehavere kan udøve skøn ved beskyttelsen af deres forretningshemmeligheder, bør afslag på at dele data begrænses til begrundede, ekstraordinære omstændigheder for fortsat at opfylde målene i forordning (EU) 2023/2854 om at fremme datadreven innovation og en blomstrende digital økonomi i Unionen. Der bør fortsat være garantier mod misbrug af afslagsmekanismen, herunder dataindehaverens forpligtelse til på behørig og begrundet vis at påvise, at videregivelse udgør en høj risiko, samt til at underrette de kompetente myndigheder. Dette bør gives skriftligt uden unødig forsinkelse til brugeren eller tredjeparten og stå i et rimeligt forhold til omstændighederne i den konkrete sag. Alle involverede parter bør behandle afgørelsen og den tilhørende dokumentation som fortrolige for at opretholde de pågældende forretningshemmeligheders fortrolige karakter. Brugere og tredjeparter kan, alt efter omstændighederne, anfægte dataindehaverens afgørelse over for den kompetente myndighed, ved domstolene eller gennem tvistbilæggelsesorganer.

15)For at forenkle rammen for datadeling mellem virksomheder og myndigheder i henhold til forordning (EU) 2023/2854 og for at præcisere uklarheder, der tidligere pålagde virksomheder bredere forpligtelser, er det nødvendigt at indsnævre anvendelsesområdet for nævnte forordnings kapitel V fra "ekstraordinære behov" til "offentlige nødsituationer". Begrebet "offentlige nødsituationer", som er defineret i artikel 2, nr. 29), i forordning (EU) 2023/2854, sikrer således, at de forpligtelser, der er fastsat i nævnte kapitel, kun påberåbes i veldefinerede nødsituationer, hvilket mindsker de tekniske, administrative og retlige udfordringer, som virksomheder stod over for under den tidligere ordning. Dette vil sikre, at dataanmodninger er relevante og forholdsmæssige i forhold til at reagere på, afbøde eller støtte genopretningen efter offentlige nødsituationer. Da den ajourførte EU-ramme for europæiske statistikker i henhold til Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 31 ikke omfatter offentlige nødsituationer, er det vigtigt at bevare de officielle statistikkers rolle i henhold til kapitel V i forordning (EU) 2023/2854 for at sikre klarhed og effektivitet i sådanne situationer. Det er også nødvendigt at præcisere kompensationsordningen for situationer, hvor mikrovirksomheder og små virksomheder er forpligtet til at levere data for at håndtere en offentlig nødsituation, i hvilket tilfælde sådanne virksomheder har ret til at kræve kompensation.

16)For at mindske den retlige usikkerhed, der kan stå i vejen for innovative forretningsmodeller, er det nødvendigt at afhjælpe de betydelige overholdelsesmæssige tvetydigheder og byrder, der er forbundet med bestemmelserne om intelligente kontrakter, der gennemfører datadelingsaftaler i henhold til artikel 36 i forordning (EU) 2023/2854. Manglen på harmoniserede standarder og klare definitioner af nøglebegreber såsom "robusthed", "adgangskontrol" og "overensstemmelse med aftalevilkår", kombineret med kravet om en "sikker afslutnings- eller afbrydelsesmekanisme", der potentielt er uforenelig med decentraliseret eller offentlig blockchainarkitektur, der bygger på uforanderlige ledgers, har udfordret innovatorer med hensyn til omkostninger og muligheder. Desuden risikerer uklarheden omkring udførelsen af overensstemmelsesvurderingen i henhold til nævnte forordnings artikel 36, stk. 2, at pålægge uforholdsmæssige byrder. Fjernelsen af artikel 36 i forordning (EU) 2023/2854 vil derfor fremme udviklingen og markedsintroduktionen af nye forretningsmodeller, fremme innovation og reducere barrierer for nye teknologier.

17)Visse databehandlingstjenester, som ikke falder ind under leveringsmodellen "infrastruktur som en tjeneste" (IaaS), er skræddersyet til en kundes behov eller økosystem. Leveringen af sådanne databehandlingstjenester er baseret på tidskrævende førkontraktlige og kontraktlige forhandlinger for at fastlægge kundens specifikke krav samt efterfølgende tekniske bestræbelser på at tilpasse databehandlingstjenesten og levere en skræddersyet løsning. Der er tale om tjenester, der ikke leveres som standardløsninger, og som er tilpasset en kundes behov for at levere en skræddersyet løsning, hvor størstedelen af databehandlingstjenestens funktioner og funktionaliteter er blevet tilpasset af udbyderen til kundens specifikke behov, og hvor størstedelen af funktionerne og funktionaliteterne ikke ville være anvendelige for en kunde uden forudgående tilpasning fra udbyderens side. Disse tjenester adskiller sig fra skræddersyede databehandlingstjenester, som omhandlet i artikel 31, stk. 1, i forordning (EU) 2023/2854. Skræddersyede databehandlingstjenester er tjenester, hvis vigtigste elementer for størstedelens vedkommende er skræddersyet til at imødekomme en individuel kundes specifikke behov, eller hvor disse databehandlingstjenester ikke tilbydes i stor kommerciel målestok via udbyderens tjenestekatalog. For at undgå yderligere omkostninger og administrative byrder i forbindelse med behovet for at genåbne og genforhandle kontrakter, der er indgået senest den 12. september 2025, er det nødvendigt at præcisere, at med undtagelse af forpligtelsen til at reducere og i sidste ende fjerne gebyrer for skift og udgående dataoverførsel, bør skræddersyede tjenester, der leveres i henhold til kontrakter, der er indgået senest den 12. september 2025, ikke være omfattet af anvendelsesområdet for kapitel VI i forordning (EU) 2023/2854.

18)Af hensyn til finansiel planlægning og for at tiltrække investeringer kan udbydere af databehandlingstjenester, især SMV'er og SMC'er, foretrække og tilbyde kontrakter af en bestemt varighed. Det er nødvendigt at præcisere, at udbydere af databehandlingstjenester kan medtage bestemmelser om forholdsmæssige sanktioner for førtidig opsigelse i disse kontrakter, så længe de ikke udgør en hindring for skift. Desuden er behovet for at tilpasse eksisterende kontrakter om levering af databehandlingstjenester til forordning (EU) 2023/2854 særligt byrdefuldt for leverandører af databehandlingstjenester, der er SMV'er eller SMC'er. Det er derfor nødvendigt at indføre en særlig ordning for disse udbydere, hvis de leverer andre databehandlingstjenester end IaaS på grundlag af kontrakter, der er indgået senest den 12. september 2025. Under hensyntagen til formålet med forordning (EU) 2023/2854 om at muliggøre skift mellem databehandlingstjenester, og i betragtning af at gebyrer for skift, herunder gebyret for udgående dataoverførsel, udgør en alvorlig hindring for skift, bør de nye lempeligere ordninger for databehandlingstjenester, der er skræddersyede eller leveres af SMV'er eller SMC'er, ikke underminere den gradvise afskaffelse af disse gebyrer. Aftalevilkår, der strider mod dette mål, bør anses for aldrig at have eksisteret, hvis de indgår i aftaler om levering af tjenesteydelser, der er omfattet af disse to nye specifikke ordninger.

19)Europa-Parlamentets og Rådets forordning (EU) 2018/1807 32 indførte et centralt princip til støtte for den datadrevne økonomi i Unionen, som konkret understøtter etableringsfriheden og friheden til at levere tjenesteydelser. "Fri udveksling af data" i Unionen, som præciseres gennem forbuddet mod at indføre datalokalisering, er fortsat et grundlæggende princip, der giver virksomhederne retssikkerhed, og bør bevares i forordning (EU) 2023/2854. Bestemmelsen berører ikke databehandlingen, for så vidt som den foretages som led i en aktivitet, der falder uden for EU-rettens anvendelsesområde, navnlig med hensyn til national sikkerhed, i overensstemmelse med artikel 4 i traktaten om Den Europæiske Union. Samtidig erstattes andre bestemmelser i forordning (EU) 2018/1807 af nyere regler. Navnlig indførte kapitel VI i forordning (EU) 2023/2854 en moderne horisontal retlig ramme for skift mellem databehandlingstjenester og betød, at artikel 6 i forordning (EU) 2018/1807 praktisk taget blev overflødig. Kravet om, at de skal overholde disse bestemmelser, har øget den juridiske kompleksitet for virksomhederne. Forordning (EU) 2018/1807 bør derfor ophæves.

20)Begrebet "den offentlige sikkerhed", som omhandlet i artikel 52 i TEUF og som fortolket af Domstolen, omfatter både den interne og eksterne sikkerhed i en medlemsstat samt spørgsmål vedrørende offentlig tryghed med henblik på navnlig at fremme efterforskning, afsløring og retsforfølgelse af strafbare handlinger. Det forudsætter, at der foreligger en reel og tilstrækkelig alvorlig trussel, der påvirker en af de grundlæggende samfundsinteresser, såsom en trussel for driften af institutionerne og de livsvigtige offentlige tjenester og for befolkningens overlevelse samt risikoen for en alvorlig forstyrrelse af de internationale relationer eller af nationers fredelige sameksistens, eller en trussel mod militære interesser. I overensstemmelse med proportionalitetsprincippet bør dataplaceringskrav, der er begrundet i hensynet til den offentlige sikkerhed, være egnede til at nå det tilsigtede mål og ikke gå ud over, hvad der er nødvendigt for at nå dette mål.

21)Både direktiv (EU) 2019/1024 og kapitel II i forordning (EU) 2022/868 regulerer videreanvendelse af den offentlige sektors informationer til innovationsformål. Samspillet mellem de to regelsæt har skabt retlig usikkerhed, hovedsagelig for offentlige myndigheder. Samling af reglerne i én retsakt er derfor nødvendigt for at skabe yderligere retlig sammenhæng og klarhed.

22) Eftersom både direktiv (EU) 2019/1024 og forordning (EU) 2022/868 har til formål at fremme videreanvendelsen af den offentlige sektors informationer, og for at forenkle reglerne set fra både offentlige myndigheders og videreanvenderes perspektiv, er det hensigtsmæssigt at ophæve direktiv (EU) 2019/1024 og forordning (EU) 2022/868, at tilpasse de to ordninger og samle reglerne i et enkelt kapitel under denne forordning. Denne løsning vil øge harmoniseringen af disse regler i hele Unionen, mindske den administrative byrde i forbindelse med fortolkning og gennemførelse af national lovgivning og gøre det lettere for virksomheder at udvikle grænseoverskridende tjenesteydelser og produkter. Når medlemsstaterne udpeger kompetente organer, bør de sikre, at alle relevante sektorer i sidste ende er dækket, selv hvis der udpeges sektorspecifikke kompetente organer. Ændringerne i denne forordning bør forstås således, at de ikke ændrer fortolkningen af de forskellige definitioner og udtryk, medmindre dette er klart angivet.

23)Data og dokumenter, der kan gøres offentligt tilgængelige med henblik på videreanvendelse, og data og dokumenter, der er beskyttet af hensyn til kommerciel fortrolighed, herunder forretnings-, erhvervs- og virksomhedshemmeligheder, statistisk fortrolighed, beskyttelse af tredjeparters intellektuelle ejendomsrettigheder eller beskyttelse af personoplysninger, opbevares ofte af de samme offentlige myndigheder. Det er derfor nødvendigt at tilpasse definitioner og fælles principper, der gælder for alle offentlige informationer, og behandle spørgsmål vedrørende samspillet mellem de to regelsæt.

24)De eksisterende regler bør forenkles for at øge klarheden og sammenhængen. Ikke desto mindre bør de to videreanvendelsesordninger forblive adskilte, og deres respektive anvendelsesområder bør fortsat afhænge af dataenes eller dokumenternes karakteristika og konteksten for deres videreanvendelse. Offentlige myndigheder bør anvende ordningen for åbne data, når det er muligt. Kun hvis de fastslår, at data eller et dokument indeholder oplysninger, der svarer til visse kategorier af beskyttede data, bør de begrænse deres offentlige tilgængelighed og overveje at gøre dem tilgængelige for videreanvendelse som beskyttede data.

25)Opstartsvirksomheder, små virksomheder, virksomheder, der er mellemstore virksomheder i henhold til artikel 2 i bilaget til henstilling 2003/361/EF 33 , og virksomheder fra sektorer med mindre udviklet digital kapacitet har svært ved at videreanvende data og dokumenter. Samtidig er der dukket et lille antal meget store enheder op, som har opnået betydelig økonomisk magt i den digitale økonomi gennem akkumulering og aggregering af enorme mængder data, og som har den teknologiske infrastruktur til at udnytte dataene kommercielt. Disse meget store virksomheder omfatter virksomheder, der udbyder centrale platformtjenester og er udpeget som gatekeepere i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/1925 34 og er underlagt særlige forpligtelser for at afhjælpe ubalancerne. For at rette op på disse ubalancer og styrke konkurrence og innovation bør offentlige myndigheder kunne indføre særlige betingelser i licenser vedrørende meget store virksomheders videreanvendelse af data og dokumenter. Sådanne betingelser bør være forholdsmæssige og baseret på objektive kriterier, idet der tages hensyn til virksomhedens økonomiske styrke, evne til at erhverve data eller udpegelse som gatekeeper i henhold til forordning (EU) 2022/1925 samt andre relevante kriterier, hvor det er relevant. Sådanne særlige betingelser kan bl.a. vedrøre gebyrer og afgifter eller formålene med videreanvendelsen.

26)Med henblik på at fremme innovation og opretholde fair konkurrence på Unionens digitale marked er det bydende nødvendigt at sikre, at adgang til og videreanvendelse af den offentlige sektors data gavner en bred vifte af markedsdeltagere og ikke utilsigtet styrker eksisterende dominerende stillinger. Meget store virksomheder, og navnlig virksomheder, der er udpeget som gatekeepere i henhold til forordning (EU) 2022/1925, har betydelig magt og indflydelse på det indre marked. For at forhindre sådanne enheder i at udnytte deres betydelige midler til skade for fair konkurrence og innovation bør offentlige myndigheder kunne fastsætte højere afgifter og gebyrer for videreanvendelse af åbne offentlige data og beskyttede data. Sådanne højere afgifter og gebyrer bør være forholdsmæssige og baseret på objektive kriterier under hensyntagen til enhedens økonomiske styrke og evne til at indhente data. Denne foranstaltning har til formål at sikre mindre virksomheders og nye markedsdeltageres muligheder for at innovere og konkurrere i den digitale økonomi.

27)I denne forordning foreslås en række målrettede ændringer af forordning (EU) 2016/679 med henblik på præcisering og forenkling, samtidig med at det samme databeskyttelsesniveau bevares. Det fremgår af artikel 4 i forordning (EU) 2016/679, at der ved personoplysninger forstås "enhver form for information om en identificeret eller identificérbar fysisk person". For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse til direkte eller indirekte at identificere den fysiske person. Under hensyntagen til Den Europæiske Unions Domstols retspraksis vedrørende definitionen af personoplysninger er det nødvendigt at skabe yderligere klarhed om, hvornår en fysisk person bør anses for at være identificerbar. Eksistensen af yderligere oplysninger, der gør det muligt at identificere den registrerede, betyder ikke i sig selv, at pseudonymiserede oplysninger i alle tilfælde og for enhver person eller enhed skal anses for at udgøre personoplysninger med henblik på anvendelsen af forordning (EU) 2016/679. Det bør navnlig præciseres, at oplysninger ikke skal betragtes som personoplysninger for en given enhed, hvis den pågældende enhed ikke har midler, der med rimelighed kan tænkes anvendt til at identificere den fysiske person, som oplysningerne vedrører. En potentiel efterfølgende videregivelse af disse oplysninger til tredjeparter, der har midler, der med rimelighed gør det muligt for dem at identificere den fysiske person, som oplysningerne vedrører, såsom krydstjek med andre data, som de har til rådighed, gør kun disse oplysninger til personoplysninger for de tredjeparter, der har sådanne midler til rådighed. En enhed, for hvilken oplysningerne ikke er personoplysninger, er i princippet ikke omfattet af anvendelsesområdet for forordning (EU) 2016/679. I denne henseende har Den Europæiske Unions Domstol fastslået, at et middel ikke med rimelighed kan tænkes bragt i anvendelse til at identificere den registrerede, når identificeringen af denne person er forbudt ved lov eller praktisk ugennemførlig, f.eks. på grund af det forhold, at den vil indebære en større indsats i tid, omkostninger og arbejde, således at risikoen for en identificering i virkeligheden synes ubetydelig. Et eksempel på et forbud mod genidentifikation findes i sundhedsdatabrugernes forpligtelser i artikel 61, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2025/327 35 . Kommissionen bør sammen med Det Europæiske Databeskyttelsesråd støtte de dataansvarlige i anvendelsen af denne ajourførte definition ved at fastsætte tekniske kriterier i en gennemførelsesretsakt.

28)For at vurdere, om forskning opfylder betingelserne for at være videnskabelig forskning med henblik på denne forordning, kan der tages hensyn til elementer såsom den metodiske og systematiske tilgang, der anvendes under udførelsen af forskningen på det specifikke område. Forskning og teknologisk udvikling bør gennemføres i akademiske, industrielle og andre sammenhænge, herunder små og mellemstore virksomheder (artikel 179, stk. 2, i TEUF), og bør altid være af høj kvalitet og overholde principperne om pålidelighed, ærlighed, respekt og ansvarlighed (verificerbarhed).

29)Det bør gentages, at viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter. I sådanne tilfælde er det ikke nødvendigt på grundlag af artikel 6, stk. 4, i denne forordning at fastslå, om formålet med den videre behandling er foreneligt med det formål, hvortil personoplysningerne oprindeligt blev indsamlet.

30)Pålidelig kunstig intelligens er afgørende for at skabe økonomisk vækst og støtte innovation med socialt gavnlige resultater. Udviklingen og anvendelsen af AI-systemer og de underliggende modeller, såsom store sprogmodeller og generative videomodeller, er baseret på data, herunder personoplysninger, i forskellige faser af AI-livscyklussen, såsom trænings-, test- og valideringsfasen, og kan i nogle tilfælde blive lagret i AI-systemet eller AI-modellen. Behandlingen af personoplysninger i denne sammenhæng kan derfor foretages med henblik på en legitim interesse som omhandlet i artikel 6 i forordning (EU) 2016/679, hvor det er relevant. Dette berører ikke den dataansvarliges forpligtelse til at sikre, at udviklingen eller anvendelsen (ibrugtagningen) af AI i en specifik sammenhæng eller til specifikke formål er i overensstemmelse med anden EU-ret eller national ret, eller til at sikre overholdelse, hvis anvendelsen heraf udtrykkeligt er forbudt ved lov. Dette berører heller ikke den dataansvarliges forpligtelse til at sikre, at alle andre betingelser i artikel 6, stk. 1, litra f), i forordning (EU) 2016/679 samt alle andre krav og principper i nævnte forordning er opfyldt.

31)Når den dataansvarlige i lyset af den risikobaserede tilgang, der ligger til grund for skalerbarheden af forpligtelserne i henhold til denne forordning, afvejer den legitime interesse, som den dataansvarlige eller en tredjepart forfølger, og den registreredes interesser, rettigheder og frihedsrettigheder, bør det overvejes, om den interesse, der forfølges af den dataansvarlige, er til gavn for den registrerede og samfundet som helhed, hvilket f.eks. kan være tilfældet, hvis behandlingen af personoplysninger er nødvendig for at opdage og fjerne forudindtagethed og dermed beskytte registrerede mod forskelsbehandling, eller hvis behandlingen af personoplysninger har til formål at sikre nøjagtige og sikre resultater til et gavnlig formål, f.eks. for at forbedre adgangen til visse tjenester. Der bør bl.a. også tages hensyn til de registreredes rimelige forventninger på grundlag af deres forhold til den dataansvarlige, passende garantier for at minimere indvirkningen på registreredes rettigheder, såsom øget gennemsigtighed for registrerede, ubetinget ret til at gøre indsigelse mod behandlingen af deres personoplysninger, respekt for tekniske indikationer, der er indbygget i en tjeneste og begrænser tredjeparters anvendelse af data til AI-udvikling, anvendelse af andre avancerede teknikker til beskyttelse af privatlivets fred til AI-træning og passende tekniske foranstaltninger til effektivt at minimere risici som følge af f.eks. mekanisk gengivelse af data ("regurgitation"), datalækage og andre tilsigtede eller forudsigelige handlinger.

32)Behandlingen af personoplysninger til videnskabelige forskningsformål og anvendelsen af databeskyttelsesforordningens bestemmelser om videnskabelig forskning er betinget af, at der vedtages passende garantier for de registreredes rettigheder og frihedsrettigheder i henhold til artikel 89, stk. 1, i GDPR. Med henblik herpå afvejer GDPR retten til beskyttelse af personoplysninger i henhold til artikel 8 i chartret om grundlæggende rettigheder med forskningsfriheden i henhold til artikel 13 i chartret om grundlæggende rettigheder. Behandling af personoplysninger med henblik på videnskabelig forskning forfølger derfor en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning (EU) 2016/679, forudsat at en sådan forskning ikke er i strid med EU-retten eller medlemsstaternes lovgivning. Dette berører ikke den dataansvarliges forpligtelse til at sikre, at alle andre betingelser i artikel 6, stk. 1, litra f), i forordning (EU) 2016/679 samt alle andre krav og principper i nævnte forordning er opfyldt.

33)Udviklingen af visse AI-systemer og AI-modeller kan indebære indsamling af store mængder data, herunder personoplysninger og særlige kategorier heraf. Særlige kategorier af personoplysninger kan forblive i trænings-, test- eller valideringsdatasæt eller blive lagret i AI-systemet eller AI-modellen, selv om de særlige kategorier af personoplysninger ikke er nødvendige til behandlingsformålet. For ikke uforholdsmæssigt at hindre udviklingen og driften af AI og under hensyntagen til den dataansvarliges evne til at identificere og fjerne særlige kategorier af personoplysninger, bør det være tilladt at fravige forbuddet mod behandling af særlige kategorier af personoplysninger i artikel 9, stk. 2, i forordning (EU) 2016/679. Undtagelsen bør kun finde anvendelse, hvis den dataansvarlige har gennemført passende tekniske og organisatoriske foranstaltninger på en effektiv måde for at undgå behandling af disse data, træffer passende foranstaltninger i hele livscyklussen for et AI-system eller en AI-model og effektivt fjerner dem, når sådanne data identificeres. Hvis fjernelse vil kræve en uforholdsmæssig stor indsats, navnlig hvis fjernelsen af særlige kategorier af data, der er lagret i AI-systemet eller AI-modellen, vil kræve en omlægning af AI-systemet eller AI-modellen, bør den dataansvarlige effektivt beskytte sådanne data mod at blive anvendt til at udlede output, blive videregivet eller på anden måde stillet til rådighed for tredjeparter. Denne undtagelse bør ikke finde anvendelse, hvis behandlingen af særlige kategorier af personoplysninger er nødvendig til formålet med behandlingen. I dette tilfælde bør den dataansvarlige påberåbe sig undtagelserne i artikel 9, stk. 2, litra a)-j), i forordning (EU) 2016/679.

34)Biometriske data, som defineret i artikel 4, nr. 14), i forordning (EU) 2016/679, betyder behandling vedrørende visse karakteristika ved en fysisk person ved hjælp af et specifikt teknisk middel, som muliggør eller bekræfter en entydig identifikation af vedkommende. Begrebet biometriske data omfatter to forskellige funktioner, nemlig identifikation af en fysisk person eller verifikation (også kaldet autentifikation) af dennes påståede identitet, som begge er baseret på forskellige tekniske processer. Identifikationsprocessen er baseret på en "en-til-mange"-søgning af den registreredes biometriske data i en database, mens verifikationsprocessen er baseret på en "en-til-en"-sammenligning af biometriske data, som den registrerede har afgivet, og hvorved vedkommende gør sin identitet gældende. Det bør også være tilladt at fravige forbuddet mod at behandle biometriske data i henhold til forordningens artikel 9, stk. 1, hvis verifikation af den registreredes påståede identitet er nødvendig for et formål, der forfølges af den dataansvarlige, og der gælder passende garantier, som sikrer, at den registrerede har enekontrol over verifikationsprocessen. Hvis de biometriske data f.eks. udelukkende lagres sikkert hos den registrerede eller lagres sikkert hos den dataansvarlige i en avanceret krypteret form, og krypteringsnøglen eller tilsvarende midler udelukkende opbevares af den registrerede, vil denne behandling sandsynligvis ikke medføre betydelige risici for vedkommendes grundlæggende rettigheder og frihedsrettigheder. Den dataansvarlige får ikke kendskab til de biometriske data eller kun i en meget begrænset periode under verifikationsprocessen.

35)Artikel 15 i forordning (EU) 2016/679 giver den registrerede ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne samt visse yderligere oplysninger. Retten til indsigt bør gøre det muligt for den registrerede at få kendskab til og kontrollere lovligheden af behandlingen og sætte vedkommende i stand til at udøve sine øvrige rettigheder i henhold til forordning (EU) 2016/679. Det bør derimod præciseres i forordningens artikel 12, at retten til indsigt, der først og fremmest er til fordel for de registrerede, ikke bør misbruges i den forstand, at de registrerede anvender den til andre formål end beskyttelse af deres oplysninger. Et sådant misbrug af retten til indsigt kan f.eks. foreligge, hvis den registrerede har til hensigt at få den dataansvarlige til at afslå en anmodning om indsigt for derefter at kræve erstatning, eventuelt under trussel om at anlægge et erstatningskrav. Andre eksempler på misbrug omfatter situationer, hvor registrerede gør overdreven brug af retten til indsigt med det ene formål at skade den dataansvarlige, eller når en person fremsætter en anmodning, men samtidig tilbyder at trække den tilbage mod en eller anden form for ydelse fra den dataansvarlige. For at holde deres byrde på et rimeligt niveau bør de dataansvarlige desuden have en lavere bevisbyrde med hensyn til en anmodnings overdrevne karakter end med hensyn til en anmodnings åbenbart grundløse karakter. Grunden hertil er, at en anmodnings åbenbart grundløse karakter afhænger af faktiske omstændigheder, der hovedsageligt ligger inden for den dataansvarliges ansvarsområde, mens en anmodnings overdrevne karakter vedrører en registrerets mulige misbrug, som primært ligger uden for den dataansvarliges ansvarsområde, og derfor vil den dataansvarlige muligvis kun være i stand til at bevise et sådant misbrug i et rimeligt omfang. Under alle omstændigheder bør den registrerede, når vedkommende anmoder om indsigt i henhold til artikel 15 i forordning (EU) 2016/679, være så specifik som muligt. Alt for brede og udifferentierede anmodninger bør også betragtes som overdrevne.

36)I henhold til artikel 13 i forordning (EU) 2016/679 skal den dataansvarlige give den registrerede visse oplysninger om behandlingen af vedkommendes personoplysninger samt visse yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, som defineret i nævnte bestemmelses stk. 1, 2 og 3. I henhold til artikel 13, stk. 4, i forordning (EU) 2016/679 finder denne forpligtelse ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne. For yderligere at mindske den dataansvarliges byrde uden at underminere den registreredes muligheder for at udøve sine rettigheder i henhold til forordningens kapitel III, bør denne undtagelse udvides til situationer, hvor behandlingen ikke sandsynligvis vil medføre en høj risiko, jf. forordningens artikel 35, og der er rimelig grund til at antage, at den registrerede allerede er bekendt med de oplysninger, der er omhandlet i stk. 1, litra a) og c), i lyset af den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige. Dette bør være de situationer, hvor sammenhængen i forholdet mellem den dataansvarlige og den registrerede er meget klar og afgrænset, og den dataansvarliges aktivitet ikke er dataintensiv, såsom forholdet mellem en håndværker og dennes kunder, hvor omfanget af behandlingen er begrænset til det minimum af oplysninger, der er nødvendigt for at udføre arbejdet. Den dataansvarliges aktivitet er ikke dataintensiv, når denne indsamler en lille mængde personoplysninger, og dennes behandlingsaktiviteter ikke er komplekse, hvilket f.eks. ikke er tilfældet på beskæftigelsesområdet. Under sådanne omstændigheder, dvs. når behandlingen ikke er dataintensiv eller kompleks, og når den dataansvarlige indsamler en lille mængde personoplysninger, bør det f.eks. være rimeligt at forvente, at den registrerede har oplysninger om den dataansvarliges identitet og kontaktoplysninger samt om formålet med behandlingen, når denne behandling foretages med henblik på opfyldelse af en kontrakt, som den registrerede er part i, eller når den registrerede har givet sit samtykke til denne behandling i overensstemmelse med kravene i forordning (EU) 2016/679. Det samme bør gælde for foreninger og sportsklubber, hvor behandlingen af personoplysninger er begrænset til forvaltning af medlemskab, kommunikation med medlemmer og tilrettelæggelse af aktiviteter. Denne undtagelse fra forpligtelserne i artikel 13 berører ikke den dataansvarliges uafhængige forpligtelser i henhold til artikel 15 i nævnte forordning, som finder anvendelse, hvis den registrerede anmoder om indsigt på grundlag af sidstnævnte bestemmelse. Hvis undtagelsen fra forpligtelserne i artikel 13 ikke finder anvendelse, kan de dataansvarlige, for at afveje behovet for fuldstændighed og letforståelighed for den registrerede, anvende en lagdelt tilgang, når de giver de krævede oplysninger, navnlig ved at give brugerne mulighed for at navigere til yderligere oplysninger.

37)Hvis behandlingen finder sted med henblik på videnskabelig forskning, og det viser sig at være umuligt eller vil kræve en uforholdsmæssig stor indsats at underrette den registrerede, bør det ikke være nødvendigt at give de oplysninger, der er omhandlet i denne forordnings artikel 13. Den dataansvarlige bør gøre en rimelig indsats for at indhente kontaktoplysninger, hvis de er let tilgængelige, og det ikke vil kræve en uforholdsmæssig stor indsats at indhente dem. Indhentning af oplysningerne vil navnlig kræve en uforholdsmæssig stor indsats, hvis den dataansvarlige på tidspunktet for indsamlingen af personoplysningerne ikke vidste eller forventede, at vedkommende ville behandle personoplysninger til videnskabelige forskningsformål på et senere tidspunkt, i hvilket tilfælde den dataansvarlige måske ikke har let tilgængelige kontaktoplysninger om de registrerede. I sådanne situationer bør den dataansvarlige informere de registrerede indirekte, f.eks. ved at gøre oplysningerne offentligt tilgængelige. Den dataansvarlige bør i den forbindelse sikre, at denne når ud til så mange berørte registrerede som muligt. De relevante midler til at gøre oplysningerne offentligt tilgængelige bør afhænge af forskningsprojektets kontekst og de pågældende registrerede.

38)Artikel 22 i forordning (EU) 2016/679 fastsætter regler for behandling af personoplysninger, når den dataansvarlige træffer afgørelser, der har retsvirkning eller på tilsvarende vis betydeligt påvirker den registrerede, og som alene er baseret på automatiseret behandling. For at skabe større retssikkerhed bør det præciseres, at afgørelser, der alene er baseret på automatiseret behandling, er tilladt, når specifikke betingelser er opfyldt, jf. forordning (EU) 2016/679. Det bør også præciseres, at det ved vurderingen af, om en afgørelse er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig, jf. artikel 22, stk. 2, litra a), i forordning (EU) 2016/679, ikke bør kræves, at afgørelsen kun kan træffes ved udelukkende automatiseret behandling. Det betyder, at det forhold, at afgørelsen også kan træffes af et menneske, ikke forhindrer den dataansvarlige i at træffe afgørelsen udelukkende ved automatiseret behandling. Hvis der findes flere lige så effektive automatiserede behandlingsløsninger, bør den dataansvarlige anvende den mindst indgribende løsning.

39)For at mindske byrden for de dataansvarlige og samtidig sikre, at tilsynsmyndighederne har adgang til de relevante oplysninger og kan gribe ind over for overtrædelser af forordningen, bør tærsklen for anmeldelse af et brud på persondatasikkerheden til tilsynsmyndigheden i henhold til artikel 33 i forordning (EU) 2016/679 tilpasses tærsklen for underretning om brud på persondatasikkerheden til den registrerede i henhold til nævnte forordnings artikel 34. Ved brud på datasikkerheden, der sandsynligvis ikke vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, bør den dataansvarlige ikke være forpligtet til at underrette den kompetente tilsynsmyndighed. Den højere tærskel for anmeldelse af et brud på datasikkerheden til tilsynsmyndigheden berører ikke den dataansvarliges forpligtelse til at dokumentere bruddet i overensstemmelse med artikel 33, stk. 5, i forordning (EU) 2016/679 eller dennes forpligtelse til at kunne påvise sin overholdelse af nævnte forordning i overensstemmelse med forordningens artikel 5, stk. 2. For at lette dataansvarliges overholdelse og en harmoniseret tilgang i Unionen bør Databeskyttelsesrådet udarbejde en fælles model for anmeldelse af brud på datasikkerheden til den kompetente tilsynsmyndighed og en fælles liste over omstændigheder, hvor et brud på persondatasikkerheden sandsynligvis vil medføre en høj risiko for en fysisk persons rettigheder og frihedsrettigheder. Kommissionen bør tage behørigt hensyn til det forslag, som Databeskyttelsesrådet har udarbejdet, og om nødvendigt revidere det inden vedtagelsen. For at tage hensyn til nye informationssikkerhedstrusler bør den fælles model og listen gennemgås mindst hvert tredje år og ajourføres om nødvendigt. Selv om der ikke findes en fælles liste over omstændigheder, hvor et brud på persondatasikkerheden sandsynligvis vil medføre en høj risiko for en fysisk persons rettigheder og frihedsrettigheder, bør de dataansvarlige stadig være forpligtet til at underrette om disse brud.

40)Artikel 35 i forordning (EU) 2016/679 pålægger dataansvarlige at foretage en konsekvensanalyse vedrørende databeskyttelse, hvis behandlingen af personoplysninger sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. De tilsynsmyndigheder, der er oprettet i henhold til nævnte forordning, skal udarbejde og offentliggøre en liste over de typer behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse. Desuden fastsættes det i forordningen, at tilsynsmyndighederne kan udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse. For effektivt at bidrage til målet om konvergens mellem økonomierne og effektivt sikre fri udveksling af personoplysninger mellem medlemsstaterne, øge retssikkerheden, lette dataansvarliges overholdelse og sikre en harmoniseret fortolkning af begrebet høj risiko for registreredes rettigheder og frihedsrettigheder, bør der udarbejdes en fælles liste over behandlingsaktiviteter på EU-plan til erstatning for de eksisterende nationale lister. Desuden bør offentliggørelsen af en liste over de typer behandlingsaktiviteter, for hvilke der ikke kræves en konsekvensanalyse vedrørende databeskyttelse, som i øjeblikket er frivillig, gøres obligatorisk. Listerne over behandlingsaktiviteter bør udarbejdes af Databeskyttelsesrådet og vedtages af Kommissionen som en gennemførelsesretsakt. For at lette dataansvarliges overholdelse bør Databeskyttelsesrådet også udarbejde en fælles model og en fælles metode til gennemførelse af konsekvensanalyser vedrørende databeskyttelse, der skal vedtages af Kommissionen som en gennemførelsesretsakt. Kommissionen bør tage behørigt hensyn til de forslag, som Databeskyttelsesrådet har udarbejdet, og om nødvendigt revidere dem inden vedtagelsen. For at tage hensyn til den teknologiske udvikling bør listerne samt den fælles model og metode revideres mindst hvert tredje år og ajourføres om nødvendigt.

41)Europa-Parlamentets og Rådets forordning (EU) 2018/1725 36 finder anvendelse på behandling af personoplysninger, der foretages af Den Europæiske Unions institutioner, organer, kontorer og agenturer. Europa-Parlamentets og Rådets direktiv (EU) 2016/680 37 finder anvendelse på behandling af personoplysninger foretaget af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner. Forordning (EU) 2018/1725 og direktiv (EU) 2016/680 bør bringes i overensstemmelse med de ændringer af forordning (EU) 2016/679, der indføres ved denne forordning.

42)Som præciseret i betragtning 5 i forordning (EU) 2018/1725 bør disse to sæt bestemmelser, når bestemmelserne i forordning (EU) 2018/1725 følger de samme principper som bestemmelserne i forordning (EU) 2016/679, i overensstemmelse med retspraksis fra Den Europæiske Unions Domstol fortolkes ensartet. Ordningen i forordning (EU) 2018/1725 bør forstås som svarende til ordningen i forordning (EU) 2016/679. Denne forordning ændrer derfor også de bestemmelser i forordning (EU) 2018/1725, der er berørt af ændringerne af forordning (EU) 2016/679, for så vidt som sidstnævnte ændringer også er relevante i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer.

43)For at sikre en stærk og sammenhængende databeskyttelsesramme i Unionen bør de nødvendige tilpasninger af direktiv (EU) 2016/680 og enhver anden EU-retsakt, der finder anvendelse på en sådan behandling af personoplysninger, foretages efter vedtagelsen af denne forordning, således at de kan begynde at finde anvendelse så tæt som muligt på tidspunktet for ikrafttrædelsen af ændringerne til forordning (EU) 2016/679 og forordning (EU) 2018/1725.

44)Lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret i terminaludstyr, samt den efterfølgende behandling af sådanne data bør reguleres under én samlet retlig ramme, nemlig forordning (EU) 2016/679, når abonnenten på den elektroniske kommunikationstjeneste eller brugeren af terminaludstyret er en fysisk person. Ændringerne i denne forordning giver fortsat det højeste beskyttelsesniveau for personoplysninger og forenkler samtidig de registreredes muligheder for at udøve deres rettigheder og træffe valg online. Ændringerne vedrører navnlig lagring af oplysninger i dette udstyr, adgang til eller anden indsamling af oplysninger fra dette udstyr, der indebærer behandling af personoplysninger ved hjælp af cookies eller lignende teknologier for at indhente oplysninger fra terminaludstyret. De relevante regler bør også finde anvendelse, uanset om terminaludstyret ejes af den fysiske person eller af en anden juridisk eller fysisk person.

Opbevaring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret i terminaludstyr, bør fortsat kun være tilladt på grundlag af samtykke. I lighed med tilgangen i direktiv 2002/58/EF bør dette krav ikke udelukke lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret i en fysisk persons terminaludstyr, når dette er baseret på EU-retten eller medlemsstaternes nationale ret som omhandlet i artikel 6 i forordning (EU) 2016/679, og hvis det opfylder alle de betingelser for lovlighed, der er fastsat i nævnte bestemmelse, og sker med henblik på de mål, der er fastsat i artikel 23, stk. 1, i forordning (EU) 2016/679.

For at mindske regelbyrden og skabe juridisk klarhed for dataansvarlige og i betragtning af, at visse formål med behandling udgør en lav risiko for de registreredes rettigheder og frihedsrettigheder, eller at en sådan behandling kan være nødvendig for at levere en tjeneste, som den registrerede har anmodet om, er det nødvendigt at opstille en udtømmende liste over formål, hvortil behandling bør tillades uden samtykke. For så vidt angår lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i terminaludstyr, og efterfølgende behandling, der er nødvendig til disse formål, bør det derfor fastsættes i denne forordning, at behandlingen er lovlig. Den dataansvarlige, f.eks. en medietjenesteudbyder, kan give en databehandler, f.eks. en markedsanalysevirksomhed, beføjelse til at foretage behandlingen på dennes vegne.

Med henblik på efterfølgende behandling af personoplysninger til andre formål end dem, der er defineret i den udtømmende liste, bør artikel 6 og, hvor det er relevant, artikel 9 i forordning (EU) 2016/679 finde anvendelse. Det er den dataansvarliges ansvar i lyset af princippet om ansvarlighed at vælge det passende retsgrundlag for den planlagte behandling. For at kunne påberåbe sig en legitim interesse i henhold til artikel 6, stk. 1, litra f), i forordning (EU) 2016/679 som grundlag for den efterfølgende behandling af personoplysninger, skal den dataansvarlige påvise, at denne forfølger egne eller tredjemands legitime interesser, at behandlingen er nødvendig for at opfylde formålet med denne legitime interesse, og at den registreredes interesser eller grundlæggende rettigheder ikke går forud for den dataansvarliges interesser. I den forbindelse bør de dataansvarlige tage størst muligt hensyn til følgende elementer: om den registrerede er et barn, den registreredes rimelige forventninger, indvirkningen på den enkelte, enten på grund af omfanget af de behandlede oplysninger eller de behandlede oplysningers følsomhed, omfanget af den pågældende behandling i den forstand, at behandlingen ikke må være særlig omfattende, hverken med hensyn til mængden eller de forskellige kategorier af oplysninger, at behandlingen bør baseres på data, der er begrænset til, hvad der er nødvendigt, og ikke må være baseret på overvågning af store dele af de registreredes onlineaktivitet, og andre relevante faktorer, hvor det er relevant. Behandlingen bør ikke give anledning til løbende overvågning af den registreredes privatliv.

Hvis den dataansvarlige ikke kan påberåbe sig legitim interesse som retsgrundlag for den efterfølgende behandling, bør behandlingen baseres på et andet grundlag i artikel 6, stk. 1, navnlig samtykke i overensstemmelse med artikel 6 og 7 i forordning (EU) 2016/679, forudsat at alle principper i forordning (EU) 2016/679 er opfyldt.

45)Registrerede, der har afvist en anmodning om samtykke, bliver ofte mødt med en ny anmodning om samtykke, hver gang de besøger den samme dataansvarliges onlinetjeneste igen. Dette kan have skadelige virkninger for de registrerede, som måske ender med at give deres samtykke blot for at undgå gentagne anmodninger. Den dataansvarlige bør derfor være forpligtet til at respektere den registreredes valg om at afvise en anmodning om samtykke i mindst en bestemt periode.

46)Der bør være automatiserede og maskinlæsbare angivelser af de registreredes valg om at give samtykke, afvise en anmodning om samtykke eller gøre indsigelse mod behandlingen af oplysninger. Sådanne midler bør følge den teknologiske udvikling. De kan implementeres i indstillingerne i en webbrowser eller i EU's digitale ID-tegnebog som fastsat i forordning (EU) nr. 914/2014 eller ved enhver anden passende metode. Reglerne i denne forordning bør understøtte udviklingen af nye markedsdrevne løsninger med passende grænseflader. Den dataansvarlige bør være forpligtet til at respektere automatiserede og maskinlæsbare angivelser af den registreredes valg, når der foreligger standarder. I lyset af betydningen af uafhængig journalistik i et demokratisk samfund og for ikke at undergrave det økonomiske grundlag herfor bør medietjenesteudbydere ikke være forpligtet til at respektere de maskinlæsbare angivelser af den registreredes valg. Forpligtelsen for udbydere af webbrowsere til at stille de tekniske midler til rådighed for registrerede til at træffe valg med hensyn til behandlingen bør ikke underminere medietjenesteudbyderes mulighed for at anmode om de registreredes samtykke.

47)Direktiv 2002/58/EF om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor ("e-databeskyttelsesdirektivet"), som senest blev revideret i 2009, udgør en ramme for beskyttelse af retten til privatlivets fred, herunder fortroligheden af kommunikation. Heri henvises der også til forordning (EU) 2016/679 i relation til behandling af personoplysninger i forbindelse med elektroniske kommunikationstjenester. Det beskytter privatlivets fred og integriteten af brugerens eller abonnentens terminaludstyr, der anvendes til sådan kommunikation. Den nuværende bestemmelse i artikel 5, stk. 3, i direktiv 2002/58/EF bør fortsat finde anvendelse, for så vidt som abonnenten eller brugeren ikke er en fysisk person, og de lagrede eller hentede oplysninger ikke udgør eller fører til behandling af personoplysninger.

48)Artikel 4 i direktiv 2002/58/EF bør ophæves. Artikel 4 i direktiv 2002/58/EF fastsætter krav til udbydere af offentligt tilgængelige elektroniske kommunikationstjenester for så vidt angår beskyttelse af deres tjenesters sikkerhed og anmeldelseskrav. Efterfølgende er der med direktiv (EU) 2022/2555 fastsat nye krav vedrørende foranstaltninger til styring af cybersikkerhedsrisici og indberetning af hændelser for disse udbydere. For at mindske overlappende forpligtelser for enheder i den elektroniske kommunikationssektor bør artikel 4 i direktiv 2002/58/EF ophæves. For så vidt angår sikkerheden i forbindelse med behandling af personoplysninger i henhold til artikel 4, stk. 1 og 1a, i dette direktiv og anmeldelsen af brud på persondatasikkerheden i henhold til artikel 4, stk. 3-5, i direktiv 2002/58/EF, indeholder forordning (EU) 2016/679 allerede omfattende og ajourførte regler. Disse regler bør derfor finde anvendelse på udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og udbydere af offentlige kommunikationsnet og dermed sikre, at der gælder én ordning for dataansvarlige og databehandlere.

49)Flere horisontale eller sektorspecifikke EU-retsakter indeholder krav om, at den samme hændelse skal anmeldes til forskellige myndigheder ved brug af forskellige tekniske midler og kanaler. Det centrale kontaktpunkt for indberetning af hændelser bør gøre det muligt for enheder at opfylde indberetningsforpligtelserne i henhold til direktiv (EU) 2022/2555, forordning (EU) 2016/679, forordning (EU) 2022/2554, forordning (EU) nr. 910/2014 og direktiv (EU) 2022/2557 ved at indsende anmeldelser via en fælles grænseflade. Desuden bør det centrale kontaktpunkt give enheder mulighed for at hente oplysninger, som de tidligere har indsendt via det centrale kontaktpunkt, og dermed hjælpe enhederne med at holde styr på deres overholdelse af indberetningsforpligtelser i forbindelse med specifikke hændelser.

50)For at garantere det centrale kontaktpunkts sikkerhed bør ENISA træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger til at håndtere risiciene for det centrale kontaktpunkts sikkerhed og de oplysninger, der indgives eller formidles via det centrale kontaktpunkt. Ved vurderingen af risikoen samt hensigtsmæssigheden og proportionaliteten af disse foranstaltninger bør ENISA tage hensyn til følsomheden af de oplysninger, der indgives eller formidles i henhold til de relevante EU-retsakter. ENISA bør høre de kompetente myndigheder i henhold til de relevante EU-retsakter, når det udarbejder de tekniske, operationelle og organisatoriske foranstaltninger, der er nødvendige for at etablere, vedligeholde og drive det centrale kontaktpunkt på sikker vis, ved at gøre brug af medlemsstaternes eksisterende samarbejdsgrupper og netværk, der er oprettet i henhold til disse retsakter.

51)Inden ENISA gør det muligt at underrette om hændelser, bør agenturet afprøve, hvordan det centrale kontaktpunkt fungerer, hvilket bør omfatte en omfattende test af de særlige forhold og krav, der gælder for underretninger i henhold til de relevante EU-retsakter. På grundlag af resultaterne af pilotprojektet bør Kommissionen vurdere, hvorvidt det centrale kontaktpunkt fungerer korrekt samt dets pålidelighed, integritet og fortrolighed. Kommissionen bør høre CSIRT-netværket og de kompetente myndigheder i henhold til de relevante EU-retsakter ved at gøre brug af eksisterende samarbejdsgrupper og netværk mellem medlemsstaterne, der er oprettet i henhold til disse retsakter, når den foretager vurderingen. Hvis Kommissionen foretager en positiv vurdering, at det centrale kontaktpunkts funktion, pålidelighed, integritet og fortrolighed, bør den offentliggøre en meddelelse herom i Den Europæiske Unions Tidende. Hvis Kommissionen vurderer, at korrekt funktion, pålidelighed, integritet og fortrolighed ikke er sikret, bør ENISA træffe alle nødvendige korrigerende foranstaltninger, hvorefter Kommissionen foretager en ny vurdering.

52)For at sikre kontinuitet og interoperabilitet med eksisterende nationale tekniske løsninger, der letter indberetningen af hændelser, bør ENISA, i det omfang det er muligt, tage hensyn til sådanne nationale tekniske løsninger, når det udarbejder specifikationerne for de tekniske, operationelle og organisatoriske foranstaltninger, der er nødvendige for at etablere, vedligeholde og sikkert drive det centrale kontaktpunkt. ENISA bør endvidere overveje tekniske protokoller og værktøjer såsom programmeringsgrænseflader for applikationer og maskinlæsbare standarder, der gør det muligt for enheder at integrere rapporteringsforpligtelser i forretningsprocesser, og for myndigheder at forbinde det centrale kontaktpunkt med deres nationale rapporteringssystemer.

53)For at sikre, at det centrale kontaktpunkt gør det muligt for de relevante enheder at indsende den type oplysninger og det format, der kræves i henhold til de relevante EU-retsakter, bør ENISA høre Kommissionen og de kompetente myndigheder i henhold til disse retsakter. Hvis en EU-retsakt ikke er fuldt harmoniseret med hensyn til typen af oplysninger og formatet for underretninger, bør medlemsstaterne underrette ENISA om deres nationale bestemmelser.

54)På grundlag af forordning (EU) 2022/2554 har den finansielle sektor været i front med hensyn til at gennemføre en harmoniseret, omfattende og effektiv ramme, herunder for indberetning af hændelser. For at forenkle overholdelsen er det hensigtsmæssigt at tilpasse den ramme for indberetning af hændelser, der er fastsat i forordning (EU) 2022/2554, til det centrale kontaktpunkt, samtidig med at kontinuiteten og stabiliteten i den eksisterende indberetningsramme sikres, og idet der tages i betragtning, at det centrale kontaktpunkt først vil være operationelt, når det er blevet vurderet, at det sikrer korrekt funktion, pålidelighed, integritet og fortrolighed. Desuden er der med forordning (EU) 2022/2554 indført standardiserede indberetningsmodeller, der strømliner indholdet af indberetninger om større IKT-relaterede hændelser for den finansielle sektor. Erfaringerne fra vedtagelsen af disse modeller giver værdifuld indsigt og bedste praksis, der bør tages i betragtning ved fastlæggelsen af typen af oplysninger, formatet og proceduren for en underretning med henblik på indberetning til det centrale kontaktpunkt i henhold til direktiv (EU) 2022/2555, direktiv (EU) 2022/2557 eller forordning (EU) 2016/679, hvor det er relevant. Med henblik herpå bør Kommissionen tage behørigt hensyn til de reguleringsmæssige tekniske standarder, der er vedtaget i henhold til forordning (EU) 2022/2554, som fastlægger indholdet af den indledende underretning samt de foreløbige og endelige rapporter om større IKT-relaterede hændelser. Denne tilgang har til formål at sikre sammenhæng, fremme synergier og mindske den administrative byrde for enheder ved at minimere antallet af datafelter, som enhederne skal udfylde, og dermed lette mere effektive og strømlinede indberetningsprocesser.

55)I henhold til de relevante EU-retsakter skal visse hændelsesspecifikke oplysninger på et senere tidspunkt udveksles mellem de kompetente myndigheder for at lette et effektivt tilsyn og en effektiv koordinering. Det centrale kontaktpunkt bør derfor udformes, således at det imødekommer og støtter udvekslingen af oplysninger på dette niveau for hver relevant EU-retsakt samt sikrer passende datastrømme mellem myndigheder på en sikker, rettidig og effektiv måde, hvis medlemsstaterne beslutter at gøre brug af denne yderligere funktion.

56)For at sikre, at indberetning af hændelser foretages via det centrale kontaktpunkt, bør direktiv (EU) 2022/2555, forordning (EU) 2016/679, forordning (EU) 2022/2554, forordning (EU) nr. 910/2014 og direktiv (EU) 2022/2557 derfor ændres i overensstemmelse hermed. Det centrale kontaktpunkt bør begynde at blive anvendt til rapportering i henhold til disse retsakter inden for 18 måneder efter denne forordnings ikrafttræden. Når Kommissionen iværksætter mekanismerne med meddelelsen om udsættelse af anvendelsesdatoen til 24 måneder efter forordningens ikrafttræden, bør de tilsvarende bestemmelser i direktiv (EU) 2022/2555, forordning (EU) nr. 910/2014, forordning (EU) 2022/2554 og direktiv (EU) 2022/2557 fortsat finde anvendelse med henblik på at opfylde de indberetningsforpligtelser, der er fastsat i bestemmelserne.

57)I det ekstraordinære tilfælde, hvor en teknisk umulighed forhindrer indgivelse af underretninger om hændelser via det centrale kontaktpunkt, bør enheder opfylde deres indberetningsforpligtelser på alternative måder. Med henblik herpå bør modtagere af underretninger om hændelser i henhold til de relevante EU-retsakter sikre, at de kan modtage sådanne underretninger om hændelser på alternative måder, og gøre oplysninger om disse alternative måder offentligt tilgængelige.

58)Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 38 og afgav udtalelse den [DATO]. Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42, stk. 2, i forordning (EU) 2018/1725 og afgav en udtalelse den [DATO].

59)I forordning (EU) 2019/1150 fastlægges et sæt målrettede ufravigelige regler på EU-plan til at sikre et retfærdigt, forudsigeligt, holdbart og pålideligt onlineerhvervsklima på det indre marked. Forordning (EU) 2022/2065 og forordning (EU) 2022/1925 udgør en omfattende lovgivningsmæssig ramme for et sikkert, forudsigeligt og pålideligt onlinemiljø for alle slutbrugere af onlinetjenester og skaber lige vilkår for virksomheder på digitale markeder. Af hensyn til forenklingen af EU-lovgivningen på området for onlineformidlingstjenester og onlineplatforme, og i betragtning af at målene og de materielle bestemmelser i forordningen om forholdet mellem platforme og virksomheder i vid udstrækning er omfattet af forordningen om digitale tjenester og forordningen om digitale markeder, bør forordning (EU) 2019/1050 ophæves. Forordning (EU) 2022/2065 og forordning (EU) 2022/1925 bidrager til en fuldt harmoniseret lovgivningsmæssig ramme for digitale tjenester og digitale markeder ved at tilnærme nationale foranstaltninger vedrørende kravene til formidlingstjenesteudbydere og den fri markedsadgang og retfærdighed for centrale platformstjenester, der leveres af gatekeepere. Af hensyn til retssikkerheden vil udvalgte definitioner i artikel 2, bestemmelserne om begrænsning og suspension i artikel 4 samt om det interne klagebehandlingssystem i artikel 11 i forordning (EU) 2019/1150, som der krydshenvises til i andre retsakter, navnlig direktiv (EU) 2023/2831 om forbedring af arbejdsvilkårene for platformsarbejde, og artikel 15, der sikrer håndhævelse, midlertidigt forblive i kraft, indtil de oprindelige retsakter ændres.

60)I betragtning af den tekniske karakter af de ændringer, der foreslås i denne forordning, og det presserende behov for at skabe en forenklet retlig ramme, bør denne forordning træde i kraft umiddelbart efter offentliggørelsen i Den Europæiske Unions Tidende. Der bør, hvor det er relevant, fastsættes overgangsperioder, så medlemsstaterne og de regulerede enheder kan tilpasse sig reglerne.

VEDTAGET DENNE FORORDNING:

Artikel 1

Ændring af forordning (EU) 2023/2854

I forordning (EU) 2023/2854 foretages følgende ændringer:

1.I artikel 1 foretages følgende ændringer:

(a)I stk. 1 indsættes følgende litraer:

"ea) frivillig registrering af dataformidlingstjenester

eb) frivillig registrering af enheder, der indsamler og behandler data, som stilles til rådighed til altruistiske formål

ec) oprettelse af et europæisk datainnovationsråd

ed) dataplaceringskrav og de kompetente myndigheders adgang til data

ee) videreanvendelse af visse data og dokumenter, som offentlige myndigheder eller visse offentlige virksomheder er i besiddelse af, samt af forskningsdata".

(b)I stk. 2 indsættes følgende litraer:

"g) Kapitel VIIa finder anvendelse på personoplysninger og andre data end personoplysninger.

h) Kapitel VIIb finder anvendelse på andre data end personoplysninger.

i) Kapitel VIIc finder anvendelse på personoplysninger og andre data end personoplysninger, nemlig følgende:

i) dokumenter, som besiddes af medlemsstaternes offentlige myndigheder som omhandlet

1)i artikel 32i, stk. 1, litra a), eller af offentlige virksomheder som omhandlet

2)i artikel 32i, stk. 1, litra b)

ii) forskningsdata som omhandlet i artikel 32i, stk. 1, litra c)

iii) visse kategorier af beskyttede data som omhandlet i artikel 32i, stk. 1, litra a)".

(c)Stk. 3, litra g), affattes således:

"g) deltagere i dataområder."

(d)Stk. 7 udgår.

(e)Følgende tilføjes som stk. 11, 12 og 13:

"11. Kapitel VIIb i denne forordning berører ikke love og administrative bestemmelser vedrørende medlemsstaternes interne organisation og fordeling blandt offentlige myndigheder og offentligretlige organer af beføjelser og ansvar vedrørende databehandling uden kontraktmæssig betaling til private parter og berører heller ikke medlemsstaternes love og administrative bestemmelser vedrørende gennemførelsen af disse beføjelser og dette ansvar.

12. Hvis sektorspecifik EU-ret eller national ret kræver, at offentlige myndigheder, dataformidlingstjenesteudbydere eller anerkendte dataaltruistiske organisationer skal opfylde særlige supplerende tekniske, administrative eller organisatoriske krav, der vedrører kapitel VIIa og VIIb, herunder gennem en tilladelses- eller certificeringsordning, finder disse bestemmelser i den sektorspecifikke EU-ret eller nationale ret også anvendelse. Ethvert sådant specifikt yderligere krav skal være ikkediskriminerende, stå i et rimeligt forhold til formålet og være objektivt begrundet.

13. For så vidt angår data og dokumenter, der er omfattet af afdeling II i kapitel VIIc, berører kapitel VIIc i denne forordning ikke medlemsstaternes mulighed for at vedtage mere detaljerede eller strengere regler, forudsat at disse regler giver mulighed for mere omfattende videreanvendelse af data og dokumenter."

2.I artikel 2 foretages følgende ændringer:

(a)Følgende indsættes som nr. 4a), 4b) og 4c):

"4a) "samtykke": samtykke som defineret i artikel 4, nr. 11), i forordning (EU) 2016/679

4b) "tilladelse": at give databrugere ret til behandling af andre data end personoplysninger

4c) "adgang": anvendelse af data i overensstemmelse med bestemte tekniske, juridiske eller organisatoriske krav, uden at dette nødvendigvis indebærer overførsel eller download af data"

(b)Nr. 13) affattes således:

"13) "dataindehaver": en fysisk eller juridisk person, der i overensstemmelse med denne forordning, gældende EU-ret eller national lovgivning, der er vedtaget i overensstemmelse med EU-retten, har ret eller pligt til at anvende data eller stille data til rådighed, herunder, hvis det er aftalt, produktdata eller relaterede tjenestedata, som vedkommende har hentet eller genereret under leveringen af en relateret tjeneste". 

(c)Følgende indsættes som nr. 28a) og 28b):

"28a) "offentligretlige organer": organer med følgende karakteristika:

a)de er oprettet specielt med henblik på at imødekomme almenhedens behov, dog ikke behov af industriel eller kommerciel karakter

b)de har status som juridisk person

c)de finansieres for størstedelens vedkommende af staten, regionale eller lokale myndigheder eller af andre offentligretlige organer eller er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer, eller de har et administrations-, ledelses- eller tilsynsorgan, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale eller lokale myndigheder eller andre offentligretlige organer

28b) "offentlig virksomhed": enhver virksomhed, som en offentlig myndighed direkte eller indirekte kan have bestemmende indflydelse på som følge af ejerforhold, kapitalindskud eller de regler, der gælder for virksomheden. Bestemmende indflydelse fra de offentlige myndigheders side antages at foreligge i alle de følgende tilfælde, hvor de pågældende myndigheder direkte eller indirekte 

a)besidder majoriteten af virksomhedens ansvarlige kapital

b)råder over flertallet af de stemmer, som er knyttet til de kapitalandele, virksomheden har udstedt

c)kan udpege mere end halvdelen af medlemmerne i virksomhedens administrations-, ledelses- eller tilsynsorgan"

(d)Følgende indsættes som nr. 38a) og 38b):

"38a) "dataformidlingstjeneste": tjeneste, der har til formål at etablere forbindelser af økonomisk karakter med henblik på dataudveksling mellem et ubestemt antal registrerede eller dataindehavere og databrugere ved hjælp af tekniske, juridiske eller andre midler, herunder med henblik på udøvelse af registreredes rettigheder i forbindelse med personoplysninger, og som:

1) ikke har som hovedformål at formidle ophavsretligt beskyttet indhold

2)ikke indkøbes i fællesskab af flere juridiske personer udelukkende til eget brug

38b) "dataaltruisme": frivillig deling af data på grundlag af registreredes samtykke til behandling af personoplysninger, der vedrører dem, eller dataindehaveres tilladelse til, at andre data end personoplysninger, som de er i besiddelse af, anvendes, uden at de søger eller modtager en modydelse, som går ud over kompensation i forbindelse med de omkostninger, de pådrager sig ved at stille deres data til rådighed med henblik på almennyttige formål som fastsat i national ret, hvor det er relevant, f.eks. sundhedspleje, bekæmpelse af klimaændringer, forbedring af mobiliteten, lettelse af udviklingen, udarbejdelsen og formidlingen af officielle statistikker, forbedring af udbuddet af offentlige tjenester, offentlig beslutningstagning eller almennyttige videnskabelige formål".

(e)Følgende nr. 44) – 63) tilføjes:

"44) "mellemstor virksomhed": en mellemstor virksomhed som defineret i artikel 2 i bilag I til Kommissionens henstilling 2003/361/EF

45) "lille midcapvirksomhed" eller "SMC": en lille midcapvirksomhed som defineret i artikel 2 i bilaget til Kommissionens henstilling (EU) 2025/1099

46) "universitet": enhvert offentligt organ, som tilbyder en videregående uddannelse, der fører til akademiske grader

47) "standardlicens": en række på forhånd definerede videreanvendelsesbetingelser i digitalt format, der helst skal være forenelige med offentlige standardlicenser, som er tilgængelige online

48) "dokument":

a) alt indhold, der ikke er digitalt, uanset medium (papir eller som lyd-, billed- eller audiovisuel optagelse) eller

b) enhver del af et sådant indhold

50) "dynamiske data": dokumenter i digital form, som er genstand for hyppige eller realtidsopdateringer, navnlig på grund af deres volatilitet eller hurtige forældelse; data genereret af sensorer betragtes typisk som værende dynamiske data

51) "forskningsdata": data, dog ikke videnskabelige publikationer, som er indsamlet eller produceret som led i videnskabelige forskningsaktiviteter og anvendes som evidens i forskningsprocessen, eller som generelt er accepteret i forskerkredse som nødvendige til validering af forskningskonklusioner og ‑resultater

52) "videreanvendelse": fysiske personers eller juridiske enheders brug af dokumenter:

a)i offentlige myndigheders besiddelse til andre kommercielle eller ikkekommercielle formål end det oprindelige formål i forbindelse med den offentlige opgave, som dokumenterne blev udarbejdet til, undtagen udveksling af dokumenter mellem offentlige myndigheder alene som led i varetagelse af deres offentlige opgaver, eller

b)i offentlige virksomheders besiddelse i henhold til kapitel VII c, afsnit 2, til andre kommercielle eller ikkekommercielle formål end det oprindelige formål at yde tjenesteydelser af almen interesse, som dokumenterne blev udarbejdet til, undtagen udveksling af dokumenter mellem offentlige virksomheder og offentlige myndigheder alene som led i offentlige myndigheders varetagelse af deres offentlige opgaver

53) "datasæt af høj værdi": data og dokumenter, hvis videreanvendelse er forbundet med betydelige samfundsmæssige, miljømæssige og økonomiske fordele, navnlig på grund af deres egnethed til at skabe værdiforøgede tjenester, applikationer og nye, anstændige job af høj kvalitet, og på grund af antallet af potentielle modtagere af de værdiforøgede tjenester og applikationer baseret på disse data og dokumenter

54) "visse kategorier af beskyttede data": data og dokumenter, som offentlige myndigheder er i besiddelse af, og som er beskyttet af hensyn til

a)kommerciel fortrolighed, herunder forretnings-, erhvervs- og virksomhedshemmeligheder

b)statistisk fortrolighed

c)beskyttelse af tredjeparters intellektuelle ejendomsret eller

d)beskyttelse af personoplysninger, for så vidt som sådanne oplysninger falder uden for anvendelsesområdet for kapitel VIIc, afdeling 2

56) "sikkert databehandlingsmiljø": et fysisk eller virtuelt miljø og organisatoriske midler til at sikre overensstemmelsen med EU-retten, navnlig med hensyn til registreredes rettigheder, intellektuelle ejendomsrettigheder og kommerciel og statistisk fortrolighed, integritet og tilgængelighed, samt med national ret, således at den enhed, der tilvejebringer det sikre databehandlingsmiljø, kan fastslå og overvåge alle databehandlingsaktiviteter, herunder visning, lagring, download og eksport af data samt beregning af afledte data ved hjælp af algoritmer

57) "videreanvender": en fysisk eller juridisk person, der har fået ret til at videreanvende data eller dokumenter, som en offentlig myndighed eller en offentlig virksomhed er i besiddelse af, jf. kapitel VIIc, eller til forskningsdata eller visse kategorier af beskyttede data

58) "maskinlæsbart format": et filformat, som er struktureret på en sådan måde, at softwareapplikationer nemt kan identificere, genkende og uddrage specifikke data, herunder individuelle oplysninger og deres interne struktur

59) "åbent format": et filformat, der er uafhængigt af platform, og som gøres tilgængeligt for offentligheden uden restriktioner, der hæmmer videreanvendelse af dokumenter

60) "formel åben standard": en standard, der er blevet fastlagt i skriftlig form, og som indeholder detaljerede specifikationer for kravene til, hvordan der sikres interoperabel software

61) "rimelig forrentning af investeringerne": en procentdel af det samlede gebyr ud over det, der kræves for at dække de afholdte udgifter, og som ikke overstiger den faste rente for ECB med mere end 5 procentpoint

62) "dataplaceringskrav": enhver forpligtelse, betingelse og begrænsning og ethvert forbud eller andet krav, der er fastsat i en medlemsstats love og administrative bestemmelser, eller som følger af almen og fast administrativ praksis i en medlemsstat og i offentligretlige organer, herunder inden for offentlige udbud, uden at dette berører direktiv 2014/24/EU, og som indebærer, at databehandling skal finde sted i en bestemt medlemsstat, eller forhindrer databehandling i enhver anden medlemsstat

63) "pseudonymisering": pseudonymisering som omhandlet i artikel 4, stk. 5, i forordning (EU) 2016/679."

3.Artikel 4, stk. 8, affattes således:

"8. Under ekstraordinære omstændigheder, hvor dataindehaveren, der er forretningshemmelighedshaver, kan påvise, at vedkommende på trods af de tekniske og organisatoriske foranstaltninger, som brugeren har truffet i henhold til denne artikels stk. 6, med stor sandsynlighed vil lide alvorlig økonomisk skade som følge af videregivelsen af forretningshemmeligheder, eller at videregivelsen af forretningshemmeligheder til brugeren udgør en høj risiko for ulovlig erhvervelse, brug eller videregivelse til enheder i tredjelande eller enheder, der er etableret i Unionen under direkte eller indirekte kontrol af sådanne enheder, og som er underlagt jurisdiktioner med svagere eller ikkeækvivalent beskyttelse sammenlignet med EU-retten, kan den pågældende dataindehaver fra sag til sag afslå en anmodning om adgang til de pågældende specifikke data. Denne påvisning skal være behørigt begrundet i objektive forhold, såsom muligheden for at håndhæve beskyttelsen af forretningshemmeligheder i tredjelande, arten og graden af fortrolighed for de ønskede data og det forbundne produkts unikke og nyskabende karakter. Den skal gives brugeren skriftligt uden unødigt ophold. Hvor dataindehaveren afslår at dele data i henhold til nærværende stykke, underretter vedkommende den kompetente myndighed, der er udpeget i henhold til artikel 37."

4.Artikel 5, stk. 11, affattes således:

"11. Under ekstraordinære omstændigheder, hvor dataindehaveren, der er forretningshemmelighedshaver, kan påvise, at vedkommende på trods af de tekniske og organisatoriske foranstaltninger, som tredjeparten har truffet i henhold til denne artikels stk. 9, med stor sandsynlighed vil lide alvorlig økonomisk skade som følge af videregivelsen af forretningshemmeligheder, eller at videregivelsen af forretningshemmeligheder til brugeren udgør en høj risiko for ulovlig erhvervelse, brug eller videregivelse til enheder i tredjelande eller enheder, der er etableret i Unionen under direkte eller indirekte kontrol af sådanne enheder, og som er underlagt jurisdiktioner med svagere eller ikkeækvivalent beskyttelse sammenlignet med EU-retten, kan den pågældende dataindehaver fra sag til sag afslå en anmodning om adgang til de pågældende specifikke data. Denne påvisning skal være behørigt begrundet i objektive forhold, såsom muligheden for at håndhæve beskyttelsen af forretningshemmeligheder i tredjelande, arten og graden af fortrolighed for de ønskede data og det forbundne produkts unikke og nyskabende karakter. Den skal gives tredjeparten skriftligt uden unødigt ophold. Hvor dataindehaveren afslår at dele data i henhold til nærværende stykke, underretter vedkommende den kompetente myndighed, der er udpeget i henhold til artikel 37."

5.Titlen på kapitel V affattes således:

"TILRÅDIGHEDSSTILLELSE AF DATA FOR OFFENTLIGE MYNDIGHEDER, KOMMISSIONEN, DEN EUROPÆISKE CENTRALBANK OG EU-ORGANER PÅ GRUNDLAG AF EN OFFENTLIG NØDSITUATION"

6.Artikel 14 og 15 udgår.

7.Følgende indsættes som artikel 15a:

"Artikel 15a

Forpligtelse for dataindehavere til at stille data til rådighed på grundlag af en offentlig nødsituation

1.Hvis en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ påviser et ekstraordinært behov for at anvende visse data til at udføre sine lovbestemte opgaver i offentlighedens interesse, når den reagerer på, afbøder eller støtter genopretningen efter en offentlig nødsituation, kan den anmode dataindehavere, der er juridiske personer, bortset fra offentlige myndigheder, om at stille disse data til rådighed, herunder de metadata, der er nødvendige for at fortolke og anvende disse data. Efter en sådan behørigt begrundet anmodning stiller dataindehaverne dataene og metadataene til rådighed for den anmodende offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet. Sådanne anmodninger kan også fremsættes, hvis det er nødvendigt at udarbejde officielle statistikker i forbindelse med en offentlig nødsituation.

2.Hvis de data, der anmodes om, er nødvendige for at reagere på en offentlig nødsituation, og det anmodende organ i henhold til stk. 1 ikke er i stand til at indhente sådanne data på anden vis rettidigt og effektivt på tilsvarende betingelser, skal anmodningen vedrøre andre data end personoplysninger. Hvis levering af andre data end personoplysninger er utilstrækkelig til at håndtere den offentlige nødsituation, kan der også anmodes om personoplysninger, som om muligt stilles til rådighed i pseudonymiseret form, under forudsætning af passende tekniske og organisatoriske foranstaltninger til at sikre deres beskyttelse.

3.Hvis de data, der anmodes om, er nødvendige for at afbøde eller støtte genopretningen efter en offentlig nødsituation, kan et anmodende organ i henhold til stk. 1, der handler på grundlag af EU-retten eller national ret, anmode om specifikke data, der ikke er personoplysninger, som det mangler for at afbøde eller støtte genopretningen efter en offentlig nødsituation. Sådanne anmodninger må ikke fremsættes over for mikrovirksomheder og små virksomheder."

8.Artikel 16, stk. 2, affattes således:

"2. Dette kapitel finder ikke anvendelse på aktiviteter udført af offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer vedrørende forebyggelse, efterforskning, afsløring eller retsforfølgning af strafferetlige eller administrative overtrædelser eller fuldbyrdelse af strafferetlige sanktioner eller på told- og skatteforvaltning. Dette kapitel berører ikke EU-retten eller national ret, der regulerer sådanne aktiviteter."

9.I artikel 17 foretages følgende ændringer:

a)    I stk. 1 foretages følgende ændringer:

i) Indledningen affattes således:

"Når offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller et EU-organ anmoder om data i henhold til artikel 15a skal de:

ii) Litra b) og c) affattes således:

"b) påvise, at betingelserne for at fremsætte en anmodning i henhold til artikel 15a er opfyldt

c) forklare formålet med anmodningen, den påtænkte anvendelse af de data, der anmodes om, herunder i givet fald af en tredjepart i overensstemmelse med nærværende artikels stk. 4, varigheden af denne anvendelse, og, hvor det er relevant, hvordan behandlingen af personoplysninger skal bidrage til at håndtere den offentlige nødsituation".

b)    I stk. 2 foretages følgende ændringer:

i) Litra c) affattes således:

"c) stå i et rimeligt forhold til den offentlige nødsituation og være behørigt begrundet med hensyn til de ønskede datas detaljeringsgrad, mængde og tilgangshyppighed"

ii) Litra e) udgår.

c)    Stk. 5 og 6 udgår.

10.I artikel 18 foretages følgende ændringer:

a)    I stk. 2 affattes indledningen således:

"2. Uden at det berører specifikke behov vedrørende tilgængeligheden af data som defineret i EU-retten eller national ret, kan en dataindehaver afslå eller anmode om ændring af en anmodning om tilrådighedsstillelse af data i medfør af dette kapitel uden unødigt ophold og under alle omstændigheder senest fem arbejdsdage efter modtagelsen af en anmodning i henhold til artikel 15a, stk. 2, og uden unødigt ophold og under alle omstændigheder senest 30 arbejdsdage efter modtagelsen af en anmodning i henhold til artikel 15a, stk. 3, af enhver af følgende grunde:"

b)    Stk. 5 udgår.

11.I artikel 19 foretages følgende ændringer:

a) I stk. 1 affattes indledningen således:

"Når offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller et EU-organ modtager data på grundlag af en anmodning i henhold til artikel 15a:"

b) Stk. 3 affattes således:

"3. Videregivelse af forretningshemmeligheder til en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ er kun påkrævet i det omfang, det er strengt nødvendigt for at opfylde formålet med en anmodning i henhold til artikel 15a. I så fald udpeger dataindehaveren eller, når det ikke er den samme person, forretningshemmelighedshaveren de data, der er beskyttet som forretningshemmeligheder, herunder i de relevante metadata. Den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet træffer forud for videregivelsen af forretningshemmeligheder alle nødvendige og passende tekniske og organisatoriske foranstaltninger til at sikre fortroligheden af forretningshemmelighederne, herunder i relevant omfang en model for aftalevilkår, tekniske standarder og anvendelse af adfærdskodekser."

12.Artikel 20 affattes således:

"Artikel 20

Godtgørelse for at stille data til rådighed i henhold til kapitel V

1. Dataindehavere stiller de data, der er nødvendige for at reagere på en offentlig nødsituation i henhold til artikel 15a, stk. 2, gratis til rådighed. Den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet, som har modtaget data, giver en dataindehaver offentlig anerkendelse, hvis dataindehaveren anmoder om det.

2. Dataindehaveren har ret til en rimelig godtgørelse for at efterkomme en anmodning om at stille data til rådighed i efterkommelse af artikel 15a, stk. 3. En sådan godtgørelse skal dække de tekniske og organisatoriske omkostninger, der afholdes for at efterkomme anmodningen, herunder i givet fald omkostningerne ved anonymisering, pseudonymisering, aggregering og teknisk tilpasning, og en rimelig margen. Efter anmodning fra den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet, fremlægger dataindehaveren oplysninger om beregningen af omkostningerne og den rimelige margen.

3. Uanset stk. 1 i denne artikel kan en dataindehaver, der er en mikrovirksomhed eller en lille virksomhed, kræve kompensation for at stille data til rådighed som svar på en anmodning i henhold til artikel 15a, stk. 2, i overensstemmelse med betingelserne i denne artikels stk. 2.

4. Dataindehavere er ikke berettigede til godtgørelse for at efterkomme en anmodning om at stille data til rådighed i henhold til artikel 15a, stk. 3, hvis den specifikke opgave udført i offentlighedens interesse er udarbejdelse af officielle statistikker, og hvis køb af data ikke er tilladt i henhold til national ret. Medlemsstaterne underretter Kommissionen, hvis køb af data til udarbejdelse af officielle statistikker ikke er tilladt i henhold til national ret."

13.I artikel 21 foretages følgende ændringer:

a) Overskriften affattes således:

"Deling af data, der er indhentet i forbindelse med en offentlig nødsituation, med forskningsinstitutioner eller statistiske kontorer"

b) Stk. 5 affattes således:

"5. Hvis en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ har til hensigt at overføre eller stille data til rådighed i henhold til stk. 1, underrettes den dataindehaver, som dataene er modtaget fra, uden unødigt ophold med angivelse af følgende:

a)identiteten på og kontaktoplysningerne for den organisation eller enkeltperson, der modtager dataene

b)formålet med overførslen eller tilrådighedsstillelsen af dataene

c)den periode, for hvilken dataene skal anvendes, samt de trufne tekniske beskyttelsesforanstaltninger

d)organisatoriske foranstaltninger, herunder hvis personoplysninger eller forretningshemmeligheder er involveret."

14.Følgende indsættes som artikel 22a før kapitel I:

"Artikel 22a

Ret til at indgive klage

Hvis der opstår en tvist vedrørende en anmodning om data i henhold til artikel 15a, herunder afslag, ændring, kompensationsniveauet eller overførsel eller tilrådighedsstillelse af data, kan dataindehaveren, den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet indgive en klage til den kompetente myndighed, der er udpeget i henhold til artikel 37, i den medlemsstat, hvor dataindehaveren er etableret."

15.I artikel 31 indsættes følgende som stk. 1a og 1b:

"1a. De forpligtelser, der er fastsat i kapitel VI, med undtagelse af artikel 29, og i artikel 34, finder ikke anvendelse på andre databehandlingstjenester end dem, der er omhandlet i artikel 30, stk. 1, hvis størstedelen af databehandlingstjenestens funktioner og funktionaliteter er blevet tilpasset af udbyderen til kundens specifikke behov, hvis leveringen af sådanne tjenester er baseret på en kontrakt, der er indgået senest den 12. september 2025.

Udbyderen af sådanne databehandlingstjenester er ikke forpligtet til at genforhandle eller ændre en kontrakt om levering af disse tjenester inden dens udløb, hvis den pågældende kontrakt blev indgået senest den 12. september 2025. Enhver kontraktbestemmelse i denne kontrakt, der er i strid med artikel 29, stk. 1, 2 eller 3, anses for ugyldig.

1b. En udbyder af en databehandlingstjeneste kan medtage bestemmelser om forholdsmæssige sanktioner for førtidig opsigelse i en tidsbegrænset kontrakt om levering af andre databehandlingstjenester end dem, der er omhandlet i artikel 30, stk. 1.

Hvis udbyderen af databehandlingstjenester er en lille eller mellemstor virksomhed eller en lille midcapvirksomhed, finder forpligtelserne i kapitel VI, med undtagelse af artikel 29, samt i artikel 34 ikke anvendelse på andre databehandlingstjenester end dem, der er omhandlet i artikel 30, stk. 1, hvis leveringen af sådanne tjenester er baseret på en kontrakt, der er indgået senest den 12. september 2025.

Hvis udbyderen af en databehandlingstjeneste er en lille eller mellemstor virksomhed eller en lille midcapvirksomhed, er udbyderen ikke forpligtet til at genforhandle eller ændre en kontrakt om levering af andre databehandlingstjenester end dem, der er omhandlet i artikel 30, stk. 1, inden dens udløb, hvis den pågældende kontrakt blev indgået senest den 12. september 2025. Enhver kontraktbestemmelse i denne kontrakt, der er i strid med artikel 29, stk. 1, 2 eller 3, anses for ugyldig."

16.I artikel 32 foretages følgende ændringer:

a) Stk. 1 og 2 affattes således:

"1. Udbydere af databehandlingstjenester, den offentlige myndighed, der stiller data eller dokumenter til rådighed i overensstemmelse med kapitel VIIc, afdeling 3, den fysiske eller juridiske person, der har fået tildelt ret til at videreanvende data eller dokumenter i overensstemmelse med kapitel VIIc, afdeling 3, en dataformidlingstjenesteudbyder eller en anerkendt dataaltruistisk organisation skal træffe alle passende tekniske, organisatoriske og retlige foranstaltninger, herunder aftaler, for at forhindre international statslig adgang og tredjelandes statslige adgang til og overførsel af andre data end personoplysninger, der er lagret i Unionen, hvis en sådan overførsel eller adgang ville være i strid med EU-retten eller med den relevante medlemsstats nationale ret, jf. dog stk. 2 eller 3. 

2. Enhver afgørelse eller dom afsagt af en domstol eller ret i et tredjeland og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, ifølge hvilken der anmodes om, at en udbyder af databehandlingstjenester, den offentlige myndighed, som stiller dataene eller dokumenterne til rådighed i overensstemmelse med kapitel VIIc, afdeling 3, den fysiske eller juridiske person, der har fået tildelt ret til at videreanvende data eller dokumenter i overensstemmelse med kapitel VIIc, afdeling 3, en dataformidlingstjenesteudbyder eller en anerkendt dataaltruistisk organisation overfører eller giver adgang til andre data end personoplysninger, der er omfattet af denne forordning, og som opbevares i Unionen, må kun anerkendes eller håndhæves på nogen måde, hvis den er baseret på en international aftale såsom en traktat om gensidig retshjælp, der er i kraft mellem det anmodende tredjeland og Unionen eller en sådan aftale mellem det anmodende tredjeland og en medlemsstat."

b) Stk. 3, første afsnit, indledningen, affattes således:

"3. Hvis der ikke foreligger en international aftale som omhandlet i stk. 2, og en udbyder af databehandlingstjenester, den offentlige myndighed, som stiller dataene eller dokumenterne til rådighed i overensstemmelse med kapitel VIIc, afdeling 3, den fysiske eller juridiske person, der har fået tildelt ret til at videreanvende data eller dokumenter i overensstemmelse med kapitel VIIc, afdeling 3, en dataformidlingstjenesteudbyder eller en anerkendt dataaltruistisk organisation er adressat for en afgørelse truffet eller dom afsagt af et tredjelands domstol eller ret eller en afgørelse truffet af et tredjelands administrative myndighed om at overføre eller give adgang til andre data end personoplysninger, der er omfattet af denne forordnings anvendelsesområde, og som er lagret i Unionen, og hvis overholdelsen af en sådan afgørelse eller dom risikerer at medføre, at adressaten handler i strid med EU-retten eller med den relevante medlemsstats nationale ret, må overførslen af sådanne data til den pågældende tredjelandsmyndighed kun finde sted, hvis:"

c) Stk. 4 og 5 affattes således:

"4. Hvis betingelserne i stk. 2 eller 3 er opfyldt, leverer udbyderen af databehandlingstjenester, den offentlige myndighed, der stiller data eller dokumenter til rådighed i overensstemmelse med kapitel VIIc, afdeling 3, den fysiske eller juridiske person, der har fået tildelt ret til at videreanvende data eller dokumenter i henhold til kapitel VIIc, afdeling 3, dataformidlingstjenesteudbyderen eller den anerkendte dataaltruistiske organisation den mindste mængde data, der er tilladt som svar på en anmodning, på grundlag af en rimelig fortolkning af denne anmodning fra udbyderen eller det relevante nationale organ eller den relevante nationale myndighed, jf. stk. 3, andet afsnit.

5. Udbyderen af databehandlingstjenester, den offentlige myndighed, der stiller data eller dokumenter til rådighed i overensstemmelse med kapitel VIIc, afdeling 3, den fysiske eller juridiske person, der har fået tildelt ret til at videreanvende data eller dokumenter i overensstemmelse med kapitel VIIc, afdeling 3, dataformidlingstjenesteudbyderen eller den anerkendte dataaltruistiske organisation underretter den fysiske eller juridiske person, hvis rettigheder og interesser kan blive berørt, om, at der foreligger en anmodning fra en tredjelandsmyndighed om at få adgang til vedkommendes data, inden den pågældende anmodning imødekommes, undtagen i tilfælde, hvor anmodningen tjener retshåndhævelsesformål, og så længe dette er nødvendigt for at bevare retshåndhævelsesaktivitetens effektivitet."

17.Artikel 36 udgår.

18.Følgende indsættes som kapitel VIIa, VIIb og VIIc:

"KAPITEL VIIa

dataformidlingstjenester

og dataaltruistiske organisationer

Artikel 32a

Offentlige EU-registre

1)Kommissionen fører og ajourfører regelmæssigt offentlige EU-registre over:

a)anerkendte dataformidlingstjenesteudbydere og

b)anerkendte dataaltruistiske organisationer.

2)Dataformidlingstjenesteudbydere, der er registreret i det offentlige EU-register, jf. stk. 1, litra a), kan anvende betegnelsen "dataformidlingstjenesteudbyder, der er anerkendt i Unionen" i deres skriftlige og mundtlige kommunikation samt det fælles logo der er omhandlet i stk. 4.

3)Dataaltruistiske organisationer, der er registreret i det offentlige EU-register, jf. stk. 1, litra b), kan anvende betegnelsen "dataaltruistisk organisation, der er anerkendt i Unionen" i deres skriftlige og mundtlige kommunikation samt det fælles logo, der er omhandlet i stk. 4.

4)For at sikre, at dataformidlingstjenesteudbydere, der er anerkendt i Unionen, let kan identificeres i hele Unionen, har Kommissionen beføjelse til at vedtage gennemførelsesretsakter om fastlæggelse af et design for det fælles logo. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 46, stk. 1a.

Artikel 32b

Kompetente myndigheder for registrering af dataformidlingstjenesteudbydere og dataaltruistiske organisationer

1)Hver medlemsstat udpeger en eller flere kompetente myndigheder, der er ansvarlige for anvendelsen og håndhævelsen af dette kapitel i overensstemmelse med artikel 37, stk. 1.

2)De kompetente myndigheder oprettes på en sådan måde, at deres uafhængighed af enhver anerkendt dataformidlingstjenesteudbyder eller anerkendt dataaltruistisk organisation garanteres.

Artikel 32c

Generelle krav til registrering af anerkendte dataformidlingstjenesteudbydere

For at kunne blive registreret i det offentlige EU-register, der er omhandlet i artikel 32a, stk. 1, litra a), skal en udbyder af dataformidlingstjenester opfylde samtlige følgende krav:

a)de anvender ikke de data, som de leverer dataformidlingstjenester for, til andre formål end at stille dem til rådighed for databrugere

b)de data, der indsamles om en fysisk eller juridisk persons aktiviteter med henblik på levering af dataformidlingstjenesten, herunder dato, tidspunkt og geolokaliseringsdata, aktivitetens varighed og forbindelser til andre fysiske eller juridiske personer, der etableres af den person, som anvender dataformidlingstjenesten, må kun anvendes til udvikling af denne dataformidlingstjeneste 

c)hvis de tilbyder yderligere værktøjer og tjenester til dataindehavere eller registrerede med det specifikke formål at lette udvekslingen af data, såsom midlertidig lagring, kuratering, konvertering, kryptering, anonymisering og pseudonymisering, må sådanne værktøjer og tjenester kun anvendes efter udtrykkelig anmodning eller godkendelse fra dataindehaveren eller den registrerede 

d)hvis dataformidlingstjenesteudbydere, der ikke er mikrovirksomheder eller små virksomheder, tilbyder deres kunder andre værdiforøgende tjenester end de tjenester, der er omhandlet i litra c), opfylder de følgende betingelser:

i)brugeren anmoder udtrykkeligt om de værdiforøgende tjenester

ii)oplysningerne anvendes ikke til andre formål end at udføre den værdiforøgende tjeneste

iii)de værdiforøgende tjenester tilbydes gennem en funktionelt adskilt enhed

iv)den virksomhed, der ønsker at udbyde værdiforøgende tjenester, er ikke udpeget som gatekeeper i henhold til artikel 3 i forordning (EU) 2022/1925

v)de kommercielle betingelser, herunder prisfastsættelse, for levering af dataformidlingstjenester til en dataindehaver eller databruger, er ikke afhængige af, om dataindehaveren eller databrugeren anvender værdiforøgende tjenester, der leveres af dataformidlingstjenesteudbyderen eller af en tilknyttet enhed

e)den dataformidlingstjenesteudbyder, der udbyder tjenester til registrerede, handler i de registreredes bedste interesse, hvor den gør det lettere for dem at udøve deres rettigheder, navnlig ved at informere og, hvis det er relevant, rådgive de registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form om databrugeres påtænkte dataanvendelser og de standardvilkår og -betingelser, der knytter sig til sådanne anvendelser, inden de registrerede giver deres samtykke.

Artikel 32d

Generelle krav til registrering af anerkendte dataaltruistiske organisationer

For at kunne blive registreret i det offentlige EU-register, der er omhandlet i artikel 32a, stk. 1, litra b), skal en dataaltruistisk organisation opfylde samtlige følgende krav:

a)de udfører dataaltruistiske aktiviteter

b)de er en juridisk person, der er oprettet i henhold til national ret med henblik på at opfylde almennyttige formål, som fastlagt i national ret, hvis det er relevant

c)de drives uden sigte på fortjeneste og er juridisk uafhængige af enheder, der drives med fortjeneste for øje

d)de udfører dataaltruistiske aktiviteter gennem en struktur, der er funktionelt adskilt fra deres andre aktiviteter.

Artikel 32e

Registrering

1)En dataformidlingstjenesteudbyder, der opfylder kravene i artikel 32c, kan indgive en ansøgning om registrering i det offentlige EU-register over anerkendte dataformidlingstjenesteudbydere til den kompetente myndighed, der er omhandlet i artikel 32b, i den medlemsstat, hvor den har sit hovedforretningssted.

En dataaltruistisk organisation, der opfylder kravene i artikel 32d, kan indgive en ansøgning om registrering i det offentlige EU-register over anerkendte dataaltruistiske organisationer til den kompetente myndighed, der er omhandlet i artikel 32b, i den medlemsstat, hvor den har sit hovedforretningssted.

2)Dataformidlingstjenesteudbydere og dataaltruistiske organisationer, der ikke har hovedforretningssted i Unionen, skal udpege en retlig repræsentant i en af medlemsstaterne. Den retlige repræsentant bemyndiges til at modtage henvendelser ud over eller i stedet for dataformidlingstjenesteudbyderen eller den dataaltruistiske organisation fra kompetente myndigheder eller registrerede og dataindehavere. Den retlige repræsentant samarbejder med og dokumenterer udførligt efter anmodning over for den kompetente myndighed, hvilke foranstaltninger der er truffet, og hvilke foranstaltninger dataformidlingstjenesteudbyderen eller den dataaltruistiske organisation har truffet for at sikre, at denne forordning overholdes.

Dataformidlingstjenesteudbyderen eller den dataaltruistiske organisation anses for at høre under den medlemsstats jurisdiktion, hvor den retlige repræsentant befinder sig. Udpegelsen af en retlig repræsentant berører ikke eventuelle retlige skridt mod dataformidlingstjenesteudbyderen eller den dataaltruistiske organisation.

3)De kompetente myndigheder udarbejder de nødvendige ansøgningsskemaer.

4)Hvis en dataformidlingstjenesteudbyder har indsendt alle nødvendige oplysninger i henhold til denne artikels stk. 3 og opfylder kravene i artikel 32c, træffer den kompetente myndighed inden for 12 uger efter modtagelsen af ansøgningen om registrering afgørelse om, hvorvidt udbyderen opfylder kriterierne i artikel 32c. Hvis udbyderen opfylder kriterierne, forelægger den kompetente myndighed de relevante oplysninger for Kommissionen, som registrerer udbyderne i det offentlige EU-register som anerkendt dataformidlingstjenesteudbyder.

Første afsnit finder også anvendelse, hvis en dataaltruistisk organisation har indsendt alle nødvendige oplysninger i henhold til stk. 2 og opfylder registreringskravene i artikel 32d.

Registreringen i det offentlige EU-register er gyldig i alle medlemsstater.

5)Den kompetente myndighed kan opkræve gebyrer for registreringen i overensstemmelse med national ret. Sådanne gebyrer skal være forholdsmæssige og objektive og være baseret på de administrative omkostninger i forbindelse med overvågningen af overholdelsen. For små midcapvirksomheder, små og mellemstore virksomheder samt opstartsvirksomheder kan den kompetente myndighed opkræve et nedsat gebyr eller give afkald på gebyret.

6)Registrerede enheder underretter den kompetente myndighed om enhver efterfølgende ændring af de oplysninger, der blev givet under ansøgningsprocessen, eller hvis de ophører med deres dataformidlings- eller dataaltruistiske aktiviteter i Unionen.

7)Den kompetente myndighed underretter uden ophold og ad elektronisk vej Kommissionen om enhver underretning i henhold til stk. 6. Kommissionen ajourfører uden unødig forsinkelse det offentlige EU-register.

Artikel 32f

Anerkendte dataaltruistiske organisationers pligter

1)Anerkendte dataaltruistiske organisationer, oplyser de registrerede eller dataindehaverne på en klar og letforståelig måde forud for enhver behandling af deres data om følgende:

a) de almennyttige formål og, hvis det er relevant, det specifikke, eksplicitte og legitime formål, hvortil personoplysninger skal behandles, og til hvilke den tillader, at en databruger behandler deres data

b) behandlingsstedet og de almennyttige formål, hvortil den tillader eventuel behandling foretaget i et tredjeland, hvis behandlingen foretages af den anerkendte dataaltruistiske organisation.

2)Anerkendte dataaltruistiske organisationer anvender ikke dataene til andre formål end de almennyttige formål, til hvilke den registrerede eller dataindehaveren tillader behandlingen. Den anerkendte dataaltruistiske organisation anvender ikke vildledende markedsføringspraksis til at opfordre til at levere data.

3)Anerkendte dataaltruistiske organisationer stiller elektroniske midler til rådighed til indhentning af samtykke fra registrerede eller tilladelser til at behandle data, der stilles til rådighed af dataindehavere, samt til tilbagetrækning heraf.

4)Anerkendte dataaltruistiske organisationer oplyser uden ophold dataindehaverne i tilfælde af enhver uautoriseret videregivelse, adgang eller brug af de andre data end personoplysninger, som denne har delt.

5)Hvis anerkendte dataaltruistiske organisationer fremmer tredjeparters databehandling herunder ved at sørge for værktøjer til indhentning af samtykke fra registrerede eller af tilladelser til at behandle data, der stilles til rådighed af dataindehavere, angiver de, hvis det er relevant, det tredjeland, hvor dataanvendelsen efter planen skal finde sted.

Artikel 32g

Overvågning af overholdelse

1)De kompetente myndigheder, der er omhandlet i artikel 32b, fører enten på eget initiativ eller efter anmodning fra en fysisk eller juridisk person overvåge og tilsyn med, om anerkendte dataformidlingstjenesteudbydere og anerkendte dataaltruistiske organisationer overholder kravene i dette kapitel, herunder om de fortsat opfylder de krav til registrering, der er fastsat deri.

2)De kompetente myndigheder har beføjelse til at anmode anerkendte dataformidlingstjenesteudbydere eller anerkendte dataaltruistiske organisationer eller deres retlige repræsentant om alle de oplysninger, der er nødvendige for at kontrollere overholdelsen af kravene i dette kapitel. Enhver anmodning om oplysninger skal stå i et rimeligt forhold til, hvad opgaven kræver, og være begrundet.

3)Hvis en kompetent myndighed konstaterer, at en anerkendt dataformidlingstjenesteudbyder eller en anerkendt dataaltruistisk organisation ikke opfylder et eller flere af kravene i dette kapitel, underretter den enheden eller dennes retlige repræsentant herom og giver den mulighed for at fremføre sine synspunkter inden for 30 dage efter modtagelsen af underretningen.

4)Den kompetente myndighed har beføjelse til at kræve, at overtrædelsen, jf. stk. 3, ophører øjeblikkeligt eller inden for en rimelig frist, og træffer passende foranstaltninger, der står i et rimeligt forhold til formålet, for at sikre, at kravene overholdes.

5)Hvis en anerkendt dataformidlingstjenesteudbyder eller en anerkendt dataaltruistisk organisation ikke opfylder et eller flere af kravene i dette kapitel, selv efter at være blevet underrettet herom i overensstemmelse med stk. 3, vil denne enhed:

a) miste sin ret til at anvende det mærke, der er omhandlet i artikel 32a, i skriftlig og mundtlig kommunikation

b) blive slettet fra det offentlige EU-register, der er omhandlet i artikel 32a.

Enhver afgørelse om tilbagekaldelse af retten til at anvende mærket som omhandlet i første afsnit, litra a), offentliggøres af den kompetente myndighed.

KAPITEL VIIb

Fri udveksling af andre data end personoplysninger i Unionen

Artikel 32h

Forbud mod placeringskrav for andre data end personoplysninger i Unionen

1)Dataplaceringskrav for andre data end personoplysninger er forbudt, medmindre de er begrundet i hensynet til den offentlige sikkerhed i overensstemmelse med proportionalitetsprincippet eller fastsat på grundlag af EU-retten.

2)Medlemsstaterne underretter straks Kommissionen om ethvert udkast til retsakt, der indebærer nye dataplaceringskrav eller ændringer af eksisterende dataplaceringskrav, i overensstemmelse med de procedurer, der er fastsat i artikel 5, 6 og 7 i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535.

Kapitel VIIc

Videreanvendelse af data og dokumenter i offentlige myndigheders besiddelse

Afdeling 1

Generelle bestemmelser

Artikel 32i

Genstand og anvendelsesområde

1)Dette kapitel fastsætter et sæt regler for videreanvendelse og de praktiske ordninger, der skal lette videreanvendelsen af følgende: 

a)eksisterende data og dokumenter i medlemsstaternes offentlige myndigheders besiddelse, herunder visse kategorier af beskyttede data 

b)eksisterende data og dokumenter i offentlige virksomheders besiddelse, hvor disse offentlige virksomheder: 

i)er aktive på de områder, der er omhandlet i kapitel II i Europa-Parlamentets og Rådets direktiv 2014/25/EU 

ii)handler som operatører af offentlige tjenester, jf. artikel 2 i Europa-Parlamentets og Rådets forordning (EF) nr. 1370/2007 

iii)handler som luftfartsselskaber og opfylder forpligtelser til offentlig tjeneste i henhold til artikel 16 i Europa-Parlamentets og Rådets forordning (EF) nr. 1008/2008 eller 

iv)handler som EU-redere, som opfylder en forpligtelse til offentlig tjeneste i henhold til artikel 4 i Rådets forordning (EØF) nr. 3577/92 

c)    forskningsdata, jf. betingelserne i artikel 32t.

2) Dette kapitel finder ikke anvendelse på følgende: 

a)data og dokumenter, hvis tilvejebringelse ikke er omfattet af de pågældende offentlige myndigheders offentlige opgaver som fastsat ved lov eller andre retsforskrifter i medlemsstaten eller i mangel heraf, som fastlagt i overensstemmelse med almindelig administrativ praksis i den pågældende medlemsstat, forudsat at de offentlige opgavers rækkevidde er gennemsigtig og underlagt kontrol 

b)data og dokumenter, som offentlige virksomheder er i besiddelse af, og som: 

i)er produceret uden for anvendelsesområdet for leveringen af tjenesteydelser af almen interesse som fastsat ved lov eller andre retsforskrifter i medlemsstaterne 

ii)vedrører aktiviteter, der er direkte udsat for konkurrence, og derfor i henhold til artikel 34 i direktiv 2014/25/EU ikke er underlagt reglerne for offentlige udbud 

c)data og dokumenter såsom følsomme data, som er udelukket fra aktindsigt i henhold til medlemsstatens regler herom af hensyn til beskyttelsen af den nationale sikkerhed (dvs. statens sikkerhed), forsvaret eller den offentlige sikkerhed

d)data og dokumenter, som public service-radio- og TV-virksomheder, deres datterselskaber og andre organer eller deres underorganer er i besiddelse af i forbindelse med opfyldelse af public service-radio- og TV-spredningsopgaver

3)Afdeling 2 i dette kapitel finder ikke anvendelse på:

a)data eller dokumenter såsom følsomme data eller dokumenter, som er udelukket fra aktindsigt i henhold til medlemsstaternes regler herom, herunder af følgende grunde:

i)statistisk fortrolighed  

ii)kommerciel fortrolighed (herunder forretnings-, erhvervs- og virksomhedshemmeligheder)  

b)data eller dokumenter, hvortil adgang er begrænset i henhold til medlemsstaternes aktindsigtsordninger

i)herunder tilfælde, hvor borgere eller juridiske enheder skal dokumentere en særlig interesse for at få aktindsigt i dokumenterne

ii)under henvisning til beskyttelse af personoplysninger, og dele af data eller dokumenter, der i henhold til disse ordninger er adgang til, som indeholder personoplysninger, hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger eller underminerer beskyttelsen af privatlivets fred og den enkeltes integritet, navnlig i henhold til EU-retten eller national ret vedrørende beskyttelse af personoplysninger logoer, emblemer og insignier

c)data eller dokumenter, hvortil tredjemand besidder den intellektuelle ejendomsret 

d)data eller dokumenter, som kulturinstitutioner, bortset fra biblioteker, herunder universitetsbiblioteker, museer og arkiver, er i besiddelse af

e)data eller dokumenter, som uddannelsesinstitutioner på sekundærtrinnet og derunder er i besiddelse af, og, for så vidt angår alle andre læreanstalter, andre data end dem, der er omhandlet i stk. 1, litra c)

f)andre data eller dokumenter end de i stk. 1, litra c), omhandlede, som forskningsorganisationer og forskningsfinansierende organisationer, herunder organisationer, der har overførsel af forskningsresultater som opgave, er i besiddelse af

g)data eller dokumenter, hvortil adgang er udelukket eller begrænset på grund af oplysninger vedrørende beskyttelse af kritiske enheder eller kritisk infrastruktur som defineret i artikel 2, nr. 1) og 4), i direktiv (EU) 2022/2557.

4)Afdeling 3 i dette kapitel finder ikke anvendelse på:

a)data og dokumenter, der ikke er visse kategorier af beskyttede data

b)data eller dokumenter, som offentlige virksomheder er i besiddelse af

c)data eller dokumenter, som kulturinstitutioner og uddannelsesinstitutioner er i besiddelse af

d)data og dokumenter, der er omfattet af dette kapitels afdeling 2.

5)Dette kapitel bygger på og berører ikke Unionens og nationale aktindsigtsordninger, navnlig med hensyn til tildeling af aktindsigt i og offentliggørelse af officielle dokumenter.

6)De forpligtelser, der pålægges ved dette kapitel, gælder kun, for så vidt som de er forenelige med internationale aftaler om beskyttelse af intellektuel ejendomsret, især Bernerkonventionen til værn for litterære og kunstneriske værker (Bernerkonventionen), aftalen om handelsrelaterede intellektuelle ejendomsrettigheder (TRIPS-aftalen) og Verdensorganisationen for Intellektuel Ejendomsrets traktat om ophavsret (WTC).

7)De rettigheder for en fremstiller af en database, der er fastsat i artikel 7, stk. 1, i direktiv 96/9/EF, må ikke udøves af offentlige myndigheder for at forhindre videreanvendelsen af data og dokumenter eller begrænse videreanvendelse ud over de grænser, der er fastsat i nærværende kapitel.

8)Dette kapitel regulerer videreanvendelse af eksisterende data og dokumenter, som offentlige myndigheder og offentlige virksomheder i medlemsstaterne er i besiddelse af, herunder data og dokumenter, som er omfattet af Europa-Parlamentets og Rådets direktiv 2007/2/EF.

9)Dette kapitel berører ikke EU-retten og national ret samt internationale aftaler, som Unionen eller medlemsstaterne er part i, om beskyttelse af de kategorier af data eller dokumenter, der er omhandlet i artikel 2, nr. 54).

Artikel 32j

Ikkeforskelsbehandling

1)Eventuelle betingelser for videreanvendelse af data eller dokumenter skal være ikkediskriminerende, gennemsigtige, stå i et rimeligt forhold til formålet og være objektivt begrundede med hensyn til kategorierne af data eller dokumenter, formålene med videreanvendelsen og karakteren af de data eller dokumenter, som det er tilladt at videreanvende. Disse betingelser må ikke benyttes til at begrænse konkurrencen. Dette princip gælder ligeledes for sammenlignelige kategorier af videreanvendelse, herunder for grænseoverskridende videreanvendelse. 

2)Hvis data eller dokumenter videreanvendes af en offentlig myndighed til dens kommercielle aktiviteter, som falder uden for myndighedens offentlige opgaver, skal der gælde de samme gebyrer og andre betingelser for udlevering af data eller dokumenter til disse aktiviteter, som er gældende for andre videreanvendere.

Artikel 32k

Eneretsaftaler

1)Alle potentielle markedsoperatører skal have mulighed for at videreanvende data eller dokumenter, også selv om en eller flere markedsoperatører allerede udnytter værdiforøgede produkter på grundlag af disse data eller dokumenter. Aftaler eller andre ordninger eller former for praksis vedrørende videreanvendelse af data eller dokumenter, der har til formål eller til følge at indrømme eneret eller begrænse adgangen til data eller dokumenter til videreanvendelse for andre enheder end parterne i sådanne aftaler, ordninger eller former for praksis, er forbudt.

2)Uanset stk. 1 gælder det, at hvis en eneret er nødvendig for leveringen af en tjenesteydelse af almen interesse, kan en sådan ret gives i det omfang, det er nødvendigt for leveringen af tjenesteydelsen eller leveringen af produktet på følgende betingelser: 

a)Eneretten tildeles gennem en forvaltningsakt eller en kontraktlig aftale i overensstemmelse med gældende EU-ret og national ret og i overensstemmelse med principperne om gennemsigtighed, ligebehandling og ikkeforskelsbehandling.

b)Aftalerne om tildeling af eneret, herunder begrundelsen for, at det er nødvendigt at tildele en sådan ret, skal være gennemsigtige og offentliggøres på internettet, i en form, der er i overensstemmelse med den relevante EU-ret om offentlige udbud og national ret.

c)Med undtagelse af eneret i forbindelse med digitalisering af kulturelle ressourcer tages gyldigheden af begrundelsen for at tildele eneret vedrørende data og dokumenter, der er omfattet af afdeling 2, regelmæssigt op til revision og under alle omstændigheder hvert tredje år.

d)De eneretsaftaler, der er indgået efter den 16. juli 2019 eller senere, gøres offentligt tilgængelige online mindst to måneder før deres ikrafttræden. De endelige vilkår i sådanne aftaler skal være gennemskuelige og offentligt tilgængelige online.

3)Uanset stk. 1 må eneretsperioden, såfremt en eneret vedrører digitalisering af kulturelle ressourcer, som hovedregel ikke overstige ti år. Hvis denne periode overstiger ti år, skal dens varighed være i overensstemmelse med gældende EU-ret og national ret, der tages op til revision i løbet af det 11. år og, hvis det er relevant, hvert syvende år derefter.

4)I tilfælde af en eneret som omhandlet stk. 3 skal den berørte offentlige myndighed, som led i disse aftaler, gratis modtage en kopi af de digitaliserede kulturelle ressourcer. Denne kopi stilles til rådighed med henblik på videreanvendelse ved udgangen af eneretsperioden.

5)For visse kategorier af beskyttede data må varigheden af en eneret til videreanvendelse af data ikke overstige 12 måneder. Når der indgås kontrakt, skal varigheden af kontrakten svare til varigheden af eneretten.

6)Aftaler og andre ordninger eller former for praksis, som uden udtrykkeligt at give en eneret sigter mod eller med rimelighed kan forventes at ville medføre en begrænset adgang til videreanvendelse af data og dokumenter omfattet af afdeling 2 for andre enheder end dem, der deltager i sådanne ordninger, gøres offentligt tilgængelige online mindst to måneder før deres ikrafttræden. Den virkning, som sådanne retlige eller praktiske ordninger har på tilgængeligheden af data til videreanvendelse, revurderes med jævne mellemrum og under alle omstændigheder hvert tredje år. De endelige vilkår i sådanne aftaler skal være gennemskuelige og offentligt tilgængelige online.

7)For eksisterende eneretsaftaler gælder følgende:

a)Eneretsaftaler vedrørende data og dokumenter omfattet af afdeling 2, der eksisterede den 17. juli 2013, som ikke opfylder betingelserne for undtagelserne i stk. 2 og 3, og som blev indgået af offentlige myndigheder, ophører ved kontraktens udløb og under alle omstændigheder senest den 18. juli 2043.

b)Eneretsaftaler vedrørende data og dokumenter omfattet af afdeling 2, der eksisterede den 16. juli 2019, som ikke opfylder betingelserne for undtagelserne i stk. 2 og 3, og som blev indgået af offentlige virksomheder, ophører ved kontraktens udløb og under alle omstændigheder senest den 17. juli 2049.

Artikel 32l

Generelle principper for opkrævning af gebyrer

1)Alle gebyrer, der er fastsat i henhold til afdeling 2 eller 3, skal være gennemsigtige, ikkediskriminerende, forholdsmæssige og objektivt begrundede og må ikke begrænse konkurrencen.

2)Er der tale om standardgebyrer for videreanvendelse af data eller dokumenter, fastlægges betingelserne og størrelsen af gebyrerne, herunder beregningsgrundlaget for gebyrerne, på forhånd og offentliggøres, såfremt det er muligt og hensigtsmæssigt, i elektronisk form.

3)Er der tale om andre gebyrer for videreanvendelse end de i stk. 1 nævnte, angives de faktorer, der vil blive lagt til grund for beregningen af disse gebyrer på forhånd. På anmodning angiver den pågældende indehaver af dataene eller dokumenterne også, hvordan gebyrerne er beregnet i forbindelse med den konkrete anmodning om videreanvendelse.

4)De offentlige myndigheder sikrer, at eventuelle gebyrer også kan betales online via bredt tilgængelige grænseoverskridende betalingstjenester uden forskelsbehandling på grundlag af, hvor betalingstjenesteudbyderen er hjemmehørende, hvor betalingsinstrumentet er udstedt, eller hvor betalingskontoen er placeret i Unionen. 

Artikel 32m

Oplysninger om klagemuligheder

De offentlige myndigheder sikrer, at ansøgere om videreanvendelse af data eller dokumenter underrettes om muligheder for at påklage afgørelser eller praksis, som berører dem.

Afdeling 2

Videreanvendelse af åbne offentlige data

Underafdeling 1 Anvendelsesområde og generelle principper

Artikel 32n

Generelt princip for videreanvendelse af åbne offentlige data

1)Data eller dokumenter, der er omfattet af denne afdeling, skal kunne videreanvendes til kommercielle eller ikkekommercielle formål i overensstemmelse med afdeling 1 og afdeling 2, underafdeling 3.

2)For data eller dokumenter, som biblioteker, herunder universitetsbiblioteker, museer og arkiver har intellektuelle ejendomsrettigheder til, og for data eller dokumenter i offentlige virksomheders besiddelse, når videreanvendelse af sådanne data eller dokumenter er tilladt, skal disse data eller dokumenter kunne videreanvendes til kommercielle eller ikkekommercielle formål i overensstemmelse med afdeling 1 og afdeling 2, underafdeling 3.

Underafdeling 2

Anmodninger om videreanvendelse

Artikel 32o

Behandling af anmodninger om videreanvendelse

1)Offentlige myndigheder behandler, såfremt det er muligt og hensigtsmæssigt, anmodninger om videreanvendelse elektronisk og gør dokumentet tilgængeligt for videreanvendelse for ansøgeren, eller, hvis der kræves licens, udarbejder licenstilbuddet til ansøgeren inden for en rimelig frist, der svarer til fristerne for behandling af anmodninger om aktindsigt i data eller dokumenter. 

2)Såfremt der ikke er fastlagt tidsfrister eller andre regler for udlevering af data eller dokumenter inden for et rimeligt tidsrum, behandler de offentlige myndigheder anmodningerne og udleverer de data eller dokumenter, der skal videreanvendes, til ansøgeren, eller, hvis der kræves licens, udarbejder licenstilbuddet til ansøgeren hurtigst muligt og under alle omstændigheder inden 20 arbejdsdage efter modtagelsen heraf. Denne frist kan forlænges med yderligere 20 arbejdsdage, når der er tale om omfattende eller komplekse anmodninger. I sådanne tilfælde underrettes ansøgeren hurtigst muligt og under alle omstændigheder inden tre uger efter den første anmodning om, at behandlingen kræver længere tid, og med begrundelsen herfor. 

3)I tilfælde af et afslag meddeler de offentlige myndigheder ansøgeren grundene til afslaget på grundlag af de relevante bestemmelser i adgangsordningen i den pågældende medlemsstat eller bestemmelserne i denne forordning, navnlig artikel 32i, stk. 2, litra a)-c), og artikel 32i, stk. 3, litra a)-d), eller artikel 32n (almindeligt princip i ODD-afsnittet). Såfremt der gives afslag på grundlag af artikel 32i, stk. 3, litra d), indsætter den offentlige myndighed en henvisning til den fysiske eller juridiske person, som er indehaver af rettighederne, når denne kendes, eller alternativt til den licensgiver, hvorfra den offentlige myndighed har indhentet det relevante materiale. Biblioteker, herunder universitetsbiblioteker, museer og arkiver, er ikke forpligtet til at indsætte en sådan henvisning.

4)Klagemulighederne skal omfatte muligheden for prøvelse ved en uvildig prøvelsesinstans med den nødvendige ekspertise såsom den nationale konkurrencemyndighed, den relevante myndighed for aktindsigt i data eller dokumenter, en tilsynsmyndighed oprettet i overensstemmelse med forordning (EU) 2016/679 eller en national judiciel myndighed, hvis afgørelser er bindende for den pågældende offentlige myndighed. 

5)Medlemsstaterne opretter med henblik på denne artikel praktiske ordninger, som gør det lettere at videreanvende data eller dokumenter. Disse ordninger kan navnlig omfatte måder til tilvejebringelse af passende oplysninger om rettigheder som fastsat i denne forordning og til at tilbyde relevant bistand og vejledning.

6)Denne artikel finder ikke anvendelse på følgende enheder:

a)offentlige virksomheder 

b)læreanstalter, forskningsorganisationer og forskningsfinansierende organisationer. 

Underafdeling 3

Betingelser for videreanvendelse

Artikel 32p

Tilgængelige formater

1)Uden at det berører underafdeling 5, gør offentlige myndigheder og offentlige virksomheder deres data eller dokumenter tilgængelige i alle allerede eksisterende formater eller i alle allerede eksisterende sprogversioner og, såfremt det er muligt og hensigtsmæssigt, i elektronisk form i et format, der er åbent, maskinlæsbart, tilgængeligt, let at finde og kan videreanvendes, sammen med deres metadata. Både formatet og metadataene skal om muligt være i overensstemmelse med formelle åbne standarder. 

2)Medlemsstaterne tilskynder offentlige myndigheder og offentlige virksomheder til at udarbejde og tilgængeliggøre data eller dokumenter, der er omfattet af denne afdelings anvendelsesområde, i overensstemmelse med princippet om, at de er "åbne gennem design og standardindstillinger". 

3)Stk. 1 indebærer ikke, at offentlige myndigheder er forpligtet til at fremstille eller tilpasse data eller dokumenter eller til at stille uddrag til rådighed for at efterkomme stk. 1, hvis dette ville medføre et uforholdsmæssigt stort arbejde, der ikke kan klares som en simpel ekspeditionssag. 

4)Det kræves ikke, at offentlige myndigheder fortsat udarbejder og lagrer en bestemt type data eller dokumenter, for at de kan videreanvendes af en organisation i den private eller offentlige sektor.

5)Offentlige myndigheder gør dynamiske data tilgængelige for videreanvendelse umiddelbart efter indsamlingen via egnede API-grænseflader og, hvis det er relevant, i form af massedownloads 

6)Hvis tilgængeliggørelsen af dynamiske data for videreanvendelse, jf. stk. 5, umiddelbart efter indsamlingen ville overstige den finansielle og tekniske kapacitet hos den offentlige myndighed og derved pålægge et uforholdsmæssigt stort arbejde, gøres disse dynamiske data tilgængelige for videreanvendelse inden for en tidsfrist eller med midlertidige tekniske begrænsninger, som ikke hæmmer udnyttelsen af deres økonomiske og sociale potentiale uforholdsmæssigt. 

7)Stk. 1-6 finder anvendelse på eksisterende data eller dokumenter, som offentlige virksomheder er i besiddelse af, og som er tilgængelige for videreanvendelse. 

8)De datasæt af høj værdi, som er fastlagt i overensstemmelse med artikel 32v, stk. 1, gøres tilgængelige for videreanvendelse i maskinlæsbart format via egnede API-grænseflader og, hvis det er relevant, i form af massedownloads. 

Artikel 32q

Principper for opkrævning af gebyr for åbne offentlige data

1)Videreanvendelse af data eller dokumenter, der er omfattet af denne afdeling, er gratis. Det kan dog tillades, at den offentlige myndighed, der er i besiddelse af dataene, inddriver de marginale omkostninger til reproduktion, levering og formidling af sådanne data eller dokumenter samt til anonymisering af personoplysninger og foranstaltninger, der træffes for at beskytte kommercielt fortrolige oplysninger.

2)Stk. 1 finder ikke anvendelse på følgende enheder:

a)offentlige myndigheder, som skal generere indtægter til dækning af en betydelig del af omkostningerne til udførelse af deres offentlige opgaver

b)biblioteker, herunder universitetsbiblioteker, museer og arkiver

c)offentlige virksomheder.

3)Medlemsstaterne offentliggør online en liste over de offentlige myndigheder, der er omhandlet i stk. 2, litra a).

4)I de i stk. 2, litra a) og c), omhandlede tilfælde beregnes de samlede gebyrer i henhold til objektive, gennemsigtige og kontrollerbare kriterier. Sådanne kriterier fastlægges af medlemsstaterne. Den samlede indtægt fra tilvejebringelse og tilladelse til videreanvendelse af data eller dokumenter inden for den relevante regnskabsperiode må ikke overstige omkostningerne ved deres indsamling, produktion, reproduktion, formidling og datalagring samt en rimelig forrentning af investeringerne, og – hvis dette er relevant – anonymisering af personoplysninger og foranstaltninger til at beskytte fortrolige forretningsoplysninger. Gebyrerne beregnes i overensstemmelse med gældende regnskabsprincipper.

5)Såfremt de i stk. 2, litra b), omhandlede offentlige myndigheder opkræver gebyrer, må den samlede indtægt fra tilvejebringelse og tilladelse af videreanvendelse af data eller dokumenter inden for den relevante regnskabsperiode ikke overstige omkostningerne ved indsamling, produktion, reproduktion, formidling, datalagring, opbevaring og rettighedsclearing og, hvis dette er relevant, anonymisering af personoplysninger og foranstaltninger til at beskytte fortrolige forretningsoplysninger samt en rimelig forrentning af investeringerne. Gebyrerne beregnes i overensstemmelse med de regnskabsprincipper, der gælder for de pågældende offentlige myndigheder.

6)Offentlige myndigheder kan fastsætte højere gebyrer for meget store virksomheders videreanvendelse af data og dokumenter end de gebyrer, der er fastsat i stk. 1, 4 og 5. Sådanne gebyrer skal være forholdsmæssige og baseret på objektive kriterier under hensyntagen til enhedens økonomiske styrke eller evne til at erhverve data, herunder navnlig en udpegelse som gatekeeper i henhold til forordning (EU) 2022/1925. Ud over de elementer, der er anført i denne artikels stk. 1, kan sådanne gebyrer dække omkostningerne ved indsamling, produktion, reproduktion, formidling og datalagring og, hvor det er relevant, omkostningerne ved anonymisering eller foranstaltninger til beskyttelse af dataenes eller dokumenternes fortrolighed samt en rimelig forretning af investeringerne.

7)Videreanvendelsen af følgende skal være gratis for brugerne:

a)datasæt af høj værdi, der er opført på listen i overensstemmelse med artikel 32v, stk. 1, jf. dog nævnte artikels stk. 3, 4 og 5

b)forskningsdata som omhandlet i artikel 32i, stk. 1, litra c).

Artikel 32r

Standardlicenser

1)Videreanvendelse af data eller dokumenter er ikke underlagt betingelser, medmindre sådanne betingelser er objektive, forholdsmæssige, ikkediskriminerende og begrundet i et hensyn i offentlighedens interesse. 

2)Hvis videreanvendelse er underlagt betingelser, må disse betingelser ikke begrænse mulighederne for videreanvendelse unødigt og ikke benyttes til at begrænse konkurrencen. 

3)I medlemsstater, hvor der anvendes licenser, sikrer de offentlige organer, at standardlicenser til videreanvendelse af den offentlige sektors data eller dokumenter, der kan tilpasses, så de imødekommer særlige licensansøgninger, er tilgængelige i digitalt format og kan behandles elektronisk.

4)Offentlige myndigheder kan fastsætte særlige betingelser for meget store virksomheders videreanvendelse af data og dokumenter. Sådanne betingelser skal være forholdsmæssige og baseret på objektive kriterier. De oprettes under hensyntagen til enhedens økonomiske styrke eller evne til at erhverve data, herunder navnlig en udpegelse som gatekeeper i henhold til forordning (EU) 2022/1925.

Artikel 32s

Bestemmelser om den praktiske gennemførelse

1)Medlemsstaterne etablerer praktiske ordninger, som gør det lettere at søge efter data og dokumenter, hvortil der er givet adgang til videreanvendelse, f.eks. lister over de vigtigste data eller dokumenter med relevante metadata, der, såfremt det er muligt og hensigtsmæssigt, er tilgængelige online og i et maskinlæsbart format, og webportaler, hvorfra der er adgang til sådanne lister over dokumenter. Medlemsstaterne fremmer, hvor det er muligt, tværsproglig søgning efter data eller dokumenter, navnlig ved at muliggøre aggregering af metadata på EU-plan.

Medlemsstaterne tilskynder også offentlige myndigheder til at etablere praktiske ordninger, der gør det lettere at bevare data eller dokumenter til videreanvendelse. 

2)Medlemsstaterne fortsætter i samarbejde med Kommissionen deres bestræbelser på at forenkle adgangen til datasæt, navnlig ved at etablere et enkelt adgangspunkt og ved gradvis at gøre passende datasæt i offentlige myndigheders besiddelse tilgængelige for så vidt angår de data eller dokumenter, som dette afsnit finder anvendelse på, samt data i EU-institutioners besiddelse i formater, der er tilgængelige, læsbare, lette at finde og kan videreanvendes i elektronisk form. 

Underafdeling 4

Forskningsdata

Artikel 32t

Forskningsdata

1)Medlemsstaterne støtter tilgængeligheden af forskningsdata med vedtagelsen af nationale politikker og relevante foranstaltninger, som sigter mod at gøre offentligt finansierede forskningsdata offentligt tilgængelige ("åbne datapolitikker") ifølge princippet om "åbne gennem standardindstillinger" og i overensstemmelse med FAIR-principperne. Der skal i den forbindelse tages hensyn til problemstillinger i forbindelse med intellektuelle ejendomsrettigheder, beskyttelse af personoplysninger og privatlivets fred, sikkerhed og legitime kommercielle interesser i overensstemmelse med princippet om "så åbent som muligt, så lukket som nødvendigt". Disse åbne datapolitikker skal være rettet mod forskningsorganisationer og forskningsfinansierende organisationer. 

2)Uden at det berører artikel 32n, stk. 3, litra d), skal forskningsdata kunne videreanvendes til kommercielle eller ikkekommercielle formål i overensstemmelse med afdeling 1 og afdeling 2, underafdeling 3, for så vidt de finansieres af det offentlige, og forskere, forskningsorganisationer eller forskningsfinansierende organisationer allerede har gjort dem tilgængelige gennem en institutionel eller emnebaseret datasamling. I denne forbindelse skal der tages hensyn til legitime kommercielle interesser, videndelingsaktiviteter og allerede eksisterende intellektuelle ejendomsrettigheder.

Underafdeling 5

Datasæt af høj værdi

Artikel 32u

Tematiske kategorier af datasæt af høj værdi

1)De tematiske kategorier af datasæt af høj værdi er fastsat i bilag I. 

2)Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 45, stk. 2a, med henblik på at ændre bilag I ved at tilføje nye tematiske kategorier af datasæt af høj værdi, som afspejler den teknologiske og markedsmæssige udvikling. 

Artikel 32v

Særlige typer datasæt af høj værdi og ordninger for offentliggørelse og videreanvendelse

1)Kommissionen vedtager gennemførelsesretsakter, der fastlægger en liste over særlige typer datasæt af høj værdi, der er omfattet af kategorierne som fastsat i bilag I, og som offentlige myndigheder og offentlige virksomheder er i besiddelse af, blandt de data eller dokumenter, som denne afdeling finder anvendelse på.

Sådanne særlige typer datasæt af høj værdi skal:

a)være gratis tilgængelige, jf. dog stk. 3, 4 og 5

b)være maskinlæsbare

c)leveres via API'er og

d)være tilgængelige i form af massedownloads, hvis dette er relevant.

Disse gennemførelsesretsakter kan specificere ordningerne for offentliggørelse og videreanvendelse af datasæt af høj værdi. Sådanne ordninger skal være forenelige med åbne standardlicenser.

Ordningerne kan omfatte betingelser for videreanvendelse, formater af data og metadata og tekniske ordninger for deres formidling. Investeringer foretaget af medlemsstaterne i åbne datapolitikker såsom investeringer i udvikling og indførelse af visse standarder skal tages i betragtning og opvejes mod de potentielle fordele ved optagelse på listen.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 46, stk. 2.

2)Fastlæggelsen af særlige datasæt af høj værdi i henhold til stk. 1 skal være baseret på en vurdering af deres potentiale til at:

a)skabe vigtige samfundsøkonomiske eller miljørelaterede fordele og innovative tjenester

b)komme det store antal brugere, navnlig SMV'er og SMC'er, til gavn

c)bidrage til at generere indtægter og

d)blive kombineret med andre datasæt.

Med henblik på fastlæggelsen af sådanne særlige datasæt af høj værdi foretager Kommissionen passende høringer, herunder på ekspertniveau, foretager en konsekvensanalyse og sikrer komplementaritet med eksisterende retsakter såsom Europa-Parlamentets og Rådets direktiv 2010/40/EU med hensyn til videreanvendelse af data eller dokumenter. Denne konsekvensanalyse skal omfatte en cost-benefit-analyse og en analyse af, hvorvidt levering af datasæt af høj værdi gratis fra offentlige myndigheder, der skal generere indtægter til dækning af en betydelig del af omkostningerne til udførelse af deres offentlige opgaver, vil have væsentlig indvirkning på sådanne myndigheders budget. Hvad angår datasæt af høj værdi, som offentlige virksomheder er i besiddelse af, skal konsekvensanalysen tage særligt hensyn til offentlige virksomheders rolle i et konkurrencepræget økonomisk miljø.

3)Uanset stk. 1, andet afsnit, litra a), skal gennemførelsesretsakterne som omhandlet i stk. 1 foreskrive, at gratis tilgængelighed til datasæt af høj værdi ikke finder anvendelse på særlige typer af datasæt af høj værdi, som offentlige virksomheder er i besiddelse af, hvis dette vil medføre forvridning af konkurrencevilkårene på de relevante markeder.

4)Kravet om at gøre datasæt af høj værdi gratis tilgængelige i henhold til stk. 1, andet afsnit, litra a), finder ikke anvendelse på biblioteker, herunder universitetsbiblioteker, museer og arkiver.

5)Medlemsstaterne kan, hvis gratis tilgængelighed til typer af datasæt af høj værdi for offentlige myndigheder, som skal generere indtægter til dækning af en betydelig del af omkostningerne til udførelse af deres offentlige opgaver, vil have væsentlig indvirkning på de pågældende myndigheders budget, fritage disse myndigheder fra kravet om at gøre disse datasæt af høj værdi gratis tilgængelige i en periode på højst to år fra ikrafttrædelsesdatoen for den relevante gennemførelsesretsakt vedtaget i overensstemmelse med stk. 1.

Afdeling 3

Videreanvendelse af bestemte kategorier af beskyttede data i offentlige myndigheders besiddelse

Artikel 32w

Betingelser for videreanvendelse

1)Offentlige myndigheder, der i henhold til national ret har kompetence til at give eller nægte adgang til videreanvendelse af data eller dokumenter, der tilhører visse kategorier af beskyttede data, offentliggør betingelserne for tilladelsen til en sådan videreanvendelse og proceduren for anmodning om videreanvendelse via det centrale informationssted, der er omhandlet i artikel 32aa. Når de giver eller nægter adgang til videreanvendelse, kan de bistås af de kompetente organer, der er omhandlet i artikel 32z, stk. 1.

Medlemsstaterne sikrer, at offentlige myndigheder tilføres de nødvendige ressourcer til at overholde denne artikel og artikel 32x.

2)Videreanvendelse af data eller dokumenter berører ikke disse datas eller dokumenters beskyttede karakter og er kun tilladt: 

a)i overensstemmelse med intellektuelle ejendomsrettigheder 

b)hvis data, der betragtes som fortrolige i overensstemmelse med EU-retten eller national ret om kommerciel eller statistisk fortrolighed, ikke videregives som følge af tilladelse til videreanvendelse, medmindre en sådan videreanvendelse er tilladt på grundlag af den registreredes samtykke eller dataindehaverens tilladelse i overensstemmelse med stk. 5

c) i overensstemmelse med forordning (EU) 2016/679.

3)For at sikre, at dataenes eller dokumenternes beskyttede karakter bevares, som omhandlet i stk. 2, kan offentlige myndigheder fastsætte følgende krav:

a)kun at give adgang til videreanvendelse af data eller dokumenter, hvis den offentlige myndighed eller det kompetente organ har sikret, at dataene eller dokumenterne efter anmodningen om videreanvendelse er blevet:

i)anonymiseret i tilfælde af personoplysninger 

ii)gjort til genstand for andre former for forberedelse af personoplysninger

iii)ændret, samlet eller behandlet efter en anden metode til kontrol med fortrolighed i tilfælde af kommercielt fortrolige oplysninger, herunder forretningshemmeligheder eller indhold, der er beskyttet af intellektuelle ejendomsrettigheder

b)at data eller dokumenter tilgås og videreanvendes via fjernadgang i et sikkert databehandlingsmiljø, der stilles til rådighed eller kontrolleres af den offentlige myndighed

c)at data eller dokumenter i overensstemmelse med høje sikkerhedsstandarder tilgås og videreanvendes i de fysiske lokaler, hvor det sikre databehandlingsmiljø befinder sig, såfremt der ikke kan tillades fjernadgang uden at bringe tredjeparters rettigheder og interesser i fare.

I tilfælde af tilladelse til videreanvendelse i overensstemmelse med første afsnit, litra a), nr. i), er videreanvendelse af data eller dokumenter underlagt reglerne om åbne offentlige data i afdeling 2. Dette berører ikke artikel 32y, som har forrang i tilfælde af uoverensstemmelse.

I tilfælde af tilladelse til videreanvendelse i overensstemmelse med første afsnit, litra b) og c), fastsætter de offentlige myndigheder betingelser, der bevarer integriteten af de tekniske systemers funktion i det anvendte sikre databehandlingsmiljø.

4)Den offentlige myndighed forbeholder sig ret til at kontrollere processen, midlerne og resultaterne af videreanvenderens behandling af data eller dokumenter med henblik på at bevare integriteten af beskyttelsen af dataene eller dokumenterne. Den forbeholder sig også ret til at forbyde anvendelse af resultater, der indeholder oplysninger, der bringer tredjeparters rettigheder og interesser i fare. Afgørelsen om forbud mod anvendelsen af resultater skal være forståelig og gennemsigtig for videreanvenderen.

Medmindre national ret fastsætter specifikke beskyttelsesforanstaltninger om gældende fortrolighedsforpligtelser vedrørende videreanvendelse af visse kategorier af beskyttede data, gør den offentlige myndighed videreanvendelsen af data eller dokumenter som fastsat i stk. 3 betinget af, at videreanvenderen overholder en fortrolighedsforpligtelse, der forbyder videregivelse af alle former for oplysninger, der bringer tredjeparters rettigheder og interesser i fare, og som videreanvenderen kan have indhentet på trods af de indførte beskyttelsesforanstaltninger. I tilfælde af uautoriseret videreanvendelse af andre data end personoplysninger er videreanvenderen forpligtet til straks at underrette de fysiske eller juridiske personer, hvis rettigheder og interesser kan blive berørt, hvis det er relevant med bistand fra den offentlige myndighed.

5)Hvis videreanvendelse af data eller dokumenter ikke kan tillades i overensstemmelse med stk. 3 og 4, må videreanvendelse kun være mulig: 

a)hvis der ikke findes noget andet retsgrundlag end samtykke til videregivelse af oplysningerne i henhold til forordning (EU) 2016/679, med de registreredes samtykke   

b)med tilladelse fra de dataindehavere, hvis rettigheder og interesser kan blive berørt af en sådan videreanvendelse.

Den offentlige myndighed bestræber sig i overensstemmelse med EU-retten og national ret på at bistå potentielle videreanvendere med at indhente de registreredes samtykke eller tilladelse fra de dataindehavere, hvis rettigheder og interesser kan blive berørt af en sådan videreanvendelse, når det er muligt uden uforholdsmæssig store byrder for den offentlige myndighed.   

Den offentlige myndighed kan i forbindelse med ydelsen af denne bistand bistås af de kompetente organer, der er omhandlet i artikel 32z. 

Artikel 32x

Krav til videreanvenderes overførsel af andre data end personoplysninger til tredjelande

1)Hvis en videreanvender har til hensigt at overføre visse kategorier af andre data end personoplysninger, der er beskyttet, til et tredjeland, oplyser denne den offentlige myndighed om sin hensigt om at overføre sådanne data og om formålet med en sådan overførsel på tidspunktet for anmodningen om videreanvendelse. I tilfælde af videreanvendelse baseret på dataindehaverens tilladelse oplyser videreanvenderen, hvis det er relevant med bistand fra den offentlige myndighed, den fysiske eller juridiske person, hvis rettigheder og interesser kan blive berørt, om denne hensigt, dette formål og de passende beskyttelsesforanstaltninger. Den offentlige myndighed må ikke tillade videreanvendelsen, medmindre den fysiske eller juridiske person giver tilladelse til overførslen.

2)Offentlige myndigheder må kun videregive fortrolige data, der ikke er personoplysninger, eller data, der er beskyttet af intellektuelle ejendomsrettigheder, til en videreanvender, som har til hensigt at overføre de pågældende data til et andet tredjeland end et land, der er udpeget i overensstemmelse med stk. 7, hvis videreanvenderen kontraktligt forpligter sig til:

a)at overholde de forpligtelser, der er pålagt i overensstemmelse med intellektuelle ejendomsrettigheder og EU-retten eller national ret om kommerciel eller statistisk fortrolighed, også efter at oplysningerne er overført til tredjelandet

b)at anerkende, at retterne i den medlemsstat, hvor den videregivende offentlige myndighed er beliggende, har kompetence med hensyn til enhver tvist vedrørende overholdelse af intellektuelle ejendomsrettigheder og EU-retten eller national ret om kommerciel eller statistisk fortrolighed.

3)Kommissionen kan vedtage gennemførelsesretsakter, der fastlægger standardkontraktbestemmelser for overholdelsen af de forpligtelser, der er omhandlet i denne artikels stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 46, stk. 2. 

4)Offentlige myndigheder yder, hvis det er relevant og inden for rammerne af deres kapacitet, vejledning og bistand til videreanvendere med henblik på overholdelsen af de forpligtelser, der er omhandlet i stk. 2.

5)Hvor det er begrundet på grund af det betydelige antal anmodninger i hele Unionen om videreanvendelse af andre data end personoplysninger i specifikke tredjelande, kan Kommissionen vedtage gennemførelsesretsakter, hvori det attesteres, at tredjelandes retlige, tilsynsmæssige og håndhævelsesmæssige rammer:

a)sikrer beskyttelse af intellektuel ejendomsret og forretningshemmeligheder på en måde, som i det væsentlige svarer til den beskyttelse, der sikres i henhold til EU-retten

b)anvendes og håndhæves effektivt, og

c)omfatter effektive retsmidler.

6)Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 46, stk. 2.

7)I specifikke lovgivningsmæssige EU-retsakter kan visse kategorier af andre data end personoplysninger, som offentlige myndigheder er i besiddelse af, anses for at være meget følsomme med henblik på denne artikel, hvis overførslen heraf til tredjelande kan true Unionens offentlige politiske mål, f.eks. sikkerhed og folkesundhed, eller kan føre til en risiko for genidentifikation af anonymiserede data, der ikke er personoplysninger. Når en sådan retsakt vedtages, vedtager Kommissionen delegerede retsakter i overensstemmelse med artikel 45, der supplerer denne forordning ved at fastsætte særlige betingelser for overførsler af sådanne data til tredjelande.

Hvis dette i henhold til en specifik lovgivningsmæssig EU-retsakt som omhandlet i første afsnit er et krav, kan sådanne særlige betingelser omfatte vilkårene for overførsler eller tekniske ordninger i den henseende, begrænsninger for videreanvendelsen af data i tredjelande eller for, hvilke kategorier af personer der har ret til at overføre sådanne oplysninger til tredjelande, eller i særlige tilfælde begrænsninger i forbindelse med overførsler til tredjelande.

Den videreanvender, der har fået tildelt ret til at videreanvende andre data end personoplysninger, må kun overføre oplysningerne til de tredjelande, der opfylder kravene i stk. 2, 4 og 5. 

Artikel 32y

Gebyrer

1)Offentlige myndigheder, der tillader videreanvendelse af visse kategorier af beskyttede data, kan opkræve gebyrer for tilladelsen til at videreanvende disse data.

2)Når offentlige myndigheder opkræver gebyrer, træffer de foranstaltninger til at tilskynde til videreanvendelse af visse kategorier af data til ikkekommercielle formål som f.eks. videnskabelige forskningsformål og af opstartsvirksomheder, SMV'er og SMC'er i overensstemmelse med EU's statsstøtteregler. I den forbindelse kan offentlige myndigheder også stille dataene til rådighed for et nedsat gebyr eller gratis, navnlig for opstartsvirksomheder, SMV'er og SMC'er, civilsamfundsorganisationer og forsknings- og uddannelsesinstitutioner. Offentlige myndigheder kan med henblik herpå udarbejde en liste over kategorier af videreanvendere, for hvilke data eller dokumenter til videreanvendelse stilles til rådighed for et nedsat gebyr eller gratis. Denne liste offentliggøres sammen med de anvendte kriterier for udarbejdelsen heraf.

3)Ethvert gebyr beregnes på grundlag af de omkostninger, der er forbundet med gennemførelsen af proceduren for anmodninger om videreanvendelse af visse kategorier af beskyttede data, og begrænses til de nødvendige omkostninger i forbindelse med:

a)reproduktion, levering og formidling af data

b)clearing af rettigheder

c)anonymisering eller andre former for forberedelse af personoplysninger og kommercielt fortrolige data, jf. artikel 32w, stk. 3 (betingelser for videreanvendelse)

d)opretholdelse af et sikkert databehandlingsmiljø

e)erhvervelse af retten til at tillade videreanvendelse i overensstemmelse med denne afdeling for tredjeparter uden for den offentlige sektor og bistand til videreanvendere med at indhente samtykke fra de registrerede og tilladelse fra de dataindehavere, hvis rettigheder og interesser kan blive berørt af en sådan videreanvendelse.

4)Kriterierne og metoden til beregning af gebyrer fastsættes af medlemsstaterne og offentliggøres. Den offentlige myndighed offentliggør en beskrivelse af de vigtigste omkostningskategorier og de regler, der anvendes til fordeling af omkostningerne.

5)Offentlige myndigheder kan opkræve højere gebyrer end dem, der er tilladt i henhold til denne artikels stk. 2 og 3, fra meget store virksomheder på grundlag af objektive kriterier under hensyntagen til enhedens økonomiske styrke eller evne til at erhverve data, herunder navnlig en udpegelse som gatekeeper i henhold til forordning (EU) 2022/1925. Sådanne beregnede gebyrer skal være forholdsmæssige. Ud over de elementer, der er anført i denne artikels stk. 3, kan de dække omkostningerne ved indsamling og udarbejdelse af dataene sammen med en rimelig forretning af investeringerne.

Artikel 32z

Kompetente organer

1)Med henblik på at udføre de opgaver, der er omhandlet i denne artikel, udpeger hver medlemsstat et eller flere kompetente organer i overensstemmelse med artikel 37, stk. 1, som kan have kompetence for bestemte sektorer, men som tilsammen skal dække alle sektorer, til at bistå de offentlige myndigheder, der giver eller nægter adgang til videreanvendelse af visse kategorier af beskyttede data. Medlemsstaterne kan enten nedsætte et eller flere nye kompetente organer eller gøre brug af eksisterende offentlige myndigheder eller interne tjenester hos de offentlige myndigheder, som opfylder betingelserne i denne afdeling.

2)De kompetente organer kan tillægges beføjelse til at give adgang til visse kategorier af beskyttede data i henhold til EU-ret eller national ret om en sådan adgang. Hvis disse kompetente organer giver eller nægter adgang med henblik på videreanvendelse, er de omfattet af artikel 32k, 32w, 32x, 32y og 32ab.

3)Det eller de kompetente organer skal have tilstrækkelige juridiske, finansielle, tekniske og menneskelige ressourcer til at udføre de opgaver, som de pålægges, herunder den nødvendige tekniske viden for at kunne overholde relevant EU-ret eller national ret vedrørende adgangsordninger for de kategorier af beskyttede data, der er omhandlet i artikel 2, nr. 54).

4)Den bistand, der er omhandlet i stk. 1, omfatter, hvor det er nødvendigt:

a)teknisk støtte ved at tilvejebringe et sikkert databehandlingsmiljø for at give adgang til data eller dokumenter med henblik på videreanvendelse 

b)vejledning og teknisk støtte til, hvordan man bedst strukturerer og lagrer data med henblik på at gøre disse data eller dokumenter lettilgængelige 

c)teknisk støtte til anonymisering, pseudonymisering og avancerede metoder til beskyttelse af privatlivets fred, der ikke er begrænset til personoplysninger, men også til kommercielt fortrolige oplysninger, herunder forretningshemmeligheder eller indhold, som er beskyttet af intellektuelle ejendomsrettigheder 

d)bistand til de offentlige myndigheder, hvor det er relevant, med henblik på at støtte videreanvendere med at anmode om samtykke til videreanvendelse fra de registrerede eller tilladelse fra dataindehavere i overensstemmelse med deres specifikke afgørelser, herunder vedrørende den jurisdiktion, hvor databehandlingen efter planen skal finde sted, og bistand til de offentlige myndigheder med henblik på at indføre tekniske mekanismer, der gør det muligt at videresende anmodninger om samtykke eller tilladelse fra videreanvendere, hvor dette er praktisk muligt 

e)bistand til offentlige myndigheder med henblik på at vurdere, om de kontraktlige forpligtelser, som en videreanvender har påtaget sig, er tilstrækkelige i henhold til artikel 32x, stk. 2. 

Artikel 32aa

Centralt informationssted

1)Hver medlemsstat udpeger et centralt informationssted. Det centrale informationssted stiller let tilgængelige oplysninger om anvendelsen af artikel 32w, 32x og 32y til rådighed. 

2)Det centrale informationssted er kompetent til at modtage forespørgsler eller anmodninger om videreanvendelse af visse kategorier af beskyttede data og videregiver dem automatisk, så vidt det er muligt og hensigtsmæssigt, til de kompetente offentlige myndigheder eller til de kompetente organer, der er omhandlet i artikel 32z, stk. 1, hvis det er relevant.

3)Det centrale informationssted kan omfatte en særskilt, forenklet og veldokumenteret informationskanal for SMV'er, SMC'er, opstartsvirksomheder og forskningsinstitutioner, der tilgodeser deres behov og kapacitet med hensyn til at anmode om tilladelse til at videreanvende de kategorier af data, der er omhandlet i artikel 2, n. 54).

4)Det centrale informationssted stiller en elektronisk søgbar liste med en oversigt over alle tilgængelige dokumentressourcer til rådighed, herunder, hvis det er relevant, de dokumentressourcer, der er tilgængelige på sektorspecifikke, regionale eller lokale informationssteder, med relevante oplysninger, der beskriver de tilgængelige data eller dokumenter, herunder som minimum dataformatet og -størrelsen samt betingelserne for deres videreanvendelse.

5)Kommissionen opretter et centralt europæisk kontaktpunkt med et søgbart elektronisk register over tilgængelige data eller dokumenter på de nationale centrale informationssteder og yderligere oplysninger om, hvordan man anmoder om data eller dokumenter via disse nationale centrale informationssteder.

Artikel 32ab

Procedure for anmodninger om videreanvendelse

1)Medmindre der er fastsat kortere frister i overensstemmelse med national ret, træffer de kompetente offentlige myndigheder eller de kompetente organer, der er omhandlet i artikel 32z, stk. 1, afgørelse om anmodninger om videreanvendelse af visse kategorier af beskyttede data inden for to måneder efter datoen for modtagelsen af anmodningen.

2)I tilfælde af usædvanligt omfattende og komplekse anmodninger om videreanvendelse kan denne frist forlænges med højst 30 dage I sådanne tilfælde underretter de kompetente offentlige myndigheder eller de kompetente organer, der er omhandlet i artikel 32z, stk. 1, hurtigst muligt ansøgeren om, at der er behov for mere tid til at gennemføre proceduren, samt om årsagerne til forsinkelsen.

3)Enhver fysisk eller juridisk person, der er direkte berørt af en afgørelse, jf. stk. 1, skal have en effektiv klageadgang i den medlemsstat, hvor det relevante organ er beliggende En sådan klageadgang fastsættes i national ret og omfatter muligheden for prøvelse ved et uvildigt organ med den nødvendige ekspertise såsom den nationale konkurrencemyndighed, den relevante myndighed for aktindsigt, tilsynsmyndigheden oprettet i henhold til forordning (EU) 2016/679 eller en national judiciel myndighed, hvis afgørelser er bindende for den pågældende offentlige myndighed eller det pågældende kompetente organ."

19.Artikel 38 affattes således:

1)"Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har fysiske og juridiske personer ret til individuelt eller, hvor det er relevant, kollektivt at indgive en klage:

a)til den relevante kompetente myndighed i den medlemsstat, hvor de har deres sædvanlige opholdssted, arbejdssted eller forretningssted, hvis de finder, at deres rettigheder i henhold til denne forordning er blevet krænket

b)vedrørende ethvert spørgsmål, der falder ind under denne forordnings anvendelsesområde, specifikt mod en anerkendt dataformidlingstjenesteudbyder eller en anerkendt dataaltruistisk organisation, til den relevante kompetente myndighed for registrering af dataformidlingstjenester eller den relevante kompetente myndighed for registrering af dataaltruistiske organisationer.

2)Datakoordinatoren giver efter anmodning alle nødvendige oplysninger til fysiske og juridiske personer med henblik på indgivelsen af deres klage til den relevante kompetente myndighed.

3)Den kompetente myndighed, som klagen er indgivet til, underretter i overensstemmelse med national ret klageren om:

a)forløbet af sagen, den trufne afgørelse og

b)retsmidlerne omhandlet i artikel 39."

20.I artikel 40 indsættes følgende som stk. 6:

"6. Denne artikel finder ikke anvendelse på kapitel VIIc."

21.Efter artikel 41 indsættes følgende overskrift:

"KAPITEL IXa

Det Europæiske Datainnovationsråd"

22.Følgende indsættes som artikel 41a:

"Artikel 41a

Det Europæiske Datainnovationsråd

1)Det Europæiske Datainnovationsråd oprettes som et middel til at rådgive og bistå Kommissionen med at koordinere håndhævelsen af denne forordning og fungere som et diskussionsforum for udviklingen af en europæisk dataøkonomi og datapolitikker.

2)Det skal som minimum bestå af repræsentanter for medlemsstaterne med ansvar for spørgsmål vedrørende data, de kompetente myndigheder med ansvar for håndhævelse af kapitel II, III, V, VIIa og VIIc i denne forordning, Det Europæiske Databeskyttelsesråd, Den Europæiske Tilsynsførende for Databeskyttelse, ENISA, EU's SMV-repræsentant eller en repræsentant udpeget af netværket af SMV-repræsentanter. Kommissionen kan beslutte at tilføje yderligere kategorier af medlemmer. Ved udpegelsen af individuelle eksperter tilstræber Kommissionen kønsmæssig og geografisk balance mellem gruppens medlemmer.

3)Kommissionen træffer afgørelse om de forskellige sammensætninger, hvori rådet skal udføre sine opgaver.

4)Kommissionen leder Det Europæiske Datainnovationsråds møder."

23.Artikel 42 affattes således:

"Artikel 42

EDIB's rolle

1)EDIB støtter en konsekvent anvendelse af nærværende forordning ved at:

a)fungere som et forum for strategiske drøftelser om datapolitikker, datastyring, internationale datastrømme og tværsektoriel udvikling, der er relevant for den europæiske dataøkonomi

b)rådgive og bistå Kommissionen med hensyn til at udvikle konsekvent praksis hos de kompetente myndigheder for håndhævelse af kapitel II, III, V, VII, VIIa og VIIc

c)lette samarbejdet mellem de kompetente myndigheder gennem kapacitetsopbygning og udveksling af oplysninger

d)fremme udveksling af erfaringer og god praksis mellem medlemsstaterne inden for videreanvendelse af den offentlige sektors informationer i samarbejde med andre relevante forvaltningsorganer." 

24.I artikel 45 foretages følgende ændringer:

a)Stk. 2 affattes således:

"2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 29, stk. 7, artikel 32u, stk. 2, og artikel 33, stk. 2, tillægges Kommissionen for en ubegrænset periode."

b)Stk. 3 affattes således:

"3. Den i artikel 29, stk. 7, artikel 32u, stk. 2, og artikel 33, stk. 2, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft."

c)Stk. 6 affattes således:

"6. En delegeret retsakt vedtaget i henhold til artikel 29, stk. 7, artikel 32u, stk. 2, eller artikel 33, stk. 2, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ." 

25.I artikel 46 foretages følgende ændringer:

a)Stk. 1, første punktum, affattes således:

"Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011."

b)Følgende indsættes som stk. 1a:

"1a. Når der henvises til dette stykke, finder artikel 4 i forordning (EU) nr. 182/2011 anvendelse."

26.I artikel 49 foretages følgende ændringer:

a)I stk. 1 foretages følgende ændringer: 

i)Indledningen affattes således:

"1. Senest den 12. september 2028 foretager Kommissionen en evaluering af kapitel II, IIII, IV, V, VI, VII og VIII og forelægger Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg en rapport om de vigtigste resultater. I denne evaluering vurderes navnlig:"

ii) Litra m) affattes således:

"m) denne forordnings indvirkning på SMV'er og SMC'er med hensyn til deres innovationskapacitet og tilgængeligheden af databehandlingstjenester for brugere i Unionen og byrden ved at opfylde nye forpligtelser."

b)Følgende indsættes som stk. 2a: 

"2a. Senest den [dato = fem år efter denne forordnings ikrafttræden] foretager Kommissionen en evaluering af kapitel VIIa, VIIb og VIIc i denne forordning og forelægger en rapport om sine vigtigste resultater for Europa-Parlamentet og Rådet samt for Det Europæiske Økonomiske og Sociale Udvalg.

I rapporten vurderes navnlig følgende:

a)status for registreringer af dataformidlingstjenester og den type tjenester, de tilbyder

b)typen af dataaltruistiske organisationer, der er registreret, og en oversigt over de almennyttige formål, hvortil dataene deles, med henblik på at fastlægge klare kriterier herfor.

c)omfanget og de sociale og økonomiske virkninger af kapitel VIIc, afdeling 2, herunder

d)omfanget af stigningen i videreanvendelsen af dokumenter fra den offentlige sektor, som kapitel VIIc, afdeling 2, finder anvendelse på, navnlig for SMV'er og SMC'er

e)virkningen af datasæt af høj værdi

f)samspillet mellem databeskyttelsesreglerne og mulighederne for videreanvendelse

g)Medlemsstaterne forelægger Kommissionen alle de oplysninger, der er nødvendige for udarbejdelsen af denne rapport."

c)Stk. 5 affattes således: 

"5. På grundlag af de i stk. 1, 2 og 2a omhandlede rapporter kan Kommissionen, hvis det er relevant, forelægge Europa-Parlamentet og Rådet et lovgivningsmæssigt forslag om ændring af denne forordning." 

27.Bilag I tilføjes som fastsat i bilag II til denne forordning.

Artikel 2

Ændring af forordning (EU) 2018/1724

Den særlige livsbegivenhed "Opstart, drift og lukning af en virksomhed" i tabellen i bilag II til forordning (EU) 2018/1724 affattes således:

Artikel 3

Ændring af forordning (EU) 2016/679 (GDPR)

I forordning (EU) 2016/679 foretages følgende ændringer:

1. I artikel 4 foretages følgende ændringer:

(a)I nr. 1) tilføjes følgende punktummer:

"Oplysninger om en fysisk person er ikke nødvendigvis personoplysninger for enhver anden person eller enhed, blot fordi en anden enhed kan identificere denne fysiske person. Oplysninger er ikke personlige for en given enhed, hvis denne enhed ikke kan identificere den fysiske person, som oplysningerne vedrører, under hensyntagen til de midler, der med rimelighed kan tænkes anvendt af den pågældende enhed. Sådanne oplysninger bliver ikke personlige for denne enhed, blot fordi en potentiel efterfølgende modtager råder over midler, der med rimelighed kan tænkes anvendt til at identificere den fysiske person, som oplysningerne vedrører."

(b)Følgende numre tilføjes:

"32) "terminaludstyr": terminaludstyr som fastsat i artikel 1, stk. 1, i direktiv 2008/63/EF

33) "elektroniske kommunikationsnet": elektroniske kommunikationsnet som defineret i artikel 2, nr. 1), i direktiv (EU) 2018/1972

34) "webbrowser": webbrowser som defineret i artikel 2, nr. 11), i forordning (EU) 2022/1925

35) "medietjeneste": medietjeneste som defineret i artikel 2, nr. 1), i forordning (EU) 2024/1083

36) "medietjenesteudbyder": en medietjenesteudbyder som defineret i artikel 2, nr. 2), i forordning (EU) 2024/1083

37) "onlinegrænseflade": en onlinegrænseflade som defineret i artikel 3, litra m), i forordning (EU) 2022/2065

38) "videnskabelig forskning": enhver form for forskning, der også kan støtte innovation, såsom teknologisk udvikling og demonstration. Dette skal bidrage til eksisterende videnskabelig viden eller anvende eksisterende viden på nye måder, gennemføres med det formål at bidrage til udviklingen af samfundets generelle viden og trivsel og overholde etiske standarder på det relevante forskningsområde. Dette udelukker ikke, at forskningen også kan have til formål at fremme en kommerciel interesse."

2.Artikel 5, stk. 1, litra b), affattes således:

"indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal anses for at være forenelig med de oprindelige formål uanset betingelserne i artikel 6, stk. 4, i denne forordning ("formålsbegrænsning")"

3.I artikel 9 foretages følgende ændringer:

(a)I stk. 2 indsættes følgende litraer:

"k) Behandling i forbindelse med udvikling og drift af et AI-system som defineret i artikel 3, nr. 1), i forordning (EU) 2024/1689 eller en AI-model på de betingelser, der er omhandlet i stk. 5.

l) behandlingen af biometriske oplysninger er nødvendig for at bekræfte en registrerets identitet (verifikation), hvis de biometriske oplysninger eller de midler, der er nødvendige for bekræftelsen, er under den registreredes enekontrol."

(b)Følgende stykke tilføjes:

"5. For så vidt angår den behandling, der er omhandlet i stk. 2, litra k), gennemføres der passende organisatoriske og tekniske foranstaltninger til at undgå indsamling og anden behandling af særlige kategorier af personoplysninger. Hvis den dataansvarlige på trods af gennemførelsen af sådanne foranstaltninger identificerer særlige kategorier af personoplysninger i de datasæt, der anvendes til træning, afprøvning eller validering, eller i AI-systemet eller AI-modellen, fjerner den dataansvarlige sådanne oplysninger. Hvis det kræver en uforholdsmæssig stor indsats at fjerne disse oplysninger, beskytter den dataansvarlige under alle omstændigheder effektivt og uden unødig forsinkelse sådanne oplysninger mod at blive anvendt til at producere output, mod at blive videregivet eller på anden måde stillet til rådighed for tredjemand."

4.Artikel 12, stk. 5, affattes således:

"5. Oplysninger, der gives i henhold til artikel 13 og 14, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 15-22 og 34, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, eller, for anmodninger i henhold til artikel 15, fordi den registrerede misbruger sine rettigheder i henhold til denne forordning til andre formål end beskyttelse af sine personoplysninger, kan den dataansvarlige enten:

a)opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysninger eller meddelelser eller træffe den ønskede foranstaltning eller

b)afvise at efterkomme anmodningen.

Bevisbyrden for, at anmodningen er åbenbart grundløs, eller at der er rimelig grund til at antage, at den er uforholdsmæssig, påhviler den dataansvarlige."

5.Artikel 13, stk. 4, affattes således:

"4. Stk. 1, 2 og 3 finder ikke anvendelse, hvis personoplysningerne er indsamlet i forbindelse med et klart og afgrænset forhold mellem registrerede og en dataansvarlig, der udøver en aktivitet, der ikke er dataintensiv, og der er rimelig grund til at antage, at den registrerede allerede er bekendt med de oplysninger, der er omhandlet i stk. 1, litra a) og c), medmindre den dataansvarlige videregiver oplysningerne til andre modtagere eller kategorier af modtagere, overfører oplysningerne til et tredjeland, foretager automatisk beslutningstagning, herunder profilering, jf. artikel 22, stk. 1, eller hvis behandlingen sandsynligvis vil medføre en høj risiko for registreredes rettigheder og frihedsrettigheder som omhandlet i artikel 35."

6.I artikel 13 tilføjes som stk. 5:

"5. Hvis behandlingen finder sted til videnskabelige forskningsformål, og videregivelse af oplysninger som omhandlet i stk. 1, 2 og 3 viser sig umulig eller vil kræve en uforholdsmæssig stor indsats med forbehold af de betingelser og garantier, der er omhandlet i artikel 89, stk. 1, eller i det omfang den forpligtelse, der er omhandlet i nærværende artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af formålene med den pågældende behandling, behøver den dataansvarlige ikke at videregive de oplysninger, der er omhandlet i stk. 1, 2 og 3. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offentligt tilgængelige."

7.Artikel 22, stk. 1 og 2, affattes således:

"1. En afgørelse, der har retsvirkninger for en registreret eller på tilsvarende vis i væsentlig grad berører den pågældende, kan kun baseres på automatisk behandling, herunder profilering, hvis denne afgørelse:

a) er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig, uanset om afgørelsen kan træffes på anden måde end udelukkende ved hjælp af automatiserede midler

b) er hjemlet i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser, eller

c)er baseret på den registreredes udtrykkelige samtykke."

8.I artikel 33 foretages følgende ændringer:

(a)Stk. 1 affattes således:

"1. Ved brud på persondatasikkerheden, der sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 96 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden via det centrale kontaktpunkt, der er oprettet i overensstemmelse med artikel 23a i direktiv (EU) 2022/2555, til den tilsynsmyndighed, som er kompetent i henhold til artikel 55 og 56. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 96 timer, ledsages den af en begrundelse for forsinkelsen."

(b)Følgende stykke tilføjes:

"1a. Indtil oprettelsen af det centrale kontaktpunkt i henhold til artikel 23a i direktiv (EU) 2022/2555 fortsætter de dataansvarlige med at anmelde brud på persondatasikkerheden direkte til den kompetente tilsynsmyndighed i overensstemmelse med artikel 55 og 56."

(c)Følgende stykker tilføjes:

"6. Databeskyttelsesrådet udarbejder og forelægger Kommissionen et forslag til en fælles model for anmeldelse af brud på persondatasikkerheden til den kompetente tilsynsmyndighed, der er omhandlet i stk. 1, samt til en liste over de omstændigheder, hvor et brud på persondatasikkerheden sandsynligvis vil medføre en høj risiko for en fysisk persons rettigheder og frihedsrettigheder. Forslagene forelægges Kommissionen senest den [Publikationskontoret: dato = 9 måneder efter denne forordnings ikrafttræden]. Kommissionen reviderer den om nødvendigt efter behørig overvejelse og tillægges beføjelse til at vedtage den ved hjælp af en gennemførelsesretsakt efter undersøgelsesproceduren i artikel 93, stk. 2.

7. Modellen og den liste, der er omhandlet i stk. 6, revideres mindst hvert tredje år og ajourføres om nødvendigt. Udvalget forelægger sin vurdering og eventuelle forslag til ajourføringer for Kommissionen i god tid. Kommissionen reviderer forslagene efter behørig overvejelse og har beføjelse til at vedtage eventuelle ajourføringer efter proceduren i stk. 6."

9.I artikel 35 foretages følgende ændringer:

(a)Stk. 4, 5 og 6 affattes således:

"4. Databeskyttelsesrådet udarbejder og forelægger Kommissionen et forslag til en liste over de typer behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1.

5. Databeskyttelsesrådet udarbejder og forelægger Kommissionen et forslag til en liste over de typer behandlingsaktiviteter, for hvilke der ikke kræves en konsekvensanalyse vedrørende databeskyttelse.

6. Databeskyttelsesrådet udarbejder og forelægger Kommissionen et forslag til en fælles model og en fælles metode til gennemførelse af konsekvensanalyser vedrørende databeskyttelse."

(b)Følgende stykker indsættes:

"6a. Forslagene til de lister, der er omhandlet i stk. 4 og 5, og til den model og metode, der er omhandlet i stk. 6, forelægges Kommissionen senest den [Publikationskontoret: dato = 9 måneder efter denne forordnings ikrafttræden]. Kommissionen reviderer dem om nødvendigt efter behørig overvejelse og tillægges beføjelse til at vedtage dem ved hjælp af en gennemførelsesretsakt efter undersøgelsesproceduren i artikel 93, stk. 2.

6b. Listerne og den model og metode, der er omhandlet i stk. 6a, revideres mindst hvert tredje år og ajourføres om nødvendigt. Udvalget forelægger sin vurdering og eventuelle forslag til ajourføringer for Kommissionen i god tid. Kommissionen reviderer forslagene efter behørig overvejelse og har beføjelse til at vedtage eventuelle ajourføringer efter proceduren i stk. 6a.

6c. Lister over den type behandlingsaktiviteter, der er omfattet af kravet om en konsekvensanalyse vedrørende databeskyttelse, og over den type behandlingsaktiviteter, for hvilke der ikke kræves en konsekvensanalyse vedrørende databeskyttelse, som udarbejdes og offentliggøres af tilsynsmyndighederne, er gyldige, indtil Kommissionen vedtager den gennemførelsesretsakt, der er omhandlet i stk. 6a."

10.Følgende artikel tilføjes:

"Artikel 41a

1)Kommissionen kan vedtage gennemførelsesretsakter for at præcisere midler og kriterier til at afgøre, om data som følge af pseudonymisering ikke længere udgør personoplysninger for visse enheder.

2)Ved anvendelsen af stk. 1 skal Kommissionen:

a)vurdere de tilgængelige teknikkers aktuelle tekniske niveau 

b)udvikle kriterier og/eller kategorier for dataansvarlige og modtagere med henblik på at vurdere risikoen for genidentifikation i forhold til typiske modtagere af oplysninger.

3)Implementeringen af de midler og kriterier, der er skitseret i en gennemførelsesretsakt, kan anvendes som et element til at påvise, at data ikke kan føre til genidentifikation af de registrerede.

4)Kommissionen inddrager Databeskyttelsesrådet i forberedelsen af gennemførelsesretsakterne. Databeskyttelsesrådet afgiver udtalelse om udkastene til gennemførelsesretsakter inden for en frist på otte uger fra modtagelsen af udkastet fra Kommissionen.

5)Gennemførelsesretsakterne vedtages efter undersøgelsesproceduren i artikel 93, stk. 3."

11.I artikel 57, stk. 1, foretages følgende ændringer:

(a)Litra k) udgår.

12.I artikel 64, stk. 1, udgår litra a).

13.I artikel 70, stk. 1, udgår litra h). 

14.I artikel 70, stk. 1, indsættes følgende litraer:

"ha) udarbejde og forelægge Kommissionen et forslag til en liste over de typer behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse, og for hvilke der ikke kræves en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35

hb) udarbejde og forelægge Kommissionen et forslag til en fælles model og en fælles metode til gennemførelse af konsekvensanalyser vedrørende databeskyttelse i henhold til artikel 35

hc) udarbejde og forelægge Kommissionen et forslag til en fælles model for anmeldelse af et brud på persondatasikkerheden til den kompetente tilsynsmyndighed samt til en liste over de omstændigheder, hvor et brud på persondatasikkerheden sandsynligvis vil medføre en høj risiko for en fysisk persons rettigheder og frihedsrettigheder i henhold til artikel 33"

15.Følgende artikler indsættes efter artikel 88:

"Artikel 88a

Behandling af personoplysninger i fysiske personers terminaludstyr

1)Lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i en fysisk persons terminaludstyr er kun tilladt, hvis den pågældende person har givet sit samtykke i overensstemmelse med denne forordning.

2)Stk. 1 udelukker ikke lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i en fysisk persons terminaludstyr på grundlag af EU-retten eller medlemsstaternes nationale ret som omhandlet i og med forbehold af betingelserne i artikel 6 for at opfylde de mål, der er fastsat i artikel 23, stk. 1.

3)Lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i en fysisk persons terminaludstyr uden samtykke og efterfølgende behandling skal være lovlig i det omfang, det er nødvendigt for en af følgende:

a)udførelse af transmission af elektronisk kommunikation via et elektronisk kommunikationsnet 

b)levering af en tjeneste, som den registrerede udtrykkeligt har anmodet om

c)udarbejdelse af aggregerede oplysninger om brugen af en onlinetjeneste til at måle målgruppen for en sådan tjeneste, hvis den foretages af den dataansvarlige for den pågældende onlinetjeneste udelukkende til eget brug

d)opretholdelse eller genoprettelse af sikkerheden af en tjeneste, der leveres af den dataansvarlige, og som den registrerede har anmodet om, eller det terminaludstyr, der anvendes til levering af en sådan tjeneste. 

4)Hvis lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i en fysisk persons terminaludstyr er baseret på samtykke, gælder følgende:

a)Den registrerede skal kunne afvise anmodninger om samtykke på en let og forståelig måde ved hjælp af et enkelt klik på en knap eller tilsvarende midler. 

b)Hvis den registrerede giver sit samtykke, må den dataansvarlige ikke fremsætte en ny anmodning om samtykke til samme formål i den periode, hvor den dataansvarlige lovligt kan forlade sig på den registreredes samtykke.

c)Hvis den registrerede afviser en anmodning om samtykke, må den dataansvarlige ikke fremsætte en ny anmodning om samtykke til samme formål i en periode på mindst seks måneder.

Dette stykke finder også anvendelse på efterfølgende behandling af personoplysninger baseret på samtykke.

5)Denne artikel anvendes fra den …[Publikationskontoret indsæt datoen = 6 måneder efter denne forordnings ikrafttræden].

Artikel 88b

Automatiske og maskinlæsbare angivelser af den registreredes valg med hensyn til behandling af personoplysninger i fysiske personers terminaludstyr

1)De dataansvarlige sikrer, at deres onlinegrænseflader giver de registrerede mulighed for at:

a)give samtykke ved hjælp af automatiserede og maskinlæsbare midler, forudsat at betingelserne for samtykke i denne forordning er opfyldt 

b)afvise en anmodning om samtykke og udøve retten til indsigelse i henhold til artikel 21, stk. 2, med automatiske og maskinlæsbare midler.

2)De dataansvarlige respekterer de valg, som de registrerede har truffet i overensstemmelse med stk. 1.

3)Stk. 1 og 2 finder ikke anvendelse på dataansvarlige, der er medietjenesteudbydere, når de udbyder en medietjeneste.

4)Kommissionen anmoder i overensstemmelse med artikel 10, stk. 1, i forordning (EU) nr. 1025/2012 en eller flere europæiske standardiseringsorganisationer om at udarbejde standarder til fortolkning af maskinlæsbare angivelser af registreredes valg.

Dataansvarliges onlinegrænseflader, som er i overensstemmelse med harmoniserede standarder eller dele deraf, hvis referencer er offentliggjort i Den Europæiske Unions Tidende, formodes at være i overensstemmelse med de krav, der er omfattet af disse standarder eller dele deraf, jf. stk. 1.

5)Stk. 1 og 2 anvendes fra den ... [Publikationskontoret: Indsæt venligst datoen = 24 måneder efter datoen for denne forordnings ikrafttræden].

6)Udbydere af webbrowsere, som ikke er SMV'er, stiller de tekniske midler til rådighed, der gør det muligt for registrerede at give deres samtykke og afvise en anmodning om samtykke og udøve retten til indsigelse i henhold til artikel 21, stk. 2, ved hjælp af de automatiserede og maskinlæsbare midler, der er omhandlet i nærværende artikels stk. 1, som anvendt i henhold til nærværende artikels stk. 2-5.

7)Stk. 6 anvendes fra den ... [Publikationskontoret: Indsæt venligst datoen = 48 måneder efter datoen for denne forordnings ikrafttræden].

Artikel 88c

Behandling i forbindelse med udvikling og drift af kunstig intelligens

Hvis behandlingen af personoplysninger er nødvendig af hensyn til den dataansvarliges interesser i forbindelse med udviklingen og driften af et AI-system som defineret i artikel 3, nr. 1), i forordning (EU) 2024/1689 eller en AI-model, kan en sådan behandling foretages med henblik på at forfølge en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning (EU) 2016/679, hvis det er relevant, medmindre anden EU-lovgivning eller national lovgivning udtrykkeligt kræver samtykke, og hvis sådanne interesser går forud for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, som kræver beskyttelse af personoplysninger, navnlig hvis den registrerede er et barn.

Enhver sådan behandling er underlagt passende organisatoriske og tekniske foranstaltninger og garantier for den registreredes rettigheder og frihedsrettigheder, f.eks. for at sikre respekt for dataminimering i fasen med udvælgelse af kilder og træning og afprøvning af AI, et system eller en AI-model, for at beskytte mod manglende videregivelse af resterende lagrede data i AI-systemet eller AI-modellen for at sikre øget gennemsigtighed for registrerede og give registrerede en ubetinget ret til at gøre indsigelse mod behandlingen af deres personoplysninger."

Artikel 4

Ændring af forordning (EU) 2018/1725 (EUDPR)

I forordning (EU) 2018/1725 foretages følgende ændringer:

1.I artikel 3 foretages følgende ændringer:

(a)I nr. 1) tilføjes følgende punktummer:

"Oplysninger om en fysisk person er ikke nødvendigvis personoplysninger for enhver anden person eller enhed, blot fordi en anden enhed kan identificere denne fysiske person. Oplysninger er ikke personlige for en given enhed, hvis denne enhed ikke kan identificere den fysiske person, som oplysningerne vedrører, under hensyntagen til de midler, der med rimelighed kan tænkes anvendt af den pågældende enhed. Sådanne oplysninger bliver ikke personlige for denne enhed, blot fordi en potentiel efterfølgende modtager råder over midler, der med rimelighed kan tænkes anvendt til at identificere den fysiske person, som oplysningerne vedrører."

(b)Nr. 25 affattes således:

"25) "elektroniske kommunikationsnet": elektroniske kommunikationsnet som defineret i artikel 2, nr. 1), i direktiv (EU) 2018/1972

(c)Følgende numre tilføjes:

"27) "mobilapplikation": en mobilapplikation som defineret i artikel 3, nr. 2), i direktiv (EU) 2016/2102

28) "onlinegrænseflade": en onlinegrænseflade som defineret i artikel 3, litra m), i forordning (EU) 2022/2065

29) "videnskabelig forskning": enhver form for forskning, der også kan støtte innovation, såsom teknologisk udvikling og demonstration. Dette skal bidrage til eksisterende videnskabelig viden eller anvende eksisterende viden på nye måder, gennemføres med det formål at bidrage til udviklingen af samfundets generelle viden og trivsel og overholde etiske standarder på det relevante forskningsområde. Dette udelukker ikke, at forskningen også kan have til formål at fremme en kommerciel interesse."

2.Artikel 4, stk. 1, litra b), affattes således:

"b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 13, skal anses for at være forenelig med de oprindelige formål uanset betingelserne i artikel 6 i denne forordning ("formålsbegrænsning")"

3.I artikel 10 foretages følgende ændringer:

(a)I stk. 2 indsættes følgende litraer:

"k) behandling i forbindelse med udvikling og drift af et AI-system som defineret i artikel 3, nr. 1), i forordning (EU) 2024/1689 eller en AI-model på de betingelser, der er omhandlet i stk. 4 .

l) behandlingen af biometriske oplysninger er nødvendig for at bekræfte en registrerets identitet (verifikation), hvis de biometriske oplysninger eller de midler, der er nødvendige for bekræftelsen, er under den registreredes enekontrol."

(b)Følgende tilføjes som stk. 4:

"4. For så vidt angår den behandling, der er omhandlet i stk. 2, litra k), gennemføres der passende organisatoriske og tekniske foranstaltninger til at undgå indsamling og anden behandling af særlige kategorier af personoplysninger. Hvis den dataansvarlige på trods af gennemførelsen af sådanne foranstaltninger identificerer særlige kategorier af personoplysninger i de datasæt, der anvendes til træning, afprøvning eller validering, eller i AI-systemet eller AI-modellen, fjerner den dataansvarlige sådanne oplysninger. Hvis det kræver en uforholdsmæssig stor indsats at fjerne disse oplysninger, beskytter den dataansvarlige under alle omstændigheder effektivt og uden unødig forsinkelse sådanne oplysninger mod at blive anvendt til at producere output, mod at blive videregivet eller på anden måde stillet til rådighed for tredjemand."

4.Artikel 14, stk. 5, affattes således:

"5. Oplysninger, der gives i henhold til artikel 15 og 16, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 17-24 og 35, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, eller, for anmodninger i henhold til artikel 17, fordi den registrerede misbruger sine rettigheder i henhold til denne forordning til andre formål end beskyttelse af sine personoplysninger, kan den dataansvarlige afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs, eller at der er rimelig grund til at antage, at den er uforholdsmæssig, påhviler den dataansvarlige."

5.I artikel 15 tilføjes følgende nye stk. 5:

"5. Hvis behandlingen finder sted til videnskabelige forskningsformål, og videregivelse af oplysninger som omhandlet i stk. 1, 2 og 3 viser sig umulig eller vil kræve en uforholdsmæssig stor indsats med forbehold af de betingelser og garantier, der er omhandlet i artikel 13, eller i det omfang den forpligtelse, der er omhandlet i nærværende artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af formålene med den pågældende behandling, behøver den dataansvarlige ikke at videregive de oplysninger, der er omhandlet i stk. 1, 2 og 3. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offentligt tilgængelige."

6.Artikel 24, stk. 1 og 2, affattes således

"1. En afgørelse, der har retsvirkninger for en registreret eller på tilsvarende vis i væsentlig grad berører den pågældende, kan kun baseres på automatisk behandling, herunder profilering, hvis denne afgørelse:

a)er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig, uanset om afgørelsen kan træffes på anden måde end udelukkende ved hjælp af automatiserede midler

b)er hjemlet i EU-ret, som den dataansvarlige er underlagt, og som også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser eller

c)er baseret på den registreredes udtrykkelige samtykke."

7.Artikel 34, stk. 1, affattes således:

"1. Ved brud på persondatasikkerheden, der sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 96 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse. Foretages anmeldelsen til Den Europæiske Tilsynsførende for Databeskyttelse ikke inden for 96 timer, ledsages den af en begrundelse for forsinkelsen."

8.I artikel 37 tilføjes følgende stykker:

"2. Lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i en fysisk persons terminaludstyr er kun tilladt, hvis den pågældende person har givet sit samtykke i overensstemmelse med denne forordning.

3. Stk. 1 udelukker ikke lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i en fysisk persons terminaludstyr på grundlag af EU-retten som omhandlet i og med forbehold af betingelserne i artikel 5 for at opfylde de mål, der er fastsat i artikel 25, stk. 1.

4. Lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i en fysisk persons terminaludstyr uden samtykke og efterfølgende behandling er lovlig i det omfang, det er nødvendigt for en af følgende:

a) udførelse af transmission af elektronisk kommunikation via et elektronisk kommunikationsnet 

b) levering af en tjeneste, som den registrerede udtrykkeligt har anmodet om

c) udarbejdelse af aggregerede oplysninger om brugen af en onlinetjeneste til at måle målgruppen for en sådan tjeneste, hvis den foretages af den dataansvarlige for den pågældende onlinetjeneste udelukkende til eget brug

d) opretholdelse eller genoprettelse af sikkerheden af en tjeneste, der leveres af den dataansvarlige, og som den registrerede har anmodet om, eller det terminaludstyr, der anvendes til levering af en sådan tjeneste. 

5. Hvis lagring af personoplysninger eller opnåelse af adgang til personoplysninger, der allerede er lagret, i en fysisk persons terminaludstyr er baseret på samtykke, gælder følgende:

a) Den registrerede skal kunne afvise anmodninger om samtykke på en let og forståelig måde ved hjælp af et enkelt klik på en knap eller tilsvarende midler. 

b) Hvis den registrerede giver sit samtykke, må den dataansvarlige ikke fremsætte en ny anmodning om samtykke til samme formål i den periode, hvor den dataansvarlige lovligt kan forlade sig på den registreredes samtykke.

c) Hvis den registrerede afviser en anmodning om samtykke, må den dataansvarlige ikke fremsætte en ny anmodning om samtykke til samme formål i en periode på mindst seks måneder.

Dette stykke finder også anvendelse på efterfølgende behandling af personoplysninger baseret på samtykke.

6. Denne artikel anvendes fra den …[Publikationskontoret indsæt datoen = 6 måneder efter denne forordnings ikrafttræden].

7. De dataansvarlige sikrer, at deres onlinegrænseflader giver de registrerede mulighed for at:

a) give samtykke ved hjælp af automatiserede og maskinlæsbare midler, forudsat at betingelserne for samtykke i denne forordning er opfyldt

b) afvise en anmodning om samtykke ved hjælp af automatiserede og maskinlæsbare midler.

8. De dataansvarlige respekterer de valg, som de registrerede har truffet i overensstemmelse med stk. 7.

9. Dataansvarliges onlinegrænseflader, som er i overensstemmelse med harmoniserede standarder eller dele deraf, jf. artikel 88b, stk. 4, i forordning (EF) 2016/679, formodes at være i overensstemmelse med de krav, der er omfattet af disse standarder eller dele deraf, jf. stk. 7.

10. Stk. 7-9 anvendes fra den [Publikationskontoret: Indsæt venligst datoen = 24 måneder efter datoen for denne forordnings ikrafttræden].

8)I artikel 39 foretages følgende ændringer:

a)Stk. 4 affattes således:

"4. De lister, den skabelon og den metode, som Kommissionen har vedtaget, og som er omhandlet i artikel 35, stk. 6a, i forordning (EU) 2016/679, bør finde anvendelse på behandlingen af personoplysninger i henhold til nærværende forordning."

b)Stk. 5 og 6 udgår.

9)Følgende artikel tilføjes:

"Artikel 45a

De fælles kriterier, som Kommissionen har vedtaget, og som er omhandlet i artikel 41a i forordning (EU) 2016/679, bør finde anvendelse på behandling af personoplysninger i henhold til nærværende forordning."

Artikel 5

Ændring af direktiv 2002/58/EF (e-databeskyttelsesdirektivet)

I direktiv 2002/58/EF foretages følgende ændringer:

1.Artikel 4 udgår.

2.I artikel 5, stk. 3, tilføjes følgende afsnit:

"Dette stykke finder ikke anvendelse, hvis abonnenten eller brugeren er en fysisk person, og de lagrede eller hentede oplysninger udgør eller fører til behandling af personoplysninger."

Artikel 6

Ændring af direktiv (EU) 2022/2555

I direktiv (EU) 2022/2555 foretages følgende ændringer:

1.Som artikel 23a tilføjes:

"Artikel 23a

Centralt kontaktpunkt for indberetning af hændelser

1)ENISA udvikler og vedligeholder et centralt kontaktpunkt til støtte for forpligtelsen til at indberette hændelser og relaterede hændelser i henhold til EU-retsakterne, hvis disse EU-retsakter indeholder bestemmelser herom ("centralt kontaktpunkt"). Med forbehold af artikel 16 i Europa-Parlamentets og Rådets forordning (EU) 2024/2847 kan ENISA sikre, at det centrale kontaktpunkt bygger på den fælles indberetningsplatform, der er oprettet i henhold til nævnte forordning.

2)ENISA træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger til at håndtere risiciene for det centrale kontaktpunkts sikkerhed og de oplysninger, der indgives eller formidles via det centrale kontaktpunkt. ENISA tager hensyn til følsomheden af oplysninger, der indgives eller formidles i henhold til de EU-retsakter, der er omhandlet i stk. 1, og sikrer, at de kompetente myndigheder i henhold til disse EU-retsakter har adgang til og behandler oplysningerne som krævet i henhold til disse EU-retsakter.

3)ENISA udarbejder og gennemfører specifikationerne for de tekniske, operationelle og organisatoriske foranstaltninger vedrørende oprettelse, vedligeholdelse og sikker drift af det centrale kontaktpunkt. ENISA udarbejder specifikationerne i samarbejde med Kommissionen, CSIRT-netværket og de kompetente myndigheder i henhold til de EU-retsakter, der er omhandlet i stk. 1. Specifikationerne sikrer, at:

a)den nødvendige kapacitet til interoperabilitet med hensyn til andre relevante rapporteringsforpligtelser som omhandlet i stk. 1 er sikret

b)der er indført tekniske ordninger for de relevante enheder og myndigheder i henhold til de EU-retsakter, der er omhandlet i stk. 1, med henblik på at få adgang til, indgive, hente, overføre eller på anden måde behandle oplysninger fra det centrale kontaktpunkt og tilvejebringe tekniske protokoller og værktøjer, der gør det muligt for enhederne og myndighederne at viderebehandle de modtagne oplysninger i deres systemer

c)der tages behørigt hensyn til de særlige forhold, der gør sig gældende for de krav til indberetning af hændelser, der er fastsat i de EU-retsakter, der er omhandlet i stk. 1

d)hvor det er relevant, det centrale kontaktpunkt er interoperabelt og kompatibelt med de europæiske virksomhedstegnebøger, der er omhandlet i [Forslag til forordning: Indsæt forslagets titel] og at de europæiske virksomhedstegnebøger som minimum kan anvendes til at identificere og autentificere enheder ved hjælp af det centrale kontaktpunkt

e)enheder, der anvender det centrale kontaktpunkt, kan hente og supplere oplysninger, som de tidligere har indsendt via det centrale kontaktpunkt

f)en enkelt indberetning af oplysninger indgivet af en enhed via det centrale kontaktpunkt kan anvendes til at opfylde indberetningsforpligtelser som fastsat i en af de andre EU-retsakter, der indeholder bestemmelser om indberetning af hændelser til det centrale kontaktpunkt.

4)Medmindre andet er fastsat i de EU-retsakter, der er omhandlet i stk. 1, har ENISA ikke adgang til de underretninger, der indgives via det centrale kontaktpunkt.

5)Senest [18] måneder efter denne forordnings ikrafttræden afprøver ENISA funktionen af det centrale kontaktpunkt for hver tilføjet EU-retsakt, herunder test, der tager hensyn til de særlige forhold og krav til underretninger, der er fastsat i hver enkelt EU-retsakt, og efter høring af Kommissionen og de relevante kompetente myndigheder i henhold til de respektive EU-retsakter. ENISA gør det først muligt at underrette om hændelser i henhold til hver af de EU-retsakter, der er omhandlet i stk. 1, efter at have afprøvet funktionen, og efter at Kommissionen har offentliggjort en meddelelse i henhold til stk. 6.

6)Kommissionen vurderer i samarbejde med ENISA det centrale kontaktpunkts korrekte funktion, pålidelighed, integritet og fortrolighed. Når Kommissionen efter høring af CSIRT-netværket og de kompetente myndigheder i henhold til de EU-retsakter, der er omhandlet i stk. 1, finder, at det centrale kontaktpunkt sikrer systemets korrekte funktion, pålidelighed, integritet og fortrolighed, offentliggør den en meddelelse herom i Den Europæiske Unions Tidende.

7)Hvis Kommissionen i sin vurdering finder, at det centrale kontaktpunkt ikke sikrer korrekt funktion, pålidelighed, integritet eller fortrolighed, træffer ENISA i samarbejde med Kommissionen og uden unødigt ophold alle nødvendige korrigerende foranstaltninger til at sikre korrekt funktion, pålidelighed, integritet eller fortrolighed og underretter straks Kommissionen om resultaterne. Derefter foretager Kommissionen en ny vurdering af det centrale kontaktpunkts korrekte funktion, pålidelighed, integritet eller fortrolighed og offentliggør en meddelelse i overensstemmelse med stk. 6."

2.I artikel 23 foretages følgende ændringer:

a)Stk. 1, første punktum, affattes således:

"Hver medlemsstat sikrer, at væsentlige og vigtige enheder uden unødigt ophold underretter dens CSIRT eller, hvor det er relevant, dens kompetente myndighed i overensstemmelse med denne artikels stk. 4 om enhver hændelse, der har en betydelig indvirkning på leveringen af deres tjenester som omhandlet i denne artikels stk. 3 (væsentlig hændelse), via det centrale kontaktpunkt, der er oprettet i henhold til artikel 23a."

a)Følgende indsættes som stk. 12:

"Når en producent underretter om en væsentlig hændelse i henhold til artikel 14, stk. 3, i forordning (EU) 2024/2847, og underretningen af hændelsen i henhold til nævnte artikel indeholder relevante oplysninger som omhandlet i nærværende artikels stk. 4, udgør producentens underretning i henhold til artikel 14, stk. 3, i forordning (EU) 2024/2847 indberetning af oplysninger i henhold til nærværende artikels stk. 4."

3.Artikel 30, stk. 1, affattes således: 

"1. Medlemsstaterne sikrer, at ud over underretningspligten i artikel 23 kan følgende indgive underretninger til CSIRT'erne eller, hvor det er relevant, de kompetente myndigheder på frivillig basis via det centrale kontaktpunkt, der er oprettet i henhold til artikel 23a:

a)væsentlige og vigtige enheder for så vidt angår hændelser, cybertrusler og nærvedhændelser

b)enheder, udover dem der omhandlet i litra a), uanset om de er omfattet af dette direktivs anvendelsesområde, for så vidt angår væsentlige hændelser, cybertrusler og nærvedhændelser."

Artikel 7

Ændring af forordning (EU) nr. 910/2014

I forordning (EU) nr. 910/2014 foretages følgende ændringer:

1.I artikel 19a indsættes følgende som stk. 1a:

"1a. Underretninger i henhold til denne artikels stk. 1, litra b), til tilsynsorganet og, hvis det er relevant, til andre relevante kompetente myndigheder foretages via det centrale kontaktpunkt i henhold til artikel 23a i direktiv (EU) 2022/2555."

2.I artikel 24 indsættes følgende som stk. 2a:

"2a. Underretninger i henhold til denne artikels stk. 2, litra fb), til tilsynsorganet og, hvis det er relevant, til andre relevante kompetente organer foretages via det centrale kontaktpunkt i henhold til artikel 23a i direktiv (EU) 2022/2555."

3.I artikel 45a indsættes følgende som stk. 3a:

"3a. Underretninger i henhold til stk. 3 til Kommissionen og til det kompetente tilsynsorgan foretages via det centrale kontaktpunkt i henhold til artikel 23a i direktiv (EU) 2022/2555."

Artikel 8

Ændring af forordning (EU) 2022/2554

I artikel 19 i forordning (EU) 2022/2554 foretages følgende ændringer:

1.Stk. 1, første afsnit, affattes således:

"De finansielle enheder indberetter større IKT-relaterede hændelser til den relevante kompetente myndighed som omhandlet i artikel 46 via det centrale kontaktpunkt, der er oprettet i henhold til artikel 23a i direktiv (EU) 2022/2555, i overensstemmelse med nærværende artikels stk. 4."

2.Stk. 2, første afsnit, affattes således:

"De finansielle enheder kan på frivillig basis via det centrale kontaktpunkt, der er oprettet i henhold til artikel 23a i direktiv (EU) 2022/2555, underrette den relevante kompetente myndighed om væsentlige cybertrusler, når de anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder. Den relevante kompetente myndighed kan give sådanne oplysninger til andre relevante myndigheder som omhandlet i stk. 6."

Artikel 9

Ændring af direktiv (EU) 2022/2557

I artikel 15 i direktiv (EU) 2022/2557 foretages følgende ændringer:

1.Stk. 1, første punktum, affattes således:

"Medlemsstaterne sikrer, at kritiske enheder via det centrale kontaktpunkt, der er oprettet i henhold til artikel 23a i direktiv (EU) 2022/2555, uden unødigt ophold underretter den kompetente myndighed om hændelser, der i væsentlig grad forstyrrer eller har potentiale til i væsentlig grad at forstyrre leveringen af væsentlige tjenester."

2.I stk. 2 tilføjes følgende afsnit:

"Kommissionen kan vedtage gennemførelsesretsakter, der yderligere præciserer typen og formatet af de oplysninger, der meddeles i henhold til artikel 15, stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 24, stk. 2."

Artikel 10

Ophævelse og overgangsbestemmelser

1.Forordning (EU) 2019/1150 ophæves med virkning fra den [dato = datoen for denne forordnings ikrafttræden].

2.Uanset stk. 1 finder følgende bestemmelser anvendelse frem til den 31. december 2032:

(a)artikel 2, nr. 1)

(b)artikel 2, nr. 2)

(c)artikel 2, nr. 5)

(d)artikel 4

(e)artikel 11

(f)artikel 15.

3.Følgende retsakter ophæves med virkning fra den [dato, tilpasses efter datoen for ændringernes ikrafttræden]:

a)forordning (EU) 2022/868

b)forordning (EU) 2018/1807

c)direktiv 2019/1024.

4.Henvisninger til forordning (EU) 2022/868, forordning (EU) 2018/1807 og direktiv 2019/1024 læses efter sammenligningstabellen i bilag I til nærværende forordning.

Artikel 11

Afsluttende bestemmelser

Denne forordning træder i kraft på tredjedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Uanset stk. 3 finder artikel 5, stk. 2, anvendelse seks måneder efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 3, stk. 8, litra a)-c), artikel 6, stk. 2 og 3, og artikel 7-9 træder i kraft 18 måneder efter denne forordnings ikrafttræden. Derimod gælder det, at hvis Kommissionen i sin vurdering i henhold til artikel 23a, stk. 7, i direktiv (EU) 2022/2555 finder, at det centrale kontaktpunkt ikke sikrer korrekt funktion, pålidelighed, integritet eller fortrolighed, træder forpligtelserne til at indberette via det centrale kontaktpunkt, der er fastsat i artikel 23, stk. 4, i direktiv (EU) 2022/2555, artikel 19a, stk. 1a, artikel 24, stk. 2a, og artikel 45a, stk. 3a, i forordning (EU) nr. 910/2014, artikel 33, stk. 1, i forordning (EU) 2016/679, artikel 19, stk. 1 og 2, i forordning (EU) 2022/2554 og artikel 15, stk. 1, i direktiv (EU) 2022/2557, i kraft 24 måneder efter nærværende forordnings ikrafttræden.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den .

OVERSIGT OVER FINANSIELLE OG DIGITALE VIRKNINGER

1. FORSLAGETS/INITIATIVETS RAMME    3

1.1 Forslagets/initiativets betegnelse    3

1.2. Berørt(e) politikområde(r)    3

1.3. Mål    3

1.3.1 Generelt/generelle mål    3

1.3.2. Specifikt/specifikke mål    3

1.3.3. Forventet/forventede resultat(er) og virkning(er)    3

1.3.4. Resultatindikatorer    3

1.4. Forslaget/initiativet vedrører    4

1.5. Begrundelse for forslaget/initiativet    4

1.5.1.    Behov, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for iværksættelsen af initiativet    4

1.5.2.    Merværdien af et EU-tiltag (f.eks. som følge af koordineringsfordele, retssikkerhed, større effekt eller komplementaritet). Ved "merværdien af et EU-tiltag" forstås her merværdien af en indsats på EU-plan i forhold til den værdi, som medlemsstaterne ville have skabt enkeltvis    4

1.5.3. Erfaringer fra tidligere foranstaltninger af lignende art    4

1.5.4.    Forenelighed med den flerårige finansielle ramme og mulige synergivirkninger med andre relevante instrumenter    5

1.5.5.    Vurdering af de forskellige finansieringsmuligheder, der er til rådighed, herunder muligheden for omfordeling    5

1.6. Varigheden af forslaget/initiativet og af dets finansielle virkninger    6

1.7. Planlagt(e) budgetgennemførelsesmetode(r)    6

2. FORVALTNINGSFORANSTALTNINGER    8

2.1. Bestemmelser om overvågning og rapportering    8

2.2 Forvaltnings- og kontrolsystem(er)    8

2.2.1.    Begrundelse for den/de foreslåede budgetgennemførelsesmetode(r), finansieringsmekanisme(r),

betalingsvilkår og kontrolstrategi    8

2.2.2.    Oplysninger om de konstaterede risici og det/de interne kontrolsystem(er), der etableres

for at afbøde dem    8

2.2.3.    Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet

(forholdet mellem kontrolomkostningerne og værdien af de forvaltede midler) samt vurdering af den forventede risiko for fejl (ved betaling og ved afslutning)    8

2.3. Foranstaltninger til forebyggelse af svig og uregelmæssigheder    9

3. FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER    10

3.1.    Berørt(e) udgiftsområde(r) i den flerårige finansielle ramme og udgiftspost(er) på budgettet    10

3.2. Forslagets anslåede finansielle virkninger for bevillingerne    12

3.2.1. Sammenfatning af de anslåede virkninger for aktionsbevillingerne    12

3.2.1.1. Bevillinger fra vedtaget budget    12

3.2.1.2. Bevillinger fra eksterne formålsbestemte indtægter    17

3.2.2. Anslåede resultater finansieret med aktionsbevillinger    22

3.2.3. Sammenfatning af de anslåede virkninger for administrationsbevillingerne    24

3.2.3.1. Bevillinger fra vedtaget budget    24

3.2.3.2. Bevillinger fra eksterne formålsbestemte indtægter    24

3.2.3.3. Bevillinger i alt    24

3.2.4. Anslået behov for menneskelige ressourcer    25

3.2.4.1. Finansieret over vedtaget budget    25

3.2.4.2. Bevillinger fra eksterne formålsbestemte indtægter    26

3.2.4.3. Samlet behov for menneskelige ressourcer    26

3.2.5. Oversigt over de anslåede virkninger for de digitale teknologirelaterede investeringer    28

3.2.6. Forenelighed med indeværende flerårige finansielle ramme    28

3.2.7. Bidrag fra tredjemand    28

3.3. Anslåede virkninger for indtægterne    29

4. Digitale dimensioner    29

4.1. Krav vedrørende digital relevans    30

4.2. Data    30

4.3. Digitale løsninger    31

4.4. Vurdering af interoperabilitet    31

4.5. Foranstaltninger til støtte for digital gennemførelse    32

1.FORSLAGETS/INITIATIVETS RAMME

1.1.Forslagets/initiativets betegnelse

1.2.Berørt(e) politikområde(r)

1.3.Mål

1.3.1.    Generelt/generelle mål

1.3.2.    Specifikt/specifikke mål

1.3.3.    Forventet/forventede resultat(er) og virkning(er)

Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgrupperne.

1.3.4.    Resultatindikatorer

Angiv indikatorerne til overvågning af fremskridt og resultater.

1.4.Forslaget/initiativet vedrører

 en ny foranstaltning 

 en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende foranstaltning 39  

 en forlængelse af en eksisterende foranstaltning 

 en sammenlægning eller en omlægning af en eller flere foranstaltninger til en anden/en ny foranstaltning

1.5.Begrundelse for forslaget/initiativet

1.5.1.    Behov, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for iværksættelsen af initiativet

1.5.2.    Merværdien af et EU-tiltag (f.eks. som følge af koordineringsfordele, retssikkerhed, større effekt eller komplementaritet). Ved "merværdien af et EU-tiltag" forstås her merværdien af en indsats på EU-plan i forhold til den værdi, som medlemsstaterne ville have skabt enkeltvis

1.5.3.    Erfaringer fra tidligere foranstaltninger af lignende art

1.5.4.    Forenelighed med den flerårige finansielle ramme og mulige synergivirkninger med andre relevante instrumenter

1.5.5.    Vurdering af de forskellige finansieringsmuligheder, der er til rådighed, herunder muligheden for omfordeling

1.6.Varigheden af forslaget/initiativet og af dets finansielle virkninger

5. Begrænset varighed

    gældende fra [DD/MM]ÅÅÅÅ til [DD/MM]ÅÅÅÅ

    finansielle virkninger fra ÅÅÅÅ til ÅÅÅÅ for forpligtelsesbevillinger og fra ÅÅÅÅ til ÅÅÅÅ for betalingsbevillinger.

6. Ubegrænset varighed

iværksættelse med en indkøringsperiode fra ÅÅÅÅ til ÅÅÅÅ

derefter gennemførelse i fuldt omfang.

1.7.Planlagt(e)budgetgennemførelsesmetode(r) 40  

7. Direkte forvaltning ved Kommissionen

 i dens tjenestegrene, herunder ved dens personale i EU's delegationer

    i forvaltningsorganerne

8. Delt forvaltning i samarbejde med medlemsstaterne

9. Indirekte forvaltning ved at overdrage budgetgennemførelsesopgaver til:

 tredjelande eller organer, som tredjelande har udpeget

 internationale organisationer og deres agenturer (angives nærmere)

 Den Europæiske Investeringsbank og Den Europæiske Investeringsfond

 de organer, der er omhandlet i finansforordningens artikel 70 og 71

 offentligretlige organer

 privatretlige organer, der har fået overdraget offentlige tjenesteydelsesopgaver, i det omfang de har fået stillet tilstrækkelige finansielle garantier

 privatretlige organer, undergivet lovgivningen i en medlemsstat, som har fået overdraget gennemførelsen af et offentlig-privat partnerskab, og som har fået stillet tilstrækkelige finansielle garantier

 organer eller personer, der har fået overdraget gennemførelsen af specifikke aktioner i den fælles udenrigs- og sikkerhedspolitik i henhold til afsnit V i traktaten om Den Europæiske Union, og som er anført i den relevante basisretsakt

 organer, der er etableret i en medlemsstat og undergivet lovgivningen i en medlemsstat eller EU-lovgivningen, og som i overensstemmelse med sektorspecifikke regler kan få overdraget gennemførelsen af EU-midler eller budgetgarantier, i det omfang de kontrolleres af offentligretlige organer eller af privatretlige organer, der har fået overdraget offentlige tjenesteydelsesopgaver, og har fået stillet tilstrækkelige finansielle garantier i form af kontrolorganernes solidariske hæftelse eller ækvivalente finansielle garantier, som for hver foranstaltning kan begrænses til EU-støttens maksimale beløb.

I

2.FORVALTNINGSFORANSTALTNINGER

2.1.Bestemmelser om overvågning og rapportering

10.Ændringerne vil blive overvåget som led i den lov, der ændres.

2.2.Forvaltnings- og kontrolsystem(er)

2.2.1.Begrundelse for den/de foreslåede budgetgennemførelsesmetode(r), finansieringsmekanisme(r), betalingsvilkår og kontrolstrategi

11.De forvaltnings- og kontrolsystemer, der gælder for den eksisterende lovgivning, sikrer også en effektiv kontrol for ændringerne

2.2.2.Oplysninger om de konstaterede risici og det/de interne kontrolsystem(er), der etableres for at afbøde dem

12.Ingen yderligere konstaterede risici.

2.2.3.Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet (forholdet mellem kontrolomkostningerne og værdien af de forvaltede midler) samt vurdering af den forventede risiko for fejl (ved betaling og ved afslutning)

13.Omkostningerne ved kontrol vil ikke afvige fra de tidligere omkostninger.

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder

14.De samme forebyggende foranstaltninger gælder fortsat for ændringerne.

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

3.1.Berørt(e) udgiftsområde(r) i den flerårige finansielle ramme og udgiftspost(er) på budgettet

Eksisterende budgetposter

15.I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne

Nye budgetposter, som der anmodes om

16.I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne

3.2.Forslagets anslåede finansielle virkninger for bevillingerne

3.2.1.Sammenfatning af de anslåede virkninger for aktionsbevillingerne

    Forslaget/initiativet medfører ikke anvendelse af aktionsbevillinger

    Forslaget/initiativet medfører anvendelse af aktionsbevillinger som anført herunder:

3.2.1.1.Bevillinger fra vedtaget budget

i mio. EUR (tre decimaler)

================================================================================================

This section should be filled in using the 'budget data of an administrative nature' to be firstly inserted in the Annex to the Legislative Financial and Digital Statement (Annex 5 45 to the Commission Decision on the internal rules for the implementation of the Commission section of the general budget of the European Union), which is uploaded to DECIDE for interservice consultation purposes.

i mio. EUR (tre decimaler)

3.2.1.2.Bevillinger fra eksterne formålsbestemte indtægter

i mio. EUR (tre decimaler)

i mio. EUR (tre decimaler)

i mio. EUR (tre decimaler)

3.2.2.Anslåede resultater finansieret med aktionsbevillinger (skal ikke udfyldes for decentrale agenturer)

Forpligtelsesbevillinger i mio. EUR (tre decimaler)

3.2.3.Sammenfatning af de anslåede virkninger for administrationsbevillingerne

Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger

    Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

3.2.3.1.Bevillinger fra vedtaget budget

Bevillingerne til menneskelige ressourcer og andre administrationsudgifter vil blive dækket ved hjælp af de bevillinger, som generaldirektoratet allerede har afsat til forvaltning af foranstaltningen, og/eller ved intern omfordeling i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som det ansvarlige generaldirektorat tildeles i forbindelse med den årlige tildelingsprocedure og under hensyntagen til de budgetmæssige begrænsninger.

3.2.4.Anslået behov for menneskelige ressourcer

Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer

    Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som anført herunder:

3.2.4.1.Finansieret over vedtaget budget

Overslag angives i årsværk 50

17.

3.2.5.Oversigt over de anslåede virkninger for de digitale teknologirelaterede investeringer

18.Obligatoriske: det bedste skøn over de investeringer i digital teknologi, som forslaget/initiativet medfører, bør medtages i nedenstående tabel.

19.Når det er nødvendigt for gennemførelsen af forslaget/initiativet, bør bevillingerne under udgiftsområde 7 undtagelsesvis opføres under den pågældende budgetpost.

20.Bevillingerne under udgiftsområde 1-6 bør afspejles som "Policy-IT-udgifter til operationelle programmer". Disse udgifter vedrører det driftsbudget, der skal anvendes til at genbruge/købe/udvikle IT-platforme/værktøjer, der er direkte knyttet til gennemførelsen af initiativet og de dertil knyttede investeringer (f.eks. licenser, undersøgelser, datalagring osv.). Oplysningerne i denne tabel skal være i overensstemmelse med oplysningerne i afsnit 4 "Digitale dimensioner".

3.2.6.Forenelighed med indeværende flerårige finansielle ramme

21.Forslaget/initiativet:

kan finansieres fuldt ud gennem omfordeling inden for det relevante udgiftsområde i den flerårige finansielle ramme (FFR)

    kræver anvendelse af den uudnyttede margen under det relevante udgiftsområde i FFR og/eller anvendelse af særlige instrumenter som fastlagt i FFR-forordningen

    kræver en revision af FFR

3.2.7.Bidrag fra tredjemand

22.Forslaget/initiativet:

indeholder ikke bestemmelser om samfinansiering med tredjemand

    indeholder bestemmelser om samfinansiering med tredjemand, jf. følgende overslag:

Bevillinger i mio. EUR (tre decimaler)

 
3.3.    Anslåede virkninger for indtægterne

Forslaget/initiativet har ingen finansielle virkninger for indtægterne

–    Forslaget/initiativet har følgende finansielle virkninger:

–    for egne indtægter

–    for andre indtægter

–Angiv, om indtægterne er formålsbestemte

i mio. EUR (tre decimaler)

23.For formålsbestemte indtægter angives det, hvilke af budgettets udgiftsposter der berøres.

24.[…]

25.Andre bemærkninger (f.eks. om, hvilken metode der er benyttet til at beregne virkningerne for indtægterne).

26.[…]

27.4. DIGITALE DIMENSIONER

4.1. Krav af digital relevans

Overordnet beskrivelse af kravene til digital relevans og relaterede kategorier (data, digitalisering og automatisering af procesesser, digitale løsninger og/eller digitale offentlige tjenester)