(1)

I traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastslås det, at der skal oprettes et indre marked og indføres en ordning, der sikrer, at konkurrencen i det indre marked ikke fordrejes. Fastsættelsen af fælles regler og praksis i medlemsstaterne vedrørende udviklingen af en ramme for datastyring bør bidrage til opnåelsen af disse målsætninger under fuld overholdelse af de grundlæggende rettigheder. Det bør også garantere styrkelsen af Unionens åbne strategiske autonomi og samtidig fremme frie internationale datastrømme.

(2)

I løbet af det seneste årti har digitale teknologier forandret økonomien og samfundet og påvirket alle aktivitetsområder og dagliglivet. Kernen i denne omstilling er data: Datadreven innovation vil medføre enorme fordele for både Unionsborgerne og økonomien, f.eks. ved forbedring og personalisering af medicin, ved at frembringe ny mobilitet og gennem bidrag til Kommissionens meddelelse af 11. december 2019 om den europæiske grønne pagt. For at alle unionsborgere kan blive en del af den datadrevne økonomi, må der lægges særlig vægt på at udjævne den digitale kløft, styrke kvinders deltagelse i dataøkonomien og fremme avanceret europæisk ekspertise i teknologisektoren. Det er nødvendigt at opbygge dataøkonomien på en måde, som muliggør velfungerende virksomheder, navnlig mikrovirksomheder og små og mellemstore virksomheder (SMV'er) som defineret i bilaget til Kommissionens henstilling 2003/361/EF (3) og nyetablerede virksomheder, idet der sikres neutralitet i relation til dataadgang og dataportabilitet og interoperabilitet og undgås lock-in-effekter. I sin meddelelse af 19. februar 2020 om en europæisk strategi for data (»den europæiske datastrategi«) har Kommissionen beskrevet visionen om et fælles europæisk dataområde, dvs. et indre marked for data, hvor data kan anvendes, uanset hvor de fysisk opbevares i Unionen, i overensstemmelse med gældende ret, hvilket bl.a. kunne blive afgørende for den hurtige udvikling af teknologi inden for kunstig intelligens.

Kommissionen har også opfordret til frie og sikre datastrømme med tredjelande med forbehold af undtagelser og begrænsninger af hensyn til den offentlige sikkerhed, den offentlige orden og andre legitime offentlige politiske mål for Unionen i overensstemmelse med internationale forpligtelser, herunder vedrørende grundlæggende rettigheder. For at omsætte denne vision til virkelighed foreslog Kommissionen at oprette domænespecifikke fælles europæiske dataområder for datadeling og datasamling. Som foreslået i den europæiske datastrategi kunne sådanne fælles europæiske dataområder bl.a. omfatte områderne sundhed, mobilitet, produktion, finansielle tjenesteydelser, energi eller landbrug, eller en kombination af disse områder, f.eks. energi og klima, samt tematiske områder som den europæiske grønne pagt eller europæiske dataområder for offentlig forvaltning eller færdigheder. Fælles europæiske dataområder bør gøre data søgbare, tilgængelige, interoperable og genanvendelige (»FAIR dataprincipperne«), idet der samtidigt sikres et højt cybersikkerhedsniveau. Hvor der er lige konkurrencevilkår i dataøkonomien, konkurrerer virksomheder på kvaliteten af tjenester og ikke på mængden af data, som de kontrollerer. Med henblik på udformning, etablering og opretholdelse af lige konkurrencevilkår i dataøkonomien er der behov for en forsvarlig forvaltning, hvor relevante interessenter i et fælles europæisk dataområde deltager og er repræsenteret.

(3)

Det er nødvendigt at forbedre betingelserne for datadeling i det indre marked ved at skabe en harmoniseret ramme for dataudveksling og fastsætte visse grundlæggende krav til datastyring, idet der lægges særlig vægt på at lette samarbejdet mellem medlemsstaterne. Denne forordning bør sigte mod at videreudvikle det grænsefrie digitale indre marked og et datasamfund og en dataøkonomi, der sætter mennesket i centrum, og som er pålideligt og sikkert. Med sektorspecifik EU-ret kan nye og supplerende elementer udvikles, tilpasses og foreslås afhængigt af sektorernes særlige karakter såsom den planlagte EU-ret om det europæiske sundhedsdataområde og om adgangen til køretøjsdata. Desuden er visse økonomiske sektorer allerede reguleret ved sektorspecifik EU-ret, der omfatter regler om grænseoverskridende eller EU-dækkende deling af eller adgang til data, f.eks. Europa-Parlamentets og Rådets direktiv 2011/24/EU (4) i forbindelse med det europæiske sundhedsdataområde og relevante lovgivningsmæssige retsakter på transportområdet såsom Europa-Parlamentets og Rådets forordning (EU) 2019/1239 (5) og (EU) 2020/1056 (6) og direktiv 2010/40/EU (7) i forbindelse med det europæiske mobilitetsdataområde.

Denne forordning bør derfor ikke berøre Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 (8), (EU) 2018/858 (9) og (EU) 2018/1807 (10) samt direktiv 2000/31/EF (11), 2001/29/EF (12), 2004/48/EF (13), 2007/2/EF (14), 2010/40/EU, (EU) 2015/849 (15), (EU) 2016/943 (16), (EU) 2017/1132 (17), (EU) 2019/790 (18) og (EU) 2019/1024 (19) og anden sektorspecifik EU-ret om adgang til og videreanvendelse af data. Denne forordning bør ikke berøre EU-retten og national ret om adgangen til og anvendelsen af data med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner samt det internationale samarbejde i den forbindelse.

Denne forordning bør ikke berøre medlemsstaternes kompetencer med hensyn til deres aktiviteter vedrørende offentlig sikkerhed, forsvar og national sikkerhed. Videreanvendelsen af data, der er beskyttet af hensyn hertil og er i de offentlige myndigheders besiddelse, herunder data fra udbudsprocedurer, som er omfattet af Europa-Parlamentets og Rådets direktiv 2009/81/EF (20), bør ikke være omfattet af denne forordning. Der bør indføres en horisontal ordning for videreanvendelse af bestemte kategorier af beskyttede data i de offentlige myndigheders besiddelse, udbud af dataformidlingstjenester og tjenester baseret på dataaltruisme i Unionen. De forskellige sektorers særlige kendetegn kan kræve, at der udvikles sektorielle databaserede systemer, samtidig med at der bygges videre på kravene i denne forordning. Dataformidlingstjenesteudbydere, der opfylder kravene i denne forordning, bør kunne anvende betegnelsen »dataformidlingstjenesteudbydere, der er anerkendt i Unionen«. Juridiske personer, der søger at støtte almennyttige formål ved at stille relevante data til rådighed på grundlag af dataaltruisme i stor skala, og som opfylder kravene i denne forordning, bør kunne registreres med og bruge betegnelsen »dataaltruistiske organisationer, der er anerkendt i Unionen«. Hvis sektorspecifik EU-ret eller national ret kræver, at offentlige myndigheder, sådanne dataformidlingstjenesteudbydere eller sådanne juridiske personer (anerkendte dataaltruistiske organisationer) skal opfylde specifikke supplerende tekniske, administrative eller organisatoriske krav, herunder gennem en tilladelses- eller certificeringsordning, finder bestemmelserne i den sektorspecifikke EU-ret eller nationale ret også anvendelse.

(4)

Nærværende forordning bør ikke berøre Europa-Parlamentets og Rådets forordning (EU) 2016/679 (21) og (EU) 2018/1725 (22) og Europa-Parlamentets og Rådets direktiv 2002/58/EF (23) og (EU) 2016/680 (24) og de tilsvarende bestemmelser i national ret, herunder i tilfælde, hvor personoplysninger og andre data end personoplysninger i et datasæt er uløseligt forbundet. Navnlig bør nærværende forordning ikke fortolkes således, at den skaber et nyt retsgrundlag for behandlingen af personoplysninger for nogle af de regulerede aktiviteter, eller at den medfører en ændring af oplysningskravene, der er fastsat i forordning (EU) 2016/679. Gennemførelsen af nærværende forordning bør ikke forhindre grænseoverskridende overførsler af data i overensstemmelse med kapitel V i forordning (EU) 2016/679. I tilfælde af uoverensstemmelse mellem nærværende forordning og EU-retten om beskyttelse af personoplysninger eller national ret vedtaget i overensstemmelse med sådan EU-ret bør den relevante EU- eller nationale ret om beskyttelse af personoplysninger have forrang. Det bør være muligt at betragte databeskyttelsesmyndigheder som kompetente myndigheder i henhold til nærværende forordning. Hvis andre myndigheder fungerer som kompetente myndigheder i henhold til nærværende forordning, bør de gøre dette, uden at det berører databeskyttelsesmyndighedernes tilsynsbeføjelser og kompetencer i henhold til forordning (EU) 2016/679.

(5)

En indsats på EU-plan er nødvendig for at øge tilliden til datadeling ved at indføre passende mekanismer, så registrerede og dataindehavere kontrollerer de data, som vedrører dem, og for at afhjælpe andre hindringer for en velfungerende og konkurrencedygtig datadreven økonomi. Denne indsats bør ikke berøre pligter og tilsagn, som er indeholdt i internationale handelsaftaler indgået af Unionen. En EU-dækkende forvaltningsramme bør have som målsætning at skabe tillid blandt enkeltpersoner og virksomheder i relation til adgang til, kontrol, deling og anvendelse af data samt videreanvendelse af data, navnlig ved at indføre passende mekanismer, så de registrerede kender og kan udøve deres rettigheder på en meningsfuld måde, og med hensyn til videreanvendelsen af visse typer data, som de offentlige myndigheder er i besiddelse af, dataformidlingstjenesteudbyderes udbud af tjenester til registrerede, dataindehavere og databrugere samt indsamlingen og behandlingen af data, der af fysiske og juridiske personer stilles til rådighed til altruistiske formål. Navnlig kan større gennemsigtighed med hensyn til formålet med dataanvendelse og betingelserne for virksomhedernes lagring af data bidrage til at øge tilliden.

(6)

Idéen om, at data, der er genereret eller indsamlet af offentlige myndigheder eller andre enheder med udgifter for de offentlige budgetter, bør komme samfundet til gode, har længe været en del af Unionens politik. Ved direktiv (EU) 2019/1024 og sektorspecifik EU-ret er det sikret, at de offentlige myndigheder gør flere af de data, de genererer, let tilgængelige for anvendelse og videreanvendelse. Bestemte kategorier af data, såsom kommercielt fortrolige data, data der er statistisk fortrolige, og data, der er beskyttet af tredjeparters intellektuelle ejendomsrettigheder, herunder forretningshemmeligheder, og personoplysninger i offentlige databaser, stilles imidlertid ofte ikke til rådighed, end ikke til forskning eller innovative aktiviteter i offentlighedens interesse, selv om sådan tilgængelighed er mulig i henhold til gældende EU-ret, navnlig forordning (EU) 2016/679 og direktiv 2002/58/EF og (EU) 2016/680. På grund af sådanne datas følsomhed er det nødvendigt, at visse tekniske og juridiske procedurekrav er opfyldt, før de stilles til rådighed, ikke mindst for at sikre, at andres rettigheder over sådanne data respekteres, eller for at begrænse den negative indvirkning på grundlæggende rettigheder, princippet om ikkediskriminering og databeskyttelse. Opfyldelsen af sådanne krav kræver normalt omfattende tid og viden. Det har ført til en utilstrækkelig anvendelse af sådanne data. Nogle medlemsstater indfører strukturer, processer eller lovgivning for at lette denne form for videreanvendelse, men det er ikke tilfældet i hele Unionen. For at lette private og offentlige enheders dataanvendelse med henblik på europæisk forskning og innovation er der behov for klare betingelser for adgang til og anvendelse af sådanne data i hele Unionen.

(7)

Der findes teknikker, som muliggør analyser i databaser, der indeholder personoplysninger, som for eksempel anonymisering, differentiel beskyttelse af privatlivets fred, generalisering, undertrykkelse og randomisering, anvendelsen af syntetiske data eller lignende metoder og andre avancerede metoder til beskyttelse af privatlivets fred, som kan bidrage til en databehandling, der i højere grad sikrer beskyttelse af privatlivets fred. Medlemsstaterne bør yde støtte til, at offentlige myndigheder kan udnytte sådanne teknikker optimalt og dermed stille så store datamængder som muligt til rådighed for deling. Anvendelsen af sådanne teknikker sammen med omfattende konsekvensanalyser vedrørende databeskyttelse og andre beskyttelsesforanstaltninger kan bidrage til større sikkerhed i anvendelsen og videreanvendelsen af personoplysninger og bør garantere en sikker videreanvendelse af kommercielt fortrolige forretningsdata til forsknings- og innovationsformål samt statistiske formål. I mange tilfælde indebærer anvendelsen af sådanne teknikker, konsekvensanalyser og andre beskyttelsesforanstaltninger, at data kun kan anvendes og videreanvendes i et sikkert databehandlingsmiljø, der stilles til rådighed eller kontrolleres af den offentlige myndighed. Der er erfaringer på EU-plan med sådanne sikre behandlingsmiljøer, som anvendes til forskning i statistiske mikrodata på grundlag af Kommissionens forordning (EU) nr. 557/2013 (25). For så vidt angår personoplysninger bør databehandlingen generelt basere sig på en eller flere af de retsgrundlag for behandling, der er fastsat i artikel 6 og 9 i forordning (EU) 2016/679.

(8)

I overensstemmelse med forordning (EU) 2016/679 bør principperne om databeskyttelse ikke gælde for anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er anonymiseret på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Genidentifikation af registrerede fra anonymiserede datasæt bør forbydes. Dette bør ikke berøre muligheden for at forske i anonymiseringsteknikker, navnlig med henblik på at garantere informationssikkerhed, forbedre eksisterende anonymiseringsteknikker og bidrage til den overordnede robusthed i den anonymisering, som foretages i overensstemmelse med forordning (EU) 2016/679.

(9)

Medlemsstaterne bør med henblik på at fremme beskyttelsen af personoplysninger og fortrolige data og fremskynde processen til at stille sådanne data til rådighed til videreanvendelse i henhold til denne forordning tilskynde de offentlige myndigheder til at oprette og stille data til rådighed i overensstemmelse med princippet om, at dataene er »åbne gennem design og standardindstillinger«, jf. artikel 5, stk. 2, i direktiv (EU) 2019/1024, og til at fremme oprettelsen og anskaffelsen af data i formater og strukturer, der muliggør anonymisering i denne henseende.

(10)

De kategorier af data, der er i de offentlige myndigheders besiddelse, og som bør kunne videreanvendes i henhold til denne forordning, falder uden for anvendelsesområdet for direktiv (EU) 2019/1024, som ikke omfatter data, der ikke er tilgængelige på grund af kommerciel eller statistisk fortrolighed, og data, som er indeholdt i værker eller andet indhold, som tredjeparter har intellektuelle ejendomsrettigheder til. Kommercielt fortrolige data omfatter data, der er beskyttet af forretningshemmeligheder, beskyttet knowhow og alle andre oplysninger, hvis uberettigede videregivelse ville have indvirkning på virksomhedens markedsposition eller finansielle soliditet. Denne forordning bør gælde for personoplysninger, som falder uden for anvendelsesområdet for direktiv (EU) 2019/1024, for så vidt som adgangsordningen udelukker eller begrænser adgangen til sådanne oplysninger af hensyn til databeskyttelsen, privatlivets fred og den enkeltes integritet, navnlig i henhold til databeskyttelsesregler. Videreanvendelse af data, der kan indeholde forretningshemmeligheder, bør ske, uden at det berører direktiv (EU) 2016/943, hvori rammen for lovlig erhvervelse, brug eller videregivelse af forretningshemmeligheder fastsættes.

(11)

Denne forordning bør ikke indføre en forpligtelse til at tillade videreanvendelse af data, der er i de offentlige myndigheders besiddelse. Hver medlemsstat bør derfor navnlig kunne beslutte, om data stilles til rådighed til videreanvendelse, også med hensyn til formålet med og omfanget af en sådan adgang. Denne forordning bør supplere og ikke berøre de mere specifikke forpligtelser for offentlige myndigheder til at tillade videreanvendelse af data, der er fastsat i sektorspecifik EU-ret eller national ret. Aktindsigt i officielle dokumenter kan anses for at være i samfundets interesse. Under hensyntagen til den rolle, som aktindsigt i officielle dokumenter og gennemsigtighed spiller i et demokratisk samfund, bør denne forordning heller ikke berøre EU-ret eller national ret om aktindsigt i og offentliggørelse af officielle dokumenter. Der kan navnlig gives aktindsigt i officielle dokumenter i henhold til national ret, uden at der fastsættes særlige betingelser, eller ved at der fastsættes særlige betingelser, som ikke fremgår af denne forordning.

(12)

Denne forordnings bestemmelser om videreanvendelse bør gælde for data, der stilles til rådighed som led i de berørte offentlige myndigheders opgaver som fastsat ved lov eller andre retsforskrifter i medlemsstaterne. Hvis der ikke findes sådanne forskrifter, bør de offentlige opgaver defineres i overensstemmelse med almindelig administrativ praksis i medlemsstaterne, forudsat at de offentlige opgavers rækkevidde er gennemsigtig og underlagt kontrol. De offentlige opgaver kan defineres generelt eller fra sag til sag for de enkelte offentlige myndigheder. Da offentlige virksomheder ikke er omfattet af definitionen af en offentlig myndighed, bør de data, som offentlige virksomheder er i besiddelse af, ikke være omfattet af denne forordning. Data, som kulturinstitutioner, f.eks. biblioteker, arkiver og museer samt orkestre, operaer, balletter og teatre, og uddannelsesinstitutioner er i besiddelse af, bør ikke være omfattet af denne forordning, eftersom de værker og andre dokumenter, som de er i besiddelse af, hovedsagelig er omfattet af tredjeparters intellektuelle ejendomsrettigheder. Forskningsorganisationer og forskningsfinansierende organisationer kan også organiseres som offentlige myndigheder eller offentligretlige organer.

Denne forordning bør kun gælde for sådanne hybride organisationer i deres egenskab af forskningsorganisationer. Hvis en forskningsorganisation er i besiddelse af data som led i en specifik offentlig-privat sammenslutning med organisationer i den private sektor eller andre offentlige myndigheder, offentligretlige organer eller hybride forskningsorganisationer, dvs. organiseret som enten offentlige myndigheder eller offentlige virksomheder, med det primære formål at drive forskning, bør disse data heller ikke være omfattet af denne forordning. Medlemsstaterne bør, hvor det er relevant, kunne anvende denne forordning på offentlige virksomheder eller private virksomheder, der udfører offentlige opgaver eller udbyder tjenester af almen interesse. Udvekslingen af data, som alene sker som led i varetagelsen af deres offentlige opgaver, mellem offentlige myndigheder i Unionen eller mellem offentlige myndigheder i Unionen og offentlige myndigheder i tredjelande eller internationale organisationer, samt udvekslingen af data mellem forskere til ikkekommercielle videnskabelige forskningsformål, bør ikke være omfattet af denne forordnings bestemmelser om videreanvendelse af bestemte kategorier af beskyttede data i offentlige myndigheders besiddelse.

(13)

Offentlige myndigheder bør overholde konkurrenceretten, når de fastlægger principperne for videreanvendelsen af de data, de er i besiddelse af, og undgå at indgå aftaler, der kan have til formål eller til følge at skabe eksklusive rettigheder til videreanvendelsen af visse data. Sådanne aftaler bør kun være mulige, hvor de er berettigede og nødvendige for udbuddet af en tjenesteydelse eller leveringen af et produkt af almen interesse. Dette kan være tilfældet, hvor den eksklusive anvendelse af data er den eneste måde, hvorpå dataenes samfundsmæssige fordele kan maksimeres, f.eks. hvis der kun er én enhed (som har specialiseret sig i behandlingen af et specifikt datasæt), der er i stand til at udbyde den tjenesteydelse eller levere det produkt, der gør det muligt for den offentlige myndighed at udbyde en tjeneste eller levere et produkt af almen interesse. Sådanne aftaler bør imidlertid indgås i overensstemmelse med gældende EU-ret eller national ret og regelmæssigt tages op til revision på grundlag af en markedsanalyse for at fastslå, om en sådan eksklusivitet fortsat er nødvendig. Desuden bør sådanne aftaler overholde de relevante statsstøtteregler, alt efter hvad der er relevant, og indgås med en begrænset varighed, der ikke bør overstige 12 måneder. For at sikre gennemsigtighed bør sådanne eneretsaftaler offentliggøres online i en form, der er i overensstemmelse med den relevante EU-ret om offentlige udbud. Hvis en eneret til videreanvendelse af data ikke er i overensstemmelse med denne forordning, bør denne eneret erklæres ugyldig.

(14)

Forbudte eneretsaftaler og anden praksis eller aftaler vedrørende videreanvendelse af data, som offentlige myndigheder er i besiddelse af, som ikke udtrykkeligt giver eksklusive rettigheder, men som med rimelighed kan forventes at begrænse tilgængeligheden af data til videreanvendelse, og som er indgået eller allerede trådt i kraft inden datoen for denne forordnings ikrafttræden, bør ikke forlænges efter udløbet af deres gyldighedsperiode. Hvis der er tale om tidsubegrænsede eller langsigtede aftaler, bør de bringes til ophør senest 30 måneder efter datoen for denne forordnings ikrafttræden.

(15)

Denne forordning bør fastsætte betingelser for videreanvendelsen af beskyttede data, som gælder for offentlige myndigheder, der i henhold til national ret er udpeget som kompetente til at give eller nægte adgang til videreanvendelse, og som ikke berører rettigheder eller forpligtelser vedrørende adgangen til sådanne data. Disse betingelser bør være ikkediskriminerende, gennemsigtige, stå i et rimeligt forhold til formålet og være objektivt begrundede og må ikke begrænse konkurrencen, idet der rettes særlig opmærksomhed mod at lette adgangen til sådanne data for SMV'er og nyetablerede virksomheder. Betingelserne for videreanvendelse bør udformes på en måde, der fremmer videnskabelig forskning således, at f.eks. prioritering af videnskabelig forskning som hovedregel bør betragtes som ikkediskriminerende. De offentlige myndigheder, der tillader videreanvendelse, bør råde over de nødvendige tekniske midler for at sikre beskyttelsen af tredjeparters rettigheder og interesser, og bør have bemyndigelse til at anmode videreanvenderen om de nødvendige oplysninger. Betingelser for videreanvendelsen af data bør være begrænsede til, hvad der er nødvendigt for at beskytte tredjeparters rettigheder til og interesser i dataene og integriteten af de offentlige myndigheders IT- og kommunikationssystemer. Offentlige myndigheder bør anvende betingelser, der bedst tjener videreanvenderens interesser, uden at dette fører til en uforholdsmæssig stor byrde for de offentlige myndigheder. Betingelser for videreanvendelsen af data bør udformes, så de sikrer effektive beskyttelsesforanstaltninger med hensyn til beskyttelsen af personoplysninger. Personoplysninger bør inden videregivelsen være anonymiserede, således at det ikke er muligt at identificere de registrerede, og data, der indeholder kommercielt fortrolige oplysninger, bør inden videregivelsen være ændret på en sådan måde, at der ikke videregives fortrolige oplysninger. Hvor leveringen af anonymiserede eller ændrede data ikke imødekommer videreanvenderens behov, forudsat at eventuelle krav om at gennemføre en konsekvensanalyse vedrørende databeskyttelse og høre tilsynsmyndigheden i henhold til artikel 35 og 36 i forordning (EU) 2016/679 er blevet opfyldt, og hvor det er påvist, at risiciene for de registreredes rettigheder og interesser er minimale, kan der gives tilladelse til lokal videreanvendelse eller fjernvidereanvendelse af dataene i et sikkert databehandlingsmiljø.

Dette kunne være en passende ordning for videreanvendelse af pseudonymiserede data. Dataanalyser i sådanne sikre databehandlingsmiljøer bør overvåges af den offentlige myndighed, således at tredjeparters rettigheder og interesser beskyttes. Navnlig bør personoplysninger kun videregives til tredjeparter med henblik på videreanvendelse, hvis et retsgrundlag i henhold til databeskyttelsesretten tillader en sådan videregivelse. Andre data end personoplysninger bør kun videregives, når der ikke er grund til at tro, at kombinationen af datasæt med andre data end personoplysninger vil føre til identifikation af registrerede. Dette bør også gælde for pseudonymiserede data, som bevarer deres status af personoplysninger. I tilfælde af genidentifikation af registrerede bør en forpligtelse til at anmelde et sådant brud på datasikkerheden til den offentlige myndighed finde anvendelse i tillæg til en forpligtelse til at anmelde et sådant brud på datasikkerheden til en tilsynsmyndighed og den registrerede i overensstemmelse med forordning (EU) 2016/679. Hvor det er relevant, bør de offentlige myndigheder lette videreanvendelsen af data på grundlag af de registreredes samtykke eller dataindehavernes tilladelse til videreanvendelse af data, der vedrører dem, ved hjælp af passende tekniske midler. I den forbindelse bør den offentlige myndighed bestræbe sig på at yde bistand til potentielle videreanvendere med henblik på at indhente et sådant samtykke eller en sådan tilladelse ved at indføre tekniske mekanismer, der gør det muligt at videresende anmodninger om samtykke eller tilladelse fra videreanvendere, hvor dette er praktisk muligt. Der bør ikke opgives kontaktoplysninger, der gør det muligt for videreanvendere at kontakte registrerede eller dataindehavere direkte. Hvor den offentlige myndighed fremsender en anmodning om samtykke eller tilladelse, bør den sikre, at den registrerede eller dataindehaveren tydeligt informeres om muligheden for at nægte samtykke eller tilladelse.

(16)

For at lette og fremme anvendelsen af data i de offentlige myndigheders besiddelse i videnskabelig forskning opfordres de offentlige myndigheder til at udvikle en harmoniseret tilgang og harmoniserede procedurer, så samfundsnyttig videnskabelig forskning får let adgang til disse data. Dette kunne bl.a. indebære, at der oprettes strømlinede administrative procedurer, et standardiseret dataformat, informative metadata om valg af metode og dataindsamling samt standardiserede datafelter, så datasæt fra forskellige datakilder i den offentlige sektor, hvis det er relevant, let kan sammenkobles i analyseøjemed. Formålet med denne praksis bør være at fremme offentligt finansierede og genererede data med henblik på videnskabelig forskning i overensstemmelse med princippet »så åbent som muligt, så lukket som nødvendigt«.

(17)

Tredjeparters intellektuelle ejendomsrettigheder bør ikke berøres af denne forordning. Denne forordning bør hverken berøre eksistensen af eller ejendomsretten til offentlige myndigheders intellektuelle ejendomsrettigheder eller begrænse udøvelsen af sådanne rettigheder på nogen måde. De forpligtelser, der pålægges i henhold til denne forordning, bør kun gælde, for så vidt som de er forenelige med internationale aftaler om beskyttelse af intellektuel ejendomsret, navnlig Bernerkonventionen til værn for litterære og kunstneriske værker (Bernerkonventionen), aftalen om handelsrelaterede intellektuelle ejendomsrettigheder (TRIPS-aftalen) og Verdensorganisationen for Intellektuel Ejendomsrets (WIPO's) traktat om ophavsret (WCT), og EU-ret eller national ret om intellektuel ejendomsret. Offentlige myndigheder bør dog udøve deres ophavsret på en måde, der letter videreanvendelse.

(18)

Data, der er omfattet af intellektuelle ejendomsrettigheder og forretningshemmeligheder, bør kun videregives til tredjeparter, hvis en sådan videregivelse er lovlig i henhold til EU-retten eller national ret, eller hvis rettighedshaveren giver sit samtykke hertil. Hvis offentlige myndigheder er rettighedshavere som en databases fremstiller som fastsat i artikel 7, stk. 1, i Europa-Parlamentets og Rådets direktiv 96/9/EF (26), bør de ikke udøve disse rettigheder for at forhindre videreanvendelse af data eller sætte grænser for videreanvendelsen, der er mere restriktive end dem, der er fastsat i denne forordning.

(19)

Virksomheder og registrerede bør kunne stole på, at videreanvendelsen af visse kategorier af beskyttede data, som de offentlige myndigheder er i besiddelse af, vil finde sted på en måde, der respekterer deres rettigheder og interesser. Der bør derfor indføres yderligere beskyttelsesforanstaltninger med henblik på situationer, hvor videreanvendelse af sådanne data fra den offentlige sektor finder sted på grundlag af en behandling af dataene uden for den offentlige sektor, såsom et krav om, at offentlige myndigheder i alle tilfælde sikrer, at fysiske og juridiske personers rettigheder og interesser fuldt ud beskyttes, navnlig hvad angår personoplysninger, kommercielt følsomme data og intellektuelle ejendomsrettigheder, herunder hvor sådanne data overføres til tredjelande. Offentlige myndigheder bør ikke tillade, at forsikringsselskaber eller andre tjenesteydere videreanvender oplysninger, der er lagret i e-sundhedsapplikationer, med henblik på forskelsbehandling i forbindelse med prisfastsættelse, eftersom dette ville stride mod den grundlæggende ret til adgang til sundhedspleje.

(20)

Desuden er det med henblik på at opretholde fair konkurrence og den åbne markedsøkonomi særdeles vigtigt at sikre beskyttede data af ikkepersonlig karakter, navnlig forretningshemmeligheder, men også andre data end personoplysninger, der udgør indhold, som er beskyttet af intellektuelle ejendomsrettigheder, mod ulovlig adgang, der kan føre til tyveri af intellektuel ejendom eller industrispionage. For at sikre beskyttelsen af dataindehavernes rettigheder eller interesser, bør det kun være muligt at overføre andre data end personoplysninger, der skal beskyttes mod ulovlig eller uautoriseret adgang i henhold til EU-retten eller national ret, og som er i offentlige myndigheders besiddelse, til tredjelande, hvor anvendelsen af data er omfattet af passende beskyttelsesforanstaltninger. Sådanne passende beskyttelsesforanstaltninger bør omfatte et krav om, at den offentlige myndighed kun videregiver beskyttede data til en videreanvender, hvis denne påtager sig kontraktlige forpligtelser med henblik på at beskytte dataene. En videreanvender, der har til hensigt at overføre de beskyttede data til et tredjeland, bør overholde de krav, der er fastsat i denne forordning, også efter at oplysningerne er blevet overført til tredjelandet. For at sikre en korrekt håndhævelse af sådanne krav bør videreanvenderen også anerkende, at kompetencen med henblik på retslig bilæggelse af tvister ligger hos domstolene i den medlemsstat, hvis offentlige myndighed har givet tilladelse til videreanvendelse.

(21)

Det bør ligeledes overvejes at gennemføre passende beskyttelsesforanstaltninger, hvor der i det tredjeland, hvortil andre data end personoplysninger overføres, gælder tilsvarende foranstaltninger, som sikrer, at der for data gælder et beskyttelsesniveau svarende til det, der gælder i henhold til EU-retten, navnlig med hensyn til beskyttelse af forretningshemmeligheder og intellektuelle ejendomsrettigheder. Med henblik herpå bør Kommissionen, hvor dette er begrundet på grund af det betydelige antal anmodninger i hele Unionen om videreanvendelse af andre data end personoplysninger i specifikke tredjelande, kunne erklære ved hjælp af gennemførelsesretsakter, at et tredjeland yder et beskyttelsesniveau, der i det væsentlige svarer til det beskyttelsesniveau, der er fastsat i EU-retten. Kommissionen bør vurdere, om sådanne gennemførelsesretsakter er nødvendige på grundlag af oplysninger, som medlemsstaterne indgiver gennem Det Europæiske Datainnovationsråd. Sådanne gennemførelsesretsakter vil forsikre offentlige myndigheder om, at videreanvendelse af data, som er i offentlige myndigheders besiddelse i det pågældende tredjeland, ikke vil bringe disse datas beskyttede karakter i fare. Ved vurderingen af beskyttelsesniveauet i det pågældende tredjeland bør navnlig følgende aspekter tages i betragtning: den relevante generelle og sektorspecifikke ret, herunder om offentlig sikkerhed, forsvar, national sikkerhed og strafferet vedrørende adgang til og beskyttelse af andre data end personoplysninger, hvorvidt de offentlige myndigheder i det pågældende tredjeland har adgang til de overførte data, hvorvidt der er en eller flere uafhængige tilsynsmyndigheder i tredjelandet med ansvar for at sikre og håndhæve overholdelsen af de retlige bestemmelser, der sikrer adgang til sådanne data, samt hvorvidt sådanne myndigheder fungerer effektivt, tredjelandets internationale forpligtelser vedrørende databeskyttelse, eller andre forpligtelser i forbindelse med retligt bindende konventioner eller instrumenter eller deltagelse i multilaterale eller regionale aftaler.

I forbindelse med overførsel af andre data end personoplysninger til et tredjeland er det navnlig vigtigt, at der findes effektive retsmidler for dataindehavere, offentlige myndigheder og dataformidlingstjenesteudbydere i det pågældende tredjeland. Sådanne beskyttelsesforanstaltninger bør derfor omfatte bestemmelser om rettigheder, der kan håndhæves, og effektive retsmidler. Sådanne gennemførelsesretsakter bør ikke berøre retlige forpligtelser eller kontraktlige ordninger, der allerede er indgået af en videreanvender af hensyn til beskyttelsen af andre data end personoplysninger, navnlig industrielle data, og offentlige myndigheders ret til at forpligte videreanvendere til at overholde betingelserne for videreanvendelse i overensstemmelse med denne forordning.

(22)

Visse tredjelande vedtager love, administrative bestemmelser og andre retsakter med sigte på direkte overførsel af eller statslig adgang til andre data end personoplysninger i Unionen, som fysiske og juridiske personer under medlemsstaternes jurisdiktion har kontrol over. Afgørelser og domme afsagt af en domstol eller ret i et tredjeland og afgørelser truffet af en administrativ myndighed i et tredjeland, ifølge hvilken der pålægges krav om overførsel af eller adgang til andre data end personoplysninger, bør kunne håndhæves, hvor de er baseret på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en medlemsstat. I nogle tilfælde kan der opstå situationer, hvor krav om at overføre eller give adgang til andre data end personoplysninger, der følger af et tredjelands lovgivning, er i strid med en forpligtelse til at beskytte sådanne data i henhold til EU-retten eller national ret, navnlig hvad angår beskyttelse af den enkeltes grundlæggende rettigheder eller af en medlemsstats grundlæggende interesser i forbindelse med national sikkerhed eller forsvar, samt beskyttelse af forretningsmæssigt følsomme data og intellektuelle ejendomsrettigheder, og herunder kontraktlige forpligtelser vedrørende fortrolighed i overensstemmelse med denne ret. I mangel af internationale aftaler om sådanne spørgsmål bør overførsel eller adgang til andre data end personoplysninger kun tillades, hvis det navnlig er blevet verificeret, at tredjelandets retssystem kræver, at afgørelsen eller dommen begrundes, og at det godtgøres, at den står i et rimeligt forhold til formålet; endvidere skal afgørelsen eller dommen være af specifik karakter, og en begrundet indsigelse fra adressaten skal kunne prøves ved en kompetent domstol eller ret i tredjelandet, som har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de pågældende data til rådighed.

Desuden bør offentlige myndigheder, fysiske eller juridiske personer, som har fået tildelt retten til at videreanvende data, dataformidlingstjenesteudbydere og anerkendte dataaltruistiske organisationer, hvor de indgår kontraktmæssige aftaler med andre private parter sikre, at andre data end personoplysninger, der opbevares i Unionen, kun tilgås eller overføres til tredjelande i overensstemmelse med EU-retten eller den relevante medlemsstats nationale ret.

(23)

Med henblik på yderligere at øge tilliden til Unionens dataøkonomi er det afgørende, at de sikkerhedsforanstaltninger i forhold til Unionens borgere, den offentlige sektor og virksomhederne, som sikrer, at kontrollen med deres strategiske og følsomme data gennemføres, og at EU-retten, EU-værdier og -standarder opretholdes med hensyn til, men ikke begrænset til, sikkerhed, databeskyttelse og forbrugerbeskyttelse. For at forhindre ulovlig adgang til andre data end personoplysninger bør offentlige myndigheder samt fysiske og juridiske personer, der er tildelt ret til at videreanvende data, dataformidlingstjenesteudbydere og anerkendte dataaltruistiske organisationer, træffe alle rimelige foranstaltninger for at forhindre adgang til de systemer, hvor andre data end personoplysninger er lagret, herunder gennem kryptering af data eller virksomhedspolitikker. Med henblik herpå bør det sikres, at offentlige myndigheder, fysiske og juridiske personer, som har fået tildelt ret til at videreanvende data, dataformidlingstjenesteudbydere og anerkendte dataaltruistiske organisationer, overholder alle relevante tekniske standarder, adfærdskodekser og certificeringer på EU-plan.

(24)

For at opbygge tillid til ordninger for videreanvendelse af data kan det være nødvendigt at fastsætte strengere betingelser for visse typer af andre data end personoplysninger, der kan blive kategoriseret som meget følsomme i fremtidige specifikke lovgivningsmæssige EU-retsakter, for så vidt angår overførsel til tredjelande, hvis en sådan overførsel kan sætte Unionens offentlige politiske mål på spil, i overensstemmelse med internationale forpligtelser. På sundhedsområdet for eksempel kan visse datasæt, som aktører i det offentlige sundhedssystem såsom offentlige hospitaler er i besiddelse af, kategoriseres som meget følsomme sundhedsdata. Andre relevante sektorer omfatter transport, energi, miljø og finans. For at sikre en ensartet praksis i hele Unionen bør sådanne typer af andre data end personoplysninger, der er meget følsomme, defineres i EU-retten, f.eks. inden for rammerne af lovgivningen om det europæiske sundhedsdataområde eller anden sektorspecifik ret. Betingelserne for overførsel af sådanne data til tredjelande bør fastsættes i delegerede retsakter. Betingelserne bør stå i et rimeligt forhold til formålet og være ikkediskriminerende og nødvendige for at beskytte Unionens legitime offentlige politiske mål såsom beskyttelse af folkesundheden, sikkerhed, miljøet, den offentlige moral, forbrugerbeskyttelse, beskyttelse af privatlivets fred og personoplysninger. Betingelserne bør stå i forhold til de risici, der er konstateret vedrørende sådanne datas følsomhed, herunder med hensyn til risikoen for genkendelse af enkeltpersoner. Sådanne betingelser kunne f.eks. omfatte betingelser for overførsler eller tekniske ordninger såsom krav om anvendelse af et sikkert databehandlingsmiljø, begrænsninger for videreanvendelsen af data i tredjelande eller for, hvilke kategorier af personer der har ret til at overføre sådanne oplysninger til tredjelande, eller hvilke kategorier der kan få adgang til oplysningerne i tredjelandet. I særlige tilfælde kunne sådanne betingelser også omfatte begrænsninger af overførsel af data til tredjelande med det formål at beskytte offentlighedens interesser.

(25)

Offentlige myndigheder bør kunne opkræve gebyrer for adgang til videreanvendelse af data, men de bør også kunne tillade videreanvendelse til et nedsat gebyr eller gratis, f.eks. for bestemte kategorier af videreanvendelse såsom ikkekommerciel videreanvendelse til videnskabelige forskningsformål eller videreanvendelse i SMV'er og nyetablerede virksomheder, civilsamfundet og uddannelsesinstitutioner, for at tilskynde til en sådan videreanvendelse og derved stimulere forskning og innovation og støtte virksomheder, der er en vigtig kilde til innovation, og som typisk har vanskeligere ved selv at indsamle relevante data, i overensstemmelse med statsstøttereglerne. I denne specifikke sammenhæng bør videnskabelige forskningsformål forstås som alle typer forskningsrelaterede formål, uanset den pågældende forskningsinstitutions organisatoriske eller finansielle struktur, med undtagelse af forskning, der udføres af en virksomhed, der har til formål at udvikle, forbedre eller optimere produkter eller tjenesteydelser. Sådanne gebyrer bør være gennemsigtige, ikkediskriminerende og begrænses til de påløbne nødvendige omkostninger og bør ikke hæmme konkurrencen. En liste over kategorier af videreanvendere, for hvilke der gælder et nedsat gebyr eller intet gebyr, samt de kriterier, der anvendes til at opstille denne liste, bør offentliggøres.

(26)

For at tilskynde til videreanvendelse af specifikke kategorier af data, som er i offentlige myndigheders besiddelse, bør medlemsstaterne oprette et centralt informationssted, der skal fungere som en kontaktflade for videreanvendere, der ønsker at videreanvende disse data. Informationsstedet bør have et tværsektorielt mandat og bør om nødvendigt supplere ordninger på sektorniveau. Det centrale informationssted bør automatisk kunne fremsende forespørgsler eller anmodninger om videreanvendelse. Der bør sikres tilstrækkelig menneskelig kontrol i fremsendelsesprocessen. Til dette formål kan eksisterende praktiske ordninger som f.eks. åbne dataportaler anvendes. Det centrale informationssted bør have en liste med en oversigt over alle tilgængelige dataressourcer til rådighed, herunder, hvis det er relevant, de dataressourcer, der er tilgængelige på sektorspecifikke, regionale eller lokale informationssteder, med relevante oplysninger, der beskriver de tilgængelige data. Desuden bør medlemsstaterne udpege, oprette eller lette oprettelsen af kompetente organer til støtte for offentlige myndigheder, der tillader videreanvendelse af bestemte kategorier af beskyttede data. Disse organers opgaver kan bl.a. bestå i at give adgang til data, når sektorspecifik EU-ret eller national ret pålægger dem denne opgave. De kompetente organer bør bistå offentlige myndigheder med de mest avancerede teknikker, herunder hvordan data bedst struktureres og lagres med henblik på at gøre data lettilgængelige, navnlig via applikationsprogrammeringsgrænseflader, samt at gøre data interoperable, overførbare og søgbare, under hensyntagen til bedste praksis for databehandling, samt alle eksisterende reguleringsmæssige og tekniske standarder, og sikre databehandlingsmiljøer, som muliggør dataanalyse på en måde, der beskytter privatlivets fred for så vidt angår oplysningerne.

De kompetente organer bør handle i overensstemmelse med de instrukser, der er modtaget fra den offentlige myndighed. En sådan bistandsstruktur kan bistå registrerede og dataindehavere med at håndtere samtykke eller tilladelse til videreanvendelse, herunder hvor der gives samtykke og tilladelse til brug af data inden for bestemte videnskabelige forskningsområder under forudsætning af, at anerkendte etiske standarder for videnskabelig forskning overholdes. De kompetente organer bør ikke have nogen tilsynsfunktion, da denne er forbeholdt tilsynsmyndigheder i henhold til forordning (EU) 2016/679. Uden at dette berører databeskyttelsesmyndighedernes tilsynsbeføjelser, bør databehandlingen udføres under ansvar af den offentlige myndighed, der er ansvarlig for registret med de pågældende data, og som forbliver dataansvarlig som defineret i forordning (EU) 2016/679 for så vidt angår personoplysninger. Medlemsstaterne bør kunne have et eller flere kompetente organer, der kan yde bistand inden for forskellige sektorer. Offentlige myndigheders interne tjenester kan også fungere som kompetente organer. Et kompetent organ kan være en offentlig myndighed, der bistår andre offentlige myndigheder i at tillade videreanvendelse af data, hvis det er relevant, eller en offentlig myndighed, der selv tillader videreanvendelse. Bistand til andre offentlige myndigheder bør indebære efter anmodning at informere dem om bedste praksis for, hvordan de opfylder kravene i nærværende forordning, såsom de tekniske midler til at gøre et sikkert databehandlingsmiljø tilgængeligt eller de tekniske midler til at sikre privatlivets fred og fortrolighed, hvor der gives adgang til videreanvendelse af data inden for nærværende forordnings anvendelsesområde.

(27)

Dataformidlingstjenester forventes at spille en central rolle i dataøkonomien, navnlig med hensyn til at støtte og fremme frivillig datadelingspraksis mellem virksomheder eller lette datadeling inden for rammerne af forpligtelser fastsat i EU-retten eller national ret. De kan blive et middel til at lette udveksling af betydelige mængder relevante data. Dataformidlingstjenesteudbydere, hvilket kan være offentlige myndigheder, der tilbyder tjenester, som forbinder de forskellige aktører, vil kunne bidrage til, at data samles på en effektiv måde, og at bilateral datadeling lettes. Specialiserede dataformidlingstjenester, der er uafhængige af registrerede, dataindehavere og databrugere, kan spille en formidlende rolle i fremvæksten af nye datadrevne økosystemer, der er uafhængige af aktører med en betydelig markedsstyrke, samtidig med at virksomheder i alle størrelser, navnlig SMV'er og nyetablerede virksomheder med begrænsede finansielle, retlige eller administrative midler, gives mulighed for at få ikkediskriminerende adgang til dataøkonomien. Dette bliver særlig vigtigt i forbindelse med oprettelsen af fælles europæiske dataområder, nemlig formåls- eller sektorspecifikke eller tværsektorielle interoperable rammer af fælles standarder og praksis med hensyn til deling eller fælles behandling af data til eksempelvis udvikling af nye produkter og tjenester, videnskabelig forskning eller civilsamfundsinitiativer. Dataformidlingstjenester kan omfatte bilateral eller multilateral datadeling eller oprettelse af platforme eller databaser, der muliggør deling eller fælles anvendelse af data, samt opbygning af særlig infrastruktur til sammenkobling af registrerede og dataindehavere med databrugere.

(28)

Denne forordning bør omfatte tjenester, der har til formål at etablere kommercielle forbindelser med henblik på dataudveksling mellem et ubestemt antal registrerede og dataindehavere på den ene side og databrugere på den anden side ved hjælp af tekniske, juridiske eller andre midler, herunder med henblik på udøvelse af registreredes rettigheder i forbindelse med personoplysninger. Hvor virksomheder eller andre enheder tilbyder flere datarelaterede tjenester, bør det kun være aktiviteter, der direkte vedrører udbud af dataformidlingstjenester, der er omfattet af denne forordning. Levering af cloudlagring, analyse, datadelingssoftware, webbrowsere, browserplug-ins eller e-mailtjenester bør ikke betragtes som dataformidlingstjenester som omhandlet i denne forordning, så længe sådanne tjenester kun giver registrerede eller dataindehavere tekniske værktøjer til at dele data med andre, men levering af sådanne værktøjer hverken anvendes til at etablere et kommercielt forhold mellem dataindehavere og databrugere eller giver dataformidlingstjenesteudbyderen mulighed for at indhente oplysninger om etablering af kommercielle forbindelser med henblik på datadeling. Eksempler på dataformidlingstjenester omfatter datamarkeder, hvor virksomheder kan stille data til rådighed for andre, initiativtagere til datadelingsøkosystemer, der er åbne for alle interesserede parter, f.eks. i forbindelse med fælles europæiske dataområder, samt datapuljer oprettet i fællesskab af flere juridiske eller fysiske personer med henblik på at give alle interesserede parter licens til at anvende sådanne datapuljer på en sådan måde, at alle deltagere, der bidrager til datapuljerne, modtager en belønning for deres bidrag.

Dette ville udelukke datatjenester, der indsamler data fra dataindehavere og aggregerer, beriger eller omdanner dataene med henblik på at tilføre dem en betydelig merværdi og udsteder licens til anvendelse af de deraf følgende data til databrugere, uden at de etablerer en kommerciel forbindelse mellem dataindehavere og databrugere. Det ville endvidere udelukke tjenester, der alene anvendes af én dataindehaver med det formål at muliggøre anvendelsen af de data, som den pågældende dataindehaver er i besiddelse af, eller som anvendes af flere juridiske personer i en lukket koncern, herunder leverandør- eller kundeforhold eller kontraktligt fastsatte samarbejdsforhold, navnlig dem, hvis hovedformål er at sikre funktionaliteten af genstande og enheder, der er forbundet med tingenes internet.

(29)

Tjenester, der fokuserer på formidling af ophavsretligt beskyttet indhold, såsom udbydere af onlinedelingstjenester som defineret i artikel 2, nr. 6), i direktiv (EU) 2019/790, bør ikke være omfattet af denne forordning. Udbydere af konsolideret løbende handelsinformation som defineret i artikel 2, stk. 1, nr. 35), i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 (27) og »kontooplysningstjenesteudbydere« som defineret i artikel 4, nr. 19), i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 (28) bør ikke betragtes som dataformidlingstjenesteudbydere med henblik på nærværende forordning. Nærværende forordning bør ikke finde anvendelse på tjenester udbudt af den offentlige sektor med henblik på at lette videreanvendelse af beskyttede data, der opbevares af offentlige myndigheder i overensstemmelse med nærværende forordning, eller anvendelse af andre data, for så vidt som disse tjenester ikke har til formål at etablere kommercielle forbindelser. Dataaltruistiske organisationer, der er reguleret ved nærværende forordning, bør ikke anses for at tilbyde dataformidlingstjenester, så længe disse tjenester ikke etablerer et forretningsmæssigt forhold mellem potentielle databrugere på den ene side og registrerede og dataindehavere, der stiller data til rådighed med altruistiske motiver, på den anden side. Andre tjenester, der ikke har til formål at etablere kommercielle forbindelser, såsom datalagre, hvis formål er at muliggøre videreanvendelse af videnskabelige forskningsdata i overensstemmelse med principperne om fri adgang, bør ikke betragtes som dataformidlingstjenester som omhandlet i nærværende forordning.

(30)

En særlig kategori af dataformidlingstjenester omfatter udbydere af tjenester, der tilbyder deres tjenester til registrerede. Sådanne dataformidlingstjenesteudbydere søger at styrke registreredes handlingsevne og navnlig enkeltpersoners kontrol med data, der vedrører dem selv. Sådanne udbydere vil bistå enkeltpersoner med at udøve deres rettigheder i henhold til forordning (EU) 2016/679, navnlig vedrørende meddelelse og tilbagetrækning af deres samtykke til databehandling, retten til indsigt i deres egne data, retten til berigtigelse af ukorrekte personoplysninger, retten til sletning eller »retten til at blive glemt«, retten til begrænsning af behandlingen og retten til dataportabilitet, der gør det muligt for registrerede at flytte deres personoplysninger fra en dataansvarlig til en anden. I denne forbindelse er det vigtigt, at sådanne udbyderes forretningsmodel sikrer, at der ikke er uhensigtsmæssige incitamenter, der tilskynder enkeltpersoner til at gøre brug af sådanne tjenester til at stille flere data, der vedrører dem, til rådighed for behandling, end hvad der ville være i deres interesse. Dette kunne f.eks. omfatte rådgivning til enkeltpersoner om de mulige former for anvendelse af deres data og kontrol af databrugernes indsats for at udvise fornøden omhu, inden disse får mulighed for at kontakte de registrerede, med det formål at undgå misbrug. For at sikre maksimal beskyttelse af personoplysninger og privatlivets fred kan det i visse situationer være ønskeligt at samle konkrete data inden for et persondataområde, så behandlingen kan finde sted inden for dette område, uden at der videregives nogen personoplysninger til tredjeparter. Sådanne persondataområder kunne indeholde statiske personoplysninger såsom navn, adresse eller fødselsdato samt dynamiske data, som en enkeltperson genererer, f.eks. gennem brug af en onlinetjeneste eller en genstand, der er forbundet med tingenes internet. De kunne også anvendes til at lagre verificerede identitetsoplysninger, såsom pasnumre eller socialsikringsoplysninger, samt beviser, såsom kørekort, eksamensbeviser eller bankkontooplysninger.

(31)

Datakooperativer søger at nå en række mål, navnlig at bistå enkeltpersoner med at træffe informerede valg, inden de giver deres samtykke til dataanvendelse, at påvirke beslutninger om, hvilke vilkår og betingelser for databrugerorganisationer der knyttes til dataanvendelse, således at de enkelte medlemmer af gruppen får bedre valgmuligheder og kan bilægge eventuelle tvister mellem de enkelte medlemmer af en gruppe om, hvordan data må anvendes, hvor dataene vedrører flere registrerede inden for denne gruppe. I denne sammenhæng det vigtigt at erkende, at rettighederne i henhold til forordning (EU) 2016/679 er den registreredes personlige rettigheder, og at de registrerede ikke kan give afkald på sådanne rettigheder. Datakooperativer kan også være til nytte for enmandsvirksomheder og SMV'er, der med hensyn til viden om datadeling ofte kan sammenlignes med enkeltpersoner.

(32)

For at øge tilliden til sådanne dataformidlingstjenester, navnlig hvad angår anvendelsen af data og overholdelsen af de betingelser, der pålægges af de registrerede og dataindehaverne, er det nødvendigt at skabe en reguleringsramme på EU-plan, som fastsætter stærkt harmoniserede krav til pålideligheden af sådanne dataformidlingstjenester, og som gennemføres af de kompetente myndigheder. Denne ramme vil bidrage til at sikre, at registrerede og dataindehavere samt databrugere har bedre kontrol over adgangen til og anvendelsen af deres data i overensstemmelse med EU-retten. Kommissionen kunne også tilskynde til og lette udviklingen af adfærdskodekser på EU-plan med inddragelse af relevante interessenter, navnlig om interoperabilitet. Både i forbindelse med datadeling mellem virksomheder indbyrdes og mellem virksomheder og forbrugere bør dataformidlingstjenesteudbydere tilbyde en ny »europæisk« form for datastyring ved i dataøkonomien at adskille datalevering, -formidling og anvendelse af data. Dataformidlingstjenesteudbydere kunne også stille særlig teknisk infrastruktur til rådighed med henblik på at sammenkoble registrerede og dataindehavere med databrugere. I den forbindelse er det særlig vigtigt at udforme denne infrastruktur på en sådan måde, at SMV'er og nyetablerede virksomheder ikke støder på tekniske eller andre hindringer for deres deltagelse i dataøkonomien.

Dataformidlingstjenesteudbydere bør have lov til at tilbyde yderligere specifikke værktøjer og tjenester til dataindehavere eller registrerede med det specifikke formål at lette udvekslingen af data, såsom midlertidig lagring, kuratering, konvertering, anonymisering og pseudonymisering. Sådanne værktøjer og tjenester bør kun anvendes efter udtrykkelig anmodning eller godkendelse fra dataindehaveren eller den registrerede, og tredjepartsværktøjer, der tilbydes i den forbindelse, bør ikke anvende data til andre formål. Dataformidlingstjenesteudbydere bør dog have mulighed for at tilpasse de data, der udveksles, for at øge dataenes anvendelighed for databrugeren efter dennes ønske, eller øge interoperabiliteten, f.eks. gennem konvertering af dataene til bestemte formater.

(33)

Det er vigtigt at skabe et konkurrencedygtigt miljø for datadeling. En vigtig forudsætning for at styrke dataindehaveres, registreredes og databrugeres tillid og kontrol i forbindelse med brug af dataformidlingstjenester er, at dataformidlingstjenesteudbyderne forholder sig neutralt til de data, der udveksles mellem dataindehavere eller registrerede og databrugere. Det er derfor nødvendigt, at dataformidlingstjenesteudbydere kun fungerer som formidlere af transaktionerne og ikke anvender de udvekslede data til andre formål. De kommercielle betingelser, herunder prisfastsættelse, for udbud af dataformidlingstjenester bør ikke afhænge af, om en potentiel dataindehaver eller databruger anvender andre tjenester, herunder lagring, analyse, kunstig intelligens eller andre databaserede applikationer, der leveres af den samme dataformidlingstjenesteudbyder eller af en tilknyttet enhed, og i givet fald i hvilket omfang dataindehaveren eller databrugeren anvender sådanne andre tjenester. Dette vil også kræve strukturel adskillelse mellem dataformidlingstjenesten og eventuelle andre tjenester, der udbydes, så interessekonflikter undgås. Det betyder, at dataformidlingstjenesten bør leveres gennem en juridisk person, der er adskilt fra samme dataformidlingstjenesteudbyders andre aktiviteter. Dataformidlingstjenesteudbydere bør dog kunne anvende de data, der leveres af dataindehaveren, til at forbedre deres dataformidlingstjenester.

Dataformidlingstjenesteudbydere bør dog kun kunne stille deres egne værktøjer eller tredjepartsværktøjer til rådighed for dataindehavere, registrerede eller databrugere med henblik på at lette udvekslingen af data, f.eks. værktøjer til konvertering eller kuratering af data, efter udtrykkelig anmodning eller godkendelse fra den registrerede eller dataindehaveren. Tredjepartsværktøjer, der tilbydes i denne forbindelse, bør ikke anvende data til andre formål end dem, der vedrører dataformidlingstjenester. Dataformidlingstjenesteudbydere, der formidler udveksling af data mellem enkeltpersoner, der handler som registrerede, og juridiske personer, der handler som dataindehavere, bør desuden have en tillidsforpligtelse over for enkeltpersonerne, så det sikres, at de handler i de registreredes bedste interesse. Spørgsmål om ansvar for alle materielle og immaterielle skader og ulemper som følge af dataformidlingstjenesteudbyderens adfærd kan behandles i den relevante kontrakt på grundlag af de nationale erstatningsansvarsordninger.

(34)

Dataformidlingstjenesteudbydere bør træffe rimelige foranstaltninger til at sikre interoperabilitet inden for en sektor og mellem forskellige sektorer for at sikre et velfungerende indre marked. Rimelige foranstaltninger kan omfatte at følge de eksisterende, almindeligt anvendte standarder i den sektor, hvor dataformidlingstjenesteudbyderne opererer. Det Europæiske Datainnovationsråd bør efter behov fremme udarbejdelsen af yderligere standarder. Dataformidlingstjenesteudbydere bør rettidigt gennemføre de foranstaltninger med henblik på interoperabilitet mellem dataformidlingstjenesterne, som Det Europæiske Datainnovationsråd har vedtaget.

(35)

Denne forordning bør ikke berøre forpligtelsen for dataformidlingstjenesteudbydere til at overholde forordning (EU) 2016/679 og tilsynsmyndighedernes ansvar for at sikre overholdelse af nævnte forordning. Hvor dataformidlingstjenesteudbydere behandler personoplysninger, bør nærværende forordning ikke påvirke beskyttelsen af personoplysninger. Hvis dataformidlingstjenesteudbydere er dataansvarlige eller databehandlere som defineret i forordning (EU) 2016/679, er de bundet af reglerne i nævnte forordning.

(36)

Dataformidlingstjenesteudbydere forventes at have indført procedurer og foranstaltninger til at pålægge sanktioner for svigagtig praksis eller misbrug i forbindelse med parter, der søger adgang gennem deres dataformidlingstjenester, herunder gennem foranstaltninger såsom udelukkelse af databrugere, der overtræder tjenestebetingelserne eller overtræder eksisterende ret.

(37)

Dataformidlingstjenesteudbydere bør også træffe foranstaltninger til at sikre overholdelse af konkurrenceretten og have fastlagt procedurer med henblik herpå. Dette gælder især i situationer, hvor datadeling sætter virksomhederne i stand til at få kendskab til deres nuværende eller potentielle konkurrenters markedsstrategier. Konkurrencemæssigt følsomme oplysninger omfatter typisk oplysninger om kunder, fremtidige priser, produktionsomkostninger, mængder, omsætning, salg eller kapacitet.

(38)

Der bør indføres en anmeldelsesprocedure for dataformidlingstjenester for at sikre, at datastyring i Unionen er baseret på en pålidelig udveksling af data. Fordelene ved et pålideligt miljø opnås bedst ved at fastsætte en række krav til udbud af dataformidlingstjenester, men uden at der kræves nogen udtrykkelig afgørelse eller administrativ handling fra den kompetente myndighed for dataformidlingstjenesters side for udbud af sådanne tjenester. Anmeldelsesproceduren bør ikke skabe unødige hindringer for SMV'er, nystartede virksomheder og civilsamfundsorganisationer og bør overholde princippet om ikkeforskelsbehandling.

(39)

For at støtte et effektivt udbud af tjenester på tværs af grænserne bør dataformidlingstjenesteudbydere kun forpligtes til at sende en anmeldelse til den kompetente myndighed for dataformidlingstjenester i den medlemsstat, hvor udbyderen har sit hovedsæde, eller hvor dennes retlige repræsentant befinder sig. En sådan anmeldelse bør blot bestå i en erklæring om, at udbyderen har til hensigt at udbyde sådanne tjenester, og bør kun suppleres ved at stille de oplysninger, der er fastsat i denne forordning, til rådighed. Efter den relevante anmeldelse bør dataformidlingstjenesteudbyderen kunne operere i enhver medlemsstat uden yderligere anmeldelsespligter.

(40)

Den anmeldelsesprocedure, der fastsættes i denne forordning, bør ikke berøre specifikke yderligere regler for udbud af dataformidlingstjenester, der finder anvendelse gennem sektorspecifik ret.

(41)

En dataformidlingstjenesteudbyders hovedsæde i Unionen bør være stedet, hvor udbyderen har sin centrale administration i Unionen. En dataformidlingstjenesteudbyders hovedsæde i Unionen bør fastslås ud fra objektive kriterier og bør indebære en effektiv og faktisk udøvelse af ledelsesaktiviteter. Aktiviteter, der udføres af en dataformidlingstjenesteudbyder, bør også overholde national ret i den medlemsstat, hvor den pågældende har sit hovedsæde.

(42)

For at sikre, at dataformidlingstjenesteudbydere overholder denne forordning, bør de have deres hovedsæde i Unionen. Når en dataformidlingstjenesteudbyder, der ikke er etableret i Unionen, udbyder tjenester i Unionen, bør denne udpege en retlig repræsentant. Det er nødvendigt at udpege en retlig repræsentant i sådanne tilfælde, da dataformidlingstjenesteudbydere behandler personoplysninger og kommercielt fortrolige data, hvilket kræver nøje overvågning af, om dataformidlingstjenesteudbyderne overholder denne forordning. Med henblik på at afgøre, om en dataformidlingstjenesteudbyder udbyder tjenester i Unionen, bør det fastslås, om dataformidlingstjenesteudbyderen har til klar hensigt at tilbyde tjenester til personer i en eller flere medlemsstater. Alene det forhold, at der i Unionen er adgang til dataformidlingstjenesteudbyderens websted eller til en e-mailadresse og andre kontaktoplysninger, eller at der anvendes et sprog, som almindeligvis anvendes i det tredjeland, hvor dataformidlingstjenesteudbyderen er etableret, bør anses som værende utilstrækkeligt til at fastslå en sådan hensigt. Imidlertid kan faktorer såsom anvendelse af et sprog eller en valuta, der almindeligvis anvendes i en eller flere medlemsstater, med mulighed for at bestille tjenester på det pågældende sprog, eller omtale af brugere i Unionen gøre det åbenbart, at dataformidlingstjenesteudbyderen har til hensigt at tilbyde tjenester i Unionen.

En udpeget retlig repræsentant bør handle på vegne af dataformidlingstjenesteudbyderen, og de kompetente myndigheder for dataformidlingstjenester bør kunne henvende sig til den retlige repræsentant i tillæg til eller i stedet for en dataformidlingstjenesteudbyder, herunder i tilfælde af en overtrædelse, med henblik på at indlede en håndhævelsesprocedure mod en dataformidlingstjenesteudbyder, der ikke overholder bestemmelserne, og som ikke er etableret i Unionen. Den retlige repræsentant bør udpeges ved et skriftligt mandat fra dataformidlingstjenesteudbyderen til at handle på dennes vegne for så vidt angår dennes forpligtelser i medfør af denne forordning.

(43)

For at hjælpe registrerede og dataindehavere med let at identificere — og derved øge deres tillid til — dataformidlingstjenesteudbydere, der er anerkendt i Unionen, bør der, i tillæg til betegnelsen »dataformidlingstjenesteudbydere, der er anerkendt i Unionen«, fastlægges et fælles logo, som er genkendeligt i hele Unionen.

(44)

De kompetente myndigheder for dataformidlingstjenester, der udpeges til at overvåge, at dataformidlingstjenesteudbydere opfylder kravene i denne forordning, bør vælges på grundlag af deres kapacitet og ekspertise inden for horisontal eller sektorspecifik datadeling. De bør være uafhængige af enhver dataformidlingstjenesteudbyder og varetage deres opgaver på en gennemsigtig og upartisk måde. Medlemsstaterne bør underrette Kommissionen om identiteten af disse kompetente myndigheder for dataformidlingstjenester. De kompetente myndigheder for dataformidlingstjenesters beføjelser og kompetencer bør ikke berøre databeskyttelsesmyndighedernes beføjelser. Navnlig med hensyn til eventuelle spørgsmål, der kræver en vurdering af, om forordning (EU) 2016/679 overholdes, bør den kompetente myndighed for dataformidlingstjenester, hvis det er relevant, indhente en udtalelse eller afgørelse fra den kompetente tilsynsmyndighed, der er etableret i henhold til nævnte forordning.

(45)

Der er et stort potentiale med henblik på almennyttige formål i anvendelsen af data, som registrerede frivilligt stiller til rådighed på grundlag af deres informerede samtykke eller, når det drejer sig om andre data end personoplysninger, som dataindehavere stiller til rådighed. Sådanne formål omfatter bl.a. sundhedspleje, bekæmpelse af klimaændringer, forbedring af mobiliteten, lettelse af udviklingen, udarbejdelsen og formidlingen af officielle statistikker, forbedring af udbuddet af offentlige tjenesteydelser eller offentlig beslutningstagning. Støtte til videnskabelig forskning bør også betragtes som et almennyttigt formål. Denne forordning bør have til formål at bidrage til, at der skabes samlinger af data, der stilles til rådighed på grundlag af dataaltruisme, som har en tilstrækkelig størrelse til at muliggøre dataanalyse og maskinlæring, herunder på tværs af grænserne i Unionen. For at nå dette mål bør medlemsstaterne etablere organisatoriske eller tekniske ordninger, eller begge, som befordrer dataaltruisme. Sådanne ordninger kan omfatte adgang til letanvendelige værktøjer for registrerede eller registrerede til at give samtykke eller tilladelse til altruistisk brug af deres data, tilrettelæggelse af oplysningskampagner eller en struktureret udveksling mellem kompetente myndigheder af, hvordan offentlige politikker, f.eks. forbedring af trafikken, folkesundheden, bekæmpelse af klimaændringer, drager fordel af dataaltruisme. Til støtte herfor bør medlemsstaterne også kunne fastlægge nationale politikker for dataaltruisme. Registrerede bør kun kunne modtage kompensation i forbindelse med de omkostninger, de pådrager sig ved at stille deres oplysninger til rådighed med henblik på almennyttige formål.

(46)

Det forventes, at registreringen af anerkendte dataaltruistiske organisationer og brugen af betegnelsen »dataaltruistiske organisationer, der er anerkendt i Unionen« fører til, at der etableres datalagre. Registrering i en medlemsstat vil være gyldig i hele Unionen og forventes at lette anvendelsen af data på tværs af grænserne i Unionen og fremvæksten af datasamlinger, der dækker flere medlemsstater. Dataindehavere kan give tilladelse til behandling af andre data end personoplysninger, som de er i besiddelse af, til en række formål, der ikke ligger fast på det tidspunkt, hvor tilladelsen gives. Anerkendte dataaltruistiske organisationers overholdelse af et sæt krav som fastsat i denne forordning bør skabe tillid til, at de data, der stilles til rådighed til altruistiske formål, tjener et almennyttigt formål. Tilliden bør navnlig være en følge af, at de anerkendte dataaltruistiske organisationer er etableret i eller har en retlig repræsentant i Unionen, samt af kravet om, at de er nonprofitorganisationer, af krav om gennemsigtighed og af specifikke foranstaltninger til beskyttelse af registreredes og virksomheders rettigheder og interesser.

Desuden bør der indføres yderligere beskyttelsesforanstaltninger såsom mulighed for at behandle relevante data i et sikkert databehandlingsmiljø, der drives af de anerkendte dataaltruistiske organisationer, tilsynsmekanismer såsom etiske råd eller råd, herunder repræsentanter for civilsamfundet, der skal sikre, at dataansvarlige opretholder høje standarder for videnskabelig etik og beskyttelse af grundlæggende rettigheder, effektive og tydeligt meddelte tekniske midler til at trække et samtykke tilbage eller ændre det på et hvilket som helst tidspunkt på grundlag af databehandleres oplysningsforpligtelser i henhold til forordning (EU) 2016/679 samt midler, der sætter de registrerede i stand til at holde sig ajour om anvendelsen af de data, de har stillet til rådighed. Registrering som en anerkendt dataaltruistisk organisation bør ikke være en forudsætning for at kunne udøve dataaltruistisk virksomhed. Kommissionen bør ved hjælp af delegerede retsakter udarbejde et regelsæt, der skal udarbejdes i tæt samarbejde med dataaltruistiske organisationer og relevante interessenter. Overholdelse af dette regelsæt bør være et krav for registrering som anerkendt dataaltruistisk organisation.

(47)

For at hjælpe registrerede og dataindehavere med let at identificere — og derved øge deres tillid til — anerkendte dataaltruistiske organisationer bør der fastlægges et fælles logo, der er genkendeligt i hele Unionen. Det fælles logo bør ledsages af en QR-kode med et link til det offentlige EU-register over anerkendte dataaltruistiske organisationer.

(48)

Denne forordning bør ikke berøre oprettelse, organisation og drift af enheder, der engagerer sig i dataaltruisme i henhold til national ret og bygger på krav i national ret til lovligt virke som nonprofitorganisation i en medlemsstat.

(49)

Denne forordning bør ikke berøre oprettelsen af, organiseringen af og funktionsmåden for andre enheder end offentlige myndigheder, som deltager i delingen af data og indhold på grundlag af åbne licenser og derved bidrager til oprettelsen af fælles ressourcer, der er tilgængelige for alle. Dette bør omfatte åbne platforme for kollaborativ vidensdeling, fri adgang til videnskabelige og akademiske databaser, platforme for udvikling af open source software og fri adgang til platforme for dataaggregering.

(50)

Anerkendte dataaltruistiske organisationer bør kunne indsamle relevante data direkte fra fysiske og juridiske personer eller behandle data, der er indsamlet af andre. Behandling af indsamlede data kan foretages af dataaltruistiske organisationer til formål, som de selv fastsætter, eller de kan, hvis det er relevant, tillade tredjeparters behandling til disse formål. Hvis anerkendte dataaltruistiske organisationer er dataansvarlige eller databehandlere som defineret i forordning (EU) 2016/679, bør de overholde nævnte forordning. Dataaltruisme vil typisk være baseret på de registreredes samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning (EU) 2016/679, som bør være i overensstemmelse med kravene om lovligt samtykke i samme forordnings artikel 7 og 8. I overensstemmelse med forordning (EU) 2016/679 kan videnskabelige forskningsformål understøttes af samtykke til bestemte videnskabelige forskningsområder, hvor dette er i overensstemmelse med anerkendte etiske standarder for videnskabelig forskning, eller udelukkende til nærmere afgrænsede forskningsområder eller dele af forskningsprojekter. I artikel 5, stk. 1, litra b), i forordning (EU) 2016/679 præciseres det, at viderebehandling til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med nævnte forordnings artikel 89, stk. 1, ikke anses for at være uforenelig med de oprindelige formål. For andre data end personoplysninger bør begrænsninger for så vidt angår anvendelse fremgå af den tilladelse, som dataindehaveren har givet.

(51)

De kompetente myndigheder, der er ansvarlige for registrering af dataaltruistiske organisationer, og som udpeges til at overvåge, at anerkendte dataaltruistiske organisationer opfylder kravene i denne forordning, bør vælges på grundlag af deres kapacitet og ekspertise. De bør være uafhængige af enhver dataaltruistisk organisation og varetage deres opgaver på en gennemsigtig og upartisk måde. Medlemsstaterne bør underrette Kommissionen om identiteten af disse kompetente myndigheder, der er ansvarlige for registrering af dataaltruistiske organisationer. Beføjelserne og kompetencerne for de kompetente myndigheder, der er ansvarlige for registrering af dataaltruistiske organisationer, bør ikke berøre databeskyttelsesmyndighedernes beføjelser. Navnlig med hensyn til eventuelle spørgsmål, der kræver en vurdering af, om forordning (EU) 2016/679 overholdes, bør den kompetente myndighed, der er ansvarlig for registrering af dataaltruistiske organisationer, hvis det er relevant, indhente en udtalelse eller afgørelse fra den kompetente tilsynsmyndighed, der er etableret i henhold til nævnte forordning.

(52)

For at øge tilliden og skabe yderligere retssikkerhed og brugervenlighed i forbindelse med proceduren for meddelelse og tilbagetrækning af samtykke, navnlig i forbindelse med videnskabelig forskning og statistisk anvendelse af data, der stilles til rådighed på et altruistisk grundlag, bør der udvikles en europæisk samtykkeformular for dataaltruisme til brug i forbindelse med altruistisk datadeling. En sådan formular bør bidrage til at tydeliggøre for de registrerede, at deres oplysninger vil blive tilgået og anvendt i overensstemmelse med deres samtykke og også i fuld overensstemmelse med databeskyttelsesreglerne. Den bør også lette afgivelse og tilbagetrækning af samtykke og anvendes til at strømline dataaltruisme udført af virksomheder og skabe en mekanisme, der gør det muligt for virksomheder at trække deres tilladelse til at anvende dataene tilbage. For at tage hensyn til særlige forhold i de enkelte sektorer, herunder ud fra et databeskyttelsesperspektiv, bør den europæiske samtykkeformular for dataaltruisme følge en modulær tilgang, der gør det muligt at tilpasse den til specifikke sektorer og forskellige formål.

(53)

For at sikre en vellykket gennemførelse af rammen for datastyring bør der oprettes et europæisk datainnovationsråd i form af en ekspertgruppe. Det Europæiske Datainnovationsråd bør bestå af repræsentanter for de kompetente myndigheder for dataformidlingstjenester og de kompetente myndigheder, der er ansvarlige for registrering af dataaltruistiske organisationer, i alle medlemsstater, Det Europæiske Databeskyttelsesråd, Den Europæiske Tilsynsførende for Databeskyttelse, Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), Kommissionen, EU's SMV-repræsentant eller en repræsentant, der er udpeget af et SMV-repræsentantnetværk, og andre repræsentanter for relevante organer i specifikke sektorer samt organer med særlig ekspertise. Det Europæiske Datainnovationsråd bør bestå af en række undergrupper, herunder en undergruppe til inddragelse af interessenter bestående af relevante repræsentanter for industrien, f.eks. sundhed, miljø, landbrug, transport, energi, industriproduktion, medier, kulturelle og kreative sektorer og statistik, samt for forskning, den akademiske verden, civilsamfundet, standardiseringsorganisationer, relevante fælles europæiske dataområder og andre relevante interessenter og tredjeparter, bl.a. organer med særlig ekspertise såsom nationale statistiske kontorer.

(54)

Det Europæiske Datainnovationsråd bør bistå Kommissionen med at koordinere nationale praksisser og politikker vedrørende de emner, der er omfattet af denne forordning, og med at støtte tværsektoriel dataanvendelse ved hjælp af principperne i den europæiske interoperabilitetsramme og gennem brug af europæiske og internationale standarder og specifikationer, herunder ved at anvende Den Europæiske Multistakeholderplatform for IKT-standardisering, de centrale glossarer og CEF-byggestenene, og bør tage hensyn til standardiseringsarbejdet inden for specifikke sektorer eller områder. Arbejdet med teknisk standardisering kan omfatte opstilling af prioriteter for udvikling af standarder og fastlæggelse og vedligeholdelse af et sæt tekniske og juridiske standarder for videregivelse af data mellem to databehandlingsmiljøer, som gør det muligt at organisere dataområder, navnlig med hensyn til at præcisere og skelne mellem, hvilke standarder og praksisser der er tværsektorielle, og hvilke der er sektorspecifikke. Det Europæiske Datainnovationsråd bør samarbejde med sektorspecifikke organer, netværk eller ekspertgrupper eller andre tværsektorielle organisationer, der beskæftiger sig med videreanvendelse af data. Hvad angår dataaltruisme bør Det Europæiske Datainnovationsråd bistå Kommissionen med at udarbejde samtykkeformularen for dataaltruisme efter høring af Det Europæiske Databeskyttelsesråd. Ved at foreslå retningslinjer for fælles europæiske dataområder bør Det Europæiske Datainnovationsråd støtte udviklingen af en velfungerende europæisk dataøkonomi baseret på disse dataområder som fastsat i den europæiske datastrategi.

(55)

Medlemsstaterne bør fastsætte bestemmelser om sanktioner for overtrædelser af denne forordning og bør træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne bør være effektive, stå i et rimeligt forhold til overtrædelserne og have afskrækkende virkning. Store forskelle mellem bestemmelserne om sanktioner kan føre til konkurrenceforvridning på det digitale indre marked. Harmoniseringen af sådanne bestemmelser kan være til gavn i denne henseende.

(56)

For at sørge for en effektiv håndhævelse af denne forordning og sikre, at dataformidlingstjenesteudbydere og enheder, der ønsker at blive registreret som anerkendte dataaltruistiske organisationer, kan få adgang til og gennemføre procedurerne for anmeldelse og registrering fuldt ud online og på tværs af grænserne, bør sådanne procedurer tilbydes via den fælles digitale portal, der er oprettet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2018/1724 (29). Disse procedurer bør føjes til listen over procedurer i bilag II til forordning (EU) 2018/1724.

(57)

Forordning (EU) 2018/1724 bør derfor ændres i overensstemmelse hermed.

(58)

For at sikre effektiviteten af denne forordning bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om TEUF med henblik på at supplere denne forordning ved at fastsætte særlige betingelser for overførsel til tredjelande af bestemte kategorier af andre data end personoplysninger, der anses for at være meget følsomme i specifikke lovgivningsmæssige EU-retsakter, og ved at fastsætte et regelsæt for anerkendte dataaltruistiske organisationer, som disse organisationer skal overholde, og som indeholder oplysninger, tekniske og sikkerhedsmæssige krav samt kommunikationskøreplaner og interoperabilitetsstandarder. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (30). For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.

(59)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser til at hjælpe offentlige myndigheder og videreanvendere med at overholde de i denne forordning fastsatte betingelser for videreanvendelse ved at fastlægge standardkontraktbestemmelser for videreanvenderes overførsel af andre data end personoplysninger til et tredjeland, til at attestere, at et tredjelands retlige, tilsynsmæssige og håndhævelsesmæssige rammer svarer til den beskyttelse, der sikres i henhold til EU-retten, til at udarbejde designet for det fælles logo for dataformidlingstjenesteudbydere og for det fælles logo for anerkendte dataaltruistiske organisationer, og til at oprette og udarbejde en europæisk samtykkeformular for dataaltruisme. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (31).

(60)

Denne forordning bør ikke berøre anvendelsen af konkurrencereglerne, særlig artikel 101 og 102 i TEUF. Foranstaltningerne i denne forordning bør ikke anvendes til at begrænse konkurrencen på en måde, der er i strid med TEUF. Dette gælder navnlig reglerne for udveksling af konkurrencemæssigt følsomme oplysninger mellem faktiske eller potentielle konkurrenter gennem dataformidlingstjenester.

(61)

Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav deres udtalelse den 10. marts 2021.

(62)

Denne forordning har som styrende principper respekten for de grundlæggende rettigheder og de principper, som navnlig er anerkendt i Den Europæiske Unions charter om grundlæggende rettigheder, herunder retten til privatlivets fred, beskyttelsen af personoplysninger, friheden til at oprette og drive egen virksomhed, ejendomsretten og integration af mennesker med handicap. I forbindelse med sidstnævnte bør public serviceorganer og tjenesteydelser i henhold til denne forordning, hvor det er relevant, overholde Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 (32) og (EU) 2019/882 (33). Endvidere bør tages hensyn til design for alle i forbindelse med informations- og kommunikationsteknologi, som er en bevidst og systematisk indsats for proaktivt at anvende principper, metoder og værktøjer til fremme af universelt design i computerrelaterede teknologier, herunder internetbaserede teknologier, således at behovet for efterfølgende tilpasninger eller specialiseret design undgås.

(63)

Målene for denne forordning, nemlig videreanvendelse inden for Unionen af bestemte kategorier af data, som offentlige myndigheder er i besiddelse af, samt oprettelse af en anmeldelses- og tilsynsramme for udbud af dataformidlingstjenester, en ramme for frivillig registrering af enheder, der stiller data til rådighed til altruistiske formål, og en ramme for oprettelsen af et europæisk datainnovationsråd, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af deres omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål —