(1)

Datavetoiset teknologiat ovat viime vuosina saaneet aikaan muutoksia kaikilla talouden aloilla. Erityisesti internetiin liitettyjen tuotteiden yleistyminen on kasvattanut datan määrää ja potentiaalista arvoa kuluttajien, yritysten ja yhteiskunnan kannalta. Eri aloilta saatava korkealaatuinen ja yhteentoimiva data parantaa kilpailukykyä ja innovointia ja turvaa kestävän talouskasvun. Samaa dataa voidaan käyttää ja käyttää uudelleen rajattomasti moniin eri tarkoituksiin ilman, että sen laatu heikkenee tai määrä pienenee.

(2)

Datan optimaalista jakoa yhteiskuntaa hyödyttävällä tavalla haittaavat datan jakamisen esteet. Kyseisiin esteisiin kuuluvat kannustimien puute, joka heikentää datan haltijoiden halukkuutta tehdä vapaaehtoisesti datan jakamista koskevia sopimuksia, epätietoisuus dataa koskevista oikeuksista ja velvoitteista, teknisiä rajapintoja koskevien sopimusten tekemisen ja täytäntöönpanon kustannukset, tietojen suuri hajanaisuus datasiiloissa, metadatan huono hallinta, semanttista ja teknistä yhteentoimivuutta koskevien standardien puuttuminen, datan saatavuutta haittaavat pullonkaulat, datan jakamista koskevien yleisten käytäntöjen puuttuminen sekä datan saatavuuteen ja käyttöön liittyvien sopimussuhteiden epätasapainon väärinkäyttö.

(3)

Aloilla, joille on tyypillistä mikroyritysten, pienten yritysten ja keskisuurten yritysten, sellaisina kuin ne on määritelty komission suosituksen 2003/361/EY (5) liitteessä olevassa 2 artiklassa, jäljempänä ’pk-yritykset’, suuri osuus, puuttuu usein digitaalisia valmiuksia ja digitaalista osaamista, joita tarvittaisiin datan keräämiseen, analysointiin ja käyttöön, ja dataan pääsy on usein rajoitettua silloin, jos se on yhden toimijan hallussa järjestelmässä tai jos datan tai datapalvelujen yhteentoimivuus tai rajatylittävä yhteentoimivuus on puutteellista.

(4)

Jotta voidaan vastata digitaalitalouden tarpeisiin ja poistaa esteet moitteettomasti toimivien datan sisämarkkinoiden tieltä, on vahvistettava yhdenmukaistettu kehys, jossa määritellään, kenellä on oikeus käyttää tuotteen dataa tai siihen liittyvän palvelun dataa ja millä edellytyksillä ja millä perusteella. Ellei tässä asetuksessa nimenomaisesti toisin säädetä, jäsenvaltioiden ei sen vuoksi pitäisi hyväksyä tai pitää voimassa kansallisia lisävaatimuksia tämän asetuksen soveltamisalaan kuuluvissa asioissa, sillä tämä vaikuttaisi sen suoraan ja yhdenmukaiseen soveltamiseen. Lisäksi unionin tason toimet eivät saisi vaikuttaa unionin tekemiin kansainvälisiin kauppasopimuksiin sisältyvien velvoitteiden ja sitoumusten soveltamiseen.

(5)

Tällä asetuksella varmistetaan, että verkkoon liitetyn tuotteen tai tuotteeseen liittyvän palvelun käyttäjät voivat unionissa päästä oikea-aikaisesti kyseisen verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tuotettuun dataan ja että kyseiset käyttäjät voivat käyttää dataa, myös jakamalla sitä valitsemiensa kolmansien osapuolten kanssa. Siinä asetetaan datan haltijoille velvoite asettaa dataa käyttäjien ja käyttäjän tietyissä olosuhteissa valitsemien kolmansien osapuolten saataville. Sillä myös varmistetaan, että datan haltijat asettavat datan sen vastaanottajien saataville unionissa oikeudenmukaisin, kohtuullisin ja syrjimättömin ehdoin ja avoimesti. Yksityisoikeudelliset säännöt ovat keskeisessä asemassa datan jakamista koskevassa yleisessä sääntelykehyksessä. Sen vuoksi tällä asetuksella mukautetaan sopimusoikeuden sääntöjä ja estetään sellaisen sopimussuhteiden epätasapainon hyväksikäyttö, joka estää oikeudenmukaisen pääsyn dataan ja sen käytön. Tällä asetuksella myös varmistetaan, että datan haltijat asettavat julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten saataville datan, joka on tarpeen tietyn yleistä etua koskevan tehtävän suorittamiseksi, silloin kun siihen on poikkeuksellinen tarve. Tällä asetuksella pyritään lisäksi helpottamaan datankäsittelypalvelujen vaihtamista ja parantamaan datan ja datan jakamismekanismien ja -palvelujen yhteentoimivuutta unionissa. Tätä asetusta ei pitäisi tulkita siten, että siinä tunnustetaan datan haltijoiden uusi oikeus tai annetaan näille uusi oikeus käyttää verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tuotettua dataa.

(6)

Datan tuottaminen on tuloksena vähintään kahden toimijan, etenkin verkkoon liitetyn tuotteen suunnittelijan tai valmistajan, joka voi monissa tapauksissa olla myös siihen liittyvän palvelun tarjoaja, sekä verkkoon liitetyn tuotteen tai siihen liittyvien palvelujen käyttäjän toimista. Se nostaa esille kysymyksiä digitaalitalouden oikeudenmukaisuudesta, koska verkkoon liitettyjen tuotteiden tai niihin liittyvien palvelujen tallentama data on tärkeä tekijä jälkimarkkinapalveluissa sekä oheis- ja muissa palveluissa. Jotta datasta saataisiin merkittäviä taloudellisia hyötyjä, myös unionin yritysten vapaaehtoisiin sopimuksiin perustuvan datan jakamisen ja datavetoisen arvonmuodostuksen myötä, on parempi soveltaa yleistä lähestymistapaa dataan pääsyä ja datan käyttöä koskevien oikeuksien myöntämiseen kuin datan saatavuutta ja käyttöä koskevien yksinoikeuksien myöntämistä. Tässä asetuksessa säädetään horisontaalisista säännöistä, joita voitaisiin noudattaa unionin oikeudessa tai kansallisessa lainsäädännössä, jossa käsitellään erityistilanteita asiaankuuluvilla aloilla.

(7)

Perusoikeus henkilötietojen suojaan turvataan erityisesti Euroopan parlamentin ja neuvoston asetuksilla (EU) 2016/679 (6) ja (EU) 2018/1725 (7). Euroopan parlamentin ja neuvoston direktiivillä 2002/58/EY (8) suojellaan lisäksi yksityiselämää ja viestinnän luottamuksellisuutta, myös määrittämällä ehtoja henkilötietojen ja muiden kuin henkilötietojen tallentamiselle päätelaitteille ja niihin pääsylle päätelaitteista käsin. Kyseiset unionin säädökset luovat perustan kestävälle ja vastuulliselle datankäsittelylle, myös silloin kun data-aineistossa on sekä henkilötietoja että muuta dataa kuin henkilötietoja. Tämä asetus täydentää henkilötietojen ja yksityisyyden suojaa koskevaa unionin lainsäädäntöä, erityisesti asetuksia (EU) 2016/679 ja (EU) 2018/1725 ja direktiiviä 2002/58/EY, eikä rajoita sen soveltamista. Mitään tämän asetuksen säännöstä ei pitäisi soveltaa tai tulkita tavalla, joka heikentää tai rajoittaa oikeutta henkilötietojen suojaan tai oikeutta yksityisyyteen ja viestinnän luottamuksellisuuteen. Kaikessa tämän asetuksen nojalla tapahtuvassa henkilötietojen käsittelyssä olisi noudatettava unionin tietosuojalainsäädäntöä, muun muassa asetuksen (EU) 2016/679 6 artiklan mukaista vaatimusta käsittelyn pätevästä oikeusperustasta ja tarvittaessa kyseisen asetuksen 9 artiklan ja direktiivin 2002/58/EY 5 artiklan 3 kohdan edellytyksiä. Tämä asetus ei muodosta datan haltijalle oikeusperustaa henkilötietojen käsittelyä tai tuottamista varten. Tässä asetuksessa asetetaan datan haltijoille velvoite asettaa henkilötiedot käyttäjien tai käyttäjän valitsemien kolmansien osapuolten saataville kyseisen käyttäjän pyynnöstä. Tällainen pääsy olisi annettava sellaisiin henkilötietoihin, jotka datan haltija käsittelee jonkin asetuksen (EU) 2016/679 6 artiklassa tarkoitetun oikeusperustan mukaisesti. Kun käyttäjä ei ole rekisteröity, tämä asetus ei muodosta oikeusperustaa, jonka nojalla voitaisiin antaa pääsy henkilötietoihin tai asettaa ne kolmannen osapuolen saataville, eikä sitä pitäisi tulkita siten, että datan haltijalle annettaisiin uusi oikeus käyttää verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tuotettuja henkilötietoja. Kyseisissä tapauksissa voisi olla käyttäjän etujen mukaista helpottaa asetuksen (EU) 2016/679 6 artiklan vaatimusten täyttymistä. Koska tämän asetuksen ei pitäisi vaikuttaa kielteisesti rekisteröidyn tietosuojaoikeuksiin, datan haltijat voi kyseisissä tapauksissa täyttää pyynnöt muun muassa anonymisoimalla henkilötiedot tai, jos helposti saatavilla oleva data sisältää useamman rekisteröidyn henkilötietoja, siirtämällä vain käyttäjää koskevat henkilötiedot.

(8)

Tietojen minimoinnin ja sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan periaatteet ovat keskeisessä asemassa, kun käsittelyyn liittyy yksilöiden perusoikeuksiin kohdistuvia merkittäviä riskejä. Ottaen huomioon kehityksen taso, kaikkien datan jakamiseen osallistuvien, myös tämän asetuksen soveltamisalaan kuuluvien datan jakamiseen osallistuvien, olisi toteutettava teknisiä ja organisatorisia toimenpiteitä kyseisten oikeuksien suojaamiseksi. Tällaisiin toimenpiteisiin kuuluu pseudonymisoinnin ja salauksen ohella myös entistä paremmin saatavilla olevan sellaisen teknologian käyttö, jonka avulla dataan voidaan tuoda algoritmeja ja saada käyttöön tärkeää tietämystä siirtämättä dataa osapuolten välillä tai kopioimatta raakadataa tai jäsenneltyä dataa tarpeettomasti.

(9)

Ellei tässä asetuksessa toisin säädetä, tämän asetus ei vaikuta kansalliseen sopimusoikeuteen, mukaan lukien sopimuksen tekemistä, pätevyyttä tai vaikutuksia koskeviin sääntöihin tai sopimuksen purkamisesta aiheutuviin seurauksiin, ellei tällaisia näkökohtia säännellä tällä asetuksella. Tällä asetuksella täydennetään unionin lainsäädäntöä, jolla pyritään edistämään kuluttajien etuja ja varmistamaan kuluttajansuojan korkea taso sekä suojelemaan kuluttajien terveyttä, turvallisuutta ja taloudellisia etuja, erityisesti neuvoston direktiiviä 93/13/ETY (9) ja Euroopan parlamentin ja neuvoston direktiivejä 2005/29/EY (10) ja 2011/83/EU (11), eikä sillä rajoiteta kyseisen lainsäädännön soveltamista.

(10)

Tällä asetuksella ei rajoiteta sellaisten unionin ja kansallisten säädösten soveltamista, joissa säädetään datan jakamisesta sekä dataan pääsystä ja datan käytöstä rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten tai tullitoiminnan tai verotuksen tarkoituksiin riippumatta siitä, minkä Euroopan unionin toiminnasta tehdyn sopimuksen mukaisen oikeusperustan nojalla tällaiset unionin säädökset on hyväksytty, eikä kyseisellä alalla, erityisesti Budapestissa 23 päivänä marraskuuta 2001 tehdyn tietoverkkorikollisuutta koskevan Euroopan neuvoston yleissopimuksen (ETS nro 185) pohjalta, tehtävään kansainväliseen yhteistyöhön. Tällaisia säädöksiä ovat muun muassa Euroopan parlamentin ja neuvoston asetukset (EU) 2021/784 (12), (EU) 2022/2065 (13) ja (EU) 2023/1543 (14) ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2023/1544 (15). Tätä asetusta ei sovelleta tietojen keräämiseen, jakamiseen, saatavuuteen tai käyttöön Euroopan parlamentin ja neuvoston asetuksen (EU) 2015/847 (16) ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/849 (17) mukaisesti. Tätä asetusta ei sovelleta aloihin, jotka eivät kuulu unionin oikeuden soveltamisalaan, eikä se vaikuta jäsenvaltioiden toimivaltaan, joka koskee yleistä turvallisuutta, puolustusta tai kansallista turvallisuutta, tulli- ja verohallintoa sekä kansanterveyttä tai kansalaisten turvallisuutta, riippumatta sen yksikön tyypistä, jonka jäsenvaltiot ovat valtuuttaneet suorittamaan kyseiseen toimivaltaan liittyviä tehtäviä.

(11)

Tämän asetuksen ei myöskään pitäisi vaikuttaa unionin lainsäädäntöön, jossa asetetaan unionin markkinoille saatettaville tuotteille fyysistä suunnittelua ja dataa koskevia vaatimuksia, ellei asetuksessa erityisesti näin säädetä.

(12)

Tällä asetuksella täydennetään unionin lainsäädäntöä, jonka tavoitteena on asettaa esteettömyysvaatimuksia tietyille tuotteille ja palveluille, etenkin Euroopan parlamentin ja neuvoston direktiiviä (EU) 2019/882 (18), eikä sillä rajoiteta kyseisen lainsäädännön soveltamista.

(13)

Tällä asetuksella ei rajoiteta sellaisten unionin tai kansallisten säädösten soveltamista, joissa säädetään teollis- ja tekijänoikeuksien suojaamisesta, mukaan lukien Euroopan parlamentin ja neuvoston direktiivit 2001/29/EY (19), 2004/48/EY (20) ja (EU) 2019/790 (21).

(14)

Tämän asetuksen soveltamisalaan olisi prototyyppejä lukuun ottamatta sisällytettävä fyysiset verkkoon liitetyt tuotteet, jotka komponenttiensa tai toimintajärjestelmiensä avulla saavat, tuottavat tai keräävät dataa suorituskyvystään, käytöstään tai ympäristöstään ja jotka pystyvät välittämään kyseisen datan sähköisen viestintäpalvelun, fyysisen yhteyden tai laiteyhteyden kautta (mitä kutsutaan usein esineiden internetiksi). Esimerkkejä tällaisista sähköisistä viestintäpalveluista ovat erityisesti maanpäälliset puhelinverkot, kaapelitelevisioverkot, satelliittipohjaiset verkot ja lähiviestintäverkot. Verkkoon liitettyjä tuotteita löytyy kaikilta talouden ja yhteiskunnan osa-alueilta, mukaan lukien yksityinen, siviili- tai kaupallinen infrastruktuuri, ajoneuvot, terveyteen ja elämäntapaan liittyvät laitteet ja tarvikkeet, alukset, ilma-alukset, kodin laitteet ja kulutustavarat, lääkinnälliset ja terveydenhoitolaitteet tai maatalous- ja teollisuuskoneet. Valmistajien suunnitteluvalintojen ja tapauksen mukaan unionin oikeuden tai kansallisen lainsäädännön, jossa käsitellään alakohtaisia tarpeita ja tavoitteita, tai toimivaltaisten viranomaisten asiaankuuluvien päätösten olisi ratkaistava, minkä datan jokin verkkoon liitetty tuote pystyy asettamaan saataville.

(15)

Käyttäjän toimet ja tapahtumat ovat dataa digitoidussa muodossa, minkä vuoksi sen olisi oltava käyttäjän saatavilla. Tämän asetuksen mukaiset, verkkoon liitetyistä tuotteista ja niihin liittyvistä palveluista saatavan datan saatavuutta ja käyttöä koskevat säännöt koskevat sekä tuotteen dataa että siihen liittyvän palvelun dataa. Tuotteen datalla tarkoitetaan verkkoon liitetyn tuotteen käytön tuloksena tuotettua dataa, jonka valmistaja on suunnitellut olevan käyttäjän, datan haltijan tai kolmannen osapuolen, tarvittaessa myös valmistajan, haettavissa verkkoon liitetystä tuotteesta. Tuotteeseen liittyvän palvelun datalla tarkoitetaan dataa, joka edustaa myös sellaisten verkkoon liitettyyn tuotteeseen liittyvien käyttäjien toimien tai tapahtumien digitointia, jotka palveluntarjoaja tuottaa tuotteeseen liittyvän palvelun tarjoamisen aikana. Verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tuotetun datan olisi katsottava kattavan tarkoituksellisesti tallennetun datan tai käyttäjän toiminnasta välillisesti syntyvän datan, kuten verkkoon liitetyn tuotteen ympäristöä tai vuorovaikutusta koskevan datan. Tähän olisi sisällyttävä data käyttöliittymän tai tuotteeseen liittyvän palvelun kautta tuotetun tuotteen käytöstä, eikä siinä olisi rajoituttava tietoihin siitä, että tällainen käyttö on tapahtunut, vaan siihen olisi sisällyttävä kaikki data, jotka verkkoon liitetty tuote tuottaa tällaisen käytön tuloksena, kuten antureiden automaattisesti tuottama data ja sulautettujen sovellusten tallentama data, mukaan lukien laitteiston tilaa ja toimintahäiriöitä osoittavat sovellukset. Tähän olisi sisällyttävä myös data, joka on tuotettu verkkoon liitetystä tuotteesta tai siihen liittyvästä palvelusta aikana, jolloin käyttäjä ei ryhdy toimiin, kuten silloin, kun käyttäjä päättää olla käyttämättä verkkoon liitettyä tuotetta tiettynä ajanjaksona ja pitää sen sijaan valmiustilassa tai jopa sammutettuna, koska verkkoon liitetyn tuotteen tai sen komponenttien, esimerkiksi sen akkujen, tila voi vaihdella, kun verkkoon liitetty tuote on valmiustilassa tai kytketty pois päältä. Data, jota ei olennaisesti muuteta, eli raakamuodossa oleva data, jota kutsutaan myös lähteeksi tai primaaridataksi, joka viittaa automaattisesti ilman lisäkäsittelyä tuotettuihin tietopisteisiin, sekä data, joka on esikäsitelty sen ymmärrettävyyden ja käytön mahdollistamiseksi ennen jatkokäsittelyä ja analysointia, kuuluu tämän asetuksen soveltamisalaan. Tällaisiin tietoihin kuuluvat tiedot, jotka on kerätty yksittäisestä anturista tai yhteenliitetystä anturiryhmästä, jotta kerätyt tiedot olisivat ymmärrettäviä laajemmissa käyttötapauksissa, määrittämällä fyysinen määrä tai laatu tai muutos fyysisessä määrässä, kuten lämpötilassa, paineessa, virtausnopeudessa, äänessä, pH-arvossa, nestetasossa, asennossa, kiihtyvyydessä tai nopeudessa. Termiä ’esikäsitelty data’ ei pitäisi tulkita siten, että datan haltija velvoitetaan tekemään merkittäviä investointeja datan puhdistamiseen ja muuntamiseen. Saataville asetettavaan dataan olisi sisällyttävä asiaankuuluva metadata, mukaan lukien sen peruskonteksti ja aikaleima, jotta dataa voidaan käyttää yhdistettynä muuhun dataan, kuten dataan, jota on lajiteltu ja luokiteltu muiden siihen liittyvien tietopisteiden kanssa tai uudelleenmuotoiltu yleisesti käytettyyn muotoon. Tällainen data saattaa olla arvokasta käyttäjälle, ja se tukee innovointia sekä digitaalisten ja muiden sellaisten palvelujen kehittämistä, joilla suojellaan ympäristöä, terveyttä ja kiertotaloutta muun muassa helpottamalla kyseisten verkkoon liitettyjen tuotteiden huoltoa ja korjaamista. Sitä vastoin tällaisesta datasta päätellyn tai johdetun tiedon, joka on tulosta lisäinvestoinneista datan arvojen tai tiedon määrittämiseen, erityisesti jos se johdetaan tai päätellään muusta verkkoon liitetyn tuotteen tuottamasta datasta omisteisilla, monimutkaisilla algoritmeilla, mukaan lukien ne, jotka ovat osa omisteista ohjelmistoa, olisi katsottava jäävän tämän asetuksen soveltamisalan ulkopuolelle eikä siihen siten pitäisi soveltaa datan haltijan velvoitetta asettaa se käyttäjän tai datan vastaanottajan saataville, jollei käyttäjän ja datan haltijan välillä toisin sovita. Tällainen data voisi sisältää erityisesti tietoa, joka johdetaan anturifuusiolla, jossa dataa päätellään tai johdetaan keräämällä sitä useista antureista verkkoon liitetyssä tuotteessa käyttäen omisteisia, monimutkaisia algoritmeja, ja joka voisi kuulua teollis- ja tekijänoikeuksien piiriin.

(16)

Tällä asetuksella mahdollistetaan se, että verkkoon liitettyjen tuotteiden käyttäjät voivat hyötyä jälkimarkkina-, liitännäis- ja muista palveluista, jotka perustuvat tällaisiin tuotteisiin sisällytettyjen antureiden keräämään dataan, ja kyseisten tietojen keräämisestä voi olla hyötyä verkkoon liitettyjen tuotteiden suorituskyvyn parantamisessa. On tärkeää erottaa toisistaan yhtäältä tällaisten sensorilaitteilla varustettujen verkkoon liitettyjen tuotteiden ja niihin liittyvien palvelujen tarjonnan markkinat ja toisaalta toisiinsa liittymättömät ohjelmistot ja sisältö, kuten teksti-, ääni- tai audiovisuaalisisältö, joka kuuluu usein teollis- ja tekijänoikeuksien piiriin. Tämän vuoksi datan, jota sensorilaitteilla varustetut verkkoon liitetyt tuotteet tuottavat, kun käyttäjä tallentaa, välittää, esittää tai toistaa sisältöä, samoin kuin itse sisällön, joka kuuluu usein teollis- ja tekijänoikeuksien piiriin, muun muassa jonkin verkkopalvelun suorittamaa käyttöä varten, ei pitäisi kuulua tämän asetuksen soveltamisalaan. Tämän asetuksen ei pitäisi kattaa myöskään dataa, joka on saatu, tuotettu tai johon on päästy verkkoon liitetystä tuotteesta tai siirretty sille tallentamista tai muuta käsittelyä varten muiden osapuolten kuin käyttäjän puolesta, kuten voi olla palvelinten tai pilvi-infrastruktuurin osalta, joita niiden omistajat ylläpitävät yksinomaan kolmansien osapuolten puolesta, muun muassa jonkin verkkopalvelun suorittamaa käyttöä varten.

(17)

On tarpeen määritellä säännöt tuotteille, joihin on liitetty niihin liittyviä palveluja niiden osto-, vuokraus- tai leasing-hetkellä siten, että niiden puuttuminen estäisi verkkoon liitettyä tuotetta suorittamasta yhtä tai useampaa toiminnoistaan, tai jotka valmistaja tai kolmas osapuoli myöhemmin liittää palveluun lisätäkseen tai mukauttaakseen verkkoon liitetyn tuotteen toiminnallisuutta. Tällaisiin verkkoon liitettyyn tuotteeseen liittyviin palveluihin kuuluu datanvaihto verkkoon liitetyn tuotteen ja palveluntarjoajan välillä, ja niiden olisi katsottava liittyvän nimenomaisesti verkkoon liitetyn tuotteen toimintojen toimintaan, kuten palveluihin, jotka tapauksen mukaan välittävät verkkoon liitetylle tuotteelle komentoja, jotka voivat vaikuttaa sen toimintaan tai käyttäytymiseen. Palveluja, jotka eivät vaikuta verkkoon liitetyn tuotteen toimintaan ja joihin ei liity palveluntarjoajan suorittamaa datan tai komentojen siirtoa verkkoon liitettyyn tuotteeseen, ei pitäisi katsoa tuotteeseen liittyviksi palveluiksi. Tällaisia palveluja voisivat olla esimerkiksi avustava konsultointi, analytiikka tai rahoituspalvelut taikka säännöllinen korjaus ja huolto. Verkkoon liitettyyn tuotteeseen liittyviä palveluja voidaan tarjota osana osto-, vuokra- tai leasingsopimusta. Verkkoon liitettyyn tuotteeseen liittyviä palveluja voitaisiin tavallisesti myös tarjota samantyyppisille tuotteille, ja käyttäjä voisi kohtuudella odottaa niiden tarjoamista ottaen huomioon tuotteen luonteen sekä mahdollisen julkisen lausuman, jonka myyjä, vuokraaja, liisaaja tai muu henkilö liiketoimintaketjun aikaisemmassa vaiheessa, valmistaja mukaan luettuna, on esittänyt tai joka on esitetty heidän puolestaan. Kyseiset verkkoon liitettyyn tuotteeseen liittyvät palvelut voivat itse tuottaa käyttäjälle arvokasta dataa riippumatta sen tuotteen datankeruuvalmiuksista, johon ne on liitetty. Tätä asetusta olisi sovellettava myös verkkoon liitettyyn tuotteeseen liittyvään palveluun, jota myyjä, vuokraaja tai liisaaja ei itse toimita vaan sen toimittaa kolmas osapuoli. Jos on epäselvää, toimitetaanko palvelu osana osto-, vuokraus- tai leasingsopimusta, olisi sovellettava tätä asetusta. Virtalähteen tai liitettävyyden toimittamista ei pidä tulkita tämän asetuksen mukaisiksi verkkoon liitettyyn tuotteeseen liittyviksi palveluiksi.

(18)

Verkkoon liitetyn tuotteen käyttäjä olisi ymmärrettävä sellaiseksi luonnolliseksi henkilöksi tai oikeushenkilöksi, kuten elinkeinonharjoittajaksi, kuluttajaksi tai julkisen sektorin elimeksi, joka omistaa verkkoon liitetyn tuotteen, joka on saanut tiettyjä väliaikaisia oikeuksia esimerkiksi vuokra- tai leasingsopimuksen perusteella saada pääsy verkkoon liitetystä tuotteesta saatuun dataan tai joka käyttää sitä tai joka vastaanottaa verkkoon liitettyyn tuotteeseen liittyviä palveluja. Kyseiset tietoihin pääsyä koskevat oikeudet eivät saisi millään tavoin muuttaa tai haitata sellaisten rekisteröityjen oikeuksia, jotka voivat olla vuorovaikutuksessa verkkoon liitetyn tuotteen tai siihen liittyvän palvelun kanssa verkkoon liitetyn tuotteen tuottamien henkilötietojen osalta tai siihen liittyvän palvelun tarjoamisen aikana. Käyttäjä vastaa verkkoon liitetyn tuotteen käyttöön liittyvistä riskeistä ja hyötyy siihen liittyvistä eduista ja hänen olisi myös saatava pääsy verkkoon liitetyn tuotteen tuottamaan dataan. Käyttäjällä olisi sen vuoksi oltava oikeus hyötyä verkkoon liitetyn tuotteen ja siihen liittyvien palvelujen tuottamasta datasta. Myös omistajaa, vuokraajaa tai liisaajaa olisi yhtä lailla pidettävä käyttäjänä, myös silloin, kun useita eri tahoja voidaan pitää käyttäjinä. Kun on kyse useista käyttäjistä, kukin käyttäjä voi osallistua datan tuottamiseen eri tavoin ja olla kiinnostunut monenlaisesta käytöstä, kuten leasing-yrityksen kaluston hallinnasta tai autojen jakamispalvelua käyttäville henkilöille tarkoitetuista liikkuvuusratkaisuista.

(19)

Datalukutaidolla tarkoitetaan taitoja, tietämystä ja ymmärtämystä, joiden avulla käyttäjät, kuluttajat ja yritykset, erityisesti tämän asetuksen soveltamisalaan kuuluvat pk-yritykset, voivat tulla tietoisiksi sellaisen datan mahdollisesta arvosta, jota ne tuottavat ja jakavat ja johon niillä on halua tarjota pääsy asiaankuuluvien oikeudellisten sääntöjen mukaisesti. Datalukutaidon olisi mentävä työkaluihin ja teknologioihin liittyvää oppimista pidemmälle, ja sillä olisi pyrittävä voimaannuttamaan kansalaisia ja yrityksiä ja antamaan niille kyky hyötyä osallistavista ja oikeudenmukaisista datamarkkinoista. Datalukutaitoa lisäävien toimenpiteiden edistäminen ja asianmukaisten seurantatoimien käyttöönotto voisivat edesauttaa työolojen parantamista ja viime kädessä lujittaa datataloutta ja sen innovointipolkua unionissa. Toimivaltaisten viranomaisten olisi edistettävä välineitä ja otettava käyttöön toimenpiteitä, joilla edistetään datalukutaitoa tämän asetuksen soveltamisalaan kuuluvien käyttäjien ja yksikköjen keskuudessa sekä tietoisuutta näiden tämän asetuksen mukaisista oikeuksista ja velvoitteista.

(20)

Kaikki verkkoon liitettyjen tuotteiden tai niihin liittyvien palvelujen tuottama data ei käytännössä ole helposti niiden käyttäjien saatavilla, ja mahdollisuudet internetiin liitettyjen tuotteiden tuottaman datan siirtämiseen ovat usein rajalliset. Käyttäjät eivät pysty hankkimaan dataa, jota ne tarvitsevat käyttääkseen korjaus- ja muiden palvelujen tarjoajia, eivätkä yritykset pysty käynnistämään innovatiivisia, tarkoituksenmukaisia ja tehokkaampia palveluja. Koska valmistajat voivat monilla aloilla valvoa verkkoon liitettyjen tuotteiden tai niihin liittyvien palvelujen teknistä suunnittelua, ne pystyvät määrittämään, mitä dataa tuotetaan ja miten siihen pääsee, vaikka niillä ei ole laillista oikeutta kyseiseen dataan. Sen vuoksi on tarpeen varmistaa, että verkkoon liitetyt tuotteet suunnitellaan ja valmistetaan ja niihin liittyvät palvelut suunnitellaan ja tarjotaan siten, että verkkoon liitetyn tuotteen data ja siihen liittyvän palvelun data, mukaan lukien asiaankuuluva metadata, joka on tarpeen kyseisen datan tulkitsemiseksi ja käyttämiseksi, myös niiden hakemista, käyttöä tai jakamista varten, ovat aina helposti ja turvallisesti maksutta käyttäjän saatavilla kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. ’Helposti saatavilla olevaksi dataksi’ kutsutaan tuotteen dataa ja siihen liittyvän palvelun dataa, jonka datan haltija laillisesti saa tai voi laillisesti saada verkkoon liitetystä tuotteesta tai siihen liittyvästä palvelusta, esimerkiksi tuotteiden suunnittelun, datan haltijan ja käyttäjän välisen sopimuksen, joka koskee asiaan liittyvien palvelujen tarjoamista, ja dataan pääsyn teknisten keinojen avulla ilman kohtuutonta vaivaa. Kun verkkoon liitetyn tuotteen suunnittelu ei mahdollista verkkoon liitetyn tuotteen käytön tuloksena tuotetun datan tallentamista tai siirtämistä sen komponentin, jossa se tuotetaan, tai koko verkkoon liitetyn tuotteen ulkopuolelle, tällainen data ei sisälly helposti saatavilla olevaan dataan. Tätä asetusta ei näin ollen pitäisi ymmärtää siten, että siinä asetettaisiin velvoite tallentaa data myös verkkoon liitetyn tuotteen keskuslaskentayksikköön. Tällaisen velvoitteen puuttuminen ei saisi estää valmistajaa tai datan haltijaa sopimasta vapaaehtoisesti käyttäjän kanssa tällaisten mukautusten tekemisestä. Tässä asetuksessa säädetyt suunnitteluvelvoitteet eivät myöskään rajoita asetuksen (EU) 2016/679 5 artiklan 1 kohdan c alakohdassa vahvistetun tietojen minimoinnin periaatteen soveltamista, eikä niitä pitäisi tulkita siten, että niissä asetettaisiin velvoite suunnitella verkkoon liitetyt tuotteet ja niihin liittyvät palvelut siten, että niissä tallennetaan tai muuten käsitellään muita henkilötietoja kuin niitä, jotka ovat tarpeen niiden tarkoitusten täyttämiseksi, joita varten niitä käsitellään. Unionin oikeutta tai kansallista lainsäädäntöä voitaisiin ottaa käyttöön muiden erityispiirteiden määrittelemiseksi, kuten tuotteen datan, jonka olisi oltava saatavilla verkkoon liitetyistä tuotteista tai niihin liittyvistä palveluista, koska tällainen data voi olla olennaisen tärkeitä kyseisten verkkoon liitettyjen tuotteiden tai niihin liittyvien palvelujen tehokkaan toiminnan, korjauksen tai huollon kannalta. Jos valmistajan tai muun osapuolen verkkoon liitettyyn tuotteeseen tai siihen liittyvään palveluun tekemien myöhempien päivitysten tai muuntelujen tuloksena saadaan pääsy muuhun dataan tai rajoitetaan sitä dataa, johon alun perin on ollut mahdollista päästä, tällaisista muutoksista olisi ilmoitettava käyttäjälle päivityksen tai muuntelun yhteydessä.

(21)

Jos käyttäjinä pidetään useita henkilöitä tai yksikköjä, esimerkiksi yhteisomistuksen tapauksessa tai jos omistaja, vuokraaja tai liisaaja jakaa oikeudet dataan pääsyyn tai sen käyttöön, verkkoon liitetyn tuotteen tai siihen liittyvän palvelun suunnittelun tai asiaankuuluvan käyttöliittymän olisi mahdollistettava kullekin käyttäjälle pääsy tuottamaansa dataan. Dataa tuottavien verkkoon liitettyjen tuotteiden käyttäjien on yleensä perustettava käyttäjätili. Tällainen tili mahdollistaa käyttäjän tunnistamisen datan haltijalle, joka voi olla valmistaja. Sitä voidaan käyttää myös viestintävälineenä ja dataan pääsyä koskevien pyyntöjen esittämiseen ja käsittelemiseen. Jos useampi valmistaja tai asiaan liittyvien palvelujen tarjoaja on myynyt, vuokrannut tai liisannut samalle käyttäjälle toisiinsa integroituja verkkoon liitettyjä tuotteita tai tarjonnut niihin liittyviä palveluja, käyttäjän olisi käännyttävä kunkin osapuolen puoleen, jonka kanssa sillä on sopimus. Tyypillisesti useiden henkilöiden käyttämän verkkoon liitetyn tuotteen valmistajien tai suunnittelijoiden olisi otettava käyttöön tarvittavat mekanismit, joiden ansiosta yksittäiset henkilöt voisivat tarvittaessa käyttää erillisiä käyttäjätilejä tai useammat henkilöt voisivat käyttää samaa käyttäjätiliä. Tiliratkaisujen olisi annettava käyttäjille mahdollisuus poistaa tilinsä ja heihin liittyvät tiedot, ja ne voisivat antaa käyttäjille mahdollisuuden lopettaa dataan pääsyn, sen käytön tai jakamisen tai esittää tätä koskevia pyyntöjä ottaen erityisesti huomioon tilanteet, joissa verkkoon liitetyn tuotteen omistus tai käyttö muuttuu. Käyttäjälle olisi myönnettävä pääsy dataan sellaisen pelkkään pyyntöön perustuvan mekanismin pohjalta, joka mahdollistaa automaattisen toteutuksen eikä edellytä valmistajan tai datan haltijan tekemiä tutkimuksia tai selvityksiä. Tämä tarkoittaa, että data olisi asetettava saataville vain, kun käyttäjä todella haluaa saada siihen pääsyn. Jos dataan pääsyä koskevan pyynnön automaattinen toteuttaminen ei ole mahdollista esimerkiksi käyttäjätilin kautta tai verkkoon liitetyn tuotteen tai siihen liittyvän palvelun mukana toimitetun mobiilisovelluksen kautta, valmistajan olisi ilmoitettava käyttäjälle, miten dataan voi päästä.

(22)

Verkkoon liitetyt tuotteet voidaan suunnitella siten, että tietty data asetetaan saataville suoraan laitteen datantallennustilasta tai etäpalvelimelta, jolle data välitetään. Pääsy laitteen datantallentimeen voidaan mahdollistaa kaapelipohjaisten tai langattomien lähiverkkojen avulla, jotka on liitetty yleisesti saatavilla olevaan sähköiseen viestintäpalveluun tai matkaviestinverkkoon. Palvelin voi kuulua valmistajan omaan paikalliseen tai kolmannen osapuolen tai pilvipalvelujen tarjoajan palvelinkapasiteettiin. Asetuksen (EU) 2016/679 2 artiklan 8 alakohdassa määriteltyjen henkilötietojen käsittelijöiden ei katsota toimivan datan haltijoina. Asetuksen (EU) 2016/679 4 artiklan 7 alakohdassa määritelty rekisterinpitäjä voi kuitenkin antaa nimenomaisesti niille tehtäväksi asettaa data saataville. Verkkoon liitetyt tuotteet voidaan suunnitella siten, että käyttäjä tai kolmas osapuoli voi niiden avulla käsitellä dataa verkkoon liitetyssä tuotteessa, valmistajan tietokoneella tai käyttäjän tai kolmannen osapuolen valitsemassa tieto- ja viestintäteknisessä ympäristössä.

(23)

Virtuaaliavustajilla on yhä suurempi rooli kuluttaja- ja ammattiympäristöjen digitoinnissa, ja ne toimivat helppokäyttöisenä käyttöliittymänä sisällön toistamisessa, tiedon hankkimisessa tai internetiin liitettyjen tuotteiden aktivoinnissa. Virtuaaliavustajat voivat toimia yhteisenä palveluväylänä esimerkiksi älytaloympäristössä ja tallentaa huomattavia määriä asiaan kuuluvaa dataa siitä, miten käyttäjät ovat vuorovaikutuksessa internetiin liitettyjen tuotteiden kanssa, myös muiden osapuolten valmistamien tuotteiden kanssa. Ne voivat korvata valmistajien tarjoamien käyttöliittymien, kuten kosketusnäyttöjen tai älypuhelinsovellusten, käytön. Käyttäjä voi haluta asettaa tällaisen datan kolmansina osapuolina olevien valmistajien saataville ja mahdollistaa uudet äly palvelut. Virtuaaliavustajien olisi kuuluttava tässä asetuksessa säädettyjen dataan pääsyä koskevien oikeuksien piiriin. Tässä asetuksessa säädettyjen dataan pääsyä koskevien oikeuksien piiriin olisi kuuluttava myös datan, joka tuotetaan, kun käyttäjä on vuorovaikutuksessa verkkoon liitetyn tuotteen kanssa muun tahon kuin verkkoon liitetyn tuotteen valmistajan tarjoaman virtuaaliavustajan välityksellä. Tämän asetuksen piiriin olisi kuitenkin kuuluttava vain data, joka on peräisin käyttäjän ja verkkoon liitetyn tuotteen tai siihen liittyvän palvelun välisestä vuorovaikutuksesta virtuaaliavustajan kautta. Virtuaaliavustajan tuottama data, joka ei liity verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käyttöön, ei kuulu tämän asetuksen soveltamisalaan.

(24)

Ennen kuin verkkoon liitetyn tuotteen ostamisesta, vuokraamisesta tai liisaamisesta tehdään sopimus, myyjän, vuokraajan tai liisaajan, joka voi olla valmistaja, olisi annettava käyttäjälle selkeällä ja ymmärrettävällä tavalla tiedot tuotteen datasta, jonka verkkoon liitetty tuote kykenee tuottamaan, mukaan lukien tällaisen datan tyyppi, muoto ja arvioitu koko. Tähän voisi sisältyä tietoja tietorakenteista, tietomuodoista, sanastoista, luokituskaavoista, taksonomioista ja koodistoista, jos niitä on saatavilla, sekä selkeät ja riittävät tiedot käyttäjän oikeuksista sen osalta, miten dataa voidaan tallentaa tai hakea tai miten siihen voi saada pääsyn, mukaan lukien sovellusrajapintojen käyttöehdot ja palvelun laatu tai tarvittaessa ohjelmistokehityspakettien tarjoaminen. Kyseisellä velvoitteella varmistetaan tuotetun tuotteen datan avoimuus ja parannetaan pääsyä dataan käyttäjän kannalta. Tiedonantovelvoite voitaisiin täyttää esimerkiksi pitämällä verkossa pysyvä URL-osoite, joka voidaan jakaa verkkolinkkinä tai QR-koodina ja joka viittaa asiaankuuluviin tietoihin, joita myyjä, vuokraaja tai liisaaja, joka voi olla valmistaja, voisi toimittaa käyttäjälle ennen verkkoon liitetyn tuotteen ostoa, vuokrausta tai liisaamista koskevan sopimuksen tekemistä. On joka tapauksessa tarpeen taata, että käyttäjä voi tallentaa tiedot siten, että tiedot ovat saatavilla myöhempää käyttöä varten tavalla, joka mahdollistaa tallennettujen tietojen toisinnan muuttumattomina. Datan haltijan ei voida odottaa tallentavan dataa määräämättömäksi ajaksi verkkoon liitetyn tuotteen käyttäjän tarpeiden täyttämiseksi, mutta sen olisi tarvittaessa otettava käyttöön asetuksen (EU) 2016/679 5 artiklan 1 kohdan e alakohdan mukaisen säilytyksen rajoittamista koskevan periaatteen mukaisesti kohtuullinen tietojen säilytyskäytäntö, joka mahdollistaa tässä asetuksessa säädettyjen dataan pääsyä koskevien oikeuksien tehokkaan soveltamisen. Tämä tiedonantovelvoite ei vaikuta rekisterinpitäjän velvollisuuteen antaa rekisteröidylle tietoja asetuksen (EU) 2016/679 12, 13 ja 14 artiklan mukaisesti. Mahdollinen datan haltija olisi velvoitettava antamaan tietoja ennen sopimukseen liittyvän palvelun tarjoamista koskevan sopimuksen tekemistä riippumatta siitä, tekeekö se sopimuksen verkkoon liitetyn tuotteen ostamisesta, vuokraamisesta vai liisaamisesta. Jos tiedot muuttuvat verkkoon liitetyn tuotteen käyttöiän tai siihen liittyvän palvelun sopimuskauden aikana, myös silloin, kun tarkoitus, johon dataa on määrä käyttää, muuttuu alkuperäisestä käyttötarkoituksesta, ne olisi myös annettava käyttäjälle.

(25)

Tätä asetusta ei pitäisi ymmärtää siten, että siinä annetaan datan haltijoille uusi oikeus käyttää tuotteen tai siihen liittyvän palvelun dataa. Kun verkkoon liitetyn tuotteen valmistaja on datan haltija, perusteena sille, että valmistaja voi käyttää muuta dataa kuin henkilötietoja, olisi oltava sopimus valmistajan ja käyttäjän välillä. Tällainen sopimus voisi olla osa tuotteeseen liittyvän palvelun tarjoamista, ja palvelu voidaan tarjota yhdessä verkkoon liitettyyn tuotteeseen liittyvän osto-, vuokra- tai leasingsopimuksen kanssa. Sopimukseen sisältyvien sopimusehtojen, joiden mukaan datan haltija voi käyttää tuotteen tai siihen liittyvän palvelun dataa, olisi oltava käyttäjän kannalta avoimia myös sen osalta, mihin tarkoitukseen datan haltija aikoo käyttää dataa. Tällaisia tarkoituksia voisivat olla verkkoon liitetyn tuotteen tai siihen liittyvien palvelujen toiminnan parantaminen, uusien tuotteiden tai palvelujen kehittäminen tai datan yhdistäminen, jotta tuloksena oleva johdettu data voidaan asettaa kolmansien osapuolten saataville edellyttäen, että tällaisen johdetun datan avulla ei voida tunnistaa tiettyä dataa, joka on siirretty datan haltijalle verkkoon liitetystä tuotteesta, tai anneta kolmannelle osapuolelle mahdollisuutta johtaa kyseistä dataa datajoukosta. Sopimuksen muuttamisen olisi perustuttava käyttäjän tietoiseen suostumukseen. Tällä asetuksella ei estetä sopimuspuolia sopimasta sopimusehdoista, joilla estetään datan haltijaa käyttämästä muuta dataa kuin henkilötietoja tai muun datan kuin henkilötietojen tiettyjä luokkia tai rajoitetaan niiden käyttöä. Sillä ei myöskään estetä sopimuspuolia sopimasta tuotteen datan tai siihen liittyvän palvelun datan asettamisesta kolmansien saataville suoraan tai välillisesti, mukaan lukien tarvittaessa toisen datan haltijan kautta. Tällä asetuksella ei myöskään estetä unionin oikeuden mukaisia tai unionin oikeuden kanssa yhteensopivan kansallisen lainsäädännön mukaisia alakohtaisia sääntelyvaatimuksia, joissa estettäisiin datan haltijaa käyttämästä tiettyä tällaista dataa tai rajoitetaan tätä käyttöä tarkasti määritellyin yleiseen järjestykseen liittyvin perustein. Tämä asetus ei estä käyttäjiä yritysten välisissä suhteissa asettamasta dataa kolmansien osapuolten tai datan haltijoiden saataville minkään laillisen sopimusehdon nojalla, myös sopimalla tällaisen datan edelleenjakamisen rajoittamisesta, tai saamasta suhteellista korvausta, esimerkiksi vastineeksi siitä, että he luopuvat oikeudestaan käyttää tai jakaa tällaista dataa laillisesti. ’Datan haltijan’ käsite ei yleensä kata julkisen sektorin elimiä mutta siihen voi kuitenkin lukeutua julkisia yrityksiä.

(26)

Jotta voidaan edistää muun datan kuin henkilötietojen likvidien, oikeudenmukaisten ja tehokkaiden markkinoiden syntymistä unionissa, verkkoon liitettyjen tuotteiden käyttäjien olisi voitava jakaa dataa muiden kanssa, myös kaupallisiin tarkoituksiin, siten, että oikeudellinen ja tekninen vaiva on minimaalinen. Yritysten on nykyisin usein vaikea perustella henkilöstö- tai tietoteknisiä kustannuksia, jotka ovat tarpeen muita kuin henkilötietoja sisältävien datajoukkojen tai datatuotteiden valmistelemiseksi, ja tarjota niitä mahdollisille vastapuolille datan välityspalvelujen, mukaan lukien datan markkinapaikat, välityksellä. Eräs merkittävä este yritysten suorittamalle muiden kuin henkilötietojen jakamiselle on näin ollen siinä, että investoinnista datajoukkojen tai datatuotteiden kuratointiin ja saataville asettamiseen saatavaa taloudellista tuottoa ei pystytä ennakoimaan. Jotta voidaan mahdollistaa muun datan kuin henkilötietojen likvidien, oikeudenmukaisten ja tehokkaiden markkinoiden syntyminen unionissa, on tarpeen selventää, millä osapuolella on oikeus tarjota tällaista dataa markkinapaikalla. Käyttäjillä olisi sen vuoksi oltava oikeus jakaa muuta dataa kuin henkilötietoja datan vastaanottajien kanssa kaupallisiin ja muihin kuin kaupallisiin tarkoituksiin. Käyttäjä voisi jakaa suoraan tällaista dataa, tai sitä voitaisiin jakaa käyttäjän pyynnöstä datan haltijan kautta tai datan välityspalvelujen kautta. Datan välityspalveluilla, joita säännellään Euroopan parlamentin ja neuvoston asetuksella (EU) 2022/868 (22), voitaisiin helpottaa datataloutta luomalla kaupallisia suhteita käyttäjien, datan vastaanottajien ja kolmansien osapuolten välille, ja ne voisivat tukea käyttäjiä näiden datan käyttöä koskevan oikeuden käyttämisessä esimerkiksi varmistamalla henkilötietojen asianmukaisen anonymisoinnin tai yhdistämällä useiden eri käyttäjien pääsyn dataan. Kun dataan ei sovelleta datan haltijan velvoitetta asettaa se käyttäjien tai kolmansien osapuolten saataville, tällaisen datan laajuus voitaisiin täsmentää käyttäjän ja datan haltijan välisessä tuotteeseen liittyvän palvelun tarjoamista koskevassa sopimuksessa, jotta käyttäjät voivat helposti määrittää, mikä data on heidän saatavillaan jaettavaksi datan vastaanottajien tai kolmansien osapuolten kanssa. Datan haltijat eivät saisi asettaa muuta kuin henkilökohtaista tuotteen dataa kolmansien osapuolten saataville kaupallisiin tai ei-kaupallisiin tarkoituksiin muutoin kuin käyttäjän kanssa tekemänsä sopimuksen täyttämiseksi, mikä ei saisi kuitenkaan rajoittaa sellaisten unionin oikeuden tai kansallisen lainsäädännön mukaisten oikeudellisten vaatimusten soveltamista, joiden mukaan datan haltijan on asetettava data saataville. Tapauksen mukaan datan haltijoiden olisi sopimusteitse velvoitettava kolmannet osapuolet olemaan jakamatta edelleen niiltä vastaanotettua dataa.

(27)

Aloilla, joilla verkkoon liitettyjen tuotteiden toimittaminen loppukäyttäjille on tyypillisesti keskittynyt pienelle määrälle valmistajia, käyttäjien saatavilla voi olla vain vähän vaihtoehtoja datan saatavuudelle, käytölle ja jakamiselle. Tällaisissa tilanteissa sopimuksilla ei välttämättä voida saavuttaa käyttäjän vaikutusmahdollisuuksia koskevaa tavoitetta, minkä vuoksi käyttäjien on vaikea saada arvoa ostamiensa, vuokraamiensa tai liisaamiensa verkkoon liitettyjen tuotteiden tuottamasta datasta. Tämän vuoksi innovatiivisten pienten yritysten mahdollisuudet tarjota kilpailukykyisesti datapohjaisia ratkaisuja ovat vähäiset ja potentiaali monimuotoisen datatalouden luomiseen on rajallinen unionissa. Tämän asetuksen olisi sen vuoksi perustuttava tietyillä aloilla viime aikoina kehitettyihin sääntöihin, joista esimerkkinä ovat maatalousdatan jakamista sopimuksen perusteella koskevat käytännesäännöt. Alakohtaisten tarpeiden ja tavoitteiden huomioon ottamiseksi voidaan antaa unionin oikeutta tai kansallista lainsäädäntöä. Datan haltijoiden ei myöskään pitäisi käyttää helposti saatavilla olevaa dataa, joka on muuta dataa kuin henkilötietoja, päätelmien tekemiseksi käyttäjän taloudellisesta tilanteesta, varoista tai tuotantomenetelmistä tai siitä, miten käyttäjä käyttää tällaista dataa, eikä käyttää mainittua dataa jollakin muulla tavalla, joka voisi heikentää kyseisen käyttäjän kaupallista asemaa niillä markkinoilla, joilla se toimii. Tähän voisi sisältyä esimerkiksi yrityksen tai maatilan toiminnan yleistä tuloksellisuutta koskevan tietämyksen käyttö käyttäjän vahingoksi käyttäjän kanssa käytävissä sopimusneuvotteluissa käyttäjän tuotteiden tai maataloustuotteiden mahdollisesta hankkimisesta tai tällaisen tiedon käyttö syöttämällä sitä laajempiin yhdistettyihin tietokantoihin, esimerkiksi seuraavan satokauden sadon määrää koskeviin tietokantoihin, koska tällaisella käytöllä voisi olla epäsuoria haitallisia vaikutuksia käyttäjään. Käyttäjälle olisi annettava lupien hallinnointia varten tarvittava tekninen rajapinta, jossa olisi hyvä olla yksityiskohtaiset lupavaihtoehdot, kuten ”sallitaan kerran” tai ”sallitaan tämän sovelluksen tai palvelun käytön ajaksi”, sekä mahdollisuus tällaisten lupien epäämiseen.

(28)

Datan haltijan ja kuluttajan välisissä sopimuksissa, joissa kuluttaja on dataa tuottavan verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käyttäjä, sovelletaan unionin kuluttajalainsäädäntöä, erityisesti direktiiviä 93/13/ETY ja 2005/29/EY sen varmistamiseksi, että kuluttajaan ei sovelleta kohtuuttomia sopimusehtoja. Tätä asetusta sovellettaessa yritykselle yksipuolisesti asetetut kohtuuttomat sopimusehdot eivät saisi sitoa kyseistä yritystä.

(29)

Datan haltijat voivat vaatia käyttäjän asianmukaista tunnistusta varmistaakseen, että käyttäjällä on oikeus dataan pääsyyn. Kun on kyse henkilötiedoista, joita käsittelijä käsittelee rekisterinpitäjän puolesta, datan haltijoiden olisi varmistettava, että henkilötietojen käsittelijä saa ja käsittelee dataan pääsyä koskevan pyynnön.

(30)

Käyttäjän olisi voitava käyttää dataa vapaasti mihin tahansa lailliseen tarkoitukseen. Tähän kuuluu muun muassa käyttäjän tämän asetuksen mukaisia oikeuksiaan käyttäessään saaman datan antaminen kolmannelle osapuolelle, joka tarjoaa jälkimarkkinapalvelua, joka voi kilpailla datan haltijan tarjoaman palvelun kanssa, tai datan haltijan ohjeistaminen tekemään niin. Pyynnön esittäjän olisi oltava käyttäjä tai käyttäjän puolesta toimiva valtuutettu kolmas osapuoli, kuten datan välityspalvelun tarjoaja. Datan haltijoiden olisi varmistettava, että kolmannen osapuolen saataville asetettu data on yhtä täsmällistä, täydellistä, luotettavaa, olennaista ja ajantasaista kuin se data, jonka datan haltija itse voi saada tai johon sillä voi olla oikeus verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena. Datan käsittelyssä olisi kunnioitettava teollis- ja tekijänoikeuksia. On tärkeää säilyttää kannustimet sellaisiin tuotteisiin investoimiseen, joissa on niihin asennetuista antureista saatavan datan käyttöön perustuvia toimintoja.

(31)

Euroopan parlamentin ja neuvoston direktiivissä (EU) 2016/943 (23) säädetään, että liikesalaisuuden hankintaa, käyttöä tai ilmaisemista on pidettävä laillisena muun muassa silloin, kun tällaista hankintaa, käyttöä tai ilmaisemista edellytetään tai se sallitaan unionin oikeudessa tai kansallisessa lainsäädännössä. Vaikka tässä asetuksessa edellytetään, että datan haltijat luovuttavat tiettyä dataa käyttäjille tai käyttäjän valitsemille kolmansille osapuolille, vaikka tällaista dataa voidaan suojata liikesalaisuuksina, sitä olisi tulkittava sellaisella tavalla, että liikesalaisuuksille direktiivin (EU) 2016/943 nojalla annettu suoja säilytetään. Tässä yhteydessä datan haltijoiden olisi voitava vaatia käyttäjiä tai käyttäjän valitsemia kolmansia osapuolia säilyttämään liikesalaisuuksina pidettävän datan luottamuksellisuus. Tätä varten datan haltijoiden olisi yksilöitävä liikesalaisuudet ennen ilmaisemista ja niillä olisi oltava mahdollisuus sopia käyttäjien tai käyttäjän valitsemien kolmansien osapuolten kanssa tarpeellisista toimenpiteistä liikesalaisuuksien luottamuksellisuuden säilyttämiseksi, myös käyttämällä mallisopimusehtoja ja salassapitosopimuksia sekä soveltamalla tiukkoja pääsyä koskevia protokollia, teknisiä standardeja ja käytännesääntöjä. Niiden mallisopimusehtojen käyttämisen lisäksi, joiden laatiminen ja suosittaminen on komission tehtävänä, liikesalaisuuksien suojaa koskevien käytännesääntöjen ja teknisten standardien laatiminen datan käsittelyä varten voisi auttaa saavuttamaan tämän asetuksen tavoitteen, ja siihen olisi kannustettava. Jos yhteisymmärrykseen tarpeellisista toimenpiteistä ei ole päästy tai jos käyttäjä taikka käyttäjän valitsema kolmas osapuoli ei toteuta sovittuja toimenpiteitä tai heikentää liikesalaisuuksien luottamuksellisuutta, datan haltijan olisi voitava pidättyä liikesalaisuuksiksi yksilöidyn datan jakamisesta tai keskeyttää se. Tällaisissa tapauksissa datan haltijan olisi toimitettava päätös kirjallisesti käyttäjälle tai kolmannelle osapuolelle ilman aiheetonta viivytystä ja ilmoitettava sen jäsenvaltion kansalliselle toimivaltaiselle viranomaiselle, johon datan haltija on sijoittautunut, että se on pidättynyt datan jakamisesta tai keskeyttänyt sen, ja yksilöitävä, mistä toimenpiteistä ei ole sovittu tai mitä ei ole pantu täytäntöön ja, tapauksen mukaan, minkä liikesalaisuuksien luottamuksellisuus on vaarantunut. Datan haltijat eivät lähtökohtaisesti voi evätä tämän asetuksen mukaista dataan pääsyä koskevaa pyyntöä ainoastaan sillä perusteella, että tietty data katsotaan liikesalaisuudeksi, sillä se tekisi tyhjäksi tällä asetuksella tavoitellut tulokset. Poikkeuksellisissa olosuhteissa datan haltijan, joka on liikesalaisuuden haltija, olisi kuitenkin voitava tapauskohtaisesti evätä pyyntö tietyn kyseessä olevan datan osalta, jos se voi osoittaa käyttäjälle tai kolmannelle osapuolelle, että käyttäjän tai kolmannen osapuolen toteuttamista teknisistä ja organisatorisista toimenpiteistä huolimatta kyseisen liikesalaisuuden ilmaisemisesta aiheutuu erittäin todennäköisesti vakavaa taloudellista vahinkoa. Vakava taloudellinen vahinko merkitsee vakavia ja korjaamattomia taloudellisia menetyksiä. Datan haltijan olisi asianmukaisesti perusteltava kieltäytymisensä kirjallisesti ilman aiheetonta viivytystä käyttäjälle tai kolmannelle osapuolelle ja ilmoitettava asiasta kansalliselle toimivaltaiselle viranomaiselle. Tällaisen perustelun olisi perustuttava objektiivisiin seikkoihin, jotka osoittavat konkreettisen riskin vakavasta taloudellisesta vahingosta, jonka odotetaan johtuvan tietystä tietojen ilmaisemisesta, sekä syyt, joiden vuoksi pyydettyjen tietojen suojaamiseksi toteutettuja toimenpiteitä ei pidetä riittävinä. Tässä yhteydessä voidaan ottaa huomioon mahdollinen kielteinen vaikutus kyberturvallisuuteen. Jos käyttäjä tai kolmas osapuoli haluaa riitauttaa datan haltijan päätöksen datan jakamisen epäämisestä tai jakamisen pidättämisestä tai keskeyttämisestä, se voi tehdä valituksen kansalliselle toimivaltaiselle viranomaiselle, jonka olisi ilman aiheetonta viivytystä päätettävä, olisiko datan jakaminen aloitettava tai olisiko sitä jatkettava ja millä edellytyksillä, tai se voi sopia datan haltijan kanssa asian saattamisesta riidanratkaisuelimen käsiteltäväksi, sanotun kuitenkaan rajoittamatta oikeutta hakea muutosta jäsenvaltion tuomioistuimessa. Tässä asetuksessa säädetyt poikkeukset tietoihin pääsyä koskeviin oikeuksiin eivät saisi missään tapauksessa rajoittaa asetuksen (EU) 2016/679 mukaisia rekisteröityjen oikeuksia saada pääsy tietoihin ja siirtää tiedot järjestelmästä toiseen.

(32)

Tämän asetuksen tavoitteena ei ole ainoastaan edistää uusien, innovatiivisten verkkoon liitettyjen tuotteiden tai niihin liittyvien palvelujen kehittämistä sekä innovointia jälkimarkkinoilla, vaan myös edistää dataa hyödyntävien kokonaan uusien palvelujen kehittämistä, mukaan lukien monista erilaisista verkkoon liitetyistä tuotteista tai niihin liittyvistä palveluista saatavaan dataan perustuvat palvelut. Tämän asetuksen tavoitteena on samalla estää dataa tuottavien verkkoon liitettyjen tuotteiden tyyppien osalta investointikannustimien heikentäminen esimerkiksi siten, että dataa käytetään sellaisen kilpailevan verkkoon liitetyn tuotteen kehittämiseen, joka olisi ominaisuuksiensa, hintansa ja aiotun käyttönsä perusteella käyttäjien vaihdettavissa tai korvattavissa. Tässä asetuksessa ei kielletä verkkoon liitettyyn tuotteeseen liittyvän palvelun kehittämistä tämän asetuksen mukaisesti saadun datan avulla, koska sillä olisi ei-toivottava vaikutus innovointiin. Tämän asetuksen nojalla saatavilla olevan datan kilpailevan verkkoon liitetyn tuotteen kehittämiseen tähtäävän käytön kieltäminen suojaa datan haltijoiden innovointitoimia. Se, kilpaileeko verkkoon liitetty tuote sen verkkoon liitetyn tuotteen kanssa, josta data on peräisin, riippuu siitä, kilpailevatko nämä kaksi tuotetta samoilla tuotemarkkinoilla. Tämä on määritettävä merkityksellisten tuotemarkkinoiden määrittelemiseen tarkoitetun unionin kilpailulainsäädännön vakiintuneiden periaatteiden pohjalta. Muihin datan käytön laillisiin tarkoituksiin voisi kuitenkin kuulua takaisinmallinnus edellyttäen, että se täyttää tässä asetuksessa sekä unionin oikeudessa tai kansallisessa lainsäädännössä säädetyt vaatimukset. Tämä voi koskea verkkoon liitetyn tuotteen korjaamista tai käyttöiän pidentämistä tai jälkimarkkinapalvelujen tarjoamista verkkoon liitetyille tuotteille.

(33)

Kolmas osapuoli, jonka saataville data asetetaan, voi olla luonnollinen henkilö tai oikeushenkilö, kuten kuluttaja, yritys, tutkimusorganisaatio, voittoa tavoittelematon järjestö tai ammattitoimintaa harjoittava yksikkö. Kun data asetetaan kolmannen osapuolen saataville, datan haltija ei saisi käyttää väärin asemaansa kilpailuedun saamiseksi markkinoilla, joilla datan haltija ja kolmas osapuoli saattavat kilpailla suoraan keskenään. Datan haltija ei näin ollen saisi käyttää mitään helposti saatavilla olevaa dataa päätelmien tekemiseksi kolmannen osapuolen taloudellisesta tilanteesta, varoista tai tuotantomenetelmistä tai siitä, miten kolmas osapuoli käyttää kyseistä dataa, eikä käyttää mainittua dataa millään muulla tavalla, joka voisi heikentää kolmannen osapuolen kaupallista asemaa niillä markkinoilla, joilla kolmas osapuoli toimii. Käyttäjän olisi voitava jakaa muita kuin henkilötietoja kolmansien osapuolten kanssa kaupallisiin tarkoituksiin. Kolmansien osapuolten olisi voitava käyttäjän kanssa tehdyn sopimuksen perusteella siirtää käyttäjän myöntämät dataan pääsyä koskevat oikeudet kolmansille osapuolille, myös korvausta vastaan, jollei tämän asetuksen säännöksistä muuta johdu. Yritysten väliset datan välittäjät ja henkilötietojen hallintajärjestelmät (PIMS), joita kutsutaan asetuksessa (EU) 2022/868 datan välityspalveluiksi, voivat tukea käyttäjiä tai kolmansia osapuolia kauppasuhteiden luomisessa määrittelemättömään määrään mahdollisia vastapuolia mitä tahansa tämän asetuksen soveltamisalaan kuuluvaa laillista tarkoitusta varten. Niillä voisi olla ratkaiseva rooli yhdistettäessä pääsy dataan, jotta voidaan helpottaa massadata-analyyseja tai koneoppimista edellyttäen, että käyttäjillä säilyy täysi määräysvalta sen suhteen, antavatko ne dataansa tällaiseen yhdistämiseen ja millä kaupallisilla ehdoilla niiden dataa on määrä käyttää.

(34)

Verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käyttö voi erityisesti silloin, kun käyttäjä on luonnollinen henkilö, tuottaa dataa, joka koskee tunnistettua tai tunnistettavissa olevaa rekisteröityä. Tällaisen datan käsittelyyn sovelletaan asetuksessa (EU) 2016/679 vahvistettuja sääntöjä myös silloin, kun tietojoukossa olevat henkilötiedot ja muu data kuin henkilötiedot liittyvät erottamattomasti toisiinsa. Rekisteröity voi olla käyttäjä tai muu luonnollinen henkilö. Henkilötietoja voi pyytää vain rekisterinpitäjä tai rekisteröity. Käyttäjällä, joka on rekisteröity, on asetuksen (EU) 2016/679 nojalla tietyissä olosuhteissa oikeus päästä itseään koskeviin henkilötietoihin, eikä tämä asetus vaikuta mainittuun oikeuteen. Käyttäjällä, joka on luonnollinen henkilö, on tämän asetuksen nojalla lisäksi oikeus päästä kaikkeen verkkoon liitetyn tuotteen käytön tuloksena tuotettuun dataan, riippumatta siitä, onko data henkilötietoja vai muuta kuin henkilötietoja. Jos käyttäjä ei ole rekisteröity vaan yritys, mukaan lukien yksityinen elinkeinonharjoittaja, mutta kyseessä ei ole verkkoon liitetyn tuotteen jakaminen kotitaloudessa, käyttäjä katsotaan rekisterinpitäjäksi. Näin ollen tällaisella käyttäjällä, joka rekisterinpitäjänä aikoo pyytää verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tuotettuja henkilötietoja, on oltava asetuksen (EU) 2016/679 6 artiklan 1 kohdassa edellytetyn mukaisesti oikeusperuste datan käsittelyä varten, kuten rekisteröidyn suostumus tai sellaisen sopimuksen olemassaolo, jonka osapuolena rekisteröity on. Tällaisen käyttäjän olisi varmistettava, että rekisteröidylle ilmoitetaan asianmukaisesti tämän datan käsittelyn tietyistä, nimenomaisista ja laillisista tarkoituksista sekä rekisteröidyn mahdollisuuksista oikeuksiensa tosiasialliseen käyttöön. Jos datan haltija ja käyttäjä ovat asetuksen (EU) 2016/679 26 artiklassa tarkoitettuja yhteisrekisterinpitäjiä, niiden on määritettävä läpinäkyvällä tavalla keskinäisellä järjestelyllä asianomaiset vastuualueensa mainitun asetuksen noudattamiseksi. Tältä osin olisi ymmärrettävä, että kun data on asetettu saataville, tällaisesta käyttäjästä voi puolestaan tulla datan haltija, jos kyseinen käyttäjä täyttää tämän asetuksen mukaiset kriteerit, jolloin siihen sovelletaan tämän asetuksen mukaisia datan saataville asettamista koskevia velvoitteita.

(35)

Tuotteen dataa tai tuotteeseen liittyvän palvelun dataa olisi asetettava kolmannen osapuolen saataville vain käyttäjän pyynnöstä. Tällä asetuksella täydennetään tämän mukaisesti asetuksen (EU) 2016/679 20 artiklassa säädettyä rekisteröityjen oikeutta saada heitä koskevia henkilötietoja jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä siirtää kyseinen data jollekin muulle rekisterinpitäjälle, jos tätä dataa käsitellään automaattisesti kyseisen asetuksen 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan perusteella tai 6 artiklan 1 kohdan b alakohdan nojalla tehdyn sopimuksen perusteella. Rekisteröidyillä on myös oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, mutta vain silloin, kun se on teknisesti mahdollista. Asetuksen (EU) 2016/679 20 artiklassa täsmennetään, että se koskee rekisteröidyn toimittamaa dataa, mutta siinä ei täsmennetä, edellytetäänkö tässä yhteydessä rekisteröidyn aktiivista toimintaa tai sovelletaanko sitä myös tilanteisiin, joissa verkkoon liitetty tuote tai siihen liittyvä palvelu on suunniteltu siten, että se havainnoi rekisteröidyn käyttäytymistä tai muuta rekisteröityyn liittyvää tietoa passiivisesti. Tässä asetuksessa säädetyt oikeudet täydentävät usealla tavalla asetuksen (EU) 2016/679 20 artiklassa säädettyä oikeutta saada ja siirtää henkilötietoja. Tässä asetuksessa annetaan käyttäjille oikeus saada ja asettaa kolmannen osapuolen saataville tuotteen tai siihen liittyvän palvelun dataa riippumatta siitä, ovatko ne henkilötietoja ja ovatko ne aktiivisesti toimitettua vai passiivisesti havainnoitua dataa ja riippumatta käsittelyn oikeusperusteesta. Toisin kuin asetuksen (EU) 2016/679 20 artiklassa, tällä asetuksella tehdään pakolliseksi ja varmistetaan tekninen toteutettavuus kolmansien osapuolten pääsylle kaikentyyppiseen asetuksen soveltamisalaan kuuluvaan dataan, sekä henkilötietoihin että muuhun dataan kuin henkilötietoihin, ja varmistetaan näin se, että tekniset seikat eivät enää haittaa tai estä pääsyä tällaiseen dataan. Siinä myös annetaan datan haltijoille mahdollisuus määrittää kolmansien osapuolten, mutta ei käyttäjän, maksettavaksi tulevan kohtuullisen korvauksen kustannuksista, joita aiheutuu suoran pääsyn tarjoamisesta käyttäjän verkkoon liitetyn tuotteen tuottamaan dataan. Jos datan haltija ja kolmas osapuoli eivät pysty sopimaan tällaista suoraa pääsyä koskevista ehdoista, rekisteröityä ei saisi millään tavoin estää käyttämästä asetuksessa (EU) 2016/679 säädettyjä oikeuksia, kuten oikeutta siirtää tietoja järjestelmästä toiseen, käyttämällä mainitun asetuksen mukaisia oikeussuojakeinoja. Tässä yhteydessä on ymmärrettävä, että asetuksen (EU) 2016/679 mukaisesti ei voida sallia, että datan haltija tai kolmas osapuoli käsittelee henkilötietojen erityisryhmiä sopimuksen perusteella.

(36)

Päätelaitteelle tallennettuun ja sieltä saatavaan dataan pääsyyn sovelletaan direktiiviä 2002/58/EY ja se edellyttää mainitussa direktiivissä tarkoitettua tilaajan tai käyttäjän suostumusta, paitsi jos se on ehdottoman välttämätöntä sellaisen tietoyhteiskuntapalvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt tai jos ainoana tarkoituksena on toteuttaa viestinnän välittäminen. Direktiivillä 2002/58/EY suojataan käyttäjän päätelaitteen eheyttä käsittely- ja tallennustoimintojen käytön ja tiedonkeruun osalta. Esineiden internetiin liittyvät laitteet katsotaan päätelaitteiksi, jos ne on liitetty suoraan tai välillisesti yleiseen viestintäverkkoon.

(37)

Käyttäjien hyväksikäytön estämiseksi kolmansien osapuolien, joiden saataville data on asetettu käyttäjän pyynnöstä, olisi käsiteltävä kyseistä dataa vain käyttäjän kanssa sovittuihin tarkoituksiin ja jaettava sitä muun kolmannen osapuolen kanssa vain käyttäjän suostuessa tällaiseen datan jakamiseen.

(38)

Tietojen minimoinnin periaatteen mukaisesti kolmansilla osapuolilla olisi oltava pääsy ainoastaan sellaisiin tietoihin, jotka ovat tarpeen käyttäjän pyytämän palvelun tarjoamiseksi. Kun kolmas osapuoli on päässyt dataan, sen olisi käsiteltävä dataa käyttäjän kanssa sovittuihin tarkoituksiin ilman, että datan haltija puuttuu asiaan. Kolmannen osapuolen dataan pääsyn epäämisen tai keskeyttämisen olisi oltava käyttäjän kannalta yhtä helppoa kuin pääsyn salliminen. Kolmannet osapuolet ja datan haltijat eivät saisi tehdä käyttäjien oikeuksien tai valintojen hyödyntämisestä kohtuuttoman vaikeaa esimerkiksi tarjoamalla käyttäjille valintoja ei-neutraalisti tai pakottamalla, harhauttamalla tai manipuloimalla käyttäjää taikka horjuttamalla tai heikentämällä käyttäjän itsenäisyyttä, päätöksentekoa tai valinnan mahdollisuuksia, esimerkiksi digitaalisen käyttöliittymän tai sen osan kautta. Tässä yhteydessä kolmannet osapuolet tai datan haltijat eivät saisi turvautua niin kutsuttuihin pimeisiin kaavoihin digitaalisten käyttöliittymiensä suunnittelussa. Pimeät kaavat ovat suunnittelutekniikkoja, joilla painostetaan tai harhautetaan kuluttajia tekemään päätöksiä, joilla on heille kielteisiä seurauksia. Kyseisiä manipulointitekniikkoja saatetaan käyttää taivuttelemaan käyttäjiä, etenkin heikossa asemassa olevia kuluttajia, haitallisiin käyttäytymismalleihin, harhauttamaan käyttäjiä ohjaamalla heitä tekemään datan luovutusta koskevia päätöksiä tai vaikuttamaan kohtuuttomasti palvelun käyttäjien päätöksentekoon tavalla, joka horjuttaa tai heikentää heidän itsenäisyyttään, päätöksentekoaan ja valinnan mahdollisuuksiaan. Yleisiä ja lainmukaisia kaupallisia menettelyjä, jotka ovat unionin lainsäädännön mukaisia, ei sinänsä pitäisi katsoa pimeiksi kaavoiksi. Kolmansien osapuolten ja datan haltijoiden olisi noudatettava asiaa koskevan unionin lainsäädännön mukaisia velvoitteitaan ja erityisesti Euroopan parlamentin ja neuvoston direktiiveissä 98/6/EY (24) ja 2000/31/EY (25) sekä direktiiveissä 2005/29/EY ja 2011/83/EU säädettyjä vaatimuksia.

(39)

Kolmansien osapuolten olisi myös pidättäydyttävä käyttämästä tämän asetuksen soveltamisalaan kuuluvaa dataa yksittäisten henkilöiden profilointiin, paitsi jos tällaiset käsittelytoimet ovat ehdottoman välttämättömiä käyttäjän pyytämän palvelun tarjoamiseksi, myös automaattisessa päätöksenteossa. Vaatimus, jonka mukaan data on poistettava, kun sitä ei enää tarvita käyttäjän kanssa sovittuun tarkoitukseen, ellei toisin ole sovittu muun datan kuin henkilötietojen osalta, täydentää asetuksen (EU) 2016/679 17 artiklan mukaista rekisteröidyn oikeutta datan poistamiseen. Jos kolmas osapuoli on datan välityspalvelun tarjoaja, sovelletaan asetuksessa (EU) 2022/868 säädettyjä rekisteröityä koskevia suojatoimia. Kolmas osapuoli voi käyttää dataa kehittääkseen uuden ja innovatiivisen verkkoon liitetyn tuotteen tai tuotteeseen liittyvän palvelun mutta ei kehittääkseen kilpailevaa verkkoon liitettyä tuotetta.

(40)

Startup-yritysten, pienten yritysten ja keskisuurten yritysten, joita voidaan pitää keskisuurina yrityksinä suosituksen 2003/361/EY liitteessä olevan 2 artiklan nojalla, sekä perinteisillä aloilla toimivien yritysten, joiden digitaaliset valmiudet ovat vähemmän kehittyneet, on vaikea saada pääsy asiaankuuluvaan dataan. Tämän asetuksen tavoitteena on helpottaa kyseisten yhteisöjen pääsyä dataan ja samalla varmistaa, että vastaavia velvoitteita sovelletaan mahdollisimman oikeasuhteisesti, jotta voidaan välttää ylilyönnit. Samaan aikaan on muodostunut pieni määrä hyvin suuria yrityksiä, joilla on huomattavan paljon taloudellista valtaa digitaalitalouden alalla; ne ovat kasvaneet keräämällä ja koostamalla valtavia datamääriä, joiden kaupallistamiseen niillä on teknologista infrastruktuuria. Kyseisiin hyvin suuriin yrityksiin kuuluu ydinalustapalveluja tarjoavia yrityksiä, joilla on määräysvallassaan kokonaisia digitaalitalouden alustaekosysteemejä, eivätkä nykyiset tai uudet markkinatoimijat pysty haastamaan niitä tai kilpailemaan niiden kanssa. Euroopan parlamentin ja neuvoston asetuksella (EU) 2022/1925 (26) pyritään korjaamaan tämä tehottomuus ja epätasapaino antamalla komissiolle mahdollisuus nimetä yritys ’portinvartijaksi’, ja siinä asetetaan tällaisille portinvartijoille tiettyjä velvoitteita, kuten kielto yhdistää tiettyä dataa ilman suostumusta ja velvoite varmistaa tosiasialliset oikeudet datan siirrettävyyteen asetuksen (EU) 2016/679 20 artiklan nojalla. Asetuksen (EU) 2022/1925 mukaisesti, ja kun otetaan huomioon kyseisten yritysten kilpailijoihin nähden ylivoimainen kyky hankkia dataa, tämän asetuksen tavoitteen saavuttamiseksi ei ole tarpeen eikä tällaisten velvoitteiden soveltamisalaan kuuluvien datan haltijoiden kannalta sen vuoksi olisi oikeasuhteista antaa portinvartijoillemahdollisuutta hyötyä dataan pääsyä koskevasta oikeudesta. Tällainen sisällyttäminen rajoittaisi todennäköisesti myös tästä asetuksesta pk-yrityksille koituvia hyötyjä, jotka liittyvät datan arvon oikeudenmukaiseen jakautumiseen markkinatoimijoiden kesken. Tämä tarkoittaa, että ydinalustapalveluja tarjoava yritys, joka on nimetty portinvartijaksi, ei tämän asetuksen nojalla voi pyytää eikä sille voida myöntää pääsyä käyttäjien dataan, joka on tuotettu verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tai jonka on tuottanut virtuaaliavustaja. Kolmannet osapuolet, joiden saataville data asetetaan käyttäjän pyynnöstä, eivät myöskään saa asettaa dataa portinvartijan saataville. Kolmas osapuoli ei esimerkiksi saa teettää palvelun tarjoamista alihankintana portinvartijalla. Tämä ei kuitenkaan estä kolmansia osapuolia käyttämästä portinvartijan tarjoamia datankäsittelypalveluja. Se ei myöskään estä kyseisiä yrityksiä saamasta ja käyttämästä samaa dataa muilla laillisilla keinoilla. Tässä asetuksessa säädetyt dataan pääsyä koskevat oikeudet lisäävät osaltaan kuluttajien palveluvalikoimaa. Koska portinvartijoiden ja datan haltijoiden väliset vapaaehtoiset sopimukset pysyvät ennallaan, portinvartijoiden pääsyä koskeva rajoitus ei estäisi niitä pääsemästä markkinoille tai tarjoamasta palvelujaan.

(41)

Kun otetaan huomioon teknologian nykytila, mikroyrityksille ja pienille yrityksille aiheutuisi liiallinen rasite, jos niiden valmistamille tai suunnittelemille verkkoon liitetyille tuotteille tai niiden tarjoamille näihin tuotteisiin liittyville palveluille asetettaisiin uusia suunnitteluvelvoitteita. Näin ei kuitenkaan ole silloin, kun mikroyrityksellä tai pienellä yrityksellä on suosituksen 2003/361/EC liitteessä olevassa 3 artiklassa tarkoitettu omistusyhteysyritys tai sidosyritys, jota ei katsota mikroyritykseksi tai pieneksi yritykseksi, ja kun verkkoon liitetyn tuotteen valmistaminen tai suunnittelu taikka siihen liittyvän palvelun tarjoaminen teetetään sillä alihankintana. Tällaisissa tilanteissa yritys, joka on teettänyt tuotteen valmistamisen tai suunnittelun alihankintana mikroyrityksellä tai pienellä yrityksellä, pystyy suorittamaan alihankkijalle asianmukaisen korvauksen. Mikroyritykseen tai pieneen yritykseen voidaan datan haltijana kuitenkin soveltaa tässä asetuksessa säädettyjä vaatimuksia, jos se ei ole verkkoon liitetyn tuotteen valmistaja tai siihen liittyvien palvelujen tarjoaja. Yritykseen, joka on ollut katsottava keskisuureksi yritykseksi alle vuoden ajan, ja verkkoon liitettyihin tuotteisiin vuoden ajan sen päivämäärän jälkeen, kun keskisuuri yritys saattoi kyseiset tuotteet markkinoille, olisi sovellettava siirtymäaikaa. Tällaisella vuoden ajanjaksolla annetaan tällaiselle keskisuurelle yritykselle mahdollisuus sopeutua ja valmistautua ennen kuin se joutuu kilpailemaan valmistamiinsa verkkoon liitettyihin tuotteisiin liittyvien palvelujen markkinoilla tässä asetuksessa säädettyjen dataan pääsyä koskevien oikeuksien perusteella. Tällaista siirtymäaikaa ei sovelleta, jos tällaisella keskisuurella yrityksellä on omistusyhteysyritys tai sidosyritys, jota ei katsota mikroyritykseksi tai pieneksi yritykseksi, tai jos tällainen keskisuuri yritys valmistaa tai suunnittelee verkkoon liitetyn tuotteen tai tarjoa tuotteeseen liittyvää palvelua alihankintana.

(42)

Kun otetaan huomioon erilaiset verkkoon liitetyt tuotteet, jotka tuottavat luonteeltaan, määrältään ja tiheydeltään erilaista dataa, tuovat esille erilaisia dataan ja kyberturvallisuuteen liittyviä riskejä, tarjoavat erilaisia taloudellisia mahdollisuuksia, ja jotta voidaan varmistaa datan jakamiskäytäntöjen johdonmukaisuus sisämarkkinoilla, myös eri alojen välillä, sekä kannustaa ja edistää datan oikeudenmukaisia jakamiskäytäntöjä myös aloilla, joilla tällaista oikeutta dataan pääsyyn ei ole, tässä asetuksessa säädetään datan saatavuuteen liittyviä järjestelyjä koskevista horisontaalisista säännöistä, joita sovelletaan, kun datan haltijalla on unionin oikeuden tai unionin oikeuden mukaisesti annetun kansallisen lainsäädännön nojalla velvollisuus asettaa dataa datan vastaanottajan saataville. Tällaisen dataan pääsyn olisi perustuttava oikeudenmukaisiin, kohtuullisiin, syrjimättömiin ja avoimiin ehtoihin. Kyseisiä yleisiä datan saatavuutta koskevia sääntöjä ei sovelleta asetuksen (EU) 2016/679 mukaisiin datan saataville asettamista koskeviin velvoitteisiin. Kyseiset säännöt eivät vaikuta datan vapaaehtoiseen jakamiseen. Komission laatimat ja suosittelemat ei-sitovat mallisopimusehdot yritysten välistä datan jakamista varten voivat auttaa osapuolia tekemään sopimuksia, jotka sisältävät oikeudenmukaiset, kohtuulliset ja syrjimättömät ehdot ja jotka pannaan täytäntöön avoimella tavalla. Sopimusten, joihin voi sisältyä ei-sitovia mallisopimuksen ehtoja, tekeminen ei kuitenkaan saisi merkitä sitä, että oikeus jakaa dataa kolmansien osapuolten kanssa olisi millään tavoin riippuvainen tällaisen sopimuksen olemassaolosta. Jos osapuolet eivät pysty tekemään sopimusta tietojen jakamisesta, myöskään riidanratkaisuelinten tuella, oikeus jakaa tietoja kolmansien osapuolten kanssa on täytäntöönpanokelpoinen kansallisissa tuomioistuimissa.

(43)

Sopimusvapauden periaatteen perusteella osapuolten olisi voitava vapaasti neuvotella niiden sopimuksiin sisällytettävistä datan saataville asettamista koskevista tarkoista edellytyksistä datan asettamista saataville koskevien yleisten dataan pääsyä koskevien sääntöjen puitteissa. Tällaisten sopimusten ehtoihin voisi sisältyä teknisiä ja organisatorisia toimenpiteitä, myös tietoturvan osalta.

(44)

Sen varmistamiseksi, että pakollisen dataan pääsyn edellytykset ovat oikeudenmukaiset sopimuksen kummankin sopimuspuolen kannalta, dataan pääsyä koskevia oikeuksia koskevissa yleisissä säännöissä olisi viitattava kohtuuttomien sopimusehtojen välttämistä koskevaan sääntöön.

(45)

Yritysten välisissä suhteissa tehtyjen sopimusten datan saataville asettamisesta olisi myös oltava syrjimättömiä keskenään vertailukelpoisten datan vastaanottajien ryhmien välillä, riippumatta siitä, ovatko osapuolet suuryrityksiä, mikroyrityksiä vai pk-yrityksiä. Jos eri sopimuksiin sisältyviä ehtoja koskevissa tiedoissa on puutteita, joiden vuoksi datan vastaanottajan on vaikea arvioida, ovatko datan saataville asettamista koskevat edellytykset syrjimättömiä, datan haltijoiden vastuulla olisi oltava sen osoittaminen, että sopimusehto ei ole syrjivä. Kyseessä ei ole laiton syrjintä, kun datan haltija käyttää eri sopimusehtoja datan saataville asettamiseen, jos kyseiset erot ovat objektiivisista syistä perusteltuja. Kyseiset velvoitteet eivät rajoita asetuksen (EU) 2016/679 soveltamista.

(46)

Jotta voitaisiin kannustaa jatkamaan investointeja arvokkaan datan tuottamiseen ja saataville asettamiseen, mukaan lukien investoinnit asianmukaisiin teknisiin välineisiin, ja samalla välttää sellainen liiallinen taakka dataan pääsyssä ja sen käytössä, jonka vuoksi datan jakaminen ei ole enää kaupallisesti kannattavaa, tähän asetukseen sisältyy periaate, jonka mukaan datan haltijat voivat yritysten välisissä suhteissa pyytää kohtuullista korvausta, jos niillä on unionin oikeuden tai unionin oikeuden mukaisesti annetun kansallisen lainsäädännön nojalla velvollisuus asettaa dataa datan vastaanottajan saataville. Tällaista korvausta ei olisi pidettävä maksuna itse datasta. Komission olisi hyväksyttävä suuntaviivat kohtuullisen korvauksen laskemisesta datataloudessa.

(47)

Ensinnäkin kohtuullinen korvaus tietojen saataville asettamista koskevan pyynnön noudattamista koskevan unionin oikeuden tai unionin oikeuden mukaisesti annetun kansallisen lainsäädännön mukaisen velvoitteen täyttämisestä voi sisältää korvauksen datan saataville asettamisesta aiheutuneista kustannuksista. Kyseiset kustannukset voivat olla teknisiä kustannuksia, kuten kustannukset, jotka aiheutuvat datan jäljentämisestä, sähköisestä levittämisestä ja tallentamisesta, mutta niitä eivät ole datan keräämisestä tai tuottamisesta aiheutuvat kustannukset. Tällaisiin teknisiin kustannuksiin voisivat kuulua myös tietojen saataville asettamisen edellyttämät käsittelykustannukset, kuten tietojen formatointiin liittyvät kustannukset. Datan saataville asettamiseen liittyviä kustannuksia voivat olla myös kustannukset, jotka aiheutuvat konkreettisten datan jakamispyyntöjen helpottamisesta. Ne voivat myös vaihdella tietojen määrän ja tietojen saataville asettamiseksi toteutettujen järjestelyjen mukaan. Datan haltijoiden ja datan vastaanottajien välisillä, esimerkiksi tilausmallin mukaisilla tai älysopimusten käyttöön perustuvilla pitkäaikaisilla järjestelyillä voitaisiin vähentää kustannuksia liikesuhteeseen kuuluvissa säännöllisissä tai toistuvissa liiketoimissa. Datan saataville asettamiseen liittyvät kustannukset ovat joko tiettyä pyyntöä koskevia tai yhteisiä muiden pyyntöjen kanssa. Viimeksi mainitussa tapauksessa yksittäisen datan vastaanottajan ei pitäisi joutua maksamaan täysimääräisiä kustannuksia datan saataville asettamisesta. Toiseksi kohtuullinen korvaus voi sisältää myös marginaalin, paitsi jos kyse on pk-yrityksistä ja voittoa tavoittelemattomista tutkimusorganisaatioista. Marginaali voi vaihdella itse dataan liittyvien tekijöiden, kuten datan määrän, muodon tai luonteen, mukaan. Siinä voidaan ottaa huomioon datan keräämisestä aiheutuvat kustannukset. Marginaali voi sen vuoksi olla pienempi, jos datan haltija on kerännyt datan omaan liiketoimintaansa ilman merkittäviä investointeja, tai suurempi, jos datan keräämiseen datan haltijan liiketoiminnan tarkoituksia varten tehdyt investoinnit ovat suuret. Sitä voidaan rajoittaa tai se voidaan jopa sulkea pois tilanteissa, joissa datan vastaanottajan suorittama datan käyttö ei vaikuta datan haltijan omaan toimintaan. Myös se, että data yhteistuotetaan verkkoon liitetyllä laitteella, jonka käyttäjä omistaa, vuokraa tai liisaa, voisi alentaa korvauksen määrää verrattuna muihin tilanteisiin, joissa datan haltija tuottaa datan esimerkiksi tuotteeseen liittyvän palvelun tarjoamisen aikana.

(48)

Suurten yritysten väliseen datan jakamiseen ei ole tarpeen puuttua eikä myöskään tapauksiin, joissa datan haltija on pieni yritys tai keskisuuri yritys ja datan vastaanottaja on suuri yritys. Tällaisissa tapauksissa yritysten katsotaan pystyvän neuvottelemaan korvauksesta kohtuullisissa ja syrjimättömissä rajoissa.

(49)

Pk-yritysten suojelemiseksi liialliselta taloudelliselta rasitukselta, jonka vuoksi niiden olisi kaupallisessa mielessä liian vaikea kehittää ja ylläpitää innovatiivisia liiketoimintamalleja, niiden maksettavaksi tuleva kohtuullinen korvaus datan saataville asettamisesta ei saisi olla suurempi kuin datan saataville asettamiseen välittömästi liittyvät kustannukset. Datan saataville asettamiseen välittömästi liittyvät kustannukset ovat kustannuksia, jotka johtuvat yksittäisistä pyynnöistä ottaen huomioon, että datan haltijan on perustettava tarvittavat tekniset rajapinnat tai niihin liittyvät ohjelmistot ja yhteydet pysyvästi. Samaa järjestelyä olisi sovellettava voittoa tavoittelemattomiin tutkimusorganisaatioihin.

(50)

Unionin oikeudessa tai unionin oikeuden mukaisesti annetussa kansallisessa lainsäädännössä voidaan säätää säännellystä korvauksesta tiettyjen datatyyppien saataville asettamisesta asianmukaisesti perustelluissa tapauksissa, muun muassa silloin, kun on tarve turvata kuluttajien osallistuminen ja kilpailu tai edistää innovointia tietyillä markkinoilla.

(51)

Avoimuus on tärkeä periaate varmistettaessa, että datan haltijan pyytämä korvaus on kohtuullinen tai, jos datan vastaanottaja on mikroyritys tai pk-yritys tai voittoa tavoittelematon tutkimusorganisaatio, että korvaus ei ole suurempi kuin datan asettamisesta datan vastaanottajan saataville aiheutuvat välittömät kustannukset ja että korvaus voidaan kohdentaa kyseiseen yksittäiseen pyyntöön. Jotta datan vastaanottajat voisivat arvioida ja todentaa, että korvaus on tämän asetuksen vaatimusten mukainen, datan haltijan olisi annettava datan vastaanottajalle riittävän yksityiskohtaiset tiedot korvauksen laskemista varten.

(52)

Sen varmistaminen, että kotimaiset ja rajatylittävät datan saataville asettamiseen liittyvät riidat voidaan ratkaista vaihtoehtoisilla tavoilla, hyödyttäisi datan haltijoita ja datan vastaanottajia ja vahvistaisi siten luottamusta datan jakamiseen. Jos osapuolet eivät pääse yksimielisyyteen datan saataville asettamista koskevista oikeudenmukaisista, kohtuullisista ja syrjimättömistä ehdoista, riidanratkaisuelinten olisi tarjottava osapuolille yksinkertainen, nopea ja edullinen ratkaisu. Vaikka tässä asetuksessa säädetään ainoastaan edellytyksistä, jotka riidanratkaisuelinten on täytettävä saadakseen sertifioinnin, jäsenvaltiot voivat vapaasti hyväksyä sertifiointimenettelyä koskevia erityissääntöjä, mukaan lukien sertifioinnin voimassaolon päättyminen tai peruuttaminen. Tämän asetuksen riidanratkaisua koskevissa säännöksissä ei pitäisi edellyttää, että jäsenvaltiot perustavat riidanratkaisuelimiä.

(53)

Tämän asetuksen mukainen riidanratkaisumenettely on vapaaehtoinen menettely, jonka avulla käyttäjät, datan haltijat ja datan vastaanottajat voivat sopia riidan saattamisesta riidanratkaisuelinten käsiteltäväksi. Sen vuoksi osapuolten olisi voitava vapaasti kääntyä valitsemansa riidanratkaisuelimen puoleen riippumatta siitä, sijaitseeko se niissä jäsenvaltioissa, joihin kyseiset osapuolet ovat sijoittautuneet, tai niiden ulkopuolella.

(54)

Jotta voidaan välttää tapaukset, joissa samaa riita-asiaa käsitellään kahdessa tai useammassa riidanratkaisuelimessä, erityisesti rajatylittävissä tapauksissa, riidanratkaisuelimen olisi voitava kieltäytyä käsittelemästä pyyntöä, joka koskee sellaisen riidan ratkaisemista, joka on jo saatettu toisen riidanratkaisuelimen tai jonkin jäsenvaltion tuomioistuimen käsiteltäväksi.

(55)

Jotta voidaan varmistaa tämän asetuksen yhdenmukainen soveltaminen, riidanratkaisuelinten olisi otettava huomioon ei-sitovat mallisopimusehdot, joiden laatiminen ja suosittaminen on komission tehtävänä, sekä unionin oikeus tai kansallinen lainsäädäntö, joissa täsmennetään datan jakamista koskevat velvoitteet, tai alakohtaisten viranomaisten tällaisen lainsäädännön soveltamiseksi antamat ohjeet.

(56)

Riidanratkaisumenettelyn osapuolia ei saisi estää käyttämästä perusoikeuttaan tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin. Päätös saattaa riita riidanratkaisuelimen käsiteltäväksi ei sen vuoksi saisi viedä kyseisiltä osapuolilta oikeutta oikeussuojakeinoihin jäsenvaltion tuomioistuimessa. Riidanratkaisuelinten olisi julkistettava vuotuiset toimintakertomukset.

(57)

Datan haltijat voivat soveltaa asianmukaisia teknisiä suojatoimenpiteitä estääkseen datan laittoman luovuttamisen tai siihen pääsyn. Kyseisillä toimenpiteillä ei kuitenkaan saisi syrjiä datan vastaanottajia eikä estää käyttäjien tai datan vastaanottajien pääsyä dataan tai sen käyttöä. Jos datan vastaanottaja on syyllistynyt väärinkäytöksiin, kuten datan haltijan harhaanjohtamiseen antamalla vääriä tietoja aikomuksesta käyttää dataa laittomiin tarkoituksiin, mukaan lukien kilpailevan verkkoon liitetyn tuotteen kehittäminen datan perusteella, datan haltija ja tapauksen mukaan, kun kyse ei ole samasta henkilöstä, liikesalaisuuden haltija tai käyttäjä voi pyytää kolmatta osapuolta tai datan vastaanottajaa toteuttamaan oikaisevia tai korjaavia toimenpiteitä ilman aiheetonta viivytystä. Tällaisia pyyntöjä ja erityisesti pyyntöjä, jotka koskevat tavaroiden taikka johdannaisdatan tai palvelujen tuotannon, tarjoamisen tai markkinoille saattamisen lopettamista sekä teollis- ja tekijänoikeuksia loukkaavien tavaroiden tuonnin, viennin tai varastoinnin lopettamista taikka niiden hävittämistä, olisi arvioitava suhteessa datan haltijan, liikesalaisuuden haltijan tai käyttäjän etuihin.

(58)

Jos yhdellä osapuolella on vahvempi neuvotteluasema, riskinä on, että kyseinen osapuoli voisi hyödyntää tällaista asemaa toisen sopimuspuolen vahingoksi neuvotellessaan dataan pääsystä, jolloin tuloksena on se, että dataan pääsy on kaupallisesti vähemmän kannattavaa ja jopa taloudellisesti kohtuutonta. Tällainen sopimussuhteiden epätasapaino haittaa kaikkia yrityksiä, joilla ei ole merkittäviä valmiuksia neuvotella dataan pääsyn edellytyksistä ja joilla ei välttämättä ole muuta vaihtoehtoa kuin hyväksyä ”ota tai jätä” -tyyppiset sopimusehdot. Kohtuuttomat sopimusehdot, joilla säännellään dataan pääsyä ja sen käyttöä tai vastuuta ja oikeussuojakeinoja dataan liittyvien velvoitteiden rikkomisen tai lakkauttamisen osalta, eivät sen vuoksi saisi olla yrityksiä sitovia, jos kyseiset ehdot on asetettu kyseisille osapuolille yksipuolisesti.

(59)

Sopimusehtoja koskevissa säännöissä olisi otettava huomioon sopimusvapauden periaate, joka on olennainen käsite yritysten välisissä suhteissa. Kohtuuttomuuden arviointia koskevaa testiä ei näin ollen pitäisi tehdä kaikille sopimusehdoille vaan ainoastaan yksipuolisesti asetetuille ehdoille. Tämä koskee ”ota tai jätä” -tilanteita, joissa yksi osapuoli laatii tietyn sopimusehdon eikä toinen yritys voi vaikuttaa kyseisen ehdon sisältöön, vaikka se yrittää neuvotella siitä. Sopimusehtoa, jonka yksi osapuoli yksinkertaisesti antaa ja toinen yritys hyväksyy, tai ehtoa, josta neuvotellaan ja sittemmin sovitaan muutetussa muodossa sopimuspuolten välillä, ei saisi pitää yksipuolisesti asetettuna.

(60)

Kohtuuttomia sopimusehtoja koskevia sääntöjä pitäisi lisäksi soveltaa vain niihin sopimuksen osiin, jotka liittyvät datan saataville asettamiseen, eli sopimusehtoihin, jotka koskevat dataan pääsyä ja sen käyttöä sekä vastuuta tai oikeussuojakeinoja dataan liittyvien velvoitteiden rikkomisen ja lakkauttamisen varalta. Muille saman sopimuksen osille, jotka eivät liity datan saataville asettamiseen, ei pitäisi tehdä tässä asetuksessa säädettyä kohtuuttomuustestiä.

(61)

Kohtuuttomien sopimusehtojen tunnistamisperusteita olisi sovellettava vain tavattomiin sopimusehtoihin, joissa on käytetty väärin vahvempaa neuvotteluasemaa. Sopimusehdot, jotka ovat yhdelle osapuolelle kaupallisesti edullisempia kuin toiselle, mukaan lukien sopimusehdot, jotka ovat tavanomaisia yritysten välisissä sopimuksissa, ovat suurimmaksi osaksi sopimusvapauden periaatteen normaali ilmenemismuoto ja niitä olisi sovellettava edelleen. Tätä asetusta sovellettaessa selvä poikkeaminen hyvästä kauppatavasta muun muassa heikentäisi objektiivisesti katsottuna sen osapuolen, jolle ehto on yksipuolisesti asetettu, kykyä suojata oikeutettuja kaupallisia etujaan kyseisen datan osalta.

(62)

Oikeusvarmuuden takaamiseksi tässä asetuksessa vahvistetaan luettelo lausekkeista, jotka katsotaan aina kohtuuttomiksi, ja luettelo lausekkeista, joiden oletetaan olevan kohtuuttomia. Jälkimmäisessä tapauksessa sopimusehdon asettavan yrityksen olisi voitava kumota kohtuuttomuusolettama osoittamalla, että tässä asetuksessa olevassa luettelossa mainittu sopimusehto ei ole kohtuuton kyseisessä tapauksessa. Jos sopimusehto ei sisälly niiden ehtojen luetteloon, jotka katsotaan aina kohtuuttomiksi tai joiden oletetaan olevan kohtuuttomia, sovelletaan yleistä kohtuuttomuussäännöstä. Tältä osin tämän asetuksessa kohtuuttomien sopimusehtojen luettelossa olevia ehtoja olisi käytettävä mittapuuna tulkittaessa yleistä kohtuuttomuussäännöstä. Myös komission laatimat ja suosittelemat ei-sitovat mallisopimusehdot yritysten välisille datan jakamista koskeville sopimuksille voivat olla hyödyllisiä kaupallisille osapuolille sopimuksista neuvoteltaessa. Jos sopimusehto todetaan kohtuuttomaksi, asianomaista sopimusta olisi sovellettava edelleen ilman kyseistä ehtoa, paitsi jos kohtuuton sopimusehto ei ole erotettavissa muista sopimusehdoista.

(63)

Poikkeuksellisen tarpeen tilanteissa voi olla tarpeen, että julkisen sektorin elimet, komissio, Euroopan keskuspankki tai unionin elimet käyttävät yleisen edun mukaisia lakisääteisiä tehtäviään hoitaessaan olemassa olevaa dataa, mukaan lukien tarvittaessa siihen liittyvää metadataa, reagoidakseen yleisiin hätätilanteisiin tai muissa poikkeuksellisissa tapauksissa. Poikkeukselliset tarpeet ovat olosuhteita, jotka ovat ennalta arvaamattomia ja ajallisesti rajoitettuja, toisin kuin muut mahdollisesti suunnitellut, aikataulutetut, jaksoittaiset tai usein toistuvat olosuhteet. Vaikka ’datan haltijan’ käsite ei yleensä kata julkisen sektorin elimiä, se voi sisältää julkisia yrityksiä. Tutkimusta harjoittavat organisaatiot ja tutkimusta rahoittavat organisaatiot voisivat lisäksi järjestäytyä julkisen sektorin elimiksi tai julkisoikeudellisiksi laitoksiksi. Yrityksille aiheutuvan rasitteen keventämiseksi mikroyritykset ja pienet yritykset olisi velvoitettava toimittamaan dataa julkisen sektorin elimille, komissiolle, Euroopan keskuspankille tai unionin elimille ainoastaan poikkeuksellisissa tilanteissa, joissa tällaista dataa edellytetään yleiseen hätätilaan reagoimista varten ja julkisen sektorin elin, komissio, Euroopan keskuspankki tai unionin elin ei voi saada tällaista tietoa vaihtoehtoisella keinolla oikea-aikaisesti ja tehokkaasti ja vastaavin edellytyksin.

(64)

Kun on kyse yleisistä hätätiloista, kuten kansanterveysuhista, luonnonkatastrofeista johtuvista hätätiloista, myös ilmastonmuutoksen ja ympäristön tilan heikentymisen pahentamista luonnonkatastrofeista sekä ihmisen toiminnan aiheuttamista suurista katastrofeista, kuten vakavista kyberturvallisuuspoikkeamista, datan käytöstä saatava yleinen etu on tärkeämpi kuin datan haltijoiden intressi määrätä vapaasti hallussaan olevasta datasta. Tällaisessa tapauksessa datan haltijat olisi velvoitettava asettamaan dataa julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten saataville näiden pyynnöstä. Se, onko kyseessä yleinen hätätila, olisi määritettävä tai julistettava unionin oikeuden tai kansallisen lainsäädännön mukaisesti ja asiaankuuluvien menettelyjen perusteella, mukaan lukien asiaankuuluvien kansainvälisten järjestöjen menettelyt. Tällaisissa tapauksissa julkisen sektorin elimen olisi osoitettava, että pyynnön kohteena olevaa dataa ei muutoin voitaisi saada oikea-aikaisesti ja tehokkaasti ja vastaavin edellytyksin, esimerkiksi siten, että toinen yritys toimittaa tietoja vapaaehtoisesti tai tekemällä hakuja julkiseen tietokantaan.

(65)

Poikkeuksellinen tarve voi johtua myös muista kuin hätätilanteista. Tällaisissa tapauksissa julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen olisi saatava pyytää ainoastaan muita kuin henkilötietoja. Julkisen sektorin elimen olisi osoitettava, että data on tarpeen sellaisen yleistä etua koskevan tehtävän suorittamiseksi, josta on nimenomaisesti säädetty laissa, kuten virallisten tilastojen tuottamiseen taikka yleisen hätätilan lievittämiseksi tai siitä elpymiseksi. Lisäksi tällainen pyyntö voidaan esittää vain, jos julkisen sektorin elin, komissio Euroopan keskuspankki tai unionin elin on yksilöinyt tiettyä dataa, jota ei muutoin olisi voitu saada oikea-aikaisesti ja tehokkaasti ja vastaavin edellytyksin, ja ainoastaan, jos se on käyttänyt kaikki muut käytettävissään olevat keinot tällaisen datan saamiseksi, kuten hankkinut dataa vapaaehtoisilla sopimuksilla, mukaan lukien muun datan kuin henkilötietojen ostaminen markkinoilta tarjoamalla markkinahintoja, tai tukeutunut olemassa oleviin datan saataville asettamista koskeviin velvoitteisiin tai hyväksynyt uusia lainsäädäntötoimenpiteitä, joilla voitaisiin taata datan oikea-aikainen saatavuus. Myös sellaisiin pyyntöihin sovellettavia edellytyksiä ja periaatteita olisi sovellettava, jotka liittyvät esimerkiksi käyttötarkoituksen rajoittamiseen, oikeasuhteisuuteen, avoimuuteen ja aikarajoituksiin. Pyydettäessä virallisten tilastojen tuottamiseen tarvittavia tietoja pyynnön esittäneen julkisen sektorin elimen olisi myös osoitettava, sallitaanko kansallisessa lainsäädännössä muun datan kuin henkilötietojen ostaminen markkinoilta.

(66)

Tätä asetusta ei pitäisi soveltaa yksityisten ja julkisten yhteisöjen välistä datan vaihtoa koskeviin vapaaehtoisiin järjestelyihin eikä datan toimittamiseen pk-yritysten toimesta eikä niitä pitäisi sulkea pois tällä asetuksella, eikä se saisi vaikuttaa sellaisten unionin säädösten soveltamiseen, joissa säädetään pakollisista tietopyynnöistä, joita julkisyhteisöt esittävät yksityisille yhteisöille. Tämä asetus ei saisi vaikuttaa datan haltijoille asetettuihin datan toimittamista koskeviin velvoitteisiin, jotka perustuvat muihin kuin poikkeuksellisin tarpeisiin, etenkin, jos datan laajuus ja datan haltijoiden määrä ovat tiedossa tai jos datan käyttö voi tapahtua säännöllisesti, kuten raportointivelvoitteiden ja sisämarkkinoita koskevien velvoitteiden tapauksessa. Tämä asetus ei myöskään saisi vaikuttaa vaatimuksiin, jotka koskevat pääsyä dataan sovellettavien sääntöjen noudattamisen tarkastamiseksi, myös silloin kun julkisen sektorin elimet antavat sääntöjen noudattamisen tarkastamistehtävän muille yksiköille kuin julkisen sektorin elimille.

(67)

Tämä asetus täydentää unionin lainsäädäntöä ja kansallista oikeutta, jossa säädetään pääsystä dataan ja mahdollistetaan datan käyttö tilastollisiin tarkoituksiin, erityisesti Euroopan parlamentin ja neuvoston asetusta (EY) N:o 223/2009 (27) sekä virallisiin tilastoihin liittyviä kansallisia säädöksiä, eikä sillä rajoiteta niiden soveltamista.

(68)

Julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten, virastojen ja elinten olisi niiden tehtävien hoitamiseksi, jotka liittyvät rikosten ja hallinnollisten rikkomusten torjumiseen, tutkimiseen, selvittämiseen ja syytteeseenpanoon, rikosoikeudellisten tai hallinnollisten seuraamusten täytäntöönpanoon taikka datan keräämiseen verotuksen tai tullitoiminnan tarkoituksiin, käytettävä unionin oikeuden tai kansallisen lainsäädännön mukaisia valtuuksiaan. Tämä asetus ei näin ollen vaikuta säädöksiin, jotka koskevat datan jakamista, saatavuutta ja käyttöä kyseisillä aloilla.

(69)

Asetuksen (EU) 2016/679 6 artiklan 1 ja 3 kohdan mukaisesti unionin tasolla tarvitaan oikeasuhteinen, rajattu ja ennakoitavissa oleva kehys sellaisen oikeusperustan määrittämiseksi, jonka mukaisesti datan haltijat asettavat datan julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten saataville poikkeuksellisen tarpeen vaatiessa, jotta oikeusvarmuus voidaan taata sekä minimoida yrityksille aiheutuvat hallinnolliset rasitteet. Tätä varten julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten datan haltijoille osoittamien datapyyntöjen olisi oltava yksilöityjä, avoimia ja oikeasuhteisia sisältönsä laajuuden ja tarkkuutensa suhteen. Pyynnön tarkoitus ja pyydetyn datan aiottu käyttötarkoitus olisi määriteltävä yksityiskohtaisesti ja selitettävä selkeästi niin, että pyynnön esittävälle taholle annetaan samalla asianmukainen joustovara tiettyjen yleisen edun mukaisten tehtävien suorittamiseksi. Pyynnössä olisi myös otettava huomioon niiden datan haltijoiden oikeutetut edut, joille pyyntö esitetään. Datan haltijoille aiheutuva rasite olisi minimoitava velvoittamalla pyyntöjä esittävät tahot noudattamaan yhden kerran periaatetta, jolla estetään se, että useampi kuin yksi julkisen sektorin elin, komissio, Euroopan keskuspankki tai unionin elin pyytää samaa dataa useammin kuin kerran. Avoimuuden varmistamiseksi komission, Euroopan keskuspankin tai unionin elinten esittämät datapyynnöt olisi ilman aiheetonta viivytystä julkistettava dataa pyytävän tahon toimesta. Euroopan keskuspankin ja unionin elinten olisi ilmoitettava pyynnöistään komissiolle. Jos datapyynnön esittää julkisen sektorin elin, kyseisen elimen olisi ilmoitettava asiasta myös sen jäsenvaltion datakoordinaattorille, johon julkisen sektorin elin on sijoittautunut. Kaikkien pyyntöjen julkinen saatavuus verkossa olisi varmistettava. Datapyyntöä koskevan ilmoituksen saatuaan toimivaltainen viranomainen voi päättää pyynnön lainmukaisuuden arvioinnista ja hoitaa tämän asetuksen täytäntöönpanoon ja soveltamiseen liittyvät tehtävänsä. Datakoordinaattorin olisi varmistettava, että kaikki julkisen sektorin elimen esittämät pyynnöt ovat julkisesti saatavilla verkossa.

(70)

Datan toimittamista koskevan velvoitteen tavoitteena on varmistaa, että julkisen sektorin elimillä, komissiolla, Euroopan keskuspankilla tai unionin elimillä on tarvittava tietämys, jotta ne voivat reagoida yleisiin hätätiloihin, ehkäistä niitä tai elpyä niistä tai pitää yllä valmiuksia suorittaa laissa nimenomaisesti säädettyjä erityistehtäviä. Näiden yhteisöjen saama data voi olla kaupallisesti arkaluonteista. Tämän asetuksen mukaisesti saataville asetettuun dataan ei sen vuoksi pitäisi soveltaa Euroopan parlamentin ja neuvoston asetusta (EU) 2022/868 eikä direktiiviä (EU) 2019/1024 (28) eikä mainittua dataa pitäisi katsoa kolmansien osapuolten uudelleenkäyttöä varten saatavilla olevaksi avoimeksi dataksi. Tämä ei kuitenkaan saisi vaikuttaa direktiivin (EU) 2019/1024 soveltamiseen sellaisten virallisten tilastojen uudelleenkäyttöön, joiden tuottamiseen on käytetty tämän asetuksen mukaisesti saatua dataa edellyttäen, että uudelleenkäyttö ei kata pohjatietoja. Jos tässä asetuksessa säädetyt edellytykset täyttyvät, sen ei myöskään pitäisi vaikuttaa mahdollisuuteen datan jakamiseen tutkimustyön tekemistä tai virallisten tilastojen kehittämistä, tuottamista ja jakelua varten. Julkisen sektorin elinten olisi myös voitava vaihtaa tämän asetuksen nojalla saatua dataa muiden julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten kanssa vastatakseen poikkeuksellisiin tarpeisiin, joita varten dataa on pyydetty.

(71)

Datan haltijoilla olisi oltava mahdollisuus joko evätä julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen esittämä pyyntö tai pyytää sen muuttamista ilman aiheetonta viivytystä ja joka tapauksessa viimeistään viiden tai 30 työpäivän kuluessa riippuen pyynnössä esitetyn poikkeuksellisen tarpeen luonteesta. Datan haltijalla olisi tarvittaessa oltava tämä mahdollisuus, jos sillä ei ole määräysvaltaa pyydettyyn dataan, eli jos sillä ei ole välitöntä pääsyä dataan eikä se voi päättää sen saatavuudesta. Jos voidaan osoittaa, että pyyntö on samankaltainen kuin jonkin muun julkisen sektorin elimen tai komission, Euroopan keskuspankin tai unionin elimen samaa tarkoitusta varten aiemmin esittämä pyyntö ja datan haltijalle ei ole ilmoitettu kyseisen datan poistamisesta tämän asetuksen nojalla, datan saataville asettamatta jättämiselle olisi oltava perusteltu syy. Pyynnön epäävän tai sen muuttamista pyytävän datan haltijan olisi ilmoitettava perustelut dataa pyytäneelle julkisen sektorin elimelle, komissiolle, Euroopan keskuspankille tai unionin elimelle. Kun pyydettyihin tietojoukkoihin sovelletaan Euroopan parlamentin ja neuvoston direktiivin 96/9/EY (29) mukaisia tietokantoja koskevia sui generis -oikeuksia, datan haltijoiden olisi käytettävä oikeuksiaan tavalla, joka ei estä julkisen sektorin elintä, komissiota, Euroopan keskuspankkia tai unionin elintä saamasta dataa tai jakamasta sitä tämän asetuksen mukaisesti.

(72)

Yleiseen hätätilaan reagoimiseen liittyvän poikkeuksellisen tarpeen ilmetessä julkisen sektorin elinten olisi käytettävä muita kuin henkilötietoja, jos se on mahdollista. Tapauksissa, joissa pyyntö perustuu sellaiseen poikkeukselliseen tarpeeseen, joka ei liity yleiseen hätätilaan, henkilötietoja ei voida pyytää. Jos datapyyntö kattaa henkilötietoja, datan haltijan olisi anonymisoitava data. Jos on ehdottoman tarpeellista sisällyttää henkilötietoja julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen saataville asetettavan dataan tai jos anonymisointi osoittautuu mahdottomaksi, dataa pyytävän yksikön olisi osoitettava käsittelyn ehdoton tarpeellisuus ja käsittelyn erityiset ja rajatut tarkoitukset. Henkilötietojen suojaan sovellettavia sääntöjä olisi noudatettava. Datan saataville asettamiseen ja myöhempään käyttöön olisi liitettävä suojatoimet, jotka koskevat niiden henkilöiden oikeuksia ja etuja, joita kyseinen data koskee.

(73)

Julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten saataville poikkeuksellisen tarpeen perusteella asetettua dataa olisi käytettävä ainoastaan niihin tarkoituksiin, joihin sitä pyydettiin, paitsi jos datan saataville asettanut datan haltija on nimenomaisesti suostunut siihen, että dataa käytetään muihin tarkoituksiin. Data olisi poistettava heti, kun sitä ei enää tarvita pyynnössä ilmoitettuihin tarkoituksiin, ellei toisin sovita, ja datan haltijalle olisi ilmoitettava asiasta. Tämä asetus perustuu unionin ja jäsenvaltioiden nykyisiin asiakirjoihin tutustumista koskeviin järjestelmiin, eikä sillä muuteta asiakirjojen julkisuutta koskevaa kansallista lainsäädäntöä avoimuusvelvoitteiden yhteydessä. Data olisi poistettava, kun sitä ei enää tarvita tällaisten avoimuusvelvoitteiden täyttämiseen.

(74)

Kun datan haltijoiden toimittamaa dataa käytetään uudelleen, julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten olisi noudatettava sekä voimassa olevaa sovellettavaa unionin oikeutta tai kansallista lainsäädäntöä että datan haltijaan sovellettavia sopimusvelvoitteita. Niiden olisi pidättäydyttävä kehittämästä tai parantamasta verkkoon liitettyä tuotetta tai siihen liittyvää palvelua, joka kilpailee datan haltijan verkkoon liitetyn tuotteen tai siihen liittyvän palvelun kanssa, sekä jakamasta dataa kolmannen osapuolen kanssa näitä tarkoituksia varten. Niiden olisi myös annettava datan haltijoille näiden pyynnöstä julkista tunnustusta, ja niiden olisi vastattava vastaanotetun datan turvallisuuden ylläpitämisestä. Jos datan haltijan liikesalaisuuksien paljastaminen julkisen sektorin elimille, komissiolle, Euroopan keskuspankille tai unionin elimille on ehdottoman tarpeellista sen tarkoituksen täyttämiseksi, johon dataa on pyydetty, luovutettavan datan luottamuksellisuus olisi taattava ennen datan luovutusta.

(75)

Kun on kyse merkittävän yleisen edun turvaamisesta, kuten silloin, kun reagoidaan yleisiin hätätiloihin, asianomaisen julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen ei pitäisi odottaa maksavan yrityksille korvausta saamastaan datasta. Yleiset hätätilat ovat harvinaisia, eikä kaikissa niissä vaadita yritysten hallussa olevan datan käyttöä. Samalla datan toimittamista koskeva velvoite voi aiheuttaa huomattavan rasitteen mikroyrityksille ja pienille yrityksille. Sen vuoksi niiden olisi voitava hakea korvausta myös yleisen hätätilan yhteydessä. Datan haltijan liiketoimintaan ei sen vuoksi todennäköisesti kohdistu kielteisiä seurauksia tämän asetuksen käytöstä julkisen sektorin elinten, komission, Euroopan keskuspankin tai unionin elinten toimesta. Koska muut poikkeuksellisen tarpeen tapaukset kuin yleiseen hätätilaan reagoiminen voivat kuitenkin olla yleisempiä, datan haltijoilla olisi näissä tapauksissa oltava oikeus sellaiseen kohtuulliseen korvaukseen datan asettamisesta julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen saataville, joka ei saisi olla suurempi kuin pyynnön täyttämisestä aiheutuneet tekniset ja organisatoriset kustannukset sekä kohtuullinen marginaali. Korvausta ei saisi pitää itse datasta maksettavana tai pakollisena. Datan haltijoiden ei pitäisi voida vaatia korvausta, jos kansallinen oikeus estää kansallisia tilastolaitoksia tai muita tilastojen tuottamisesta vastaavia kansallisia viranomaisia maksamasta datan haltijoille korvausta datan saataville asettamisesta. Julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen olisi voitava riitauttaa datan haltijan pyytämän korvauksen tason saattamalla asian sen jäsenvaltion toimivaltaisen viranomaisen käsiteltäväksi, johon datan haltija on sijoittautunut.

(76)

Julkisen sektorin elin, komission, Euroopan keskuspankin tai unionin elimen olisi voitava jakaa pyynnön perusteella saamansa datan muiden yhteisöjen tai henkilöiden kanssa, kun tämä on tarpeen sellaisen tieteellisen tutkimustoiminnan tai analyyttisen toiminnan toteuttamiseksi, jota se ei voi itse suorittaa, edellyttäen, että tämä toiminta vastaa tarkoitusta, johon dataa on pyydetty. Sen olisi ilmoitettava datan haltijalle tällaisesta jakamisesta hyvissä ajoin. Tällaista dataa voidaan jakaa samoin edellytyksin myös kansallisten tilastolaitosten ja Eurostatin kanssa virallisten tilastojen kehittämistä, tuottamista ja jakelua varten. Tällaisen tutkimustoiminnan olisi kuitenkin oltava sen tarkoituksen mukaista, jota varten dataa pyydettiin, ja datan haltijalle olisi ilmoitettava sen toimittaman datan edelleen jakamisesta. Tutkimusta tekevien henkilöiden tai tutkimusorganisaatioiden, joiden kanssa kyseistä data voidaan jakaa, olisi toimittava joko voittoa tavoittelematta tai valtion tunnustaman yleisen edun mukaisen tehtävän puitteissa. Tässä asetuksessa tarkoitetuiksi tutkimusorganisaatioina ei olisi pidettävä organisaatioita, joissa kaupallisilla yrityksillä on merkittävä vaikutusvalta, jonka ansiosta tällaiset yritykset voivat käyttää niissä määräysvaltaa rakenteellisista syistä ja niillä voi olla etuoikeus tutkimustuloksiin.

(77)

Rajatylittävän yleisen hätätilan tai muun poikkeuksellisen tarpeen hoitamiseksi datapyyntöjä voidaan osoittaa datan haltijoille muissa jäsenvaltioissa kuin pyynnön esittäneen julkisen sektorin elimen jäsenvaltiossa. Tällaisessa tapauksessa pyynnön esittäneen julkisen sektorin elimen olisi ilmoitettava pyyntö sen jäsenvaltion toimivaltaiselle viranomaiselle, johon datan haltija on sijoittautunut, jotta tämä voi tutkia pyynnön tässä asetuksessa vahvistettujen kriteerien perusteella. Saman tulisi koskea komission, Euroopan keskuspankin tai unionin elimen esittämiä pyyntöjä. Jos pyyntö koskee henkilötietoja, julkisen sektorin elimen olisi ilmoitettava pyyntö asetuksen (EU) 2016/679 soveltamisen valvonnasta siinä jäsenvaltiossa, johon julkisen sektorin elin on sijoittautunut, vastaavalle valvontaviranomaiselle. Asianomaisella toimivaltaisella viranomaisella olisi oltava oikeus neuvoa julkisen sektorin elintä, komissiota, Euroopan keskuspankkia tai unionin elintä tekemään yhteistyötä sen jäsenvaltion julkisen sektorin elinten kanssa, jonne datan haltija on sijoittautunut, jotta voidaan varmistaa datan haltijalle aiheutuvan hallinnollisen rasitteen minimointi. Jos toimivaltaisella viranomaisella on perusteltuja vastaväitteitä sen osalta, onko pyyntö sopusoinnussa tämän asetuksen kanssa, sen olisi evättävä julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen pyyntö ja näiden olisi otettava kyseiset vastaväitteet huomioon ennen jatkotoimiin, mukaan lukien pyynnön uudelleen toimittaminen.

(78)

Datankäsittelypalvelujen, myös pilvi- ja reunapalvelujen, asiakkaiden kyky vaihtaa datankäsittelypalvelusta toiseen säilyttäen samalla palvelun vähimmäistoiminnot ilman palvelujen käyttökatkoksia, tai käyttää useiden palveluntarjoajien palveluja samanaikaisesti ilman aiheettomia esteitä ja datansiirtokustannuksia on keskeinen edellytys kilpailullisemmille markkinoille, joille pääsyn esteet uusille datankäsittelypalvelun tarjoajille ovat matalammat, sekä paremman häiriönsietokyvyn varmistamiselle näiden palvelujen käyttäjille. Ilmaistarjonnasta hyötyvien asiakkaiden olisi myös voitava hyötyä tähän asetukseen sisältyvistä vaihtoa koskevista säännöksistä, jotta kyseinen tarjonta ei johtaisi asiakkaiden kannalta lukkotilanteeseen.

(79)

Euroopan parlamentin ja neuvoston asetuksessa (EU) 2018/1807 (30) kannustetaan datankäsittelypalvelujen tarjoajia kehittämään ja panemaan tehokkaasti täytäntöön itsesääntelyyn perustuvia käytännesääntöjä, jotka kattavat parhaita käytäntöjä muun muassa datankäsittelypalvelujen tarjoajien vaihtamisen ja datan siirtämisen helpottamiseksi. Kun otetaan huomioon tämän tuloksena kehitettyjen itsesääntelykehysten rajallinen käyttöönotto sekä se, ettei avoimia standardeja ja rajapintoja ole yleensä saatavilla, datankäsittelypalvelujen tarjoajille on tarpeen vahvistaa vähimmäistason sääntelyvelvoitteet, jotta voidaan poistaa esikaupalliset, kaupalliset, tekniset, sopimusperusteiset ja organisatoriset esteet, jotka eivät rajoitu datansiirron jarruttamiseen asiakkaan irtautumisen yhteydessä ja jotka haittaavat datankäsittelypalvelujen tehokasta vaihtamista.

(80)

Datankäsittelypalvelujen olisi katettava palvelut, jotka mahdollistavat kaikkialla käytettävissä olevan tarveperusteisen pääsyn konfiguroitavissa olevaan, skaalattavaan ja joustavaan jaettuun joukkoon hajautettuja tietoteknisiä palveluja. Näihin tietoteknisiin resursseihin kuuluvat muun muassa verkot, palvelimet tai muu virtuaalinen tai fyysinen infrastruktuuri, ohjelmistot, mukaan lukien ohjelmistojen kehitystyökalut, tallennus, sovellukset ja palvelut. Datankäsittelypalvelun asiakkaan kykyä tuottaa itse yksipuolisesti tietoteknisiä valmiuksia, kuten palvelinaikaa tai verkkotallennustilaa, ilman minkäänlaista datankäsittelypalvelujen tarjoajan inhimillistä vuorovaikutusta voitaisiin kuvata siten, että se edellyttää minimaalista hallinnointivaivaa ja siihen liittyy minimaalinen vuorovaikutus palveluntarjoajan ja asiakkaan välillä. Ilmaisulla ’kaikkialla käytettävissä oleva’ tarkoitetaan sitä, että datankäsittelyresursseja tarjotaan verkossa ja niitä voidaan käyttää menetelmillä, jotka sallivat erilaisten prosessointivalmiuksiltaan kevyiden tai raskaiden päätelaitteiden käytön (verkkoselaimista mobiililaitteisiin ja työasemiin). Ilmaisu ’skaalattava’ viittaa tietoteknisiin resursseihin, joita datankäsittelypalvelujen tarjoaja jakaa muuntuvasti resurssien maantieteellisestä sijainnista riippumatta kysynnän vaihtelun mukaan. Ilmaisua ’joustava ’ käytetään kuvaamaan tietoteknisiä resursseja, joita tarjotaan ja vapautetaan käyttöön kysynnän mukaan niin, että resursseja voidaan nopeasti lisätä tai vähentää kuormituksen mukaisesti. Ilmaisua ’jaettu joukko’ käytetään kuvaamaan tietoteknisiä resursseja, joita tarjotaan useille käyttäjille, joilla on yhteinen pääsy palveluun, jossa prosessointi kuitenkin tapahtuu käyttäjäkohtaisesti, vaikka palvelua tarjotaan saman sähköisen laitteiston kautta. Ilmaisua ’hajautettu’ käytetään kuvaamaan tietoteknisiä resursseja, jotka sijaitsevat erillisissä verkotetuissa tietokoneissa tai laitteissa ja jotka viestivät ja koordinoivat toimintaansa keskenään rakenteisella viestinvaihdolla. Ilmaisua ’erittäin hajautettu’ käytetään kuvaamaan datankäsittelypalveluja, joihin liittyy datankäsittelyä entistä lähempänä paikkaa, jossa dataa tuotetaan tai kerätään, esimerkiksi verkkoon liitetyllä datankäsittelylaitteella. Reunalaskennan, joka on yksi tällaisen erittäin hajautetun datankäsittelyn muoto, odotetaan luovan uusia liiketoimintamalleja ja pilvipalvelujen tarjoamismalleja, joiden olisi alusta alkaen oltava avoimia ja yhteentoimivia.

(81)

Yleinen käsite ’datankäsittelypalvelut’ kattaa huomattavan määrän palveluja, joihin kuuluu hyvin laaja valikoima eri tarkoituksia, toimintoja ja teknisiä järjestelyjä. Palveluntarjoajien ja käyttäjien yleisen ymmärryksen ja yleisesti käytettyjen standardien mukaisesti datankäsittelypalvelut kuuluvat yhteen tai useampaan seuraavista kolmesta datankäsittelypalvelujen toimitusmallista: infrastruktuuri palveluna (infrastructure-as-a-service, IaaS), alusta palveluna (platform-as-a-service, PaaS) ja ohjelmisto palveluna (software-as-a-service, SaaS). Kyseiset palvelun toteutusmallit edustavat erityistä, valmiiksi paketoitua datankäsittelypalvelun tarjoajan tarjoamien tieto- ja viestintäteknisten resurssien yhdistelmää. Kyseistä kolmea tietojenkäsittelyn perustoteutusmallia täydentävät vielä kehittyvät muunnelmat, joista kukin koostuu tietynlaisesta tieto- ja viestintäteknisten resurssien yhdistelmästä, kuten tallennustila palveluna (Storage-as-a-Service) ja tietokanta palveluna (Database-as-a-Service). Datankäsittelypalveluja voidaan luokitella yksityiskohtaisemmin ja ne voidaan jakaa ei-tyhjentäväksi luetteloksi sellaisista datankäsittelypalvelujen kokonaisuuksista, joilla on sama ensisijainen tavoite ja samat päätoiminnot sekä samantyyppiset datankäsittelymallit, jotka eivät liity palvelun toiminnallisiin ominaisuuksiin (samantyyppinen palvelu). Samantyyppiseen palveluun kuuluvilla palveluilla voi olla sama datankäsittelypalvelumalli, mutta kahdella tietokannalla saattaa näennäisesti olla sama ensisijainen tavoite, mutta kun otetaan huomioon niiden tietojenkäsittelymalli, jakelumalli ja käyttötapaukset, joihin ne kohdistuvat, tällaiset tietokannat voisivat kuulua samankaltaisten palvelujen yksityiskohtaisempaan alaluokkaan. Samantyyppisillä palveluilla voi olla erilaisia ja kilpailevia ominaisuuksia, kuten suorituskyky, suojaus, häiriönsietokyky ja palvelun laatu.

(82)

Asiakkaalle kuuluvan siirrettävissä olevan datan poimimisen estäminen lähteenä olevalta datankäsittelypalvelujen tarjoajalta voi estää palvelun toimintojen palauttamisen kohteena olevan datankäsittelypalvelujen tarjoajan infrastruktuuriin. Jotta asiakkaan irtautumisstrategiaa voitaisiin helpottaa, välttää tarpeettomat ja raskaat tehtävät sekä varmistaa, ettei asiakas menetä mitään dataansa vaihtoprosessin seurauksena, lähteenä olevan datankäsittelypalvelujen tarjoajan olisi tiedotettava asiakkaalle etukäteen sen datan laajuudesta, joka voidaan siirtää, kun kyseinen asiakas päättää vaihtaa eri datankäsittelypalvelujen tarjoajan tarjoamaan eri palveluun tai siirtyä omissa tiloissa sijaitsevaan tieto- ja viestintätekniseen infrastruktuuriin. Siirrettävissä olevan datan alaan olisi sisällyttävä vähintään syöte- ja tuotosdataa, mukaan lukien metadata, joka on suoraan tai välillisesti tuotettu tai yhteistuotettu asiakkaan datankäsittelypalvelun käytöllä, lukuun ottamatta datankäsittelypalvelujen tarjoajien tai kolmannen osapuolen omaisuutta tai dataa. Siirrettävissä olevan datan ulkopuolelle olisi jätettävä datankäsittelypalvelujen tarjoajan tai kolmannen osapuolen omaisuus tai data, joka on suojattu teollis- ja tekijänoikeuksilla tai jota on pidettävä kyseisen palveluntarjoajan tai kyseisen kolmannen osapuolen liikesalaisuuksina tai palvelun eheyteen ja turvallisuuteen liittyvää dataa, jonka vienti tekee datankäsittelypalvelujen tarjoajien kyberturvallisuudesta haavoittuvan. Kyseiset poikkeukset eivät saisi estää tai viivästyttää vaihtoprosessia.

(83)

Digitaalisella omaisuudella tarkoitetaan digitaalisessa muodossa olevia elementtejä, joihin asiakkaalla on käyttöoikeus, mukaan lukien sovellukset ja metadata, jotka liittyvät asetusten konfiguraatioon, turvallisuuteen sekä valvontaoikeuksien hallintaan, sekä muita elementtejä, kuten virtualisointiteknologian ilmentymät, mukaan lukien virtuaalikoneet ja säiliöt. Digitaalinen omaisuus voidaan siirtää, kun asiakkaalla on käyttöoikeus, joka ei ole riippuvainen sopimussuhteesta siihen datankäsittelypalveluun, jonka asiakas aikoo vaihtaa toiseen. Nämä muut elementit ovat olennaisia asiakkaan tietojen ja sovellusten tehokkaan käytön kannalta kohteena olevan datankäsittelypalvelujen tarjoajan ympäristössä.

(84)

Tällä asetuksella pyritään helpottamaan datankäsittelypalvelujen vaihtamista, joka kattaa ehdot ja toimet, jotka ovat tarpeen, jotta asiakas voi irtisanoa datankäsittelypalvelua koskevan sopimuksen, tehdä yhden tai useamman uuden sopimuksen eri datankäsittelypalvelujen tarjoajien kanssa, siirtää siirrettävissä olevan datansa ja digitaalisen omaisuutensa ja tapauksen mukaan hyötyä toiminnallisesta vastaavuudesta.

(85)

Vaihtaminen on asiakaslähtöinen operaatio, jossa on useita vaiheita, kuten muun muassa datan poimiminen, joka viittaa datan lataamiseen lähteenä olevan datankäsittelypalvelun tarjoajan ekosysteemistä; muuntaminen, jossa data on jäsennelty tavalla, joka ei vastaa kohdesijainnin skeemaa; ja datan lataaminen johonkin uuteen kohdesijaintiin. Tässä asetuksessa kuvatussa erityistilanteessa tietyn palvelun eriyttämistä sopimuksesta ja sen siirtämistä eri palveluntarjoajalle olisi myös pidettävä vaihtamisena. Joskus vaihtoprosessia hallinnoi asiakkaan puolesta ulkopuolinen yhteisö. Kaikkien tällä asetuksella vahvistettujen asiakkaan oikeuksien ja velvoitteiden, mukaan lukien velvoite tehdä yhteistyötä vilpittömässä mielessä, olisi vastaavasti katsottava koskevan tällaista ulkopuolista yhteisöä näissä olosuhteissa. Datankäsittelypalvelujen tarjoajilla ja asiakkailla on eritasoisia vastuita sen mukaan, mistä prosessin vaiheesta on kyse. Esimerkiksi lähteenä oleva datankäsittelypalvelujen tarjoaja vastaa datan poimimisesta koneellisesti luettavaan muotoon, mutta datan lataaminen uuteen ympäristöön on asiakkaan ja kohteena olevan datankäsittelypalvelujen tarjoajan tehtävä, ellei siihen ole hankittu erityistä ammattimaista siirtymäpalvelua. Asiakkaan, joka aikoo käyttää vaihtamiseen liittyviä oikeuksia, joista säädetään tässä asetuksessa, olisi ilmoitettava lähteenä olevalle datankäsittelypalvelujen tarjoajalle päätöksestä joko vaihtaa eri datankäsittelypalvelujen tarjoajaan, siirtyä käyttämään omissa tiloissa sijaitsevaa tieto- ja viestintäteknistä infrastruktuuria tai poistaa kyseisen asiakkaan omaisuus ja siirrettävissä oleva data.

(86)

Toiminnallisella vastaavuudella tarkoitetaan palvelun toiminnallisuuden vähimmäistason palauttamista asiakkaan siirrettävissä olevan datan ja digitaalisen omaisuuden pohjalta saman palvelutyypin uuden datankäsittelypalvelun ympäristössä vaihdon jälkeen, jolloin kohteena oleva datankäsittelypalvelu tuottaa materiaalisesti vertailukelpoisen tuloksen vastauksena samaan syötteeseen asiakkaalle sopimuksen nojalla toimitettujen yhteisten ominaisuuksien osalta. Datankäsittelypalvelujen tarjoajien voidaan odottaa helpottavan toiminnallista vastaavuutta ainoastaan niiden ominaisuuksien osalta, joita sekä lähteenä että kohteena oleva datankäsittelypalvelut tarjoavat itsenäisesti. Tässä asetuksessa ei velvoiteta helpottamaan muiden kuin IaaS-toimitusmallin palveluja tarjoavien datankäsittelypalvelujen tarjoajien toiminnallista vastaavuutta.

(87)

Datankäsittelypalveluja käytetään eri aloilla, ja ne ovat monimutkaisuudeltaan ja palvelutyypiltään vaihtelevia. Tämä on siirtämisprosessin ja aikataulujen kannalta tärkeä näkökohta. Siirtymäaikaa voidaan kuitenkin pidentää vain asianmukaisesti perustelluissa tapauksissa, kun vaihtoprosessi on teknisesti mahdotonta saattaa päätökseen annetussa määräajassa. Todistustaakan olisi tässä tapauksessa oltava kokonaan asianomaisen datankäsittelypalvelun tarjoajalla. Tämä ei rajoita asiakkaan yksinoikeutta pidentää siirtymäaikaa kerran ajaksi, jonka asiakas katsoo asianmukaisemmaksi omiin tarpeisiinsa. Asiakas voi vedota kyseiseen oikeuteen saada pidennystä ennen siirtymäaikaa tai sen aikana ottaen huomioon, että sopimus on voimassa siirtymäajan aikana.

(88)

Vaihtomaksut ovat maksuja, joita datankäsittelypalvelujen tarjoajat perivät asiakkailtaan vaihtoprosessista. Tyypillisesti näillä maksuilla on tarkoitus siirtää kustannukset, joita lähteenä olevalle datankäsittelypalvelujen tarjoajalle voi vaihtoprosessista aiheutua, edelleen asiakkaalle, joka haluaa vaihtaa palvelua. Yleisiä esimerkkejä vaihtomaksuista ovat kustannukset, jotka liittyvät datan siirtoon yhdeltä datankäsittelypalvelujen tarjoajalta toiselle tai asiakkaan omissa tiloissa sijaitsevaan järjestelmään, jäljempänä ’datan poistomaksut’, tai erityisistä tukitoimista vaihtoprosessin aikana aiheutuvat kustannukset. Tarpeettoman korkeat datan poistomaksut ja muut perusteettomat maksut, jotka eivät liity todellisiin vaihtokustannuksiin, estävät asiakkaita vaihtamasta palvelua, rajoittavat datan vapaata liikkuvuutta, voivat rajoittaa kilpailua ja aiheuttavat lukkiutumisvaikutuksia datankäsittelypalvelujen asiakkaille vähentämällä kannustimia valita eri tai täydentävä palveluntarjoaja. Vaihtomaksut olisi näin ollen poistettava kolmen vuoden kuluttua tämän asetuksen voimaantulopäivästä. Datankäsittelypalvelujen tarjoajien olisi voitava periä tähän saakka alennuttuja vaihtomaksuja.

(89)

Lähteenä olevan datankäsittelypalvelujen tarjoajan olisi voitava ulkoistaa tiettyjä tehtäviä ja maksaa korvauksia kolmansille osapuolille tässä asetuksessa säädettyjen velvoitteiden noudattamiseksi. Asiakkaan ei tulisi vastata kustannuksista, jotka aiheutuvat lähteenä olevan datankäsittelypalvelujen tarjoajan suorittamasta palvelujen ulkoistamisesta vaihtoprosessin aikana, ja tällaisia kustannuksia olisi pidettävä perusteettomina, elleivät ne kata sitä työtä, jonka datankäsittelypalvelujen tarjoaja tekee asiakkaan pyynnöstä vaihtoprosessissa ja joka ylittää tässä asetuksessa nimenomaisesti säädetyt palveluntarjoajan vaihtovelvoitteet. Mikään tässä asetuksessa ei estä asiakasta maksamasta kolmansille osapuolille palkkiota siirtymäprosessissa annettavasta tuesta tai osapuolia sopimasta datankäsittelypalveluja koskevista määräaikaisista sopimuksista, kuten unionin oikeuden tai kansallisen lainsäädännön mukaisista oikeasuhteisista ennenaikaisesta päättämisestä aiheutuvista seuraamusmaksuista tällaisten sopimusten ennenaikaisen päättämisen kattamiseksi. Kilpailun edistämiseksi eri datankäsittelypalvelujen tarjoajien vaihtamiseen liittyvien maksujen asteittaiseen poistamiseen olisi sisällyttävä erityisesti datankäsittelypalvelujen tarjoajan asiakkaalta perimien datan poistomaksujen poistaminen. Itse datankäsittelypalvelujen tarjoamisesta perittävät vakiopalvelumaksut eivät ole vaihtomaksuja. Kyseisiä vakiomuotoisia palvelumaksuja ei peruuteta, ja niitä sovelletaan, kunnes asiaan liittyvien palvelujen tarjoamista koskevaa sopimusta ei enää sovelleta. Tämä asetus antaa asiakkaalle mahdollisuuden pyytää sellaisten lisäpalvelujen tarjoamista, jotka menevät pidemmälle kuin tämän asetuksen mukaiset palveluntarjoajan vaihtovelvoitteet. Palveluntarjoaja voi suorittaa kyseiset lisäpalvelut ja veloittaa niistä, kun ne suoritetaan asiakkaan pyynnöstä ja asiakas hyväksyy niiden hinnan etukäteen.

(90)

Tarvitaan kunnianhimoinen ja innovointiin innostava sääntelyyn perustuva lähestymistapa yhteentoimivuuteen, jotta kilpailua ja uusien palvelujen kehittämistä heikentävä toimittajalukkiutuminen voidaan ratkaista. Yhteentoimivuus datankäsittelypalvelujen välillä kattaa useita infrastruktuuri- ja ohjelmistorajapintoja ja -kerroksia, ja se on vain harvoin pelkkä binäärinen testi sen suhteen, onko jokin saavutettavissa vai ei. Sen sijaan tällaisen yhteentoimivuuden rakentaminen edellyttää kustannus-hyötyanalyysia, joka on tarpeen sen selvittämiseksi, kannattaako ennakoitavissa olevia tuloksia tavoitella kohtuudella. ISO/IEC 19941:2017 -standardi on tärkeä kansainvälinen standardi, joka on vertailukohta arvioitaessa tämän asetuksen tavoitteiden saavuttamista, sillä se sisältää teknisiä näkökohtia, joilla selvennetään tällaisen prosessin monimutkaisuutta.

(91)

Jos datankäsittelypalvelujen tarjoajat puolestaan ovat kolmannen osapuolen tarjoamien datankäsittelypalvelujen asiakkaita, ne hyötyvät itsekin tehokkaammasta vaihtamisesta samalla, kun tämän asetuksen velvoitteet sitovat niitä edelleen niiden omien palvelujen tarjoamisen osalta.

(92)

Olisi edellytettävä, että datankäsittelypalvelujen tarjoajat tarjoavat kapasiteettinsa puitteissa ja oikeassa suhteessa velvoitteisiinsa nähden kaiken avun ja tuen, joita tarvitaan, jotta prosessi palvelujen vaihtamiseksi eri datankäsittelypalvelujen tarjoajalle olisi onnistunut, tehokas ja turvallinen. Tässä asetuksessa ei edellytetä, että datankäsittelypalvelujen tarjoajat kehittävät uusia datankäsittelypalvelujen luokkia, ei myöskään eri datankäsittelypalvelujen tarjoajien tietoteknisen infrastruktuurin sisällä tai sen perusteella, jotta voitaisiin taata toiminnallinen vastaavuus muussa ympäristössä kuin niiden omissa järjestelmissä. Lähteenä olevalla datankäsittelypalvelujen tarjoajalla ei ole pääsyä kohteena olevan datankäsittelypalvelujen tarjoajan ympäristöön eikä näkemyksiä siitä. Toiminnallisen vastaavuuden ei pitäisi katsoa velvoittavan lähteenä olevaa datankäsittelypalvelun tarjoajaa rakentamaan kyseinen palvelu uudelleen kohteena olevan datankäsittelypalvelujen tarjoajan infrastruktuuriin. Sen sijaan lähteenä olevan datankäsittelypalvelujen tarjoajan olisi toteutettava valtuuksiensa puitteissa kaikki kohtuulliset toimenpiteet helpottaakseen toiminnallisen vastaavuuden saavuttamisprosessia tarjoamalla valmiuksia, asianmukaista tietoa, dokumentaatiota, teknistä tukea ja tapauksen mukaan tarvittavat työkalut.

(93)

Olisi myös edellytettävä, että datankäsittelypalvelujen tarjoajat poistavat olemassa olevia esteitä eivätkä aseta uusia esteitä, mukaan lukien asiakkaille, jotka haluavat siirtyä käyttämään omissa tiloissa olevaa tieto- ja viestintäteknistä infrastruktuuria. Esteet voivat olla muun muassa esikaupallisia, kaupallisia, teknisiä, sopimusperusteisia tai organisatorisia. Datankäsittelypalvelujen tarjoajia olisi myös vaadittava poistamaan esteet tietyn yksittäisen palvelun eriyttämiseltä muista sopimuksen nojalla tarjottavista datankäsittelypalveluista ja asettamaan asiaan liittyvä palvelu saataville vaihtamista varten, jos tällaista eriyttämistä estäviä merkittäviä ja osoitettuja teknisiä esteitä ei ole.

(94)

Turvallisuuden korkea taso olisi säilytettävä koko vaihtoprosessin ajan. Tämä tarkoittaa sitä, että lähteenä olevan tietojenkäsittelypalvelujen tarjoajan olisi laajennettava turvallisuustaso, johon se on palvelun osalta sitoutunut, kaikkiin teknisiin järjestelyihin, joista kyseinen palveluntarjoaja on vastuussa vaihtoprosessin aikana, kuten verkkoyhteyksiin tai fyysisiin laitteisiin. Tämä ei saisi vaikuttaa sopimusten irtisanomista koskeviin olemassa oleviin oikeuksiin, mukaan lukien asetuksella (EU) 2016/679 ja Euroopan parlamentin ja neuvoston direktiivillä (EU) 2019/770 (31) käyttöön otetut oikeudet. Tätä asetusta ei pitäisi ymmärtää niin, että sillä estettäisiin datankäsittelypalvelujen tarjoajaa tuottamasta asiakkailleen uusia ja parannettuja palveluja, ominaisuuksia ja toimintoja tai kilpailemasta muiden datankäsittelypalvelujen tarjoajien kanssa tällä perusteella.

(95)

Datankäsittelypalvelujen tarjoajien asiakkaalle toimittamilla tiedoilla voitaisiin tukea asiakkaan irtautumisstrategiaa. Kyseisiin tietoihin olisi sisällyttävä menettelyt, joilla käynnistetään datan siirtäminen datankäsittelypalvelusta; koneellisesti luettavat datamuodot, joihin käyttäjän data voidaan siirtää; työvälineet datan siirtämiseen, mukaan lukien avoimet rajapinnat sekä tiedot yhteensopivuudesta yhdenmukaistettujen standardien tai avoimiin yhteentoimivuuden eritelmiin perustuvien yhteisten eritelmien kanssa; tiedot tunnetuista teknisistä rajoituksista ja rajoitteista, jotka saattaisivat vaikuttaa vaihtoprosessiin; ja arvioitu aika, joka on tarpeen vaihtoprosessin päätökseen saattamiseksi.

(96)

Datankäsittelypalvelujen käyttäjien ja tarjoajien olisi datankäsittelypalvelujen yhteentoimivuuden ja vaihtamisen helpottamiseksi harkittava täytäntöönpanon ja noudattamisen apuvälineiden käyttöä ja etenkin niiden apuvälineiden, jotka sisältyvät komission julkaisemaan EU:n pilvipalvelujen sääntökirjaan ja tietojenkäsittelypalvelujen hankintoja koskevissa ohjeissa. Varsinkin vakiosopimuslausekkeet ovat hyödyllisiä, kun halutaan lisätä luottamusta datankäsittelypalveluihin, luoda tasapainoisempi suhde käyttäjien ja datankäsittelypalvelujen tarjoajien välille ja parantaa oikeusvarmuutta niiden edellytysten osalta, joita sovelletaan vaihdettaessa muihin datankäsittelypalveluihin. Tässä yhteydessä datankäsittelypalvelujen käyttäjien ja tarjoajien olisi harkittava unionin oikeuden mukaisesti perustettujen asiaankuuluvien elinten tai asiantuntijaryhmien laatimien vakiosopimuslausekkeiden tai muiden itsesääntelyvälineiden käyttöä edellyttäen, että ne ovat tämän asetuksen mukaisia.

(97)

Datankäsittelypalvelujen vaihtamisen helpottamiseksi kaikkien mukana olevien osapuolten, mukaan lukien sekä lähteenä että kohteena olevat datankäsittelypalvelujen tarjoajat, olisi tehtävä yhteistyötä vilpittömässä mielessä, jotta vaihtoprosessista tulee tehokas ja jotta mahdollistetaan tarvittavan datan suojattu ja oikea-aikainen siirto yleisesti käytetyssä, koneellisesti luettavassa muodossa ja avoimien rajapintojen avulla siten, että vältetään palveluhäiriöt ja säilyttäen palvelun jatkuvuus.

(98)

Datankäsittelypalvelut, jotka koskevat palveluja, joiden pääpiirteistä suurin osa on räätälöity vastaamaan yksittäisen asiakkaan erityistarpeisiin tai joiden kaikki komponentit on kehitetty yksittäistä asiakasta varten, olisi vapautettava joistakin datankäsittelypalvelun vaihtamiseen sovellettavista velvoitteista. Tähän ei pitäisi sisältyä palveluja, joita datankäsittelypalvelujen tarjoaja tarjoaa laajassa kaupallisessa laajuudessa palveluluettelonsa kautta. Ennen sopimuksen tekemistä datankäsittelypalvelujen tarjoajan velvollisuutena on tiedottaa tällaisten palvelujen mahdollisille asiakkaille asianmukaisesti niistä tässä asetuksessa vahvistetuista velvollisuuksista, joita ei sovelleta asianomaisiin palveluihin. Mikään ei estä datankäsittelypalvelujen tarjoajaa ottamasta tällaisia palveluja käyttöön laajemmassa mittakaavassa, jolloin kyseisen palveluntarjoajan olisi noudatettava kaikkia tässä asetuksessa vahvistettuja vaihtamista koskevia velvollisuuksia.

(99)

Datankäsittelypalvelujen tarjoajan vaihtamisen sallimista koskevan vähimmäisvaatimuksen mukaisesti tällä asetuksella pyritään myös parantamaan yhteentoimivuutta sellaisten eri datankäsittelypalvelujen rinnakkaiskäytössä, joissa on toisiaan täydentäviä toimintoja. Tämä koskee tilanteita, joissa asiakkaat eivät irtisano sopimusta vaihtaakseen eri datankäsittelypalvelujen tarjoajaan mutta joissa useita eri palveluntarjoajien palveluja käytetään samanaikaisesti yhteentoimivalla tavalla asiakkaan järjestelmän eri palvelujen täydentävien toimintojen hyödyntämiseksi. On kuitenkin tunnustettu, että datan poistaminen yhdeltä datankäsittelypalvelujen tarjoajalta toiselle palvelujen rinnakkaiskäytön helpottamiseksi voi olla jatkuvaa toimintaa, toisin kuin vaihtoprosessin yhteydessä vaadittava kertaluonteinen poisto. Sen vuoksi datankäsittelypalvelujen tarjoajien olisi voitava edelleen periä maksuja, jotka eivät ylitä aiheutuneita kustannuksia, datan poistamisesta rinnakkaiskäyttöä varten kolme vuotta tämän asetuksen voimaantulosta kestävän siirtymäajan jälkeen. Tämä on tärkeää muun muassa monipilvistrategioiden onnistuneen käyttöönoton kannalta, sillä niiden avulla asiakkaat voivat panna täytäntöön tulevaisuuden vaatimukset täyttäviä tieto- ja viestintäteknisiä strategioita ja vähentää riippuvuuttaan yksittäisistä datankäsittelypalvelujen tarjoajista. Monipilvimallin helpottaminen datankäsittelypalvelujen asiakkaille voi myös auttaa lisäämään niiden digitaalista häiriönsietokykyä, kuten Euroopan parlamentin ja neuvoston asetuksessa (EU) 2022/2554 (32) todetaan rahoituspalvelulaitosten osalta.

(100)

Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 (33) liitteen II mukaisesti yhteentoimivuuden ja siirrettävyyden osalta laadittujen avointen yhteentoimivuuden ja siirrettävyyden eritelmien ja standardien odotetaan mahdollistavan pilvipalvelujen monitoimittajaympäristön, joka on olennainen vaatimus avoimelle innovoinnille Euroopan datataloudessa. Koska vuonna 2016 päätökseen saatetussa pilvipalvelujen standardoinnin koordinointia koskevassa aloitteessa hyväksyttyjen standardien käyttöönotto markkinoilla on ollut vähäistä, komission tarvitsee myös tukeutua siihen, että markkinoiden osapuolet kehittävät asiaankuuluvia yhteentoimivuutta koskevia avoimia eritelmiä alan nopean teknologisen kehityksen tahdissa pysymiseksi. Komissio voi sitten hyväksyä tällaiset avoimet yhteentoimivuutta koskevat eritelmät yhteisten eritelmien muodossa. Lisäksi silloin, kun markkinalähtöisillä prosesseilla ei ole todettu olevan edellytyksiä synnyttää yhteisiä eritelmiä tai standardeja, joilla helpotettaisiin tehokasta pilvipalvelujen yhteentoimivuutta PaaS- ja SaaS-tasolla, komission olisi voitava tämän asetuksen perusteella ja asetuksen (EU) N:o 1025/2012 mukaisesti pyytää eurooppalaisia standardointiorganisaatioita laatimaan tällaisia standardeja erityisesti tietyille palvelutyypeille, joilta ne vielä puuttuvat. Tämän lisäksi komissio kannustaa markkinaosapuolia laatimaan asiaankuuluvia yhteentoimivuutta koskevia avoimia eritelmiä. Komission olisi sidosryhmiä kuultuaan voitava määrätä täytäntöönpanosäädösten avulla yhteentoimivuutta koskevien yhdenmukaistettujen standardien tai yhteisten eritelmien käytöstä tiettyjen palvelutyyppien osalta viittaamalla unionin datankäsittelypalvelujen yhteentoimivuutta koskevien standardien keskusrekisteriin. Datankäsittelypalvelujen tarjoajien olisi varmistettava yhteensopivuus kyseisten yhdenmukaistettujen standardien ja avoimiin yhteentoimivuuden eritelmiin perustuvien yhteisten eritelmien kanssa, mikä ei saisi vaikuttaa haitallisesti datan turvallisuuteen tai eheyteen. Datankäsittelypalvelujen yhteentoimivuutta koskeviin yhdenmukaistettuihin standardeihin ja avoimiin yhteentoimivuuden eritelmiin perustuviin yhteisiin eritelmiin viitataan vain, jos ne täyttävät tässä asetuksessa täsmennetyt kriteerit, joilla on sama merkitys kuin asetuksen (EU) N:o 1025/2012 liitteessä II esitetyillä vaatimuksilla ja kansainvälisessä standardissa ISO/IEC 19941:2017 määritellyillä yhteentoimivuuden osa-alueilla. Lisäksi standardoinnissa olisi otettava huomioon pk-yritysten tarpeet.

(101)

Kolmannet maat voivat hyväksyä lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on siirtää suoraan niiden rajojen ulkopuolella, myös unionissa, olevaa muuta dataa kuin henkilötietoja tai antaa viranomaisille pääsy niihin. Kolmansien maiden tuomioistuinten tai muiden oikeus- tai hallintoviranomaisten, kuten lainvalvontaviranomaisten, päätösten, joissa vaaditaan tällaista muun datan kuin henkilötietojen siirtämistä tai niihin pääsyä, olisi oltava täytäntöönpanokelpoisia, jos ne perustuvat pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimuksen, kuten keskinäiseen oikeusapusopimukseen. Muissa tapauksissa voi syntyä tilanteita, joissa kolmannen maan lainsäädäntöön perustuva pyyntö, joka koskee muun datan kuin henkilötietojen siirtämistä tai niihin pääsyä, on ristiriidassa sellaisen velvoitteen kanssa, joka koskee tällaisen datan suojaamista unionin oikeuden tai asianomaisen jäsenvaltion kansallisen lainsäädännön nojalla. Tämä voi olla tilanne erityisesti, jos on kyse henkilön perusoikeuksien suojasta, kuten oikeudesta turvallisuuteen ja oikeudesta tehokkaisiin oikeussuojakeinoihin, tai kansalliseen turvallisuuteen tai puolustukseen liittyvistä jäsenvaltion peruseduista, myös kaupallisesti arkaluonteisen datan, kuten liikesalaisuuksien suojaamisesta sekä teollis- ja tekijänoikeuksien suojaamisesta, mukaan lukien kyseisen oikeuden mukaiset luottamuksellisuutta koskevat sopimusvelvoitteet. Jos tällaisia asioita säänteleviä kansainvälisiä sopimuksia ei ole, siirto tai pääsy muuhun dataan kuin henkilötietoihin olisi sallittava vain, jos on varmistettu, että kolmannen maan oikeusjärjestelmässä vaaditaan päätöksen perustelujen ja oikeasuhteisuuden esittämistä, että tuomioistuimen määräys tai päätös on luonteeltaan erityinen ja että vastaanottajan perusteltu vastalause voidaan saattaa käsiteltäväksi kolmannen maan toimivaltaiseen tuomioistuimeen, jolla on valtuudet ottaa asianmukaisesti huomioon tällaisen datan toimittajan asiaankuuluvat oikeudelliset edut. Ennen kuin pääsy kyseiseen dataan sallitaan, datankäsittelypalvelujen tarjoajan olisi voitava ilmoittaa tällaisesta pyynnöstä asiakkaalle, jonka dataa pyydetään, jos se on mahdollista kolmannen maan viranomaisen dataan pääsyä koskevan pyynnön ehtojen mukaisesti, jotta voidaan tunnistaa, onko tällainen dataan pääsy mahdollisesti ristiriidassa sellaisen unionin oikeuden tai kansallisten lainsäädännön kanssa, joka koskee esimerkiksi kaupallisesti arkaluonteisen datan, kuten liikesalaisuuksien, suojaamista, sekä teollis- ja tekijänoikeuksien suojaamista, mukaan lukien luottamuksellisuutta koskevat sopimusvelvoitteet.

(102)

Luottamuksen parantamiseksi dataa kohtaan on tärkeää toteuttaa mahdollisimman laajalti suojatoimia, jotka koskevat unionin kansalaisia, julkista sektoria ja yrityksiä, jotta voidaan varmistaa niiden mahdollisuudet valvoa omaa dataansa. Lisäksi olisi noudatettava unionin oikeutta, arvoja ja normeja muun muassa turvallisuuden, tietosuojan ja yksityisyyden suojan sekä kuluttajansuojan osalta. Jotta voidaan estää kolmannen maan viranomaisten laiton pääsy muuhun dataan kuin henkilötietoihin, tämän asetuksen soveltamisalaan kuuluvien datankäsittelypalvelujen, kuten pilvi- ja reunapalvelujen, tarjoajien olisi toteutettava kaikki kohtuulliset toimenpiteet estääkseen pääsyn järjestelmiin, joissa säilytetään muuta dataa kuin henkilötietoja, mukaan lukien tarvittaessa datan salaaminen, tarkastusten säännöllinen toimittaminen, asiaankuuluvien turvallisuuden varmistamista koskevien sertifiointijärjestelmien todennettu noudattaminen ja yritysten toimintaperiaatteiden muuttaminen.

(103)

Standardoinnilla ja semanttisella yhteentoimivuudella olisi oltava keskeinen rooli yhteentoimivuuden varmistamiseen tähtäävien teknisten ratkaisujen tarjoamisessa niiden yhteisten eurooppalaisten data-avaruuksien sisällä ja kesken, jotka ovat yhteisten standardien ja käytäntöjen käyttötarkoituksia koskevia, alakohtaisia tai monialaisia yhteentoimivia puitteita datan jakamiseksi tai yhdessä käsittelemiseksi muun muassa uusien tuotteiden ja palvelujen, tieteellisen tutkimuksen tai kansalaisyhteiskunnan aloitteiden kehittämistä varten. Tässä asetuksessa vahvistetaan tietyt yhteentoimivuutta koskevat olennaiset vaatimukset. Data-avaruuksien osallistujien, jotka tarjoavat dataa tai datapalveluja muille osallistujille, jotka ovat datan jakamista helpottavia tai siihen osallistuvia tahoja, mukaan lukien datan haltijat, olisi noudatettava kyseisiä vaatimuksia valvonnassaan olevien elementtien osalta. Kyseisten sääntöjen noudattaminen voidaan varmistaa noudattamalla tässä asetuksessa säädettyjä olennaisia vaatimuksia tai mahdollisesti noudattamalla yhdenmukaistettuja standardeja tai yhteisiä eritelmiä vaatimustenmukaisuusolettaman kautta. Jotta olisi helpompi arvioida yhteentoimivuutta koskevien vaatimusten mukaisuutta, on tarpeen säätää vaatimustenmukaisuusolettamasta yhteentoimivuusratkaisuille, jotka vastaavat yhdenmukaistettuja standardeja tai niiden osia asetuksen (EU) N:o 1025/2012 mukaisesti, joka tarjoaa oletusarvoisen kehyksen tällaiset olettamat tarjoavien standardien laatimiseksi. Komission olisi arvioitava yhteentoimivuuden esteitä ja asetettava etusijalle standardointitarpeet, joiden perusteella se voi pyytää yhtä tai useampaa eurooppalaista standardointiorganisaatiota asetuksen (EU) N:o 1025/2012 mukaisesti laatimaan yhdenmukaistettuja standardeja, jotka täyttävät tässä asetuksessa säädetyt olennaiset vaatimukset. Jos tällaiset pyynnöt eivät johda yhdenmukaistettuihin standardeihin tai jos tällaiset yhdenmukaistetut standardit eivät riitä varmistamaan yhdenmukaisuutta tämän asetuksen olennaisten vaatimusten kanssa, komission olisi voitava hyväksyä yhteisiä eritelmiä kyseisillä aloilla edellyttäen, että se tässä yhteydessä kunnioittaa asianmukaisesti standardointiorganisaatioiden roolia ja toimintoja. Yhteisiä eritelmiä olisi hyväksyttävä ainoastaan poikkeuksellisena vararatkaisuna, jolla helpotetaan tämän asetuksen olennaisten vaatimusten noudattamista, kun standardointiprosessi on pysähtynyt tai asianmukaisten yhdenmukaistettujen standardien laatiminen viivästyy. Jos tällainen viive johtuu kyseessä olevan standardin teknisestä monimutkaisuudesta, komission olisi otettava tämä huomioon ennen kuin se harkitsee yhteisten eritelmien vahvistamista. Yhteiset eritelmät olisi laadittava avoimella ja osallistavalla tavalla, ja niissä olisi tarvittaessa otettava huomioon asetuksella (EU) 2022/868 perustetun Euroopan datainnovaatiolautakunnan antama neuvonta. Lisäksi eri aloilla voitaisiin antaa alojen erityistarpeisiin perustuvia yhteisiä eritelmiä unionin oikeuden tai kansallisen lainsäädännön mukaisesti. Lisäksi komission olisi voitava antaa toimeksianto datankäsittelypalvelujen yhteentoimivuutta koskevien yhdenmukaistettujen standardien laatimista varten.

(104)

Datan jakamista koskevien sopimusten automaattisen täytäntöönpanon välineiden yhteentoimivuuden edistämiseksi on säädettävä vaatimuksista sellaisia älysopimuksia varten, joita ammattihenkilöt laativat muiden puolesta tai sisällyttävät sovelluksiin, joilla tuetaan datan jakamista koskevien sopimusten täytäntöönpanoa. Jotta voidaan helpottaa tällaisten älysopimusten yhdenmukaisuutta kyseisten olennaisten vaatimusten kanssa, on tarpeen säätää vaatimustenmukaisuusolettamasta sellaisille älysopimuksille, jotka täyttävät yhdenmukaistetut standardit tai niiden osat asetuksen (EU) N:o 1025/2012 mukaisesti. Tässä asetuksessa käytetty käsite ’älysopimus’ on teknologianeutraali. Älysopimukset voidaan esimerkiksi liittää sähköiseen tilikirjaan. Olennaisia vaatimuksia olisi sovellettava ainoastaan älysopimusten myyjiin, mutta ei silloin, kun ne kehittävät älysopimuksia sisäisesti yksinomaan sisäiseen käyttöön. Olennainen vaatimus varmistaa, että älysopimukset voidaan keskeyttää ja irtisanoa, edellyttää datan jakamista koskevan sopimuksen osapuolten yhteistä suostumusta. Siviili-, sopimus- ja kuluttajansuojalainsäädännön asiaankuuluvien sääntöjen sovellettavuus datan jakamista koskeviin sopimuksiin säilyy tai älysopimusten automaattisen täytäntöönpanon ei pitäisi vaikuttaa tällaisiin sopimuksiin.

(105)

Sen osoittamiseksi, että tämän asetuksen olennaiset vaatimukset täyttyvät, älysopimuksen myyjän tai, jos sellaista ei ole, henkilön, jonka elinkeino-, liike- tai ammattitoimintaan liittyy älysopimusten käyttöönotto toisten puolesta datan saataville asettamista tämän asetuksen asiayhteydessä koskevan sopimuksen tai sen osan täytäntöönpanon yhteydessä, olisi suoritettava vaatimustenmukaisuuden arviointi ja annettava EU-vaatimustenmukaisuusvakuutus. Tällaiseen vaatimustenmukaisuuden arviointiin olisi sovellettava Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 765/2008 (34) ja Euroopan parlamentin ja neuvoston päätöksessä N:o 768/2008/EY (35) vahvistettuja yleisiä periaatteita.

(106)

Sen lisäksi, että älysopimusten ammattimaiset kehittäjät velvoitetaan noudattamaan olennaisia vaatimuksia, on myös tärkeää kannustaa niitä data-avaruuksien osallistujia, jotka tarjoavat dataa tai datapohjaisia palveluja muille osallistujille yhteisissä eurooppalaisissa data-avaruuksissa ja niiden välillä, tukemaan datan jakamiseen tarkoitettujen välineiden, myös älysopimusten, yhteentoimivuutta.

(107)

Jäsenvaltioiden olisi nimettävä yksi tai useampia toimivaltaisia viranomaisia tämän asetuksen soveltamisen ja täytäntöönpanon varmistamiseksi. Jos jäsenvaltio nimeää useamman kuin yhden toimivaltaisen viranomaisen, sen olisi nimettävä keskuudestaan myös datakoordinaattori. Toimivaltaisten viranomaisten olisi tehtävä yhteistyötä keskenään. Käyttäessään tutkintavaltuuksiaan sovellettavien kansallisten menettelyjen mukaisesti toimivaltaisten viranomaisten olisi voitava etsiä ja hankkia tietoja, erityisesti yhteisöjen sellaisen toiminnan osalta, joka liittyy niiden toimivaltaan, sekä myös yhteisten tutkimusten yhteydessä, ottaen asianmukaisesti huomioon, että toisen jäsenvaltion toimivallan alaista yhteisöä koskeva valvonta ja lainvalvontatoimet edellyttävät kyseisen toisen jäsenvaltion toimivaltaisen viranomaisen hyväksyntää tarvittaessa rajatylittävään yhteistyöhön liittyvien menettelyjen mukaisesti. Toimivaltaisten viranomaisten olisi avustettava toisiaan oikea-aikaisesti erityisesti silloin, kun jäsenvaltion toimivaltaisella viranomaisella on hallussaan merkityksellisiä tietoja sellaista tutkimusta varten, jonka suorittavat muiden jäsenvaltioiden toimivaltaiset viranomaiset, tai se pystyy keräämään sellaisia tietoja, joihin yhteisön sijoittautumisjäsenvaltion toimivaltaisilla viranomaisilla ei ole pääsyä. Toimivaltaiset viranomaiset ja datakoordinaattorit olisi yksilöitävä komission ylläpitämässä julkisessa rekisterissä. Datakoordinaattori voisi olla lisäkeino helpottaa yhteistyötä rajatylittävissä tilanteissa, kuten silloin, kun tietyn jäsenvaltion toimivaltainen viranomainen ei tiedä, mitä viranomaista sen olisi lähestyttävä datakoordinaattorin jäsenvaltiossa, esimerkiksi jos tapaus koskee useampaa kuin yhtä toimivaltaista viranomaista tai toimialaa. Datakoordinaattorin olisi toimittava muun muassa keskitettynä yhteyspisteenä kaikissa tämän asetuksen täytäntöönpanoon liittyvissä kysymyksissä. Jos datakoordinaattoria ei ole nimetty, toimivaltaisen viranomaisen olisi hoidettava datakoordinaattorille tämän asetuksen nojalla annetut tehtävät. Tietosuojalainsäädännön noudattamisen valvonnasta vastaavien viranomaisten ja unionin oikeuden tai kansallisen lainsäädännön mukaisesti nimettyjen toimivaltaisten viranomaisten olisi vastattava tämän asetuksen soveltamisesta toimivaltaansa kuuluvilla aloilla. Eturistiriitojen välttämiseksi tämän asetuksen soveltamisesta ja täytäntöönpanosta vastaavilla toimivaltaisilla viranomaisilla, jotka vastaavat tietojen asettamisesta saataville poikkeukselliseen tarpeeseen perustuvan pyynnön perusteella, ei pitäisi olla oikeutta tehdä tällaista pyyntöä.

(108)

Luonnollisilla henkilöillä ja oikeushenkilöillä olisi tämän asetuksen mukaisten oikeuksiensa käyttämiseksi oltava oikeus hakea oikeussuojaa esittämällä valituksia, jos niiden tämän asetuksen mukaisia oikeuksia loukataan. Datakoordinaattorin olisi pyynnöstä annettava luonnollisille henkilöille ja oikeushenkilöille kaikki tarvittavat tiedot, jotta nämä voivat tehdä valituksensa asiaankuuluvalle toimivaltaiselle viranomaiselle. Nämä viranomaiset olisi velvoitettava tekemään yhteistyötä sen varmistamiseksi, että valitus käsitellään asianmukaisesti ja ratkaistaan tehokkaasti ja oikea-aikaisesti. Jotta voidaan hyödyntää kuluttajasuojan yhteistyöverkkomekanismia ja mahdollistaa edustajakanteet, tällä asetuksella muutetaan Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/2394 (36) sekä Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 (37) liitteitä.

(109)

Toimivaltaisten viranomaisten olisi varmistettava, että tässä asetuksessa säädettyjen velvoitteiden rikkomisesta määrätään seuraamuksia. Tällaisia seuraamuksia voisivat olla muun muassa taloudelliset seuraamukset, varoitukset, huomautukset tai määräykset liiketoimintakäytäntöjen saattamiseksi tässä asetuksessa asetettujen velvoitteiden mukaisiksi. Jäsenvaltioiden vahvistamien seuraamusten olisi oltava tehokkaita, oikeasuhteisia ja varoittavia, ja niissä olisi otettava huomioon Euroopan datainnovaatiolautakunnan suositukset, millä edistetään mahdollisimman suurta johdonmukaisuutta seuraamusten vahvistamisessa ja soveltamisessa. Toimivaltaisten viranomaisten olisi tarvittaessa sovellettava väliaikaisia toimenpiteitä väitetyn rikkomisen vaikutusten rajoittamiseksi, kun kyseisen rikkomisen tutkinta on käynnissä. Tällöin niiden olisi otettava huomioon velvoitteen rikkomisen luonne, vakavuus, toistuvuus ja kesto sekä kyseessä oleva yleinen etu, toteutettujen toimien laajuus ja luonne ja rikkomiseen syyllistyneen taloudellinen kapasiteetti. Niiden olisi otettava huomioon myös se, laiminlyökö rikkomiseen syyllistynyt järjestelmällisesti tai toistuvasti tämän asetuksen mukaisia velvoitteitaan. Jotta voitaisiin varmistaa, että ne bis in idem -periaatetta kunnioitetaan, ja erityisesti välttää se, että tässä asetuksessa säädettyjen velvoitteiden samasta rikkomisesta rangaistaan useamman kuin yhden kerran, jäsenvaltion, joka aikoo käyttää toimivaltaansa sellaisten rikkomiseen syyllistyneen osalta, joka ei ole sijoittautunut unioniin eikä ole nimennyt laillista edustajaa unionissa, olisi ilman aiheetonta viivytystä ilmoitettava tästä kaikille muille viranomaisille sekä komissiolle.

(110)

Euroopan datainnovaatiolautakunnan olisi neuvottava ja avustettava komissiota tämän asetuksen soveltamisalaan kuuluvia aiheita koskevien kansallisten käytäntöjen ja politiikkojen koordinoinnissa sekä teknistä standardointia koskevien tavoitteidensa saavuttamisessa yhteentoimivuuden parantamiseksi. Sillä olisi myös oltava keskeinen rooli toimivaltaisten viranomaisten välisten tämän asetuksen soveltamista ja valvontaa koskevien kattavien keskustelujen helpottamisessa. Tämän tietojenvaihdon tarkoituksena on parantaa oikeussuojan saatavuutta sekä täytäntöönpanon valvontaa ja oikeudellista yhteistyötä kaikkialla unionissa. Muiden tehtävien ohella toimivaltaisten viranomaisten olisi hyödynnettävä Euroopan datainnovaatiolautakuntaa foorumina, jolla arvioidaan, koordinoidaan ja annetaan tämän asetuksen rikkomisesta aiheutuvien seuraamusten määräämistä koskevia suosituksia. Sen olisi mahdollistettava se, että toimivaltaiset viranomaiset voivat komission avustuksella koordinoida optimaalista lähestymistapaa tällaisten seuraamusten määrittämiseen ja määräämiseen. Kyseisellä lähestymistavalla estetään hajanaisuus ja mahdollistetaan samalla jäsenvaltioiden joustavuus, ja sen olisi johdettava tehokkaisiin suosituksiin, jotka tukevat tämän asetuksen johdonmukaista soveltamista. Euroopan datainnovaatiolautakunnalla olisi myös oltava neuvoa-antava rooli standardointiprosesseissa ja yhteisten eritelmien hyväksymisessä täytäntöönpanosäädösillä, hyväksyttäessä delegoituja säädöksiä, joilla otetaan käyttöön datankäsittelypalvelujen tarjoajien määräämien poisto- ja vaihtomaksujen seurantamekanismi ja täsmennetään datan, datan jakamismekanismien ja -palvelujen sekä yhteisten eurooppalaisten data-avaruuksien yhteentoimivuutta koskevat olennaiset vaatimukset. Sen olisi myös neuvottava ja avustettava komissiota niiden suuntaviivojen hyväksymisessä, joissa vahvistetaan yhteentoimivuuden eritelmät yhteisten eurooppalaisten data-avaruuksien toimintaa varten.

(111)

Jotta yrityksiä voitaisiin auttaa sopimusten laatimisessa ja neuvottelemisessa, komission olisi laadittava ja suositeltava ei-sitovia mallisopimusehtoja yritysten välistä datan jakamista koskeville sopimuksille ottaen tarvittaessa huomioon tietyillä aloilla vallitsevat olosuhteet ja vapaaehtoisia datan jakamismekanismeja koskevat nykyiset käytännöt. Kyseisten mallisopimusehtojen olisi oltava ensisijaisesti käytännön väline, jolla autetaan erityisesti pieniä yrityksiä sopimuksen tekemisessä. Kyseisten mallisopimusehtojen laajan ja kokonaisvaltaisen käytön odotetaan myös vaikuttavan myönteisesti dataan pääsyä ja sen käyttöä koskevien sopimusten suunnitteluun, jolloin niiden avulla voitaisiin yleisemmin parantaa sopimussuhteiden oikeudenmukaisuutta dataan pääsyn ja datan jakamisen yhteydessä.

(112)

Jotta voidaan torjua riski siitä, että verkkoon liitetyn tuotteen ja siihen liittyvän palvelun tai muun koneellisesti tuotetun datan fyysisten komponenttien, kuten antureiden, avulla saadun tai tuotetun ja tietokantoihin sisältyvän datan haltijat vetoavat direktiivin 96/9/EY 7 artiklan mukaiseen sui generis -oikeuteen ja estävät siten erityisesti tämän asetuksen mukaista dataan pääsyä ja datan käyttöä koskevan oikeuden sekä datan jakamista kolmansien osapuolten kanssa koskevan oikeuden tosiasiallisen käytön, olisi selvennettävä, että sui generis -oikeutta ei sovelleta tällaisiin tietokantoihin. Tämä ei vaikuta direktiivin 96/9/EY 7 artiklan mukaisen sui generis -oikeuden mahdolliseen soveltamiseen tietokantoihin, jotka sisältävät dataa, joka ei kuulu tämän asetuksen soveltamisalaan, edellyttäen, että mainitun artiklan 1 kohdan mukaista suojaa koskevat vaatimukset täyttyvät.

(113)

Jotta voidaan ottaa huomioon datankäsittelypalvelujen tekniset osatekijät, komissiolle olisi siirrettävä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukainen valta hyväksyä säädöksiä, joilla täydennetään tätä asetusta ja perustetaan markkinoilla toimivien datankäsittelypalvelujen tarjoajien perimiä vaihtomaksuja koskeva valvontamekanismi ja täsmennetään yhteentoimivuuden osalta olennaisia vaatimuksia, joita sovelletaan niihin data-avaruuksien osallistujiin, jotka tarjoavat dataa tai datapalveluja muille osallistujille. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (38) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(114)

Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa hyväksyä yhteisiä eritelmiä, joilla varmistetaan datan, datan jakamismekanismien ja -palvelujen sekä yhteisten eurooppalaisten data-avaruuksien yhteentoimivuus, yhteisiä eritelmiä datankäsittelypalvelujen yhteentoimivuudesta ja yhteisiä eritelmiä älysopimusten yhteentoimivuudesta. Komissiolle olisi myös siirrettävä täytäntöönpanovaltaa julkaista datankäsittelypalvelujen yhteentoimivuutta koskevien yhdenmukaistettujen standardien ja yhteisten eritelmien viitetiedot unionin datankäsittelypalvelujen yhteentoimivuutta koskevien standardien keskusrekisterissä. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (39) mukaisesti.

(115)

Tämä asetus ei saisi rajoittaa sellaisten sääntöjen soveltamista, jotka koskevat yksittäisten alojen tai yleistä etua koskevien alojen erityistarpeita. Tällaisiin sääntöihin voi sisältyä lisävaatimuksia, jotka koskevat dataan pääsyn teknisiä näkökohtia, kuten rajapintoja dataan pääsyä varten tai dataan pääsyn toteutustapoja, esimerkiksi suoraan tuotteesta tai datan välityspalvelujen kautta. Tällaisiin sääntöihin voi sisältyä myös rajoituksia, jotka koskevat datan haltijoiden oikeuksia saada tai käyttää käyttäjän dataa tai jotka liittyvät muihin kuin datan saatavuutta ja käyttöä koskeviin näkökohtiin, kuten hallintonäkökohtiin tai turvallisuusvaatimuksiin, mukaan lukien kyberturvallisuusvaatimukset. Tämä asetus ei myöskään saisi rajoittaa yksityiskohtaisempien sääntöjen soveltamista yhteisten eurooppalaisten data-avaruuksien kehittämisen yhteydessä tai, lukuun ottamatta tässä asetuksessa säädettyjä poikkeuksia, unionin oikeutta ja kansallista lainsäädäntöä, jossa säädetään pääsystä dataan ja datan käytöstä tieteelliseen tutkimukseen.

(116)

Tämä asetus ei saisi vaikuttaa kilpailusääntöjen eikä varsinkaan Euroopan unionin toiminnasta tehdyn sopimuksen 101 ja 102 artiklan soveltamiseen. Tässä asetuksessa säädettyjä toimenpiteitä ei saisi käyttää kilpailun rajoittamiseen Euroopan unionin toiminnasta tehdyn sopimuksen vastaisella tavalla.

(117)

Jotta tämän asetuksen soveltamisalaan kuuluvat toimijat voisivat mukautua tässä asetuksessa säädettyihin uusiin sääntöihin ja toteuttaa tarvittavat tekniset järjestelyt, kyseisiä sääntöjä olisi alettava soveltaa 12 päivästä syyskuuta 2025.

(118)

Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 ja 2 kohdan mukaisesti, ja ne ovat antaneet lausuntonsa 4 päivänä toukokuuta 2022.

(119)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitteita eli taata datasta saadun arvon oikeudenmukaista jakamista datatalouden toimijoiden kesken ja edistää oikeudenmukaista pääsyä dataan sekä datan oikeudenmukaista käyttöä todellisten datan sisämarkkinoiden luomiseksi, vaan ne voidaan toiminnan laajuuden tai vaikutusten ja datan rajatylittävän käytön vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi,