Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52020PC0767

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om europæisk datastyring (forordning om datastyring)

COM/2020/767 final

Bruxelles, den 25.11.2020

COM(2020) 767 final

2020/0340(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om europæisk datastyring
(forordning om datastyring)

(EØS-relevant tekst)

{SEC(2020) 405 final} - {SWD(2020) 295 final} - {SWD(2020) 296 final}


BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

Forslagets begrundelse og formål

Denne begrundelse ledsager forslaget til Europa-Parlamentets og Rådets forordning 1 om datastyring. Forslaget er det første af en række foranstaltninger, der blev bebudet i den europæiske strategi for data i 2020 2 . Instrumentet har til formål at fremme tilgængeligheden af data til anvendelse ved at øge tilliden til dataformidlere og styrke datadelingsmekanismerne i hele EU. Instrumentet skal anvendes med henblik på følgende:

-tilrådighedsstillelse af data fra den offentlige sektor til videreanvendelse, i tilfælde hvor dataene er omfattet af andres rettigheder 3

-datadeling mellem virksomheder mod enhver form for betaling

-muliggørelse af, at personoplysninger kan anvendes ved hjælp af en "formidler til deling af personoplysninger", der skal hjælpe enkeltpersoner med at udøve deres rettigheder i henhold til den generelle forordning om databeskyttelse (GDPR)

-muliggørelse af, at data kan anvendes af altruistiske årsager.

Sammenhæng med de gældende regler på samme område

Det nuværende initiativ omfatter forskellige typer dataformidlere, der håndterer både personoplysninger og andre data end personoplysninger. Samspillet med lovgivningen om personoplysninger er derfor særlig vigtigt. EU har med den generelle forordning om databeskyttelse (GDPR) 4 og e-databeskyttelsesdirektivet 5 indført en solid og pålidelig retlig ramme for beskyttelsen af personoplysninger og sat en standard for resten af verden.

Det nuværende forslag supplerer Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 af 20. juni 2019 om åbne data og videreanvendelse af den offentlige sektors informationer (direktivet om åbne data) 6 . Forslaget vedrører data, der er i de offentlige myndigheders besiddelse, og som er omfattet af andres rettigheder, og derfor falder uden for nævnte direktivs anvendelsesområde. Forslaget har logiske og sammenhængende forbindelser med de andre initiativer, der er bebudet i den europæiske strategi for data. Det har til formål at lette datadeling, blandt andet ved at styrke tilliden til de datadelingsformidlere, som forventes at blive anvendt i de forskellige dataområder. Det har ikke til formål at tildele, ændre eller fjerne materielle rettigheder hvad angår adgangen til og anvendelsen af data. Denne type foranstaltninger påtænkes i forbindelse med en eventuel dataretsakt (2021) 7 .

Instrumentet bygger på principperne for forvaltning og videreanvendelse af data, der er udarbejdet til forskningsdata, FAIR-dataprincipperne 8 . De fastsætter, at sådanne data i princippet skal kunne findes, tilgås og være interoperable og videreanvendelige.

Sammenhæng med Unionens politik på andre områder

Sektorspecifik lovgivning om adgang til data er indført/under forberedelse for at afhjælpe konstaterede markedssvigt på områder som bilindustrien 9 , betalingstjenesteudbydere 10 , oplysninger vedrørende intelligent måling 11 , elektricitetsnetdata 12 , intelligente transportsystemer 13 , miljøoplysninger 14 , geografisk information 15 og sundhedssektoren 16 . Det nuværende forslag støtter anvendelsen af data, der stilles til rådighed under de eksisterende regler, uden at ændre disse regler eller skabe nye sektorspecifikke forpligtelser.

Forslaget berører heller ikke konkurrenceretten og er udarbejdet i overensstemmelse med artikel 101 og 102 i TEUF, ligesom det heller ikke berører bestemmelserne i Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked 17 .

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

Retsgrundlag

Artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF) er det relevante retsgrundlag for denne forordning. I henhold til nævnte artikel skal EU vedtage foranstaltninger med henblik på indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser, der vedrører det indre markeds oprettelse og funktion. Dette initiativ er en del af den europæiske strategi for data fra 2020, som har til formål at styrke det indre marked for data. Med en stigende digitalisering af økonomien og samfundet er der risiko for, at medlemsstaterne i højere grad vil lovgive om datarelaterede spørgsmål på en ukoordineret måde, hvilket vil øge fragmenteringen af det indre marked. Hvis der indføres styringsstrukturer og -mekanismer, der giver en koordineret tilgang til dataanvendelse på tværs af sektorer og medlemsstaterne, vil det hjælpe interessenterne i dataøkonomien med at udnytte det indre markeds størrelse. Det vil bidrage til at udvikle et indre marked for data, ved at der ved hjælp af et sæt harmoniserede bestemmelser sørges for, at der opstår nye tjenesteydelser, som fungerer på tværs af grænserne.

Digitale politikker er en delt kompetence mellem EU og medlemsstaterne. I artikel 4, stk. 2 og 3, i TEUF er det fastsat, at EU på områderne det indre marked og teknologisk udvikling kan gennemføre specifikke tiltag, uden at det berører medlemsstaternes handlefrihed på disse områder.

Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)

Virksomheder har ofte brug for data fra flere medlemsstater til at udvikle EU-dækkende produkter og tjenesteydelser, da de dataprøver, der er til rådighed i de enkelte medlemsstater, ofte ikke er righoldige og mangfoldige nok til big data-mønsterpåvisning og -maskinindlæring. Desuden kan det være nødvendigt at tilpasse databaserede produkter og tjenesteydelser, der er udviklet i en medlemsstat, til kundernes præferencer i en anden medlemsstat, og til det kræves lokale data på medlemsstatsniveau. Data skal som sådan let kunne strømme gennem værdikæder på tværs af sektorer og i hele EU, og for det er et stærkt harmoniseret lovgivningsmiljø af afgørende betydning. I betragtning af det grænseoverskridende element i og vigtigheden af en sådan datadeling kan det desuden kun med en indsats på EU-plan sikres, at en europæisk model for datadeling med pålidelige dataformidlere til B2B-datadeling og personlige dataområder tager fart.

Et indre marked for data bør sikre, at data fra den offentlige sektor, virksomheder og borgere kan tilgås og anvendes på den mest effektive og ansvarlige måde, samtidig med at virksomhederne og borgerne bevarer kontrollen over de data, de genererer, og de investeringer, der foretages i indsamlingen af dem, beskyttes. Øget adgang til data vil betyde, at virksomheder og forskningsorganisationer vil kunne fremme den repræsentative videnskabelige udvikling og markedsinnovation i EU som helhed, hvilket er særlig vigtigt i situationer, hvor det er nødvendigt med en EU-koordineret indsats såsom i covid-19-krisen.

Proportionalitetsprincippet

Initiativet står i et rimeligt forhold til de tilstræbte mål. Den foreslåede lovgivning skaber en befordrende ramme, der ikke går ud over, hvad der er nødvendigt for at nå målene. Den harmoniserer flere former for datadelingspraksis, samtidig med at medlemsstaternes beføjelser til at tilrettelægge deres forvaltning og lovgive om adgangen til den offentlige sektors informationer respekteres. Anmeldelsesrammen for dataformidlere og mekanismerne for dataaltruisme tjener til at opnå en højere grad af tillid til disse tjenester, uden at aktiviteterne begrænses unødigt, og bidrager til at udvikle et indre marked for udveksling af sådanne data. Initiativet vil også give en betydelig grad af fleksibilitet med hensyn til anvendelsen på sektorniveau, herunder med henblik på den fremtidige udvikling af europæiske dataområder.

Den foreslåede forordning vil medføre finansielle og administrative omkostninger, som primært skal afholdes af de nationale myndigheder, men nogle omkostninger vil også belaste databrugere og udbydere af datadelingstjenester for at sikre, at de forpligtelser, der er fastsat i denne forordning, overholdes. Udforskningen af forskellige muligheder og deres forventede omkostninger og fordele har imidlertid ført til en afbalanceret udformning af instrumentet. Det vil give de nationale myndigheder tilstrækkelig fleksibilitet til at træffe afgørelse om omfanget af finansielle investeringer og til at overveje mulighederne for at dække omkostningerne gennem administrative afgifter eller gebyrer, samtidig med at det giver mulighed for en overordnet koordinering på EU-plan. Ligeledes vil omkostningerne for databrugere og udbydere af datadelingstjenester blive opvejet af den værdi, som en bredere adgang til og anvendelse af data samt udbredelsen af nye tjenesteydelser vil medføre.

Valg af retsakt

Valget af en forordning som juridisk instrument er begrundet i overvægten af elementer, der kræver en ensartet anvendelse, som ikke efterlader et gennemførelsesmæssigt spillerum for medlemsstaterne, og som skaber en fuldstændig horisontal ramme. Disse elementer omfatter anmeldelsespligten for udbydere af datadelingstjenester, mekanismerne for dataaltruisme, de grundlæggende principper, der gælder for videreanvendelsen af data fra den offentlige sektor, som ikke kan stilles til rådighed som åbne data, eller som ikke er omfattet af sektorspecifik EU-lovgivning, samt indførelsen af koordineringsstrukturer på EU-plan. Hvis forordningen finder direkte anvendelse, undgås en gennemførelsesperiode og -proces for medlemsstaterne, og samtidig muliggøres oprettelsen af de fælles europæiske dataområder i den nærmeste fremtid i overensstemmelse med EU-genopretningsplanen 18 .

Samtidig er bestemmelserne i forordningen ikke for præskriptive og giver mulighed for en indsats fra medlemsstaternes side på forskellige niveauer for så vidt angår elementer, der ikke underminerer initiativets mål, navnlig organiseringen af de kompetente organer, der støtter de offentlige myndigheder i deres opgaver vedrørende videreanvendelsen af bestemte kategorier af data fra den offentlige sektor.

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

Høringer af interesserede parter

Den 19. februar 2020, dagen for vedtagelsen af den europæiske strategi for data 19 , blev der iværksat en offentlig onlinehøring, som blev afsluttet den 31. maj 2020. Det blev udtrykkeligt anført, at høringen blev iværksat med henblik på at forberede det nuværende initiativ, og afsnittene og spørgsmålene i høringen omhandlede de emner, initiativet omfatter. Høringen var rettet mod alle typer interessenter.

Kommissionen modtog i alt 806 bidrag, heraf 219 fra virksomheder, 119 fra erhvervssammenslutninger, 201 fra EU-borgere, 98 fra højere læreanstalter eller forskningsinstitutioner og 57 fra offentlige myndigheder. Forbrugernes stemme var repræsenteret af 7 respondenter, og 54 respondenter var NGO'er (herunder 2 miljøorganisationer). Blandt de 219 virksomheder/erhvervsorganisationer var 43,4 % SMV'er. Samlet set kom 92,2 % af besvarelserne fra EU-27. Meget få respondenter angav, om deres organisation havde et lokalt, regionalt, nationalt eller internationalt omfang.

Der blev indsendt 230 holdningsdokumenter, enten vedlagt spørgeskemabesvarelser (210) eller som enkeltstående bidrag (20). Dokumenterne indeholdt forskellige synspunkter om de emner, der var omfattet af onlinespørgeskemaet, navnlig vedrørende forvaltningen af fælles dataområder. De indeholdt holdninger om de centrale principper for dataområderne, og der blev givet udtryk for stor støtte til prioriteringen af standarder samt begrebet dataaltruisme. Behovet for beskyttelse i forbindelse med udarbejdelsen af foranstaltninger vedrørende dataformidlere blev også påpeget.

Indhentning og brug af ekspertbistand

Med henblik på sammen med de relevante eksperter at undersøge rammebetingelserne for at oprette fælles europæiske dataområder i de udpegede sektorer blev der afholdt ti workshopper om fælles europæiske dataområder i 2019 samt yderligere en workshop i maj 2020. Mere end 300 interessenter, hovedsagelig fra den private og den offentlige sektor, deltog i workshopperne, som omfattede forskellige sektorer (landbrug, sundhed, finans/bankvæsen, energi, transport, bæredygtighed/miljø, offentlige tjenester og intelligent produktion) og mere tværgående aspekter (dataetik og datamarkeder). De af Kommissionens tjenestegrene, der beskæftiger sig med disse områder, deltog i workshopperne. De sektorspecifikke workshopper hjalp med at klarlægge de fælles elementer på tværs af sektorerne, som det er nødvendigt at tage fat på ved at fastlægge en horisontal forvaltningsramme.

Konsekvensanalyse

Der er foretaget en konsekvensanalyse af dette forslag. Den 9. september 2020 afgav Udvalget for Forskriftskontrol en negativ udtalelse. Den 5. oktober 2020 afgav udvalget en positiv udtalelse med forbehold.

I konsekvensanalysen blev referencescenarierne, de politiske løsningsmodeller og deres indvirkning på fire interventionsområder undersøgt, nemlig a) mekanismer til øget anvendelse af data fra den offentlige sektor, der ikke kan stilles til rådighed som åbne data, b) en certificerings- eller mærkningsramme for dataformidlere, c) foranstaltninger til fremme af dataaltruisme og d) mekanismer til koordinering og styring af horisontale forvaltningsaspekter i form af en struktur på EU-plan.

For alle interventionsområdernes vedkommende blev løsningsmodel 1 med koordinering på EU-plan ved hjælp af bløde reguleringsmæssige foranstaltninger anset for utilstrækkelig, da den ikke ville ændre situationen væsentligt i forhold til referencescenariet. Hovedanalysen fokuserede således på løsningsmodel 2 og 3, som omfatter et reguleringsmæssigt indgreb af henholdsvis lav og høj intensitet. Den foretrukne løsningsmodel viste sig at være en kombination af reguleringsmæssige indgreb af lav og høj intensitet på følgende måde:

Med hensyn til mekanismer til at øge anvendelsen af visse data fra den offentlige sektor, hvis anvendelse er omfattet af andres rettigheder, ville både løsningsmodellerne af lav og høj intensitet indføre EU-dækkende regler for videreanvendelsen af sådanne data (navnlig for så vidt angår ikke-eksklusivitet). Et reguleringsmæssigt indgreb af lav intensitet ville kræve, at de enkelte offentlige myndigheder, der tillader denne form for videreanvendelse, udrustes teknisk med henblik på at sikre, at databeskyttelsen, privatlivets fred og datafortroligheden respekteres fuldt ud. Et sådant indgreb ville også omfatte en forpligtelse for medlemsstaterne til som minimum at indføre en one-stop-shop-mekanisme for anmodninger om adgang til sådanne data uden at fastlægge mekanismens nøjagtige institutionelle og administrative form. Løsningsmodellen af høj intensitet ville indebære, at der oprettes et enkelt datagodkendelsesorgan for hver medlemsstat. I betragtning af de omkostninger og de problemer i forbindelse med gennemførligheden, der er forbundet med sidstnævnte, er den foretrukne løsningsmodel et reguleringsmæssigt indgreb af lav intensitet.

Med hensyn til certificeringen eller mærkningen af pålidelige dataformidlere var det tiltænkt, at et reguleringsmæssigt indgreb af lav intensitet skulle bestå af en blødere, frivillig mærkningsordning, hvor de kompetente myndigheder, der af medlemsstaterne er udpeget hertil (disse kan også være de one-stop-shop-mekanismer, der indføres med henblik på øget videreanvendelse af data fra den offentlige sektor), foretager en kvalitetskontrol af opfyldelsen af kravene for erhvervelse og tildeling af mærket. Et reguleringsmæssigt indgreb af høj intensitet ville bestå af en obligatorisk certificeringsordning, der forvaltes af private overensstemmelsesvurderingsorganer. En obligatorisk ordning ville medføre højere omkostninger, hvilket potentielt set kunne have en afskrækkende indvirkning på SMV'er og startup-virksomheder, og markedet er ikke modent nok til en obligatorisk certificeringsordning; derfor blev et reguleringsmæssigt indgreb af lav intensitet udpeget som den foretrukne politiske løsningsmodel. Et reguleringsmæssigt indgreb af høj intensitet i form af en obligatorisk ordning blev imidlertid også udpeget som et gennemførligt alternativ, da det ville skabe betydelig større tillid til dataformidlernes funktion og fastsætte klare regler for, hvordan dataformidlerne forventes at agere på det europæiske datamarked. Efter yderligere drøftelser i Kommissionen blev der valgt en mellemløsning. Den består af en anmeldelsespligt med efterfølgende kontrol af opfyldelsen af kravene til udøvelsen af de aktiviteter, som medlemsstaternes kompetente myndigheder udfører. Denne løsning har de fordele, der er ved en obligatorisk ordning, samtidig med at den begrænser regelbyrden for markedsaktørerne.

Med hensyn til dataaltruisme ville et reguleringsmæssige indgreb af lav intensitet bestå i en frivillig certificeringsramme for organisationer, der ønsker at udbyde sådanne tjenester, mens et reguleringsmæssigt indgreb af høj intensitet ville indbefatte en obligatorisk tilladelsesramme. Da sidstnævnte indgreb ville sikre en højere grad af tillid, når data stilles til rådighed, hvilket kan bidrage til, at registrerede personer og virksomheder stiller flere data til rådighed, og føre til et højere niveau af udvikling og forskning, samtidig med at der skabes et tilsvarende omkostningsniveau, blev det i konsekvensanalysen fremhævet som den foretrukne løsningsmodel for dette interventionsområde. De videre drøftelser i Kommissionen afdækkede imidlertid yderligere bekymringer vedrørende den potentielle administrative byrde for organisationer, der beskæftiger sig med dataaltruisme, og forholdet mellem forpligtelserne og fremtidige sektorspecifikke initiativer vedrørende dataaltruisme. Derfor blev der valgt en alternativ løsning, der giver organisationer, der beskæftiger sig med dataaltruisme, mulighed for at registrere sig som en "dataaltruistisk organisation, der er anerkendt i EU". Denne frivillige mekanisme vil bidrage til at øge tilliden og samtidig udgøre en mindre administrativ byrde end både en obligatorisk tilladelsesramme og en frivillig certificeringsramme.

Med hensyn til den europæiske horisontale styringsmekanisme ville et reguleringsmæssigt indgreb af lav intensitet omfatte oprettelsen af en ekspertgruppe, mens et reguleringsmæssigt indgreb af høj intensitet ville omfatte indførelsen af en uafhængig struktur med status som juridisk person (lig Det Europæiske Databeskyttelsesråd). I betragtning af de høje omkostninger og den lave grad af politisk gennemførlighed, der er forbundet med løsningsmodellen af høj intensitet, blev den politiske løsningsmodel af lav intensitet valgt.

Det fremgik af støtteundersøgelsen til konsekvensanalysen 20 , at mens dataøkonomien og den økonomiske værdi af datadeling i referencescenariet forventes at stige til ca. 510-533 mia. EUR (3,87 % af BNP), så vil de med den foretrukne pakkeløsning stige til mellem 540,7 og 544,4 mia. EUR (3,92 % til 3,95 % af BNP). I disse beløb tages der kun i begrænset omfang højde for efterfølgende fordele i form af bedre produkter, højere produktivitet og nye måder at håndtere samfundsmæssige udfordringer på (f.eks. klimaændringer). Disse fordele vil sandsynligvis være betydeligt større end de direkte fordele.

Samtidig vil det med den politiske pakkeløsning være muligt at skabe en europæisk model for datadeling, der ved hjælp af nye, neutrale dataformidlere kan give en tilgang som et alternativ til den nuværende forretningsmodel for integrerede teknologiplatforme. Dette initiativ kan gøre en forskel for dataøkonomien ved at skabe tillid til delingen af data og tilskynde til udviklingen af fælles europæiske dataområder, hvor fysiske og juridiske personer har kontrol over de data, de genererer.

Grundlæggende rettigheder

Da visse elementer i forordningen omhandler personoplysninger, er foranstaltningerne udformet på en sådan måde, at de er i fuld overensstemmelse med databeskyttelseslovgivningen og i praksis faktisk øger den kontrol, som fysiske personer har over de data, de genererer.

Med hensyn til den øgede videreanvendelse af data fra den offentlige sektor vil de grundlæggende rettigheder hvad angår databeskyttelse, privatlivets fred og ejendomsret (vedrørende ejendomsretten til visse data, som f.eks. er kommercielt fortrolige eller beskyttede af intellektuelle ejendomsrettigheder) blive overholdt. Tilsvarende skal udbydere af datadelingstjenester, der udbyder tjenesteydelser til registrerede personer, overholde de gældende databeskyttelsesregler.

Anmeldelsesrammen for dataformidlere vil berøre friheden til at oprette og drive egen virksomhed, da den pålægger visse begrænsninger i form af forskellige krav som en forudsætning for, at sådanne enheder kan fungere.

4.VIRKNINGER FOR BUDGETTET

Forslaget har ingen budgetmæssige konsekvenser.

5.ANDRE FORHOLD

Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

På grund af dataøkonomiens dynamiske karakter udgør overvågning af udviklingen i virkningerne en central del af indgrebet på dette område. For at sikre at de valgte politiske foranstaltninger rent faktisk giver de ønskede resultater og danne grundlag for eventuelle fremtidige revisioner, er det nødvendigt at overvåge og evaluere gennemførelsen af denne forordning.

Overvågningen af de specifikke mål og de lovgivningsmæssige forpligtelser opnås ved hjælp af repræsentative undersøgelser af interessenter, arbejdet i støttecentret for datadeling, Det Europæiske Datainnovationsråds registre over de forskellige interventionsområder, som de særlige nationale myndigheder har rapporteret til, og en evalueringsundersøgelse til støtte for en revision af instrumentet.

Nærmere redegørelse for de enkelte bestemmelser i forslaget

I kapitel I beskrives forordningens genstand, og de definitioner, der anvendes i instrumentet, fastsættes.

I kapitel II indføres en mekanisme til videreanvendelse af bestemte kategorier af beskyttede data fra den offentlige sektor, som er betinget af, at andres rettigheder respekteres (navnlig af hensyn til beskyttelsen af personoplysninger, men også beskyttelsen af intellektuelle ejendomsrettigheder og fortrolig behandling af forretningshemmeligheder). Denne mekanisme berører ikke sektorspecifik EU-lovgivning om adgang til og videreanvendelse af sådanne data. Videreanvendelse af sådanne data falder uden for anvendelsesområdet for direktiv (EU) 2019/1024 (direktivet om åbne data). Bestemmelserne i dette kapitel giver ikke ret til at videreanvende sådanne data, men fastsætter en række harmoniserede grundlæggende betingelser, hvorunder videreanvendelsen af sådanne data kan tillades (f.eks. kravet om ikke-eksklusivitet). Offentlige myndigheder, der tillader denne form for videreanvendelse, skal udrustes teknisk med henblik på at sikre, at databeskyttelsen, privatlivets fred og datafortroligheden respekteres fuldt ud. Medlemsstaterne skal oprette et fælles kontaktpunkt med henblik på at støtte forskere og innovative virksomheder i at finde egnede data, og de skal indføre strukturer til at støtte offentlige myndigheder med tekniske midler og juridisk bistand.

Kapitel III har til formål at øge tilliden til deling af personoplysninger og andre data end personoplysninger og mindske transaktionsomkostningerne i forbindelse med B2B- og C2B-datadeling, ved at der oprettes en anmeldelsesordning for udbydere af datadelingstjenester. Disse udbydere skal opfylde en række krav, navnlig kravet om at forblive neutrale for så vidt angår de data, der deles. De må således ikke anvende datene til andre formål. For så vidt angår udbydere af datadelingstjenester, der udbyder tjenester til fysiske personer, skal det yderligere kriterium om at påtage sig tillidsforpligtelser over for de enkeltpersoner, der anvender tjenesterne, også opfyldes.

Denne tilgang er udformet for at sikre, at datadelingstjenester fungerer på en åben og samarbejdsorienteret måde, samtidig med at fysiske og juridiske personer styrkes, idet de får et bedre overblik og kontrol over deres data. En kompetent myndighed, der er udpeget af medlemsstaterne, vil være ansvarlig for at overvåge overholdelsen af de krav, der er knyttet til leveringen af disse tjenester.

Kapitel IV letter dataaltruisme (data, som privatpersoner eller virksomheder frivilligt stiller til rådighed til gavn for samfundet). Organisationer, der beskæftiger sig med dataaltruisme, får mulighed for at registrere sig som en "dataaltruistisk organisation, der er anerkendt i EU" for at øge tilliden til deres aktiviteter. Desuden vil der blive udviklet en fælles europæisk samtykkeformular for dataaltruisme for at mindske omkostningerne ved at indhente samtykke og lette dataportabiliteten (i tilfælde hvor de data, der skal stilles til rådighed, ikke er i den fysiske persons besiddelse).

I kapitel V fastsættes kravene til, hvordan de kompetente myndigheder, der er udpeget til at overvåge og gennemføre anmeldelsesrammen for udbydere af datadelingstjenester og enheder, der beskæftiger sig med dataaltruisme, skal fungere. Kapitlet indeholder også bestemmelser om retten til at indgive klager over disse myndigheders afgørelser og om retsmidler.

Kapitel VI opretter en formel ekspertgruppe ("Det Europæiske Datainnovationsråd"), som skal gøre det lettere for medlemsstaternes myndigheder at udvikle bedste praksis, navnlig med hensyn til behandlingen af anmodninger om videreanvendelse af data, der er omfattet af andres rettigheder (kapitel II), sikringen af en konsekvent praksis hvad angår anmeldelsesrammen for udbydere af datadelingstjenester (kapitel III) og dataaltruisme (kapitel IV). Herudover vil den formelle ekspertgruppe støtte og rådgive Kommissionen om styringen af den tværsektorielle standardisering og udarbejdelsen af strategiske tværsektorielle standardiseringsanmodninger. I dette kapitel fastsættes også Datainnovationsrådets sammensætning og funktion.

Kapitel VII tillægger Kommissionen beføjelse til at vedtage gennemførelsesretsakter vedrørende den europæiske samtykkeformular for dataaltruisme.

Kapitel VIII indeholder overgangsbestemmelser for, hvordan den generelle tilladelsesordning for udbydere af datadelingstjenester fungerer, samt de afsluttende bestemmelser.

2020/0340 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om europæisk datastyring
(forordning om datastyring)

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 21 ,

under henvisning til udtalelse fra Regionsudvalget 22 ,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1)I traktaten om Den Europæiske Unions funktionsmåde ("TEUF") fastslås det, at der skal oprettes et indre marked og indføres en ordning, der sikrer, at konkurrencen i det indre marked ikke fordrejes. Fastsættelsen af fælles regler og praksis i medlemsstaterne vedrørende udviklingen af en ramme for datastyring bør bidrage til opnåelsen af disse målsætninger.

(2)I løbet af de seneste år har digitale teknologier forandret økonomien og samfundet og påvirket alle aktivitetsområder og dagliglivet. Kernen i denne omstilling er data; datadreven innovation vil medføre enorme fordele for borgerne, f.eks. gennem forbedret personaliseret medicin, ny mobilitet og gennem bidraget til den europæiske grønne pagt 23 . I sin strategi for data 24 har Kommissionen beskrevet visionen om et fælles europæisk dataområde, et indre marked for data, hvor data kan anvendes, uanset hvor de fysisk opbevares i Unionen, i overensstemmelse med gældende ret. Kommissionen har også opfordret til frie og sikre datastrømme med tredjelande med forbehold af undtagelser og begrænsninger af hensyn til den offentlige sikkerhed, den offentlige orden og andre legitime offentlige politiske mål for Den Europæiske Union i overensstemmelse med internationale forpligtelser. For at omsætte denne vision til virkelighed foreslås det at oprette områdespecifikke fælles europæiske dataområder som konkrete ordninger, hvorigennem datadeling og datasamling kan finde sted. Som planlagt i strategien kan sådanne fælles europæiske dataområder omfatte områder som sundhed, mobilitet, produktion, finansielle tjenesteydelser, energi og landbrug, tematiske områder som den europæiske grønne pagt og europæiske dataområder for offentlig forvaltning eller færdigheder.

(3)Det er nødvendigt at forbedre betingelserne for datadeling i det indre marked ved at skabe en harmoniseret ramme for dataudveksling. Med sektorspecifik lovgivning kan nye og supplerende elementer udvikles, tilpasses og foreslås afhængigt af sektorernes særlige kendetegn, såsom den planlagte lovgivning om det europæiske sundhedsdataområde 25 og om adgangen til køretøjsdata. Desuden er visse økonomiske sektorer allerede reguleret ved sektorspecifik EU-lovgivning, der omfatter regler om grænseoverskridende eller EU-dækkende deling af eller adgang til data 26 . Denne forordning berører derfor ikke Europa-Parlamentets og Rådets forordning (EU) 2016/679( 27 ), og dens gennemførelse forhindrer navnlig ikke grænseoverskridende overførsler af data i overensstemmelse med kapitel V i forordning (EU) 2016/679 i at finde sted, Europa-Parlamentets og Rådets direktiv (EU) 2016/680( 28 ), Europa-Parlamentets og Rådets direktiv (EU) 2016/943( 29 ), Europa-Parlamentets og Rådets forordning (EU) 2018/1807( 30 ), Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009( 31 ), Europa-Parlamentets og Rådets direktiv 2000/31/EF( 32 ), Europa-Parlamentets og Rådets direktiv 2001/29/EF( 33 ), Europa-Parlamentets og Rådets direktiv (EU) 2019/790( 34 ), Europa-Parlamentets og Rådets direktiv 2004/48/EF( 35 ), Europa-Parlamentets og Rådets direktiv (EU) 2019/1024( 36 ) samt Europa-Parlamentets og Rådets forordning (EU) 2018/858( 37 ), Europa-Parlamentets og Rådets direktiv 2010/40/EU( 38 ) og delegerede forordninger, der er vedtaget på grundlag heraf, og anden sektorspecifik EU-lovgivning om adgang til og videreanvendelse af data. Denne forordning bør ikke berøre adgangen til og anvendelsen af data med henblik på internationalt samarbejde i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner. Der bør indføres en horisontal ordning for videreanvendelse af bestemte kategorier af beskyttede data i de offentlige myndigheders besiddelse, levering af datadelingstjenester og tjenester baseret på dataaltruisme i Unionen. De forskellige sektorers særlige kendetegn kan kræve, at der udvikles sektorielle databaserede systemer, samtidig med at der bygges videre på kravene i denne forordning. Hvis en sektorspecifik EU-retsakt kræver, at offentlige myndigheder, udbydere af datadelingstjenester eller registrerede enheder, der leverer dataaltruismetjenester, skal opfylde specifikke supplerende tekniske, administrative eller organisatoriske krav, herunder gennem en tilladelses- eller certificeringsordning, finder bestemmelserne i den sektorspecifikke EU-retsakt også anvendelse.

(4)Det er nødvendigt med en indsats på EU-plan for at afhjælpe hindringerne for en velfungerende datadreven økonomi og skabe en EU-dækkende forvaltningsramme for dataadgang og -anvendelse, navnlig med hensyn til videreanvendelsen af visse typer data fra den offentlige sektor, datadelingstjenesteudbyderes levering af tjenester til erhvervsbrugere og registrerede personer samt indsamlingen og behandlingen af data, der af fysiske og juridiske personer stilles til rådighed til altruistiske formål.

(5)Idéen om, at data, der er genereret på bekostning af offentlige budgetter, bør komme samfundet til gode, har længe været en del af EU's politik. Ved direktiv (EU) 2019/1024 såvel som sektorspecifik lovgivning er det sikret, at den offentlige sektor stiller flere af de data, den genererer, til rådighed til anvendelse og videreanvendelse. Bestemte kategorier af data (data, der er kommercielt fortrolige, data, der er underlagt statistisk fortrolighed, data, der er beskyttet af tredjeparters intellektuelle ejendomsrettigheder, herunder forretningshemmeligheder, og personoplysninger, der ikke er tilgængelige på grundlag af specifik national lovgivning eller EU-lovgivning såsom forordning (EU) 2016/679 og direktiv (EU) 2016/680) i offentlige databaser stilles imidlertid ofte ikke til rådighed, end ikke til forskning eller innovative aktiviteter. På grund af disse datas følsomhed skal visse tekniske og juridiske procedurekrav være opfyldt, før de stilles til rådighed, for at sikre at andres rettigheder over dataene respekteres. Opfyldelsen af sådanne krav kræver normalt omfattende tid og viden. Det har ført til en underudnyttelse af disse data. Nogle medlemsstater indfører strukturer og processer og lovgiver nogle gange for at lette denne form for videreanvendelse, men det er ikke tilfældet i hele EU.

(6)Der findes teknikker, der muliggør analyser, hvor privatlivets fred sikres, i databaser, der indeholder personoplysninger, som for eksempel anonymisering, pseudonymisering, differentiel beskyttelse af privatlivets fred, generalisering og undertrykkelse og randomisering. Anvendelsen af disse privatlivsfremmende teknologier sammen med en omfattende tilgang til databeskyttelse bør garantere en sikker videreanvendelse af personoplysninger og kommercielt fortrolige forretningsdata til statistiske formål og forsknings- og innovationsformål. I mange tilfælde indebærer det, at anvendelsen og videreanvendelsen af data i denne forbindelse kun kan ske i et sikkert databehandlingsmiljø, der er oprettet og overvåges af den offentlige sektor. Der er erfaringer på EU-plan med sådanne sikre behandlingsmiljøer, som anvendes til forskning i statistiske mikrodata på grundlag af Kommissionens forordning (EU) nr. 557/2013( 39 ). For så vidt angår personoplysninger bør databehandlingen generelt basere sig på en eller flere af de grunde til behandling, der er fastsat i artikel 6 i forordning (EU) 2016/679.

(7)De kategorier af data, der er i de offentlige myndigheders besiddelse, og som bør kunne videreanvendes i henhold til denne forordning, falder uden for anvendelsesområdet for direktiv (EU) 2019/1024, som ikke omfatter data, der ikke er tilgængelige på grund af kommerciel eller statistisk fortrolighed, og data, som tredjeparter har intellektuelle ejendomsrettigheder til. Personoplysninger falder uden for anvendelsesområdet for direktiv (EU) 2019/1024, for så vidt som aktindsigtsordningen udelukker adgangen til sådanne oplysninger af hensyn til databeskyttelsen, privatlivets fred og den enkeltes integritet, navnlig i henhold til databeskyttelsesregler. Videreanvendelse af data, der kan indeholde forretningshemmeligheder, bør ske, uden at det berører direktiv (EU) 2016/943 40 , hvori rammen for lovlig erhvervelse, brug og videregivelse af forretningshemmeligheder fastsættes. Denne forordning berører ikke og supplerer de mere specifikke forpligtelser for offentlige myndigheder til at tillade videreanvendelse af data, der er fastsat i sektorspecifik EU-lovgivning eller national lovgivning.

(8)Bestemmelserne om videreanvendelse i denne forordning bør gælde for data, der stilles til rådighed som led i de berørte offentlige myndigheders opgaver som fastsat ved lov eller andre retsforskrifter i medlemsstaterne. Hvis der ikke findes sådanne forskrifter, bør de offentlige opgaver defineres i overensstemmelse med almindelig administrativ praksis i medlemsstaterne, forudsat at de offentlige opgavers rækkevidde er gennemsigtig og underlagt kontrol. De offentlige opgaver kan defineres generelt eller fra sag til sag for de enkelte offentlige myndigheder. Da offentlige virksomheder ikke er omfattet af definitionen af en offentlig myndighed, bør de data, der er i deres besiddelse, ikke være omfattet af denne forordning. Data, der er i kulturinstitutioners og uddannelsesinstitutioners besiddelse, og for hvilke intellektuelle ejendomsrettigheder ikke er accessoriske, men som hovedsagelig er indeholdt i værker og andre dokumenter, der er beskyttet af sådanne intellektuelle ejendomsrettigheder, er ikke omfattet af denne forordning.

(9)Offentlige myndigheder bør overholde konkurrencelovgivningen, når de fastlægger principperne for videreanvendelsen af de data, de er i besiddelse af, og så vidt muligt undgå at indgå aftaler, der kan have til formål eller til følge at skabe eksklusive rettigheder til videreanvendelsen af visse data. Sådanne aftaler bør kun være mulige, når de er berettigede og nødvendige for leveringen af en tjenesteydelse af almen interesse. Dette kan være tilfældet, når en eksklusiv anvendelse af data er den eneste måde, hvorpå de samfundsmæssige fordele ved dem kan maksimeres, for eksempel hvis der kun er en enhed (som har specialiseret sig i behandlingen af et specifikt datasæt), der er i stand til at levere den tjenesteydelse eller det produkt, der gør det muligt for den offentlige myndighed at levere en avanceret digital tjeneste af almen interesse. Sådanne aftaler bør imidlertid indgås i overensstemmelse med reglerne for offentlige udbud og regelmæssigt tages op til revision på grundlag af en markedsanalyse for at fastslå, om en sådan eksklusivitet fortsat er nødvendig. Desuden bør aftalerne overholde statsstøttereglerne, hvis det er relevant, og indgås for en begrænset periode, der ikke bør overstige tre år. For at sikre gennemsigtighed bør sådanne eneretsaftaler offentliggøres online, uafhængigt af en eventuel offentliggørelse af en tildeling af et offentligt udbud.

(10)Forbudte eneretsaftaler og anden praksis eller aftaler mellem dataindehavere og datavidereanvendere, som ikke udtrykkeligt giver eksklusive rettigheder, men som med rimelighed kan forventes at begrænse tilgængeligheden af data til videreanvendelse, og som er indgået eller allerede trådt i kraft inden denne forordnings ikrafttræden, bør ikke forlænges efter udløbet af deres gyldighedsperiode. Hvis der er tale om tidsubegrænsede eller langsigtede aftaler, bør de bringes til ophør senest tre år efter datoen for denne forordnings ikrafttræden.

(11)Der bør fastsættes betingelser for videreanvendelsen af beskyttede data, som gælder for offentlige myndigheder, der i henhold til national ret er kompetente til at tillade videreanvendelse, og disse betingelser bør ikke berøre rettigheder eller forpligtelser vedrørende adgangen til sådanne data. Betingelserne bør være ikkediskriminerende, rimelige og objektivt begrundede og må ikke begrænse konkurrencen. Navnlig bør de offentlige myndigheder, der tillader videreanvendelse, råde over de tekniske midler, der er nødvendige for at sikre beskyttelsen af tredjeparters rettigheder og interesser. Betingelser for videreanvendelsen af data bør være begrænsede til, hvad der er nødvendigt for at beskytte andres rettigheder til og interesser i dataene og integriteten af de offentlige myndigheders IT- og kommunikationssystemer. Offentlige myndigheder bør anvende betingelser, der bedst tjener videreanvenderens interesser, uden at dette fører til en uforholdsmæssig stor indsats for den offentlige sektor. Afhængigt af den pågældende sag bør personoplysningerne være fuldt anonymiserede, inden de videregives, således at det definitivt ikke er muligt at identificere de registrerede, og data, der indeholder kommercielt fortrolige oplysninger, bør, inden de videregives, være ændret på en sådan måde, at der ikke videregives fortrolige oplysninger. Hvis leveringen af anonymiserede eller ændrede data ikke imødekommer videreanvenderens behov, kan der gives tilladelse til lokal videreanvendelse eller fjernvidereanvendelse af dataene i et sikkert databehandlingsmiljø. Dataanalyser i sådanne sikre databehandlingsmiljøer bør overvåges af den offentlige myndighed, således at andres rettigheder og interesser beskyttes. Navnlig bør personoplysninger kun videregives med henblik på videreanvendelse til tredjeparter, hvis et retsgrundlag tillader en sådan videregivelse. Den offentlige myndighed kan gøre brugen af et sikkert databehandlingsmiljø betinget af, at videreanvenderen underskriver en fortrolighedsaftale, der forbyder videregivelse af oplysninger, der bringer tredjeparters rettigheder og interesser i fare, og som måtte være kommet videreanvenderen i besiddelse på trods af de indførte sikkerhedsforanstaltninger. Hvis det er relevant, bør de offentlige myndigheder lette videreanvendelsen af data på grundlag af de registreredes samtykke eller de juridiske personers tilladelse til videreanvendelse af data, der vedrører dem, ved hjælp af passende tekniske midler. I den forbindelse bør den offentlige myndighed støtte potentielle videreanvendere i at indhente et sådant samtykke ved at indføre tekniske mekanismer, der gør det muligt at videresende anmodninger om samtykke fra videreanvendere, hvor dette er praktisk muligt. Der bør ikke opgives kontaktoplysninger, der gør det muligt for videreanvendere at kontakte registrerede eller virksomheder direkte.

(12)Tredjeparters intellektuelle ejendomsrettigheder bør ikke berøres af denne forordning. Forordningen bør hverken berøre eksistensen af eller ejendomsretten til offentlige myndigheders intellektuelle ejendomsrettigheder eller begrænse udøvelsen af sådanne rettigheder på en måde, der rækker ud over de grænser, som forordningen fastsætter. De forpligtelser, der pålægges ved denne forordning, bør kun gælde, for så vidt som de er forenelige med internationale aftaler om beskyttelse af intellektuel ejendomsret, især Bernerkonventionen til værn for litterære og kunstneriske værker (Bernerkonventionen), aftalen om handelsrelaterede intellektuelle ejendomsrettigheder (TRIPS-aftalen) og WIPO's traktat om ophavsret (WTC). Offentlige myndigheder bør dog udøve deres ophavsret på en måde, der letter videreanvendelse af data.

(13)Data, der er omfattet af intellektuelle ejendomsrettigheder og forretningshemmeligheder, bør kun videregives til tredjeparter, hvis en sådan videregivelse er lovlig i henhold til EU-retten eller national ret, eller hvis rettighedshaveren giver sit samtykke hertil. Hvis offentlige myndigheder er rettighedshavere som fastsat i artikel 7, stk. 1, i Europa-Parlamentets og Rådets direktiv 96/9/EF 41 , bør de ikke udøve disse rettigheder for at forhindre videreanvendelse af data eller sætte grænser for videreanvendelsen, der er mere restriktive end dem, der er fastsat i nærværende forordning.

(14)Virksomheder og registrerede bør kunne stole på, at videreanvendelsen af bestemte kategorier af beskyttede data, som den offentlige sektor er i besiddelse af, vil finde sted på en måde, der respekterer deres rettigheder og interesser. Der bør derfor indføres yderligere beskyttelsesforanstaltninger med henblik på situationer, hvor videreanvendelse af sådanne data fra den offentlige sektor finder sted på grundlag af en behandling af dataene uden for den offentlige sektor. En sådan yderligere beskyttelsesforanstaltning kan for eksempel bestå i et krav om, at offentlige myndigheder fuldt ud skal tilgodese fysiske og juridiske personers rettigheder og interesser (navnlig beskyttelsen af personoplysninger, kommercielt følsomme data og beskyttelsen af intellektuelle ejendomsrettigheder), hvis sådanne data overføres til tredjelande.

(15)Desuden er det vigtigt at beskytte kommercielt følsomme data af ikkepersonlig karakter, navnlig forretningshemmeligheder, men også andre data, der udgør indhold, som er beskyttet af intellektuelle ejendomsrettigheder, mod ulovlig adgang, der kan føre til tyveri af intellektuel ejendom eller industrispionage. For at sikre beskyttelsen af dataindehavernes grundlæggende rettigheder eller interesser bør andre data end personoplysninger, der skal beskyttes mod ulovlig eller uautoriseret adgang i henhold til EU-retten eller national ret, og som er i offentlige myndigheders besiddelse, kun overføres til tredjelande, hvis anvendelsen af dataene er omfattet af passende beskyttelsesforanstaltninger. Sådanne passende beskyttelsesforanstaltninger bør anses for at foreligge, når der i det pågældende tredjeland gælder tilsvarende foranstaltninger, som sikrer, at der for andre data end personoplysninger gælder et beskyttelsesniveau svarende til det, der gælder i henhold til EU-retten eller national ret i medlemsstaterne, navnlig med hensyn til beskyttelse af forretningshemmeligheder og intellektuelle ejendomsrettigheder. Med henblik herpå kan Kommissionen vedtage gennemførelsesretsakter, hvori det erklæres, at et tredjeland yder et beskyttelsesniveau, der i det væsentlige svarer til det beskyttelsesniveau, der er fastsat i EU-retten eller national ret. Ved vurderingen af beskyttelsesniveauet i et tredjeland bør navnlig følgende aspekter tages i betragtning: den relevante lovgivning, både generel og sektorspecifik lovgivning, herunder om offentlig sikkerhed, forsvar, national sikkerhed og strafferet vedrørende adgang til og beskyttelse af andre data end personoplysninger, hvorvidt de offentlige myndigheder i tredjelandet har adgang til de overførte data, hvorvidt der er en eller flere uafhængige tilsynsmyndigheder i tredjelandet med ansvar for at sikre og håndhæve overholdelsen af de retlige bestemmelser, der sikrer adgang til sådanne data, samt hvordan sådanne myndigheder udfører deres opgaver i praksis, internationale forpligtelser vedrørende databeskyttelse, som tredjelandet har indgået, samt andre forpligtelser i forbindelse med retligt bindende konventioner eller instrumenter eller deltagelse i multilaterale eller regionale aftaler. I forbindelse med overførsel af andre data end personoplysninger til et tredjeland er det navnlig vigtigt, at der findes effektive retsmidler for dataindehavere, offentlige myndigheder og udbydere af datadelingstjenester i det pågældende tredjeland. Ovennævnte beskyttelsesforanstaltninger bør derfor omfatte bestemmelser om rettigheder, der kan håndhæves, og effektive retsmidler.

(16)I tilfælde, hvor Kommissionen ikke har vedtaget en gennemførelsesretsakt vedrørende et tredjeland, hvori det erklæres, at landet yder et beskyttelsesniveau, navnlig for så vidt angår beskyttelse af forretningsmæssigt følsomme data og beskyttelse af intellektuelle ejendomsrettigheder, som i det væsentlige svarer til det, der er fastsat i EU-retten eller national ret, bør den offentlige myndighed kun videregive beskyttede data til en videreanvender, hvis denne indgår en forpligtelse til fortsat at beskytte dataene. En videreanvender, der har til hensigt at overføre data til et sådant tredjeland, bør forpligte sig til at overholde de krav, der er fastsat i denne forordning, også efter at oplysningerne er blevet overført til tredjelandet. For at sikre en korrekt håndhævelse af sådanne krav bør videreanvenderen også anerkende, at kompetencen med henblik på retslig bilæggelse af tvister ligger hos domstolene i den medlemsstat, hvis offentlige myndighed har givet tilladelse til videreanvendelse.

(17)Visse tredjelande vedtager love, administrative bestemmelser og andre retsakter med sigte på direkte overførsel af eller adgang til andre data end personoplysninger i Unionen, som fysiske og juridiske personer under medlemsstaternes jurisdiktion har kontrol over. En dom afsagt af en domstol eller ret og en afgørelse truffet af en administrativ myndighed i et tredjeland, ifølge hvilken der pålægges krav om overførsel af eller adgang til andre data end personoplysninger, bør kunne håndhæves, hvis de er baseret på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en medlemsstat. I nogle tilfælde kan der opstå situationer, hvor krav om at overføre eller give adgang til andre data end personoplysninger, der følger af et tredjelands lovgivning, er i strid med en forpligtelse til at beskytte sådanne data i henhold til EU-retten eller national ret, navnlig hvad angår beskyttelse af forretningsmæssigt følsomme data og intellektuelle ejendomsrettigheder, og herunder kontraktlige forpligtelser vedrørende fortrolighed i overensstemmelse med denne lovgivning. I mangel af internationale aftaler om sådanne spørgsmål bør overførsel eller adgang kun tillades på visse betingelser, navnlig skal tredjelandets system kræve, at afgørelsen begrundes, og at det godtgøres, at den står i et rimeligt forhold til formålet; endvidere skal retskendelsen eller afgørelsen være af specifik karakter, og en begrundet indsigelse fra adressaten skal kunne prøves ved en kompetent domstol i tredjelandet, som har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de pågældende data til rådighed.

(18)For at forhindre ulovlig adgang til andre data end personoplysninger bør offentlige myndigheder samt fysiske og juridiske personer, der er tildelt ret til at videreanvende data, udbydere af datadelingstjenester og enheder, der er opført i registret over anerkendte dataaltruistiske organisationer, træffe alle rimelige foranstaltninger for at forhindre adgang til de systemer, hvor andre data end personoplysninger er lagret, herunder gennem kryptering af data eller interne databeskyttelsespolitikker.

(19)For at opbygge tillid til ordninger for videreanvendelse af data kan det være nødvendigt at fastsætte strengere betingelser, der er i overensstemmelse med internationale forpligtelser, for visse typer af andre data end personoplysninger, der er kategoriseret som meget følsomme for så vidt angår overførsel til tredjelande, hvis en sådan overførsel kan sætte offentlige politiske mål på spil. På sundhedsområdet for eksempel kan visse datasæt, som aktører i det offentlige sundhedssystem såsom offentlige hospitaler er i besiddelse af, kategoriseres som meget følsomme sundhedsdata. For at sikre en ensartet praksis i hele Unionen bør sådanne typer af andre data end personoplysninger, der er meget følsomme, defineres i EU-retten, f.eks. inden for rammerne af lovgivningen om det europæiske sundhedsdataområde eller anden sektorspecifik lovgivning. Betingelserne for overførsel af sådanne data til tredjelande bør fastsættes i delegerede retsakter. Betingelserne bør stå i et rimeligt forhold til formålet og være ikkediskriminerende og nødvendige for at beskytte legitime offentlige politiske mål såsom beskyttelse af folkesundheden, den offentlige orden, sikkerhed, miljøet, den offentlige moral, forbrugerbeskyttelse, beskyttelse af privatlivets fred og personoplysninger. Betingelserne bør stå i forhold til de risici, der er konstateret vedrørende sådanne datas følsomhed, herunder med hensyn til risikoen for genkendelse af enkeltpersoner. De kan for eksempel omfatte betingelser for overførsler eller tekniske ordninger såsom krav om anvendelse af et sikkert databehandlingsmiljø, begrænsninger for videreanvendelsen af data i tredjelande eller for, hvilke kategorier af personer der har ret til at overføre sådanne oplysninger til tredjelande, og hvilke kategorier der kan få adgang til oplysningerne i tredjelandet. I særlige tilfælde kan de også omfatte begrænsninger for overførsel af data til tredjelande med det formål at beskytte offentlighedens interesser.

(20)Offentlige myndigheder bør kunne opkræve gebyrer for adgang til videreanvendelse af data, men de bør også — under overholdelse af statsstøttereglerne — kunne beslutte at gøre dataene tilgængelige til lavere eller ingen omkostninger, f.eks. for bestemte kategorier af videreanvendelse såsom ikkekommerciel videreanvendelse eller videreanvendelse i små og mellemstore virksomheder, for at tilskynde til en sådan videreanvendelse og derved stimulere forskning og innovation og støtte virksomheder, der er en vigtig kilde til innovation, og som typisk har vanskeligere ved selv at indsamle relevante data. Gebyrer bør være rimelige, gennemsigtige, og ikkediskriminerende og bør offentliggøres online.

(21)For at tilskynde til videreanvendelse af disse kategorier af data bør medlemsstaterne oprette et centralt informationssted, der skal fungere som den primære kontaktflade for videreanvendere, der ønsker at videreanvende data, som de offentlige myndigheder er i besiddelse af. Informationsstedet bør have et tværsektorielt mandat og bør om nødvendigt supplere ordninger på sektorniveau. Desuden bør medlemsstaterne udpege, oprette eller lette oprettelsen af kompetente organer til støtte for offentlige myndigheder, der tillader videreanvendelse af bestemte kategorier af beskyttede data. Disse organers opgaver kan bl.a. bestå i at give adgang til data, når Unionens eller medlemsstaternes sektorspecifikke lovgivning pålægger dem denne opgave. De kompetente organer bør bistå offentlige myndigheder med de mest avancerede teknikker, herunder sikre databehandlingsmiljøer, som muliggør dataanalyse på en måde, der beskytter privatlivets fred. En sådanne støttestruktur kan understøtte dataindehavernes samtykkeforvaltning, herunder når der gives samtykke til brug af data inden for bestemte videnskabelige forskningsområder under forudsætning af, at anerkendte etiske standarder for videnskabelig forskning overholdes. Databehandlingen bør udføres under ansvar af den offentlige myndighed, der er ansvarlig for registret med de pågældende data, og som forbliver dataansvarlig som defineret i forordning (EU) 2016/679 for så vidt angår personoplysninger. Medlemsstaterne kan have et eller flere kompetente organer, der kan yde bistand inden for forskellige sektorer.

(22)Udbydere af datadelingstjenester (dataformidlere) forventes at spille en central rolle i dataøkonomien som et middel til at lette aggregering og udveksling af betydelige mængder relevante data. Dataformidlere, der tilbyder tjenester, som forbinder de forskellige aktører, vil kunne bidrage til, at data samles på en effektiv måde, og at bilateral datadeling lettes. Specialiserede dataformidlere, der er uafhængige af både dataindehavere og databrugere, kan spille en rolle i fremvæksten af nye datadrevne økosystemer, der er uafhængige af aktører med en betydelig markedsstyrke. Denne forordning bør kun finde anvendelse på udbydere af datadelingstjenester, hvis hovedformål er at etablere en forretningsmæssig, juridisk og eventuelt også teknisk forbindelse mellem dataindehavere, herunder registrerede, på den ene side og potentielle brugere på den anden side, og som bistår begge parter i en datatransaktion mellem parterne. Den bør kun gælde for tjenester, hvis formål er formidling mellem et ubegrænset antal dataindehavere og databrugere, og bør ikke omfatte datadelingstjenester, der er bestemt til at blive anvendt af en lukket gruppe af dataindehavere og brugere. Forordningen bør heller ikke omfatte udbydere af cloudtjenester eller tjenesteudbydere, der indsamler data fra dataindehavere og aggregerer, beriger eller omdanner dataene og udsteder licens til anvendelse af de deraf følgende data til databrugere, uden at de etablerer en direkte forbindelse mellem dataindehavere og databrugere, f.eks. reklame- eller datamæglere, datakonsulenter og udbydere af dataprodukter, der er et resultat af udbyderens tilføjelse af merværdi til dataene. Udbydere af datadelingstjenester bør dog have mulighed for at foretage tilpasninger af de data, der udveksles, for så vidt som dette øger dataenes anvendelighed for databrugeren, og hvis denne ønsker det, f.eks. gennem konvertering af dataene til bestemte formater. Endvidere bør tjenester, der fokuserer på formidling af indhold, navnlig ophavsretligt beskyttet indhold, ikke være omfattet af denne forordning. Dataudvekslingsplatforme, der udelukkende anvendes af én dataindehaver med det formål at muliggøre anvendelsen af de data, vedkommende er i besiddelse af, samt platforme, der er udviklet til brug i forbindelse med objekter og enheder forbundet med tingenes internet, og hvis hovedformål er at sikre funktionaliteten i de forbundne objekter eller enheder og muliggøre værdiforøgende tjenester, bør heller ikke være omfattet af denne forordning. "Udbydere af konsolideret løbende handelsinformation" som defineret i artikel 4, stk. 1, nr. 53), i Europa-Parlamentets og Rådets direktiv 2014/65/EU 42 samt "kontooplysningstjenesteudbydere" som defineret i artikel 4, nr. 19), i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 43 bør ikke betragtes som udbydere af datadelingstjenester i forbindelse med denne forordning. Enheder, hvis aktiviteter er begrænset til at lette anvendelsen af data stillet til rådighed på grundlag af dataaltruisme, og som drives uden sigte på fortjeneste, bør ikke være omfattet af kapitel III i denne forordning, da disse aktiviteter tjener almennyttige formål ved at øge mængden af data, der er tilgængelige til sådanne formål.

(23)En særlig kategori af dataformidlere er udbydere af datadelingstjenester, der tilbyder deres tjenester til registrerede som omhandlet i forordning (EU) 2016/679. Sådanne udbydere fokuserer udelukkende på personoplysninger og søger at styrke enkeltpersoners handlingsevne og kontrol med de data, der vedrører dem selv. Formålet er at bistå enkeltpersoner med at udøve deres rettigheder i henhold til forordning (EU) 2016/679, navnlig vedrørende forvaltning af deres samtykke til databehandling, retten til indsigt i deres egne data, retten til berigtigelse af ukorrekte personoplysninger, retten til sletning eller "retten til at blive glemt", retten til begrænsning af behandlingen og retten til dataportabilitet, der gør det muligt for registrerede at flytte deres personoplysninger fra en dataansvarlig til en anden. I denne forbindelse er det vigtigt, at deres forretningsmodel sikrer, at der ikke er uhensigtsmæssige incitamenter, der tilskynder enkeltpersoner til at stille flere data til rådighed for behandling, end hvad der er i den enkeltes egen interesse. Tjenesterne kan f.eks. omfatte rådgivning til enkeltpersoner om, hvilke former for anvendelse af deres data de eventuelt kan tillade, og kontrol af databrugernes indsats for at udvise fornøden omhu, inden disse får mulighed for at kontakte de registrerede, med det formål at undgå misbrug. For at sikre maksimal beskyttelse af personoplysninger og privatlivets fred kan det i visse situationer være ønskeligt at samle konkrete data inden for et "persondataområde", dvs. et særligt lagerområde for personoplysninger, så behandlingen kan finde sted inden for dette område, uden at der videregives nogen personoplysninger til tredjeparter.

(24)Datakooperativer søger at bistå enkeltpersoner med at træffe informerede valg, inden de giver deres samtykke til dataanvendelse, samt at påvirke beslutninger om, hvilke vilkår og betingelser for databrugerorganisationer der knyttes til dataanvendelse, og bilægge eventuelle tvister mellem medlemmerne af en gruppe om, hvordan data må anvendes, når dataene vedrører flere registrerede inden for samme gruppe. I denne sammenhæng er det vigtigt at erkende, at rettighederne i henhold til forordning (EU) 2016/679 kun kan udøves af enkeltpersoner og ikke kan tillægges eller delegeres til et datakooperativ. Datakooperativer kan også være til nytte for enmandsvirksomheder, mikrovirksomheder og små og mellemstore virksomheder, der med hensyn til viden om datadeling ofte kan sammenlignes med enkeltpersoner.

(25)For at øge tilliden til sådanne datadelingstjenester, navnlig hvad angår anvendelsen af data og overholdelsen af de betingelser, der pålægges af dataindehaverne, er det nødvendigt at skabe en lovramme på EU-plan, som fastsætter stærkt harmoniserede krav til pålideligheden af datadelingstjenester. Dette vil bidrage til at sikre, at dataindehavere og databrugere har bedre kontrol over adgangen til og anvendelsen af deres data i overensstemmelse med EU-retten. Både i forbindelse med datadeling mellem virksomheder indbyrdes og mellem virksomheder og forbrugere bør udbydere af datadelingstjenester tilbyde en ny "europæisk" form for datastyring ved i dataøkonomien at adskille levering, formidling og anvendelse af data. Udbydere af datadelingstjenester kan også stille særlig teknisk infrastruktur til rådighed med henblik på sammenkobling af dataindehavere og databrugere.

(26)En vigtig forudsætning for at styrke dataindehaveres og databrugeres tillid og kontrol i forbindelse med brug af datadelingstjenester er, at udbyderne af datadelingstjenester forholder sig neutralt til de data, der udveksles mellem dataindehavere og databrugere. Det er derfor nødvendigt, at udbydere af datadelingstjenester kun fungerer som formidlere af transaktionerne og ikke anvender de udvekslede data til andre formål. Dette vil også kræve strukturel adskillelse mellem datadelingstjenesten og eventuelle andre tjenester, der udbydes, så interessekonflikter undgås. Det betyder, at datadelingstjenesten bør leveres gennem en juridisk enhed, der er adskilt fra samme datadelingstjenesteudbyders andre aktiviteter. Udbydere af datadelingstjenester, der formidler udveksling af data mellem enkeltpersoner, der handler som dataindehavere, og juridiske personer, bør desuden have en tillidsforpligtelse over for enkeltpersonerne, så det sikres, at de handler i dataindehavernes bedste interesse.

(27)For at sikre, at udbydere af datadelingstjenester opfylder betingelserne i denne forordning, bør sådanne udbydere være etableret i Unionen. Alternativt bør en udbyder af datadelingstjenester, der ikke er etableret i Unionen, og som udbyder tjenester i Unionen, udpege en repræsentant. Dette er nødvendigt, da udbydere af datadelingstjenester behandler personoplysninger og kommercielt fortrolige data, hvilket kræver nøje overvågning af, om de opfylder betingelserne i denne forordning. Med henblik på at afgøre, om en udbyder af datadelingstjenester udbyder tjenester i Unionen, bør det fastslås, om det er åbenbart, at udbyderen har til hensigt at tilbyde tjenester til personer i en eller flere medlemsstater. Alene det forhold, at der i Unionen er adgang til datadelingstjenesteudbyderens websted eller til en e-mailadresse og andre kontaktoplysninger, eller at der anvendes et sprog, som almindeligvis anvendes i det tredjeland, hvor udbyderen er etableret, er utilstrækkeligt til at fastslå en sådan hensigt. Imidlertid kan faktorer såsom anvendelse af et sprog eller en valuta, der almindeligvis anvendes i en eller flere medlemsstater, med mulighed for at bestille tjenester på det pågældende sprog, eller omtale af brugere i Unionen gøre det åbenbart, at udbyderen af datadelingstjenester påtænker at tilbyde tjenester i Unionen. Repræsentanten bør handle på vegne af udbyderen af datadelingstjenester, og kompetente myndigheder bør kunne kontakte repræsentanten. Repræsentanten bør udpeges ved et skriftligt mandat fra udbyderen af datadelingstjenester til at handle på dennes vegne for så vidt angår dennes forpligtelser i medfør af denne forordning.

(28)Nærværende forordning bør ikke berøre forpligtelsen for udbydere af datadelingstjenester til at overholde forordning (EU) 2016/679 og tilsynsmyndighedernes ansvar for at sikre overholdelse af nævnte forordning. Hvis udbydere af datadelingstjenester er dataansvarlige eller databehandlere som defineret i forordning (EU) 2016/679, er de bundet af reglerne i nævnte forordning. Nærværende forordning bør heller ikke berøre anvendelsen af konkurrencelovgivningen.

(29)Udbydere af datadelingstjenester bør også træffe foranstaltninger til at sikre overholdelse af konkurrencelovgivningen. Datadeling kan skabe forskellige former for effektivitetsgevinster, men kan også føre til konkurrencebegrænsninger, navnlig når datadelingen omfatter deling af konkurrencemæssigt følsomme oplysninger. Dette gælder især i situationer, hvor datadeling sætter virksomhederne i stand til at få kendskab til deres nuværende eller potentielle konkurrenters markedsstrategier. Konkurrencemæssigt følsomme oplysninger omfatter typisk oplysninger om fremtidige priser, produktionsomkostninger, mængder, omsætning, salg eller kapacitet.

(30)Der bør indføres en anmeldelsesprocedure for datadelingstjenester for at sikre, at datastyring i Unionen er baseret på en pålidelig udveksling af data. Fordelene ved et pålideligt miljø opnås bedst ved at fastsætte en række krav til udbud af datadelingstjenester, men uden at der kræves nogen udtrykkelig afgørelse eller administrativ handling fra den kompetente myndigheds side om udbud af sådanne tjenester.

(31)For at støtte et effektivt udbud af tjenester på tværs af grænserne bør udbydere af datadelingstjenester kun forpligtes til at sende en anmeldelse til den udpegede kompetente myndighed i den medlemsstat, hvor udbyderen har sit hovedsæde, eller hvor dennes retlige repræsentant er etableret. En sådan anmeldelse bør blot bestå i en erklæring om, at udbyderen har til hensigt at udbyde sådanne tjenester, og bør kun suppleres med de oplysninger, der er fastsat i denne forordning.

(32)En datadelingstjenesteudbyders hovedsæde i Unionen bør være den medlemsstat, hvor udbyderen har sin centrale administration i Unionen. Hovedsædet bør fastslås ud fra objektive kriterier og bør indebære en effektiv og faktisk udøvelse af ledelsesaktiviteter.

(33)De kompetente myndigheder, der udpeges til at overvåge, at datadelingstjenester opfylder kravene i denne forordning, bør vælges på grundlag af deres kapacitet og ekspertise inden for horisontal eller sektorspecifik datadeling, og de bør varetage deres opgaver på en uafhængig, gennemsigtig og upartisk måde. Medlemsstaterne bør underrette Kommissionen om identiteten af de udpegede kompetente myndigheder.

(34)Den anmeldelsesramme, der fastsættes i denne forordning, bør ikke berøre specifikke yderligere regler for udbud af datadelingstjenester, der finder anvendelse gennem sektorspecifik lovgivning.

(35)Der er et stort potentiale i anvendelsen af data, som registrerede frivilligt stiller til rådighed på grundlag af deres samtykke eller, når det drejer sig om andre data end personoplysninger, som juridiske personer stiller til rådighed med henblik på almennyttige formål. Sådanne formål omfatter bl.a. sundhedspleje, bekæmpelse af klimaændringer, forbedring af mobiliteten, lettelse af udarbejdelsen af officielle statistikker og forbedring af leveringen af offentlige tjenesteydelser. Støtte til videnskabelig forskning, herunder f.eks. teknologisk udvikling og demonstration, grundforskning, anvendt forskning og privatfinansieret forskning, bør også betragtes som almennyttige formål. Denne forordning har til formål at bidrage til, at der skabes samlinger af data, der stilles til rådighed på grundlag af dataaltruisme, som har en tilstrækkelig størrelse til at muliggøre dataanalyse og maskinlæring, herunder på tværs af grænserne i Unionen.

(36)Retlige enheder, der søger at støtte almennyttige formål ved at stille relevante data til rådighed på grundlag af dataaltruisme i stor skala, og som opfylder visse krav, bør kunne registreres som "dataaltruistiske organisationer, der er anerkendt i Unionen". Dette kan føre til, at der etableres datalagre. Da en sådan registrering i en medlemsstat vil være gyldig i hele Unionen, vil dette lette anvendelsen af data på tværs af grænserne i Unionen og fremvæksten af datasamlinger, der dækker flere medlemsstater. I denne sammenhæng kan registrerede give deres samtykke til specifikke databehandlingsformål, men de kan også give samtykke til databehandling inden for bestemte forskningsområder eller dele af forskningsprojekter, da det ofte ikke er muligt fuldt ud at afgrænse formålet med behandling af personoplysninger til videnskabelige forskningsformål på tidspunktet for dataindsamlingen. Juridiske personer kan give tilladelse til behandling af andre data end personoplysninger, som de er i besiddelse af, til en række formål, der ikke ligger fast på det tidspunkt, hvor tilladelsen gives. Registrerede enheders frivillige overholdelse af et sæt krav bør skabe tillid til, at de data, der stilles til rådighed til altruistiske formål, tjener et almennyttigt formål. Tilliden bør navnlig være en følge af, at de registrerede enheder er etableret i Unionen, samt af kravet om, at de har nonprofitkarakter, af krav om gennemsigtighed og af specifikke foranstaltninger til beskyttelse af registreredes og virksomheders rettigheder og interesser. Desuden bør der indføres yderligere beskyttelsesforanstaltninger såsom mulighed for at behandle relevante oplysninger i et sikkert databehandlingsmiljø, der drives af den registrerede enhed, tilsynsmekanismer såsom etiske råd eller råd, der skal sikre, at dataansvarlige opretholder høje standarder for videnskabelig etik, effektive tekniske midler til at ændre et samtykke eller trække det tilbage på et hvilket som helst tidspunkt på grundlag af databehandleres oplysningsforpligtelser i henhold til forordning (EU) 2016/679 samt midler, der sætter de registrerede i stand til at holde sig ajour om anvendelsen af de data, de har stillet til rådighed.

(37)Denne forordning berører ikke oprettelse, organisation og drift af enheder, der engagerer sig i dataaltruisme i henhold til national ret. Den bygger på nationale lovkrav om, at en nonprofitorganisations virke i en medlemsstat skal være i overensstemmelse med national ret. Enheder, der opfylder kravene i denne forordning, bør kunne anvende betegnelsen "dataaltruistisk organisation, der er anerkendt i Unionen".

(38)Dataaltruistiske organisationer, der er anerkendt i Unionen, bør kunne indsamle relevante data direkte fra fysiske og juridiske personer eller behandle data, der er indsamlet af andre. Dataaltruisme vil typisk være baseret på de registreredes samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning (EU) 2016/679 samt på overensstemmelse med kravene om lovligt samtykke i samme forordnings artikel 7. I overensstemmelse med forordning (EU) 2016/679 kan videnskabelige forskningsformål understøttes af samtykke til bestemte videnskabelige forskningsområder, når dette er i overensstemmelse med anerkendte etiske standarder for videnskabelig forskning, eller udelukkende til nærmere afgrænsede forskningsområder eller dele af forskningsprojekter. I artikel 5, stk. 1, litra b), i forordning (EU) 2016/679 præciseres det, at viderebehandling til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, ikke anses for at være uforenelig med de oprindelige formål.

(39)For at skabe yderligere retssikkerhed i forbindelse med meddelelse og tilbagetrækning af samtykke, navnlig i forbindelse med videnskabelig forskning og statistisk anvendelse af data, der stilles til rådighed på et altruistisk grundlag, bør der udvikles en europæisk samtykkeformular for dataaltruisme til brug i forbindelse med altruistisk datadeling. En sådan formular bør bidrage til at tydeliggøre for de registrerede, at deres oplysninger vil blive tilgået og anvendt i overensstemmelse med deres samtykke og også i fuld overensstemmelse med databeskyttelsesreglerne. Den kan også anvendes til at strømline virksomheders dataaltruisme og skabe en mekanisme, der gør det muligt for virksomheder at trække deres tilladelse til at anvende dataene tilbage. For at tage hensyn til særlige forhold i de enkelte sektorer, herunder ud fra et databeskyttelsesperspektiv, bør det være muligt at tilpasse den europæiske samtykkeformular for dataaltruisme til forskellige sektorer.

(40)For at sikre en vellykket gennemførelse af rammen for datastyring bør der oprettes et europæisk datainnovationsråd i form af en ekspertgruppe. Rådet bør bestå af repræsentanter for medlemsstaterne, Kommissionen, relevante dataområder og specifikke sektorer (f.eks. sundhed, landbrug, transport og statistik). Det Europæiske Databeskyttelsesråd bør opfordres til at udpege en repræsentant til Det Europæiske Datainnovationsråd.

(41)Datainnovationsrådet bør bistå Kommissionen med at koordinere nationale praksisser og politikker vedrørende de emner, der er omfattet af denne forordning, og med at støtte tværsektoriel dataanvendelse ved hjælp af principperne i den europæiske interoperabilitetsramme (EIF) og gennem brug af standarder og specifikationer (f.eks. centrale glossarer 44 og CEF-byggesten 45 ), uden at dette berører standardiseringsarbejdet inden for specifikke sektorer eller områder. Arbejdet med teknisk standardisering kan omfatte opstilling af prioriteter for udvikling af standarder og fastlæggelse og vedligeholdelse af et sæt tekniske og juridiske standarder for videregivelse af data mellem to databehandlingsmiljøer, som gør det muligt at organisere dataområder uden at gøre brug af en formidler. Datainnovationsrådet bør samarbejde med sektorspecifikke organer, netværk eller ekspertgrupper eller andre tværsektorielle organisationer, der beskæftiger sig med videreanvendelse af data. Hvad angår dataaltruisme bør Datainnovationsrådet bistå Kommissionen med at udarbejde samtykkeformularen for dataaltruisme i samråd med Det Europæiske Databeskyttelsesråd.

(42)For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser til at udarbejde en europæisk samtykkeformular for dataaltruisme. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 46 .

(43)For at der kan tages hensyn til den særlige karakter af bestemte kategorier af data, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om Den Europæiske Unions funktionsmåde, så der i specifikke EU-retsakter, der vedtages efter en lovgivningsprocedure, kan fastsættes særlige betingelser for overførsel til tredjelande af bestemte kategorier af andre data end personoplysninger, der anses for at være meget følsomme. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning. For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.

(44)Denne forordning bør ikke berøre anvendelsen af konkurrencereglerne, særlig artikel 101 og 102 i traktaten om Den Europæiske Unions funktionsmåde. Foranstaltningerne i denne forordning bør ikke anvendes til at begrænse konkurrencen på en måde, der er i strid med traktaten om Den Europæiske Unions funktionsmåde. Dette gælder navnlig reglerne for udveksling af konkurrencemæssigt følsomme oplysninger mellem faktiske eller potentielle konkurrenter gennem datadelingstjenester.

(45)Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 47 og afgav udtalelse den […].

(46)Denne forordning respekterer de grundlæggende rettigheder og de principper, som navnlig er anerkendt i Den Europæiske Unions charter om grundlæggende rettigheder, herunder retten til privatlivets fred, beskyttelsen af personoplysninger, friheden til at oprette og drive egen virksomhed, ejendomsretten og integration af mennesker med handicap —

VEDTAGET DENNE FORORDNING:

Kapitel I 
Almindelige bestemmelser

Artikel 1
Genstand og anvendelsesområde

(1)Ved denne forordning fastsættes:

(a) betingelser for videreanvendelse inden for Unionen af bestemte kategorier af data, som offentlige myndigheder er i besiddelse af

(b) en anmeldelses- og tilsynsramme for udbud af datadelingstjenester

(c) en ramme for frivillig registrering af enheder, der indsamler og behandler data, som stilles til rådighed til altruistiske formål.

(2)Denne forordning berører ikke specifikke bestemmelser i andre EU-retsakter om adgang til eller videreanvendelse af bestemte kategorier af data eller om krav i forbindelse med behandling af personoplysninger eller andre data end personoplysninger. Hvis en sektorspecifik EU-retsakt kræver, at offentlige myndigheder, udbydere af datadelingstjenester eller registrerede enheder, der tilbyder dataaltruismetjenester, skal opfylde særlige supplerende tekniske, administrative eller organisatoriske krav, herunder gennem en tilladelses- eller certificeringsordning, finder disse bestemmelser i den sektorspecifikke EU-retsakt også anvendelse.

Artikel 2
Definitioner

I denne forordning forstås ved:

(1)"data": enhver digital repræsentation af handlinger, kendsgerninger eller oplysninger og enhver samling af sådanne handlinger, kendsgerninger eller oplysninger, herunder i form af lyd- eller videooptagelser eller audiovisuelle optagelser

(2)"videreanvendelse": fysiske eller juridiske personers brug af data, som offentlige myndigheder er i besiddelse af, til andre kommercielle eller ikkekommercielle formål end det oprindelige formål i forbindelse med den offentlige opgave, som dataene blev frembragt til, bortset fra udveksling af data mellem offentlige myndigheder alene som led i varetagelse af deres offentlige opgaver

(3)"andre data end personoplysninger": andre data end personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679

(4)"metadata": data indsamlet om en fysisk eller juridisk persons aktiviteter med henblik på udbud af en datadelingstjeneste, herunder dato og tidspunkt for aktiviteten, geolokaliseringsdata, aktivitetens varighed og forbindelser til andre fysiske eller juridiske personer, der etableres af den person, der anvender tjenesten

(5)"dataindehaver": en juridisk person eller en registreret person, som i overensstemmelse med gældende EU-ret eller national ret har ret til at give indsigt i eller videregive bestemte personoplysninger eller andre data end personoplysninger, som er under vedkommendes kontrol

(6)"databruger": en fysisk eller juridisk person, der har lovlig adgang til bestemte personoplysninger eller andre data end personoplysninger, og som har tilladelse til at anvende disse oplysninger til kommercielle eller ikkekommercielle formål

(7)"datadeling": en dataindehavers tilrådighedsstillelse af data for en databruger med henblik på fælles eller enkeltvis brug af de delte data på grundlag af frivillige aftaler, enten direkte eller gennem en formidler

(8)"adgang": en databrugers behandling af data, der stilles til rådighed af en dataindehaver, i overensstemmelse med bestemte tekniske, juridiske eller organisatoriske krav, uden at dette nødvendigvis indebærer overførsel eller download af sådanne data

(9)"hovedsæde" for en retlig enhed: stedet, hvor enheden har sin centrale administration i Unionen

(10)"dataaltruisme": registrerede personers samtykke til behandling af personoplysninger, der vedrører dem, eller andre dataindehaveres tilladelse til, at andre data end personoplysninger, som de er i besiddelse af, anvendes uden modydelse med henblik på almennyttige formål, f.eks. videnskabelige formål eller for at forbedre offentlige tjenester

(11)"offentlig myndighed": staten, regionale eller lokale myndigheder, offentligretlige organer, sammenslutninger af en eller flere af sådanne myndigheder eller et eller flere af sådanne offentligretlige organer

(12)"offentligretlige organer": organer med alle følgende karakteristika:

(a)de er oprettet specielt med henblik på at opfylde almennyttige formål og har ikke industriel eller kommerciel karakter

(b)de har status som juridisk person

(c)de finansieres for størstedelens vedkommende af staten, regionale eller lokale myndigheder eller af andre offentligretlige organer eller er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer, eller de har et administrations-, ledelses- eller tilsynsorgan, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale eller lokale myndigheder eller andre offentligretlige organer

(13)"offentlig virksomhed": enhver virksomhed, som de offentlige myndigheder direkte eller indirekte kan have bestemmende indflydelse på som følge af ejerforhold, kapitalindskud eller de regler, der gælder for virksomheden; der antages at foreligge bestemmende indflydelse fra de offentlige myndigheders side i alle de følgende tilfælde, hvor de pågældende myndigheder direkte eller indirekte:

(a)besidder majoriteten af virksomhedens tegnede kapital

(b)råder over flertallet af de stemmer, som er knyttet til de kapitalandele, som virksomheden har udstedt

(c)kan udpege mere end halvdelen af medlemmerne i virksomhedens administrations-, ledelses- eller tilsynsorgan

(14)"sikkert databehandlingsmiljø": et fysisk eller virtuelt miljø samt organisatoriske midler, der gør det muligt at videreanvende data på en sådan måde, at operatøren af det sikre databehandlingsmiljø kan fastslå og overvåge alle databehandlingsaktiviteter, herunder visning, lagring, download og eksport af data samt beregning af afledte data ved hjælp af algoritmer.

(15)"repræsentant": enhver fysisk eller juridisk person, der er etableret i Unionen, og som udtrykkeligt er udpeget til at handle på vegne af en udbyder af datadelingstjenester, der ikke er etableret i Unionen, eller på vegne af en enhed, der ikke er etableret i Unionen, og som med henblik på almennyttige formål indsamler data, der stilles til rådighed af fysiske eller juridiske personer på grundlag af dataaltruisme; den nationale kompetente myndighed kan henvende sig til repræsentanten i stedet for til udbyderen af datadelingstjenester eller enheden, for så vidt angår den pågældende udbyders eller enheds forpligtelser i henhold til denne forordning.

Kapitel II 
Videreanvendelse af bestemte kategorier af data i offentlige myndigheders besiddelse

Artikel 3
Kategorier af data

(1)Dette kapitel finder anvendelse på data, som offentlige myndigheder er i besiddelse af, og som er beskyttet af hensyn til:

(a)forretningshemmelighed

(b)statistisk fortrolighed

(c)beskyttelse af tredjeparters intellektuelle ejendomsret

(d)beskyttelse af personoplysninger.

(2)Dette kapitel finder ikke anvendelse på:

(a)data, som offentlige virksomheder er i besiddelse af

(b)data, som public service-radio- og -tv-virksomheder, deres datterselskaber og andre organer eller deres underorganer er i besiddelse af i forbindelse med opfyldelse af public service-radio- og -tv-spredningsopgaver

(c)data, som kulturinstitutioner og uddannelsesinstitutioner er i besiddelse af

(d)data, der er beskyttet af hensyn til den nationale sikkerhed, forsvaret eller den offentlige sikkerhed

(e)data, hvis tilvejebringelse ikke er omfattet af de pågældende offentlige myndigheders offentlige opgaver som fastsat ved lov eller andre retsforskrifter i den berørte medlemsstat eller i mangel heraf som fastlagt i overensstemmelse med almindelig administrativ praksis i denne medlemsstat, forudsat at de offentlige opgavers rækkevidde er gennemsigtig og underlagt kontrol.

(3)Bestemmelserne i dette kapitel forpligter ikke offentlige myndigheder til at tillade videreanvendelse af data og fritager heller ikke offentlige myndigheder for deres fortrolighedsforpligtelser. Dette kapitel berører ikke EU-retten og national ret eller internationale aftaler, som Unionen eller medlemsstaterne er part i, om beskyttelse af de kategorier af data, der er omhandlet i stk. 1. Dette kapitel berører ikke EU-retten og national ret om aktindsigt og offentlige myndigheders forpligtelser i henhold til EU-retten og national ret til at tillade videreanvendelse af data.

Artikel 4
Forbud mod eneretsaftaler

(1)Aftaler eller anden praksis vedrørende videreanvendelse af data, som offentlige myndigheder er i besiddelse af, og som omfatter de kategorier af data, der er omhandlet i artikel 3, stk. 1, må ikke tildele enerettigheder eller have til formål eller til følge at tildele sådanne enerettigheder eller begrænse tilgængeligheden af data til videreanvendelse for andre enheder end parterne i sådanne aftaler eller anden praksis.

(2)Uanset stk. 1 kan der tildeles eneret til at videreanvende de data, der er omhandlet i nævnte stykke, i det omfang det er nødvendigt for leveringen af en tjenesteydelse eller et produkt, der opfylder et almennyttigt formål.

(3)En sådan eneret tildeles inden for rammerne af en relevant tjenesteydelses- eller koncessionskontrakt i overensstemmelse med gældende EU-regler og nationale regler for offentlige udbud og koncessionstildeling eller, i tilfælde af en kontrakt til en værdi, hvor hverken EU-regler eller nationale regler om offentlige udbud og koncessionstildeling finder anvendelse, i overensstemmelse med principperne om gennemsigtighed, ligebehandling og ikkediskriminering på grundlag af nationalitet.

(4)I alle tilfælde, der ikke er omfattet af stk. 3, og hvor det almennyttige formål ikke kan opfyldes uden tildeling af en eneret, gælder principperne om gennemsigtighed, ligebehandling og ikkediskriminering på grundlag af nationalitet.

(5)Varigheden af eneretten til videreanvendelse af data må ikke overstige tre år. Når der indgås kontrakt, skal varigheden af den tildelte kontrakt svare til eneretsperioden.

(6)Tildelingen af eneret i henhold til stk. 2-5, herunder årsagerne til, at det er nødvendigt at tildele en sådan ret, skal være gennemsigtig og offentliggøres på internettet, uanset om der eventuelt er offentliggjort oplysninger om tildeling af en offentlig kontrakt eller en koncessionskontrakt.

(7)Aftaler eller anden praksis, der er omfattet af forbuddet i stk. 1, som ikke opfylder betingelserne i stk. 2, og som er indgået inden datoen for denne forordnings ikrafttræden, ophører ved kontraktens udløb og under alle omstændigheder senest tre år efter datoen for denne forordnings ikrafttræden.

Artikel 5
Betingelser for videreanvendelse

(1)Offentlige myndigheder, der i henhold til national ret har kompetence til at give eller nægte adgang til en eller flere af de kategorier af data, der er omhandlet i artikel 3, stk. 1, med henblik på videreanvendelse, offentliggør betingelserne for tilladelsen af en sådan videreanvendelse. De kan i forbindelse med denne opgave bistås af de kompetente organer, der er omhandlet i artikel 7, stk. 1.

(2)Betingelserne for videreanvendelse skal være ikkediskriminerende, stå i et rimeligt forhold til formålet og være objektivt begrundede med hensyn til kategorier af data, formål med videreanvendelsen og karakteren af de data, som det er tilladt at videreanvende. Disse betingelser må ikke benyttes til at begrænse konkurrencen.

(3)Offentlige myndigheder kan kræve, at kun forbehandlede data videreanvendes, hvis formålet med en sådan forbehandling er at anonymisere eller pseudonymisere personoplysninger eller slette fortrolige forretningsoplysninger, herunder forretningshemmeligheder.

(4)Offentlige myndigheder kan pålægge krav om

(a)at data tilgås og videreanvendes i et sikkert databehandlingsmiljø, der stilles til rådighed af og kontrolleres af den offentlige sektor

(b)at data tilgås og videreanvendes i de fysiske lokaler, hvor det sikre databehandlingsmiljø befinder sig, hvis der ikke kan tillades fjernadgang uden at bringe tredjeparters rettigheder og interesser i fare.

(5)De offentlige myndigheder fastsætter betingelser, der bevarer integriteten af de tekniske systemers funktion i det anvendte sikre databehandlingsmiljø. Den offentlige myndighed skal kunne kontrollere resultaterne af videreanvenderens behandling af data og forbeholde sig ret til at forbyde anvendelsen af resultater, der indeholder oplysninger, der bringer tredjeparters rettigheder og interesser i fare.

(6)Hvis videreanvendelse af data ikke kan tillades i overensstemmelse med forpligtelserne i stk. 3-5, og der ikke er noget andet retsgrundlag for at videregive data i henhold til forordning (EU) 2016/679, støtter den offentlige myndighed videreanvendere i at indhente samtykke fra de registrerede og/eller tilladelse fra de juridiske enheder, hvis rettigheder og interesser kan blive berørt af en sådan videreanvendelse, når det er muligt uden uforholdsmæssigt store omkostninger for den offentlige sektor. De kan i forbindelse med denne opgave bistås af de kompetente organer, der er omhandlet i artikel 7, stk. 1.

(7)Videreanvendelse af data er kun tilladt i overensstemmelse med intellektuelle ejendomsrettigheder. De rettigheder for en databases fremstiller, der er fastsat i artikel 7, stk. 1, i direktiv 96/9/EF, må ikke udøves af offentlige myndigheder for at forhindre videreanvendelsen af data eller sætte grænser for videreanvendelsen, der er mere restriktive end dem, der er fastsat i nærværende forordning.

(8)Når de data, der er anmodet om, betragtes som fortrolige i overensstemmelse med EU-retten eller national ret om forretningshemmeligheder, sikrer de offentlige myndigheder, at de fortrolige oplysninger ikke videregives som følge af videreanvendelsen.

(9)Kommissionen kan vedtage gennemførelsesretsakter, hvori det fastsættes, at tredjelandes retlige, tilsynsmæssige og håndhævelsesmæssige rammer:

(a)sikrer beskyttelse af intellektuel ejendomsret og forretningshemmeligheder på en måde, som i det væsentlige svarer til den beskyttelse, der sikres i henhold til EU-retten

(b)anvendes og håndhæves effektivt, og

(c)omfatter effektive retsmidler.

Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 29, stk. 2.

(10)Offentlige myndigheder må kun videregive fortrolige data eller data, der er beskyttet af intellektuelle ejendomsrettigheder, til en videreanvender, som har til hensigt at overføre dataene til et andet tredjeland end et land, der er udpeget i overensstemmelse med stk. 9, hvis videreanvenderen forpligter sig til:

(a)at overholde de forpligtelser, der er pålagt i henhold til stk. 7-8, også efter at oplysningerne er overført til tredjelandet, og

(b)at anerkende domstolenes kompetence i den medlemsstat, hvor den offentlige myndighed er beliggende, for så vidt angår enhver tvist vedrørende overholdelsen af forpligtelsen i litra a).

(11)Når det fastsættes i specifikke EU-retsakter, som er vedtaget efter en lovgivningsprocedure, at visse kategorier af andre data end personoplysninger, som offentlige myndigheder er i besiddelse af, anses for at være meget følsomme med henblik på denne artikel, tillægges Kommissionen beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 28, der supplerer denne forordning ved at fastsætte særlige betingelser for overførsler til tredjelande. Betingelserne for overførsel til tredjelande skal baseres på karakteren af de kategorier af data, der er fastlagt i EU-retsakten, og årsagerne til, at de anses for at være meget følsomme, og de skal være ikkediskriminerende og begrænsede til, hvad der er nødvendigt for at nå de offentlige politiske mål, der er fastlagt i EU-retten, såsom sikkerhed og folkesundhed; de skal også baseres på risiciene for genidentifikation af anonymiserede data for registrerede i overensstemmelse med Unionens internationale forpligtelser. De kan omfatte vilkårene for overførsler eller tekniske ordninger i den henseende, begrænsninger for videreanvendelsen af data i tredjelande eller for, hvilke kategorier af personer der har ret til at overføre sådanne oplysninger til tredjelande, og i særlige tilfælde begrænsninger i forbindelse med overførsler til tredjelande.

(12)Den fysiske eller juridiske person, der har fået tildelt ret til at videreanvende andre data end personoplysninger må kun overføre oplysningerne til de tredjelande, der opfylder kravene i stk. 9-11.

(13)Hvis videreanvenderen har til hensigt at overføre andre data end personoplysninger til et tredjeland, underretter den offentlige myndighed dataindehaveren om overførslen af data til det pågældende tredjeland.

Artikel 6
Gebyrer

(1)Offentlige myndigheder, der tillader videreanvendelse af de kategorier af data, der er omhandlet i artikel 3, stk. 1, kan opkræve gebyrer for tilladelsen til at videreanvende disse data.

(2)Eventuelle gebyrer skal være ikkediskriminerende, stå i et rimeligt forhold til formålet og være objektivt begrundede, og de må ikke begrænse konkurrencen.

(3)De offentlige myndigheder sikrer, at eventuelle gebyrer kan betales online via bredt tilgængelige grænseoverskridende betalingstjenester uden forskelsbehandling på grundlag af, hvor betalingstjenesteudbyderen er hjemmehørende, hvor betalingsinstrumentet er udstedt, eller hvor betalingskontoen er placeret i Unionen.

(4)Når offentlige myndigheder anvender gebyrer, træffer de foranstaltninger til at tilskynde til videreanvendelse af de kategorier af data, der er omhandlet i artikel 3, stk. 1, til ikkekommercielle formål og af små og mellemstore virksomheder i overensstemmelse med statsstøttereglerne.

(5)Gebyrerne beregnes på grundlag af de omkostninger, der er forbundet med behandlingen af anmodninger om videreanvendelse af de kategorier af data, der er omhandlet i artikel 3, stk. 1. Metoden til beregning af gebyrer offentliggøres på forhånd.

(6)Den offentlige myndighed offentliggør en beskrivelse af de vigtigste omkostningskategorier og de regler, der anvendes til fordeling af omkostningerne.

Artikel 7
Kompetente organer

(1)Medlemsstaterne udpeger et eller flere kompetente organer, som kan være sektorspecifikke, til at støtte de offentlige myndigheder, der giver adgang til de kategorier af data, der er omhandlet i artikel 3, stk. 1, med henblik på videreanvendelse, i forbindelse med udførelsen af denne opgave.

(2)Den støtte, der er nævnt i stk. 1, omfatter, hvor det er nødvendigt:

(a)teknisk støtte ved at tilvejebringe et sikkert databehandlingsmiljø for at give adgang til data med henblik på videreanvendelse

(b)teknisk støtte til anvendelsen af afprøvede teknikker, der sikrer, at databehandlingen foretages på en måde, der beskytter privatlivets fred for så vidt angår de oplysninger, der er indeholdt i de data, som det er tilladt at videreanvende, herunder teknikker til pseudonymisering, anonymisering, generalisering, undertrykkelse og randomisering af personoplysninger

(c)bistand til de offentlige myndigheder, hvor det er relevant, i forbindelse med videreanvenderes indhentning af samtykke eller tilladelse til videreanvendelse med altruistiske og andre formål i overensstemmelse med dataindehavernes specifikke afgørelser, herunder vedrørende den eller de jurisdiktioner, hvor databehandlingen efter planen skal finde sted

(d)bistand til offentlige myndigheder med henblik på at vurdere, om de tilsagn, som en videreanvender har givet, er tilstrækkelige i henhold til artikel 5, stk. 10.

(3)De kompetente organer kan også få til opgave at give adgang til de kategorier af data, der er omhandlet i artikel 3, stk. 1, med henblik på videreanvendelse i henhold til EU-retten eller national ret om en sådan adgang. Artikel 4, 5, 6 og artikel 8, stk. 3, finder anvendelse på sådanne kompetente organer, når de udfører deres opgave med at give eller nægte adgang med henblik på videreanvendelse.

(4)Det eller de kompetente organer skal have tilstrækkelig retlig og teknisk kapacitet og ekspertise til at kunne overholde relevant EU-ret eller national ret vedrørende adgangsordninger for de kategorier af data, der er omhandlet i artikel 3, stk. 1.

(5)Senest den [datoen for denne forordnings anvendelse] meddeler medlemsstaterne Kommissionen identiteten af de kompetente organer, der er udpeget i henhold til stk. 1. De meddeler også Kommissionen eventuelle senere ændringer af disse organers identitet.

Artikel 8
Centralt informationssted

(1)Medlemsstaterne sikrer, at alle relevante oplysninger om anvendelsen af artikel 5 og 6 er tilgængelige via et centralt informationssted.

(2)Det centrale informationssted modtager anmodninger om videreanvendelse af de kategorier af data, der er omhandlet i artikel 3, stk. 1, og videregiver dem til de kompetente offentlige myndigheder eller til de kompetente organer, der er omhandlet i artikel 7, stk. 1, hvis det er relevant. Det centrale informationssted stiller et elektronisk register over tilgængelige dataressourcer til rådighed med relevante oplysninger, der beskriver karakteren af de tilgængelige data.

(3)Anmodninger om videreanvendelse af de kategorier af data, der er omhandlet i artikel 3, stk. 1, imødekommes eller afslås af de kompetente offentlige myndigheder eller de kompetente organer, der er omhandlet i artikel 7, stk. 1, inden for en rimelig frist og under alle omstændigheder inden for to måneder efter datoen for anmodningen.

(4)Enhver fysisk eller juridisk person, der berøres af en afgørelse truffet af en offentlig myndighed eller et kompetent organ, har ret til effektive retsmidler over for en sådan afgørelse ved domstolene i den medlemsstat, hvor det relevante organ er beliggende.

Kapitel iii 
Krav til datadelingstjenester

Artikel 9
Udbydere af datadelingstjenester

(1)Udbud af følgende datadelingstjenester er underlagt en anmeldelsesprocedure:

(a)formidlingstjenester mellem dataindehavere, som er juridiske personer, og potentielle databrugere, herunder tilrådighedsstillelse af de tekniske eller andre midler, der muliggør sådanne tjenester disse tjenester kan omfatte bilateral eller multilateral dataudveksling eller oprettelse af platforme eller databaser, der muliggør udveksling eller fælles udnyttelse af data, samt opbygning af en særlig infrastruktur til sammenkobling af dataindehavere og databrugere

(b)formidlingstjenester mellem registrerede, der ønsker at stille deres personoplysninger til rådighed, og potentielle databrugere, herunder tilrådighedsstillelse af de tekniske eller andre midler, der muliggør sådanne tjenester, i forbindelse med udøvelsen af de rettigheder, der er fastsat i forordning (EU) 2016/679

(c)tjenester fra datakooperativer, dvs. tjenester, der understøtter registrerede, enmandsvirksomheder eller mikro-, små og mellemstore virksomheder, som er medlemmer af kooperativet, eller som giver kooperativet beføjelse til at forhandle vilkår og betingelser for databehandling, inden de giver deres samtykke hertil, således at de kan træffe informerede valg, inden de giver samtykke til databehandling, og tjenester, der tilvejebringer mekanismer til udveksling af synspunkter om, hvilke formål med og betingelser for databehandling der bedst kan repræsentere de registreredes eller de juridiske personers interesser.

(2)Dette kapitel berører ikke anvendelsen af anden EU-ret og national ret på udbydere af datadelingstjenester, herunder tilsynsmyndighedernes beføjelser til at sikre overholdelse af gældende ret, navnlig med hensyn til beskyttelse af personoplysninger og konkurrencelovgivning.

Artikel 10
Anmeldelse af udbud af datadelingstjenester

(1)Enhver udbyder af datadelingstjenester, der har til hensigt at udbyde de tjenester, der er omhandlet i artikel 9, stk. 1, skal indgive en anmeldelse til den kompetente myndighed, der er omhandlet i artikel 12.

(2)Med henblik på denne forordning anses en udbyder af datadelingstjenester, der er etableret i mere end én medlemsstat, for at høre under den medlemsstats jurisdiktion, hvor den har sit hovedsæde.

(3)En udbyder af datadelingstjenester, der ikke er etableret i Unionen, men udbyder de tjenester, der er omhandlet i artikel 9, stk. 1, i Unionen, udpeger en retlig repræsentant i en af de medlemsstater, hvor disse tjenester udbydes. En udbyder anses for at høre under den medlemsstats jurisdiktion, hvor den retlige repræsentant er etableret.

(4)Efter anmeldelse kan udbyderen af datadelingstjenester påbegynde aktiviteten på de betingelser, der er fastsat i dette kapitel.

(5)Anmeldelsen giver udbyderen ret til at udbyde datadelingstjenester i alle medlemsstater.

(6)Anmeldelsen skal indeholde følgende oplysninger:

(a)navnet på datadelingstjenesteudbyderen

(b)udbyderens retlige status, retlige form og registreringsnummer, hvis udbyderen er optaget i et handelsregister eller et andet lignende offentligt register

(c)adressen på udbyderens hovedsæde i Unionen, hvis et sådant findes, og, hvor det er relevant, på eventuelle filialer i en anden medlemsstat eller på den retlige repræsentant, der er udpeget i henhold til stk. 3

(d)et websted med oplysninger om udbyderen og aktiviteterne, hvor et sådant findes

(e)udbyderens kontaktpersoner og kontaktoplysninger

(f)en beskrivelse af de tjenester, som udbyderen har til hensigt at levere

(g)den forventede begyndelsesdato for aktiviteten

(h)de medlemsstater, hvor udbyderen har til hensigt at udbyde tjenesterne.

(7)Efter anmodning fra udbyderen udsteder den kompetente myndighed inden for en uge en standardiseret erklæring, der bekræfter, at udbyderen har indgivet den i stk. 4 omhandlede anmeldelse.

(8)Den kompetente myndighed videresender uden ophold hver anmeldelse elektronisk til medlemsstaternes kompetente nationale myndigheder.

(9)Den kompetente myndighed underretter Kommissionen om hver ny anmeldelse. Kommissionen fører et register over udbydere af datadelingstjenester.

(10)Den kompetente myndighed kan opkræve gebyrer. Sådanne gebyrer skal stå i et rimeligt forhold til formålet, være objektive og være baseret på de administrative omkostninger, der er forbundet med den kompetente myndigheds overvågning af overholdelsen af reglerne og andre markedskontrolaktiviteter i forbindelse med anmeldelser af datadelingstjenester.

(11)Hvis en udbyder af datadelingstjenester indstiller sine aktiviteter, underretter den inden for 15 dage den relevante kompetente myndighed, der er fastsat i henhold til stk. 1, 2 og 3. Den kompetente myndighed videresender uden ophold hver underretning elektronisk til de nationale kompetente myndigheder i medlemsstaterne og til Kommissionen.

Artikel 11
Betingelser for at udbyde datadelingstjenester

Udbud af datadelingstjenester som omhandlet i artikel 9, stk. 1, er underlagt følgende betingelser:

(1)udbyderen må ikke anvende de data, som den udbyder tjenester for, til andre formål end at stille dem til rådighed for databrugere, og datadelingstjenester skal placeres i en særskilt retlig enhed

(2)de metadata, der indsamles i forbindelse med leveringen af datadelingstjenesten, må kun anvendes til udvikling af denne tjeneste

(3)udbyderen skal sikre, at proceduren for adgang til vedkommendes tjeneste er retfærdig, gennemsigtig og ikkediskriminerende for både dataindehavere og databrugere, herunder med hensyn til priser

(4)udbyderen skal muliggøre udveksling af data i det format, hvori de modtages fra dataindehaveren, og må kun konvertere dataene til specifikke formater for at øge interoperabiliteten inden for og på tværs af sektorer, eller hvis databrugeren anmoder herom, eller hvis det er påkrævet i henhold til EU-retten, eller for at sikre harmonisering med internationale eller europæiske datastandarder

(5)udbyderen skal indføre procedurer, der skal forhindre svigagtig praksis og misbrug i forbindelse med adgangen til data, når brugere ønsker adgang gennem udbyderens tjenester

(6)udbyderen skal sikre rimelig kontinuitet i leveringen af sine tjenester og skal i forbindelse med tjenester til lagring af data stille tilstrækkelige garantier for, at dataindehavere og databrugere kan få adgang til deres data i tilfælde af insolvens

(7)udbyderen skal træffe passende tekniske, retlige og organisatoriske foranstaltninger for at forhindre overførsel af eller adgang til andre data end personoplysninger, som er ulovlig i henhold til EU-retten

(8)udbyderen skal træffe foranstaltninger til at sikre et højt sikkerhedsniveau for lagring og videregivelse af andre data end personoplysninger

(9)udbyderen skal indføre procedurer, der sikrer, at Unionens og nationale konkurrenceregler overholdes

(10)udbyderen af tjenester til registrerede skal handle i de registreredes bedste interesse og gøre det lettere for dem at udøve deres rettigheder, navnlig ved at rådgive de registrerede om mulige dataanvendelser og de standardvilkår og -betingelser, der knytter sig til sådanne anvendelser

(11)hvis en udbyder stiller værktøjer til rådighed til at indhente samtykke fra registrerede eller tilladelser til at behandle data, der stilles til rådighed af juridiske personer, angiver udbyderen den eller de jurisdiktioner, hvor dataanvendelsen efter planen skal finde sted.

Artikel 12
Kompetente myndigheder

(1)Hver medlemsstat udpeger på sit område en eller flere myndigheder, der har kompetence til at udføre de opgaver, der er forbundet med anmeldelsesrammen, og meddeler senest den [datoen for denne forordnings anvendelse] Kommissionen identiteten på disse udpegede myndigheder. Den skal ligeledes meddele Kommissionen enhver senere ændring.

(2)De udpegede kompetente myndigheder skal overholde artikel 23.

(3)De udpegede kompetente myndigheder, databeskyttelsesmyndighederne, de nationale konkurrencemyndigheder, myndighederne med ansvar for cybersikkerhed og andre relevante sektormyndigheder udveksler de oplysninger, der er nødvendige for, at de kan udføre deres opgaver i forbindelse med udbydere af datadelingstjenester.

Artikel 13
Overvågning af overholdelse

(1)Den kompetente myndighed overvåger og fører tilsyn med, at bestemmelserne i dette kapitel overholdes.

(2)Den kompetente myndighed har beføjelse til at anmode udbydere af datadelingstjenester om alle de oplysninger, der er nødvendige for at kontrollere, at kravene i artikel 10 og 11 overholdes. Enhver anmodning om oplysninger skal stå i et rimeligt forhold til, hvad opgaven kræver, og være begrundet.

(3)Hvis den kompetente myndighed konstaterer, at en udbyder af datadelingstjenester ikke opfylder et eller flere af kravene i artikel 10 eller 11, underretter den den pågældende udbyder herom og giver denne mulighed for at fremføre sine synspunkter inden for en rimelig frist.

(4)Den kompetente myndighed har beføjelse til at kræve, at overtrædelsen, jf. stk. 3, ophører øjeblikkeligt eller inden for en rimelig frist, og træffer passende foranstaltninger, der står i et rimeligt forhold til formålet, for at sikre, at kravene overholdes. I den forbindelse skal de kompetente myndigheder, hvis det er relevant, kunne:

(a)pålægge afskrækkende økonomiske sanktioner, herunder periodiske sanktioner med tilbagevirkende kraft

(b)kræve, at leveringen af datadelingstjenesten ophører eller udsættes.

(5)De kompetente myndigheder meddeler uden ophold den pågældende enhed de foranstaltninger, der er indført i henhold til stk. 4, og begrundelserne herfor og fastsætter en rimelig frist, inden for hvilken enheden skal overholde foranstaltningerne.

(6)Hvis en datadelingstjenesteudbyders hovedsæde eller retlige repræsentant befinder sig i en medlemsstat, men den udbyder tjenester i andre medlemsstater, samarbejder den kompetente myndighed i den medlemsstat, hvor hovedsædet eller den retlige repræsentant befinder sig, og de kompetente myndigheder i de andre medlemsstater og bistår hinanden. En sådan bistand og et sådant samarbejde kan omfatte udveksling af oplysninger mellem de berørte kompetente myndigheder og anmodninger om at gennemføre de foranstaltninger, der er omhandlet i nærværende artikel.

Artikel 14
Undtagelser

Dette kapitel finder ikke anvendelse på enheder uden fortjeneste for øje, hvis aktiviteter udelukkende består i at indsamle data til almennyttige formål, som fysiske eller juridiske personer stiller til rådighed på grundlag af dataaltruisme.

Kapitel iv 
Dataaltruisme

Artikel 15
Register over anerkendte dataaltruistiske organisationer

(1)Hver kompetent myndighed, der er udpeget i henhold til artikel 20, fører et register over anerkendte dataaltruistiske organisationer.

(2)Kommissionen fører et EU-register over anerkendte dataaltruistiske organisationer.

(3)En enhed, der er opført i registret i overensstemmelse med artikel 16, kan i sin skriftlige og mundtlige kommunikation henvise til sig selv som en "dataaltruistisk organisation, der er anerkendt i Unionen".

Artikel 16
 Generelle krav til registrering

For at kunne blive registreret skal den dataaltruistiske organisation:

(a)være en retlig enhed, der er oprettet med henblik på at opfylde almennyttige formål

(b)drives uden sigte på fortjeneste og være uafhængig af enheder, der drives med fortjeneste for øje

(c)udføre de aktiviteter, der forbundet med dataaltruisme, gennem en juridisk uafhængig struktur, der er adskilt fra dens andre aktiviteter.

Artikel 17
Registrering

(1)Alle enheder, der opfylder kravene i artikel 16, kan anmode om at blive opført i registret over anerkendte dataaltruistiske organisationer som nævnt i artikel 15, stk. 1.

(2)Med henblik på denne forordning registreres en enhed, der udfører aktiviteter baseret på dataaltruisme og er etableret i mere end én medlemsstat, i den medlemsstat, hvor den har sit hovedsæde.

(3)En enhed, der ikke er etableret i Unionen, men som opfylder kravene i artikel 16, udpeger en retlig repræsentant i en af de medlemsstater, hvor den har til hensigt at indsamle data baseret på dataaltruisme. Med henblik på overholdelse af denne forordning anses denne enhed for at høre under den medlemsstats jurisdiktion, hvor den retlige repræsentant befinder sig.

(4)Ansøgninger om registrering skal indeholde følgende oplysninger:

(a)enhedens navn

(b)enhedens retlige status, retlige form og registreringsnummer, hvis enheden er opført i et offentligt register

(c)enhedens vedtægter, hvis det er relevant

(d)enhedens vigtigste indtægtskilder

(e)adressen på enhedens hovedsæde i Unionen, hvis et sådant findes, og, hvor det er relevant, på eventuelle filialer i en anden medlemsstat eller på den retlige repræsentant, der er udpeget i henhold til stk. 3

(f)et websted med oplysninger om enheden og aktiviteterne

(g)enhedens kontaktpersoner og kontaktoplysninger

(h)de almennyttige formål, som den agter at fremme i forbindelse med indsamlingen af data

(i)alle andre dokumenter, der dokumenterer, at kravene i artikel 16 er opfyldt.

(5)Hvis enheden har indsendt alle nødvendige oplysninger i henhold til stk. 4, og den kompetente myndighed finder, at enheden opfylder kravene i artikel 16, optager den kompetente myndighed senest tolv uger efter ansøgningsdatoen enheden i registret over anerkendte dataaltruistiske organisationer. Registreringen er gyldig i alle medlemsstater. Alle registreringer meddeles Kommissionen med henblik på optagelse i EU-registret over anerkendte dataaltruistiske organisationer.

(6)De oplysninger, der er omhandlet i stk. 4, litra a), b), f), g) og h), offentliggøres i det nationale register over anerkendte dataaltruistiske organisationer.

(7)Alle enheder, der er opført i registret over anerkendte dataaltruistiske organisationer, meddeler den kompetente myndighed enhver ændring af de oplysninger, der er indgivet i henhold til stk. 4, senest 14 kalenderdage efter den dag, hvor ændringen finder sted.

Artikel 18
Gennemsigtighedskrav

(1)Alle enheder, der er opført i det nationale register over anerkendte dataaltruistiske organisationer, fører fuldstændige og nøjagtige registre over:

(a)alle fysiske eller juridiske personer, der har fået mulighed for at behandle data, som den pågældende enhed er i besiddelse af

(b)datoen for eller varigheden af en sådan behandling

(c)formålet med en sådan behandling som angivet af den fysiske eller juridiske person, der fik mulighed for foretage behandlingen

(d)eventuelle gebyrer, som er betalt af de fysiske eller juridiske personer, der behandler oplysningerne.

(2)Alle enheder, der er opført i registret over anerkendte dataaltruistiske organisationer, udarbejder og indgiver en årlig aktivitetsrapport til den kompetente nationale myndighed, der som minimum skal indeholde følgende:

(a)oplysninger om enhedens aktiviteter

(b)en beskrivelse af, hvordan de almennyttige formål, som dataene er indsamlet til, er blevet fremmet i løbet af det pågældende regnskabsår

(c)en oversigt over alle fysiske og juridiske personer, der har fået tilladelse til at anvende de data, som enheden er i besiddelse af, herunder en kortfattet beskrivelse af de almennyttige formål, der forfølges med denne dataanvendelse, og en beskrivelse af de tekniske midler, der er anvendt, bl.a. en beskrivelse af de teknikker, der anvendes til beskyttelse af privatlivets fred og databeskyttelse

(d)en sammenfatning af resultaterne af de dataanvendelser, som enheden har givet tilladelse til, hvis det er relevant

(e)oplysninger om enhedens indtægtskilder, navnlig alle indtægter, der genereres af adgangen til data, og om udgifter.

Artikel 19
Særlige krav til beskyttelse af registreredes og retlige enheders rettigheder og interesser for så vidt angår deres data

(1)Enhver enhed, der er opført i registret over anerkendte dataaltruistiske organisationer, underretter dataindehaverne:

(a)om de almennyttige formål, for hvilke den tillader, at en databruger behandler dens data, på en letforståelig måde

(b)eventuel behandling uden for Unionen.

(2)Enheden skal også sikre, at dataene ikke anvendes til andre formål end de almennyttige formål, til hvilke den tillader behandlingen.

(3)Hvis en enhed, der er opført i registret over anerkendte dataaltruistiske organisationer, stiller værktøjer til rådighed til indhentning af samtykke fra registrerede eller af tilladelser til at behandle data, der stilles til rådighed af juridiske personer, angiver enheden den eller de jurisdiktioner, hvor dataanvendelsen efter planen skal finde sted.

Artikel 20
Myndigheder, der er ansvarlige for registrering

(1)Hver medlemsstat udpeger en eller flere kompetente myndigheder, der er ansvarlige for registret over anerkendte dataaltruistiske organisationer og for overvågningen af, at kravene i dette kapitel overholdes. De udpegede kompetente myndigheder skal opfylde kravene i artikel 23.

(2)Hver medlemsstat underretter Kommissionen om de udpegede myndigheders identitet.

(3)Den kompetente myndighed varetager sine opgaver i samarbejde med databeskyttelsesmyndigheden, når sådanne opgaver vedrører behandling af personoplysninger, og med relevante sektorspecifikke organer i samme medlemsstat. Med hensyn til eventuelle spørgsmål, der kræver en vurdering af, om forordning (EU) 2016/679 overholdes, indhenter den kompetente myndighed en udtalelse eller afgørelse fra den kompetente tilsynsmyndighed, der er etableret i henhold til nævnte forordning, og efterkommer denne udtalelse eller afgørelse.

Artikel 21
Overvågning af overholdelse

(1)Den kompetente myndighed overvåger og fører tilsyn med, at enheder, der er opført i registret over anerkendte dataaltruistiske organisationer, overholder betingelserne i dette kapitel.

(2)Den kompetente myndighed har beføjelse til at anmode om oplysninger fra enheder, der er opført i registret over anerkendte dataaltruistiske organisationer, som er nødvendige for at kontrollere, at bestemmelserne i dette kapitel overholdes. Enhver anmodning om oplysninger skal stå i et rimeligt forhold til, hvad opgaven kræver, og være begrundet.

(3)Hvis den kompetente myndighed konstaterer, at en enhed ikke opfylder et eller flere af kravene i nærværende kapitel, underretter den enheden herom og giver den mulighed for at fremføre sine synspunkter inden for en rimelig frist.

(4)Den kompetente myndighed har beføjelse til at kræve, at overtrædelsen, jf. stk. 3, ophører øjeblikkeligt eller inden for en rimelig frist, og træffer passende foranstaltninger, der står i et rimeligt forhold til formålet, for at sikre, at kravene overholdes.

(5)Hvis en enhed ikke opfylder et eller flere af kravene i dette kapitel, selv efter at den kompetente myndighed har underrettet den herom i overensstemmelse med stk. 3:

(a)mister den sin ret til at henvise til sig selv som en "dataaltruistisk organisation, der er anerkendt i Unionen" i sin skriftlige og mundtlige kommunikation

(b)slettes den fra registret over anerkendte dataaltruistiske organisationer.

(6)Hvis en enhed, der er opført i registret over anerkendte dataaltruistiske organisationer har sit hovedsæde eller sin retlige repræsentant i en medlemsstat, men er aktiv i andre medlemsstater, samarbejder den kompetente myndighed i den medlemsstat, hvor hovedsædet eller den retlige repræsentant befinder sig, og de kompetente myndigheder i de andre medlemsstater og bistår hinanden. En sådan bistand og et sådant samarbejde kan omfatte udveksling af oplysninger mellem de berørte kompetente myndigheder og anmodninger om at gennemføre de tilsynsforanstaltninger, der er omhandlet i nærværende artikel.

Artikel 22
Europæisk samtykkeformular for dataaltruisme

(1)For at lette indsamlingen af data baseret på dataaltruisme kan Kommissionen vedtage gennemførelsesretsakter om udarbejdelse af en europæisk samtykkeformular for dataaltruisme. Formularen skal gøre det muligt at indhente samtykke på tværs af medlemsstaterne i et ensartet format. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 29, stk. 2.

(2)Den europæiske samtykkeformular for dataaltruisme skal følge en modulær tilgang, der gør det muligt at tilpasse den til specifikke sektorer og forskellige formål.

(3)Hvis der anvendes personoplysninger, skal den europæiske samtykkeformular for dataaltruisme sikre, at de registrerede i overensstemmelse med kravene i forordning (EU) 2016/679 kan give samtykke til en bestemt databehandlingsaktivitet og trække deres samtykke tilbage.

(4)Formularen skal foreligge i et almindeligt læsbart format, der kan trykkes på papir, samt i elektronisk, maskinlæsbar form.

Kapitel v 
Kompetente myndigheder og proceduremæssige bestemmelser

Artikel 23
Krav til kompetente myndigheder

(1)De kompetente myndigheder, der er udpeget i henhold til artikel 12 og 20, skal være juridisk adskilt fra og funktionelt uafhængige af alle datadelingstjenesteudbydere eller enheder, der er opført i registret over anerkendte dataaltruistiske organisationer.

(2)De kompetente myndigheder udfører deres opgaver upartisk, gennemsigtigt, konsekvent, pålideligt og rettidigt.

(3)Den øverste ledelse og det personale, der er ansvarligt for at udføre de relevante opgaver for den kompetente myndighed, der er omhandlet i nærværende forordning, må ikke være konstruktør, fabrikant, leverandør, montør, køber, ejer, bruger eller reparatør af de tjenester, som de vurderer, eller repræsentant eller bemyndiget repræsentant for nogen af disse parter. Dette udelukker ikke, at de anvender evaluerede tjenester, der er nødvendige for den kompetente myndigheds aktiviteter, eller anvender sådanne tjenester til personlige formål.

(4)Den øverste ledelse og personalet må ikke deltage i aktiviteter, som kan være i strid med deres objektivitet og integritet i forbindelse med de evalueringsaktiviteter, som de har fået pålagt.

(5)De kompetente myndigheder skal råde over tilstrækkelige finansielle og menneskelige ressourcer til at udføre de opgaver, de pålægges, herunder den nødvendige tekniske viden og de nødvendige ressourcer.

(6)En medlemsstats kompetente myndigheder giver efter begrundet anmodning Kommissionen og andre medlemsstaters kompetente myndigheder de oplysninger, der er nødvendige for, at disse kan udføre deres opgaver i henhold til denne forordning. Hvis en national kompetent myndighed anser de oplysninger, der anmodes om, for at være fortrolige i overensstemmelse med EU-regler og nationale regler om forretningshemmeligheder og tavshedspligt, sikrer Kommissionen og alle andre berørte kompetente myndigheder en sådan fortrolighed.

Artikel 24
Ret til at indgive klage

(1)Fysiske og juridiske personer har ret til at indgive en klage til den relevante nationale kompetente myndighed over en datadelingstjenesteudbyder eller en enhed, der er opført i registret over anerkendte dataaltruistiske organisationer.

(2)Den myndighed, som klagen er indgivet til, underretter klageren om forløbet af sagen og om den trufne afgørelse samt om retten til effektive retsmidler, jf. artikel 25.

Artikel 25
Ret til effektive retsmidler

(1)Uanset eventuelle administrative eller andre udenretslige midler har alle berørte fysiske og juridiske personer ret til effektive retsmidler med hensyn til:

(a)undladelse af at reagere på en klage, der er indgivet til den kompetente myndighed, der er omhandlet i artikel 12 og 20

(b)afgørelser truffet af de kompetente myndigheder, jf. artikel 13, 17 og 21, i forbindelse med forvaltning, kontrol og håndhævelse af anmeldelsesordningen for datadelingstjenesteudbydere og overvågning af enheder, der er opført i registret over anerkendte dataaltruistiske organisationer.

(2)En sag i medfør af denne artikel anlægges ved domstolene i den medlemsstat, hvor den myndighed, mod hvem retsmidlet søges, er beliggende.

Kapitel vi 
Det Europæiske Datainnovationsråd

Artikel 26
Det Europæiske Datainnovationsråd

(1)Kommissionen nedsætter et råd, Det Europæiske Datainnovationsråd ("rådet"), i form af en ekspertgruppe bestående af repræsentanter for kompetente myndigheder i alle medlemsstaterne, Det Europæiske Databeskyttelsesråd, Kommissionen, relevante dataområder og andre repræsentanter for kompetente myndigheder i specifikke sektorer.

(2)Interessenter og relevante tredjeparter kan indbydes til at deltage i rådets møder og til at deltage i dets arbejde.

(3)Kommissionen leder rådets møder.

(4)Rådet bistås af et sekretariat, som varetages af Kommissionen.

Artikel 27
Rådets opgaver

Rådet har til opgave at:

(a)rådgive og bistå Kommissionen i forbindelse med udviklingen af en fast praksis hos offentlige myndigheder og kompetente organer, jf. artikel 7, stk. 1, der behandler anmodninger om videreanvendelse af de kategorier af data, der er omhandlet i artikel 3, stk. 1

(b)rådgive og bistå Kommissionen i forbindelse med udviklingen af en fast praksis hos de kompetente myndigheder i forbindelse med anvendelsen af de krav, der gælder for udbydere af datadelingstjenester

(c)rådgive og bistå Kommissionen i forbindelse med prioriteringen af de tværsektorielle standarder, der skal anvendes og udvikles med henblik på dataanvendelse og tværsektoriel datadeling, tværsektoriel sammenligning og udveksling af bedste praksis med hensyn til sektorspecifikke krav til sikkerhed og adgangsprocedurer, samtidig med at der tages hensyn til sektorspecifikke standardiseringsaktiviteter

(d)bistå Kommissionen med at forbedre datainteroperabilitet og datadelingstjenester mellem forskellige sektorer og områder på grundlag af eksisterende europæiske, internationale eller nationale standarder

(e)lette samarbejdet mellem de nationale kompetente myndigheder inden for rammerne af denne forordning gennem kapacitetsopbygning og udveksling af oplysninger, navnlig ved at fastlægge metoder til effektiv udveksling af oplysninger vedrørende anmeldelsesproceduren for datadelingstjenesteudbydere og registrering og overvågning af anerkendte dataaltruistiske organisationer.

Kapitel vii 
Udvalg og delegation

Artikel 28
Udøvelse af de delegerede beføjelser

(1)Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

(2)Beføjelsen til at vedtage delegerede retsakter, jf. artikel 5, stk. 11, tillægges Kommissionen for en ubegrænset periode fra den […].

(3)Den i artikel 5, stk. 11, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

(4)Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale om bedre lovgivning af 13. april 2016.

(5)Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

(6)En delegeret retsakt vedtaget i henhold til artikel 5, stk. 11, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 29
Udvalgsprocedure

(1)Kommissionen bistås af et udvalg som omhandlet i forordning (EU) nr. 182/2011.

(2)Når der henvises til dette stykke, finder artikel 4 i forordning (EU) nr. 182/2011 anvendelse.

(3)Når udvalgets udtalelse indhentes efter en skriftlig procedure, afsluttes proceduren uden noget resultat, hvis formanden for udvalget træffer beslutning herom, eller et af udvalgsmedlemmerne anmoder herom inden for tidsfristen for afgivelse af udtalelsen. I så fald indkalder formanden til et møde i udvalget inden for en rimelig frist.

Kapitel viii 
Afsluttende bestemmelser

Artikel 30
International adgang

(1)Den offentlige myndighed, den fysiske eller juridiske person, som har fået tildelt ret til at videreanvende data i henhold til kapitel 2, udbyderen af datadelingstjenester eller enheden, der er opført i registret over anerkendte dataaltruistiske organisationer, træffer alt efter omstændighederne alle rimelige tekniske, juridiske og organisatoriske foranstaltninger for at forhindre overførsel af eller adgang til andre data end personoplysninger, der er lagret i Unionen, hvis en sådan overførsel eller adgang er i strid med EU-retten eller den relevante medlemsstats lovgivning, medmindre overførslen eller adgangen er i overensstemmelse med stk. 2 eller 3.

(2)Enhver dom afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, ifølge hvilken der anmodes om, at en offentlig myndighed eller en fysisk eller juridisk person, som har fået tildelt ret til at videreanvende data i henhold til kapitel 2, en datadelingstjenesteudbyder eller en enhed, der er opført i registret over anerkendte dataaltruistiske organisationer, overfører andre data end personoplysninger, der er omfattet af denne forordning, fra Unionen eller giver adgang til disse data i Unionen, kan kun anerkendes eller håndhæves på nogen måde, hvis den er baseret på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en aftale mellem det anmodende tredjeland og en medlemsstat, der er indgået inden den [denne forordnings ikrafttræden].

(3)Hvis en offentlig myndighed, en fysisk eller juridisk person, som har fået tildelt ret til at videreanvende data i henhold til kapitel 2, en datadelingstjenesteudbyder eller en enhed, der er opført i registret over anerkendte dataaltruistiske organisationer, er adressat for en afgørelse truffet af en domstol eller en administrativ myndighed i et tredjeland om at overføre andre data end personoplysninger, der er lagret i Unionen, eller give adgang til disse, og hvis overholdelsen af en sådan afgørelse risikerer at medføre, at adressaten handler i strid med EU-retten eller retten i den relevante medlemsstat, må overførslen af sådanne data til den pågældende tredjelandsmyndighed eller dennes adgang til sådanne data kun finde sted:

(a)hvis tredjelandets system kræver, at afgørelsen begrundes, og at det godtgøres, at den står i et rimeligt forhold til formålet, og at det kræves, at retskendelsen eller afgørelsen, alt efter omstændighederne, skal være af specifik karakter, f.eks. ved at fastslå en tilstrækkelig forbindelse til visse mistænkte personer eller overtrædelser

(b)hvis adressatens begrundede indsigelse kan prøves ved en kompetent domstol i tredjelandet og

(c)hvis den kompetente domstol, der udsteder kendelsen eller prøver en administrativ myndigheds afgørelse, i henhold til det pågældende lands ret har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de data til rådighed, der er beskyttet af EU-retten eller den gældende ret i medlemsstaten.

Afgørelsens adressat skal anmode om en udtalelse fra de relevante kompetente organer eller myndigheder i henhold til denne forordning med henblik på at afgøre, om disse betingelser er opfyldt.

(4)Hvis betingelserne i stk. 2 eller 3 er opfyldt, skal den offentlige myndighed, den fysiske eller juridiske person, som har fået tildelt ret til at videreanvende data i henhold til kapitel 2, datadelingstjenesteudbyderen eller den enhed, der er opført i registret over anerkendte dataaltruistiske organisationer, fremlægge den mindste mængde data, der er tilladt som svar på en anmodning, på grundlag af en rimelig fortolkning af anmodningen.

(5)Den offentlige myndighed, den fysiske eller juridiske person, som har fået tildelt ret til at videreanvende data i henhold til kapitel 2, datadelingstjenesteudbyderen og den enhed, der praktiserer dataaltruisme, underretter dataindehaveren om, at der foreligger en anmodning fra en administrativ myndighed i et tredjeland om at få adgang til vedkommendes data, undtagen i tilfælde, hvor anmodningen tjener retshåndhævelsesformål, og så længe dette er nødvendigt for at bevare retshåndhævelsesaktivitetens effektivitet.

Artikel 31
Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af denne forordning og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver senest den [forordningens anvendelsesdato] Kommissionen meddelelse om disse regler og foranstaltninger og meddeler uden ophold Kommissionen senere ændringer af betydning for bestemmelserne.

Artikel 32
Evaluering og revision

Senest [fire år efter forordningens anvendelsesdato] evaluerer Kommissionen nærværende forordning og fremlægger en rapport om de vigtigste resultater for Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg. Medlemsstaterne forelægger Kommissionen alle de oplysninger, der er nødvendige for udarbejdelsen af denne rapport.

Artikel 33
Ændring af forordning (EU) 2018/1724

I bilag II til forordning (EU) 2018/1724 tilføjes følgende under "Opstart, drift og lukning af en virksomhed":

Opstart, drift og lukning af en virksomhed

Anmeldelse som udbyder af datadelingstjenester

Bekræftelse af modtagelse af anmeldelsen

Registrering som europæisk dataaltruistisk organisation

Bekræftelse af registreringen

Artikel 34
Overgangsordning

Enheder, der udbyder de datadelingstjenester, der er omhandlet i artikel 9, stk. 1, på datoen for denne forordnings ikrafttræden, skal opfylde de forpligtelser, der er fastsat i kapitel III, senest den [dato — to år efter denne forordnings anvendelsesdato].

Artikel 35
Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende. 

Den finder anvendelse fra den [12 måneder efter dens ikrafttræden].

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den […].

På Europa-Parlamentets vegne    På Rådets vegne

Formand    Formand

(1)    Retsaktens endelige form afhænger af instrumentets indhold.
(2)     COM(2020) 66 final .
(3)    "Data, hvis anvendelse afhænger af andres rettigheder" eller "data, der er omfattet af andres rettigheder" henviser til data, der kan være omfattet af databeskyttelseslovgivningen eller intellektuel ejendomsret, eller som indeholder forretningshemmeligheder eller andre forretningsmæssigt følsomme oplysninger.
(4)     EUT L 119 af 4.5.2016 , s. 1.
(5)     EFT L 201 af 31.7.2002 , s. 37.
(6)     EUT L 172 af 26.6.2019, s. 56.
(7)    Se COM(2020) 66 final .
(8)     https://www.force11.org/group/fairgroup/fairprinciples .
(9)     EUT L 188 af 18.7.2009 , s. 1, som ændret ved EUT L 151 af 14.6.2018 , s. 1.
(10)     EUT L 337 af 23.12.2015 , s. 35.
(11)     EUT L 158 af 14.6.2019 , s. 125, og EUT L 211 af 14.8.2009 , s. 94.
(12)     EUT L 220 af 25.8.2017 , s. 1, og EUT L 113 af 1.5.2015 , s. 13.
(13)     EUT L 207 af 6.8.2010 , s. 1.
(14)    EUT L 41 af 14.2.2003, s. 26.
(15)    EUT L 108 af 25.4.2007, s. 1.
(16)    Et lovgivningsforslag om det europæiske sundhedsdataområde er planlagt til fjerde kvartal af 2021. Se: https://eur-lex.europa.eu/resource.html?uri=cellar%3A91ce5c0f-12b6-11eb-9a54-01aa75ed71a1.0001.02/DOC_2&format=PDF.
(17)    EFT L 178 af 17.7.2000, s. 1.
(18)     COM(2020) 456 final .
(19)     COM(2020) 66 final .
(20)    Europa-Kommissionen (2020, endnu ikke færdiggjort). Støtteundersøgelse til denne konsekvensanalyse, SMART 2019/0024, udarbejdet af Deloitte.
(21)    EUT C […] af […], s. […].
(22)    EUT C […] af […], s. […].
(23)    Meddelelse fra Kommissionen til Europa-Parlamentet, Det Europæiske Råd, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget — Den europæiske grønne pagt. Bruxelles, den 11.12.2019 (COM(2019) 640 final).
(24)    COM(2020) 66 final.
(25)    Se bilagene til meddelelsen fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget — Kommissionens arbejdsprogram for 2021 (COM(2020) 690 final).
(26)    F.eks. direktiv 2011/24/EU i forbindelse med det europæiske sundhedsdataområde og relevant transportlovgivning såsom direktiv 2010/40/EU, forordning (EU) 2019/1239 og forordning (EU) 2020/1056 i forbindelse med det europæiske mobilitetsdataområde.
(27)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
(28)    Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
(29)    Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT L 157 af 15.6.2016, s. 1).
(30)    Europa-Parlamentets og Rådets forordning (EU) 2018/1807 af 14. november 2018 om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union (EUT L 303 af 28.11.2018, s. 59).
(31)    Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 af 11. marts 2009 om europæiske statistikker og om ophævelse af forordning (EF, Euratom) nr. 1101/2008 om fremsendelse af fortrolige statistiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor, Rådets forordning (EF) nr. 322/97 om EF-statistikker og Rådets afgørelse 89/382/EØF, Euratom om nedsættelse af et udvalg for De Europæiske Fællesskabers statistiske program (EUT L 87 af 31.3.2009, s. 164).
(32)    Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked ("direktivet om elektronisk handel") (EFT L 178 af 17.7.2000, s. 1).
(33)    Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet (EFT L 167 af 22.6.2001, s. 10).
(34)    Europa-Parlamentets og Rådets direktiv (EU) 2019/790 af 17. april 2019 om ophavsret og beslægtede rettigheder på det digitale indre marked og om ændring af direktiv 96/9/EF og 2001/29/EF (EUT L 130 af 17.5.2019, s. 92).
(35)    Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder (EUT L 157 af 30.4.2004).
(36)    Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 af 20. juni 2019 om åbne data og videreanvendelse af den offentlige sektors informationer (EUT L 172 af 26.6.2019, s. 56).
(37)    Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og markedsovervågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og separate tekniske enheder til sådanne køretøjer, om ændring af forordning (EF) nr. 715/2007 og (EF) nr. 595/2009 og om ophævelse af direktiv 2007/46/EF (EUT L 151 af 14.6.2018).
(38)    Europa-Parlamentets og Rådets direktiv 2010/40/EU af 7. juli 2010 om rammerne for indførelse af intelligente transportsystemer på vejtransportområdet og for grænsefladerne til andre transportformer (EUT L 207 af 6.8.2010, s. 1).
(39)    Kommissionens forordning (EU) nr. 557/2013 af 17. juni 2013 om gennemførelse af Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 om europæiske statistikker for så vidt angår adgang til fortrolige data til videnskabelige formål og om ophævelse af Kommissionens forordning (EF) nr. 831/2002 (EUT L 164 af 18.6.2013, s. 16).
(40)    EUT L 157 af 15.6.2016, s. 1.
(41)    Europa-Parlamentet og Rådets direktiv 96/9/EF af 11. marts 1996 om retlig beskyttelse af databaser (EFT L 77 af 27.3.1996, s. 20).
(42)    Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014).
(43)    Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF.
(44)    https://joinup.ec.europa.eu/collection/semantic-interoperability-community-semic/core-vocabularies
(45)    https://joinup.ec.europa.eu/collection/connecting-europe-facility-cef
(46)    Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
(47)    Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
Top