Hivatalos Lapja |
HU Sorozat L |
2023/2854 |
2023.12.22. |
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2023/2854 RENDELETE
(2023. december 13.)
a méltányos adathozzáférésre és -felhasználásra vonatkozó harmonizált szabályokról, valamint az (EU) 2017/2394 rendelet és az (EU) 2020/1828 irányelv módosításáról (adatrendelet)
(EGT-vonatkozású szöveg)
AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,
tekintettel az Európai Bizottság javaslatára,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
tekintettel az Európai Központi Bank véleményére (1),
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére (2),
tekintettel a Régiók Bizottságának véleményére (3),
rendes jogalkotási eljárás (4) keretében,
mivel:
(1) |
Az utóbbi években az adatvezérelt technológiák a gazdaság valamennyi ágazatára átalakító hatást gyakoroltak. Az internettel összekapcsolt termékek terjedése különösen növelte az adatok mennyiségét és potenciális értékét a fogyasztók, a vállalkozások és a társadalom számára. A különböző területekről származó kiváló minőségű és interoperábilis adatok növelik a versenyképességet és az innovációt, továbbá biztosítják a fenntartható gazdasági növekedést. Ugyanazon adatokat különböző célokra és korlátlan mértékben lehet felhasználni és újra felhasználni bármely minőségi vagy mennyiségi veszteség nélkül. |
(2) |
Az adatmegosztás korlátai akadályozzák az adatoknak a társadalom javát szolgáló optimális elosztását. Az említett korlátok közé tartozik az adatbirtokosokat az adatmegosztási megállapodások önkéntes megkötésére ösztönző tényezők hiánya, az adatokkal kapcsolatos jogokat és kötelezettségeket övező bizonytalanság, a technikai interfészekkel kapcsolatos szerződéskötési és megvalósítási költségek, az adatsilókban tárolt adatok nagy fokú széttagoltsága, a metaadatok alacsony színvonalú kezelése, a szemantikus és technikai interoperabilitásra vonatkozó szabványok hiánya, az adathozzáférést akadályozó szűk keresztmetszetek, a közös adatmegosztási gyakorlatok hiánya, valamint az adathozzáférés és -felhasználás tekintetében a szerződő felek közötti egyensúlyhiánnyal való visszaélés. |
(3) |
A 2003/361/EK bizottsági ajánlás (5) mellékletének 2. cikkében meghatározott mikrovállalkozások, kisvállalkozások és középvállalkozások (a továbbiakban: kkv-k) jelenléte által jellemzett ágazatokban gyakran hiányoznak az adatok gyűjtéséhez, elemzéséhez és felhasználásához szükséges digitális kapacitások és készségek, és az adathozzáférés gyakran korlátozott, amennyiben azok a rendszeren belül egyetlen szereplő birtokában vannak, vagy hiányzik az adatok közötti, az adatszolgáltatások közötti vagy a határokon átnyúló interoperabilitás. |
(4) |
A digitális gazdaság igényeinek kielégítése és a jól működő belső adatpiac előtt álló akadályok elhárítása érdekében harmonizált keretet kell létrehozni, amely meghatározza, hogy ki jogosult, továbbá milyen feltételek mellett és milyen alapon jogosult a termékadatok vagy a kapcsolódószolgáltatás-adatok felhasználására. Ennek megfelelően a tagállamok nem fogadhatnak el vagy tarthatnak fenn további nemzeti követelményeket az e rendelet hatálya alá tartozó kérdésekre vonatkozóan, kivéve, ha e rendelet kifejezetten úgy rendelkezik, mivel ez érintené a rendelet közvetlen és egységes alkalmazását. Az uniós szintű fellépés nem érintheti továbbá az Unió által kötött nemzetközi kereskedelmi megállapodásokban foglalt kötelezettségeket és kötelezettségvállalásokat. |
(5) |
Ez a rendelet biztosítja, hogy egy összekapcsolt termék vagy kapcsolódó szolgáltatás felhasználói az Unióban kellő időben hozzáférhessenek az adott összekapcsolt termék vagy kapcsolódó szolgáltatás használata által generált adatokhoz, és hogy az említett felhasználók felhasználhassák az adatokat, többek között az általuk választott harmadik felekkel való adatmegosztás révén. E rendelet arra kötelezi az adatbirtokosokat, hogy bizonyos körülmények között adatokat bocsássanak a felhasználók és a felhasználó által választott harmadik felek rendelkezésére. Biztosítja továbbá, hogy az adatbirtokosok méltányos, észszerű és megkülönböztetésmentes feltételek mellett és átlátható módon bocsássák az adatokat az adatátvevők rendelkezésére az Unióban. A magánjog szabályai kulcsfontosságúak az adatmegosztásra vonatkozó átfogó keretben. Ezért ez a rendelet kiigazítja a szerződések jogának szabályait, és megelőzi a szerződésből fakadó egyensúlytalanságokkal való visszaéléseket, amelyek a méltányos adathozzáférés és -felhasználás gátját képezik. Ez a rendelet azt is biztosítja, hogy az adatbirtokosok a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy az uniós szervek számára rendelkezésre bocsássák – rendkívüli igény esetén – egy közérdekből végzett feladat teljesítéséhez szükséges adatokat. Emellett e rendelet törekszik megkönnyíteni az adatkezelési szolgáltatások közötti szolgáltatóváltást, és fokozni az adatok, valamint az adatmegosztási mechanizmusok és szolgáltatások interoperabilitását az Unióban. Ez a rendelet nem értelmezhető úgy, hogy az adatbirtokosok tekintetében új jogot ismerne el, vagy új joggal ruházná fel az adatbirtokosokat valamely összekapcsolt termék vagy kapcsolódó szolgáltatás használata által generált adatok felhasználása tekintetében. |
(6) |
Az adatgenerálás legalább két szereplő – különösen az összekapcsolt termék tervezője vagy gyártója, aki sok esetben a kapcsolódó szolgáltatások szolgáltatója is lehet, valamint az összekapcsolt termékek vagy kapcsolódó szolgáltatások felhasználója – tevékenységének eredménye. Az adatgenerálás kérdéseket vet fel a digitális gazdaság méltányossága tekintetében, tekintettel arra, hogy az összekapcsolt termékek vagy kapcsolódó szolgáltatások által rögzített adatok fontos inputot jelentenek az utópiaci, kiegészítő és egyéb szolgáltatások számára. Az adatokból származó jelentős gazdasági előnyök kiaknázása érdekében – többek között az önkéntes megállapodások alapján történő adatmegosztás és az adatvezérelt értékteremtés uniós vállalkozások általi fejlesztése útján – a kizárólagos adathozzáférési és -felhasználási jogok odaítélésével szemben kívánatosabb az adathozzáférésre és -felhasználásra vonatkozó jogok átruházásával kapcsolatos általános megközelítés. Ez a rendelet horizontális szabályokról rendelkezik, amelyeket a releváns ágazatok sajátos helyzetével foglalkozó uniós vagy nemzeti jog követhet. |
(7) |
A személyes adatok védelméhez való alapvető jog védelmét különösen az (EU) 2016/679 (6) és az (EU) 2018/1725 (7) európai parlamenti és tanácsi rendelet biztosítja. Ezenfelül a 2002/58/EK európai parlamenti és tanácsi irányelv (8) védi a magánéletet és a közlések titkosságát, többek között a személyes és nem személyes adatok végberendezéseken való tárolására és az ott tárolt adatokhoz való hozzáférésre vonatkozó feltételek révén. Az említett uniós jogalkotási aktusok biztosítják a fenntartható és felelős adatkezelés alapját, ideértve azt az esetet is, amikor az adatállományok vegyesen tartalmaznak személyes és nem személyes adatokat. Ez a rendelet kiegészíti és nem sérti a személyes adatok védelmére és a magánélet védelmére vonatkozó uniós jogot, különösen az (EU) 2016/679 és az (EU) 2018/1725 rendeletet, valamint a 2002/58/EK irányelvet. E rendelet egyetlen rendelkezése sem alkalmazható vagy értelmezhető oly módon, hogy az szűkítse vagy korlátozza a személyes adatok védelméhez való jogot vagy a magánélet tiszteletben tartásához és a közlések titkosságához való jogot. A személyes adatok e rendelet alapján történő kezelésének meg kell felelnie az uniós adatvédelmi jognak, ideértve az (EU) 2016/679 rendelet 6. cikke alapján az adatkezelés érvényes jogalapjának követelményét, valamint adott esetben az említett rendelet 9. cikkében és a 2002/58/EK irányelv 5. cikkének (3) bekezdésében foglalt feltételeket. Ez a rendelet nem képez jogalapot arra, hogy az adatbirtokos személyes adatokat gyűjtsön vagy generáljon. Ez a rendelet kötelezettséget ró az adatbirtokosokra, hogy személyes adatokat bocsássanak a felhasználók és a felhasználó választása szerinti harmadik felek rendelkezésére az említett felhasználó kérésére. Biztosítani kell az ilyen hozzáférést az adatbirtokos által az (EU) 2016/679 rendelet 6. cikkében említett jogalapok bármelyike alapján kezelt személyes adatokhoz. Amennyiben a felhasználó nem az érintett, ez a rendelet nem teremt jogalapot a személyes adatokhoz való hozzáférés biztosítására vagy személyes adatok harmadik fél rendelkezésére bocsátására, és nem értelmezhető úgy, hogy új jogot biztosítana az adatbirtokos számára egy összekapcsolt termék vagy kapcsolódó szolgáltatás használata által generált személyes adatok felhasználására. Az említett az esetekben a felhasználó érdekében állhat, hogy megkönnyítse az (EU) 2016/679 rendelet 6. cikkében foglalt követelmények teljesülését. Mivel e rendelet nem érintheti hátrányosan az érintettek adatvédelmi jogait, az adatbirtokos az említett esetekben a kérelmeknek többek között a személyes adatok anonimizálásával, vagy – amennyiben a könnyen elérhető adatok több érintett személyes adatait tartalmazzák – csak a felhasználóra vonatkozó személyes adatok továbbításával tehet eleget. |
(8) |
Az adatminimalizálás, valamint a beépített és alapértelmezett adatvédelem elve alapvető fontosságú, ha az adatkezelés jelentős kockázatot jelent az egyének alapvető jogaira nézve. Figyelembe véve a technika állását, az adatmegosztásban – többek között az e rendelet hatálya alá tartozó adatmegosztásban – részt vevő valamennyi félnek technikai és szervezési intézkedéseket kell végrehajtania az említett jogok védelme érdekében. Az ilyen intézkedések nemcsak az álnevesítést és a titkosítást foglalják magukban, hanem az egyre inkább elérhető olyan technológia használatát is, amely lehetővé teszi, hogy az adatokhoz algoritmusokat rendeljenek, és anélkül szolgál értékes információkkal, hogy az adatokat a feleknek egymás között át kellene adniuk, vagy magukat a nyers vagy strukturált adatokat szükségtelenül másolni kellene. |
(9) |
Amennyiben e rendelet másként nem rendelkezik, e rendelet nem érinti a nemzeti szerződési jogot, beleértve a szerződések létrejöttére, érvényességére vagy hatályára vonatkozó szabályokat, vagy a szerződés megszűnésének következményeit. Ez a rendelet kiegészíti és nem sérti azon uniós jogot, amelynek célja a fogyasztók érdekeinek előmozdítása és a magas szintű fogyasztóvédelem biztosítása, valamint a fogyasztók egészségének, biztonságának és gazdasági érdekeinek védelme, így különösen a 93/13/EGK tanácsi irányelvet (9), valamint a 2005/29/EK (10) és a 2011/83/EU (11) európai parlamenti és tanácsi irányelvet. |
(10) |
Ez a rendelet nem sérti a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás alá vonása vagy büntetőjogi szankciók végrehajtása céljából, vagy a vám- és adóügyi célokból történő adatmegosztást, -hozzáférést és -felhasználást előíró uniós és nemzeti jogi aktusokat, függetlenül az Európai Unió működéséről szóló szerződés (EUMSZ) szerinti azon jogalaptól, amely alapján elfogadták az ilyen uniós jogi aktusokat, valamint nem sérti az említett területen – különösen az Európa Tanács 2001. november 23-án, Budapesten megkötött, a Számítástechnikai Bűnözésről szóló Egyezménye (ETS No. 185) alapján – folytatott nemzetközi együttműködést. Az ilyen jogi aktusok közé tartozik az (EU) 2021/784 (12), az (EU) 2022/2065 (13) és az (EU) 2023/1543 európai parlamenti és tanácsi rendelet (14), valamint az (EU) 2023/1544 európai parlamenti és tanácsi irányelv (15). Ez a rendelet nem alkalmazandó az (EU) 2015/847 európai parlamenti és tanácsi rendelet (16) és az (EU) 2015/849 európai parlamenti és tanácsi irányelv (17) alapján történő adatgyűjtésre vagy -megosztásra, adathozzáférésre vagy -felhasználásra. Ez a rendelet nem alkalmazandó az uniós jog hatályán kívül eső területekre, és semmiképpen sem érinti a tagállamok közbiztonságra, védelemre vagy nemzetbiztonságra, vám- és adóigazgatásra, vagy a polgárok egészségére és biztonságára vonatkozó hatáskörét, függetlenül attól, hogy a tagállamok milyen típusú szervezetet bíznak meg az említett hatáskörökkel kapcsolatos feladatok ellátásával. |
(11) |
Az uniós piacon forgalomba hozandó termékekre vonatkozó fizikai tervezési és adatkövetelményeket megállapító uniós jogot e rendelet nem érintheti, kivéve, ha erről kifejezetten rendelkezik. |
(12) |
Ez a rendelet kiegészíti és nem sérti az egyes termékekre és szolgáltatásokra vonatkozó akadálymentességi követelmények megállapítására irányuló uniós jogot, különösen az (EU) 2019/882 európai parlamenti és tanácsi irányelvet (18). |
(13) |
Ez a rendelet nem sérti a szellemi tulajdonjogok védelméről rendelkező uniós és nemzeti jogi aktusokat, ideértve a 2001/29/EK (19), a 2004/48/EK (20) és az (EU) 2019/790 (21) európai parlamenti és tanácsi irányelvet. |
(14) |
E rendelet hatálya alá kell, hogy tartozzanak – a prototípusok kivételével – azon összekapcsolt termékek, amelyek alkotóelemeik vagy operációs rendszereik révén a teljesítményükre, a felhasználásukra vagy a környezetükre vonatkozó adatokat szereznek meg, generálnak vagy gyűjtenek, és amelyek képesek az említett adatokat elektronikus hírközlési szolgáltatás, fizikai kapcsolat vagy eszközön való hozzáférés – közkeletű néven: a dolgok internete (Internet of Things) – útján kommunikálni. Az ilyen elektronikus hírközlési szolgáltatásokra példaként említhetők különösen a földi telefonhálózatok, a televíziós kábelhálózatok, a műholdas hálózatok és a kis hatótávolságú kommunikációs hálózatok. Az ilyen összekapcsolt termékek a gazdaság és a társadalom minden aspektusában megtalálhatók, többek között a magán-, a polgári vagy a kereskedelmi infrastruktúrában, járművekben, egészség- és életmódtámogató eszközökben, hajókban, repülőgépekben, háztartási berendezésekben és fogyasztási cikkekben, orvostechnikai és egészségügyi eszközökben, vagy a mezőgazdasági és ipari gépekben. A gyártók tervezési választásai, valamint adott esetben az ágazatspecifikus igényekkel és célkitűzésekkel foglalkozó uniós vagy nemzeti jog, vagy az illetékes hatóságok releváns határozatai kell, hogy meghatározzák, mely adatokat képes egy összekapcsolt termék rendelkezésre bocsátani. |
(15) |
Az adatok a felhasználói műveletek és események digitalizálását képviselik, és ennek megfelelően a felhasználó számára hozzáférhetőnek kell lenniük. Az összekapcsolt termékekből és a kapcsolódó szolgáltatásokból származó adatokhoz történő, e rendelet szerinti hozzáférésre és az ilyen adatok e rendelet szerinti felhasználására vonatkozó szabályok a termékadatokra és a kapcsolódószolgáltatás-adatokra egyaránt vonatkoznak. A termékadatok egy összekapcsolt termék használata által generált, olyan adatokat jelentenek, amelyeket a gyártó úgy tervezett, hogy a felhasználó, az adatbirtokos vagy egy harmadik fél – beleértve adott esetben a gyártót is – visszanyerhesse azokat az összekapcsolt termékből. A kapcsolódószolgáltatás-adatok az összekapcsolt termékkel kapcsolatos felhasználói műveletek vagy események digitalizálását képviselő adatok, amelyek valamely kapcsolódó szolgáltatás szolgáltató általi nyújtása során jönnek létre. A valamely összekapcsolt termék vagy kapcsolódó szolgáltatás használata által generált adatokba beleértendők a szándékosan rögzített adatok vagy a felhasználó tevékenysége eredményeképpen közvetve előálló adatok, így például az összekapcsolt termék környezetére vagy interakcióira vonatkozó adatok. Ebbe bele kell, hogy tartozzanak az összekapcsolt termék használatára vonatkozó, egy felhasználói interfész által vagy egy kapcsolódó szolgáltatáson keresztül generált adatok, és ez nem korlátozódhat azon információra, hogy ilyen felhasználásra sor került, hanem ebbe bele kell, hogy tartozzon valamennyi, az összekapcsolt termék által az ilyen felhasználás eredményeként generált adat, így például az érzékelők által automatikusan generált adatok és a beágyazott alkalmazások – ideértve a hardver állapotát és hibáit jelző alkalmazásokat is – által rögzített adatok. Ebbe bele kell, hogy tartozzanak az összekapcsolt termék vagy a kapcsolódó szolgáltatás által a felhasználó inaktivitása idején generált adatok is, így például, amikor a felhasználó úgy dönt, hogy egy adott ideig nem használja az összekapcsolt terméket, hanem készenléti üzemmódban tartja, vagy akár ki is kapcsolja, mivel az összekapcsolt termék vagy összetevői, például az akkumulátorok állapota változhat, amikor az összekapcsolt termék készenléti üzemmódban van, vagy ki van kapcsolva. E rendelet hatálya alá tartoznak az érdemi módosításon át nem esett adatok, azaz a nyers adatok, más néven forrásadatok vagy elsődleges adatok, amelyek a bármely további adatkezelés nélkül, automatikusan generált adatpontokra utalnak, valamint a későbbi adatkezelés és elemzés előtt érthetővé és felhasználhatóvá tétel céljából előzetes adatkezelésen átesett adatok. Az ilyen adatok közé tartoznak az egyetlen érzékelőből vagy összekapcsolt érzékelőcsoportokból azon célból gyűjtött adatok, hogy az adatokat egy fizikai mennyiség vagy minőség meghatározásával, vagy egy fizikai mennyiség – így például hőmérséklet, nyomás, áramlási sebesség, hang, pH-érték, folyadékszint, helyzet, gyorsulás vagy sebesség – változásának meghatározásával szélesebb körű felhasználási esetekre vonatkozóan értelmezhetővé tegyék. Az „előzetes adatkezelésen átesett adatok” kifejezés nem értelmezhető oly módon, hogy az adatbirtokost arra kötelezné, hogy az adatok tisztítása és átalakítása terén jelentős beruházásokat eszközöljön. A rendelkezésre bocsátandó adatoknak tartalmazniuk kell a releváns metaadatokat, ideértve azok alapvető kontextusát és időbélyegét, lehetővé téve az adatoknak más adatokkal – így például a kapcsolódó egyéb adatpontok szerint rendezett és osztályozott adatokkal – kombinálva történő felhasználását, vagy egy általánosan használt formátumba konvertált módon történő felhasználását. Az ilyen adatok potenciálisan értékesek a felhasználó számára, és támogatják az innovációt, valamint a környezet, az egészség és a körforgásos gazdaság védelmét szolgáló digitális és egyéb szolgáltatások fejlesztését, többek között azáltal, hogy megkönnyítik a szóban forgó összekapcsolt termékek karbantartását és javítását. Ezzel szemben az ilyen adatokból kikövetkeztetett vagy származtatott – az érték-hozzárendelésekre vagy az adatokból információk kinyerésére irányuló, különösen a jogvédett, összetett algoritmusok, ezen belül a jogvédett szoftverek részét képező algoritmusok révén tett további erőfeszítések eredményét képező – információkat úgy kell tekinteni, mint amelyek nem tartoznak e rendelet hatálya alá, és amelyek következésképpen nem tartoznak az adatbirtokos azon kötelezettségének hatálya alá, hogy azokat a felhasználó vagy az adatátvevő számára hozzáférhetővé tegye, kivéve, ha a felhasználó és az adatbirtokos másként állapodik meg. Az ilyen adatok magukban foglalhatnak különösen az érzékelők integrációja révén származtatott információkat, amelynek során jogvédett, összetett algoritmusok felhasználásával adatokat következtetnek ki vagy származtatnak az összekapcsolt termékben gyűjtött, több érzékelőből származó adatokból, és az ilyen adatok szellemi tulajdonjogok tárgyát képezhetik. |
(16) |
Ez a rendelet lehetővé teszi, hogy az összekapcsolt termékek felhasználói élvezhessék az ilyen termékekbe beágyazott érzékelők által gyűjtött adatokon alapuló utópiaci, kiegészítő és egyéb szolgáltatások előnyeit, mivel az említett adatok gyűjtése potenciális értéket képvisel az összekapcsolt termékek teljesítményének javítása tekintetében. Fontos különbséget tenni egyrészt az ilyen érzékelőkkel felszerelt, összekapcsolt termékeknek és a kapcsolódó szolgáltatásoknak a piacai, másrészt az azokhoz nem kapcsolódó szoftverek és tartalmak, így például a gyakran szellemi tulajdonjogok hatálya alá tartozó szöveges, hang- vagy audiovizuális tartalmak piacai között. Következésképpen nem tartozhatnak e rendelet hatálya alá azon adatok, amelyeket az ilyen érzékelőkkel felszerelt, összekapcsolt termékek generálnak a tartalom felhasználó általi rögzítésekor, továbbításakor, megjelenítésekor vagy lejátszásakor, sem maga a tartalom, amelyre gyakran szellemi tulajdonjogok vonatkoznak, többek között valamely online szolgáltatás általi felhasználás céljából. E rendelet nem vonatkozhat továbbá az összekapcsolt termékből szerzett, generált vagy elért adatokra, vagy azon adatokra, amelyeket a felhasználótól eltérő egyéb felek nevében történő tárolás vagy más adatkezelési műveletek céljából – például a tulajdonosaik által teljes mértékben harmadik felek nevében üzemeltetett szerverek vagy felhőinfrastruktúrák esetében, többek között valamely online szolgáltatás által történő felhasználás céljából – továbbítottak az összekapcsolt termék felé. |
(17) |
Szabályokat kell megállapítani azon termékekre vonatkozóan, amelyek a vásárlás, bérlés vagy lízing időpontjában össze vannak kapcsolva egy kapcsolódó szolgáltatással oly módon, hogy annak hiánya megakadályozná az összekapcsolt termék egy vagy több funkciójának működését, vagy amelyet a gyártó vagy egy harmadik fél utólag kapcsol össze a termékkel, hogy kiegészítse vagy módosítsa az összekapcsolt termék funkcionalitását. Az ilyen kapcsolódó szolgáltatások az összekapcsolt termék és a szolgáltató közötti adatcserével járnak, és úgy kell azokat értelmezni, mint amelyek kifejezetten az összekapcsolt termék funkcióinak működéséhez kapcsolódnak, így például olyan szolgáltatások, amelyek adott esetben olyan parancsokat továbbítanak az összekapcsolt terméknek, amelyek befolyásolhatják annak működését vagy viselkedését. Nem tekinthetők kapcsolódó szolgáltatásnak azon szolgáltatások, amelyek nem befolyásolják az összekapcsolt termék működését, és amelyek nem járnak adatoknak vagy parancsoknak az összekapcsolt termékhez történő, szolgáltató általi továbbításával. Ilyen szolgáltatások lehetnek például a kiegészítő tanácsadási, analitikai vagy pénzügyi szolgáltatások, vagy a rendszeres javítás és karbantartás. A kapcsolódó szolgáltatások adásvételi, bérleti vagy lízingszerződés részeként is nyújthatók. A kapcsolódó szolgáltatások ugyanazon típusú termékek esetében is nyújthatók, és a felhasználók észszerűen elvárhatják azok nyújtását, figyelembe véve az összekapcsolt termék jellegét, továbbá az eladó, a bérbeadó, a lízingbe adó vagy az ügyleti lánc korábbi szakaszaiban érintett egyéb szereplő, köztük a gyártó által vagy nevében tett nyilvános nyilatkozatokat. Az említett kapcsolódó szolgáltatások maguk is generálhatnak értékes adatokat a felhasználó számára, függetlenül azon összekapcsolt termék adatgyűjtési képességétől, amellyel összekapcsolódnak. E rendeletet olyan kapcsolódó szolgáltatásra is alkalmazni kell, amelyet nem maga az eladó, bérbeadó vagy lízingbe adó nyújt, hanem amelyet egy harmadik fél nyújt. Ha kétség merül fel a tekintetben, hogy a szolgáltatást az adásvételi, bérleti vagy lízingszerződés részeként nyújtják-e, ezt a rendeletet kell alkalmazni. Sem a villamosenergia-ellátás, sem a hálózati összekapcsoltság biztosítása nem értelmezhető e rendelet szerinti kapcsolódó szolgáltatásként. |
(18) |
Valamely összekapcsolt termék felhasználója alatt olyan természetes vagy jogi személyt – így például vállalkozást, fogyasztót vagy közszférabeli szervezetet – kell érteni, aki vagy amely az összekapcsolt kapcsolt termék tulajdonosa, vagy olyan személy, aki vagy amely – például bérleti vagy lízingmegállapodás útján – bizonyos ideiglenes jogokat kapott az összekapcsolt termékből szerzett adatokhoz való hozzáférésre vagy azok felhasználására, vagy kapcsolódó szolgáltatást vesz igénybe az összekapcsolt termék tekintetében. Az említett hozzáférési jogok semmilyen módon nem módosíthatják vagy csorbíthatják az összekapcsolt termékkel vagy a kapcsolódó szolgáltatással esetlegesen interakcióba lépő érintettek jogait az összekapcsolt termék által vagy a kapcsolódó szolgáltatás nyújtása során generált személyes adatok tekintetében. A felhasználó viseli az összekapcsolt termék használatának kockázatait, és élvezi annak előnyeit, továbbá hozzáféréssel is kell rendelkeznie az összekapcsolt termék által generált adatokhoz. A felhasználónak ezért jogosultnak kell lennie arra, hogy hasznot húzzon az említett összekapcsolt termék és bármely kapcsolódó szolgáltatás által generált adatokból. A tulajdonos, bérlő vagy lízingbe vevő is felhasználónak tekintendő többek között akkor, amikor több jogalany tekinthető felhasználónak. Több felhasználó esetén az egyes felhasználók eltérő módon járulhatnak hozzá az adatgeneráláshoz, és többféle olyan felhasználási formában is érdekeltek lehetnek, mint például egy lízing vállalkozás flottakezelése, vagy az autómegosztó szolgáltatást igénybe vevő egyéneknek kínált mobilitási megoldások. |
(19) |
Az adatműveltség azon készségekre, ismeretekre és megértésre vonatkozik, amelyek lehetővé teszik a felhasználók, a fogyasztók és a vállalkozások – különösen az e rendelet hatálya alá tartozó kkv-k – számára, hogy tudatosságra tegyenek szert az általuk generált, előállított és megosztott adatok potenciális értékét illetően, mely adatokhoz motiváltak a releváns jogi szabályoknak megfelelően hozzáférést felajánlani és biztosítani. Az adatműveltség meg kell, hogy haladja az eszközökről és technológiákról való tanulást, és arra kell irányulnia, hogy a polgárokat és a vállalkozásokat ellássa, és felvértezze az arra való képességgel, hogy kiaknázzák egy inkluzív és tisztességes adatpiac előnyeit. Az adatműveltségre vonatkozó intézkedések elterjedése és a megfelelő nyomonkövetési intézkedések bevezetése hozzájárulhat a munkakörülmények javításához, végső soron pedig fenntarthatja az adatgazdaság konszolidációját és innovációs pályáját az Unióban. Az illetékes hatóságoknak olyan eszközöket kell előmozdítaniuk, és olyan intézkedéseket kell elfogadniuk, amelyek az e rendelet hatálya alá tartozó felhasználók és szervezetek körében fejlesztik az adatműveltséget, valamint az ebből fakadó jogaikat és kötelezettségeiket illető tudatosságot. |
(20) |
A gyakorlatban nem minden, összekapcsolt termékek vagy kapcsolódó szolgáltatások által generált adat könnyen hozzáférhető a felhasználóik számára, és az internettel összekapcsolt termékek által generált adatok hordozhatóságára vonatkozó lehetőségek gyakran korlátozottak. A felhasználók nem tudnak hozzájutni a javítási és egyéb szolgáltatásokat nyújtó szolgáltatók igénybevételéhez szükséges adatokhoz, a vállalkozások pedig nem tudnak innovatív, kényelmes és hatékonyabb szolgáltatásokat kialakítani. Számos ágazatban a gyártók az összekapcsolt termékek vagy a kapcsolódó szolgáltatások műszaki tervezésének irányítása révén még annak ellenére is meg tudják határozni, hogy milyen adatok keletkeznek, és azok miként férhetők hozzá, hogy az említett adatokhoz nem rendelkeznek jogilag biztosított joggal. Ezért biztosítani kell, hogy az összekapcsolt termékek tervezése és gyártása, valamint a kapcsolódó szolgáltatások tervezése és nyújtása oly módon történjen, hogy a felhasználó – díjmentesen, egy átfogó, strukturált, széles körben használt és géppel olvasható formátumban – mindig könnyen és biztonságosan hozzáférjen a termékadatokhoz és a kapcsolódószolgáltatás-adatokhoz, ideértve az értelmezésükhöz és felhasználásukhoz szükséges, releváns metaadatokat, többek között az adatok visszanyerése, felhasználása vagy megosztása céljából. Azon termékadatokra és kapcsolódószolgáltatás-adatokra, amelyekhez az adatbirtokos az összekapcsolt termékből vagy a kapcsolódó szolgáltatásból aránytalan erőfeszítés nélkül jogszerűen jut vagy jogszerűen juthat hozzá – így például az összekapcsolt termék kialakítása, az adatbirtokosnak a felhasználóval a kapcsolódó szolgáltatások nyújtására irányulóan kötött szerződése, valamint az adathozzáférés technikai eszközei révén –, „könnyen elérhető adatok”-ként utalnak. A könnyen elérhető adatok nem foglalják magukban az összekapcsolt termék használata által generált adatokat, amennyiben az összekapcsolt terméket nem úgy tervezték, hogy biztosítsa az ilyen adatoknak a keletkezésük helye szerinti alkotóelemen vagy magán az összekapcsolt terméken kívüli tárolását vagy továbbítását. E rendelet ezért nem értelmezhető úgy, hogy kötelezettségként írná elő, hogy az adatokat az összekapcsolt termék központi számítástechnikai egységében tárolják. Egy ilyen kötelezettség hiánya nem akadályozhatja meg a gyártót vagy az adatbirtokost abban, hogy önkéntesen ilyen kiigazítások megtételéről állapodjon meg a felhasználóval. Az e rendeletben foglalt tervezési kötelezettségek nem sértik az (EU) 2016/679 rendelet 5. cikke (1) bekezdésének c) pontjában meghatározott adattakarékosság elvét sem, és nem értelmezhetők úgy, hogy kötelezettséget írnának elő az összekapcsolt termékek és kapcsolódó szolgáltatások oly módon történő megtervezésére vonatkozóan, hogy azok az adatkezelés céljaival kapcsolatban szükséges személyes adatokon kívül más személyes adatokat is tároljanak. vagy egyéb módon kezeljenek. Uniós vagy nemzeti jogot lehet bevezetni a további részletek kidolgozása érdekében, így például azon termékadatokra vonatkozóan, amelyeknek az összekapcsolt termékekből vagy kapcsolódó szolgáltatásokból hozzáférhetőnek kell lenniük, tekintettel arra, hogy az ilyen adatok alapvető fontosságúak lehetnek az említett összekapcsolt termékek vagy kapcsolódó szolgáltatások hatékony működése, javítása vagy karbantartása szempontjából. Amennyiben egy összekapcsolt terméknek vagy kapcsolódó szolgáltatásnak a gyártó vagy egy másik fél általi későbbi frissítései vagy módosításai további hozzáférhető adatokhoz vagy az eredetileg hozzáférhető adatok korlátozásához vezetnek, az ilyen változásokat a frissítéssel vagy módosítással összefüggésben közölni kell a felhasználóval. |
(21) |
Amennyiben több személy vagy szervezet minősül felhasználónak, például társtulajdon esetén, vagy amennyiben egy tulajdonos, bérlő vagy lízingbe vevő osztozik az adathozzáférési vagy -felhasználási jogokon, az összekapcsolt termék vagy kapcsolódó szolgáltatás, vagy a vonatkozó interfész kialakításának lehetővé kell tennie, hogy minden egyes felhasználó hozzáférjen az általa generált adatokhoz. Az adatokat generáló összekapcsolt termékek felhasználása jellemzően szükségessé teszi egy felhasználói fiók létrehozását. Egy ilyen felhasználói fiók lehetővé teszi, hogy az adatbirtokos – aki lehet a gyártó is – azonosítsa a felhasználót. Használható kommunikációs eszközként is, valamint adathozzáférési kérelmek benyújtására és kezelésére. Amennyiben több gyártó vagy kapcsolódó szolgáltatást nyújtó szolgáltató ugyanazon felhasználó számára értékesített, adott bérbe vagy lízingbe egymással integrált, összekapcsolt termékeket, vagy nyújtott kapcsolódó szolgáltatásokat, a felhasználónak minden olyan féllel kapcsolatba kell lépnie, amellyel szerződést kötött. A jellemzően több személy által használt összekapcsolt termék gyártóinak vagy tervezőinek be kell vezetniük az ahhoz szükséges mechanizmusokat, hogy adott esetben minden egyes személy külön felhasználói fiókkal rendelkezzen, vagy több személy is használhassa ugyanazon felhasználói fiókot. A felhasználói fiókokkal kapcsolatos megoldásoknak lehetővé kell tenniük, hogy a felhasználók törölhessék fiókjaikat és a hozzájuk kapcsolódó adatokat, továbbá lehetővé tehetik a felhasználók számára az adathozzáférés, -felhasználás vagy -megosztás megszüntetését, vagy a megszüntetésre irányuló kérelmek benyújtását, különös tekintettel azon helyzeteket, amelyekben az összekapcsolt termék tulajdonjoga vagy felhasználása megváltozik. A hozzáférést a felhasználó számára egyszerű, automatikus végrehajtást lehetővé tevő kérési mechanizmus révén kell biztosítani, anélkül, hogy a gyártónak vagy az adatbirtokosnak vizsgálnia kellene vagy jóvá kellene hagynia a kérelmet. Ez azt jelenti, hogy az adatokat csak akkor kell rendelkezésre bocsátani, ha a felhasználó ténylegesen hozzáférést akar kapni. Amennyiben az adathozzáférési kérelem automatizált teljesítése nem lehetséges – például az összekapcsolt termékkel vagy a kapcsolódó szolgáltatással együtt biztosított felhasználói fiókon vagy kísérő mobilalkalmazáson keresztül –, a gyártónak tájékoztatnia kell a felhasználót az adathozzáférés módjáról. |
(22) |
Az összekapcsolt termékek úgy is tervezhetők, hogy bizonyos adatok az eszköz beépített adattárából vagy a továbbított adatokat fogadó távoli szerverről is közvetlenül hozzáférhetők legyenek. Az eszköz adattárához való hozzáférés nyilvánosan elérhető elektronikus hírközlési szolgáltatáshoz vagy mobilhálózathoz csatlakoztatott, kábelalapú vagy vezeték nélküli helyi hálózatokon keresztül biztosítható. A szerver lehet a gyártó saját helyi szerverkapacitása, vagy egy harmadik fél vagy felhőszolgáltató szerverkapacitása. Az (EU) 2016/679 rendelet 4. cikkének 8. pontjában meghatározott adatfeldolgozók nem tekintendők úgy, hogy adatbirtokosként járnának el. Azonban az (EU) 2016/679 rendelet 4. cikkének 7. pontjában meghatározott adatkezelő kifejezetten megbízhatja az adatfeldolgozókat azzal, hogy adatokat bocsássanak rendelkezésre. Az összekapcsolt termékek kialakíthatók úgy, hogy lehetővé tegyék a felhasználó vagy egy harmadik fél számára az összekapcsolt terméken, a gyártó számítási példányán vagy a felhasználó vagy a harmadik fél által választott információs és kommunikációs technológiai (IKT) környezetben található adatok kezelését. |
(23) |
A virtuális asszisztensek egyre nagyobb szerepet játszanak a fogyasztói és szakmai környezet digitalizálásában, és könnyen használható interfészként szolgálnak tartalmak lejátszására, információk megszerzésére vagy az internettel összekapcsolt termékek aktiválására. A virtuális asszisztensek egységes kapuként szolgálhatnak például az intelligens otthoni környezetben, és jelentős mennyiségű releváns adatot rögzíthetnek arról, hogy a felhasználók milyen interakciót folytatnak az internettel összekapcsolt – akár más felek által gyártott – termékekkel, és kiválthatják a gyártó által biztosított interfészek, például érintőképernyők vagy okostelefon-alkalmazások használatát. Előfordulhat, hogy a felhasználó ilyen adatokat kíván harmadik félnek minősülő gyártók rendelkezésére bocsátani, és új intelligens szolgáltatások létrejöttét lehetővé venni. A virtuális asszisztenseknek az e rendeletben meghatározott adathozzáférési jogok hatálya alá kell tartozniuk. Az akkor generált adatoknak, amikor a felhasználó az összekapcsolt termék gyártójától eltérő szervezet által biztosított virtuális asszisztensen keresztül folytat interakciót az összekapcsolt termékkel, szintén az e rendeletben meghatározott adathozzáférési jogok hatálya alá kell tartozniuk. Azonban e rendelet hatálya csak a felhasználó és az összekapcsolt termék vagy kapcsolódó szolgáltatás közötti, virtuális asszisztensen keresztüli interakcióból származó adatokra terjedhet ki. A virtuális asszisztens által előállított, az összekapcsolt termék vagy kapcsolódó szolgáltatás felhasználásához nem kapcsolódó adatok nem tartoznak e rendelet hatálya alá. |
(24) |
Az összekapcsolt termék megvásárlására, bérlésére vagy lízingjére vonatkozó szerződés megkötése előtt az eladónak, a bérbeadónak vagy a lízingbe adónak – aki lehet a gyártó is – egyértelmű és érthető módon tájékoztatást kell nyújtania a felhasználó számára azon termékadatokra vonatkozóan, amelyeket az összekapcsolt termék generálni képes, ideértve az ilyen adatok típusát, formátumát és becsült mennyiségét. Ez magában foglalhatja az adatstruktúrákra, az adatformátumokra, a szókészletekre, az osztályozási rendszerekre, a taxonómiákra és a kódlistákra vonatkozó információkat, amennyiben rendelkezésre állnak, továbbá az adattárolás, az adatvisszanyerés, valamint az adathozzáférés módjára vonatkozó, a felhasználó jogainak gyakorlása szempontjából releváns, egyértelmű és kellően részletes információkat, ideértve az alkalmazásprogramozási interfészek felhasználási feltételeit és szolgáltatási minőségét, vagy adott esetben a szoftverfejlesztő csomagok biztosítását. E kötelezettség a generált termékadatok tekintetében átláthatóságot biztosít, és javítja a felhasználó számára a könnyű hozzáférést. A tájékoztatási kötelezettség teljesíthető például azáltal, hogy az eladó, a bérbeadó vagy a lízingbe adó – aki lehet a gyártó is – webhivatkozásként vagy QR-kódként terjeszthető, és a releváns információkra mutató stabil, egységes forrás-helymeghatározót (URL) tart fenn az interneten, amelyet az összekapcsolt termék megvásárlására, bérlésére vagy lízingjére vonatkozó szerződés megkötése előtt a felhasználó rendelkezésére bocsát. Mindenesetre szükséges, hogy a felhasználó az információt későbbi használatra hozzáférhető módon tudja tárolni és oly módon, amely lehetővé teszi a tárolt információk változatlan formában történő reprodukálását. Az adatbirtokostól nem várható el, hogy az adatokat az összekapcsolt termék felhasználójának igényeire tekintettel korlátlan ideig tárolja, de – adott esetben az (EU) 2016/679 rendelet 5. cikke (1) bekezdésének e) pontja szerinti korlátozott tárolhatóság elvével összhangban – olyan észszerű adatmegőrzési politikát kell végrehajtania, amely lehetővé teszi az e rendeletben meghatározott adathozzáférési jogok hatékony alkalmazását. A tájékoztatásnyújtási kötelezettség nem érinti az adatkezelő azon kötelezettségét, hogy az (EU) 2016/679 rendelet 12., 13. és 14. cikke értelmében tájékoztatást nyújtson az érintett számára. A kapcsolódó szolgáltatás nyújtására vonatkozó szerződés megkötése előtti tájékoztatási kötelezettségnek a leendő adatbirtokost kell terhelnie, függetlenül attól, hogy az adatbirtokos köt-e az összekapcsolt termék megvásárlására, bérlésére vagy lízingelésére irányuló szerződést. Amennyiben az információ megváltozik az összekapcsolt termék élettartama vagy a kapcsolódó szolgáltatásra vonatkozó szerződéses időtartam alatt – ideértve azt is, amikor az említett adatok felhasználásának célja az eredetileg meghatározott célhoz képest módosul –, azt is biztosítani kell a felhasználó számára. |
(25) |
Ez a rendelet nem értelmezhető úgy, hogy az adatbirtokosokat új joggal ruházza fel a termékadatok vagy kapcsolódószolgáltatás-adatok felhasználására. Amennyiben az összekapcsolt termék gyártója adatbirtokos, a gyártó számára a nem személyes adatok felhasználásának alapját a gyártó és a felhasználó közötti szerződésnek kell képeznie. Egy ilyen szerződés a kapcsolódó szolgáltatás nyújtására vonatkozó megállapodás részét képezheti, amely az összekapcsolt termékre vonatkozó adásvételi, bérleti vagy lízingmegállapodással együtt köthető meg. Minden olyan szerződési feltételnek átláthatónak kell lennie a felhasználó számára, amely rögzíti, hogy az adatbirtokos termékadatokat vagy kapcsolódószolgáltatás-adatokat használhat fel, többek között azon célok tekintetében, amelyekre az adatbirtokos az adatokat felhasználni szándékozik. Ilyen célok lehetnek például az összekapcsolt termék vagy a kapcsolódó szolgáltatások működésének javítása, új termékek vagy szolgáltatások kifejlesztése, vagy az adatok összesítése azzal a céllal, hogy az így kapott származtatott adatokat harmadik felek számára hozzáférhetővé tegyék, feltéve, hogy az ilyen származtatott adatok nem teszik lehetővé az összekapcsolt termékből az adatbirtokosnak továbbított konkrét adatok beazonosítását, vagy nem teszik lehetővé, hogy harmadik fél az adatállományból kinyerje az említett adatokat. A szerződés bármely módosításának a felhasználó tájékoztatáson alapuló beleegyezésétől kell függenie. Ez a rendelet nem akadályozza meg a feleket abban, hogy olyan szerződési feltételekről állapodjanak meg, amelyek azzal a joghatással járnak, hogy kizárják vagy korlátozzák nem személyes adatok vagy nem személyes adatok bizonyos kategóriáinak valamely adatbirtokos általi felhasználását. Abban sem akadályozza meg a feleket, hogy megállapodjanak arról, hogy termékadatokat vagy kapcsolódó szolgáltatás-adatokat bocsátanak harmadik felek rendelkezésére, közvetlenül vagy közvetve, többek között adott esetben egy másik adatbirtokoson keresztül. Ezen felül, ez a rendelet nem akadályozza meg az uniós jogban vagy az uniós joggal összeegyeztethető nemzeti jogban olyan ágazatspecifikus szabályozási követelmények előírását, amelyek jól meghatározott közrendi okokból kizárják vagy korlátozzák bizonyos ilyen adatok adatbirtokos általi felhasználását. Ez a rendelet nem akadályoz felhasználókat abban, hogy vállalkozások közötti kapcsolatok esetén bármely jogszerű szerződési feltétel alapján adatokat bocsássanak harmadik felek vagy adatbirtokosok rendelkezésére, ideértve azt is, hogy megállapodnak az ilyen adatok további megosztásának korlátozásában vagy szűkítésében, vagy abban, hogy arányos kompenzációban részesüljenek, például az ilyen adatok felhasználására vagy megosztására vonatkozó jogukról való lemondásért cserébe. Míg az „adatbirtokos” fogalma közszférabeli szervezeteket általában nem foglal magában, közvállalkozásokat magában foglalhat. |
(26) |
A nem személyes adatok likvid, tisztességes és hatékony piacai kialakulását elősegítendő az összekapcsolt termékek felhasználói számára lehetővé kell tenni, hogy minimális jogi és technikai erőfeszítéssel osszanak meg adatokat másokkal, többek között kereskedelmi célokból. A vállalkozások számára jelenleg gyakran nehézséget okoz, hogy megindokolják a nem személyes adatokat tartalmazó adatállományok vagy adattermékek előállításához szükséges személyzeti vagy számítástechnikai költségeket, valamint az, hogy az adatállományokat vagy adattermékeket adatközvetítő szolgáltatások útján, ideértve az adatpiactereket potenciális partnerek számára kínálják. Így a nem személyes adatok vállalkozások általi megosztásának egyik alapvető akadálya az adatállományok vagy adattermékek gondozásába és rendelkezésre bocsátásába való beruházás gazdasági megtérülése kiszámíthatóságának hiányából fakad. Annak érdekében, hogy a nem személyes adatok likvid, tisztességes és hatékony piacai az Unióban kialakulhassanak, világossá kell tenni, hogy ki az a fél, amelynek joga van a piacon ilyen adatokat kínálni. A felhasználók számára ezért biztosítani kell a jogot arra, hogy adatátvevőkkel kereskedelmi és nem kereskedelmi célokból nem személyes adatokat osszanak meg. Az ilyen adatmegosztás végezhető közvetlenül a felhasználó által, a felhasználó kérésére egy adatbirtokos útján, vagy adatközvetítő szolgáltatásokon keresztül. Az (EU) 2022/868 európai parlamenti és tanácsi rendelet (22) által szabályozott adatközvetítő szolgáltatások elősegíthetik az adatgazdaságot azáltal, hogy kereskedelmi kapcsolatokat létesítenek felhasználók, adatátvevők és harmadik felek között, továbbá támogathatják a felhasználókat az adatok felhasználására vonatkozó joguk gyakorlásában, például személyes adatok anonimizálásának vagy a több egyéni felhasználótól származó adatokhoz való hozzáférés összesítésének biztosításával. Amennyiben bizonyos adatokat kizártak az adatbirtokos arra vonatkozó kötelezettsége alól, hogy az adatokat felhasználók vagy harmadik felek rendelkezésére bocsássa, az ilyen adatok körét a felhasználó és az adatbirtokos közötti, a kapcsolódó szolgáltatás nyújtására vonatkozó szerződésben lehetne meghatározni oly módon, hogy a felhasználók könnyen meg tudják állapítani, mely adatok állnak rendelkezésükre adatátvevőkkel vagy harmadik felekkel való megosztás céljából. Az adatbirtokosok – a felhasználóval kötött szerződés teljesítését kivéve – sem kereskedelmi, sem nem kereskedelmi célból nem bocsáthatnak harmadik felek rendelkezésére nem személyes termékadatokat, az adatok rendelkezésre bocsátása tekintetében az adatbirtokosra vonatkozó, az uniós vagy nemzeti jog szerinti jogi követelmények sérelme nélkül. Adott esetben az adatbirtokosok szerződésben kötelezik a harmadik feleket arra, hogy a tőlük kapott adatokat a továbbiakban ne osszák meg. |
(27) |
Azokban az ágazatokban, amelyeket a végfelhasználókat összekapcsolt termékekkel ellátó kisszámú gyártó koncentrációja jellemez, lehet, hogy a felhasználóknak csak korlátozott adathozzáférési, -felhasználási és -megosztási lehetőségek állnak a rendelkezésére. Ilyen körülmények között a szerződések elégtelennek bizonyulhatnak a felhasználói önrendelkezés növelésének eléréséhez, megnehezítve így a felhasználók számára, hogy az általuk megvásárolt, bérelt vagy lízingelt összekapcsolt termék által generált adatokból értéket nyerjenek ki. Következésképpen, a kisebb innovatív vállalkozások lehetőségei korlátozottak arra, hogy versenyképes módon kínáljanak adatalapú megoldásokat, és korlátozottak egy sokszínű adatgazdasághoz az Unióban. E rendeletnek ezért építenie kell az egyes ágazatokban a közelmúltban bekövetkezett fejleményekre, így például a mezőgazdasági adatok szerződés útján történő megosztására vonatkozó magatartási kódexre. Az ágazatspecifikus igények kielégítése és célkitűzések elérése érdekében uniós vagy nemzeti jog fogadható el. Továbbá az adatbirtokosok nem használhatnak fel semmilyen könnyen elérhető adatot, azaz nem személyes adatokat arra, hogy betekintést nyerjenek a felhasználó gazdasági helyzetét, eszközeit vagy termelési módszereit illetően, vagy a felhasználó általi ilyen felhasználást illetően bármely más módon, amely alááshatja az említett felhasználó üzleti pozícióját azon piacokon, amelyeken aktív. Ide tartozhat a valamely vállalkozás vagy gazdaság általános teljesítményére vonatkozó ismereteknek a felhasználó kárára történő felhasználása a felhasználóval termékeinek vagy mezőgazdasági termékeinek potenciális felvásárlására irányuló szerződésről folytatott tárgyalások során, vagy az ilyen információknak bizonyos piacokra vonatkozó nagyobb összesített adatbázisokba – például a következő betakarítási szezon terméshozamaira vonatkozó adatbázisokba – történő betáplálása, mivel az ilyen felhasználás közvetett módon hátrányosan érintheti a felhasználót. A felhasználó számára biztosítani kell az engedélyek kezeléséhez szükséges technikai interfészt, lehetőség szerint részletes engedélyezési opciókkal – így például „egyszeri engedélyezés” vagy „engedélyezés ezen alkalmazás vagy szolgáltatás használata közben” –, ideértve az ilyen engedélyek visszavonásának lehetőségét is. |
(28) |
Az adatbirtokos és a fogyasztó mint az adatokat generáló összekapcsolt termék vagy kapcsolódó szolgáltatás felhasználója közötti szerződésekben az uniós fogyasztóvédelmi jog, különösen a 93/13/EGK és a 2005/29/EK irányelv alkalmazandó annak biztosítása érdekében, hogy a fogyasztóra ne vonatkozzanak tisztességtelen szerződési feltételek. E rendelet alkalmazásában valamely vállalkozás tekintetében egyoldalúan megállapított tisztességtelen szerződési feltételek nem lehetnek kötelező erejűek az említett vállalkozásra nézve. |
(29) |
Az adatbirtokosok megkövetelhetik a megfelelő felhasználóazonosítást, hogy ellenőrizhessék a felhasználó adathozzáférési jogosultságát. Abban az esetben, ha az adatkezelő nevében az adatfeldolgozó kezel személyes adatokat, az adatbirtokosoknak biztosítaniuk kell, hogy az adathozzáférési kérelmet az adatfeldolgozó fogadja és kezelje. |
(30) |
A felhasználó az adatokat bármely jogszerű célra felhasználhatja. Ez magában foglalja azt is, ha a felhasználó az e rendelet értelmében biztosított jogának gyakorlása során kapott adatokat egy olyan harmadik félnek adja át vagy adatja át az adatbirtokossal, amely az adatbirtokos által nyújtott valamely szolgáltatással esetlegesen versenyben álló utópiaci szolgáltatást kínál. A kérelmet a felhasználónak vagy a felhasználó nevében eljáró, felhatalmazott harmadik félnek – ideértve az adatközvetítő szolgáltatót is – kell benyújtania. Az adatbirtokosnak biztosítania kell, hogy a harmadik fél rendelkezésére bocsátott adatok ugyanolyan pontosak, teljesek, megbízhatóak, relevánsak és naprakészek legyenek, mint azok az adatok, amelyekhez az összekapcsolt termék vagy a kapcsolódó szolgáltatás használatából adódóan maga az adatbirtokos is képes vagy jogosult lehet hozzáférni. Az adatok kezelése során tiszteletben kell tartani a szellemi tulajdonjogokat. Fontos fenntartani az ösztönzőket, amelyek előmozdítják a termékekbe beépített érzékelőkből származó adatok felhasználásán alapuló funkcionalitásokkal ellátott termékekbe való beruházást. |
(31) |
Az (EU) 2016/943 európai parlamenti és tanácsi irányelv (23) úgy rendelkezik, hogy az üzleti titok megszerzését, hasznosítását vagy felfedését jogszerűnek kell tekinteni többek között akkor, ha az ilyen megszerzést, felhasználást vagy közzétételt az uniós vagy nemzeti jog előírja vagy megengedi. Míg e rendelet előírja az adatbirtokosok számára, hogy bizonyos adatokat akkor is közöljenek a felhasználókkal vagy a felhasználó által választott harmadik felekkel, ha az ilyen adatokat üzleti titokként megilleti a védelem, azt oly módon kell értelmezni, hogy meg lehessen őrizni az üzleti titkoknak az (EU) 2016/943 irányelv alapján biztosított védelmét. Ebben az összefüggésben az adatbirtokosok számára lehetővé kell tenni, hogy megköveteljék a felhasználóktól vagy a felhasználó választása szerinti harmadik felektől az üzleti titoknak minősülő adatok titkosságának megőrzését. E célból az adatbirtokosoknak a közzététel előtt azonosítaniuk kell az üzleti titkokat, továbbá lehetőséget kell biztosítani a számukra arra, hogy a felhasználókkal vagy a felhasználó által választott harmadik féllel megállapodjanak az üzleti titkok bizalmas jellegének a megőrzését szolgáló, szükséges intézkedésekről, többek között minta-szerződésifeltételek, titoktartási megállapodások, szigorú hozzáférési protokollok, műszaki szabványok és magatartási kódexek alkalmazásával. A Bizottság által kidolgozandó és ajánlott minta-szerződésifeltételek használatán túlmenően, az üzleti titkoknak az adatkezelés során történő védelmével kapcsolatos magatartási kódexek és technikai szabványok létrehozása segíthetné e rendelet céljának elérését, és azt ösztönözni kell. Amennyiben nincs megállapodás a szükséges intézkedésekről, vagy amennyiben a felhasználó vagy a felhasználó által választott harmadik felek nem hajtják végre a megállapodott intézkedéseket, vagy aláássák az üzleti titkok bizalmas jellegét, lehetővé kell tenni az adatbirtokos számára, hogy visszatartsa vagy felfüggessze az üzleti titokként azonosított adatok megosztását. Ilyen esetekben az adatbirtokosnak indokolatlan késedelem nélkül írásban közölnie kell a felhasználóval vagy a harmadik féllel a döntést, továbbá értesítenie kell az adatbirtokos letelepedése szerinti tagállam illetékes hatóságát arról, hogy visszatartotta vagy felfüggesztette az adatmegosztást, és azonosítania kell azon intézkedéseket, amelyekről nem jött létre megállapodás, vagy amelyeket nem hajtottak végre, valamint adott esetben azon üzleti titkokat, amelyek bizalmas jellegét aláásták. Az adatbirtokosok elvben nem utasíthatják el az e rendelet szerinti adathozzáférés iránti kérelmet kizárólag azon az alapon, hogy bizonyos adatok üzleti titoknak minősülnek, mivel ez aláásná e rendelet szándékolt hatásait. Rendkívüli körülmények fennállása esetén azonban lehetővé kell tenni az üzleti titok jogosultjának minősülő adatbirtokos számára, hogy eseti alapon elutasítsa a szóban forgó konkrét adatra vonatkozó kérelmet, ha a felhasználó vagy a harmadik fél felé bizonyítani tudja, hogy az üzleti titok közzététele – a felhasználó vagy a harmadik fél által meghozott technikai és szervezési intézkedések ellenére – nagy valószínűséggel súlyos gazdasági kárt eredményezne. A „súlyos gazdasági kár” súlyos és helyrehozhatatlan gazdasági veszteséget jelent. Az adatbirtokosnak indokolatlan késedelem nélkül írásban kellően indokolnia kell az elutasítást a felhasználó vagy a harmadik fél felé, továbbá értesítenie kell az illetékes hatóságot. Az ilyen indokolásnak olyan objektív elemeken kell alapulnia, amelyek bemutatják az adott adatközlés eredményeként várhatóan bekövetkező súlyos gazdasági kár konkrét kockázatát, valamint az okokat, amiért a kért adatok védelme érdekében hozott intézkedések nem tekinthetők elegendőnek. Ebben az összefüggésben figyelembe lehet venni a kiberbiztonságra gyakorolt esetleges negatív hatást. Azon jog sérelme nélkül, hogy a felhasználó vagy harmadik fél bármely szakaszban jogorvoslatért valamely tagállam bíróságához vagy igazságszolgáltatási fórumához fordulhat, amennyiben meg kívánja támadni az adatbirtokosnak az adatmegosztás megtagadására vagy visszatartására vagy felfüggesztésére vonatkozó döntését, a felhasználó vagy a harmadik fél panaszt nyújthat be az illetékes hatósághoz, amelynek indokolatlan késedelem nélkül döntenie kell arról, hogy az adatmegosztást meg kell-e kezdeni, vagy folytatni kell-e, és ha igen, milyen feltételek mellett, vagy megállapodhat az adatbirtokossal abban, hogy az ügyet vitarendezési testület elé terjesztik. Az e rendeletben foglalt, az adathozzáférési jogokra vonatkozó kivételek semmilyen esetben sem korlátozhatják az érintetteknek az (EU) 2016/679 rendelet szerinti hozzáférési jogát és adathordozhatósághoz való jogát. |
(32) |
E rendeletnek nem csak az a célja, hogy előmozdítsa új, innovatív összekapcsolt termékek vagy kapcsolódó szolgáltatások fejlesztését, ösztönözze az utópiacokon zajló innovációt, hanem az is, hogy ösztönözze az érintett adatokat felhasználó, akár különféle összekapcsolt termékekből vagy kapcsolódó szolgáltatásokból származó adatokon alapuló, teljesen új szolgáltatások fejlesztését. A rendelet célja ugyanakkor elkerülni, hogy aláássa az adatokat rendelkezésre bocsátó összekapcsolt terméktípusra vonatkozó beruházási ösztönzőket, például azáltal, hogy az adatokat olyan versengő összekapcsolt termék kifejlesztéséhez használják fel, amelyet a felhasználók felcserélhetőnek vagy helyettesíthetőnek tekintenek, különösen az összekapcsolt termék jellemzői, ára és rendeltetése alapján. Ez a rendelet nem tiltja, hogy az e rendelettel összhangban szerzett adatok felhasználásával kapcsolódó szolgáltatást fejlesszenek ki, mivel az ilyen tiltás nemkívánatos, az innovációt visszatartó hatással járna. Az e rendelettel összhangban elért adatok valamely versengő összekapcsolt termék kifejlesztését célzó felhasználására vonatkozó tilalom az adatbirtokosok innovációs erőfeszítéseit védi. Az, hogy egy összekapcsolt termék verseng-e azon összekapcsolt termékkel, amelyből az adat származik, attól függ, hogy a két összekapcsolt termék ugyanazon a termékpiacon van-e versenyben. Ezt az uniós versenyjognak az érintett termékpiac meghatározására vonatkozó bevett elvei alapján kell megállapítani. Az adatok felhasználásának jogszerű céljai közé tartozhat azonban a visszafejtés, feltéve, hogy az megfelel az e rendeletben, valamint az uniós vagy a nemzeti jogban megállapított követelményeknek. Erre sor kerülhet egy összekapcsolt termék javítása vagy élettartamának meghosszabbítása céljából, vagy az összekapcsolt termékekhez kapcsolódó utópiaci szolgáltatások nyújtása céljából. |
(33) |
Az a harmadik fél, amely számára az adatokat rendelkezésre bocsátják, lehet természetes vagy jogi személy, így például vállalkozás, kutatószervezet vagy nonprofit szervezet vagy szakmai minőségben eljáró szervezet. Az adatok harmadik fél számára történő rendelkezésre bocsátása során az adatbirtokos nem élhet vissza pozíciójával annak érdekében, hogy versenyelőnyre tegyen szert azokon a piacokon, ahol az adatbirtokos és a harmadik fél közvetlen versenyben állhat. Az adatbirtokos ezért nem használhat fel semmilyen könnyen elérhető adatot arra, hogy betekintést nyerjen a harmadik fél gazdasági helyzetére, eszközeire vagy termelési módszereire, vagy az általa történő felhasználásra vonatkozóan bármely más módon, amely alááshatja a harmadik fél üzleti pozícióját azon piacokon, amelyeken a harmadik fél aktív. A felhasználónak képesnek kell lennie arra, hogy kereskedelmi célból nem személyes adatokat osszon meg harmadik felekkel. A felhasználóval való megállapodás alapján – és e rendelet rendelkezéseire is figyelemmel – a harmadik felek számára lehetővé kell tenni, hogy a felhasználó által biztosított adathozzáférési jogokat – többek között kompenzáció fejében – más harmadik felekre ruházzák át. A vállalkozások közötti adatközvetítők és a személyes információszervezési rendszerek (PIMS) – amelyekre az (EU) 2022/868 rendelet adatközvetítő szolgáltatásként hivatkozik – támogathatják a felhasználókat vagy a harmadik feleket abban, hogy meghatározatlan számú potenciális partnerrel kereskedelmi kapcsolatokat létesítsenek az e rendelet hatálya alá tartozó bármely jogszerű cél érdekében. Fontos szerepet játszhatnak az adatokhoz való hozzáférés annak érdekében történő összesítésében, hogy megkönnyítsék a nagy adathalmazok elemzését vagy a gépi tanulást, feltéve, hogy a felhasználók továbbra is teljes mértékben maguk rendelkeznek arról, hogy adataikat ilyen összesítéshez rendelkezésre bocsátják-e, és azon kereskedelmi feltételekről, amelyek mellett adataik felhasználandók. |
(34) |
Egy összekapcsolt termék vagy kapcsolódó szolgáltatás használata – különösen akkor, ha a felhasználó egy természetes személy – olyan adatokat generál, amelyek az érintett személyhez kapcsolódnak. Az ilyen adatok kezelésére az (EU) 2016/679 rendeletben megállapított szabályok vonatkoznak, ideértve azt az esetet is, amikor az adatállományban szereplő személyes és nem személyes adatok elválaszthatatlanul kapcsolódnak egymáshoz. Az érintett lehet a felhasználó vagy egy másik természetes személy. Személyes adatok igénylésére csak az adatkezelő és az érintett jogosult. A felhasználó mint érintett, bizonyos körülmények között az (EU) 2016/679 rendelet alapján jogosult hozzáférni az említett felhasználóra vonatkozó személyes adatokhoz, és e rendelet nem érinti az ilyen jogokat. E rendelet értelmében a felhasználó természetes személyként jogosult továbbá hozzáférni az összekapcsolt termék használata által generált valamennyi – akár személyes, akár nem személyes – adathoz. Amennyiben a felhasználó nem az érintett, hanem egy vállalkozás – ideértve az egyéni vállalkozót is –, és nem az összekapcsolt termék közös háztartási használatáról van szó, a felhasználó adatkezelőnek minősül. Ennek megfelelően az ilyen felhasználónak, aki adatkezelőként valamely összekapcsolt termék vagy kapcsolódó szolgáltatás felhasználása révén generált személyes adatokat szándékozik kérni, az adatkezeléshez az (EU) 2016/679 rendelet 6. cikkének (1) bekezdésében előírt olyan jogalappal kell rendelkeznie, mint például az érintett hozzájárulása vagy egy olyan szerződés teljesítése, amelyben az érintett félként vesz részt. Az ilyen felhasználónak biztosítania kell, hogy az érintett megfelelő tájékoztatást kapjon az említett adatkezelés meghatározott, kifejezett és jogszerű céljairól, valamint arról, hogy miként gyakorolhatja ténylegesen jogait. Amennyiben az adatbirtokos és a felhasználó az (EU) 2016/679 rendelet 26. cikke értelmében közös adatkezelőknek minősülnek, kötelesek átlátható módon, egy közöttük létrejött megállapodásban meghatározni az említett rendeletnek való megfelelésért fennálló saját, vonatkozó felelősségi köreiket. Lényeges, hogy az adatok rendelkezésre bocsátását követően viszont az ilyen felhasználó adatbirtokossá válhat, ha megfelel az e rendelet szerinti kritériumoknak, és így az e rendelet szerinti, az adatok rendelkezésre bocsátására vonatkozó kötelezettségek hatálya alá kerül. |
(35) |
A termékadatokat vagy a kapcsolódószolgáltatás-adatokat csak a felhasználó kérelmére szabad harmadik fél rendelkezésére bocsátani. Ez a rendelet ennek megfelelően kiegészíti az érintetteknek az (EU) 2016/679 rendelet 20. cikkében biztosított jogát arra, hogy a rájuk vonatkozó személyes adatokat tagolt, széles körben használt és géppel olvasható formátumban megkapják, továbbá arra, hogy az említett adatokat egy másik adatkezelőnek továbbítsák, amennyiben az említett adatokat automatizált módon kezelik az említett rendelet 6. cikke (1) bekezdésének a) pontja vagy 9. cikke (2) bekezdésének a) pontja alapján vagy a 6. cikke (1) bekezdésének b) pontja szerinti szerződés alapján. Az érintettek jogosultak arra is, hogy kérjék a személyes adatok egyik adatkezelőtől egy másik adatkezelőnek történő közvetlen továbbítását, de csak akkor, ha ez technikailag megvalósítható. Az (EU) 2016/679 rendelet 20. cikke rögzíti, hogy az érintett által szolgáltatott adatokra vonatkozik, de nem határozza meg, hogy ehhez szükség van-e az érintett aktív közreműködésére, és azt sem tisztázza, hogy azokra a helyzetekre is alkalmazandó-e, amikor egy összekapcsolt termék vagy kapcsolódó szolgáltatás a tervezéséből adódóan eleve passzív módon észleli az érintett viselkedését vagy az érintettel kapcsolatos egyéb információkat. Az e rendelet alapján biztosított jogok számos módon egészítik ki a személyes adatok fogadására és hordozhatóságára vonatkozó, az (EU) 2016/679 rendelet 20. cikke szerinti jogot. E rendelet jogot biztosít a felhasználók számára ahhoz, hogy hozzáférjenek bármely termékadathoz vagy kapcsolódószolgáltatás-adathoz, és azokat harmadik fél rendelkezésére bocsássák, az adatok személyes jellegétől és attól függetlenül, hogy aktívan szolgáltatott vagy passzívan megfigyelt adatok-e, továbbá függetlenül az adatkezelés jogalapjától. Az (EU) 2016/679 rendelet 20. cikkétől eltérően, e rendelet előírja és biztosítja a harmadik felek hozzáférésének technikai megvalósíthatóságát a hatálya alá tartozó valamennyi adattípus esetében, legyen szó akár személyes, akár nem személyes adatokról, ezáltal biztosítva, hogy a továbbiakban technikai akadályok ne korlátozzák vagy ne tegyék lehetetlenné az ilyen adatokhoz való hozzáférést. E rendelet lehetővé teszi továbbá az adatbirtokosok számára, hogy harmadik felek – de nem a felhasználó – által fizetendő, észszerű kompenzációt állapítsanak meg a felhasználó összekapcsolt terméke által generált adatokhoz való közvetlen hozzáférés biztosításával kapcsolatban felmerülő költségek tekintetében. Ha az adatbirtokos és egy harmadik fél nem tud megállapodni az ilyen közvetlen hozzáférés feltételeiről, az érintettet semmilyen módon nem lehet megakadályozni abban, hogy az (EU) 2016/679 rendeletben foglalt jogokat gyakorolja – ideértve az adathordozhatósághoz való jogot is – azáltal, hogy az említett rendelettel összhangban jogorvoslatért folyamodik. Lényeges ebben az összefüggésben, hogy az (EU) 2016/679 rendelettel összhangban a szerződés nem teszi lehetővé, hogy az adatbirtokos vagy a harmadik fél a személyes adatok különleges kategóriáit kezelje. |
(36) |
A végberendezésen tárolt és onnan elért adatokhoz való hozzáférés a 2002/58/EK irányelv hatálya alá tartozik, amelynek értelmében e hozzáférés az előfizető vagy felhasználó hozzájárulásához kötött, kivéve, ha az feltétlenül szükséges a felhasználó vagy az előfizető által kifejezetten kért, információs társadalommal összefüggő szolgáltatás nyújtásához, vagy ha annak kizárólagos célja egy közlés továbbítása. A 2002/58/EK irányelv védi a felhasználó végberendezésének integritását az adatkezelési és -tárolási képességek felhasználására, valamint az információgyűjtésre vonatkozóan. A dolgok internetéhez kapcsolódó berendezés akkor minősül végberendezésnek, ha közvetlenül vagy közvetve egy nyilvános kommunikációs hálózathoz kapcsolódik. |
(37) |
A felhasználók kihasználásának megakadályozása érdekében a harmadik felek, akiknek a felhasználó kérelmére adatokat bocsátottak rendelkezésre, csak a felhasználóval megállapodott célokra kezelhetik az említett adatokat, és csak a felhasználónak az ilyen adatmegosztásra vonatkozó beleegyezésével oszthatják meg azokat egy másik harmadik féllel. |
(38) |
Az adattakarékosság elvével összhangban harmadik felek csak a felhasználó által kért szolgáltatás nyújtásához szükséges információkhoz férhetnek hozzá. Miután a harmadik fél hozzáférést kapott az adatokhoz, azokat a felhasználóval megállapodott célokra, az adatbirtokos beavatkozása nélkül kell kezelnie. A felhasználó számára ugyanolyan könnyű kell, hogy legyen a harmadik fél adatokhoz való hozzáférésének a megtagadása vagy megszüntetése, mint a hozzáférés engedélyezése. Sem harmadik felek, sem adatbirtokosok nem nehezíthetik meg indokolatlanul a választási lehetőségeknek vagy jogoknak a felhasználó általi gyakorlását, többek között azáltal, hogy nem semleges módon kínálnak választási lehetőségeket a felhasználónak, vagy azáltal, hogy kényszerítik, félrevezetik vagy manipulálják a felhasználót, vagy azáltal, hogy aláássák vagy csorbítják a felhasználó autonómiáját, döntéshozatalát vagy választási szabadságát, többek között egy felhasználói digitális interfész vagy annak egy része révén. Ebben az összefüggésben harmadik felek vagy adatbirtokosok a digitális interfészeik tervezésekor nem hagyatkozhatnak úgynevezett „sötét megoldásokra”. A sötét megoldások olyan tervezési technikák, amelyek a fogyasztókat számukra hátrányos következményekkel járó döntések meghozatalára késztetik, vagy arra megtévesztő módon ráveszik. Az említett manipulatív technikák felhasználhatók arra, hogy a felhasználókat – különösen a kiszolgáltatott fogyasztókat – meggyőzzék arról, hogy nemkívánatos magatartást tanúsítsanak, hogy félrevezessék a felhasználókat azáltal, hogy adatközlési műveletekkel kapcsolatos döntések meghozatalára bírja rá őket, vagy hogy indokolatlanul torzítsák a szolgáltatás felhasználóinak döntéshozatalát oly módon, amely aláássa vagy csorbítja autonómiájukat, döntéshozatalukat és választási szabadságukat. Az uniós jognak megfelelő általános és jogszerű kereskedelmi gyakorlatok önmagukban nem tekinthetők sötét megoldásoknak. A harmadik feleknek és az adatbirtokosoknak teljesíteniük kell a releváns uniós jog szerinti kötelezettségeiket, különösen a 98/6/EK (24) és a 2000/31/EK (25) európai parlamenti és tanácsi irányelvben, valamint a 2005/29/EK és a 2011/83/EU irányelvben megállapított követelményeket. |
(39) |
A harmadik feleknek tartózkodniuk kell attól is, hogy az e rendelet hatálya alá tartozó adatokat egyének profilalkotásához használják fel, kivéve, ha ilyen adatkezelési tevékenységek feltétlenül szükségesek a felhasználó által kért szolgáltatás nyújtásához, ideértve az automatizált döntéshozatalt. A felhasználóval megállapodott célból már nem szükséges adatok törlésére vonatkozó követelmény – kivéve, ha a nem személyes adatok tekintetében ettől eltérően állapodtak meg – kiegészíti az érintettnek az (EU) 2016/679 rendelet 17. cikke szerinti törléshez való jogát. Amennyiben a harmadik fél adatközvetítő szolgáltatás szolgáltatója, az érintettre az (EU) 2022/868 rendeletben előírt biztosítékokat kell alkalmazni. A harmadik fél felhasználhatja az adatokat egy új és innovatív összekapcsolt termék vagy kapcsolódó szolgáltatás kifejlesztésére, de versengő összekapcsolt termék kifejlesztésére nem. |
(40) |
Az induló innovatív vállalkozások, a kisvállalkozások és a 2003/361/EK bizottsági ajánlás mellékletének 2. cikke alapján középvállalkozásnak minősülő vállalkozások, valamint a hagyományos ágazatokban működő, kevésbé fejlett digitális képességekkel rendelkező vállalkozások számára nehézséget okoz megszerezni a releváns adatokhoz való hozzáférést. E rendelet célja, hogy megkönnyítse az említett szervezetek számára az adathozzáférést, miközben biztosítja, hogy a kapcsolódó kötelezettségek a hatáskörtúllépés elkerülése érdekében a lehető legarányosabbak. A digitális gazdaságban ugyanakkor kialakult néhány nagyon nagy vállalkozás, amelyek hatalmas adatmennyiség felhalmozása és összesítése, valamint a monetizálásukhoz szükséges technológiai infrastruktúra révén számottevő gazdasági erőre tettek szert. Az említett nagyon nagy vállalkozások közé tartoznak azon vállalkozások, amelyek a digitális gazdaságban teljes platform-ökoszisztémák felett irányítást gyakorló alapvető platformszolgáltatásokat nyújtanak, és amelyeket a meglévő vagy új piaci szereplők nem tudnak kihívás elé állítani, vagy azokkal versenyre kelni. Az (EU) 2022/1925 európai parlamenti és tanácsi rendelet (26) célja, hogy orvosolja az említett hatékonysági problémákat és egyensúlyhiányokat azáltal, hogy lehetővé teszi a Bizottság számára, hogy „kapuőrnek” minősítsen egy vállalkozást, és számos kötelezettséget ír elő az ilyen kapuőrök számára, ideértve bizonyos adatok hozzájárulás nélküli kombinálásának tilalmát és az (EU) 2016/679 rendelet 20. cikke szerinti adathordozhatósághoz való tényleges jogok biztosítására vonatkozó kötelezettséget. Az (EU) 2022/1925 rendelettel összhangban, és tekintve az említett vállalkozások egyedülálló képességét arra, hogy adatokat szerezzenek, e rendelet céljának eléréséhez nem szükséges – és ezért aránytalan is volna az ilyen kötelezettségek hatálya alá tartozó adatbirtokosokkal szemben –, hogy kapuőr is tartozzon az adathozzáférési jog kedvezményezettjei közé. Egy ilyen magában foglalás valószínűleg korlátozná is azon előnyöket, amelyeket e rendelet a kkv-k számára nyújt az adatok jelentette értéknek a piaci szereplők közötti igazságos elosztásához kapcsolódóan. Ez azt jelenti, hogy egy alapvető platformszolgáltatásokat nyújtó, kapuőrnek minősített vállalkozás e rendelet alapján nem kérhet és nem kaphat hozzáférést egy összekapcsolt termék vagy kapcsolódó szolgáltatás használata által vagy egy virtuális asszisztens által generált felhasználói adatokhoz. Továbbá azon harmadik felek, akiknek a felhasználó kérelmére adatokat bocsátanak rendelkezésre, az adatokat nem bocsáthatják egy kapuőr rendelkezésére. A harmadik fél például nem adhatja alvállalkozásba a szolgáltatásnyújtást egy kapuőrnek. Mindez azonban nem akadályozza meg a harmadik feleket abban, hogy igénybe vegyék a kapuőr által kínált adatkezelési szolgáltatásokat. Nem akadályozza meg az említett vállalkozásokat abban sem, hogy más jogszerű eszközökkel megszerezzék és felhasználják ugyanazon adatokat. Az e rendeletben biztosított hozzáférési jogok hozzájárulnak a szolgáltatások szélesebb választékához a fogyasztók számára. Mivel a kapuőrök és az adatbirtokosok közötti önkéntes megállapodásokat mindez továbbra sem érinti, a kapuőrök hozzáférésének korlátozása nem zárná ki őket a piacról, vagy nem akadályozná meg őket a szolgáltatásaik nyújtásában. |
(41) |
A technológia jelenlegi állására tekintettel, túl nagy terhet jelentene a mikrovállalkozások és a kisvállalkozások számára további tervezési kötelezettségek előírása a gyártott vagy tervezett összekapcsolt termékek, vagy az általuk nyújtott kapcsolódó szolgáltatások tekintetében. Nem ez a helyzet azonban, ha a mikrovállalkozásnak vagy a kisvállalkozásnak a 2003/361/EK ajánlás melléklete 3. cikkének értelmében vett olyan partnervállalkozása vagy kapcsolt vállalkozása van, amely nem minősül mikrovállalkozásnak vagy kisvállalkozásnak, és amellyel alvállalkozói szerződést kötnek egy összekapcsolt termék gyártására vagy tervezésére vagy kapcsolódó szolgáltatás nyújtására. Ilyen helyzetekben azon vállalkozás, amely a gyártásra vagy tervezésre alvállalkozóként egy mikrovállalkozást vagy egy kisvállalkozást szerződtetett, képes megfelelően kompenzálni az alvállalkozót. A mikrovállalkozásra vagy kisvállalkozásra adatbirtokosként mindazonáltal vonatkozhatnak az e rendeletben megállapított követelmények, amennyiben e vállalkozás nem az összekapcsolt termék gyártója vagy a kapcsolódó szolgáltatások szolgáltatója. Átmeneti időszakot kell alkalmazni azon vállalkozásra, amely kevesebb mint egy éve minősül középvállalkozásnak, és azon összekapcsolt termékekre, amelyeket kevesebb mint egy éve hozott forgalomba egy középvállalkozás. Egy ilyen egyéves időszak lehetővé teszi a középvállalkozás számára, hogy igazodjon és felkészüljön, mielőtt az általa gyártott összekapcsolt termékekhez kapcsolódó szolgáltatások piacán – az e rendelet által biztosított hozzáférési jogokon alapján – versenynek volna kitéve. Ezen átmeneti időszak nem alkalmazandó, ha az ilyen középvállalkozásnak olyan partnervállalkozása vagy kapcsolt vállalkozása van, amely nem minősül mikrovállalkozásnak vagy kisvállalkozásnak, vagy ha egy ilyen középvállalkozással alvállalkozói szerződést kötöttek egy összekapcsolt termék gyártására vagy tervezésére vagy kapcsolódó szolgáltatás nyújtására. |
(42) |
Figyelembe véve az összekapcsolt termékek sokféleségét, amelyek különböző jellegű, mennyiségű és gyakoriságú adatokat állítanak elő, különböző szintű adat- és kiberbiztonsági kockázatokat jelentenek, és különböző értékű gazdasági lehetőségeket kínálnak, továbbá a belső piacon az adatmegosztási gyakorlatok következetességének biztosítása céljából – többek között az ágazatok között is –, és a méltányos adatmegosztási gyakorlatok ösztönzése és előmozdítása érdekében még olyan területeken is, ahol ilyen adathozzáférési jog nem biztosított, ez a rendelet horizontális szabályokat ír elő az adathozzáférésre vonatkozó rendelkezéseket illetően, valahányszor az adatbirtokost az uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabály kötelezi arra, hogy adatokat bocsásson egy adatátvevő rendelkezésére. Az ilyen hozzáférésnek méltányos, észszerű, megkülönböztetésmentes és átlátható feltételeken kell alapulnia. Az említett általános hozzáférési szabályok nem alkalmazandók az (EU) 2016/679 rendelet szerinti, az adatok rendelkezésre bocsátására vonatkozó kötelezettségekre. Az említett szabályok nem érintik az önkéntes adatmegosztást. A Bizottság által kidolgozandó és ajánlandó, a vállalkozások közötti adatmegosztásra vonatkozó, nem kötelező erejű szabványos minta-szerződésifeltételek segíthetik a feleket olyan szerződések megkötésében, amelyek méltányos, észszerű és megkülönböztetésmentes feltételeket tartalmaznak, és amelyeket átlátható módon kell végrehajtani. Az olyan szerződések megkötése, amelyek tartalmazhatják a nem kötelező erejű minta-szerződésifeltételeket, nem jelentheti azt, hogy az adatok harmadik felekkel való megosztásának joga bármely módon függ egy ilyen szerződés meglététől. Amennyiben a felek nem tudnak megállapodást kötni a feltételekről, többek között vitarendezési testületek támogatása mellett, az adatok harmadik felekkel való megosztásának joga a nemzeti bíróságok vagy igazságszolgáltatási fórumok előtt érvényesíthető. |
(43) |
A szerződési szabadság elve alapján a felek továbbra is szabadok kell, hogy legyenek azon pontos feltételek megtárgyalásában, amelyek szerződéseikben az adatok rendelkezésre bocsátására vonatkoznak, az adatok rendelkezésre bocsátására vonatkozó általános hozzáférési szabályok keretében. Az ilyen szerződések rendelkezései technikai és szervezési intézkedéseket is magukban foglalhatnak, többek között az adatbiztonsággal kapcsolatban. |
(44) |
Annak biztosítása érdekében, hogy az adatokhoz való kötelező hozzáférés feltételei mindkét szerződő fél számára méltányosak legyenek, az adathozzáférési jogokra vonatkozó általános szabályoknak hivatkozniuk kell a tisztességtelen szerződési feltételek elkerülésére vonatkozó szabályra. |
(45) |
A vállalkozások közötti kapcsolatokban az adatok rendelkezésre bocsátásáról kötött minden megállapodásnak megkülönböztetésmentesnek kell lennie az adatátvevők összehasonlítható kategóriái tekintetében, függetlenül attól, hogy a felek nagyvállalkozások vagy kkv-k. A különböző szerződésekben foglalt feltételekre vonatkozó információk hiánya megnehezíti az adatátvevő számára annak értékelését, hogy az adatok rendelkezésre bocsátásának feltételei megkülönböztetésmentesek-e, ezért ennek ellensúlyozása érdekében az adatbirtokosok felelőssége kell, hogy legyen azt bizonyítani, hogy egy adott szerződési feltétel nem diszkriminatív. Nem minősül jogellenes megkülönböztetésnek, ha az adatbirtokos eltérő szerződési feltételeket alkalmaz az adatok rendelkezésre bocsátására, amennyiben ezeket a különbségeket objektív okok támasztják alá. Az említett kötelezettségek nem sértik az (EU) 2016/679 rendeletet. |
(46) |
Az értékes adatok előállításába és hozzáférhetővé tételébe történő folyamatos beruházások előmozdítása érdekében, ideértve a releváns technikai eszközökbe történő beruházásokat is, elkerülve ugyanakkor az adathozzáférésre és -felhasználásra háruló túlzott terheket, amelyek az adatmegosztást már nem teszik üzletileg életképessé, ez a rendelet tartalmazza azon elvet, hogy a vállalkozások közötti kapcsolatokban az adatbirtokosok észszerű kompenzációra tarthatnak igényt, amikor uniós jog vagy uniós joggal összhangban elfogadott nemzeti jogszabályok alapján kötelesek adatokat az adatátvevő rendelkezésére bocsátani. Az ilyen kompenzáció nem értelmezhető úgy, hogy magáért az adatért való kifizetést jelentene. A Bizottságnak iránymutatásokat kell elfogadnia az észszerű kompenzáció kiszámítására vonatkozóan az adatgazdaságban. |
(47) |
Először is, az adatok rendelkezésre bocsátása iránti kérelem teljesítésére vonatkozó, az uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabály alapján fennálló kötelezettségnek való megfelelésért járó észszerű kompenzáció magában foglalhatja az adatok rendelkezésre bocsátásával kapcsolatban felmerült költségekért nyújtandó kompenzációt. Az említett költségek lehetnek technikai költségek, így például az adatok többszörözéséhez, elektronikus úton történő terjesztéséhez és tárolásához szükséges költségek, de nem az adatgyűjtéshez vagy -előállításhoz szükségesek. Az ilyen technikai költségek magukban foglalhatják az adatok rendelkezésre bocsátásához szükséges adatkezelés költségeit is, beleértve az adatok formázásával kapcsolatos költségeket is. Az adatok rendelkezésre bocsátásával kapcsolatos költségek magukban foglalhatják a konkrét adatmegosztási kérelmekkel kapcsolatos támogatás költségeit. E költségek az adatok mennyiségétől, valamint az adatok rendelkezésre bocsátásának módjától függően is változhatnak. Az adatbirtokosok és az adatátvevők közötti hosszú távú – például előfizetési modellek vagy intelligens szerződések formáját öltő – megállapodások csökkenthetik az adatok rendszeres vagy ismétlődő üzleti tranzakciók keretében történő rendelkezésre bocsátásával kapcsolatos költségeket. Az adatok rendelkezésre bocsátásával kapcsolatos költségek vagy egy adott kérelemhez kapcsolódnak, vagy más kérelmekkel együttesen merülnek fel. Ez utóbbi esetben az adatok rendelkezésre bocsátásának teljes költségét nem egyetlen adatátvevőnek kell megfizetnie. Másodszor, az észszerű kompenzáció árrést is magában foglalhat, kivéve a kkv-k és a nonprofit kutatószervezetek vonatkozásában. Az árrés az adatokkal kapcsolatos tényezőktől, például az adatok mennyiségétől, formátumától vagy jellegétől függően változhat. Magában foglalhatja az adatgyűjtés költségeit. Az árrés ezért csökkenhet, ha az adatbirtokos az adatokat saját üzleti tevékenységéhez kapcsolódóan gyűjtötte jelentős befektetések nélkül, vagy növekedhet, ha az adatbirtokos üzleti tevékenységekhez köthető adatgyűjtésének befektetési költségei magasak. Korlátozható vagy akár ki is zárható olyan helyzetekben, amikor az adatoknak az adatátvevő általi felhasználása nem érinti az adatbirtokos saját tevékenységeit. Az a tény, hogy az adatok a felhasználó által tulajdonolt, bérelt vagy lízingelt összekapcsolt termék által együtt generáltak, szintén csökkentheti a kompenzáció összegét egyéb helyzetekhez képest, amikor az adatokat az adatbirtokos állítja elő, például kapcsolódó szolgáltatás nyújtása során. |
(48) |
Nem szükséges beavatkozni a nagyvállalkozások közötti adatmegosztás esetén, vagy amennyiben az adatbirtokos kisvállalkozás vagy középvállalkozás, és az adatátvevő nagyvállalkozás. Ilyen esetekben a vállalkozások – az észszerűség és a megkülönböztetésmentesség határain belül – olyannak minősülnek, mint amelyek képesek tárgyalni az kompenzációról. |
(49) |
Annak érdekében, hogy megvédjék a kkv-ket a túlzott gazdasági terhektől, amelyek üzleti szempontból túlságosan megnehezítenék számukra innovatív üzleti modellek kidolgozását és működtetését, az adatok rendelkezésre bocsátásáért általuk fizetendő észszerű kompenzáció nem haladhatja meg az adatok rendelkezésre bocsátásához közvetlenül kapcsolódó költségeket. Közvetlenül kapcsolódó költségek azok a költségek, amelyek egyéni kérelmeknek tudhatók be, figyelembe véve azt, hogy a szükséges technikai interfészeket vagy a kapcsolódó szoftvereket és a csatlakozási lehetőségeket az adatbirtokosnak állandó jelleggel kell létrehoznia. Ugyanezen szabályrendszert kell alkalmazni a nonprofit kutatószervezetekre. |
(50) |
Kellően indokolt esetekben – ideértve a fogyasztói szerepvállalás és a verseny védelmének, vagy bizonyos piacokon az innováció előmozdításának szükségességét – az uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabályok szabályozott kompenzációt írhatnak elő meghatározott adattípusok rendelkezésre bocsátásáért. |
(51) |
Az átláthatóság fontos elv annak biztosításához, hogy egy adatbirtokos által kért kompenzáció észszerű legyen, vagy ha az adatátvevő kkv vagy nonprofit kutatószervezet, a kompenzáció ne haladja meg az adatoknak az adatátvevő rendelkezésére bocsátásához közvetlenül kapcsolódó költségeket, és az az érintett egyéni kérelemnek legyen betudható. Annak érdekében, hogy az adatátvevők olyan helyzetben legyenek, hogy felmérhessék és ellenőrizhessék, hogy a kompenzáció megfelel-e e rendelet követelményeinek, az adatbirtokosnak kellően részletes információkat kell nyújtania az adatátvevő részére a kompenzáció kiszámítása céljából. |
(52) |
Az adatok rendelkezésre bocsátásával kapcsolatban felmerülő belföldi és határokon átnyúló viták alternatív rendezési módjaihoz való hozzáférés biztosítása előnyökkel kell, hogy járjon az adatbirtokosok és az adatátvevők számára, és ezáltal erősítenie kell az adatmegosztásba vetett bizalmat. Amennyiben a felek nem tudnak megállapodni az adatok rendelkezésre bocsátásának méltányos, észszerű és megkülönböztetésmentes feltételeiről, a vitarendezési testületeknek egyszerű, gyors és olcsó megoldást kell kínálniuk a felek számára. Míg ez a rendelet csak a vitarendezési testületek tanúsításához teljesítendő feltételeket határozza meg, a tagállamok szabadon fogadhatnak el a tanúsítási eljárásra vonatkozó bármely konkrét szabályt, ideértve a tanúsítás lejártát vagy visszavonását is. E rendelet vitarendezésre vonatkozó rendelkezései nem kötelezhetik a tagállamokat vitarendezési testületek létrehozására. |
(53) |
Az e rendelet szerinti vitarendezési eljárás önkéntes eljárás, amely lehetővé teszi a felhasználók, az adatbirtokosok és az adatátvevők számára, hogy megállapodjanak abban, hogy vitáikat vitarendezési testületek elé terjesztik. Ezért a felek számára lehetővé kell tenni, hogy szabadon forduljanak az általuk választott vitarendezési testülethez, legyen ez a testület akár az említett felek letelepedése szerinti tagállamokon belül vagy akár azon kívül. |
(54) |
Elkerülendő azon eseteket, amikor egyazon vitát két vagy több vitarendezési testület elé visznek, különösen a határokon átnyúló esetekben, a vitarendezési testület számára lehetővé kell tenni, hogy elutasítsa a már egy másik vitarendezési testület vagy valamely tagállam bírósága vagy igazságszolgáltatási fóruma elé beterjesztett vitarendezési kérelem elbírálását. |
(55) |
E rendelet egységes alkalmazásának biztosítása érdekében a vitarendezési testületeknek figyelembe kell venniük a Bizottság által kidolgozandó és ajánlandó nem kötelező erejű minta-szerződésifeltételeket, valamint az adatmegosztási kötelezettségeket meghatározó uniós vagy nemzeti jogot, vagy az ágazati hatóságok által az ilyen jogi szabályozás alkalmazása tekintetében kiadott iránymutatásokat. |
(56) |
A vitarendezési eljárásban részt vevő felek nem akadályozhatók meg a hatékony jogorvoslathoz és a tisztességes eljáráshoz való alapvető jogaik gyakorlásában. Ezért az a döntés, hogy egy vitát vitarendezési testület elé terjesztenek, nem foszthatja meg az említett feleket azon joguktól, hogy valamely tagállam bíróságához vagy igazságszolgáltatási fórumához folyamodjanak jogorvoslatért. A vitarendezési testületeknek nyilvánosan elérhetővé kell tenniük éves tevékenységi jelentéseiket. |
(57) |
Az adatbirtokosok megfelelő technikai védelmi intézkedéseket alkalmazhatnak, hogy megakadályozzák az adatok jogosulatlan nyilvánosságra hozatalát vagy a jogosulatlan adathozzáférést. Az említett intézkedések azonban nem tehetnek különbséget az adatátvevők között, és nem is akadályozhatják a felhasználók vagy az adatátvevők számára az adathozzáférést vagy -felhasználást. Amennyiben az adatátvevő olyan visszaélésszerű gyakorlatot folytat, mint például hamis információk közlésével félrevezeti az adatbirtokost azzal a szándékkal, hogy az adatokat jogellenes célokra használja fel – ideértve versengő összekapcsolt terméknek az adatok alapján történő kifejlesztését –, az adatbirtokos, valamint – adott esetben és amennyiben nem ugyanazon személyekről van szó – az üzleti titok jogosultja vagy a felhasználó kérheti a harmadik felet vagy az adatátvevőt, hogy indokolatlan késedelem nélkül hajtson végre korrekciós vagy helyreigazító intézkedéseket. Minden ilyen kérést, különösen az áruk, a származtatott adatok vagy a szolgáltatások előállításának, felkínálásának vagy forgalomba hozatalának megszüntetésére, valamint a jogsértő áruk behozatalának, kivitelének, tárolásának megszüntetésére vagy azok megsemmisítésére irányuló kérelmeket az adatbirtokos, az üzletit titok jogosultja vagy a felhasználó érdekeivel való arányosságuk fényében kell értékelni. |
(58) |
Amennyiben az egyik fél erősebb alkupozícióban van, fennáll annak a kockázata, hogy az ilyen pozíciót a másik szerződő fél kárára kihasználhatja az adathozzáférésről szóló tárgyalások során, aminek eredményeként az adathozzáférés üzletileg kevésbé életképes, és gazdaságilag olykor pedig nem kifizetődő. Az ilyen szerződéses egyensúlyhiányok ártanak minden olyan vállalkozásnak, amelyek nem rendelkeznek azzal a képességgel, hogy érdemben tárgyaljanak az adathozzáférés feltételeiről, és amelyeknek esetleg nincs más választása, mint hogy elfogadják a kell-vagy-nem-kell szerződési feltételeket. Ezért az adathozzáférést és -felhasználást, vagy az adatokkal kapcsolatos kötelezettségek megsértése vagy felmondása esetén fennálló felelősséget és jogorvoslatokat szabályozó tisztességtelen szerződési feltételek nem lehetnek kötelező erejűek a vállalkozásokra nézve, amennyiben az említett feltételeket egyoldalúan állapították meg az említett vállalkozásokra nézve. |
(59) |
A szerződési feltételekre vonatkozó szabályoknak figyelembe kell venniük a szerződési szabadság elvét, amely alapvető fogalom a vállalkozások közötti kapcsolatokban. Ezért nem minden szerződési feltételt kell méltányosság hiányát megállapító tesztnek alávetni, hanem csak az egyoldalúan megállapított feltételeket. Ez olyan kell-vagy-nem-kell helyzetekre vonatkozik, amikor az egyik fél biztosít egy bizonyos szerződési feltételt, és a másik vállalkozás a feltétel megtárgyalására irányuló kísérlete ellenére sem tudja befolyásolni az említett feltétel tartalmát. Az egyik fél által egyszerűen rendelkezésre bocsátott és a másik vállalkozás által elfogadott szerződési feltétel, vagy a szerződő felek által megtárgyalt, és ezt követően módosított formában a szerződő felek által elfogadott szerződési feltétel nem tekinthető egyoldalúan megállapított feltételnek. |
(60) |
Továbbá, a tisztességtelen szerződési feltételekre vonatkozó szabályok csak a szerződés azon elemeire alkalmazandók, amelyek az adatok rendelkezésre bocsátásával kapcsolatosak, azaz az adathozzáférésre és -felhasználásra vonatkozó szerződési feltételekre, valamint az adatokkal kapcsolatos kötelezettségek megsértése és megszüntetése esetén fennálló felelősségre vagy jogorvoslatokra. Ugyanazon szerződés más, az adatok rendelkezésre bocsátásához nem kapcsolódó részeit nem lehet az e rendeletben meghatározott, méltányosság hiányát megállapító teszt alá vetni. |
(61) |
A tisztességtelen szerződési feltételek azonosítására szolgáló kritériumokat csak a túlzott szerződési feltételekre kell alkalmazni, amennyiben visszaéltek az erősebb alkupozícióval. A vállalkozások közötti szerződésekben szokásos feltételeket is ideértve, az egyik fél számára üzletileg kedvezőbb szerződési feltételek túlnyomó többsége a szerződési szabadság elvének szokásos megnyilvánulása, és továbbra is alkalmazandó. E rendelet alkalmazásában a helyes üzleti gyakorlattól való jelentős eltérés többek között azt jelentené, hogy objektív módon csorbítják azon fél, amelyre nézve a feltételt egyoldalúan megállapították, képességét, hogy a szóban forgó adatokhoz fűződő jogos üzleti érdekeit megvédje. |
(62) |
A jogbiztonság biztosítása érdekében ez a rendelet létrehozza a minden esetben tisztességtelennek minősülő feltételek, valamint a vélelmezhetően tisztességtelen feltételek jegyzékét. Ez utóbbi esetben a szerződési feltételt megállapító vállalkozás számára lehetővé kell tenni, hogy megcáfolhassa a tisztességtelenségre vonatkozó vélelmet annak bizonyításával, hogy az e rendeletben felsorolt szerződési feltétel a szóban forgó konkrét esetben nem tisztességtelen. Ha egy szerződési feltétel nem szerepel azon feltételek jegyzékében, amelyek mindig tisztességtelennek minősülnek, vagy amelyek vélelmezhetően tisztességtelenek, a tisztességtelen jellegre vonatkozó általános rendelkezést kell alkalmazni. E tekintetben az e rendeletben tisztességtelen szerződési feltételekként felsorolt feltételeknek kell mérceként szolgálniuk a tisztességtelen jellegre vonatkozó általános rendelkezés értelmezéséhez. Végül, a Bizottság által kidolgozandó és ajánlandó, a vállalkozások közötti adatmegosztási szerződésekre vonatkozó, nem kötelező erejű minta-szerződésifeltételek szintén hasznosak lehetnek az üzleti felek számára szerződések tárgyalása során. Ha egy szerződési feltételt tisztességtelennek nyilvánítanak, az érintett szerződés e feltétel nélkül a továbbiakban is alkalmazandó, kivéve, ha a tisztességtelen szerződési feltétel nem elválasztható a szerződés többi feltételeitől. |
(63) |
Rendkívüli igény esetén szükségessé válhat, hogy közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy uniós szervek a jogszabály szerinti feladataik közérdekből történő ellátása során meglévő adatokat, többek között – adott esetben – kísérő metaadatokat használjanak fel azért, hogy szükséghelyzetekre vagy más kivételes esetekre reagáljanak. A rendkívüli igények olyan körülményeket jelentenek, amelyek – ellentétben azokkal az egyéb körülményekkel, amelyek tervezettek, ütemezettek, időszakosak vagy gyakoriak lehetnek – előre nem láthatók és időben korlátozottak. Míg az „adatbirtokos” fogalma általában nem foglalja magában a közszférabeli szervezeteket, a közvállalkozásokat magában foglalhatja. A kutatást végző és a kutatásfinanszírozó szervezetek közszférabeli szervezetként vagy közjogi intézményként is létrehozhatók. A vállalkozásokra nehezedő terhek korlátozása érdekében a mikrovállalkozások és a kisvállalkozások csak rendkívüli igények esetén – amennyiben ilyen adatok szükségesek valamely szükséghelyzetre reagálás érdekében, és a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv nem tudja alternatív eszközök révén, időben és hatékonyan, egyenértékű feltételek mellett megszerezni az ilyen adatokat – kötelezhetők arra, hogy adatokat szolgáltassanak közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy uniós szervek számára. |
(64) |
Olyan szükséghelyzetek esetén, mint például a népegészségügyi szükséghelyzetek, a természeti katasztrófákból adódó, többek között az éghajlatváltozás és a környezetkárosodás által súlyosbított szükséghelyzetek, valamint az ember okozta jelentős katasztrófák, például a jelentős kiberbiztonsági események, az adatok felhasználásából eredő közérdeknek nagyobb lesz a súlya, mint az adatbirtokosok azon érdekeinek, hogy szabadon rendelkezzenek a birtokukban lévő adatok felett. Ilyen esetben az adatbirtokosokat kötelezni kell arra, hogy bocsássák az adatokat a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy uniós szervek rendelkezésére, az említettek kérelmére. A szükséghelyzet fennállását az uniós vagy nemzeti joggal összhangban és a releváns eljárások alapján kell megállapítani vagy kihirdetni, ideértve a releváns nemzetközi szervezetek releváns eljárásait is. Ilyen esetekben a közszférabeli szervezetnek bizonyítania kell, hogy a kérelem tárgykörébe tartozó adatok más módon és egyenértékű feltételek mellett – például egy másik vállalkozás önkéntes adatszolgáltatása vagy egy nyilvános adatbázis lekérdezése révén – nem szerezhetők be időben és hatékonyan. |
(65) |
Rendkívüli igény szükséghelyzetnek nem minősülő helyzetekből is adódhat. Ilyen esetekben egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv számára csak nem személyes adatok igénylése tehető lehetővé. A közszférabeli szervezetnek bizonyítania kell, hogy az adatok valamely, jogszabályban kifejezetten előírt, közérdekből végzett konkrét feladat teljesítéséhez – így például hivatalos statisztikák előállításához, vagy egy szükséghelyzet enyhítéséhez vagy az abból való kilábaláshoz – szükségesek. Emellett ilyen kérelem csak akkor nyújtható be, ha a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv azonosította azon konkrét adatokat, amelyek más módon és egyenértékű feltételek mellett nem szerezhetők be kellő időben és hatékonyan, és csak akkor, ha a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv kimerítette az ilyen adatok beszerzéséhez rendelkezésére álló, valamennyi egyéb eszközt, például az adatok önkéntes megállapodások révén történő beszerzését, ideértve a nem személyes adatoknak a piacon, piaci árakon történő megvásárlását, vagy az adatok rendelkezésre bocsátására vonatkozó, meglévő kötelezettségek érvényesítésére hagyatkozást, vagy az adatok időben történő rendelkezésre állását garantáló új jogalkotási intézkedések elfogadását. A kérelmekre irányadó feltételek és elvek – így például a célhoz kötöttséggel, az arányossággal, az átláthatósággal, valamint az időbeli korlátozással kapcsolatosak – szintén alkalmazandók. A hivatalos statisztikák előállításához szükséges adatok igénylése esetén a kérelmező közszférabeli szervezetnek azt is bizonyítania kell, hogy a nemzeti jog lehetővé teszi-e számára nem személyes adatok piacon történő megvásárlását. |
(66) |
Ez a rendelet nem alkalmazandó a magán- és közjogi szervezetek közötti adatcserére, többek között a kkv-k általi adatszolgáltatásra vonatkozó önkéntes megállapodásokra, és nem is zárja ki azokat, valamint nem sérti azon uniós jogi aktusokat, amelyek a közjogi szervezetek által a magánszervezetekhez intézett kötelező információkérésekről rendelkeznek. Ez a rendelet nem érintheti az adatbirtokosok azon adatszolgáltatási kötelezettségeit, amelyeket nem rendkívüli jellegű igények indokolnak, különösen ha az adatok és az adatbirtokosok köre ismert, vagy ha az adatfelhasználásra rendszeresen sor kerülhet, mint például a jelentéstételi kötelezettségek és a belső piaci kötelezettségek esetében. Ez a rendelet nem érintheti továbbá az alkalmazandó szabályoknak való megfelelés ellenőrzése céljából folytatott adathozzáférésre vonatkozó követelményeket, ideértve azt is, amikor a közszférabeli szervezetek a megfelelés ellenőrzésének feladatát a közszférabeli szervezetektől eltérő szervezetekre bízzák. |
(67) |
Ez a rendelet kiegészíti és nem sérti a statisztikai célú adathozzáférésről és -felhasználásról rendelkező uniós és nemzeti jogot, különösen a 223/2009/EK európai parlamenti és tanácsi rendeletet (27), valamint a hivatalos statisztikákkal kapcsolatos nemzeti jogi aktusokat. |
(68) |
A közszférabeli szervezeteknek, a Bizottságnak, az Európai Központi Banknak vagy az uniós szerveknek az uniós vagy a nemzeti jog szerinti hatásköreikre kell támaszkodniuk a bűncselekmények vagy a szabálysértések megelőzése, nyomozása, felderítése, büntetőeljárás alá vonása, vagy a büntetőjogi és közigazgatási szankciók végrehajtása, valamint az adózási vagy vámügyi célú adatgyűjtés terén fennálló feladataik ellátása során. Ez a rendelet ennek megfelelően nem érinti az említett területeken az adatmegosztásra, -hozzáférésre és -felhasználásra vonatkozó jogi aktusokat. |
(69) |
Mind a jogbiztonság szavatolása, mind a vállalkozásokra nehezedő adminisztratív terhek minimalizálása érdekében, az (EU) 2016/679 rendelet 6. cikkének (1) és (3) bekezdésével összhangban arányos, korlátozott és kiszámítható uniós szintű keretre van szükség az arra vonatkozó jogalap megválasztásakor, hogy az adatbirtokosok rendkívüli igények esetén adatokat bocsássanak közszférabeli szervezetek, a Bizottság, az Európai Központi Bank, vagy uniós szervek rendelkezésére. E célból a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy az uniós szervek adatbirtokosokhoz intézett adatigényléseinek tárgykörük és részletezettségük tekintetében konkrétnak, átláthatónak és arányosnak kell lenniük. Az adatigénylés célját és a kért adatok tervezett felhasználását pontosan meg kell határozni és világosan ismertetni kell, ugyanakkor a kérelmező szervezet számára megfelelő rugalmasságot kell biztosítani konkrét feladatainak közérdekből történő végzéséhez. Az adatigénylésnek tiszteletben kell tartania azon adatbirtokos jogos érdekeit is, akihez a kérelmet intézték. Az adatbirtokosok terheit minimalizálni kell a kérelmező szervezetek arra való kötelezése révén, hogy tartsák tiszteletben az egyszeri adatszolgáltatás elvét, amely megakadályozza, hogy ugyanazon adatok iránt több alkalommal nyújtson be igénylést több közszférabeli szervezet, vagy a Bizottság, az Európai Központi Bank vagy több uniós szerv. Az átláthatóság biztosítása érdekében a Bizottság, az Európai Központi Bank vagy az uniós szervek által benyújtott adatigényléseket az adatokat kérő szervezetnek indokolatlan késedelem nélkül nyilvánosságra kell hoznia. Az Európai Központi Bank és az uniós szervek értesítik a Bizottságot kérelmeikről. Ha az adatigénylést közszférabeli szervezet nyújtotta be, e szervezetnek értesítenie kell azon tagállam adatkoordinátorát, amelyben a közszférabeli szervezet letelepedett. Biztosítani kell valamennyi igénylés online nyilvános elérhetőségét. Az adatigénylési értesítés kézhezvételét követően az illetékes hatóság dönthet úgy, hogy értékeli az igénylés jogszerűségét, és ellátja az e rendelet alkalmazásával és végrehajtásával kapcsolatos feladatait. Az adatkoordinátornak biztosítania kell a közszférabeli szervezetek által benyújtott valamennyi igénylés online nyilvános elérhetőségét. |
(70) |
Az adatszolgáltatási kötelezettség célja annak biztosítása, hogy a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy az uniós szervek rendelkezzenek a szükséghelyzetekre való reagáláshoz, a szükséghelyzetek megelőzéséhez vagy a szükséghelyzetekből való kilábaláshoz, vagy a jogszabályban kifejezetten előírt konkrét feladatok ellátásához szükséges kapacitás fenntartásához szükséges ismeretekkel. Az említett szervezetek által megszerzett adatok üzleti szempontból érzékeny adatok is lehetnek. Ezért sem az (EU) 2022/868 rendelet, sem az (EU) 2019/1024 európai parlamenti és tanácsi irányelv (28) nem alkalmazandó az e rendelet alapján rendelkezésre bocsátott adatokra, és azok nem tekinthetők harmadik felek számára, az általuk történő további felhasználás céljából rendelkezésre álló nyílt hozzáférésű adatoknak. Mindez azonban nem érintheti az (EU) 2019/1024 irányelv alkalmazhatóságát azon hivatalos statisztikák további felhasználása tekintetében, amelyek előállításához az e rendelet alapján szerzett adatokat használtak fel, feltéve, hogy a további felhasználás nem terjed ki az azok alapjául szolgáló adatokra. Emellett, feltéve, hogy teljesülnek az e rendeletben meghatározott feltételek, az adatok kutatás végzése, vagy a hivatalos statisztikák fejlesztése, előállítása és terjesztése céljából történő megosztásának lehetősége nem sérülhet. A közszférabeli szervezetek számára lehetővé kell tenni azt is, hogy az e rendelet alapján megszerzett adatokat más közszférabeli szervezetekkel, a Bizottsággal, az Európai Központi Bankkal vagy uniós szervekkel is megosszák azon rendkívüli igények kezelése érdekében, amelyekre vonatkozóan az adatokat kérték. |
(71) |
Az adatbirtokosok számára lehetővé kell tenni, hogy indokolatlan késedelem nélkül, de minden esetben legkésőbb öt vagy 30 munkanapon belül, a kérelemben hivatkozott rendkívüli igény jellegétől függően, vagy kérhessék egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv által benyújtott kérelem módosítását, vagy elutasíthassák a kérelmet. Adott esetben az adatbirtokos számára abban az esetben kell biztosítani ezt a lehetőséget, amennyiben nem rendelkezik a kért adatok felett ellenőrzéssel, nevezetesen, ha nincs azonnali hozzáférése az adatokhoz, és nem tudja megállapítani azok rendelkezésre állását. Indokolt esetben lehetővé kell tenni az adatok rendelkezésre nem bocsátását, ha bizonyítható, hogy a kérelem egy másik közszférabeli szervezet, vagy a Bizottság, az Európai Központi Bank vagy egy uniós szerv által azonos célból korábban benyújtott adatigényléshez hasonló, és az adatbirtokost nem értesítették az adatok e rendelet szerinti törléséről. A kérelmet elutasító vagy annak módosítását kérő adatbirtokosnak közölnie kell az alapul szolgáló indokolást az adatigénylő közszférabeli szervezettel, Bizottsággal, Európai Központi Bankkal vagy uniós szervvel. Amennyiben a 96/9/EK európai parlamenti és tanácsi irányelv (29) szerinti sui generis adatbázisjogok alkalmazandók a kért adatállományokra, az adatbirtokosoknak oly módon kell gyakorolniuk jogaikat, hogy az ne akadályozza a közszférabeli szervezetet, a Bizottságot, az Európai Központi Bankot vagy az uniós szervet az adatok e rendelettel összhangban történő megszerzésében vagy megosztásában. |
(72) |
Egy szükséghelyzeti reagálással kapcsolatos rendkívüli igény esetén a közszférabeli szervezeteknek lehetőség szerint nem személyes adatokat kell használniuk. Szükséghelyzettel nem kapcsolatos rendkívüli igényre alapozott kérelmek esetében nem kérhetők személyes adatok. Amennyiben személyes adatok tartoznak a kérelem tárgykörébe, az adatbirtokosnak anonimizálnia kell az adatokat. Amennyiben feltétlenül szükséges, hogy a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy egy uniós szerv rendelkezésére bocsátandó adatok személyes adatokat is tartalmazzanak, vagy amennyiben az anonimizálás lehetetlennek bizonyul, az adatokat kérő szervezetnek bizonyítania kell az adatkezelés feltétlen szükségességét, valamint konkrét és korlátozott céljait. Be kell tartani a személyes adatok védelmére alkalmazandó szabályokat. Az adatok rendelkezésre bocsátását és azt követő felhasználását az említett adatok által érintett egyének jogaira és érdekeire vonatkozó biztosítékoknak kell kísérniük. |
(73) |
A közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy uniós szervek számára egy rendkívüli igény alapján rendelkezésre bocsátott adatok csak azon célokra használhatók fel, amelyekre azokat kérték, kivéve, ha az adatokat rendelkezésre bocsátó adatbirtokos kifejezetten hozzájárult az adatok más célokra való felhasználásához. Az adatokat eltérő megállapodás hiányában törölni kell, amint azok már nem szükségesek a kérelemben megjelölt célokra, és az adatbirtokost erről tájékoztatni kell. Ez a rendelet az Unióban és a tagállamokban meglévő, hozzáférésre vonatkozó szabályrendszerekre épül, és az átláthatósági kötelezettségekkel összefüggésben nem módosítja a dokumentumokhoz való nyilvános hozzáférésre vonatkozó nemzeti jogot. Az adatokat törölni kell, amint azok már nem szükségesek az átláthatósági kötelezettségek teljesítéséhez. |
(74) |
A közszférabeli szervezeteknek, a Bizottságnak, az Európai Központi Banknak vagy az uniós szerveknek az adatbirtokosok által rendelkezésre bocsátott adatok további felhasználásakor tiszteletben kell tartaniuk mind a meglévő alkalmazandó uniós vagy nemzeti jogot, mind az adatbirtokosra vonatkozó szerződési kötelezettségeket. Tartózkodniuk kell olyan összekapcsolt termék vagy kapcsolódó szolgáltatás kifejlesztésétől vagy javításától, amely verseng az adatbirtokos összekapcsolt termékével vagy kapcsolódó szolgáltatásával, valamint attól, hogy az említett célokból megosszák az adatokat egy harmadik féllel. Hasonlóképpen, az adatbirtokosokat – kérésükre – nyilvános elismerésben kell részesíteniük, továbbá felelniük kell a kapott adatok biztonságának fenntartásáért. Amennyiben az adatbirtokos üzleti titkainak a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy az uniós szervek felé történő felfedésére feltétlenül szükség van azon cél eléréséhez, amelyre az adatokat kérték, az adatok felfedését megelőzően garantálni kell az ilyen felfedés bizalmas kezelését. |
(75) |
Amennyiben jelentős közérdek védelme a tét, mint például a szükséghelyzetekre való reagálás, az érintett közszférabeli szervezettől, a Bizottságtól, az Európai Központi Banktól vagy az érintett uniós szervtől nem várható el, hogy kompenzálja a vállalkozásokat a beszerzett adatokért. A szükséghelyzetek ritka események, és nem minden ilyen veszélyhelyzet teszi szükségessé a vállalkozások birtokában lévő adatok felhasználását. Ugyanakkor az adatok rendelkezésre bocsátására vonatkozó kötelezettség jelentős terhet jelenthet a mikrovállalkozások és a kisvállalkozások számára. Ezért lehetővé kell tenni számukra, hogy még szükséghelyzeti reagálással összefüggésben is igényt tarthassanak kompenzációra. Az adatbirtokosok üzleti tevékenységeit ezért valószínűleg nem érinti hátrányosan az, hogy a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy uniós szervek e rendelethez folyamodhatnak. Mivel azonban a rendkívüli igény esetei – eltérően a szükséghelyzetre való reagálás eseteitől – gyakrabban előfordulhatnak, az adatbirtokosok ilyen esetekben jogosultak kell, hogy legyenek észszerű kompenzációra, amely nem haladhatja meg a kérelem teljesítésével kapcsolatban felmerült technikai és szervezési költségeket, valamint az adatoknak a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv rendelkezésére bocsátása által megkövetelt észszerű árrést. A kompenzáció nem értelmezhető úgy, hogy magáért az adatért való kifizetést jelentene, vagy kötelező volna. Az adatbirtokosok nem tarthatnak igényt kompenzációra, amennyiben a nemzeti jog akadályát képezi annak, hogy a nemzeti statisztikai hivatalok vagy a statisztikák előállításáért felelős más nemzeti hatóságok az adatok rendelkezésre bocsátásáért kompenzációt nyújtsanak az adatbirtokosoknak. A közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az érintett uniós szerv számára lehetővé kell tenni, hogy megtámadja az adatbirtokos által kért kompenzáció mértékét olyan módon, hogy az üggyel az adatbirtokos letelepedése szerinti tagállam illetékes hatóságához fordul. |
(76) |
A közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv jogosult kell, hogy legyen az adatigénylés alapján megszerzett adatokat megosztani más szervezetekkel vagy személyekkel, amennyiben erre olyan tudományos kutatási vagy elemzési tevékenységek elvégzéséhez van szükség, amelyeket ő maga nem tud elvégezni, feltéve, hogy az említett tevékenységek összeegyeztethetők az adatigénylés céljával. Az ilyen adatmegosztásról kellő időben tájékoztatnia kell az adatbirtokost. Az ilyen adatok – ugyanilyen körülmények között – hivatalos statisztikák fejlesztése, előállítása és terjesztése céljából is megoszthatók a nemzeti statisztikai hivatalokkal és az Eurostattal. Az ilyen kutatási tevékenységeknek azonban összeegyeztethetőknek kell lenniük az adatigénylés céljával, és az adatbirtokost tájékoztatni kell az általa rendelkezésre bocsátott adatok további megosztásáról. Azon kutatást végző egyéneknek vagy kutatószervezeteknek, akikkel, illetve amelyekkel az említett adatok megoszthatók, vagy nonprofit alapon, vagy államilag elismert, közérdekű feladat összefüggésben kell eljárniuk. E rendelet alkalmazásában nem tekinthetők kutatószervezetnek azon szervezetek, amelyek felett üzleti vállalkozások jelentős befolyással rendelkeznek, lehetővé téve az ilyen vállalkozások számára, hogy ellenőrzést gyakoroljanak olyan strukturális helyzetek miatt, ami a kutatás eredményeihez való preferenciális hozzáférést eredményezhet. |
(77) |
Határokon átnyúló szükséghelyzet vagy más rendkívüli igény kezelése érdekében az adatigénylések a kérelmező közszférabeli szervezet tagállamától eltérő tagállambeli adatbirtokosokhoz is benyújthatók. Ilyen esetben a kérelmező közszférabeli szervezetnek értesítenie kell az adatbirtokos letelepedése szerinti tagállam illetékes hatóságát, hogy az megvizsgálhassa a kérelmet az e rendeletben megállapított kritériumok alapján. Ugyanez alkalmazandó azon kérelmekre, amelyeket a Bizottság, az Európai Központi Bank vagy egy uniós szerv nyújt be. Amennyiben személyes adatot igényelnek, a közszférabeli szervezetnek értesítenie kell a közszférabeli szervezet letelepedése szerinti tagállamban az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért felelős felügyeleti hatóságot. Az illetékes hatóság jogosult volna azt tanácsolni a közszférabeli szervezetnek, a Bizottságnak, az Európai Központi Banknak vagy az uniós szervnek, hogy működjön együtt az adatbirtokos letelepedése szerinti tagállam közszférabeli szervezeteivel annak szükségességével kapcsolatban, hogy az adatbirtokos számára minimális adminisztratív terhet biztosítsanak. Amennyiben az illetékes hatóságnak megalapozott ellenvetései vannak a kérelem e rendeletnek való megfelelése tekintetében, el kell utasítania a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv kérelmét, utóbbiaknak pedig figyelembe kell venniük az említett ellenvetéseket, mielőtt bármely további intézkedést tennének, ideértve a kérelem újbóli benyújtását is. |
(78) |
Az adatkezelési szolgáltatást – többek között a felhő- és peremszolgáltatásokat – igénybe vevő ügyfelek azon képessége, hogy a szolgáltatás minimális funkcionalitásának fenntartása mellett és a szolgáltatás leállásának elkerülése nélkül válthassanak az egyik adatkezelési szolgáltatásról egy másikra, vagy egyidejűleg több szolgáltató szolgáltatásait használhassák indokolatlan akadályok és adattovábbítási költségek nélkül, kulcsfontosságú feltétele annak, hogy olyan, versenyképesebb piac jöjjön létre, ahol az adatkezelési szolgáltatásokat nyújtó új szolgáltatók alacsonyabb belépési korlátokkal szembesülnek, továbbá annak, hogy további rezilienciát lehessen biztosítani az említett szolgáltatások felhasználói számára. A díjmentes ajánlatokkal élő ügyfeleknek is élvezniük kell a váltásra vonatkozó, e rendeletben meghatározott rendelkezések által biztosított előnyöket, annak érdekében, hogy az említett ajánlatok ne eredményezzék az ügyfelek szolgáltatóhoz kötöttségét. |
(79) |
Az (EU) 2018/1807 európai parlamenti és tanácsi rendelet (30) arra ösztönzi az adatkezelési szolgáltatókat, hogy dolgozzanak ki és hajtsanak végre olyan hatékony, önszabályozáson alapuló magatartási kódexeket, amelyek kiterjednek többek között az adatkezelési szolgáltatók közötti váltás és az adathordozás megkönnyítését szolgáló legjobb gyakorlatokra. Tekintettel a válaszul kidolgozott önszabályozási keretek korlátozott elterjedésére, valamint a nyílt szabványok és interfészek általános elérhetetlenségére, az adatkezelési szolgáltatókra vonatkozóan minimum szabályozási kötelezettségek sorát kell elfogadni az adatkezelési szolgáltatások közötti hatékony váltást hátráltató, a kereskedelmi hasznosítást megelőző, üzleti, technikai, szerződéses és szervezeti akadályok felszámolása érdekében, amelyek nem korlátozódnak csökkentett adatátviteli sebességre az ügyfél kilépésekor. |
(80) |
Az adatkezelési szolgáltatásoknak ki kell terjedniük azokra a szolgáltatásokra, amelyek mindenütt elérhető és lekérhető hálózati hozzáférést tesznek lehetővé elosztott számítástechnikai erőforrások konfigurálható, méretezhető és rugalmas közös tárához. Az említett számítástechnikai erőforrások olyan erőforrásokat foglalnak magukban, mint például hálózatok, szerverek vagy egyéb virtuális vagy fizikai infrastruktúrák, szoftverek, ideértve a szoftverfejlesztő eszközöket is, tárolás, alkalmazások és szolgáltatások. Az, hogy az adatkezelési szolgáltatást igénybe vevő ügyfél egyoldalúan, az adatkezelési szolgáltató emberi beavatkozása nélkül, önkiszolgáló módon vehet igénybe olyan számítástechnikai kapacitásokat, mint például a szerveridő vagy a hálózati tárhely, leírható úgy, mint ami minimális irányítási erőfeszítéssel, és minimális szolgáltató és fogyasztó közötti interakcióval jár. A „mindenütt elérhető” kifejezést annak leírására használják, hogy a számítástechnikai kapacitásokat a hálózaton keresztül biztosítják, és heterogén vékony- vagy vastagkliens-platformok (köztük böngészők, mobil eszközök és a munkaállomások) használatát elősegítő mechanizmusok révén teszik hozzáférhetővé. A „méretezhető” kifejezés olyan számítástechnikai erőforrásokra utal, amelyeket az adatkezelési szolgáltató – a kereslet ingadozásainak kezelése érdekében – rugalmasan allokál, függetlenül az erőforrások földrajzi elhelyezkedésétől. A „rugalmas ” kifejezés azon számítástechnikai erőforrások leírására szolgál, amelyeket az igényekhez igazítva biztosítanak és bocsátanak ki a rendelkezésre álló erőforrásoknak – a munkaterheléstől függően történő – gyors növelése vagy csökkentése érdekében. A „közös tár” kifejezés azon számítástechnikai erőforrások leírására szolgál, amelyeket több olyan felhasználónak biztosítanak, akiknek közös hozzáférése van a szolgáltatáshoz, de a kezelést minden felhasználó számára külön végzik, noha a szolgáltatást ugyanazon elektronikus berendezés nyújtja. Az „elosztott” kifejezés azon számítástechnikai erőforrások leírására szolgál, amelyek különböző, hálózatba kötött számítógépeken vagy eszközökön találhatók, és amelyek üzenetközvetítéssel kommunikálnak és koordinálnak egymás között. A „nagymértékben elosztott” kifejezés olyan adatkezelési szolgáltatások leírására szolgál, amelyek – például egy összekapcsolt adatkezelő eszközön keresztül – az adatok keletkezésének vagy gyűjtésének helyéhez közelebbi adatkezelést foglalnak magukban. A pereminformatika, amely az ilyen, nagymértékben elosztott adatkezelés egyik formája, várhatóan új üzleti modelleket és felhőszolgáltatási modelleket hoz létre, amelyeknek kezdettől fogva nyíltaknak és interoperábilisaknak kell lenniük. |
(81) |
Az „adatkezelési szolgáltatások” általános fogalma jelentős számú, különböző célok, funkcionalitások és technikai felépítések széles körét felölelő szolgáltatásra vonatkozik. A szolgáltatók és a felhasználók általános értelmezése szerint és a széles körben használt szabványokkal összhangban az adatkezelési szolgáltatások a következő három adatkezelési szolgáltatási modell legalább egyikébe besorolhatók, nevezetesen infrastruktúra mint szolgáltatás (Infrastructure as a Service, IaaS), platform mint szolgáltatás (Platform as a Service, PaaS) és szoftver mint szolgáltatás (Software as a Service, SaaS). Az említett szolgáltatási modellek az adatkezelési szolgáltató által kínált IKT-erőforrások meghatározott, előre összeállított kombinációját jelentik. E három alapvető adatkezelési szolgáltatásnyújtási modellt újonnan felmerülő változatok egészítik ki, amelyek mindegyike IKT-erőforrások olyan különálló kombinációjából áll, mint például tárolás mint szolgáltatás (Storage as a Service) és adatbázis mint szolgáltatás (Database as a Service). Az adatkezelési szolgáltatások részletesebb módon is kategorizálhatók, és az adatkezelési szolgáltatások nem kimerítően felsorolt olyan csoportjaiba sorolhatók be, amelyek azonos elsődleges célkitűzéssel és fő funkcionalitásokkal rendelkeznek, valamint azonos típusú adatkezelési modellel, amelyek nem kapcsolódnak a szolgáltatás operatív jellemzőihez (azonos szolgáltatástípus). Az azonos szolgáltatástípusba tartozó szolgáltatások rendelkezhetnek ugyanazon adatkezelési szolgáltatási modellel, azonban előfordulhat, hogy két adatbázisnak ugyanaz az elsődleges célja, de az adatkezelési modelljük, az elosztási modelljük, valamint a célzott használati eseteik mérlegelését követően a hasonló szolgáltatások pontosabban meghatározott alkategóriájába tartozhatnak. Az azonos szolgáltatástípusú szolgáltatások eltérő és versengő jellemzőkkel rendelkezhetnek, így például a teljesítmény, a biztonság, a reziliencia és a szolgáltatás minősége tekintetében. |
(82) |
Az ügyfélhez tartozó exportálható adatoknak a forrás adatkezelési szolgáltatótól való kinyerésének aláásása akadályozhatja a szolgáltatási funkcionalitások helyreállítását a cél adatkezelési szolgáltató infrastruktúrájában. Az ügyfél kilépési stratégiájának elősegítése, a szükségtelen és megterhelő feladatok elkerülése, valamint annak biztosítása érdekében, hogy az ügyfél ne veszítsen el egyetlen adatot sem a szolgáltatóváltási folyamat következtében, a forrás adatkezelési szolgáltatónak előzetesen tájékoztatnia kell az ügyfelet arról, hogy az adatok mely körét exportálhatja, ha az említett ügyfél úgy dönt, hogy egy eltérő adatkezelési szolgáltató által nyújtott eltérő szolgáltatásra vált, vagy helyszíni IKT-infrastruktúrára költözik. Az exportálható adatok körébe kell tartoznia legalább az adatkezelési szolgáltatás ügyfél általi igénybevétele révén közvetlenül vagy közvetve generált vagy együtt generált be- és kimeneti adatoknak, ideértve a metaadatokat is, kizárva az adatkezelési szolgáltató vagy harmadik fél minden eszközét vagy adatát. Az exportálható adatok közül ki kell zárni az adatkezelési szolgáltató vagy harmadik fél minden olyan eszközét vagy adatát, amelyet szellemitulajdon-jogok védenek, vagy amely az említett szolgáltató vagy az említett harmadik fél üzleti titkának minősül, vagy a szolgáltatás integritásával és biztonságával kapcsolatos olyan adatokat, amelyek exportálása az adatkezelési szolgáltatókat kiberbiztonsági sebezhetőségnek fogja kitenni. Az említett kivételek nem akadályozhatják vagy késleltethetik a szolgáltatóváltási folyamatot. |
(83) |
A digitális eszközök olyan digitális formátumú elemek, amelyek tekintetében az ügyfél felhasználási joggal rendelkezik, ideértve a beállítások konfigurációjával, a biztonsággal, valamint a hozzáférési és ellenőrzési jogok kezelésével kapcsolatos alkalmazásokat és metaadatokat, valamint egyéb elemeket, például a virtualizációs technológiák megnyilvánulásait, beleértve a virtuális gépeket és konténereket is. A digitális eszközök átvihetők, amennyiben az ügyfél használati joggal rendelkezik, függetlenül az azon adatkezelési szolgáltatásra vonatkozó szerződéses jogviszonytól, amelyről váltani kíván. Az említett egyéb elemek elengedhetetlenek az ügyfél adatainak és alkalmazásainak hatékony felhasználásához a cél adatkezelési szolgáltató környezetében. |
(84) |
E rendelet célja, hogy megkönnyítse az adatkezelési szolgáltatások közötti váltást, így magában foglalja azon feltételeket és intézkedéseket, amelyek ahhoz szükségesek, hogy az ügyfél megszüntethesse az adatkezelési szolgáltatásra vonatkozó szerződést, egy vagy több új szerződést köthessen eltérő adatkezelési szolgáltatókkal, exportálható adatait, valamint digitális eszközeit más szolgáltatókhoz vihesse át, és adott esetben élvezhesse a funkcionális egyenértékűség előnyeit. |
(85) |
A szolgáltatóváltás az ügyfél által irányított művelet, amely több lépésből áll, ideértve a következőket: adatkinyerés, amely az adatoknak a forrás adatkezelési szolgáltató ökoszisztémájából történő letöltésére utal; átalakítás, amennyiben az adatok szerkezete nem felel meg a célhely sémájának; és az adatok feltöltése egy új célhelyre. Az e rendeletben felvázolt konkrét helyzetben egy adott szolgáltatásnak a szerződésből való leválasztása és egy eltérő szolgáltatóhoz történő áthelyezése szintén szolgáltatóváltásnak tekintendő. A szolgáltatóváltási folyamatot néha harmadik félnek minősülő szervezet irányítja az ügyfél nevében. Ennek megfelelően az ügyfél e rendeletben megállapított valamennyi jogát és kötelezettségét – beleértve a jóhiszemű együttműködésre vonatkozó kötelezettséget is – úgy kell értelmezni, hogy az ilyen esetekben az említett, harmadik félnek minősülő szervezetre is alkalmazandó. Az adatkezelési szolgáltatók és az ügyfelek felelősségi szintje eltérő az említett folyamat lépéseitől függően. Például a forrás adatkezelési szolgáltató felelős az adatok géppel olvasható formátumban történő kinyeréséért, de az adatokat az ügyfélnek és a cél adatkezelési szolgáltatónak kell feltöltenie az új környezetbe, kivéve, ha konkrét professzionális továbbítási/átviteli szolgáltatást szereztek be. Az ügyfélnek, aki gyakorolni kívánja a szolgáltatóváltással kapcsolatos, e rendeletben biztosított jogokat, tájékoztatnia kell a forrás adatkezelési szolgáltatót arról a döntéséről, hogy vagy egy eltérő adatkezelési szolgáltatóra vált, helyszíni IKT-infrastruktúrára vált, vagy törli az említett ügyfél eszközeit, és törli exportálható adatait. |
(86) |
A funkcionális egyenértékűség azt jelenti, hogy a szolgáltatóváltást követően az ügyfél exportálható adatai és digitális eszközei alapján visszaállítják a szolgáltatás minimális szintű funkcionalitását az ugyanazon szolgáltatási típusú új adatkezelési szolgáltatás környezetében, amennyiben a cél adatkezelési szolgáltatás ugyanazon bemeneti műveletre adott válaszként lényegében összehasonlítható eredményt ad a szerződés alapján az ügyfélnek biztosított megosztott funkciók tekintetében. Az adatkezelési szolgáltatóktól csak az várható el, hogy segítsék elő a funkcionális egyenértékűséget azon funkciók tekintetében, amelyeket egymástól függetlenül kínálnak mind a forrás, mind a cél adatkezelési szolgáltatások. E rendelet nem támaszt kötelezettséget a funkcionális egyenértékűség elősegítésére az adatkezelési szolgáltatók számára, kivéve azokat, amelyek az IaaS szolgáltatásnyújtási modell szerinti szolgáltatásokat nyújtanak. |
(87) |
Az adatkezelési szolgáltatások összetettségüket és típusukat tekintve eltérőek, és e szolgáltatásokat különböző ágazatokban használják. Ez fontos szempont az adathordozási folyamat és az időkeretek tekintetében. Mindazonáltal csak kellően indokolt esetekben vethető fel az átmeneti időszak meghosszabbítása azon az alapon, hogy a szolgáltatóváltási folyamat adott időkereten belüli véglegesítése műszakilag kivitelezhetetlen. E tekintetben a bizonyítási tehernek teljes mértékben az érintett adatkezelési szolgáltatóra kell hárulnia. Ez nem érinti az ügyfél kizárólagos jogát arra, hogy az átmeneti időszakot egyszer meghosszabbítsa egy olyan időszakra, amelyet az ügyfél a saját céljaira megfelelőbbnek ítél. Az ügyfél a meghosszabbításra vonatkozó említett jogára az átmeneti időszak előtt vagy alatt hivatkozhat, figyelembe véve, hogy a szerződés az átmeneti időszak alatt továbbra is alkalmazandó marad. |
(88) |
A szolgáltatóváltási díjak az adatkezelési szolgáltatók által a szolgáltatóváltási folyamat tekintetében az ügyfeleknek felszámított díjak. Az említett díjak jellemzően arra irányulnak, hogy áthárítsák a költségeket – amelyek a forrás adatkezelési szolgáltatónál a szolgáltatóváltási folyamat miatt felmerülhetnek – a szolgáltatót váltani kívánó ügyfélre. A szolgáltatóváltási díjakra gyakori példák az adatoknak az egyik adatkezelési szolgáltatótól egy másikhoz vagy egy helyszíni IKT-infrastruktúrába történő továbbításával kapcsolatos költségek (kimenő adattovábbítási díjak), vagy a szolgáltatóváltási folyamat során a konkrét támogatási intézkedésekkel kapcsolatban felmerült költségek. A szükségtelenül magas kimenő adattovábbítási díjak és más, a szolgáltatóváltáshoz ténylegesen nem kapcsolódó indokolatlan költségek eltántorítják az ügyfeleket a szolgáltatóváltástól, korlátozzák a szabad adatáramlást, korlátozhatják a versenyt, és az adatkezelési szolgáltatások ügyfelei számára lock-in hatást okozhatnak azáltal, hogy csökkentik a más vagy további szolgáltató választására irányuló ösztönzést. Ezért e rendelet hatálybalépésének napjától számított három év után el kell törölni a szolgáltatóváltási díjakat. Az adatkezelési szolgáltatók számára lehetővé kell tenni, hogy az említett időpontig csökkentett szolgáltatóváltási díjakat számoljanak fel. |
(89) |
A forrás adatkezelési szolgáltató számára lehetővé kell tenni, hogy az e rendelet szerinti kötelezettségek teljesítése érdekében kiszervezzen bizonyos feladatokat, és kompenzációt nyújtson harmadik félnek minősülő szervezetek számára. Nem az ügyfélnek kell viselnie azokat a költségeket, amelyek a szolgáltatóváltási folyamat során a forrás adatkezelési szolgáltató által nyújtott szolgáltatások kiszervezéséből eredő költségek, és az ilyen költségeket indokolatlannak kell tekinteni, kivéve, ha az adatkezelési szolgáltató által az ügyfélnek a szolgáltatóváltási folyamat során kiegészítő támogatás iránti kérésére vállalt olyan munkát fedezik, amely túlmutat a szolgáltatónak e rendeletben kifejezetten előírt, a szolgáltatóváltással kapcsolatos kötelezettségein. E rendelet egyetlen rendelkezése sem akadályozza meg az ügyfelet abban, hogy kompenzációt nyújtson harmadik félnek minősülő szervezeteknek a migrációs folyamathoz nyújtott támogatásért, vagy nem akadályozza a feleket abban, hogy az uniós vagy a nemzeti joggal összhangban határozott időtartamra szóló, adatkezelési szolgáltatásokra vonatkozó szerződésekről állapodjanak meg, ideértve az ilyen szerződések idő előtti megszüntetése esetén alkalmazandó arányos szankciókat is. A piaci verseny előmozdítása érdekében a különböző adatkezelési szolgáltatók közötti váltással kapcsolatos díjak fokozatos visszavonásának kifejezetten magában kell foglalnia az adatkezelési szolgáltató által az ügyfélre rótt kimenő adattovábbítási díjakat. Az adatkezelési szolgáltatások nyújtásáért járó standard szolgáltatási díjak maguk nem szolgáltatóváltási díjak. Az említett standard szolgáltatási díjak nem kerülnek visszavonásra, és mindaddig alkalmazandók, amíg a releváns szolgáltatások nyújtására vonatkozó szerződés hatályát nem veszti. Ez a rendelet lehetővé teszi az ügyfél számára, hogy olyan további szolgáltatások nyújtását kérje, amelyek túlmutatnak a szolgáltató e rendelet szerinti, a szolgáltatóváltással kapcsolatos kötelezettségein. Az említett további szolgáltatásokat a szolgáltató akkor nyújthatja és számíthatja fel, ha azokat az ügyfél kérésére teljesíti, és az ügyfél előre elfogadja e szolgáltatások árát. |
(90) |
Az interoperabilitás ambiciózus és innovációorientált szabályozási megközelítésére van szükség ahhoz, hogy le lehessen küzdeni a vevőfogvatartást, ami aláássa a versenyt és új szolgáltatások fejlesztését. Az adatkezelési szolgáltatások közötti interoperabilitással többféle interfész, valamint infrastruktúra- és szoftverréteg jár, és ritkán korlátozódik olyan bináris mérlegelésre, hogy az megvalósítható-e vagy sem. Ehelyett, az ilyen interoperabilitás kiépítése költség-haszon elemzés tárgyát képezi, amely szükséges annak megállapításához, hogy érdemes-e észszerűen kiszámítható eredményekre törekedni. Az ISO/IEC 19941:2017 fontos nemzetközi szabvány, amely referenciának minősül e rendelet célkitűzéseinek elérése szempontjából, mivel olyan technikai megfontolásokat tartalmaz, amelyek tisztázzák az ilyen folyamat komplexitását. |
(91) |
Amennyiben viszont az adatkezelési szolgáltatók egy harmadik fél szolgáltató által nyújtott adatkezelési szolgáltatások ügyfelei, maguk is részesülni fognak a hatékonyabb szolgáltatóváltás kínálta előnyökből, miközben ezzel egyidejűleg az e rendeletben előírt, saját szolgáltatási ajánlataikra vonatkozó kötelezettségek továbbra is kötik őket. |
(92) |
Az adatkezelési szolgáltatók számára elő kell írni, hogy kapacitásaiknak megfelelően és kötelezettségeikkel arányos módon adjanak meg minden ahhoz szükséges segítséget és támogatást, hogy egy eltérő adatkezelési szolgáltató szolgáltatására való szolgáltatóváltási folyamat sikeres, hatékony és biztonságos legyen. Ez a rendelet nem írja elő az adatkezelési szolgáltatók számára, hogy új adatkezelési szolgáltatási kategóriákat fejlesszenek ki többek között az eltérő adatkezelési szolgáltatók IKT-infrastruktúráján belül vagy annak alapján annak érdekében, hogy a saját rendszereiktől eltérő környezetben garantálják a funkcionális egyenértékűséget. A forrás adatkezelési szolgáltató nem rendelkezik hozzáféréssel vagy betekintéssel a fél adatkezelési szolgáltató környezetébe. A funkcionális egyenértékűség nem értelmezhető úgy, hogy arra kötelezi a szolgáltatót, hogy rekonstruálja a szóban forgó szolgáltatást a cél adatkezelési szolgáltató infrastruktúráján belül. Ehelyett a forrás adatkezelési szolgáltatónak a hatáskörén belül minden észszerű intézkedést meg kell hoznia, hogy – képességeket, megfelelő tájékoztatást, dokumentációt, technikai támogatást és adott esetben a szükséges eszközöket biztosítva – megkönnyítse a funkcionális egyenértékűség elérését. |
(93) |
Az adatkezelési szolgáltatók számára elő kell írni azt is, hogy felszámolják a meglévő akadályokat, és ne támasszanak újakat, többek között azon ügyfelek számára, akik egy helyszíni IKT-infrastruktúrára kívánnak váltani. Az akadályok többek között a kereskedelmi hasznosítást megelőző, kereskedelmi, technikai, szerződéses vagy szervezési jellegűek lehetnek. Az adatkezelési szolgáltatókat kötelezni kell arra is, hogy számolják fel azon akadályokat, amelyek gátolják egy adott egyedi szolgáltatásnak a szerződés alapján nyújtott egyéb adatkezelési szolgáltatásoktól való szétválasztását, és tegyék lehetővé a releváns szolgáltatás tekintetében a váltást, amennyiben nincsenek olyan jelentős és bizonyított technikai akadályok, amelyek megakadályozzák az ilyen szétválasztást. |
(94) |
A szolgáltatóváltási folyamat alatt fenn kell tartani a biztonság magas szintjét. Ezt azt jelenti, hogy a forrás adatkezelési szolgáltatónak a szolgáltatás tekintetében vállalt biztonsági szintet ki kell terjesztenie minden olyan technikai intézkedésre, amelyért az ilyen szolgáltató a szolgáltatóváltási folyamat alatt felelős, így például a hálózati kapcsolatokra vagy a fizikai eszközökre. Mindez nem érintheti a szerződések megszüntetésével kapcsolatos meglévő jogokat, ideértve az (EU) 2016/679 rendelettel és az (EU) 2019/770 európai parlamenti és tanácsi irányelvvel (31) bevezetett jogokat. E rendelet nem értelmezhető úgy, mint amely megakadályoz egy adatkezelési szolgáltatót abban, hogy az ügyfeleknek új és továbbfejlesztett szolgáltatásokat, jellemzőket és funkcionalitásokat nyújtson, vagy hogy ezen az alapon más adatkezelési szolgáltatókkal versenyezzen. |
(95) |
Az adatkezelési szolgáltatók által az ügyfél rendelkezésére bocsátandó tájékoztatás segítheti az ügyfél kilépési stratégiáját. Ennek magában kell foglalnia a következőket: tájékoztatás az adatkezelési szolgáltatásról való váltás kezdeményezését célzó eljárásokról; azon géppel olvasható adatformátumok, amelyekbe az ügyfél adatai exportálhatók; az adatok exportálására szánt eszközök, ideértve a nyílt interfészeket is; továbbá tájékoztatás a harmonizált szabványokkal vagy a nyílt interoperabilitási előírásokon alapuló közös előírásokkal való kompatibilitásról; tájékoztatás az olyan ismert műszaki korlátokról és korlátozásokról, amelyek hatással lehetnek a szolgáltatóváltási folyamatra; a szolgáltatóváltási folyamat befejezéséhez szükséges, becsült idő. |
(96) |
Az interoperabilitás és az adatkezelési szolgáltatások közötti váltás megkönnyítése érdekében, az adatkezelési szolgáltatások felhasználóinak és szolgáltatóinak meg kell fontolniuk végrehajtási és megfelelési eszközök alkalmazását, különös tekintettel a Bizottság által egy uniós felhőszabálykönyv és az adatfeldolgozási szolgáltatások közbeszerzéséről szóló iránymutatás formájában közzétett eszközökre. Így különösen, az általános szerződési feltételek előnyösek, mert növelik az adatkezelési szolgáltatásokba vetett bizalmat, kiegyensúlyozottabb kapcsolatot teremtenek a felhasználók és az adatkezelési szolgáltatók között, és javítják a jogbiztonságot a más adatkezelési szolgáltatásra való váltásra alkalmazandó feltételek tekintetében. Ezzel összefüggésben az adatkezelési szolgáltatások felhasználóinak és szolgáltatóinak meg kell fontolniuk az uniós jog alapján létrehozott releváns szervek vagy szakértői csoportok által kidolgozott általános szerződési feltételek vagy más, önszabályozáson alapuló megfelelési eszközök alkalmazását, feltéve, hogy azok teljes mértékben megfelelnek e rendeletnek. |
(97) |
Az adatkezelési szolgáltatások közötti váltás megkönnyítése érdekében valamennyi érintett félnek, ideértve a forrás és a cél adatkezelési szolgáltatókat egyaránt, jóhiszeműen együtt kell működnie, hogy eredményessé tegyék a szolgáltatóváltási folyamatot, lehetővé tegyék a szükséges adatok – széles körben használt, géppel olvasható formátumban és nyílt szabványú adathordozhatósági interfészen keresztül történő – biztonságos és időben történő továbbítását, miközben elkerülik a szolgáltatás zavarait, és fenntartják a szolgáltatás folyamatosságát. |
(98) |
Azon adatkezelési szolgáltatásokat, amelyek fő funkcióinak túlnyomó részét egy adott ügyfél konkrét igényeinek megfelelően, személyre szabottan alakították ki, vagy amelyeknek valamennyi komponensét egy adott ügyfél céljaira fejlesztették ki, mentesíteni kell a szolgáltatóváltás tekintetében megállapított egyes kötelezettségek alól. Ez nem vonatkozik azon szolgáltatásokra, amelyeket a szolgáltató kereskedelmi méretekben kínál a szolgáltatási katalógusában. Az adatkezelési szolgáltató kötelezettségei közé tartozik, hogy – a szerződés megkötése előtt – megfelelően tájékoztassa az ilyen szolgáltatások leendő ügyfeleit az e rendeletben meghatározott azon kötelezettségekről, amelyek nem alkalmazandók a releváns szolgáltatásokra. Az adatkezelési szolgáltatót semmi nem akadályozza abban, hogy akár kereskedelmi mértékben kínáljon ilyen szolgáltatásokat, amely esetben a szolgáltatónak meg kell felelnie a szolgáltatóváltásra vonatkozó valamennyi, e rendeletben megállapított kötelezettségnek. |
(99) |
Az adatkezelési szolgáltatók közötti váltást lehetővé tevő minimumkövetelménnyel összhangban e rendelet célja továbbá, hogy javítsa az interoperabilitást a több, egymást kiegészítő funkcionalitásokkal rendelkező adatkezelési szolgáltatás párhuzamos használata tekintetében. Ez olyan helyzetekre vonatkozik, amelyekben az ügyfelek nem szüntetik meg a szerződést, hogy eltérő adatkezelési szolgáltatóra váltsanak, ahol azonban különböző szolgáltatók több szolgáltatását veszik igénybe párhuzamosan, interoperábilis módon, hogy kihasználhassák a különböző szolgáltatások egymást kiegészítő funkcionalitásait az ügyfél rendszerének kiépítése során. Azonban elismert tény, hogy az adatoknak az egyik adatkezelési szolgáltatótól egy másikhoz történő, a szolgáltatások párhuzamos igénybevételének megkönnyítését célzó kimenő továbbítása folyamatos tevékenység is lehet, szemben a szolgáltatóváltási folyamat részeként előírt egyszeri kimenő továbbítással. Ezért továbbra is lehetővé kell tenni az adatkezelési szolgáltatók számára, hogy – a felmerült költségeket meg nem haladó mértékben – kimenő adattovábbítási díjakat számoljanak fel párhuzamos felhasználás céljából e rendelet hatálybalépésének napjától számított három évet követően. Ez többek között az olyan, „többfelhős” stratégiák sikeres bevezetése szempontjából is fontos, amelyek lehetővé teszik az ügyfelek számára időtálló IKT-stratégiák alkalmazását, és amelyek csökkentik az egyes adatkezelési szolgáltatóktól való függőséget. Az adatkezelési szolgáltatásokat igénybe vevő ügyfelek számára a többfelhős megközelítés elősegítése hozzájárulhat digitális működési rezilienciájuk növeléséhez is, amint azt az (EU) 2022/2554 európai parlamenti és a tanácsi rendelet (32) a pénzügyi intézmények esetében elismeri. |
(100) |
Az 1025/2012/EU európai parlamenti és tanácsi rendelet (33) II. mellékletével összhangban az interoperabilitás és a hordozhatóság területén kidolgozott nyílt interoperabilitási előírások és szabványok várhatóan több szolgáltatóra épülő felhőkörnyezetet tesznek lehetővé, ami az európai adatgazdaság nyílt innovációjának egyik alapkövetelménye. Mivel a számításifelhő-szabványosítás összehangolására (CSC) irányuló, 2016-ban lezárt kezdeményezés keretében azonosított szabványok piaci elfogadása korlátozott volt, szükséges az is, hogy a Bizottság a releváns nyílt interoperabilitási előírások kidolgozása érdekében piaci szereplőkre támaszkodik, hogy lépést tartson a technológiai fejlődés gyors ütemével ebben az iparágban. Az ilyen nyílt interoperabilitási előírásokat a Bizottság azután közös előírások formájában fogadhatja el. Emellett, ahol nem nyert bizonyítást, hogy a piacvezérelt folyamatok képesek lennének olyan közös előírásokat vagy szabványokat létrehozni, amelyek elősegítik a felhőszolgáltatások tényleges interoperabilitását a PaaS és SaaS szintjén, a Bizottság számára lehetővé kell tenni, hogy e rendelet alapján és az 1025/2012/EU rendelettel összhangban felkérje az európai szabványügyi testületeket egyedi szolgáltatástípusokra vonatkozó ilyen szabványok kidolgozására, amennyiben ilyen szabványok még nem léteznek. Emellett a Bizottság ösztönözni fogja a piacon lévő feleket, hogy dolgozzanak ki releváns nyílt interoperabilitási előírásokat. A Bizottság számára lehetővé kell tenni, hogy – az érdekelt felekkel folytatott konzultációt követően – végrehajtási jogi aktusok útján, az adatkezelési szolgáltatások interoperabilitását szolgáló központi uniós szabványtárban megjelentetett hivatkozás révén felhatalmazzon a harmonizált interoperabilitási szabványok vagy az egyedi szolgáltatástípusokra vonatkozó közös előírások használatára. Az adatkezelési szolgáltatóknak biztosítaniuk kell az említett harmonizált szabványokkal és nyílt interoperabilitási előírásokon alapuló közös előírásokkal való kompatibilitást, aminek nem lehet hátrányos hatása az adatok biztonságára és integritására. Az adatkezelési szolgáltatások interoperabilitására vonatkozó harmonizált szabványokra és a nyílt interoperabilitási előírásokon alapuló közös előírásokra csak akkor lehet hivatkozni, ha azok megfelelnek az e rendeletben meghatározott kritériumoknak, amelyeknek ugyanaz a jelentésük, mint az 1025/2012/EU rendelet II. mellékletében foglalt követelményeknek és az ISO/IEC 19941:2017 nemzetközi szabvány alapján meghatározott interoperabilitási felületeknek. Emellett a szabványosítás során figyelembe kell venni a kkv-k igényeit. |
(101) |
Harmadik országok elfogadhatnak olyan törvényeket, rendeleteket és egyéb jogi aktusokat, amelyek célja a határaikon kívül – többek között az Unióban – található nem személyes adatok közvetlen továbbítása vagy az azokhoz való kormányzati hozzáférés biztosítása. A harmadik országok bíróságai és igazságszolgáltatási fórumai által hozott olyan ítéleteket, valamint egyéb igazságügyi vagy közigazgatási – köztük bűnüldöző – hatóságai által hozott olyan határozatokat, amelyek a nem személyes adatok tekintetében ilyen továbbítást vagy hozzáférést írnak elő, akkor lehet végrehajtani, ha azok az adatokat igénylő harmadik ország és az Unió vagy valamely tagállama között létrejött hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyről szóló megállapodáson alapulnak. Egyéb esetekben olyan helyzetek merülhetnek fel, ahol a nem személyes adatok tekintetében továbbításra vagy hozzáférésre irányuló, harmadik ország jogán alapuló kérelem ütközik az ilyen adatok védelmére vonatkozó, az uniós jog vagy a releváns tagállam nemzeti joga szerinti kötelezettséggel, különösen az egyén alapvető jogainak, így például a biztonsághoz és a hatékony jogorvoslathoz való jognak a védelme, vagy valamely tagállam nemzetbiztonsággal vagy védelemmel kapcsolatos alapvető érdekeinek védelme, továbbá az üzleti szempontból érzékeny adatok, köztük az üzleti titkok védelme, valamint a szellemi tulajdonjogok – többek között az ilyen jognak megfelelő, a titoktartásra vonatkozó szerződéses vállalások – védelme tekintetében. Az ilyen ügyeket szabályozó nemzetközi megállapodások hiányában a nem személyes adatok továbbítása vagy az azokhoz való hozzáférés csak akkor megengedett, ha bizonyítást nyer, hogy a harmadik ország jogrendszere megköveteli a határozat indokainak és arányosságának meghatározását, a bírósági végzés vagy a határozat konkrét jellegét, és azt, hogy a címzett indokolt kifogását olyan illetékes harmadik országbeli bíróság vagy igazságszolgáltatási fórum vizsgálja felül, amely hatáskörrel rendelkezik arra, hogy kellően figyelembe vegye az ilyen adatok szolgáltatójának releváns jogi érdekeit. Amennyiben a harmadik ország hatóságának adathozzáférési kérelme alapján lehetséges, az adatkezelési szolgáltató számára lehetővé kell tenni, hogy az említett adatokhoz való hozzáférés biztosítása előtt tájékoztassa azt az ügyfelet, akinek az adatait igénylik, annak ellenőrzése érdekében, hogy az ilyen hozzáférés esetlegesen ütközik-e az uniós vagy nemzeti joggal, így például az üzleti szempontból érzékeny adatok védelmére vonatkozóval, ideértve az üzleti titkok és a szellemi tulajdonjogok védelmét, valamint a titoktartásra vonatkozó szerződéses vállalásokat. |
(102) |
Az adatokba vetett bizalom további erősítése érdekében fontos, hogy az uniós polgároknak, a közszférabeli szervezeteknek és a vállalkozásoknak a saját adataik feletti rendelkezését biztosító biztosítékok a lehető legnagyobb mértékben végrehajtásra kerülnek. Emellett tiszteletben kell tartani az uniós jogot, értékeket és standardokat, többek között a biztonság, a személyes adatok védelme és a magánélet védelme, valamint a fogyasztóvédelem tekintetében. Annak érdekében, hogy megelőzzék a harmadik országbeli hatóságok általi, jogellenes kormányzati hozzáférést nem személyes adatokhoz, az ezen rendelet hatálya alá tartozó adatkezelési szolgáltatásokat – így például a felhő- és peremszolgáltatásokat – nyújtó szolgáltatóknak minden észszerű intézkedést meg kell tenniük annak érdekében, hogy megakadályozzák a nem személyes adatokat tároló rendszerekhez való hozzáférést, többek között – adott esetben – az adatok titkosítása, gyakori ellenőrzések, a biztonságot szavatoló releváns tanúsítási rendszerek ellenőrzött betartása és a vállalati politikák módosítása révén. |
(103) |
A szabványosításnak és a szemantikus interoperabilitásnak kulcsszerepet kell játszania olyan technikai megoldások nyújtásában, amelyek biztosítják az interoperabilitást az olyan közös európai adattereken belül és azok között, amelyek közös szabványokra és gyakorlatokra vonatkozó cél- vagy ágazatspecifikus vagy ágazatközi, interoperábilis kereteket képeznek adatok megosztásához vagy közös kezeléséhez, többek között új termékek és szolgáltatások kifejlesztése, tudományos kutatás vagy civil társadalmi kezdeményezések céljából. E rendelet megállapít bizonyos alapvető követelményeket az interoperabilitásra vonatkozóan. Az olyan adatterekben résztvevők, amelyek adatokat vagy adatszolgáltatásokat kínálnak más résztvevők számára – amelyek a közös európai adattereken belüli adatmegosztást elősegítő vagy abban részt vevő szervezetek, ideértve az adatbirtokosokat is – az ellenőrzésük alá tartozó elemek tekintetében meg kell felelniük az említett követelményeknek. Az említett szabályoknak való megfelelés biztosítható az e rendeletben megállapított alapvető követelmények betartása révén, vagy vélelmezhető a harmonizált szabványoknak és közös előírásoknak való megfelelés révén, a megfelelőség vélelmezése útján. Az interoperabilitási követelményeknek való megfelelés megkönnyítése érdekében rendelkezni kell az olyan interoperabilitási megoldások megfelelőségének vélelméről, amelyek megfelelnek a harmonizált szabványoknak vagy azok részeinek, az említett vélelmeket előíró szabványok kidolgozásának alapértelmezett keretét jelentő 1025/2012/EU rendelettel összhangban. A Bizottságnak fel kell mérnie az interoperabilitás korlátait, és rangsorolnia kell a szabványosítási igényeket, amelyek alapján az 1025/2012/EU rendelet értelmében felkérhet egy vagy több európai szabványügyi szervezetet olyan harmonizált szabványok kidolgozására, amelyek kielégítik az e rendeletben megállapított alapvető követelményeket. Amennyiben az ilyen felkérések nem eredményeznek harmonizált szabványokat, vagy az ilyen harmonizált szabványok nem elégségesek az e rendeletben foglalt alapvető követelményeknek való megfelelés biztosításához, a Bizottság számára lehetővé kell tenni, hogy közös előírásokat fogadjon el az említett területeken, feltéve, hogy ennek során megfelelően tiszteletben tartja a szabványügyi szervezetek szerepét és funkcióit. Közös előírást csak kivételes tartalékmegoldásként kell elfogadni, hogy elősegítse az e rendeletben foglalt alapvető követelményeknek való megfelelést, vagy amennyiben a szabványosítási folyamatot blokkolják, vagy amennyiben a megfelelő harmonizált szabványok megállapítása késedelmet szenved. Amennyiben a késedelem a szóban forgó szabvány műszaki összetettségének tudható be, a Bizottságnak ezt figyelembe kell vennie, mielőtt fontolóra venné közös előírások kidolgozását. A közös előírásokat nyílt és inkluzív módon kell kidolgozni, és azoknak adott esetben figyelembe kell venniük az (EU) 2022/868 rendelettel létrehozott Európai Adatinnovációs Testület (EDIB) tanácsát. Ezen túlmenően – az uniós vagy nemzeti joggal összhangban – közös előírásokat lehet elfogadni a különböző ágazatokban, az említett ágazatok sajátos igényei alapján. Továbbá, lehetővé kell tenni a Bizottság számára, hogy megbízást adjon az adatkezelési szolgáltatások interoperabilitására vonatkozó harmonizált szabványok kidolgozására. |
(104) |
Az adatmegosztási megállapodások automatizált végrehajtását szolgáló eszközök interoperabilitásának előmozdítása érdekében meg kell állapítani az olyan intelligens szerződésekre vonatkozó alapvető követelményeket, amelyeket szakemberek hoznak létre mások számára vagy integrálnak olyan alkalmazásokba, amelyek adatmegosztást szolgáló megállapodások végrehajtását támogatják. Annak megkönnyítése érdekében, hogy az ilyen intelligens szerződések megfeleljenek az említett alapvető követelményeknek, szükséges megalapítani az olyan intelligens szerződések megfelelőségének vélelmét, amelyek megfelelnek a harmonizált szabványoknak vagy azok részeinek az 1025/2012/EU rendelettel összhangban. Az „intelligens szerződés” e rendeletben szereplő fogalma technológiai szempontból semleges. Az intelligens szerződések összekapcsolhatók például egy elektronikus főkönyvvel. Az alapvető követelmények csak az intelligens szerződések értékesítőire alkalmazandók, kivéve azt az esetet, amikor az intelligens szerződéseket a vállalkozáson belül, kizárólag belső használatra dolgozzák ki. Az annak biztosítására vonatkozó alapvető követelmény, hogy az intelligens szerződéseket meg lehessen szakítani és szüntetni, az adatmegosztási megállapodás feleinek kölcsönös egyetértését feltételezi. A polgári, a szerződéses és a fogyasztóvédelmi jog vonatkozó szabályainak adatmegosztási megállapodásokra való alkalmazhatóságát az ilyen megállapodások automatizált végrehajtására vonatkozó intelligens szerződések alkalmazása nem érinti, vagy nem érintheti. |
(105) |
Az e rendeletben foglalt alapvető követelmények teljesítésének bizonyítása érdekében az intelligens szerződés értékesítőjének, vagy ennek hiányában azon személynek, akinek a kereskedelmi, üzleti vagy szakmai tevékenysége magában foglalja azt, hogy intelligens szerződéseket köt mások számára az adatok e rendelettel összefüggésben történő rendelkezésre bocsátására vonatkozó megállapodás vagy annak egy része végrehajtásával összefüggésben, megfelelőség-értékelést kell végeznie és EU-megfelelőségi nyilatkozatot kell kiállítania. Az ilyen megfelelőségértékelésre a 765/2008/EK európai parlamenti és tanácsi rendeletben (34), valamint a 768/2008/EK európai parlamenti és tanácsi határozatban (35) meghatározott általános elvek kell, hogy vonatkozzanak. |
(106) |
Amellett, hogy az intelligens szerződések professzionális fejlesztői kötelesek megfelelni az alapvető követelményeknek, szintén fontos ösztönözni az adatterek azon résztvevőit, amelyek a közös európai adattereken belül és azok között adatokat vagy adatalapú szolgáltatásokat kínálnak más résztvevőknek, hogy támogassák az adatmegosztási eszközök, többek között az intelligens szerződések interoperabilitását. |
(107) |
E rendelet hatékony alkalmazásának és érvényesítésének biztosítása érdekében a tagállamoknak ki kell jelölniük egy vagy több illetékes hatóságot. Ha egy tagállam több illetékes hatóságot is kijelöl, ki kell jelölnie közülük egy adatkoordinátort. Az illetékes hatóságoknak együtt kell működniük egymással. Vizsgálati jogköreiknek az alkalmazandó nemzeti eljárásokkal összhangban történő gyakorlásán keresztül az illetékes hatóságok számára lehetővé kell tenni, hogy különösen a hatáskörükbe tartozó szervezetek tevékenységeivel kapcsolatban – többek között közös vizsgálatok keretében – információkat kérdezzenek le és szerezzenek be, kellően figyelembe véve azon tényt, hogy egy másik tagállam joghatósága alá tartozó szervezettel kapcsolatos felügyeleti és végrehajtási intézkedéseket e másik tagállam illetékes hatóságának kell elfogadnia, adott esetben a határokon átnyúló együttműködésre vonatkozó eljárásokkal összhangban. Az illetékes hatóságoknak időben kell egymásnak segítséget nyújtaniuk, különösen akkor, ha egy tagállam illetékes hatósága releváns információkkal rendelkezik egy másik tagállam illetékes hatóságai által folytatott vizsgálathoz, vagy olyan információkat tud gyűjteni, amelyekhez a szervezet letelepedésének helye szerinti tagállam illetékes hatóságai nem férnek hozzá. Az illetékes hatóságokat és adatkoordinátorokat fel kell tüntetni a Bizottság által vezetett nyilvános nyilvántartásban. Az adatkoordinátor további eszközt jelenthet az együttműködés megkönnyítésére a határokon átnyúló helyzetekben, így például amikor egy adott tagállam illetékes hatósága nincs tisztában azzal, hogy melyik hatósághoz kell fordulnia az adatkoordinátor tagállamában, például, amikor az ügy egynél több illetékes hatóságot vagy ágazatot érint. Az adatkoordinátornak – többek között – be kell töltenie az egyedüli kapcsolattartó pont szerepét az e rendelet alkalmazásával kapcsolatos valamennyi kérdésben. Amennyiben nem jelöltek ki adatkoordinátort, az illetékes hatóságnak kell ellátnia az e rendelet értelmében az adatkoordinátorra ruházott feladatokat. Az adatvédelmi jognak való megfelelés felügyeletéért felelős hatóságoknak és az uniós vagy nemzeti jog alapján kijelölt illetékes hatóságoknak felelősek e rendelet alkalmazásáért a hatáskörükön belül. Az összeférhetetlenség elkerülése érdekében azon illetékes hatóságok, amelyek e rendelet alkalmazásáért és érvényesítéséért felelnek adatoknak egy rendkívüli igényen alapuló kérelem alapján történő rendelkezésre bocsátása terén, nem élhetnek az ilyen kérelem benyújtásához való joggal. |
(108) |
Az e rendelet szerinti jogaik érvényesítése érdekében a természetes és jogi személyeknek jogosultaknak kell lenniük arra, hogy az e rendelet szerinti jogaik megsértése esetén panasz benyújtása révén jogorvoslattal éljenek. Az adatkoordinátornak kérésre minden szükséges információt a természetes és a jogi személyek rendelkezésére kell bocsátania ahhoz, hogy a megfelelő illetékes hatóságnál panasszal élhessenek. Az említett hatóságokat kötelezni kell az együttműködésre annak biztosítására, hogy a panaszt megfelelően kezeljék, valamint hatékonyan és kellő időben megoldják. A fogyasztóvédelmi együttműködési hálózat kínálta mechanizmus igénybevétele és a képviseleti keresetek lehetővé tétele érdekében ez a rendelet módosítja az (EU) 2017/2394 európai parlamenti és tanácsi rendelet (36) és az (EU) 2020/1828 európai parlamenti és tanácsi irányelv (37) mellékleteit. |
(109) |
Az illetékes hatóságoknak biztosítaniuk kell, hogy az e rendeletben meghatározott kötelezettségek megsértése szankciókat vonjon maga után. Ilyen szankciók lehetnek többek között pénzbírságok, figyelmeztetések, megrovások vagy üzleti gyakorlatoknak az e rendelet által előírt kötelezettségeknek való megfeleltetésének elrendelése. A tagállamok által megállapított szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük, és figyelembe kell venniük az Európai Adatinnovációs Testület ajánlásait, ezzel hozzájárulva a következetesség lehető legmagasabb szintje eléréséhez a szankciók megállapítása és alkalmazása terén. Adott esetben az illetékes hatóságoknak ideiglenes intézkedéseket kell alkalmazniuk, hogy korlátozzák egy állítólagos jogsértés hatásait, mialatt az említett jogsértés kivizsgálása folyamatban van. Ennek során tekintetbe kell venniük többek között a jogsértés jellegét, súlyosságát, nagyságrendjét és időtartamát, figyelemmel a kockán forgó közérdekre, a végzett tevékenységek körére és fajtájára, valamint a jogsértő fél gazdasági kapacitására. Azt is figyelembe kell venniük, hogy a jogsértő fél az e rendeletből eredő kötelezettségeit rendszeresen vagy ismétlődően mulasztja-e el. A non bis in idem elv tiszteletben tartása biztosításának érdekében és különösen annak elkerülése érdekében, hogy az e rendeletben megállapított kötelezettségek ugyanazon megsértését egynél többször is szankcionálják, valamely tagállamnak, amely gyakorolni kívánja hatáskörét egy olyan jogsértő féllel kapcsolatban, amely nem az Unióban letelepedett, és nem jelölt ki az Unióban jogi képviselőt, indokolatlan késedelem nélkül tájékoztatnia kell valamennyi adatkoordinátort, valamint a Bizottságot is. |
(110) |
Az Európai Adatinnovációs Testületnek tanácsot és segítséget kell nyújtania a Bizottságnak az e rendelet hatálya alá tartozó tárgykörökre vonatkozó nemzeti gyakorlatok és szakpolitikák koordinálásában, valamint a Bizottság interoperabilitás javítását célzó műszaki szabványosítással kapcsolatos célkitűzéseinek megvalósításában. Kulcsszerepet kell játszania továbbá az illetékes hatóságok által az e rendelet alkalmazásával és érvényesítésével kapcsolatban folytatott átfogó egyeztetések/megbeszélések elősegítésében is. Az említett információcsere célja, hogy Unió-szerte növelje az igazságszolgáltatáshoz való hatékony hozzáférést, valamint a jogérvényesítést és az igazságügyi együttműködést. Az illetékes hatóságoknak az Európai Adatinnovációs Testületet – egyéb funkciók mellett – olyan platformként kell igénybe venniük, amely az e rendelet megsértéséért járó szankciók meghatározására vonatkozó ajánlásokat értékeli, koordinálja és elfogadja. Az Európai Adatinnovációs Testületnek lehetővé kell tennie az illetékes hatóságok számára, hogy a Bizottság segítségével koordinálják az optimális megközelítést az ilyen szankciók megállapítása és kiszabása tekintetében. Az említett megközelítés megakadályozza a széttagoltságot, miközben lehetővé teszi a tagállam rugalmasságát, és olyan hatékony ajánlásokhoz kell vezetnie, amelyek támogatják e rendelet következetes alkalmazását. Az Európai Adatinnovációs Testületnek tanácsadói szerepet is be kell töltenie a szabványosítási folyamatokban és a közös előírások végrehajtási jogi aktusok útján történő elfogadásában, továbbá olyan felhatalmazáson alapuló jogi aktusok elfogadásában, amelyek az adatkezelési szolgáltatók által megállapított szolgáltatóváltási díjakra vonatkozó nyomonkövetési mechanizmus létrehozására, valamint az adatok interoperabilitására, az adatmegosztási mechanizmusokra és szolgáltatásokra, és a közös európai adatterekre vonatkozó alapvető követelmények pontosítására irányulnak. Az Európai Adatinnovációs Testületnek tanácsot és segítséget kell nyújtania a Bizottságnak a közös európai adatterek működésére vonatkozó interoperabilitási előírások megállapításáról szóló iránymutatások elfogadása terén is. |
(111) |
Annak érdekében, hogy segítse a vállalkozásokat a szerződések kidolgozásában és megtárgyalásában, a Bizottságnak a vállalkozások közötti adatmegosztási szerződésekre vonatkozóan nem kötelező erejű minta-szerződésifeltételeket kell kidolgoznia és ajánlania, szükség esetén figyelembe véve az egyes ágazatokban fennálló körülményeket és az önkéntes adatmegosztási mechanizmusokkal kapcsolatos meglévő gyakorlatokat. Az említett minta-szerződésifeltételeknek elsősorban olyan gyakorlati eszköznek kell lenniük, amely elsősorban a kkv-t segíti a szerződéskötésben. Széles körben és átfogóan alkalmazva, az említett minta-szerződésifeltételeknek olyan kedvező hatással is kell rendelkezniük, hogy befolyásolják a szerződések kialakítását az adathozzáférés és -felhasználás vonatkozásában, és ezért széles értelemben véve, tisztességesebb szerződéses viszonyokhoz kell vezessenek az adathozzáférés és -megosztás terén. |
(112) |
Azon kockázat kizárása érdekében, hogy egy összekapcsolt termék fizikai alkotóelemei – mint például érzékelők – és a kapcsolódó szolgáltatás révén megszerzett vagy generált, vagy egyéb gépileg generált adatokat tartalmazó adatbázisokban szereplő adatok birtokosai a 96/9/EK irányelv 7. cikke szerinti sui generis jogot érvényesítsék, és ezáltal akadályozzák különösen a felhasználók e rendelet szerinti, adathozzáféréshez és -felhasználáshoz való jogának, valamint az adatok harmadik felekkel való megosztásához való jogának hatékony gyakorlását, egyértelművé kell tenni, hogy a sui generis jog nem alkalmazandó az ilyen adatbázisokra. Ez nem érinti a 96/9/EK irányelv 7. cikke szerinti sui generis jognak az e rendelet hatályán kívül eső adatokat tartalmazó adatbázisokra történő esetleges alkalmazását, feltéve, hogy az említett cikk (1) bekezdése szerinti védelemre vonatkozó követelmények teljesülnek. |
(113) |
Az adatkezelési szolgáltatások technikai szempontjainak figyelembevétele érdekében a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon el e rendelet kiegészítése tekintetében a piaci adatkezelési szolgáltatók által megállapított szolgáltatóváltási díjakra vonatkozó nyomonkövetési mechanizmus létrehozása érdekében, valamint az alapvető követelmények további pontosítása érdekében az olyan adatterekben résztvevők számára, amelyek más résztvevőknek adatokat vagy adatszolgáltatásokat kínálnak. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban (38) megállapított elvekkel összhangban kerüljön sor. Így különösen a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kap kézhez minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein. |
(114) |
E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni a következők elfogadása tekintetében: közös előírások az adatok, az adatmegosztási mechanizmusok és szolgáltatások, valamint a közös európai adatterek interoperabilitásának biztosítására; közös előírások az adatkezelési szolgáltatások interoperabilitására; és közös előírások az intelligens szerződésekre vonatkozóan. A Bizottságra végrehajtási hatásköröket kell ruházni továbbá az adatkezelési szolgáltatások interoperabilitását szolgáló harmonizált szabványok és közös előírások hivatkozásainak egy az adatkezelési szolgáltatások interoperabilitását szolgáló központi uniós szabványtárban történő megjelentetése céljából. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (39) megfelelően kell gyakorolni. |
(115) |
Ez a rendelet nem sértheti az egyes ágazatok vagy közérdekű területek sajátos szükségleteinek kielégítésére irányuló szabályokat. Az ilyen szabályok további követelményeket tartalmazhatnak az adathozzáférés technikai vonatkozásaira, például az adathozzáférés interfészeire vagy az adathozzáférés biztosításának mikéntjére vonatkozóan, ami megvalósulhat például közvetlenül a termékből vagy adatközvetítő szolgáltatások útján. Az ilyen szabályok tartalmazhatnak továbbá az adatbirtokosok felhasználói adatokhoz való hozzáféréséhez vagy azok felhasználásához való jogaira vonatkozó korlátokat, vagy az adathozzáférésen és -felhasználáson túlmutató egyéb szempontokat, például irányítási szempontokat, vagy biztonsági követelményeket, ideértve kiberbiztonsági követelményeket is. Ez a rendelet nem sértheti a közös európai adatterek kialakításával összefüggő konkrétabb szabályokat sem, vagy – az e rendeletben foglalt kivételekre figyelemmel – az adatokhoz való hozzáférésről rendelkező és azok tudományos kutatási célú felhasználására felhatalmazó uniós és nemzeti jogot sem. |
(116) |
Ez a rendelet nem érintheti a versenyjogi szabályoknak, különösen az EUMSZ 101. és 102. cikkének az alkalmazását. Az e rendeletben előírt intézkedések nem alkalmazhatók a versenynek az EUMSZ-szel ellentétes korlátozására. |
(117) |
Annak lehetővé tétele érdekében, hogy az e rendelet hatálya alá tartozó szereplők alkalmazkodjanak az e rendeletben foglalt új szabályokhoz, és meghozzák a szükséges technikai intézkedéseket, az említett szabályokat 2025. szeptember 12-től kell alkalmazni. |
(118) |
Az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel az (EU) 2018/1725 rendelet 42. cikkének (1) és (2) bekezdésével összhangban konzultációra került sor, és a biztos és a testület 2022. május 4-én véleményt nyilvánítottak. |
(119) |
Mivel e rendelet céljait – nevezetesen, hogy biztosítsa az adatokból származó értéknek az adatgazdaság szereplői közötti méltányos elosztását, és elősegítse a méltányos adathozzáférést és -felhasználást az adatok valódi belső piacának létrehozásához való hozzájárulás érdekében – a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme vagy hatása és a határokon átnyúló adatfelhasználás miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat a szubszidiaritásnak az Európai Unióról szóló szerződés 5. cikkében foglalt elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket, |
ELFOGADTA EZT A RENDELETET:
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. cikk
Tárgy és hatály
(1) Ez a rendelet harmonizált szabályokat állapít meg, többek között a következőkre vonatkozóan:
a) |
termékadatoknak és kapcsolódószolgáltatás-adatoknak az összekapcsolt termék vagy kapcsolódó szolgáltatás felhasználója számára történő rendelkezésre bocsátása; |
b) |
adatoknak az adatbirtokosok által az adatátvevők számára történő rendelkezésre bocsátása; |
c) |
adatoknak az adatbirtokosok által közszférabeli szervezetek, a Bizottság, az Európai Központi Bank és uniós szervek számára történő rendelkezésre bocsátása, amennyiben rendkívüli igény van az említett adatokra egy közérdekből végzett konkrét feladat teljesítéséhez; |
d) |
az adatkezelési szolgáltatások közötti váltás megkönnyítése; |
e) |
harmadik felek nem személyes adatokhoz való jogellenes hozzáférése elleni biztosítékok bevezetése; és |
f) |
az adatokhoz való hozzáférésre, azok továbbítására és felhasználására vonatkozó interoperabilitási szabványok kidolgozása. |
(2) E rendelet hatálya a személyes és a nem személyes adatokra terjed ki, ideértve a következő adattípusokat is, a következő összefüggésekben:
a) |
a II. fejezet az összekapcsolt termékek és kapcsolódó szolgáltatások teljesítményére, használatára és környezetére vonatkozó adatokra – a tartalom kivételével – alkalmazandó; |
b) |
a III. fejezet a jogszabályban előírt adatmegosztási kötelezettségek hatálya alá tartozó magánszektorbeli adatokra alkalmazandó; |
c) |
a IV. fejezet a vállalkozások közötti szerződések alapján hozzáférhető és felhasznált magánszektorbeli adatokra alkalmazandó; |
d) |
az V. fejezet a magánszektorbeli adatokra alkalmazandó, különös tekintettel a nem személyes adatokra; |
e) |
a VI. fejezet az adatkezelési szolgáltatók által kezelt minden adatra és szolgáltatásra alkalmazandó; |
f) |
a VII. fejezet az adatkezelési szolgáltatóknak az Unióban birtokában lévő nem személyes adatokra alkalmazandó. |
(3) Ez a rendelet a következőkre alkalmazandó:
a) |
az Unióban forgalomba hozott összekapcsolt termékek gyártói és a kapcsolódó szolgáltatások nyújtói, az említett gyártók és szolgáltatók letelepedési helyétől függetlenül; |
b) |
az a) pontban említett összekapcsolt termékek vagy kapcsolódó szolgáltatások unióbeli felhasználói; |
c) |
letelepedési helyüktől függetlenül azon adatbirtokosok, amelyek unióbeli adatátvevők számára adatokat bocsátanak rendelkezésre; |
d) |
azon unióbeli adatátvevők, amelyek számára adatokat bocsátanak rendelkezésre; |
e) |
közszférabeli szervezetek, a Bizottság, az Európai Központi Bank és uniós szervek, amelyek adatbirtokosoktól adatok rendelkezésre bocsátását kérik, amennyiben rendkívüli igény van az említett adatokra egy közérdekből végzett konkrét feladat teljesítéséhez, valamint azon adatbirtokosok, amelyek az említett adatokat ilyen kérésre reagálva biztosítják; |
f) |
unióbeli igénybevevőknek adatkezelési szolgáltatásokat nyújtó szolgáltatók, letelepedési helyüktől függetlenül; |
g) |
adatterek résztvevői és az intelligens szerződéseket alkalmazó alkalmazások értékesítői, valamint azon személyek, akiknek a kereskedelmi, üzleti vagy szakmai tevékenysége magában foglalja, hogy intelligens szerződéseket kötnek mások számára egy megállapodás végrehajtásával összefüggésben. |
(4) Ahol e rendelet összekapcsolt termékekre vagy kapcsolódó szolgáltatásokra utal, az ilyen hivatkozások úgy értendők, hogy magukban foglalják a virtuális asszisztenseket is, amennyiben azok interakciót folytatnak egy összekapcsolt termékkel vagy kapcsolódó szolgáltatással.
(5) E rendelet nem érinti a személyes adatok védelmére, a magánélet védelmére, a közlések titkosságára és a végberendezések integritására vonatkozó uniós és nemzeti jogszabályokat, amelyek az abban meghatározott jogokkal és kötelezettségekkel összefüggésben kezelt személyes adatokra alkalmazandók, különösen az (EU) 2016/679 és az (EU) 2018/1725 rendeletet, valamint a 2002/58/EK irányelvet, ideértve a felügyeleti hatóságok hatásköreit és illetékességét, valamint az érintettek jogait. Amennyiben a felhasználók érintettnek minősülnek, az e rendelet II. fejezetében meghatározott jogok kiegészítik az érintettek (EU) 2016/679 rendelet 15., illetve 20. cikke szerinti hozzáférési jogait, illetve az adathordozhatósághoz való jogokat. Abban az esetben, ha konfliktus áll fenn e rendelet és a személyes adatok vagy a magánélet védelmére vonatkozó uniós joggal vagy az ilyen uniós joggal összhangban elfogadott nemzeti jogszabályokkal, a személyes adatok vagy a magánélet védelmére vonatkozó releváns uniós vagy nemzeti jog az irányadó.
(6) Ez a rendelet nem alkalmazandó a magán- és közjogi szervezetek közötti adatcserére vonatkozó önkéntes megállapodásokra, különösen az adatmegosztásra irányuló önkéntes megállapodásokra, vagy nem élvez elsőbbséget azokkal szemben.
Ez a rendelet nem érinti a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás alá vonása, vagy büntetőjogi szankciók végrehajtása céljából, vagy vám- és adózási célokból történő adatmegosztásról, -hozzáférésről és -felhasználásról rendelkező uniós vagy nemzeti jogi aktusokat, különösen az (EU) 2021/784, az (EU) 2022/2065 és az (EU) 2023/1543 rendeletet, valamint az (EU) 2023/1544 irányelvet, vagy az e területen folytatott nemzetközi együttműködést. Ez a rendelet nem alkalmazandó az (EU) 2015/847 rendelet és az (EU) 2015/849 irányelv szerinti adatgyűjtésre vagy -megosztásra, adathozzáférésre vagy -felhasználásra. Ez a rendelet nem alkalmazandó az uniós jog hatályán kívül eső területekre, és semmiképpen sem érinti a tagállamok közbiztonságra, védelemre vagy nemzetbiztonságra vonatkozó hatásköreit, függetlenül attól, hogy a tagállamok milyen típusú szervezetet bíznak meg az említett hatáskörökkel kapcsolatos feladatok ellátásával, vagy az egyéb alapvető állami funkciók védelmére vonatkozó hatásköreit, ideértve az állam területi integritásának biztosítását, valamint a közrend fenntartását. Ez a rendelet nem érinti a tagállamok vám- és adóigazgatásra, valamint a polgárok egészségére és biztonságára vonatkozó hatásköreit.
(7) Ez a rendelet kiegészíti az (EU) 2018/1807 rendelet önszabályozáson alapuló megközelítését a felhőváltásra vonatkozó, általánosan alkalmazandó kötelezettségek bevezetésével.
(8) Ez a rendelet nem sérti a szellemi tulajdonjogok védelméről szóló uniós és nemzeti jogi aktusokat, különösen a 2001/29/EK, a 2004/48/EK és az (EU) 2019/790 irányelvet.
(9) Ez a rendelet kiegészíti és nem sérti az uniós jogot – különösen a 93/13/EGK, a 2005/29/EK és a 2011/83/EU irányelvet –, amelynek célja a fogyasztók érdekeinek előmozdítása és a magas szintű fogyasztóvédelem biztosítása, valamint a fogyasztók egészségének, biztonságának és gazdasági érdekeinek védelme.
(10) Ez a rendelet nem zárja ki az olyan önkéntes, jogszerű adatmegosztási szerződések megkötését, ideértve a viszonossági alapon megkötött szerződéseket is, amelyek megfelelnek az e rendeletben megállapított követelményeknek.
2. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
1. |
„adat”: aktusok, tények vagy információk bármely digitális megjelenítése, valamint az ilyen aktusok, tények vagy információk bármely összeállítása, többek között hang-, kép- vagy audiovizuális felvétel formájában is; |
2. |
„metaadat”: az adat tartalmának vagy felhasználásának strukturált leírása, amely egyszerűsíti az említett adat kereshetőségét és felhasználását; |
3. |
„személyes adat”: az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott személyes adat; |
4. |
„nem személyes adat”: a személyes adattól eltérő adat; |
5. |
„összekapcsolt termék”: olyan tárgy, amely a felhasználására vagy a környezetére vonatkozó adatokat szerez meg, generál vagy gyűjt, és amely elektronikus hírközlési szolgáltatáson, fizikai kapcsolaton, vagy eszközön való hozzáférésen keresztül képes termékadatokat közölni, és amelynek elsődleges funkciója nem az adatoknak a felhasználótól eltérő bármely más fél nevében történő tárolása, kezelése vagy továbbítása; |
6. |
„kapcsolódó szolgáltatás”: olyan, az elektronikus hírközlési szolgáltatásoktól eltérő digitális szolgáltatás, a szoftvert is beleértve, amely a vásárláskor, bérléskor vagy lízingeléskor össze van kapcsolva a termékkel oly módon, hogy a hiánya lehetetlenné tenné az összekapcsolt termék egy vagy több funkciójának ellátását, vagy amelyet a gyártó vagy egy harmadik fél utólag kapcsol össze a termékkel, hogy kiegészítse, frissítse vagy módosítsa az összekapcsolt termék funkcióit; |
7. |
„adatkezelés”: adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, visszanyerés, lekérdezés, felhasználás, továbbítás általi közlés, terjesztés vagy egyéb módon történő rendelkezésre bocsátásuk, összehangolás vagy összekapcsolás, korlátozás, törlés vagy megsemmisítés; |
8. |
„adatkezelési szolgáltatás”: digitális szolgáltatás, amelyet ügyfélnek nyújtanak, és amely központosított, elosztott vagy nagymértékben elosztott jellegű, konfigurálható, méretezhető és rugalmas, olyan számítástechnikai erőforrások közös tárához való, mindenütt elérhető és igény szerinti hálózati hozzáférést tesz lehetővé, amelyek minimális irányítási erőfeszítéssel vagy szolgáltatói interakcióval gyorsan biztosíthatók és kibocsáthatók; |
9. |
„azonos szolgáltatástípus”: olyan adatkezelési szolgáltatások csoportja, amelyek ugyanazzal az elsődleges célkitűzéssel, adatkezelési szolgáltatási modellel és fő funkcionalitásokkal rendelkeznek; |
10. |
„adatközvetítő szolgáltatás”: az (EU) 2022/868 rendelet 2. cikkének 11. pontjában meghatározott adatközvetítő szolgáltatás; |
11. |
„érintett”: az (EU) 2016/679 rendelet 4. cikkének 1. pontjában említett érintett; |
12. |
„felhasználó”: olyan természetes vagy jogi személy, aki vagy amely egy összekapcsolt termék tulajdonosa, vagy akire vagy amelyre szerződésben ideiglenes jogokat ruháztak át az adott összekapcsolt termék használatára vonatkozóan, vagy aki vagy amely kapcsolódó szolgáltatást vesz igénybe; |
13. |
„adatbirtokos”: olyan természetes vagy jogi személy, akinek vagy amelynek – e rendelettel, az alkalmazandó uniós joggal vagy az uniós joggal összhangban elfogadott nemzeti jogszabályokkal összhangban – joga vagy kötelezettsége olyan adatokat – többek között, amennyiben arról szerződésben megállapodtak, termékadatokat vagy kapcsolódószolgáltatás-adatokat – használni és rendelkezésre bocsátani, amelyeket valamely kapcsolódó szolgáltatás nyújtása során visszanyert vagy generált; |
14. |
„adatátvevő”: olyan, valamely összekapcsolt termék vagy kapcsolódó szolgáltatás felhasználójától eltérő természetes vagy jogi személy, aki vagy amely kereskedelmi, üzleti, kézműipari vagy szakmai tevékenységével összefüggő célok érdekében jár el, és akinek vagy amelynek az adatbirtokos adatokat bocsát a rendelkezésére, ideértve az olyan harmadik felet is, aki vagy amely a felhasználó által az adatbirtokoshoz intézett vagy az uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabályok szerinti jogi kötelezettségnek megfelelő adatigénylés nyomán jár el; |
15. |
„termékadatok”: egy összekapcsolt termék használata által generált olyan adatok, amelyeket a gyártó úgy tervezett, hogy a felhasználó, az adatbirtokos vagy egy harmadik fél – beleértve adott esetben a gyártót is – elektronikus hírközlési szolgáltatás, fizikai kapcsolat vagy eszközön való hozzáférés révén visszanyerhesse azokat; |
16. |
„kapcsolódószolgáltatás-adatok”: olyan, az összekapcsolt termékhez kapcsolódó felhasználói műveletek vagy események digitalizálását képviselő, valamely kapcsolódó szolgáltatás szolgáltató általi nyújtása során a felhasználó által szándékosan rögzített vagy a felhasználói művelet melléktermékeként generált adatok; |
17. |
„könnyen elérhető adatok”: olyan termékadatok és kapcsolódószolgáltatás-adatok, amelyeket az adatbirtokos jogszerűen szerez meg vagy jogszerűen szerezhet meg az összekapcsolt termékből vagy a kapcsolódó szolgáltatásból, aránytalan, egy egyszerű műveleten túlmutató erőfeszítés nélkül; |
18. |
„üzleti titok”: az (EU) 2016/943 irányelv 2. cikkének 1. pontjában meghatározott üzleti titok; |
19. |
„üzleti titok jogosultja”: az üzleti titok jogosultja az (EU) 2016/943 irányelv 2. cikkének 2. pontjában meghatározottak szerint; |
20. |
„profilalkotás”: az (EU) 2016/679 rendelet 4. cikkének 4. pontjában meghatározott profilalkotás; |
21. |
„forgalmazás”: valamely összekapcsolt termék kereskedelmi tevékenység során történő biztosítása az uniós piacon való értékesítés, fogyasztás vagy felhasználás céljára, akár ellenérték fejében, akár díjmentesen; |
22. |
„forgalomba hozatal”: az összekapcsolt termék első alkalommal történő forgalmazása az uniós piacon; |
23. |
„fogyasztó”: olyan természetes személy, aki kereskedelmi, üzleti, kézműipari vagy szakmai tevékenységén kívül eső célok érdekében jár el; |
24. |
„vállalkozás”: olyan természetes vagy jogi személy, aki vagy amely az ezen rendelet hatálya alá tartozó szerződésekkel és gyakorlatokkal kapcsolatban olyan célokból jár el, amelyek az adott személy kereskedelmi, üzleti, kézműipari vagy szakmai tevékenységéhez kapcsolódnak; |
25. |
„kisvállalkozás”: a 2003/361/EK ajánlás melléklete 2. cikkének (2) bekezdésében meghatározott kisvállalkozás; |
26. |
„mikrovállalkozás”: a 2003/361/EK ajánlás melléklete 2. cikkének (3) bekezdésében meghatározott mikrovállalkozás; |
27. |
„uniós szervek”: az Európai Unióról szóló szerződés, az EUMSZ vagy az Európai Atomenergia-közösséget létrehozó szerződés alapján elfogadott jogi aktusok által vagy értelmében létrehozott uniós szervek, hivatalok és ügynökségek; |
28. |
„közszférabeli szervezet”: tagállami nemzeti, regionális vagy helyi hatóságok és a tagállamok közjogának hatálya alá tartozó szervek, vagy olyan társulások, amelyeket egy vagy több ilyen hatóság vagy egy vagy több ilyen szerv alkot; |
29. |
„szükséghelyzet”: olyan, az Unió lakosságát vagy egy tagállam egészét vagy egy részét kedvezőtlenül érintő, időben korlátozott rendkívüli helyzet – így például népegészségügyi szükséghelyzet, természeti katasztrófákból eredő szükséghelyzet, valamint ember okozta súlyos katasztrófa, a jelentős kiberbiztonsági eseményt is beleértve –, ahol fennáll a súlyos és tartós következmények kockázata az életkörülményekre, a gazdasági stabilitásra, a pénzügyi stabilitásra nézve, vagy az Unióban vagy a releváns tagállamban a gazdasági eszközök jelentős és azonnali károsodásának kockázata, és amelyet az uniós vagy a nemzeti jog releváns eljárásaival összhangban állapítanak meg vagy hirdetnek ki hivatalosan; |
30. |
„ügyfél”: olyan természetes vagy jogi személy, aki vagy amely egy vagy több adatkezelési szolgáltatás igénybevétele céljából szerződéses jogviszonyba lépett valamely adatkezelési szolgáltatóval; |
31. |
„virtuális asszisztensek”: olyan szoftverek, amelyek képesek többek között hangalapú, írott, gesztusokon vagy mozdulatokon alapuló utasításokat, feladatokat vagy kérdéseket feldolgozni, és amelyek ezen utasítások, feladatok vagy kérdések alapján hozzáférést biztosítanak más szolgáltatásokhoz vagy összekapcsolt termékek funkcióit irányítják; |
32. |
„digitális eszközök”: olyan digitális formában lévő elemek, ideértve az alkalmazásokat is, amelyek tekintetében az ügyfél használati joggal rendelkezik, függetlenül az azon adatkezelési szolgáltatásra vonatkozó szerződéses jogviszonytól, amelyről át kíván váltani; |
33. |
„helyszíni IKT-infrastruktúra”: az ügyfél által tulajdonolt, bérelt vagy lízingelt IKT-infrastruktúra és számítástechnikai erőforrások, amelyek az ügyfél saját adatközpontjában találhatók, és amelyeket az ügyfél vagy harmadik fél üzemeltet; |
34. |
„szolgáltatóváltás”: olyan folyamat, amelyben részt vesz egy forrás adatkezelési szolgáltató, egy adatkezelési szolgáltatás ügyfele és adott esetben egy cél adatkezelési szolgáltató, és amelynek során az adatkezelési szolgáltatás ügyfele az egyik adatkezelési szolgáltatás igénybevételéről egy másik, azonos szolgáltatástípusba tartozó adatkezelési szolgáltatás igénybevételére vagy egy eltérő adatkezelési szolgáltató által kínált más szolgáltatás igénybevételére, vagy egy helyszíni IKT-infrastruktúrára tér át, többek között az adatok kinyerése, átalakítása és feltöltése révén; |
35. |
„kimenő adattovábbítási díjak”: ügyfeleknek azért felszámított adatátviteli díjak, hogy adataikat egy adatkezelési szolgáltató IKT-infrastruktúrájából a hálózaton keresztül kinyerjék egy eltérő szolgáltató rendszerébe vagy helyszíni IKT-infrastruktúrába; |
36. |
„szolgáltatóváltási díjak”: a standard szolgáltatási díjaktól vagy az idő előtti megszüntetéssel kapcsolatos szankcióktól eltérő díjak, amelyeket az adatkezelési szolgáltató ró az ügyfélre az e rendeletben előírt, egy eltérő szolgáltató rendszerére vagy helyszíni IKT-infrastruktúrára való váltással kapcsolatos intézkedésekért, ideértve a kimenő adattovábbítási díjakat. |
37. |
„funkcionális egyenértékűség”: a szolgáltatóváltási folyamatot követően a minimális szintű funkcionalitás helyreállítása az ügyfél exportálható adatai és digitális eszközei alapján az azonos szolgáltatástípusba tartozó új adatkezelési szolgáltatás környezetében, amennyiben a cél adatkezelési szolgáltatás ugyanazon inputra adott válaszként érdemben összehasonlítható eredményt ad a szerződés alapján az ügyfélnek biztosított megosztott funkciók tekintetében; |
38. |
„exportálható adat”: a 23–31. cikk és a 35. cikk alkalmazásában az adatkezelési szolgáltatás ügyfél általi igénybevétele révén közvetlenül vagy közvetve generált vagy közösen generált be- és kimeneti adatok, ideértve a metaadatokat is, kivéve az adatkezelési szolgáltatók vagy harmadik felek szellemitulajdon-jogok által védett, vagy üzleti titoknak minősülő bármely eszközét vagy adatát; |
39. |
„intelligens szerződés”: egy megállapodás vagy annak egy része automatizált végrehajtása céljából használt számítógépes program, amely elektronikusan rögzített adatok sorozatát használja, és biztosítja azok integritását és időrendi sorrendjük pontosságát; |
40. |
„interoperabilitás”: két vagy több adattér vagy kommunikációs hálózat, rendszer, összekapcsolt termék, alkalmazás, adatkezelési szolgáltatás vagy alkotóelem azon képessége, hogy funkcióik ellátása érdekében adatokat cseréljenek és használjanak fel; |
41. |
„nyílt interoperabilitási előírás”: olyan technikai előírás az információs és kommunikációs technológiák terén, amely teljesítményorientált az adatkezelési szolgáltatások közötti interoperabilitás elérése irányában; |
42. |
„közös előírások”: olyan, szabványtól eltérő, technikai megoldásokat tartalmazó dokumentum, amely lehetővé teszi az e rendelet alapján megállapított bizonyos követelményeknek és kötelezettségeknek való megfelelést; |
43. |
„harmonizált szabvány”: az 1025/2012/EU rendelet 2. cikke 1. pontjának c) alpontjában meghatározott harmonizált szabvány. |
II. FEJEZET
A VÁLLALKOZÁSOK ÉS A FOGYASZTÓK KÖZÖTTI, VALAMINT A VÁLLALKOZÁSOK KÖZÖTTI ADATMEGOSZTÁS
3. cikk
Kötelezettség a termékadatoknak és a kapcsolódószolgáltatás-adatoknak a felhasználó számára való hozzáférhetővé tételére
(1) Az összekapcsolt termékeket úgy kell megtervezni és gyártani, a kapcsolódó szolgáltatásokat pedig úgy kell megtervezni és nyújtani, hogy a termékadatok és a kapcsolódószolgáltatás-adatok – ideértve az említett adatok értelmezéséhez és felhasználásához szükséges releváns metaadatokat is – alapértelmezés szerint könnyen, biztonságosan, díjmentesen, egy átfogó, strukturált, széles körben használt és géppel olvasható formátumban, és amennyiben releváns, valamint technikailag kivitelezhető, közvetlenül legyenek hozzáférhetők a felhasználó számára.
(2) Az összekapcsolt termék megvásárlására, bérlésére vagy lízingjére vonatkozó szerződés megkötése előtt az eladónak, a bérbeadónak vagy a lízingbe adónak – amely lehet a gyártó – legalább a következő információkat kell a felhasználó számára egyértelmű és érthető módon biztosítania:
a) |
azon termékadatok típusa, formátuma és becsült mennyisége, amelyeket az összekapcsolt termék generálni képes; |
b) |
az összekapcsolt termék képes-e folyamatosan és valós időben adatokat generálni; |
c) |
az összekapcsolt termék képes-e adatokat tárolni eszközön vagy távoli szerveren, ideértve adott esetben a megőrzés tervezett időtartamát is; |
d) |
az a mód, ahogyan a felhasználó az adatokhoz hozzáférhet, azokat visszanyerheti vagy adott esetben törölheti, ideértve az ehhez szükséges technikai eszközöket, valamint azok felhasználási feltételeit és a szolgáltatás minőségét is. |
(3) A kapcsolódó szolgáltatás nyújtására vonatkozó szerződés megkötése előtt az ilyen kapcsolódó szolgáltatás szolgáltatójának legalább a következő információkat kell a felhasználó számára egyértelműen és érthető módon biztosítania:
a) |
azon termékadatok jellege, becsült mennyisége és gyűjtési gyakorisága, amelyeket a leendő adatbirtokos várhatóan megszerez, és adott esetben az arra szolgáló intézkedések, hogy a felhasználó az ilyen adatokhoz hozzáférjen, vagy azokat visszanyerje, ideértve a leendő adatbirtokos adattárolási intézkedéseit és a megőrzés időtartamát is; |
b) |
a generálandó kapcsolódószolgáltatás-adatok jellege és becsült mennyisége, valamint a felhasználónak az ilyen adatokhoz való hozzáférésére vagy azok visszanyerésére vonatkozó intézkedések, ideértve a leendő adatbirtokos adattárolási intézkedéseit és a megőrzés időtartamát is; |
c) |
az, hogy a leendő adatbirtokos arra számít-e, hogy saját maga használ fel könnyen elérhető adatokat, és az említett adatok felhasználásának céljai, valamint, hogy szándékában áll-e egy vagy több harmadik fél számára lehetővé tenni az adatoknak a felhasználóval egyeztetett célokra történő felhasználását; |
d) |
a leendő adatbirtokos – és adott esetben egyéb adatkezelő felek – kiléte, például kereskedelmi neve és az a földrajzi cím, ahol letelepedett; |
e) |
azon kommunikációs eszközök, amelyek lehetővé teszik a gyors kapcsolatfelvételt és a hatékony kommunikációt a leendő adatbirtokossal; |
f) |
annak mikéntje, hogyan kérheti a felhasználó az adatok harmadik féllel való megosztását, és adott esetben az adatmegosztás megszüntetését; |
g) |
a felhasználó azon joga, hogy panaszt nyújtson be a 37. cikk alapján kijelölt illetékes hatósághoz az e fejezetben foglalt rendelkezések bármelyikének feltételezett megsértése miatt; |
h) |
az, hogy a leendő adatbirtokos az összekapcsolt termékből hozzáférhető vagy egy kapcsolódó szolgáltatás nyújtása során generált adatokban foglalt üzleti titkok jogosultja-e, és amennyiben a leendő adatbirtokos nem az üzleti titok jogosultja, az üzleti titok jogosultjának kiléte; |
i) |
a felhasználó és a leendő adatbirtokos közötti szerződés időtartama, valamint az ilyen szerződés megszüntetésére vonatkozó intézkedések. |
4. cikk
A felhasználók és az adatbirtokosok jogai és kötelezettségei a termékadatokhoz és a kapcsolódószolgáltatás-adatokhoz való hozzáférés, azok felhasználása és rendelkezésre bocsátása tekintetében
(1) Amennyiben a felhasználó nem tud az összekapcsolt termékből vagy a kapcsolódó szolgáltatásból közvetlenül hozzáférni az adatokhoz, az adatbirtokosoknak indokolatlan késedelem nélkül – az adatbirtokos rendelkezésére állóval megegyező minőségben – könnyen elérhető adatokat, valamint az említett adatok értelmezéséhez és felhasználásához szükséges releváns metaadatokat kell hozzáférhetővé tennie a felhasználó számára, könnyen, biztonságosan, díjmentesen, egy átfogó, strukturált, széles körben használt és géppel olvasható formátumban, és – amennyiben releváns és technikailag kivitelezhető – folyamatosan és valós időben. Ezt egyszerű kérelem alapján, elektronikus úton kell megtenni, amennyiben technikailag kivitelezhető.
(2) A felhasználók és az adatbirtokosok szerződésben korlátozhatják vagy megtilthatják az adatokhoz való hozzáférést, azok felhasználását vagy további megosztását, ha az ilyen adatkezelés alááshatná az összekapcsolt termékre vonatkozó, az uniós vagy nemzeti jogban megállapított biztonsági követelményeket, ami súlyosan hátrányos hatással járhat a természetes személyek egészségére, biztonságára vagy védelmére nézve. Az ágazati hatóságok technikai szakértelmet biztosíthatnak a felhasználóknak és az adatbirtokosoknak ebben az összefüggésben. Amennyiben az adatbirtokos megtagadja az adatmegosztást e cikk alapján, értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot.
(3) A felhasználó azon jogának sérelme nélkül, hogy bármely szakaszban jogorvoslatért forduljon valamely tagállam bíróságához vagy igazságszolgáltatási fórumához, a (2) bekezdésben említett szerződéses korlátozások vagy tilalmak tekintetében az adatbirtokossal felmerülő bármely vitával kapcsolatban a felhasználó:
a) |
a 37. cikk (5) bekezdése b) pontjának megfelelően panaszt nyújthat be az illetékes hatósághoz; vagy |
b) |
megállapodhat az adatbirtokossal abban, hogy az ügyet a 10. cikk (1) bekezdésének megfelelően valamely vitarendezési testület elé terjesztik. |
(4) Az adatbirtokos nem nehezítheti meg indokolatlanul a felhasználó e cikk szerinti választási lehetőségeinek vagy jogainak a gyakorlását, többek között azáltal, hogy nem semleges módon kínál választási lehetőségeket a felhasználó számára, vagy azáltal, hogy a felhasználói digitális interfész vagy annak egy része szerkezetén, kialakításán, funkcióján vagy működési módján keresztül aláássa vagy csorbítja a felhasználó autonómiáját, döntéshozatalát vagy választási lehetőségeit.
(5) Annak ellenőrzése céljából, hogy egy természetes vagy jogi személy az (1) bekezdés alkalmazásában felhasználónak minősül-e, az adatbirtokos nem követelheti meg az említett személytől, hogy a szükségest meghaladó információkat adjon meg. Az adatbirtokosok nem őrizhetnek meg semmilyen, a felhasználónak a kért adatokhoz való hozzáférésére vonatkozó, azt meghaladó információt – különösen naplóadatokat –, amely a felhasználó hozzáférési kérelmének megfelelő teljesítéséhez, valamint az adatinfrastruktúra biztonságához és fenntartásához szükséges.
(6) Üzleti titkok csak akkor őrizhetők meg és fedhetők fel, amennyiben az adatbirtokos és a felhasználó a felfedést megelőzően minden szükséges intézkedést megtett az üzleti titkok bizalmas jellegének megőrzése érdekében, különösen harmadik felek vonatkozásában. Az adatbirtokosnak – vagy az üzleti titok jogosultjának, amennyiben ez nem ugyanaz a személy – azonosítania kell az üzleti titokként védett adatokat, a vonatkozó metaadatokban is, és meg kell állapodnia a felhasználóval a megosztott adatok bizalmas jellegének megőrzéséhez szükséges, arányos technikai és szervezési intézkedésekről, különösen harmadik felekkel kapcsolatban, mint például minta-szerződésifeltételek, titoktartási megállapodások, szigorú hozzáférési protokollok, technikai szabványok és a magatartási kódexek alkalmazása.
(7) Amennyiben nem jön létre megállapodás a (6) bekezdésben említett szükséges intézkedésekről, vagy ha a felhasználó elmulasztja végrehajtani a (6) bekezdés alapján megállapodott intézkedéseket, vagy aláássa az üzleti titkok bizalmas jellegét, az adatbirtokos visszatarthatja vagy – esettől függően – felfüggesztheti az üzleti titokként azonosított adatok megosztását. Az adatbirtokos döntését megfelelően meg kell indokolni, és indokolatlan késedelem nélkül írásban közölni kell a felhasználóval. Ilyen esetekben az adatbirtokosnak értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot arról, hogy visszatartotta vagy felfüggesztette az adatmegosztást, és azonosítania kell azon intézkedéseket, amelyekről nem jött létre megállapodás, vagy amelyeket nem hajtottak végre, és adott esetben azon üzleti titkokat, amelyek bizalmas jellegét aláásták.
(8) Rendkívüli körülmények között, amennyiben az üzleti titok jogosultjának minősülő adatbirtokos bizonyítani tudja, hogy a felhasználó által e cikk (6) bekezdése alapján hozott technikai és szervezési intézkedések ellenére nagy valószínűséggel súlyos gazdasági kárt szenved az üzleti titkok felfedése miatt, az adatbirtokos eseti alapon elutasíthatja a szóban forgó konkrét adatokhoz való hozzáférés iránti kérelmet. Az említett bizonyítást objektív elemek – különösen az üzleti titkok védelmének harmadik országokban való érvényesíthetősége, a kért adatok természete és bizalmas jellegének szintje, valamint az összekapcsolt termék egyedisége és újszerűsége – alapján megfelelően alá kell támasztani, és indokolatlan késedelem nélkül írásban közölnie kell a felhasználóval. Amennyiben az adatbirtokos megtagadja az adatmegosztást e bekezdés alapján, értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot.
(9) A felhasználó azon jogának sérelme nélkül, hogy bármely szakaszban jogorvoslatért forduljon valamely tagállam bíróságához vagy igazságszolgáltatási fórumához, az adatbirtokosnak az adatmegosztás megtagadására vagy visszatartására vagy felfüggesztésére vonatkozó, a (7) és a (8) bekezdés szerinti döntését megtámadni kívánó felhasználó:
a) |
a 37. cikk (5) bekezdése b) pontjának megfelelően panaszt nyújthat be az illetékes hatósághoz, amelynek indokolatlan késedelem nélkül döntenie kell arról, hogy az adatmegosztást meg kell-e kezdeni, vagy folytatni kell-e, és ha igen, milyen feltételek mellett; vagy |
b) |
megállapodhat az adatbirtokossal abban, hogy az ügyet a 10. cikk (1) bekezdésének megfelelően valamely vitarendezési testület elé terjesztik. |
(10) A felhasználó az (1) bekezdésben említett kérelem alapján szerzett adatokat nem használhatja fel olyan összekapcsolt termék kifejlesztésére, amely verseng azon összekapcsolt termékkel, amelyből az adatok származnak, nem oszthatja meg az adatokat az említett szándékkal harmadik féllel, és nem használhat fel ilyen adatokat arra, hogy betekintést nyerjen a gyártó vagy – adott esetben – az adatbirtokos gazdasági helyzetére, eszközeire és termelési módszereire vonatkozóan.
(11) A felhasználó nem alkalmazhat kényszerítő eszközöket, és nem élhet vissza az adatbirtokos adatvédelmi célból kialakított technikai infrastruktúrájának hiányosságaival az adatokhoz való hozzáférés megszerzése érdekében.
(12) Ha a felhasználó nem az az érintett, akinek a személyes adatait kérik, az összekapcsolt termék vagy a kapcsolódó szolgáltatás használata által generált személyes adatokat az adatbirtokos csak akkor bocsáthatja a felhasználó rendelkezésére, amennyiben az (EU) 2016/679 rendelet 6. cikke szerint érvényes adatkezelési jogalap áll fenn, valamint amennyiben – adott esetben – teljesülnek az említett rendelet 9. cikkében és a 2002/58/EK irányelv 5. cikkének (3) bekezdésében foglalt feltételek.
(13) Az adatbirtokos kizárólag a felhasználóval kötött szerződés alapján használhat fel nem személyes adatnak minősülő, könnyen elérhető adatokat. Az adatbirtokos nem használhat fel ilyen adatokat arra, hogy olyan betekintést nyerjen a felhasználó gazdasági helyzetét, eszközeit és termelési módszereit illetően, vagy az általa történő felhasználásra vonatkozóan bármely más módon, amely alááshatja az említett felhasználó üzleti pozícióját azon piacokon, amelyeken a felhasználó aktív.
(14) Az adatbirtokosok kereskedelmi vagy nem kereskedelmi célból – a felhasználóval kötött szerződésük teljesítésén kívül – nem bocsáthatnak harmadik felek rendelkezésére nem személyes termékadatokat. Adott esetben az adatbirtokosok szerződésben köteleznek harmadik feleket arra, hogy a tőlük kapott adatokat a továbbiakban ne osszák meg.
5. cikk
A felhasználó joga az adatok harmadik felekkel való megosztására
(1) A felhasználó vagy a felhasználó nevében eljáró fél kérelmére az adatbirtokos köteles indokolatlan késedelem nélkül – az adatbirtokos rendelkezésére állóval megegyező minőségben – könnyen elérhető adatokat, valamint az említett adatok értelmezéséhez és felhasználásához szükséges releváns metaadatokat valamely harmadik fél rendelkezésére bocsátani könnyen, biztonságosan, a felhasználó számára díjmentesen, egy átfogó, strukturált, széles körben használt és géppel olvasható formátumban, továbbá – adott esetben és amennyiben ez technikailag kivitelezhető – folyamatosan és valós időben. Az adatokat az adatbirtokosnak a 8. és a 9. cikkel összhangban kell a harmadik fél rendelkezésére bocsátania.
(2) Az (1) bekezdés nem alkalmazandó könnyen elérhető adatokra a még forgalomba nem hozott új összekapcsolt termékek, anyagok vagy eljárások tesztelésével összefüggésben, kivéve, ha a harmadik fél általi felhasználásuk szerződésben megengedett.
(3) Az (EU) 2022/1925 rendelet 3. cikke értelmében kapuőrnek minősített vállalkozás nem minősülhet e cikk értelmében jogosult harmadik félnek, és ezért:
a) |
semmilyen módon – többek között pénzbeli vagy bármely más kompenzáció nyújtásával – nem hívhat fel vagy nem ösztönözhet üzletileg felhasználót arra, hogy a 4. cikk (1) bekezdése szerinti kérelem alapján szerzett adatokat valamely szolgáltatásához rendelkezésre bocsássa; |
b) |
nem hívhat fel vagy nem ösztönözhet üzletileg arra felhasználót, hogy az az adatbirtokostól valamely szolgáltatásához adatoknak az e cikk (1) bekezdése alapján történő rendelkezésre bocsátását kérje; |
c) |
nem kaphat felhasználótól olyan adatokat, amelyeket a felhasználó a 4. cikk (1) bekezdése szerinti kérelem alapján szerzett be. |
(4) Annak ellenőrzése céljából, hogy egy természetes vagy jogi személy az (1) bekezdés alkalmazásában felhasználónak vagy harmadik félnek minősül-e, a felhasználótól vagy a harmadik féltől nem követelhető meg, hogy a szükségest meghaladó információkat adjon meg. Az adatbirtokosok nem őrizhetnek meg semmilyen, a harmadik félnek a kért adatokhoz való hozzáférésére vonatkozó, azt meghaladó információt, amely a harmadik fél hozzáférési kérelmének megfelelő teljesítéséhez, valamint az adatinfrastruktúra biztonságához és fenntartásához szükséges.
(5) A harmadik fél nem alkalmazhat kényszerítő eszközöket, és nem élhet vissza az adatbirtokos adatvédelmi célból kialakított technikai infrastruktúrájának hiányosságaival az adatokhoz való hozzáférés megszerzése érdekében.
(6) Az adatbirtokos nem használhat fel könnyen elérhető adatokat arra, hogy olyan betekintést nyerjen a harmadik fél gazdasági helyzetére, eszközeire vagy termelési módszereire, vagy az általa történő bármely más módon való felhasználásra vonatkozóan, amely alááshatja a harmadik fél üzleti pozícióját azon piacokon, amelyeken a harmadik fél aktív, kivéve, ha a harmadik fél engedélyt adott az ilyen felhasználásra, és megvan a technikai lehetősége ahhoz, hogy az említett engedélyt bármikor könnyen visszavonja.
(7) Amennyiben a felhasználó nem az az érintett, akinek a személyes adatait kérik, a valamely összekapcsolt termék vagy kapcsolódó szolgáltatás igénybe vétele által generált személyes adatok csak akkor bocsáthatók az adatbirtokos által a harmadik fél rendelkezésére, amennyiben az (EU) 2016/679 rendelet 6. cikke szerint érvényes adatkezelési jogalap áll fenn, és – adott esetben – teljesülnek az említett rendelet 9. cikkében és a 2002/58/EK irányelv 5. cikkének (3) bekezdésében foglalt feltételek.
(8) Az adatbirtokos és a harmadik fél közötti, adattovábbításra vonatkozó szabályokat rögzítő megállapodás hiánya nem gátolhatja, akadályozhatja meg vagy érintheti az érintettnek az (EU) 2016/679 rendelet szerinti jogainak – és különösen az említett rendelet 20. cikke szerinti adathordozhatósághoz való jognak – a gyakorlását.
(9) Az üzleti titkokat meg kell őrizni, és csak annyiban fedhetők fel harmadik feleknek, amennyiben az ilyen felfedés feltétlenül szükséges a felhasználó és a harmadik fél által megállapodott cél eléréséhez. Az adatbirtokosnak – vagy az üzleti titok jogosultjának, amennyiben ez nem ugyanaz a személy – azonosítania kell az üzleti titokként védett adatokat, a releváns metaadatokban is, és meg kell állapodnia a harmadik féllel a megosztott adatok bizalmas jellegének megőrzéséhez szükséges valamennyi arányos technikai és szervezési intézkedésről, így például minta szerződési feltételekről, titoktartási megállapodásokról, szigorú hozzáférési protokollokról, technikai szabványokról és magatartási kódexek alkalmazásáról.
(10) Amennyiben nem jön létre megállapodás az e cikk (9) bekezdésében említett szükséges intézkedésekről, vagy ha a harmadik fél elmulasztja végrehajtani az e cikk (9) bekezdése szerint megállapodott intézkedéseket, vagy aláássa az üzleti titkok bizalmas jellegét, az adatbirtokos visszatarthatja vagy esettől függően felfüggesztheti az üzleti titokként azonosított adatok megosztását. Az adatbirtokos döntését megfelelően meg kell indokolni, és indokolatlan késedelem nélkül írásban közölni kell a harmadik féllel. Ilyen esetekben az adatbirtokosnak értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot arról, hogy visszatartotta vagy felfüggesztette az adatmegosztást, és adott esetben azonosítania kell azon intézkedéseket, amelyekről nem jött létre megállapodás, vagy amelyeket nem hajtottak végre, és adott esetben azon üzleti titkokat, amelyek bizalmas jellegét aláásták.
(11) Rendkívüli körülmények között, amennyiben az üzleti titok jogosultjának minősülő adatbirtokos bizonyítani tudja, hogy a harmadik fél által e cikk (9) bekezdése alapján hozott technikai és szervezési intézkedések ellenére nagy valószínűséggel súlyos gazdasági kárt szenved az üzleti titkok felfedése miatt, az adatbirtokos eseti alapon elutasíthatja a szóban forgó konkrét adatokhoz való hozzáférés iránti kérelmet. Az említett bizonyítást objektív elemek – különösen az üzleti titkok védelmének harmadik országokban való érvényesíthetősége, a kért adatok jellege és bizalmas jellegének szintje, valamint az összekapcsolt termék egyedisége és újszerűsége – alapján megfelelően alá kell támasztani, és indokolatlan késedelem nélkül írásban közölni kell a harmadik féllel. Amennyiben az adatbirtokos e bekezdés alapján megtagadja az adatmegosztást, értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot.
(12) A harmadik fél azon jogának sérelme nélkül, hogy bármely szakaszban jogorvoslatért forduljon valamely tagállam bíróságához vagy igazságszolgáltatási fórumához, az adatbirtokosnak az adatmegosztás megtagadására vagy visszatartására vagy felfüggesztésére vonatkozó, a (10) és a (11) bekezdés alapján hozott döntését megtámadni kívánó harmadik fél:
a) |
a 37. cikk (5) bekezdése b) pontjának megfelelően panaszt nyújthat be az illetékes hatósághoz, amelynek indokolatlan késedelem nélkül döntenie kell arról, hogy az adatmegosztást meg kell-e kezdeni, vagy folytatni kell-e, és ha igen, milyen feltételek mellett; vagy |
b) |
megállapodhat az adatbirtokossal abban, hogy az ügyet a 10. cikk (1) bekezdésének megfelelően valamely vitarendezési testület elé terjesztik. |
(13) Az (1) bekezdésben említett jog nem érintheti hátrányosan a személyes adatok védelmére vonatkozó, alkalmazandó uniós és nemzeti jog alapján az érintetteket megillető jogokat.
6. cikk
Harmadik felek kötelezettségei, akik a felhasználó kérésére adatokat kapnak
(1) A harmadik fél az 5. cikk alapján rendelkezésére bocsátott adatokat csak a felhasználóval megállapodott célokra és feltételek mellett, valamint a személyes adatok védelmére – ideértve az érintettek a személyes adatok vonatkozásában megillető jogokat is – vonatkozó uniós és nemzeti jogra figyelemmel kezelheti. A harmadik fél törli az adatokat, amennyiben azok már nem szükségesek a megállapodott célhoz, kivéve, ha a nem személyes adatok tekintetében a felhasználóval másként állapodtak meg.
(2) A harmadik fél:
a) |
nem nehezítheti meg indokolatlanul az 5. cikk szerinti választási lehetőségeknek vagy jogoknak a felhasználó általi gyakorlását, ideértve azt is, hogy nem semleges módon kínál választási lehetőségeket a felhasználónak, vagy kényszeríti, félrevezeti vagy manipulálja a felhasználót, vagy aláássa vagy gyengíti a felhasználó autonómiáját, döntéshozatalát vagy választási lehetőségeit, többek között egy felhasználói digitális interfész vagy annak egy része révén; |
b) |
tekintet nélkül az (EU) 2016/679 rendelet 22. cikke (2) bekezdésének a) és c) pontjára, nem használhatja fel a kapott adatokat profilalkotásra, kivéve, ha ez a felhasználó által kért szolgáltatás nyújtásához szükséges, |
c) |
a kapott adatokat nem bocsáthatja egy másik harmadik fél rendelkezésére, kivéve, ha az adatokat a felhasználóval kötött szerződés alapján bocsátják rendelkezésre, és feltéve, hogy a másik harmadik fél meghoz minden olyan, az üzleti titkok bizalmas jellegének megőrzéséhez szükséges intézkedést, amelyről az adatbirtokos és a harmadik fél megállapodott; |
d) |
a kapott adatokat nem bocsáthatja az (EU) 2022/1925 rendelet 3. cikke értelmében kapuőrnek minősített vállalkozás rendelkezésére; |
e) |
a kapott adatokat nem használhatja fel olyan termék kifejlesztése céljából, amely verseng azon összekapcsolt termékkel, amelyből az elért adatok származnak, és az említett célból nem oszthatja meg az adatokat egy másik harmadik féllel; harmadik felek továbbá nem használhatják fel a rendelkezésre bocsátott, nem személyes termékadatokat vagy kapcsolódószolgáltatás-adatokat arra, hogy betekintést nyerjenek az adatbirtokos gazdasági helyzetére, eszközeire és termelési módszereire, vagy az adatbirtokos általi felhasználásukra vonatkozóan; |
f) |
a kapott adatokat nem használhatja fel oly módon, amely hátrányos hatással bír az összekapcsolt termék vagy a kapcsolódó szolgáltatás biztonságára; |
g) |
nem hagyhatja figyelmen kívül azon konkrét intézkedéseket, amelyekről az adatbirtokossal vagy az üzleti titok jogosultjával az 5. cikk (9) bekezdése alapján megállapodott, és nem áshatja alá az üzleti titkok bizalmi jellegét; |
h) |
nem akadályozhatja meg, hogy a felhasználó, aki fogyasztó is egyben – többek között szerződés alapján – az általa kapott adatokat más felek rendelkezésére bocsássa. |
7. cikk
A vállalkozások és a fogyasztók, valamint a vállalkozások közötti adatmegosztás hatóköre
(1) Az e fejezetben foglalt kötelezettségek nem alkalmazandók a mikrovállalkozások vagy a kisvállalkozások által előállított vagy tervezett összekapcsolt termékek vagy az általuk nyújtott kapcsolódó szolgáltatások használata révén generált adatokra, feltéve, hogy az említett vállalkozások nem rendelkeznek a 2003/361/EK ajánlás mellékletének 3. cikke értelmében vett olyan partnervállalkozásokkal vagy kapcsolt vállalkozásokkal, amelyek nem minősülnek mikrovállalkozásnak vagy kisvállalkozásnak, továbbá amennyiben a mikrovállalkozás vagy kisvállalkozás nem kapott alvállalkozói megbízást valamely összekapcsolt termék előállítására vagy tervezésére, vagy valamely kapcsolódó szolgáltatás nyújtására vonatkozóan.
Ugyanez alkalmazandó az olyan vállalkozás által gyártott összekapcsolt termékek vagy nyújtott kapcsolódó szolgáltatások igénybe vétele révén generált adatokra, amely a 2003/361/EK ajánlás mellékletének 2. cikke alapján kevesebb mint egy éve középvállalkozásnak minősül, és az olyan összekapcsolt termékekre, amelyeket egy középvállalkozás kevesebb mint egy éve hozott forgalomba.
(2) Minden olyan szerződési feltétel, amely a felhasználó kárára kizárja az e fejezet szerinti felhasználói jogok alkalmazását, eltér azoktól vagy megváltoztatja azok hatását, nem kötelező erejű a felhasználóra nézve.
III. FEJEZET
AZ ADATOK RENDELKEZÉSRE BOCSÁTÁSÁRA AZ UNIÓS JOG ALAPJÁN KÖTELEZETT ADATBIRTOKOSOK KÖTELEZETTSÉGEI
8. cikk
Feltételek, amelyek mellett az adatbirtokosok adatokat bocsátanak az adatátvevők rendelkezésére
(1) Amennyiben a vállalkozások közötti kapcsolatok keretében az adatbirtokos az 5. cikk vagy más alkalmazandó uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabály alapján köteles adatokat valamely adatátvevő rendelkezésére bocsátani, az adatok rendelkezésre bocsátására vonatkozó intézkedésekről meg kell állapodnia az adatátvevővel, továbbá ezt méltányos, észszerű és megkülönböztetésmentes feltételek mellett és átlátható módon, e fejezettel és a IV. fejezettel összhangban kell megtennie.
(2) Az adathozzáférésre és -felhasználásra, vagy az adatokkal kapcsolatos kötelezettségek megsértése vagy felmondása esetén fennálló felelősségre és jogorvoslatokra vonatkozó szerződési feltétel nem kötelező erejű, ha a 13. cikk értelmében tisztességtelen szerződési feltételnek minősül, vagy ha – a felhasználó kárára – kizárja a II. fejezet szerinti felhasználói jogok alkalmazását, eltér azoktól, vagy megváltoztatja azok hatását.
(3) Az adatbirtokos az adatok rendelkezésre bocsátásakor az adatok rendelkezésre bocsátására vonatkozó intézkedésekkel kapcsolatban nem tehet különbséget az adatátvevők összehasonlítható kategóriái – köztük az adatbirtokos partnervállalkozásai vagy kapcsolt vállalkozásai – között. Ha az adatátvevő úgy ítéli meg, hogy azok a feltételek, amelyek mellett az adatokat rendelkezésére bocsátották diszkriminatívak, az adatbirtokos köteles indokolatlan késedelem nélkül az adatátvevő rendelkezésére bocsátani – annak indokolással ellátott kérelmére – azon információkat, amelyek bizonyítják, hogy nem történt hátrányos megkülönböztetés.
(4) Az adatbirtokos – kizárólagos alapon sem – bocsáthat adatokat az adatátvevő rendelkezésére, kivéve, ha azt a felhasználó a II. fejezet alapján kéri.
(5) Az adatbirtokosok és az adatátvevők nem kötelezhetők arra, hogy az adatok rendelkezésre bocsátására vonatkozóan megállapodott szerződési feltételeknek, vagy az e rendelet vagy egyéb alkalmazandó uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabály szerinti kötelezettségeiknek való megfelelés ellenőrzéséhez szükséges információkon túl, bármely információt szolgáltassanak.
(6) Ha az uniós jog – többek között e rendelet 4. cikkének (6) bekezdése és 5. cikkének (9) bekezdése – vagy az uniós joggal összhangban elfogadott nemzeti jogszabályok másként nem rendelkeznek, azon kötelezettség, hogy adatokat kell az adatátvevő rendelkezésére bocsátani, nem kötelez az üzleti titkok felfedésére.
9. cikk
Az adatok rendelkezésre bocsátásáért járó kompenzáció
(1) Az adatbirtokos és az adatátvevő által megállapodott, az adatok vállalkozások közötti kapcsolatok keretében történő rendelkezésre bocsátásáért járó bármely kompenzációnak megkülönböztetésmentesnek és észszerűnek kell lennie, és árrést is magában foglalhat.
(2) Bármely kompenzációról történő megállapodás során az adatbirtokosnak és az adatátvevőnek figyelembe kell vennie különösen a következőket:
a) |
az adatok rendelkezésre bocsátása során felmerülő költségek, ideértve különösen az adatok formázásához, az elektronikus úton történő terjesztéshez, valamint a tároláshoz szükséges költségeket; |
b) |
az adatok gyűjtésébe és előállításába történő beruházások, adott esetben annak figyelembevételével, hogy más felek hozzájárultak-e a szóban forgó adatok megszerzéséhez, generálásához vagy gyűjtéséhez. |
(3) Az (1) bekezdésben említett kompenzáció függhet az adatok mennyiségétől, formátumától és jellegétől is.
(4) Amennyiben az adatátvevő kkv vagy nonprofit kutatószervezet, és amennyiben az ilyen adatátvevő nem rendelkezik olyan partnervállalkozásokkal vagy kapcsolt vállalkozásokkal, amelyek nem minősülnek kkv-nak, semmilyen megállapodott kompenzáció nem haladhatja meg a (2) bekezdés a) pontjában említett költségeket.
(5) A Bizottság – a 42. cikkben említett Európai Adatinnovációs Testület (a továbbiakban: EDIB) véleményének figyelembevételével – iránymutatásokat fogad el az észszerű kompenzáció kiszámítására vonatkozóan.
(6) E cikk nem akadályozhatja meg, hogy egyéb uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabályok kizárják az adatok rendelkezésre bocsátásáért a kompenzációt, vagy alacsonyabb kompenzációt írjanak elő.
(7) Az adatbirtokosnak az adatátvevőt a kompenzáció kiszámításának alapját kellő részletességgel meghatározva kell tájékoztatnia annak érdekében, hogy az adatátvevő fel tudja mérni, hogy teljesülnek-e az (1)–(4) bekezdésben foglalt követelmények.
10. cikk
Vitarendezés
(1) A felhasználók, az adatbirtokosok és az adatátvevők hozzá kell, hogy férjenek az e cikk (5) bekezdésével összhangban tanúsított vitarendezési testülethez, hogy rendezzék a 4. cikk (3) és (9) bekezdése, és az 5. cikk (12) bekezdése szerinti vitákat, valamint az adatoknak az e fejezetnek és a IV. fejezetnek megfelelő rendelkezésre bocsátására vonatkozó méltányos, észszerű és megkülönböztetésmentes feltételekkel és átlátható móddal kapcsolatos vitákat.
(2) A vitarendezési testületeknek tájékoztatniuk kell az érintett feleket a díjakról vagy a díjak meghatározásához használt mechanizmusokról, mielőtt az említett felek döntést kérnek.
(3) A 4. cikk (3) és (9) bekezdése, és az 5. cikk (12) bekezdése alapján vitarendezési testület elé utalt vitákat illetően, amennyiben a vitarendezési testület a vitát a felhasználó vagy az adatátvevő javára dönti el, a vitarendezési testület által felszámított valamennyi díjat az adatbirtokosnak kell viselnie, továbbá meg kell térítenie az említett felhasználónak vagy az említett adatátvevőnek minden más olyan észszerű költséget, amely annál a vitarendezéssel kapcsolatban felmerült. Ha a vitarendezési testület az adatbirtokos javára dönti el a vitát, a felhasználó vagy az adatátvevő nem kötelezhető semmilyen olyan díj vagy egyéb költség megtérítésére, amelyet az adatbirtokos a vitarendezéssel kapcsolatban fizetett vagy amelyet annak fizetnie kell, kivéve, ha a vitarendezési testület megállapítja, hogy a felhasználó vagy az adatátvevő nyilvánvalóan rosszhiszeműen járt el.
(4) Az ügyfelek és az adatkezelési szolgáltatók hozzá kell, hogy férjenek az e cikk (5) bekezdésével összhangban tanúsított vitarendezési testülethez, hogy rendezzék az ügyfelek jogainak és az adatkezelési szolgáltatók kötelezettségeinek megsértésével kapcsolatos vitákat, a 23–31. cikkel összhangban.
(5) A vitarendezési testület székhelye szerinti tagállam e testület kérelme nyomán tanúsítja e testületet, amennyiben a testület bizonyította, hogy megfelel a következő feltételek mindegyikének:
a) |
pártatlan és független, és a határozatait világos, megkülönböztetésmentes és tisztességes eljárási szabályokkal összhangban köteles meghozni; |
b) |
rendelkezik a szükséges szakértelemmel, különösen a méltányos, észszerű és megkülönböztetésmentes feltételekkel kapcsolatban – ideértve a kompenzációt is – és az adatok átlátható módon történő rendelkezésre bocsátása tekintetében, ami lehetővé teszi a testület számára, hogy hatékonyan állapítsa meg az említett feltételeket; |
c) |
elektronikus kommunikációs technológián keresztül könnyen hozzáférhető; |
d) |
határozatait képes gyorsan, hatékonyan és költséghatékonyan meghozni, az Unió legalább egy hivatalos nyelvén. |
(6) A tagállamok értesítik a Bizottságot az (5) bekezdéssel összhangban tanúsított vitarendezési testületekről. A Bizottság az említett testületek jegyzékét egy erre a célra létrehozott weboldalon közzéteszi és folyamatosan frissíti.
(7) A vitarendezési testületnek el kell utasítania az olyan vitarendezési kérelem elbírálását, amelyet már egy másik vitarendezési testület vagy valamely tagállam bírósága vagy igazságszolgáltatási fóruma elé terjesztettek.
(8) A vitarendezési testületnek észszerű határidőn belül lehetőséget kell adnia a feleknek, hogy kifejtsék álláspontjukat az e felek által az említett testület elé terjesztett ügyekről. Ebben az összefüggésben a vitarendezési testületnek a vitában részes minden egyes fél rendelkezésére kell bocsátania a vitájában érintett másik fél beadványait és a szakértők által tett bármely nyilatkozatot. A feleknek lehetőséget kell biztosítani, hogy az említett beadványokra és szakértői nyilatkozatokra észrevételt tegyenek.
(9) A vitarendezési testületnek az (1) és (4) bekezdés szerinti kérelem kézhezvételétől számított 90 napon belül meg kell hoznia határozatát a hozzá utalt ügyben. Az említett határozatot írásban vagy tartós adathordozón kell rögzíteni, és indokolással kell alátámasztani.
(10) A vitarendezési testületeknek éves tevékenységi jelentéseket kell összeállítaniuk és nyilvánosan hozzáférhetővé tenniük. Az ilyen éves jelentéseknek különösen a következő általános információkat kell tartalmazniuk:
a) |
a viták kimenetelének összesítése; |
b) |
a viták rendezéséhez igénybe vett átlagos időtartam; |
c) |
a viták leggyakoribb okai. |
(11) Az információk és a bevált gyakorlatok cseréjének megkönnyítése érdekében a vitarendezési testület dönthet úgy, hogy a (10) bekezdésben említett jelentésbe ajánlásokat foglal arra vonatkozóan, hogyan lehet a problémákat elkerülni vagy megoldani.
(12) A vitarendezési testület határozata csak akkor kötelező erejű a felekre nézve, ha a felek a vitarendezési eljárás megkezdése előtt kifejezetten hozzájárultak annak kötelező erejű jellegéhez.
(13) Ez a cikk nem érinti a felek azon jogát, hogy valamely tagállam bíróságához vagy igazságszolgáltatási fórumához forduljanak hatékony jogorvoslatért.
11. cikk
A jogosulatlan adatfelhasználásra vagy -közlésre vonatkozó technikai védelmi intézkedések
(1) Az adatbirtokos megfelelő technikai védelmi intézkedéseket – köztük intelligens szerződéseket és titkosítást – alkalmazhat, hogy megakadályozza az adatokhoz – így többek között a metaadatokhoz – való jogosulatlan hozzáférést, és biztosítsa a 4., 5., 6., 8. és 9. cikknek, valamint az adatok rendelkezésre bocsátására vonatkozóan megállapodott szerződési feltételeknek való megfelelést. Az ilyen technikai védelmi intézkedések nem tehetnek különbséget az adatátvevők között, vagy nem akadályozhatják meg, hogy a felhasználó éljen azon jogával, hogy az adatokról másolatot kapjon, az adatokat visszanyerje, felhasználja vagy azokhoz hozzáférjen, hogy az 5. cikk alapján harmadik feleknek adatokat szolgáltasson, vagy hogy valamely harmadik fél éljen az uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabályok szerinti bármely jogával. Az adatbirtokossal való megállapodás hiányában a felhasználók, harmadik felek és adatátvevők nem módosíthatják, vagy nem szüntethetik meg az ilyen technikai védelmi intézkedéseket.
(2) A (3) bekezdésben említett körülmények fennállása esetén a harmadik fél vagy az adatátvevő indokolatlan késedelem nélkül köteles eleget tenni az adatbirtokos, és adott esetben – amennyiben nem ugyanazon személyekről van szó – az üzleti titok jogosultja vagy a felhasználó következőkre irányuló kéréseinek:
a) |
az adatbirtokos által rendelkezésre bocsátott adatok és azok másolatainak törlése; |
b) |
a termékek, a származtatott adatok vagy az ilyen adatok révén szerzett ismeretek alapján előállított szolgáltatások előállításának, felkínálásának vagy forgalomba hozatalának vagy használatának megszüntetése, vagy jogsértő termékek említett célokból történő behozatalának, kivitelének vagy tárolásának megszüntetése, és a jogsértő termékek megsemmisítése, amennyiben komoly kockázata áll fenn annak, hogy az említett adatok jogellenes használata jelentős kárt fog okozni az adatbirtokosnak, az üzleti titok jogosultjának vagy a felhasználónak, vagy amennyiben az ilyen intézkedés az adatbirtokos, az üzleti titok jogosultja vagy a felhasználó érdekeinek fényében nem volna aránytalan; |
c) |
a felhasználó tájékoztatása az adatok jogosulatlan felhasználásáról vagy közléséről és az adatok jogosulatlan felhasználásának vagy közlésének megszüntetése érdekében hozott intézkedésekről; |
d) |
az ilyen jogellenes hozzáféréssel érintett vagy jogellenesen felhasznált adatokkal való visszaélést vagy az ilyen adatok közzétételét elszenvedő fél kártérítése. |
(3) A (2) bekezdés alkalmazandó amennyiben valamely harmadik fél vagy adatátvevő:
a) |
adatszerzés céljából hamis információkat szolgáltatott valamely adatbirtokosnak, megtévesztő vagy kényszerítő eszközöket alkalmazott, vagy visszaélt az adatbirtokos adatvédelmi célból kialakított technikai infrastruktúrájának hiányosságaival; |
b) |
a rendelkezésére bocsátott adatokat jogosulatlan célokra használta fel, ideértve egy, a 6. cikk (2) bekezdésének e) pontja értelmében vett versengő összekapcsolt termék kifejlesztését; |
c) |
egy másik féllel jogellenes módon közölt adatokat; |
d) |
nem tartotta fenn az 5. cikk (9) bekezdésének megfelelő megállapodás szerinti technikai és szervezési intézkedéseket; vagy |
e) |
az adatbirtokossal való megállapodás nélkül módosította vagy eltávolította az adatbirtokos által az e cikk (1) bekezdése alapján alkalmazott technikai védelmi intézkedéseket. |
(4) A (2) bekezdés alkalmazandó akkor is, amennyiben a felhasználó módosítja vagy eltávolítja az adatbirtokos által alkalmazott technikai védelmi intézkedéseket, vagy nem tartja fenn az adatbirtokossal vagy – amennyiben nem ugyanazon személyekről van szó – az üzleti titkok jogosultjával egyetértésben, a felhasználó által az üzleti titkok megőrzése érdekében hozott technikai és szervezési intézkedéseket, valamint bármely más olyan fél tekintetében, amely a felhasználótól e rendeletet megsértése útján kapja meg az adatokat.
(5) Amennyiben az adatátvevő megsérti a 6. cikk (2) bekezdésének a) vagy b) pontját, a felhasználókat az e cikk (2) bekezdése szerinti adatbirtokosi jogokkal azonos jogok illetik meg.
12. cikk
Az adatok rendelkezésre bocsátására az uniós jog szerint kötelezett adatbirtokosok kötelezettségeinek hatóköre
(1) Ez a fejezet akkor alkalmazandó, amennyiben – vállalkozások közötti kapcsolatok keretében – az adatbirtokos az 5. cikk vagy az alkalmazandó uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabály alapján köteles adatokat bocsátani valamely adatátvevő rendelkezésére.
(2) Valamely adatmegosztási megállapodásban foglalt olyan szerződési feltétel, amely – az egyik fél vagy adott esetben a felhasználó kárára – kizárja e fejezet alkalmazását, eltér attól, vagy megváltoztatja annak hatását, nem kötelező erejű az adott félre nézve.
IV. FEJEZET
A VÁLLALKOZÁSOK KÖZÖTTI, AZ ADATHOZZÁFÉRÉSSEL ÉS -FELHASZNÁLÁSSAL KAPCSOLATOS TISZTESSÉGTELEN SZERZŐDÉSI FELTÉTELEK
13. cikk
Egy másik vállalkozásra nézve egyoldalúan megállapított tisztességtelen szerződési feltételek
(1) Valamely vállalkozás által egy másik vállalkozásra nézve egyoldalúan megállapított, adathozzáférésre és -felhasználásra, valamint az adatokkal kapcsolatos kötelezettségek megsértése vagy felmondása esetén fennálló felelősségre és jogorvoslatokra vonatkozó szerződési feltétel nem kötelező erejű az utóbbi vállalkozásra nézve, ha a feltétel tisztességtelen.
(2) Nem tekinthető tisztességtelennek az olyan szerződési feltétel, amely kötelező erejű uniós jogi rendelkezést vagy olyan uniós jogi rendelkezést tükröz, amely alkalmazandó volna, ha a szerződési feltételek nem szabályoznák a kérdést.
(3) Egy szerződési feltétel tisztességtelen, ha olyan jellegű, hogy alkalmazása jelentősen eltér az adathozzáférés és -felhasználás terén alkalmazott helyes üzleti gyakorlattól, ellentétesen a jóhiszeműség és a tisztességes kereskedés elvével.
(4) Így különösen, tisztességtelen egy szerződési feltétel a (2) bekezdés alkalmazásában, ha annak tárgya vagy hatása a következőre irányul:
a) |
kizárni vagy korlátozni a feltételt egyoldalúan megállapító félnek a szándékos cselekmények vagy súlyos gondatlanság esetén fennálló felelősségét; |
b) |
kizárni azon fél, amelyre nézve a feltételt egyoldalúan megállapították, számára rendelkezésre álló jogorvoslatokat a szerződéses kötelezettségek nemteljesítése esetén, vagy kizárni a feltételt egyoldalúan megállapító fél felelősségét az említett kötelezettségek megszegése esetén; |
c) |
kizárólagos jogot biztosítani a feltételt egyoldalúan megállapító fél számára annak meghatározására, hogy a szolgáltatott adatok megfelelnek-e a szerződésnek, vagy bármely szerződési feltétel értelmezésére. |
(5) A szerződési feltétel vélelmezhetően tisztességtelen a (3) bekezdés alkalmazásában, ha annak tárgya vagy hatása a következőre irányul:
a) |
helytelenül korlátozni a jogorvoslati lehetőségeket a szerződéses kötelezettségek nemteljesítése, vagy a felelősséget az említett kötelezettségek megszegése esetén, vagy kiterjeszteni azon vállalkozás felelősségét, amelyre nézve a feltételt egyoldalúan megállapították; |
b) |
lehetővé tenni, hogy a feltételt egyoldalúan megállapító fél a másik szerződő fél adataihoz olyan módon férjen hozzá és azokat olyan módon használja fel, amely jelentősen sérti a másik szerződő fél jogos érdekeit, különösen akkor, ha az ilyen adatok üzleti szempontból érzékeny adatokat tartalmaznak, vagy üzleti titkok vagy szellemitulajdon-jogok védik azokat; |
c) |
megakadályozni, hogy az a fél, amelyre nézve a feltételt egyoldalúan megállapították, a szerződés időtartama alatt felhasználja az általa szolgáltatott vagy generált adatokat, vagy olyan mértékben korlátozni az ilyen adatok felhasználását, hogy az említett fél nem jogosult az ilyen adatok felhasználására, rögzítésére, az azokhoz való hozzáférésre vagy azok ellenőrzésére, vagy az ilyen adatok értékének kiaknázására megfelelő módon; |
d) |
megakadályozni, hogy az a fél, amelyre nézve a feltételt egyoldalúan megállapították, észszerű határidőn belül felmondja a megállapodást; |
e) |
megakadályozni, hogy az a fél, amelyre nézve a feltételt egyoldalúan megállapították, a szerződés időtartama alatt vagy a szerződés megszűnését követő észszerű időtartamon belül másolathoz jusson az általa szolgáltatott vagy generált adatokról; |
f) |
lehetővé tenni a feltételt egyoldalúan megállapító fél számára, hogy indokolatlanul rövid határidővel felmondja a szerződést, figyelembe véve a másik szerződő fél bármely észszerű lehetőségét arra nézve, hogy egy alternatív és összehasonlítható szolgáltatásra váltson, valamint az ilyen felmondás által okozott pénzügyi hátrányt, kivéve, amennyiben az ilyen eljárásra komoly indokok szolgálnak; |
g) |
lehetővé tenni a feltételt egyoldalúan megállapító fél számára, hogy lényegesen megváltoztassa a szerződésben meghatározott árat vagy a megosztandó adatok jellegével, formátumával, minőségével vagy mennyiségével kapcsolatos bármely más lényeges feltételt, amennyiben a szerződés nem jelöl meg érvényes indokot, és nem ad jogot a másik félnek a szerződés felmondására ilyen változtatás esetén. |
Az első albekezdés g) pontja nem érinti azon feltételeket, amelyek értelmében a feltételt egyoldalúan megállapító fél fenntartja a határozatlan időre szóló szerződés feltételei egyoldalú megváltoztatásának jogát, feltéve, hogy a szerződés érvényes indokot jelölt meg az ilyen egyoldalú változtatásokra, hogy a feltételt egyoldalúan megállapító fél észszerű határidővel köteles tájékoztatni a másik szerződő felet bármely ilyen szándékolt változtatásról, és hogy a másik szerződő fél költségmentesen felmondhatja a szerződést a változtatás esetében.
(6) Valamely szerződési feltétel e cikk értelmében akkor minősül egyoldalúan megállapítottnak, ha azt az egyik szerződő fél írta elő, és annak tartalmát a másik szerződő fél az annak megtárgyalására irányuló kísérlete ellenére sem tudta befolyásolni. A szerződési feltételt előíró szerződő fél viseli annak bizonyítása terhét, hogy az említett feltétel nem egyoldalúan került megállapításra. A vitatott szerződési feltételt előíró szerződő fél nem hivatkozhat arra, hogy a feltétel tisztességtelen szerződési feltétel.
(7) Amennyiben a tisztességtelen szerződési feltétel elválasztható a szerződés többi feltételétől, a többi feltétel továbbra is kötelező erejű.
(8) Ez a cikk nem alkalmazandó a szerződés elsődleges tárgyát meghatározó szerződési feltételekre vagy a szolgáltatott adatokért fizetendő ár megfelelőségére.
(9) Az (1) bekezdés hatálya alá tartozó szerződés felei nem zárhatják ki e cikk alkalmazását, nem térhetnek el attól, és nem módosíthatják annak hatásait.
V. FEJEZET
ADATOK RENDELKEZÉSRE BOCSÁTÁSA KÖZSZFÉRABELI SZERVEZETEK, A BIZOTTSÁG, AZ EURÓPAI KÖZPONTI BANK ÉS UNIÓS SZERVEK SZÁMÁRA RENDKÍVÜLI IGÉNY ALAPJÁN
14. cikk
Kötelezettség az adatok rendelkezésre bocsátására rendkívüli igény alapján
Amennyiben egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv a 15. cikkben foglaltaknak megfelelően bizonyítja, hogy rendkívüli igény áll fenn a jogszabályban előírt feladatainak közérdekből történő ellátásához bizonyos adatok felhasználására, ideértve az említett adatok értelmezéséhez és felhasználásához szükséges releváns metaadatokat is, azon jogi személyiséggel rendelkező adatbirtokosok – a közszférabeli szervezetek kivételével –, amelyek az említett adatokkal rendelkeznek, kellően indokolt kérésre kötelesek azokat rendelkezésre bocsátani.
15. cikk
Adatok felhasználására vonatkozó rendkívüli igény
(1) Az e fejezet értelmében vett bizonyos adatok felhasználására vonatkozó rendkívüli igény időtartama és hatálya korlátozott, és csak a következő körülmények bármelyikének fennállása esetén tekinthető meglévőnek:
a) |
amennyiben a kért adatokra szükséghelyzetre való reagáláshoz van szükség, és a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv nem képes más eszközökkel időben és hatékonyan, egyenértékű feltételek mellett megszerezni az ilyen adatokat; |
b) |
az a) pont hatálya alá nem tartozó körülmények között és csak annyiban, amennyiben nem személyes adatokról van szó:
|
(2) Az (1) bekezdés b) pontja nem alkalmazandó a mikro- és kisvállalkozásokra.
(3) Az annak bizonyítására vonatkozó kötelezettség, hogy a közszférabeli szervezet nem volt képes nem személyes adatokat azok piacon való megvásárlásával beszerezni, nem alkalmazandó, amennyiben a közérdekből végzett konkrét feladat hivatalos statisztikák előállítása, és amennyiben a nemzeti jog nem teszi lehetővé az ilyen adatok megvásárlását.
16. cikk
Kapcsolat az adatoknak a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank és az uniós szervek rendelkezésére bocsátására vonatkozó egyéb kötelezettségekkel
(1) Ez a fejezet nem érinti a jelentéstétel, az információhoz való hozzáférés iránti kérelmek teljesítése vagy jogi kötelezettségeknek való megfelelés bizonyítása vagy ellenőrzése céljából az uniós vagy nemzeti jogban megállapított kötelezettségeket.
(2) Ez a fejezet nem alkalmazandó azon közszférabeli szervezetekre, a Bizottságra, az Európai Központi Bankra vagy azon uniós szervekre, amelyek bűncselekmények vagy szabálysértések megelőzésére, nyomozására, felderítésére, büntetőeljárás alá vonására vagy büntetőjogi szankciók végrehajtására irányuló tevékenységeket folytatnak, sem pedig a vám- és adóigazgatásra. Ez a fejezet nem érinti a bűncselekmények vagy a szabálysértések megelőzésére, nyomozására, felderítésére, büntetőeljárás alá vonására vagy büntetőjogi vagy közigazgatási szankciók végrehajtására, vagy a vám- és adóigazgatásra vonatkozó, alkalmazandó uniós és nemzeti jogot.
17. cikk
Az adatok rendelkezésre bocsátása iránti kérelmek
(1) A 14. cikk szerinti adatigénylés esetén a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv:
a) |
meghatározza a kért adatokat, ideértve az említett adatok értelmezéséhez és felhasználásához szükséges releváns metaadatokat is; |
b) |
bizonyítja, hogy teljesülnek egy olyan rendkívüli igény fennállásához szükséges, a 15. cikkben említett feltételek, amelynek céljára az adatokat igénylik; |
c) |
ismerteti a kérelem célját, a kért adatok tervezett felhasználását, beleértve adott esetben azoknak egy harmadik fél általi felhasználását az e cikk (4) bekezdésével összhangban, az említett felhasználás időtartamát, továbbá adott esetben azt, hogy a személyes adatok kezelése hogyan szolgálja a rendkívüli igény kielégítését; |
d) |
lehetőség szerint meghatározza, hogy mikorra várható az adatoknak az azokhoz hozzáféréssel rendelkező valamennyi fél általi törlése; |
e) |
megindokolja azon adatbirtokos kiválasztását, amelyhez a kérelmet intézték; |
f) |
meghatározza azon egyéb közszférabeli szervezeteket, a Bizottságot, az Európai Központi Bankot vagy azon uniós szerveket és harmadik feleket, amelyekkel a kért adatokat várhatóan megosztják; |
g) |
személyes adatok igénylése esetén meghatározza az adatvédelmi elvek érvényesítéséhez szükséges és azzal arányos technikai és szervezési intézkedéseket, valamint a szükséges biztosítékokat, így például álnevesítést, továbbá azt, hogy az adatbirtokos az adatok rendelkezésre bocsátása előtt alkalmazhat-e anonimizálást; |
h) |
megnevezi azon jogi rendelkezést, amely a kérelmező közszférabeli szervezetre, a Bizottságra, az Európai Központi Bankra vagy az uniós szervre bízza az adatigénylés szempontjából releváns, közérdekből végzett konkrét feladatot; |
i) |
meghatározza azon határidőt, ameddig az adatokat rendelkezésre kell bocsátani, valamint a 18. cikk (2) bekezdésében említett azon határidőt, ameddig az adatbirtokos elutasíthatja a kérelmet, vagy kérheti annak módosítását; |
j) |
mindent megtesz annak elkerülése érdekében, hogy az adatigénylés teljesítése az adatbirtokosnak az uniós vagy a nemzeti jog megsértéséért fennálló felelősségét eredményezze. |
(2) Az e cikk (1) bekezdése alapján benyújtott adatigénylés(t):
a) |
írásban, világos, tömör, egyszerű és az adatbirtokos számára érthető megfogalmazásban kell benyújtani; |
b) |
konkrét a kért adatok típusát illetően, és olyan adatokra vonatkozik, amelyek felett az adatbirtokos az igénylés időpontjában rendelkezik; |
c) |
a rendkívüli igénnyel arányos, továbbá kellően indokolt a kért adatok részletezettségét és mennyiségét, valamint a kért adatokhoz való hozzáférés gyakoriságát illetően; |
d) |
tiszteletben tartja az adatbirtokos jogos céljait – aki vállalja az üzleti titkok védelmének biztosítását a 19. cikk (3) bekezdésével összhangban –, valamint az adatok rendelkezésre bocsátásához megkövetelt költségeket és erőfeszítéseket; |
e) |
nem személyes adatokra vonatkozik, és – csak akkor, ha ez bizonyítottan elégtelen az adatok felhasználása iránti rendkívüli igény kielégítéséhez a 15. cikk (1) bekezdésének a) pontjával összhangban – álnevesített formában lévő személyes adatokra irányul, és az adatok védelme érdekében hozandó technikai és szervezési intézkedéseket állapít meg; |
f) |
tájékoztatja az adatbirtokost az igénylésnek való meg nem felelés esetén a 37. cikk alapján kijelölt illetékes hatóság által a 40. cikk alapján kiszabandó szankciókról; |
g) |
amennyiben a kérelmet egy közszférabeli szervezet nyújtja be, továbbítani kell a kérelmező közszférabeli szervezet székhelye szerinti tagállam 37. cikkben említett adatkoordinátorának, aki indokolatlan késedelem nélkül online elérhetővé teszi a kérelmet, kivéve, ha az adatkoordinátor úgy ítéli meg, hogy az ilyen közzététel kockázatot jelentene a közbiztonságra nézve; |
h) |
amennyiben a kérelmet a Bizottság, az Európai Központi Bank vagy egy uniós szerv nyújtja be, indokolatlan késedelem nélkül online elérhetővé kell tenni; |
i) |
amennyiben személyes adatokat igényelnek, indokolatlan késedelem nélkül értesíteni kell arról az adatbirtokos letelepedése szerinti tagállamban az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért felelős felügyeleti hatóságot. |
Az Európai Központi Bank és az uniós szervek kérelmeikről tájékoztatják a Bizottságot.
(3) A közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv nem bocsáthatja rendelkezésre az e fejezet alapján megszerzett adatokat az (EU) 2022/868 rendelet 2. cikkének 2. pontjában vagy az (EU) 2019/1024 irányelv 2. cikkének 11. pontjában meghatározott további felhasználás céljára. Az (EU) 2022/868 rendelet és az (EU) 2019/1024 irányelv nem alkalmazandó a közszférabeli szervezetek által birtokolt, e fejezet alapján megszerzett adatokra.
(4) E cikk (3) bekezdése nem zárja ki, hogy egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv az e fejezet alapján megszerzett adatokat kicserélje egy másik közszférabeli szervezettel, vagy a Bizottsággal, az Európai Központi Bankkal vagy egy uniós szervvel a 15. cikkben említett feladatok ellátása céljából, a kérelemben az e cikk (1) bekezdésének f) pontjával összhangban meghatározottak szerint, vagy hogy harmadik fél rendelkezésére bocsássa az adatokat, amennyiben nyilvánosan elérhető megállapodás útján technikai ellenőrzéseket vagy egyéb feladatokat delegált az említett harmadik félre. A közszférabeli szervezetek 19. cikk szerinti kötelezettségei – különösen az üzleti titkok bizalmas jellegének megőrzését szolgáló biztosítékok – az ilyen harmadik felekre is alkalmazandók. Amennyiben egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv e bekezdés alapján adatokat továbbít vagy bocsát rendelkezésre, indokolatlan késedelem nélkül értesíti az adatbirtokost, akitől vagy amelytől az adatokat kapta.
(5) Amennyiben az adatbirtokos úgy ítéli meg, hogy az adatok továbbítása vagy rendelkezésre bocsátása révén sérültek az e fejezet szerinti jogai, panaszt nyújthat be az adatbirtokos letelepedése szerinti tagállamnak a 37. cikk alapján kijelölt illetékes hatóságához.
(6) A Bizottság kidolgozza az e cikk szerinti kérelmek vonatkozó formanyomtatvány-mintát.
18. cikk
Az adatigénylési kérelmek teljesítése
(1) Az adatbirtokos, amely e fejezet alapján adatok rendelkezésre bocsátása iránti kérelmet kap, indokolatlan késedelem nélkül a kérelmező közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv rendelkezésére bocsátja az adatokat, figyelembe véve a szükséges technikai, szervezési és jogi intézkedéseket.
(2) Az uniós vagy a nemzeti jogban meghatározott, az adatok rendelkezésre állásával kapcsolatos meghatározott szükségletek sérelme nélkül az adatbirtokos a szükséghelyzetre való reagáláshoz szükséges adatok esetében – indokolatlan késedelem nélkül, de mindenképpen a kérelem kézhezvételétől számított legfeljebb öt munkanapon belül, valamint a rendkívüli igény egyéb eseteiben indokolatlan késedelem nélkül, az ilyen kérelem kézhezvételétől számított legfeljebb 30 munkanapon belül – elutasíthatja az e fejezet szerinti, adatok rendelkezésre bocsátása iránti kérelmet, vagy kérheti annak módosítását a következő indokok bármelyike alapján:
a) |
az adatbirtokos nem rendelkezik a kért adatok felett; |
b) |
egy másik közszférabeli szervezet, vagy a Bizottság, az Európai Központi Bank vagy egy uniós szerv korábban ugyanazon célból nyújtott be hasonló kérelmet, és az adatbirtokost nem értesítették az adatok törléséről a 19. cikk (1) bekezdésének c) pontja szerint; |
c) |
a kérelem nem felel meg a 17. cikk (1) és (2) bekezdésében meghatározott feltételeknek. |
(3) Ha az adatbirtokos úgy dönt, hogy a (2) bekezdés b) pontjával összhangban elutasítja a kérelmet vagy kéri annak módosítását, meg kell jelölnie azon közszférabeli szervezetet, vagy a Bizottságot, az Európai Központi Bankot vagy azon uniós szervet, amely korábban ugyanazon célból nyújtott be kérelmet.
(4) Amennyiben a kért adatok személyes adatokat tartalmaznak, az adatbirtokosnak megfelelően anonimizálnia kell az adatokat, kivéve, ha az adatoknak egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv számára történő rendelkezésre bocsátása iránti kérelem teljesítéséhez személyes adatok közlésére van szükség. Ilyen esetekben az adatbirtokosnak álnevesítenie kell az adatokat.
(5) Amennyiben a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv meg kívánja támadni az adatbirtokos azon döntését, hogy megtagadja a kért adatok szolgáltatását, vagy amennyiben az adatbirtokos meg kívánja támadni a kérelmet, és az ügy nem rendezhető a kérelem megfelelő módosításával, az ügyet az adatbirtokos letelepedése szerinti tagállamnak a 37. cikk alapján kijelölt illetékes hatósága elé kell utalni.
19. cikk
A közszférabeli szervezetek, a Bizottság, az Európai Központi Bank és az uniós szervek kötelezettségei
(1) Amennyiben egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv a 14. cikk szerint benyújtott kérelem alapján adatokat kap:
a) |
nem használhatja fel az adatokat az igénylés céljával összeegyeztethetetlen módon; |
b) |
olyan technikai és szervezési intézkedéseket vezet be, amelyek megőrzik a kért adatok bizalmas jellegét és integritását és az adattovábbítások biztonságosságát, különös tekintettel a személyes adatokra, továbbá biztosítják az érintettek jogait és szabadságait; |
c) |
törli az adatokat, amint azok már nem szükségesek a megadott célra, és indokolatlan késedelem nélkül tájékoztatja az adatok törléséről az adatbirtokost, valamint azon egyéneket vagy szervezeteket, amelyek a 21. cikk (1) bekezdése alapján megkapták az adatokat, kivéve, ha a dokumentumokhoz való nyilvános hozzáférésről szóló uniós vagy nemzeti jog az átláthatósági kötelezettségekkel összefüggésben az adatok archiválását írja elő. |
(2) Amennyiben egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank, egy uniós szerv vagy egy harmadik fél e fejezet alapján adatokat kap, nem teheti meg, hogy:
a) |
felhasználja az adatbirtokos gazdasági helyzetére, eszközeire, termelési vagy működési eljárásaira vonatkozó adatokat vagy az ezekbe való betekintést az adatbirtokos összekapcsolt termékével vagy kapcsolódó szolgáltatásával versengő összekapcsolt termék vagy kapcsolódó szolgáltatás kifejlesztésére vagy továbbfejlesztésére; |
b) |
megosztja az adatokat az a) pontban említett bármelyik cél érdekében egy másik harmadik féllel. |
(3) Az üzleti titkoknak egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv számára történő felfedése csak a 15. cikk szerinti kérelem céljának eléréséhez feltétlenül szükséges mértékben követelhető meg. Ilyen esetben az adatbirtokosnak vagy – amennyiben nem ugyanazon személyekről van szó – az üzleti titok jogosultjának azonosítania kell, hogy a kapcsolódó metaadatokkal együtt mely adatok védettek üzleti titokként. A közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv az üzleti titok felfedése előtt minden szükséges és megfelelő technikai és szervezési intézkedést megtesz, hogy megőrizze az üzleti titkok bizalmas jellegét, ideértve adott esetben minta-szerződésifeltételek és technikai szabványok használatát, valamint magatartási kódexek alkalmazását.
(4) A közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv felel az általa kapott adatok biztonságáért.
20. cikk
Kompenzáció rendkívüli igény esetén
(1) A mikro- és kisvállalkozásokon kívüli adatbirtokosok díjmentesen bocsátják rendelkezésre a 15. cikk (1) bekezdésének a) pontja alapján a szükséghelyzetre való reagáláshoz szükséges adatokat. Amennyiben a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv adatokat kapott, az adatbirtokosnak nyilvános elismerést biztosít, ha az adatbirtokos ezt kéri.
(2) Az adatbirtokos méltányos kompenzációra jogosult, amiért a 15. cikk (1) bekezdésének b) pontja alapján benyújtott kérelemnek eleget téve adatokat bocsát rendelkezésre. Az ilyen kompenzációnak fedeznie kell a kérelem teljesítésével felmerült technikai és szervezési költségeket, ideértve adott esetben az anonimizálás, az álnevesítés, az összesítés és a technikai kiigazítás költségeit és egy észszerű árrést. A közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv kérésére az adatbirtokosnak tájékoztatást kell nyújtania a költségek és az észszerű árrés kiszámítására szolgáló alapról.
(3) A (2) bekezdés alkalmazandó akkor is, ha mikrovállakozás és kisvállalkozás igényel kompenzációt az adatok rendelkezésre bocsátásáért.
(4) Az adatbirtokosok nem jogosultak kompenzációra adatoknak a 15. cikk (1) bekezdésének b) pontja alapján benyújtott kérelemnek eleget téve történő rendelkezésre bocsátásáért, amennyiben a közérdekből végzett konkrét feladat hivatalos statisztikák előállítása, és amennyiben a nemzeti jog nem teszi lehetővé az adatok megvásárlását. A tagállamok értesítik a Bizottságot, amennyiben a nemzeti jog nem teszi lehetővé adatok megvásárlását a hivatalos statisztikák előállítása céljából.
(5) Amennyiben a közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv nem ért egyet az adatbirtokos által kért kompenzáció mértékével, panaszt nyújthat be az adatbirtokos letelepedése szerinti tagállamnak a 37. cikk alapján kijelölt illetékes hatóságához.
21. cikk
Rendkívüli igénnyel összefüggésben szerzett adatok megosztása kutatószervezetekkel vagy statisztikai szervekkel
(1) Valamely közszférabeli szervezetnek, a Bizottságnak, az Európai Központi Banknak vagy egy uniós szervnek jogosultnak kell lennie arra, hogy megossza az e fejezet alapján kapott adatokat:
a) |
egyénekkel vagy szervezetekkel olyan tudományos kutatás vagy elemzés elvégzésére tekintettel, amely összeegyeztethető az adatigénylés céljával; vagy |
b) |
nemzeti statisztikai hivatalokkal és az Eurostattal hivatalos statisztikák előállítása céljából. |
(2) Az adatokat az (1) bekezdés alapján megkapó egyéneknek vagy szervezeteknek nonprofit alapon, vagy az uniós vagy nemzeti jogban elismert, közérdekű feladat keretében kell eljárniuk. Nem tartozhatnak közéjük olyan szervezetek, amelyek felett üzleti vállalkozások olyan jelentős befolyással rendelkeznek, amely valószínűsíthetően a kutatás eredményeihez való preferenciális hozzáférést eredményez.
(3) Az adatokat az e cikk (1) bekezdése alapján megkapó egyéneknek vagy szervezeteknek ugyanazon kötelezettségeknek kell megfelelniük, mint amelyek a közszférabeli szervezetekre, a Bizottságra, az Európai Központi Bankra vagy uniós szervekre alkalmazandók a 17. cikk (3) bekezdése és a 19. cikk alapján.
(4) A 19. cikk (1) bekezdésének c) pontja ellenére, az adatokat az e cikk (1) bekezdése alapján megkapó egyének vagy szervezetek legfeljebb hat hónapig megtarthatják a kapott adatokat abból a célból, amelyre azokat igényelték, azt követően, hogy a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank vagy az uniós szervek törölték azokat.
(5) Amennyiben egy közszférabeli szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv e cikk (1) bekezdése alapján adatokat szándékozik továbbítani vagy rendelkezésre bocsátani, indokolatlan késedelem nélkül értesíti az adatbirtokost, akitől az adatokat kapta, megadva az adatokat megkapó szervezet vagy egyén kilétét és elérhetőségeit, az adatok továbbításának vagy rendelkezésre bocsátásának célját, az adatok felhasználhatóságának időtartamát, valamint a meghozott technikai védelmi és szervezési intézkedéseket, akkor is, ha személyes adatok és üzleti titkok érintettek. Amennyiben az adatbirtokos nem ért egyet az adatok továbbításával vagy rendelkezésre bocsátásával, panaszt nyújthat be az adatbirtokos letelepedése szerinti tagállamnak a 37. cikk alapján kijelölt illetékes hatóságához.
22. cikk
Kölcsönös segítségnyújtás és határokon átnyúló együttműködés
(1) A közszférabeli szervezetek, a Bizottság, az Európai Központi Bank és az uniós szervek együttműködnek és segítik egymást e fejezet következetes módon történő végrehajtása érdekében.
(2) Az (1) bekezdés alapján igényelt és biztosított segítségnyújtás keretében kicserélt adatok nem használhatók fel az igénylés céljával összeegyeztethetetlen módon.
(3) Amennyiben egy közszférabeli szervezet egy másik tagállamban letelepedett adatbirtokostól szándékozik adatokat igényelni, e szándékáról először az említett tagállamban a 37. cikk alapján kijelölt illetékes hatóságot kell értesítenie. Ez a követelmény a Bizottság, az Európai Központi Bank és az uniós szervek általi kérelmekre is alkalmazandó. A kérelmet az adatbirtokos letelepedése szerinti tagállam illetékes hatóságának kell megvizsgálnia.
(4) A releváns illetékes hatóságnak, miután a kérelmet a 17. cikkben meghatározott követelmények fényében megvizsgálta, indokolatlan késedelem nélkül meg kell hoznia a következő intézkedések egyikét:
a) |
továbbítani a kérelmet az adatbirtokosnak, és adott esetben javasolni az igénylő közszférabeli szervezetnek, a Bizottságnak, az Európai Központi Banknak vagy az uniós szervnek, hogy az adatbirtokos letelepedése szerinti tagállam közszférabeli szervezeteivel való együttműködésre van szükség – adott esetben – abból a célból, hogy csökkentsék az adatbirtokosra a kérelem teljesítésével összefüggésben háruló adminisztratív terheket; |
b) |
e fejezettel összhangban, kellően alátámasztott okokból elutasítani a kérelmet. |
Az igénylő közszférabeli szervezet, a Bizottság, az Európai Központi Bank és az uniós szerv figyelembe veszi a releváns illetékes hatóság javaslatát és az első albekezdés alapján általa szolgáltatott indokokat, mielőtt további intézkedést hozna, így például – adott esetben – ismételten benyújtaná a kérelmet.
VI. FEJEZET
ADATKEZELÉSI SZOLGÁLTATÁSOK KÖZÖTTI VÁLTÁS
23. cikk
A tényleges szolgáltatóváltás akadályainak felszámolása
Az adatkezelési szolgáltatók meghozzák a 25., 26., 27., 29. és 30. cikkben előírt intézkedéseket, hogy lehetővé tegyék az ügyfelek számára, hogy egy eltérő adatkezelési szolgáltató által biztosított, azonos szolgáltatástípust nyújtó adatkezelési szolgáltatásra vagy helyszíni IKT-infrastruktúrára váltsanak, vagy adott esetben egyidejűleg több adatkezelési szolgáltatót vegyenek igénybe. Így különösen, az adatkezelési szolgáltatók nem támaszthatnak olyan kereskedelmi hasznosítást megelőző, kereskedelmi, technikai, szerződéses és szervezési akadályokat – és azokat fel kell számolniuk –, amelyek gátolják az ügyfeleket a következőkben:
a) |
az adatkezelési szolgáltatásra vonatkozó szerződés felmondása a maximális felmondási időt és a szolgáltatóváltási folyamatnak a 25. cikkel összhangban történő sikeres befejezését követően; |
b) |
új szerződések kötése egy azonos szolgáltatástípust nyújtó, eltérő adatkezelési szolgáltatóval; |
c) |
az ügyfél exportálható adatainak és digitális eszközeinek egy eltérő adatkezelési szolgáltatóhoz vagy egy helyszíni IKT-infrastruktúrához történő áthelyezése, azt követően is, hogy díjmentes ajánlattal élt; |
d) |
a 24. cikkel összhangban funkcionális egyenértékűség elérése az új adatkezelési szolgáltatás igénybevétele során egy azonos szolgáltatástípust nyújtó, eltérő adatkezelési szolgáltató IKT-környezetében; |
e) |
amennyiben technikailag kivitelezhető, a 30. cikk (1) bekezdésében említett adatkezelési szolgáltatások leválasztása az adatkezelési szolgáltató által nyújtott egyéb adatkezelési szolgáltatásokról. |
24. cikk
A technikai kötelezettségek hatálya
Az adatkezelési szolgáltatóknak a 23., 25., 29., 30. és 34. cikkben meghatározott kötelezettségei kizárólag a forrás adatkezelési szolgáltató által nyújtott szolgáltatásokra, szerződésekre vagy kereskedelmi gyakorlatokra alkalmazandók.
25. cikk
A szolgáltatóváltásra vonatkozó szerződési feltételek
(1) A szolgáltatók közötti vagy adott esetben egy helyszíni IKT-infrastruktúrára történő váltással kapcsolatban az ügyfél jogait és az adatkezelési szolgáltatások szolgáltatójának kötelezettségeit írásbeli szerződésben kell egyértelműen rögzíteni. Az adatkezelési szolgáltatások szolgáltatójának az említett szerződést aláírása előtt az ügyfél rendelkezésére kell bocsátania olyan módon, amely lehetővé teszi az ügyfél számára a szerződés megőrzését és másolat készítését.
(2) Az (EU) 2019/770 irányelv sérelme nélkül az e cikk (1) bekezdésében említett szerződésnek legalább a következőket kell tartalmaznia:
a) |
olyan kikötések, amelyek lehetővé teszik az ügyfél számára, hogy kérésre egy eltérő adatkezelési szolgáltató által kínált adatkezelési szolgáltatásra váltson, vagy valamennyi exportálható adatot és digitális eszközt egy helyszíni IKT-infrastruktúrába vigyen át indokolatlan késedelem nélkül, és mindenképpen a d) pontban említett maximális felmondási időt követően indítandó, legfeljebb 30 naptári napos kötelező maximális átmeneti időszakon belül, amely alatt a szolgáltatási szerződés továbbra is alkalmazandó, és amely alatt az adatkezelési szolgáltató köteles:
|
b) |
az adatkezelési szolgáltató azon kötelezettsége, hogy támogassa az ügyfélnek a szerződéses szolgáltatásokból történő kilépési stratégiáját, többek között valamennyi releváns információ rendelkezésre bocsátásával; |
c) |
olyan kikötés, amely rögzíti, hogy a szerződést a következő esetek valamelyikében megszűntnek kell tekinteni, és az ügyfelet értesíteni kell a megszűnésről:
|
d) |
a szolgáltatóváltási folyamat megindításához szükséges maximális felmondási idő, amely nem haladhatja meg a két hónapot; |
e) |
a szolgáltatóváltási folyamat során átvihető valamennyi adatkategória és digitális eszköz teljes körű leírása, beleértve legalább az összes exportálható adatot; |
f) |
a szolgáltató adatkezelési szolgáltatásának belső működése szempontjából sajátos azon adatkategóriák teljes körű meghatározása, amelyeket ki kell venni az e bekezdés e) pontja szerinti exportálható adatok közül, amennyiben fennáll a szolgáltató üzleti titkai megsértésének kockázata, feltéve, hogy az ilyen kivételek nem gátolják vagy késleltetik a 23. cikkben előírt szolgáltatóváltási folyamatot; |
g) |
az átmeneti időszaknak az ügyfél és az adatkezelési szolgáltató közötti megállapodás szerinti lezárása után kezdődő, legalább 30 naptári napos minimális adatvisszanyerési időszak, az e bekezdés a) pontjával és a (4) bekezdéssel összhangban; |
h) |
olyan kikötés, amely garantálja a közvetlenül az ügyfél által generált vagy közvetlenül az ügyfélhez kapcsolódó valamennyi exportálható adat és digitális eszköz teljes körű törlését a g) pontban említett visszanyerési időszak lejártát követően, vagy egy megállapodott alternatív időszaknak a g) pontban említett visszanyerési időszak lejártánál későbbi napon történő lejártát követően, feltéve, hogy a szolgáltatóváltási folyamatot sikeresen befejezték; |
i) |
az adatkezelési szolgáltatók által a 29. cikkel összhangban kiróható szolgáltatóváltási díjak. |
(3) Az (1) bekezdésben említett szerződésnek olyan kikötéseket kell tartalmaznia, amelyek úgy rendelkeznek, hogy az ügyfél értesítheti az adatkezelési szolgáltatót azon döntéséről, amely szerint a (2) bekezdés d) pontjában említett maximális felmondási időszak lezárását követően megteszi a következő egy vagy több lépést:
a) |
vált egy eltérő adatkezelési szolgáltatóra, amely esetben az ügyfélnek meg kell adnia az említett szolgáltató szükséges adatait; |
b) |
vált egy helyszíni IKT-infrastruktúrára; |
c) |
törli az exportálható adatait és digitális eszközeit. |
(4) Amennyiben a (2) bekezdés a) pontjában előírt kötelező maximális átmeneti időszak technikailag kivitelezhetetlen, az adatkezelési szolgáltató a szolgáltatóváltás iránti kérelem benyújtását követő 14 munkanapon belül értesíti az ügyfelet, és megfelelően megindokolja a technikai kivitelezhetetlenséget, valamint megjelöl egy alternatív, hét hónapot meg nem haladó átmeneti időszakot. Az (1) bekezdéssel összhangban az alternatív átmeneti időszak alatt végig biztosítani kell a szolgáltatás folytonosságát.
(5) A (4) bekezdés sérelme nélkül, az (1) bekezdésben említett szerződésnek olyan kikötéseket kell tartalmaznia, amelyek biztosítják az ügyfélnek a jogot, hogy meghosszabbítsa az átmeneti időszakot egyszer, az ügyfél saját céljainak jobban megfelelő időtartamra.
26. cikk
Az adatkezelési szolgáltatók tájékoztatási kötelezettsége
Az adatkezelési szolgáltató biztosítja az ügyfél számára a következőket:
a) |
a szolgáltatóváltás és adathordozás céljára rendelkezésre álló eljárásokra vonatkozó tájékoztatás, ideértve a rendelkezésre álló szolgáltatásváltási és adathordozási módszereket és formátumokat, valamint az adatkezelési szolgáltató által ismert korlátozásokat és technikai korlátokat; |
b) |
az adatkezelési szolgáltató által fenntartott, naprakész online nyilvántartásra való hivatkozás, részletesen megadva valamennyi adatstruktúrát és adatformátumot, valamint a releváns szabványokat és nyílt interoperabilitási előírásokat, amelyekben rendelkezésre állnak a 25. cikk (2) bekezdésének e) pontjában említett exportálható adatok. |
27. cikk
A jóhiszeműségi kötelezettség
Valamennyi érintett fél – ideértve a cél adatkezelési szolgáltatókat is – jóhiszeműen együttműködik, hogy a szolgáltatóváltási folyamat eredményes legyen, hogy az adatok időben történő továbbítása lehetővé váljék és hogy az adatkezelési szolgáltatás folytonossága fenntartásra kerüljön.
28. cikk
A nemzetközi hozzáférésre és továbbításra vonatkozó szerződéses átláthatósági kötelezettségek
(1) Az adatkezelési szolgáltatók a honlapjaikon elérhetővé teszik és naprakészen tartják a következő információkat:
a) |
azon joghatóság, amely alá az egyes szolgáltatásaik adatkezelésének céljára telepített IKT-infrastruktúra tartozik; |
b) |
az adatkezelési szolgáltató által elfogadott technikai, szervezési és szerződéses intézkedések általános ismertetése annak érdekében, hogy megakadályozzák az Unióban tárolt nem személyes adatokhoz való nemzetközi kormányzati hozzáférést és azok továbbítását, amennyiben az ilyen adattovábbítás vagy -hozzáférés az uniós joggal vagy a releváns tagállam nemzeti jogával való ütközésre vezetne. |
(2) Az (1) bekezdésben említett honlapokat az adatkezelési szolgáltatók által kínált, valamennyi adatkezelési szolgáltatásra vonatkozó szerződésben fel kell sorolni.
29. cikk
A szolgáltatóváltási díjak fokozatos visszavonása
(1) 2027. január 12-től az adatkezelési szolgáltatók nem róhatnak ki az ügyfélre semmilyen szolgáltatóváltási díjat a szolgáltatóváltási folyamatért.
(2) 2024. január 11-től 2027. január 12-ig az adatkezelési szolgáltatók csökkentett szolgáltatóváltási díjakat róhatnak ki az ügyfélre a szolgáltatóváltási folyamatért.
(3) A (2) bekezdésben említett csökkentett szolgáltatóváltási díjak nem haladhatják meg az adatkezelési szolgáltatónál felmerült, az érintett szolgáltatóváltási folyamathoz közvetlenül kapcsolódó költségeket.
(4) Az adatkezelési szolgáltatóknak, mielőtt szerződést kötnének egy ügyféllel, egyértelmű tájékoztatást kell nyújtaniuk e leendő ügyfél számára az általános szolgáltatási díjakról, az idő előtti megszüntetés esetén kiszabható szankciókról, valamint a (2) bekezdésben említett időkeretben kiszabható csökkentett szolgáltatóváltási díjakról.
(5) Az adatkezelési szolgáltatóknak adott esetben tájékoztatást kell nyújtaniuk az ügyfélnek azon adatkezelési szolgáltatásokról, amelyek igen összetett vagy költséges szolgáltatóváltással járnak, vagy amelyek esetében lehetetlen az adatokba, digitális eszközökbe vagy szolgáltatási struktúrába történő jelentős beavatkozás nélkül váltani.
(6) Az adatkezelési szolgáltatóknak adott esetben a (4) és (5) bekezdésben említett információt – a honlapjuk egy erre kijelölt részén vagy bármely más, könnyen hozzáférhető módon – nyilvánosan elérhetővé kell tenniük az ügyfelek számára.
(7) A Bizottság felhatalmazást kap arra, hogy a 45. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el e rendeletnek egy nyomonkövetési mechanizmusnak a Bizottság számára történő létrehozása révén történő kiegészítése érdekében, hogy a Bizottság nyomon kövesse az adatkezelési szolgáltatók által a piacon kirótt szolgáltatóváltási díjakat azért, hogy biztosítsa, hogy a szolgáltatóváltási díjak e cikk (1) és (2) bekezdése szerinti visszavonására és csökkentésére az említett bekezdésekben megállapított határidőkkel összhangban kerül sor.
30. cikk
A szolgáltatóváltás technikai vonatkozásai
(1) Az infrastruktúra működtetéséhez szükséges infrastrukturális elemekre, például szerverekre, hálózatokra és a virtuális erőforrásokra korlátozott, méretezhető és rugalmas számítástechnikai erőforrásokat érintő adatkezelési szolgáltatásokat nyújtó szolgáltatók, amelyek azonban nem biztosítanak hozzáférést az ezen infrastrukturális elemeken tárolt, más módon kezelt vagy telepített operációs szolgáltatásokhoz, szoftverekhez és alkalmazásokhoz, a 27. cikkel összhangban kötelesek meghozni minden módjukban álló észszerű intézkedést annak megkönnyítése érdekében, hogy az ügyfél, miután egy azonos szolgáltatástípusú szolgáltatásra váltott, a cél adatkezelési szolgáltatás igénybevétele során funkcionális egyenértékűséget érjen el. A forrás adatkezelési szolgáltatónak képességek, megfelelő információk, dokumentáció, technikai támogatás és adott esetben a szükséges eszközök biztosításával kell megkönnyítenie a szolgáltatóváltási folyamatot.
(2) Az (1) bekezdésben említett adatkezelési szolgáltatóktól eltérő adatkezelési szolgáltatóknak nyílt interfészeket kell költségmentesen, egyenlő mértékben elérhetővé tenniük valamennyi ügyfelük és az érintett cél adatkezelési szolgáltatók számára azért, hogy megkönnyítsék a szolgáltatóváltási folyamatot. Az említett interfészeknek elegendő információt kell tartalmazniuk az érintett szolgáltatásokról ahhoz, hogy az adathordozhatóság és interoperabilitás céljából lehetővé váljék a szolgáltatásokkal való kommunikációra szolgáló szoftver kifejlesztése.
(3) Az adatkezelési szolgáltatóknak az e cikk (1) bekezdésében említett adatkezelési szolgáltatásoktól eltérő adatkezelési szolgáltatások tekintetében biztosítaniuk kell a nyílt interoperabilitási előírásokon vagy harmonizált interoperabilitási szabványokon alapuló közös előírásokkal való kompatibilitást legalább 12 hónappal azt követően, hogy az említett közös előírásokra vagy az adatkezelési szolgáltatások harmonizált interoperabilitási szabványaira való hivatkozásokat közzétették az adatkezelési szolgáltatások interoperabilitására vonatkozó központi uniós szabványtárban, miután az alapul szolgáló végrehajtási jogi aktusokat kihirdették az Európai Unió Hivatalos Lapjában a 35. cikk (8) bekezdésével összhangban.
(4) Az e cikk (1) bekezdésében említett adatkezelési szolgáltatóktól eltérő adatkezelési szolgáltatóknak – az e cikk (3) bekezdése szerinti kötelezettségeikkel összhangban – napra késszé kell tenniük a 26. cikk b) pontjában említett online nyilvántartást.
(5) Az azonos szolgáltatástípusú szolgáltatások közötti szolgáltatóváltás esetén, amelyek tekintetében a 35. cikk (8) bekezdésével összhangban nem tették közzé az e cikk (3) bekezdésében említett közös előírásokat vagy harmonizált interoperabilitási szabványokat az adatkezelési szolgáltatások interoperabilitására vonatkozó központi uniós szabványtárban, az adatkezelési szolgáltatónak az ügyfél kérésére strukturált, általánosan használt és géppel olvasható formátumban exportálnia kell valamennyi exportálható adatot.
(6) Az adatkezelési szolgáltatók nem kötelezhetők új technológiák vagy szolgáltatások kifejlesztésére, szellemitulajdon-jogok által védett vagy üzleti titoknak minősülő digitális eszközök egy ügyfél vagy egy eltérő adatkezelési szolgáltató részére történő felfedésére vagy továbbítására, vagy arra, hogy az ügyfél vagy a szolgáltató biztonságát és a szolgáltatásintegritást veszélyeztesse.
31. cikk
Bizonyos adatkezelési szolgáltatásokra vonatkozó különös szabályozás
(1) A 23. cikk d) pontjában, a 29. cikkben, valamint a 30. cikk (1) és (3) bekezdésében megállapított kötelezettségek nem alkalmazandók azon adatkezelési szolgáltatásokra, amelyek fő jellemzőinek túlnyomó részét egy egyedi ügyfél sajátos igényeinek kielégítésére, személyre szabottan alakították ki, vagy amennyiben valamennyi összetevőt egy egyedi ügyfél céljaira fejlesztettek ki, és amennyiben az említett adatkezelési szolgáltatásokat nem kínálják széleskörű kereskedelmi méretekben az adatkezelési szolgáltató szolgáltatási katalógusán keresztül.
(2) Az e fejezetben megállapított kötelezettségek nem alkalmazandók azon adatkezelési szolgáltatásokra, amelyeket korlátozott ideig, tesztelési és értékelési célokból próbaverzióban nyújtanak.
(3) Az adatkezelési szolgáltatónak az e cikkben említett adatkezelési szolgáltatások nyújtására vonatkozó szerződés megkötése előtt tájékoztatnia kell a leendő ügyfelet arról, hogy e fejezet mely kötelezettségei nem alkalmazandók.
VII. FEJEZET
NEM SZEMÉLYES ADATOK TEKINTETÉBEN JOGELLENES NEMZETKÖZI KORMÁNYZATI HOZZÁFÉRÉS ÉS TOVÁBBÍTÁS
32. cikk
Nemzetközi kormányzati hozzáférés és továbbítás
(1) Az adatkezelési szolgáltatóknak – a (2) vagy a (3) bekezdés sérelme nélkül – meg kell hozniuk valamennyi megfelelő technikai, szervezési és jogi intézkedést, ideértve szerződéseket is, annak érdekében, hogy megakadályozzák az Unióban tárolt nem személyes adatok tekintetében a nemzetközi és harmadik ország általi kormányzati hozzáférést és továbbítást, amennyiben az ilyen továbbítás vagy hozzáférés az uniós joggal vagy a releváns tagállam nemzeti jogával való ütközésre vezetne.
(2) Valamely harmadik ország bíróságának vagy igazságszolgáltatási fórumának bármely olyan határozata vagy ítélete, vagy harmadik ország közigazgatási hatóságának bármely olyan határozata, amely egy adatkezelési szolgáltatót az e rendelet hatálya alá tartozó, az Unióban tárolt nem személyes adatok továbbítására vagy az azokhoz való hozzáférés biztosítására kötelezi, csak akkor ismerhető el vagy hajtható végre bármely módon, ha az a kérelmező harmadik ország és az Unió, vagy a kérelmező harmadik ország és valamely tagállam között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul.
(3) A (2) bekezdésben említett nemzetközi megállapodás hiányában, amennyiben egy adatkezelési szolgáltató a címzettje valamely harmadik ország bírósága vagy igazságszolgáltatási fóruma által hozott olyan határozatnak vagy ítéletnek, vagy egy harmadik országbeli közigazgatási hatóság olyan határozatának, amely az e rendelet hatálya alá tartozó, az Unióban tárolt nem személyes adatok továbbítását vagy az azokhoz való hozzáférés biztosítását írja elő, és az ilyen határozatnak való megfelelés azzal a kockázattal járna, hogy a határozat címzettje konfliktusba kerülhet az uniós joggal vagy a releváns tagállam nemzeti jogával, az ilyen adatok csak akkor továbbíthatók az említett harmadik országbeli hatóság részére, vagy azokhoz számára hozzáférés csak akkor biztosítható, ha:
a) |
a harmadik országbeli rendszer előírja az ilyen határozat vagy ítélet megindokolását és arányosságának bizonyítását, továbbá megköveteli, hogy az ilyen határozat vagy ítélet konkrét legyen, például azáltal, hogy bizonyos gyanúsított személyekkel vagy jogsértésekkel elégséges kapcsolatot állapít meg; |
b) |
a címzett indokolt kifogását a harmadik ország illetékes bírósága vagy igazságszolgáltatási fóruma felülvizsgálhatja; és |
c) |
a határozatot vagy ítéletet hozó, vagy a közigazgatási hatóság határozatát felülvizsgáló illetékes harmadik országbeli bíróságnak vagy igazságszolgáltatási fórumnak az adott harmadik ország joga szerint hatásköre van arra, hogy kellően vegye figyelembe az adat szolgáltatójának az uniós jog vagy a releváns tagállam nemzeti joga által védett vonatkozó jogi érdekeit. |
A határozat vagy ítélet címzettje kérheti a jogi ügyekben folytatott nemzetközi együttműködésért felelős releváns nemzeti szerv vagy hatóság véleményét annak megállapítása érdekében, hogy az első albekezdésben megállapított feltételek teljesülnek-e, különösen akkor, ha megítélése szerint a határozat üzleti titkokra és egyéb üzleti szempontból érzékeny adatokra, valamint szellemitulajdon-jogok által védett tartalomra vonatkozhat, vagy a továbbítás újbóli azonosítást eredményezhet. A releváns nemzeti szerv vagy hatóság konzultálhat a Bizottsággal. Ha a címzett úgy ítéli meg, hogy a határozat vagy az ítélet sértheti az Unió vagy tagállamai nemzetbiztonsági vagy védelmi érdekeit, ki kell kérnie a releváns nemzeti szerv vagy hatóság véleményét annak megállapítása érdekében, hogy a kért adatok érintik-e az Unió vagy tagállamai nemzetbiztonsági vagy védelmi érdekeit. Ha a címzett egy hónapon belül nem kap választ, vagy ha az ilyen szerv vagy hatóság véleménye megállapítja, hogy az első albekezdésben említett feltételek nem teljesülnek, a címzett az említett indokok alapján elutasíthatja a nem személyes adatok továbbítása vagy az azokhoz való hozzáférés iránti kérelmet.
A 42. cikkben említett Európai Adatinnovációs Testület tanácsot ad és segítséget nyújt a Bizottságnak azon értékelésre vonatkozó iránymutatások kidolgozásához, hogy teljesülnek-e az e bekezdés első albekezdésében megállapított feltételek.
(4) Ha a (2) vagy a (3) bekezdésben megállapított feltételek teljesülnek, az adatkezelési szolgáltató biztosítja a kérelemre válaszul megengedhető minimális adatmennyiséget, az említett kérelemnek a szolgáltató vagy a (3) bekezdés második albekezdésében említett releváns nemzeti szerv vagy hatóság általi észszerű értelmezése alapján.
(5) Az adatkezelési szolgáltatónak a kérelem teljesítése előtt tájékoztatnia kell az ügyfelet arról, hogy egy harmadik ország hatósága az adataihoz való hozzáférés iránti kérelmet nyújtott be, kivéve, ha a kérelem bűnüldözési célokat szolgál, és mindaddig, amíg ez a bűnüldözési tevékenység eredményességének megőrzéséhez szükséges.
VIII. FEJEZET
INTEROPERABILITÁS
33. cikk
Az adatok, az adatmegosztási mechanizmusok és szolgáltatások, valamint a közös európai adatterek interoperabilitására vonatkozó alapvető követelmények
(1) Az olyan adatterekben résztvevőknek, amelyek adatokat vagy adatszolgáltatásokat kínálnak más résztvevőknek, meg kell felelniük a következő alapvető követelményeknek, hogy megkönnyítsék az adatok, az adatmegosztási mechanizmusok és szolgáltatások, valamint az olyan közös európai adatterek interoperabilitását, amelyek közös szabványokra és gyakorlatokra vonatkozó cél- vagy ágazatspecifikus vagy ágazatközi, interoperábilis kereteket képeznek adatok megosztásához vagy közös kezeléséhez, többek között új termékek és szolgáltatások kifejlesztése, tudományos kutatás vagy civil társadalmi kezdeményezések céljából:
a) |
az adatállomány tartalmát, a felhasználási korlátozásokat, az engedélyeket, az adatgyűjtési módszertant, az adatok minőségét és bizonytalanságát kellően, adott esetben géppel olvasható formátumban ismertetni kell ahhoz, hogy az adatátvevő megtalálhassa az adatokat, hozzáférhessen azokhoz, és felhasználhassa azokat; |
b) |
az adatstruktúrákat, adatformátumokat, szókészleteket, osztályozási rendszereket, taxonómiákat és kódlistákat, amennyiben rendelkezésre állnak, nyilvánosan elérhető és következetes módon kell ismertetni; |
c) |
az adathozzáférés technikai eszközeit – például az alkalmazásprogramozási interfészeket –, valamint ezen eszközök használati feltételeit és szolgáltatásminőségét megfelelően be kell mutatni, hogy az adathozzáférés és a felek közötti adattovábbítás automatikus lehessen, akár folyamatosan, csoportos letöltés formájában vagy valós idejű, géppel olvasható formátumban, amennyiben ez technikailag megvalósítható, és nem akadályozza az összekapcsolt termék megfelelő működését; |
d) |
adott esetben az adatmegosztási megállapodások végrehajtásának automatizálására szolgáló eszközök – így például az intelligens szerződések – interoperabilitását lehetővé tevő módszereket kell biztosítani. |
A követelmények lehetnek általános jellegűek, vagy érinthetnek konkrét ágazatokat, teljes mértékben figyelembe véve ugyanakkor az egyéb uniós vagy nemzeti jogból fakadó követelményekkel való kölcsönhatásokat.
(2) A Bizottság felhatalmazást kap arra, hogy e rendelet 45. cikkével összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el e rendeletnek az e cikk (1) bekezdésében említett alapvető követelmények pontosítása révén történő kiegészítése érdekében, azon követelményekkel kapcsolatban, amelyek jellegüknél fogva csak akkor érhetik el a kívánt hatást, ha kötelező erejű uniós jogi aktusokban pontosítják azokat, továbbá a technológiai és piaci fejlemények megfelelő tükrözése érdekében.
A Bizottságnak a felhatalmazáson alapuló jogi aktusok elfogadásakor figyelembe kell vennie az Európai Adatinnovációs Testület véleményét a 42. cikk c) pontjának iii) alpontjával összhangban.
(3) Az olyan adatterekben résztvevőkről, amelyek adatokat vagy adatszolgáltatásokat kínálnak más résztvevőknek olyan adatterekben, amelyek megfelelnek azon harmonizált szabványoknak vagy azok egyes részeinek, amelyek hivatkozásait közzétették az Európai Unió Hivatalos Lapjában, vélelmezni kell, hogy megfelelnek az (1) bekezdésben megállapított alapvető követelményeknek annyiban, amennyiben az említett követelményekre ilyen harmonizált szabványok vagy azok részei vonatkoznak.
(4) A Bizottság az 1025/2012/EU rendelet 10. cikke alapján felkér egy vagy több európai szabványügyi szervezetet olyan harmonizált szabványok kidolgozására, amelyek kielégítik az e cikk (1) bekezdésében megállapított alapvető követelményeket.
(5) A Bizottság végrehajtási jogi aktusok útján közös előírásokat fogadhat el az (1) bekezdésben megállapított alapvető követelmények bármelyikére vagy mindegyikére vonatkozóan, amennyiben teljesültek a következő feltételek:
a) |
a Bizottság az 1025/2012/EU rendelet 10. cikkének (1) bekezdése alapján felkért egy vagy több európai szabványügyi szervezetet, hogy dolgozzon ki az e cikk (1) bekezdésében megállapított alapvető követelményeket kielégítő harmonizált szabványt, és:
|
b) |
nem tettek közzé az Európai Unió Hivatalos Lapjában az 1025/2012/EU rendelettel összhangban az e cikk (1) bekezdésében megállapított releváns alapvető követelményekre vonatkozó harmonizált szabványokra való hivatkozást, és észszerű időn belül nem is várható ilyen hivatkozás közzététele. |
Az említett végrehajtási jogi aktusokat a 46. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(6) Az e cikk (5) bekezdésében említett végrehajtási jogi aktus tervezetének elkészítése előtt a Bizottság tájékoztatja az 1025/2012/EU rendelet 22. cikkében említett bizottságot arról, hogy megítélése szerint teljesültek az e cikk (5) bekezdésében foglalt feltételek.
(7) Az (5) bekezdésben említett végrehajtási jogi aktus tervezetének elkészítése során a Bizottság figyelembe veszi az Európai Adatinnovációs Testület tanácsát, valamint más releváns szervek vagy szakértői csoportok véleményét, és megfelelően konzultál valamennyi releváns érdekelt féllel.
(8) Az olyan adatterekben résztvevőkről, amelyek adatokat vagy adatszolgáltatásokat kínálnak más résztvevőknek olyan adatterekben, amelyek megfelelnek az (5) bekezdésben említett végrehajtási jogi aktusok által megállapított közös előírásoknak vagy azok részeinek, vélelmezni kell, hogy megfelelnek az (1) bekezdésében megállapított alapvető követelményeknek annyiban, amennyiben az említett követelményekre ilyen közös előírások vagy azok részei vonatkoznak.
(9) Amennyiben egy európai szabványügyi szervezet harmonizált szabványt fogad el, és javasolják a Bizottságnak, hogy arra vonatkozóan tegyen közzé hivatkozást az Európai Unió Hivatalos Lapjában, a Bizottság az 1025/2012/EU rendelettel összhangban értékeli a harmonizált szabványt. Amikor egy harmonizált szabvány hivatkozását közzéteszik az Európai Unió Hivatalos Lapjában, a Bizottság hatályon kívül helyezi az e cikk (5) bekezdésében említett azon végrehajtási jogi aktusokat vagy azok azon részeit, amelyek ugyanazon alapvető követelményekre vonatkoznak, amelyekre az említett harmonizált szabvány is vonatkozik.
(10) Amennyiben egy tagállam úgy ítéli meg, hogy egy közös előírás nem elégíti ki teljes mértékben az (1) bekezdésben meghatározott alapvető követelményeket, erről – részletes magyarázat benyújtásával – tájékoztatja a Bizottságot. A Bizottság értékeli az említett részletes magyarázatot, és adott esetben módosíthatja a szóban forgó közös előírást megállapító végrehajtási jogi aktust.
(11) A Bizottság iránymutatásokat fogadhat el – az (EU) 2022/868 rendelet 30. cikkének h) pontjával összhangban figyelembe véve az Európai Adatinnovációs Testület javaslatát –, amelyekben meghatározza a közös európai adatterek működésére vonatkozó közös szabványok és gyakorlatok interoperabilitási kereteit.
34. cikk
Az adatkezelési szolgáltatások párhuzamos igénybevételét szolgáló interoperabilitás
(1) A 23. cikkben, a 24. cikkben, a 25. cikk (2) bekezdése a) pontjának ii. és iv. alpontjában, e) és f) pontjában, valamint a 30. cikk (2)–(5) bekezdésében megállapított követelmények értelemszerűen alkalmazandók az adatkezelési szolgáltatókra is az adatkezelési szolgáltatások párhuzamos igénybevételét szolgáló interoperabilitás megkönnyítése céljából.
(2) Amennyiben egy adatkezelési szolgáltatást egy másik adatkezelési szolgáltatással párhuzamosan vesznek igénybe, az adatkezelési szolgáltatók kimenő adattovábbítási díjakat róhatnak ki, de csak a kimenő adattovábbítás kapcsán felmerült költségek áthárítása céljából, anélkül, hogy meghaladnák az ilyen költségeket.
35. cikk
Az adatkezelési szolgáltatások interoperabilitása
(1) Az adatkezelési szolgáltatások interoperabilitását szolgáló nyílt interoperabilitási előírásoknak és harmonizált szabványoknak:
a) |
ha technikailag kivitelezhető, biztosítaniuk kell az azonos szolgáltatástípust lefedő különböző adatkezelési szolgáltatások interoperabilitását; |
b) |
javítaniuk kell a digitális eszközöknek az azonos szolgáltatástípust lefedő különböző adatkezelési szolgáltatások közötti hordozhatóságát; |
c) |
ha technikailag kivitelezhető, elő kell segíteniük az azonos szolgáltatástípust lefedő, a 30. cikk (1) bekezdésében említett különböző adatkezelési szolgáltatások funkcionális egyenértékűségét; |
d) |
nem lehetnek hátrányos hatással az adatkezelési szolgáltatások és adatok biztonságára és integritására; |
e) |
úgy kell megtervezni azokat, hogy lehetséges legyen a technikai haladás, valamint új funkciók és az innováció beépítése az adatkezelési szolgáltatásokba. |
(2) Az adatkezelési szolgáltatások interoperabilitását szolgáló nyílt interoperabilitási előírásoknak és harmonizált szabványoknak megfelelően le kell fedniük a következőket:
a) |
a közlekedési interoperabilitás, a szintaktikus interoperabilitás, a szemantikus adatinteroperabilitás, a viselkedésbeli interoperabilitás és a szakpolitikai interoperabilitás felhőinteroperabilitási szempontjai; |
b) |
az adatok szintaktikus hordozhatóságának, az adatok szemantikus hordozhatóságának és az adatpolitikai hordozhatóságnak a felhővel kapcsolatos adathordozhatósági szempontjai; |
c) |
az alkalmazások szintaktikus hordozhatóságának, az alkalmazási utasítások hordozhatóságának, az alkalmazások révén előállt metaadatok hordozhatóságának, az alkalmazások viselkedésbeli hordozhatóságának és az alkalmazásszabályok hordozhatóságának felhőalapú alkalmazási szempontjai. |
(3) A nyílt interoperabilitási előírásoknak meg kell felelniük az 1025/2012/EU rendelet II. mellékletének.
(4) A releváns nemzetközi és európai szabványok és önszabályozási kezdeményezések figyelembevételét követően a Bizottság az 1025/2012/EU rendelet 10. cikke (1) bekezdésével összhangban felkérhet egy vagy több európai szabványügyi szervezetet olyan harmonizált szabványok kidolgozására, amelyek kielégítik az e cikk (1) és (2) bekezdésében megállapított alapvető követelményeket.
(5) A Bizottság – végrehajtási jogi aktusok útján – nyílt interoperabilitási előírásokon alapuló közös előírásokat fogadhat el, amelyek az (1) és a (2) bekezdésben megállapított alapvető követelmények mindegyikére vonatkoznak.
(6) Az e cikk (5) bekezdésében említett végrehajtási jogi aktus tervezetének elkészítése során a Bizottság figyelembe veszi a 37. cikk (5) bekezdésének h) pontjában említett releváns illetékes hatóságok, valamint más releváns szervek vagy szakértői csoportok véleményét, és megfelelően konzultál valamennyi releváns érdekelt féllel.
(7) Amennyiben egy tagállam úgy ítéli meg, hogy egy közös előírás nem elégíti ki teljes mértékben az (1) és a (2) bekezdésben megállapított alapvető követelményeknek, erről – részletes magyarázat benyújtásával – tájékoztatja a Bizottságot. A Bizottság értékeli az említett részletes magyarázatot, és adott esetben módosíthatja a szóban forgó közös előírást megállapító végrehajtási jogi aktust.
(8) A 30. cikk (3) bekezdésének alkalmazásában a Bizottság végrehajtási jogi aktusok útján egy, az adatkezelési szolgáltatások interoperabilitását szolgáló központi uniós szabványtárban közzéteszi az adatkezelési szolgáltatások interoperabilitására vonatkozó harmonizált szabványok és közös előírások hivatkozásait.
(9) Az e cikkben említett végrehajtási jogi aktusokat a 46. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.
36. cikk
Az adatmegosztási megállapodások végrehajtására szolgáló intelligens szerződésekre vonatkozó alapvető követelmények
(1) Az intelligens szerződéseket használó alkalmazás értékesítője, vagy annak hiányában azon személy, akinek a kereskedelmi, üzleti vagy szakmai tevékenysége magában foglalja, hogy adatok rendelkezésre bocsátására irányuló megállapodás vagy annak egy része végrehajtásával összefüggésben mások számára intelligens szerződéseket biztosít, gondoskodik arról, hogy az említett intelligens szerződések megfeleljenek a következő alapvető követelményeknek:
a) |
a megbízhatóság és hozzáférés-ellenőrzés biztosítja, hogy az intelligens szerződést úgy alakították ki, hogy a funkcionális hibák elkerülése és a harmadik felek általi manipulációkkal szembeni ellenállás érdekében hozzáférés-ellenőrzési mechanizmusokat és rendkívül nagyfokú megbízhatóságot kínáljon; |
b) |
a biztonságos leállítás és megszakítás biztosítja egy olyan mechanizmus meglétét, amely leállítja a tranzakciók folyamatos végrehajtását, valamint azt, hogy az intelligens szerződés olyan belső funkciókat tartalmazzon, amelyek – különösen a jövőbeli véletlenszerű végrehajtás elkerülése érdekében – visszaállíthatják a szerződést az alapállapotába, vagy utasíthatják a szerződést a művelet leállítására vagy megszakítására; |
c) |
az adatarchiválás és folyamatosság biztosítja, hogy olyan körülmények között, amikor egy intelligens szerződést meg kell szüntetni vagy deaktiválni kell, legyen lehetőség a tranzakciós adatok, valamint az intelligens szerződési logika és kód archiválására annak érdekében, hogy nyilvántartást vezessenek az adatokon korábban végzett műveletekről (ellenőrizhetőség); |
d) |
a hozzáférés-ellenőrzés biztosítja, hogy az intelligens szerződést szigorú hozzáférés-ellenőrzési mechanizmusokkal védik az irányítási és intelligens szerződési szinteken; és |
e) |
következetesség biztosítja az intelligens szerződés által végrehajtott adatmegosztási megállapodás feltételeivel való összhangot. |
(2) Az intelligens szerződés értékesítője, vagy annak hiányában azon személy, akinek a kereskedelmi, üzleti vagy szakmai tevékenysége magában foglalja, hogy adatok rendelkezésre bocsátásáról szóló megállapodás vagy annak egy része végrehajtásával összefüggésben mások számára intelligens szerződéseket biztosít, megfelelőségértékelést végez az (1) bekezdésben megállapított alapvető követelmények teljesítése céljából, és az említett követelmények teljesítése esetén EU-megfelelőségi nyilatkozatot állít ki.
(3) Az (1) bekezdésben megállapított alapvető követelményeknek való megfelelésért az intelligens szerződéseket használó alkalmazás értékesítője vagy annak hiányában az a személy visel felelősséget, akinek a kereskedelmi, üzleti vagy szakmai tevékenysége magában foglalja, hogy adatok rendelkezésre bocsátásáról szóló megállapodás vagy annak egy része végrehajtásával összefüggésben mások számára intelligens szerződéseket biztosít.
(4) Azon intelligens szerződésekről, amelyek megfelelnek a harmonizált szabványoknak, vagy azok releváns részeinek, és amelyek hivatkozásait közzétették az Európai Unió Hivatalos Lapjában, vélelmezni kell, hogy megfelelnek az (1) bekezdésben említett alapvető követelményeknek annyiban, amennyiben az említett követelményekre ilyen harmonizált szabványok vagy azok részei vonatkoznak.
(5) A Bizottság az 1025/2012/EU rendelet 10. cikke alapján felkér egy vagy több európai szabványügyi szervezetet olyan harmonizált szabványok kidolgozására, amelyek kielégítik az e cikk (1) bekezdésében megállapított alapvető követelményeket.
(6) A Bizottság végrehajtási jogi aktusok útján közös előírásokat fogadhat el az (1) bekezdésben megállapított alapvető követelmények bármelyikére vagy mindegyikére vonatkozóan, amennyiben a következő feltételek teljesültek:
a) |
a Bizottság az 1025/2012/EU rendelet 10. cikkének (1) bekezdése alapján felkért egy vagy több európai szabványügyi szervezetet, hogy dolgozzon ki az e cikk (1) bekezdésében megállapított alapvető követelményeket kielégítő harmonizált szabványt, és:
|
b) |
nem tettek közzé hivatkozást az Európai Unió Hivatalos Lapjában az 1025/2012/EU rendelettel összhangban az e cikk (1) bekezdésében megállapított releváns alapvető követelményekre vonatkozó harmonizált szabványokhoz, és észszerű időn belül nem is várható ilyen hivatkozás közzététele. |
Ezeket a végrehajtási jogi aktusokat a 46. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(7) Az e cikk (6) bekezdésében említett végrehajtási jogi aktus tervezetének elkészítése előtt a Bizottság tájékoztatja az 1025/2012/EU rendelet 22. cikkében említett bizottságot arról, hogy megítélése szerint teljesültek az e cikk (6) bekezdésében foglalt feltételek.
(8) A (6) bekezdésben említett végrehajtási jogi aktus tervezetének elkészítése során a Bizottság figyelembe veszi az Európai Adatinnovációs Testület tanácsát, valamint más releváns szervek vagy szakértői csoportok véleményét, és megfelelően konzultál valamennyi releváns érdekelt féllel.
(9) Az intelligens szerződés értékesítőjéről vagy annak hiányában azon személyről, akinek a kereskedelmi, üzleti vagy szakmai tevékenysége magában foglalja, hogy mások számára intelligens szerződéseket biztosít egy olyan megállapodás vagy annak egy része végrehajtásával összefüggésben, amely a (6) bekezdésben említett végrehajtási jogi aktusokban vagy azok részeiben meghatározott közös előírásoknak megfelelő adatok rendelkezésre bocsátására irányul, vélelmezni kell, hogy megfelel az (1) bekezdésben megállapított alapvető követelményeknek annyiban, amennyiben az említett követelményekre ilyen közös előírások vagy azok részei vonatkoznak.
(10) Amennyiben egy európai szabványügyi szervezet harmonizált szabványt fogad el, és javasolják a Bizottságnak, hogy arra vonatkozóan tegyen közzé hivatkozást az Európai Unió Hivatalos Lapjában, a Bizottság az 1025/2012/EU rendelettel összhangban értékeli a harmonizált szabványt. Amikor egy harmonizált szabvány hivatkozását közzéteszik az Európai Unió Hivatalos Lapjában, a Bizottság hatályon kívül helyezi az e cikk (6) bekezdésében említett azon végrehajtási jogi aktusokat vagy azok azon részeit, amelyek ugyanazon alapvető követelményekre vonatkoznak, amelyekre az említett harmonizált szabvány is vonatkozik.
(11) Amennyiben egy tagállam úgy ítéli meg, hogy egy közös előírás nem elégíti ki teljes mértékben az (1) bekezdésben megállapított alapvető követelményeket, erről – részletes magyarázat benyújtásával – tájékoztatja a Bizottságot. A Bizottság értékeli az említett részletes magyarázatot, és adott esetben módosíthatja a szóban forgó közös előírást megállapító végrehajtási jogi aktust.
IX. FEJEZET
VÉGREHAJTÁS ÉS ÉRVÉNYESÍTÉS
37. cikk
Illetékes hatóságok és adatkoordinátorok
(1) Minden egyes tagállam kijelöl egy vagy több illetékes hatóságot, amely felelős e rendelet alkalmazásáért és érvényesítéséért (a továbbiakban: illetékes hatóságok). A tagállamok létrehozhatnak egy vagy több új hatóságot, vagy támaszkodhatnak a meglévő hatóságokra.
(2) Amennyiben egy tagállam egynél több illetékes hatóságot jelöl ki, közülük kijelöl egy adatkoordinátort az illetékes hatóságok közötti együttműködés megkönnyítése, valamint az e rendelet hatálya alá tartozó szervezeteknek a rendelet alkalmazásával és érvényesítésével kapcsolatos valamennyi kérdésben történő támogatása érdekében. Az illetékes hatóságoknak az (5) bekezdés alapján rájuk ruházott feladatok elvégzése és hatáskörök gyakorlása során együtt kell működniük egymással.
(3) Az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért felelős felügyeleti hatóságok felelősek e rendelet alkalmazásának a személyes adatok védelme tekintetében történő nyomon követéséért. Az (EU) 2016/679 rendelet VI. és VII. fejezete értelemszerűen alkalmazandó.
Az európai adatvédelmi biztos felelős e rendelet alkalmazásának nyomon követéséért a Bizottság, az Európai Központi Bank vagy az uniós szervek tekintetében. Adott esetben az (EU) 2018/1725 rendelet 62. cikke értelemszerűen alkalmazandó.
A felügyelő hatóságok e bekezdésben említett feladatait, illetve hatásköreit a személyes adatok kezelésére tekintettel kell elvégezni, illetve gyakorolni.
(4) E cikk (1) bekezdésének sérelme nélkül:
a) |
az e rendelet alkalmazásához kapcsolódó sajátos ágazati adathozzáférési és -felhasználási kérdések tekintetében tiszteletben kell tartani az ágazati hatóságok hatáskörét; |
b) |
a 23–31. cikk, valamint a 34. és a 35. cikk alkalmazásáért és érvényesítéséért felelős illetékes hatóságnak tapasztalattal kell rendelkeznie az adatszolgáltatások és az elektronikus hírközlési szolgáltatások területén. |
(5) A tagállamok biztosítják, hogy az illetékes hatóságok feladatait és hatásköreit egyértelműen meghatározzák, és azok magukban foglalják a következőket:
a) |
az e rendelet hatálya alá tartozó felhasználók és szervezetek körében az adatműveltség, valamint az e rendelet szerinti jogokkal és kötelezettségekkel kapcsolatos tudatosság előmozdítása; |
b) |
az e rendelet állítólagos megsértése nyomán benyújtott panaszok kezelése, beleértve az üzleti titkokkal kapcsolatos panaszokat is, a panaszok tárgyának szükséges mértékű kivizsgálása, továbbá a panaszosok észszerű határidőn belül történő rendszeres tájékoztatása – adott esetben a nemzeti joggal összhangban – a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik illetékes hatósággal való koordináció válik szükségessé; |
c) |
vizsgálatok lefolytatása az e rendelet alkalmazásával kapcsolatos ügyekben, többek között egy másik illetékes hatóságtól vagy más hatóságtól kapott információ alapján; |
d) |
hatékony, arányos és visszatartó erejű pénzügyi szankciók kiszabása, beleértve a kényszerítő bírságokat és a visszamenőleges hatályú szankciókat is, vagy pénzbírság kiszabására irányuló bírósági eljárás kezdeményezése; |
e) |
az adatok rendelkezésre bocsátása és felhasználása szempontjából releváns technológiai és kereskedelmi fejlemények nyomon követése; |
f) |
együttműködés más tagállamok illetékes hatóságaival és adott esetben a Bizottsággal vagy az Európai Adatinnovációs Testülettel e rendelet következetes és hatékony alkalmazásának biztosítása érdekében, ideértve valamennyi releváns információ indokolatlan késedelem nélküli, elektronikus úton történő cseréjét is, többek között e cikk (10) bekezdése vonatkozásában. |
g) |
együttműködés az egyéb uniós vagy nemzeti jogi aktusok végrehajtásáért felelős releváns illetékes hatóságokkal, többek között az adatok és az elektronikus hírközlési szolgáltatások területén illetékes hatóságokkal, az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért felelős felügyeleti hatósággal vagy az ágazati hatóságokkal annak biztosítása érdekében, hogy e rendeletet az egyéb uniós és nemzeti joggal összhangban érvényesítsék. |
h) |
együttműködés a releváns illetékes hatóságokkal annak biztosítása érdekében, hogy a 23–31. cikket, valamint a 34. és a 35. cikket az adatkezelési szolgáltatásokat nyújtó szolgáltatókra alkalmazandó egyéb uniós joggal és önszabályozással összhangban érvényesítsék. |
i) |
annak biztosítása, hogy a szolgáltatóváltási díjakat a 29. cikkel összhangban visszavonják; |
j) |
az V. fejezet alapján benyújtott adatigénylések vizsgálata. |
Amennyiben kijelöltek adatkoordinátort, annak elő kell segítenie az első albekezdés f), g) és h) pontjában említett együttműködést, és – azok kérésére – segítséget kell nyújtania az illetékes hatóságok számára;
(6) Az adatkoordinátor, amennyiben kijelöltek ilyen illetékes hatóságot:
a) |
egyedüli kapcsolattartó pontként jár el az e rendelet alkalmazásával kapcsolatos valamennyi kérdésben; |
b) |
biztosítja a közszférabeli szervezetek által az V. fejezet szerinti rendkívüli igények fennállása esetén benyújtott, az adatok rendelkezésre bocsátása iránti kérelmek online nyilvános elérhetőségét, továbbá előmozdítja a közszférabeli szervezetek és az adatbirtokosok közötti önkéntes adatmegosztási megállapodásokat; |
c) |
évente tájékoztatja a Bizottságot a 4. cikk (2) és (8) bekezdése és az 5. cikk (11) bekezdése alapján bejelentett elutasításokról. |
(7) A tagállamok értesítik a Bizottságot az illetékes hatóságok nevéről, azok feladatairól és hatásköreiről, valamint adott esetben az adatkoordinátor nevéről. A Bizottság nyilvános regisztert vezet az említett hatóságokról.
(8) Feladataik, illetve hatásköreik e rendelettel összhangban történő ellátása, illetve gyakorlása során az illetékes hatóságoknak pártatlanul és mindenféle – akár közvetlen, akár közvetett – külső befolyástól mentesen kell eljárniuk, és egyedi esetek tekintetében semmilyen más hatóságtól vagy magánféltől nem kérhetnek és nem fogadhatnak el utasítást.
(9) A tagállamok biztosítják, hogy az illetékes hatóságok elegendő emberi és technikai erőforrással, valamint releváns szakértelemmel rendelkezzenek ahhoz, hogy e rendelettel összhangban eredményesen lássák el feladataikat.
(10) Az e rendelet hatálya alá tartozó szervezetek a szervezet letelepedése szerinti tagállam illetékessége alá tartoznak. Amennyiben a szervezet egynél több tagállamban telepedett le, úgy kell tekinteni, hogy azon tagállam illetékessége alá tartozik, amelyben a szervezet székhelye található, azaz, ahol a szervezet központi ügyintézésének helye vagy létesítő okirat szerinti székhelye található, ahonnan fő pénzügyi feladatait ellátja, és operatív ellenőrzést gyakorol.
(11) Az e rendelet hatálya alá tartozó minden olyan szervezetnek, amely összekapcsolt termékeket tesz elérhetővé vagy kapcsolódó szolgáltatásokat kínál az Unióban, és amely nem az Unióban telepedett le, jogi képviselőt kell kijelölnie a tagállamok egyikében.
(12) Az e rendeletnek való megfelelés biztosítása céljából az e rendelet hatálya alá tartozó, az Unióban összekapcsolt termékeket elérhetővé tevő vagy kapcsolódó szolgáltatásokat kínáló szervezeteknek jogi képviselőt kell megbízniuk, hogy az illetékes hatóságok minden, az adott szervezetet érintő kérdésben – a szervezet mellett vagy helyett – a jogi képviselővel vegyék fel a kapcsolatot. Az említett jogi képviselőnek együtt kell működnie az illetékes hatóságokkal, és kérésre átfogóan be kell mutatnia az illetékes hatóságoknak az e rendelet hatálya alá tartozó, az Unióban összekapcsolt termékeket elérhetővé tevő vagy kapcsolódó szolgáltatásokat kínáló szervezet által az e rendeletnek való megfelelés biztosításáért tett intézkedéseket és hozott rendelkezéseket.
(13) Az e rendelet hatálya alá tartozó, az Unióban összekapcsolt termékeket elérhetővé tevő vagy kapcsolódó szolgáltatásokat kínáló szervezetet úgy kell tekinteni, hogy azon tagállam illetékessége alá tartozik, amelyben a jogi képviselője található. Az, hogy egy ilyen szervezet jogi képviselőt jelöl ki, nem érinti az ilyen szervezet felelősségét és a vele szemben indítható jogi eljárásokat. Mindaddig, amíg egy szervezet e cikkel összhangban nem jelöl ki jogi képviselőt, a szervezet e rendelet alkalmazásának és érvényesítésének biztosítása céljából adott esetben valamennyi tagállam illetékes eljárni. Bármely illetékes hatóság gyakorolhatja hatáskörét, többek között hatékony, arányos és visszatartó erejű szankciók kiszabásával, feltéve, hogy a szervezet ellen egy másik illetékes hatóság nem folytat e rendelet alapján ugyanazon tények tekintetében végrehajtási eljárást.
(14) Az illetékes hatóságoknak hatáskörük van bekérni az illetékes tagállambeli felhasználóktól, adatbirtokosoktól vagy adatátvevőktől, vagy azok jogi képviselőitől minden olyan információt, amely az e rendeletnek való megfelelés ellenőrzéséhez szükséges. Az információk iránti bármely kérelemnek arányosnak kell lennie az alapul fekvő feladat teljesítésével, és azokat indokolással kell ellátni.
(15) Amennyiben egy tagállam illetékes hatósága egy másik tagállam illetékes hatóságától segítség nyújtását vagy végrehajtási intézkedések elvégzését kéri, indokolással ellátott megkeresést kell benyújtania. Az illetékes hatóságnak az ilyen megkeresés kézhezvételét követően indokolatlan késedelem nélkül választ kell adnia, részletezve a már megtett vagy megtenni szándékozott intézkedéseket.
(16) Az illetékes hatóságoknak tiszteletben kell tartaniuk a titoktartás, valamint a szakmai és üzleti titoktartás elvét, és védeniük kell a személyes adatokat az uniós vagy a nemzeti joggal összhangban. Egy segítségnyújtás iránti kérelemmel összefüggésben kicserélt és e cikk alapján biztosított bármely információ kizárólag abban az ügyben használható fel, amellyel kapcsolatban azt kérték.
38. cikk
Panasztételi jog
(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult arra, hogy egyénileg vagy adott esetben kollektíven panaszt nyújtson be a szokásos tartózkodási helye, a munkahelye vagy a letelepedési helye szerinti tagállam releváns illetékes hatóságához, ha megítélése szerint az e rendelet szerinti jogait megsértették. Az adatkoordinátornak kérésre meg kell adnia valamennyi szükséges információt a természetes és jogi személyek számára ahhoz, hogy panaszaikat a megfelelő illetékes hatósághoz benyújthassák.
(2) Azon illetékes hatóság, amelyhez a panaszt benyújtották, a nemzeti joggal összhangban köteles tájékoztatni a panaszost az eljárás fejleményeiről és a meghozott határozatról.
(3) Az illetékes hatóságoknak együtt kell működniük a panaszok hatékony és időben történő kezelése és megoldása érdekében, ideértve az összes releváns információ indokolatlan késedelem nélküli, elektronikus úton történő cseréjét is. Ezen együttműködés nem érintheti az (EU) 2016/679 rendelet VI. és VII. fejezete, valamint az (EU) 2017/2394 rendelet által előírt együttműködési mechanizmusokat.
39. cikk
A hatékony bírósági jogorvoslathoz való jog
(1) A közigazgatási vagy egyéb, nem bírósági jogorvoslatok sérelme nélkül, minden érintett természetes és jogi személynek joga van a hatékony bírósági jogorvoslathoz az illetékes hatóságok által hozott jogilag kötelező erejű döntések tekintetében.
(2) Amennyiben az illetékes hatóság elmulaszt intézkedni valamely panasz nyomán, az érintett természetes és jogi személyeknek joguk van – a nemzeti joggal összhangban– hatékony bírósági jogorvoslathoz vagy egy megfelelő szakértelemmel rendelkező, pártatlan szerv általi felülvizsgálathoz való hozzáféréshez.
(3) Az e cikk szerinti eljárást azon tagállam bíróságai vagy igazságszolgáltatási fórumai előtt kell megindítani, amelyben azon illetékes hatóság található, amellyel szemben a bírósági jogorvoslattal egyénileg, vagy adott esetben együttesen, egy vagy több természetes vagy jogi személy képviselői útján élni kívánnak.
40. cikk
Szankciók
(1) A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtásának biztosítására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük.
(2) A tagállamok 2025. szeptember 12-ig értesítik a Bizottságot az említett szabályokról és intézkedésekről, és haladéktalanul értesítik az azokat érintő későbbi módosításokról. A Bizottság az említett intézkedésekről könnyen hozzáférhető és nyilvános nyilvántartást vezet, és rendszeresen frissíti azt.
(3) A tagállamok figyelembe veszik az Európai Adatinnovációs Testület ajánlásait és a következő, nem kimerítő jellegű kritériumokat az e rendelet megsértése esetén alkalmazandó szankciók kiszabásakor:
a) |
a jogsértés jellege, súlyossága, mértéke és időtartama; |
b) |
a jogsértő fél által a jogsértéssel okozott kár enyhítésére vagy orvoslására tett bármilyen intézkedés; |
c) |
a jogsértő fél által korábban elkövetett jogsértések; |
d) |
a jogsértő fél által a jogsértés következtében szerzett pénzügyi előnyök vagy elkerült veszteség, amennyiben az ilyen előnyök vagy veszteség megbízható módon megállapítható; |
e) |
az eset körülményeire alkalmazható minden egyéb súlyosbító vagy enyhítő tényező; |
f) |
a jogsértő fél által az előző pénzügyi évben az Unióban elért éves árbevétel. |
(4) Az e rendelet II., III. és V. fejezetében megállapított kötelezettségek megsértése esetén az (EU) 2016/679 rendelet 51. cikkében említett felügyeleti hatóságok hatáskörükön belül az (EU) 2016/679 rendelet 83. cikkével összhangban és az említett rendelet 83. cikkének (5) bekezdésében említett összeghatárig közigazgatási bírságot szabhatnak ki.
(5) Az e rendelet V. fejezetében foglalt kötelezettségek megsértése esetén az európai adatvédelmi biztos saját hatáskörén belül az (EU) 2018/1725 rendelet 66. cikkével összhangban és az említett rendelet 66. cikkének (3) bekezdésében említett összeghatárig közigazgatási bírságot szabhat ki.
41. cikk
Minta-szerződésifeltételek és általános szerződési feltételek
A Bizottság 2025. szeptember 12. előtt az adatokhoz való hozzáférésre és azok felhasználására vonatkozó, nem kötelező erejű minta-szerződésifeltételeket dolgoz ki és tesz rájuk ajánlást, ideértve az észszerű díjazásra és az üzleti titkok védelmére vonatkozó feltételeket, valamint a felhő-számítástechnikai szerződésekre vonatkozó, nem kötelező erejű általános szerződési feltételeket, hogy segítse a feleket tisztességes, észszerű és megkülönböztetésmentes szerződéses jogokat és kötelezettségeket tartalmazó szerződések megszövegezésében és megtárgyalásában.
42. cikk
Az Európai Adatinnovációs Testület szerepe
Az (EU) 2022/868 rendelet 29. cikke alapján a Bizottság által szakértői csoportként létrehozott Európai Adatinnovációs Testület, amelyben az illetékes hatóságok képviseltetik magukat, a következők révén támogatja e rendelet következetes alkalmazását:
a) |
tanácsadás és segítségnyújtás a Bizottság számára az illetékes hatóságok következetes gyakorlatának kialakítása tekintetében a II., III., V. és VII. fejezet érvényesítése során; |
b) |
az illetékes hatóságok közötti együttműködés megkönnyítése kapacitásépítés és információcsere révén, különösen a II., a III. és az V. fejezet szerinti jogok és kötelezettségek határokon átnyúló ügyekben történő érvényesítéséről folytatott hatékony információcsere módszereinek a kidolgozása révén, ideértve a szankciók megállapításával kapcsolatos koordinációt is; |
c) |
tanácsadás és segítségnyújtás a Bizottság számára a következők tekintetében:
|
X. FEJEZET
A 96/9/EK IRÁNYELV SZERINTI SUI GENERIS JOG
43. cikk
Bizonyos adatokat tartalmazó adatbázisok
A 96/9/EK irányelv 7. cikkében előírt sui generis jog nem alkalmazandó, amennyiben az adatokat az e rendelet hatálya alá tartozó összekapcsolt termékből vagy kapcsolódó szolgáltatásból szerezték, vagy ilyen összekapcsolt termék vagy kapcsolódó szolgáltatás által generálták, különös tekintettel az irányelv 4. és 5. cikkére.
XI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
44. cikk
Az adathozzáférésre és -felhasználásra vonatkozó jogokat és kötelezettségeket szabályozó egyéb uniós jogi aktusok
(1) A 2024. január 11-én vagy azt megelőzően hatályba lépett uniós jogi aktusokban, valamint az azokon alapuló, felhatalmazáson alapuló vagy végrehajtási jogi aktusokban foglalt, az adatok vállalkozások közötti, vállalkozások és fogyasztók közötti, valamint kivételes esetekben vállalkozások és hatóságok közötti rendelkezésre bocsátására vonatkozó egyedi kötelezettségek érintetlenek maradnak.
(2) Ez a rendelet nem érinti azon uniós jogot, amely egy ágazat, egy közös európai adattér vagy egy közérdekű terület igényeinek fényében további követelményeket határoz meg, különösen a következőkkel kapcsolatban:
a) |
az adathozzáférés technikai vonatkozásai; |
b) |
a felhasználók által szolgáltatott bizonyos adatokhoz való hozzáférésre vagy azok felhasználására vonatkozó adatbirtokosi jogokra vonatkozó korlátozások; |
c) |
az adathozzáférésen és -felhasználáson túlmutató szempontok. |
(3) Ez a rendelet – az V. fejezet kivételével – nem érinti az adatokhoz való hozzáférésről és azok tudományos kutatási célú felhasználásának engedélyezéséről rendelkező uniós és nemzeti jogot.
45. cikk
A felhatalmazás gyakorlása
(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.
(2) A Bizottságnak a 29 cikk (7) bekezdésében és a 33. cikk (2) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása határozatlan időre szól 2024. január 11-től kezdődő hatállyal.
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 29 cikk (7) bekezdésében és a 33. cikk (2) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.
(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban megállapított elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.
(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.
(6) A 29. cikk (7) bekezdése vagy a 33. cikk (2) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő három hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam három hónappal meghosszabbodik.
46. cikk
A bizottsági eljárás
(1) A Bizottságot az (EU) 2022/868 rendelettel létrehozott bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.
47. cikk
Az (EU) 2017/2394 rendelet módosítása
Az (EU) 2017/2394 rendelet melléklete a következő ponttal egészül ki:
„29. |
Az Európai Parlament és a Tanács (EU) 2023/2854 rendelete (2023. december 13.) a méltányos adathozzáférésre és -felhasználásra vonatkozó harmonizált szabályokról, valamint az (EU) 2017/2394 rendelet és az (EU) 2020/1828 irányelv módosításáról (adatrendelet)(HL L, 2023/2854., 2023.12.22., ELI: http://data.europa.eu/eli/reg/2023/2854/oj).” |
48. cikk
Az (EU) 2020/1828 irányelv módosítása
Az (EU) 2020/1828 irányelv I. melléklete a következő ponttal egészül ki:
„68. |
Az Európai Parlament és a Tanács (EU) 2023/2854 rendelete (2023. december 13.) a méltányos adathozzáférésre és -felhasználásra vonatkozó harmonizált szabályokról, valamint az (EU) 2017/2394 rendelet és az (EU) 2020/1828 irányelv módosításáról (adatrendelet)(HL L, 2023/2854., 2023.12.22., ELI: http://data.europa.eu/eli/reg/2023/2854/oj).” |
49. cikk
Értékelés és felülvizsgálat
(1) A Bizottság 2028. szeptember 12-ig elvégzi e rendelet értékelését, és a főbb megállapításairól jelentést nyújt be az Európai Parlamentnek és a Tanácsnak, valamint az Európai Gazdasági és Szociális Bizottságnak. Az értékelés különösen a következőkre terjed ki:
a) |
az e rendelet 15. cikkének alkalmazásában rendkívüli igényt támasztó helyzeteknek tekintendő helyzetek és e rendelet V. fejezetének alkalmazása, különösen e rendelet V. fejezetének a közszférabeli szervezetek, a Bizottság, az Európai Központi Bank és az uniós szervek általi alkalmazása során szerzett tapasztalatok; e rendelet V. fejezetének alkalmazásával kapcsolatban a 18. cikk (5) bekezdése alapján az illetékes hatóság elé vitt eljárások száma és eredménye, az illetékes hatóságok jelentése szerint; az információhoz való hozzáférés iránti kérelmek teljesítése céljából az uniós vagy nemzeti jogban megállapított egyéb kötelezettségek hatása; az önkéntes adatmegosztási mechanizmusok – így például az (EU) 2022/868 rendelet alapján elismert adataltruista szervezetek által bevezetett mechanizmusok – hatása e rendelet V. fejezete célkitűzéseinek elérésére, valamint a személyes adatok szerepe e rendelet 15. cikkével összefüggésben, ideértve a magánélet védelmét erősítő technológiák fejlődését is; |
b) |
e rendelet hatása a gazdaságban történő adatfelhasználásra, többek között az adatinnovációra, az adatmonetizálási gyakorlatokra és az adatközvetítő szolgáltatásokra, valamint a közös európai adattereken belüli adatmegosztásra; |
c) |
a különböző adatkategóriák és -típusok hozzáférhetősége és felhasználása; |
d) |
a vállalkozások bizonyos kategóriáinak mint kedvezményezetteknek az 5. cikk szerinti kizárása; |
e) |
a szellemi tulajdonjogokra gyakorolt bármely hatás hiánya; |
f) |
az üzleti titkokra, többek között azok jogosulatlan megszerzésével, felhasználásával és felfedésével szembeni védelemre gyakorolt hatás, valamint azon mechanizmus hatása, amely lehetővé teszi az adatbirtokos számára, hogy a 4. cikk (8) bekezdése és az 5. cikk (11) bekezdése alapján elutasítsa a felhasználó kérelmét, figyelembe véve, amennyire lehetséges, az (EU) 2016/943 irányelv bármely felülvizsgálatát; |
g) |
vajon a tisztességtelen szerződési feltételek 13. cikkben említett listája naprakész-e az új üzleti gyakorlatok és a piaci innováció gyors üteme fényében; |
h) |
az adatkezelési szolgáltatók szerződéses gyakorlatában bekövetkezett változások, és hogy vajon ez a 24. cikknek való kellő megfelelést eredményez-e; |
i) |
az adatkezelési szolgáltatók által a szolgáltatóváltási folyamatért kirótt díjak csökkenése, a szolgáltatóváltási díjak 29. cikk szerinti fokozatos visszavonásával összhangban; |
j) |
e rendeletnek az adatgazdaság szempontjából releváns egyéb uniós jogi aktusokkal való kölcsönhatása; |
k) |
a nem személyes adatokhoz való jogellenes kormányzati hozzáférés megelőzése; |
l) |
a 37. cikk szerint előírt végrehajtási rendszer hatékonysága; |
m) |
e rendeletnek a kkv-kra gyakorolt hatása azok innovációs képessége, valamint az adatkezelési szolgáltatásoknak az unióbeli felhasználók számára való elérhetősége és az új kötelezettségeknek való megfeleléssel járó terhek tekintetében. |
(2) A Bizottság 2028. szeptember 12-ig elvégzi e rendelet értékelését, és a főbb megállapításairól jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és az Európai Gazdasági és Szociális Bizottságnak. Az említett értékelés során fel kell mérni a 23–31. cikk, valamint a 34. cikk és a 35. cikk hatásait, különös tekintettel az árképzésre és az Unión belül kínált adatkezelési szolgáltatások sokféleségére, külön hangsúlyt helyezve a kkv-szolgáltatókra.
(3) A tagállamok megküldik a Bizottságnak az (1) és (2) bekezdésben említett jelentések elkészítéséhez szükséges információkat.
(4) Az (1) és (2) bekezdésben említett jelentések alapján a Bizottság adott esetben jogalkotási javaslatot nyújthat be az Európai Parlamentnek és a Tanácsnak e rendelet módosítása céljából.
50. cikk
Hatálybalépés és alkalmazás
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet 2025. szeptember 12-től alkalmazandó.
A 3. cikk (1) bekezdéséből eredő kötelezettség a 2026. szeptember 12. után forgalomba hozott összekapcsolt termékekre és az azokhoz kapcsolódó szolgáltatásokra alkalmazandó.
A III. fejezet olyan uniós jog vagy az uniós joggal összhangban elfogadott olyan nemzeti jogszabály szerinti, adatok rendelkezésre bocsátására vonatkozó kötelezettségekkel kapcsolatban alkalmazandó, amely 2025. szeptember 12. követően lép hatályba.
A IV. fejezet a 2025. szeptember 12. után kötött szerződésekre alkalmazandó.
A IV. fejezet 2027. szeptember 12-től a 2025. szeptember 12-én vagy azt megelőzően kötött szerződésekre alkalmazandó, feltéve hogy azok:
a) |
határozatlan időre szólnak; vagy |
b) |
legalább 10 évvel 2024. január 11-t követően járnak le. |
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Strasbourgban, 2023. december 13-án.
az Európai Parlament részéről
az elnök
R. METSOLA
a Tanács részéről
az elnök
P. NAVARRO RÍOS
(1) HL C 402., 2022.10.19., 5. o.
(2) HL C 365., 2022.9.23., 18. o.
(3) HL C 375., 2022.9.30., 112. o.
(4) Az Európai Parlament 2023. november 9-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2023. november 27-i határozata.
(5) A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).
(6) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).
(7) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.).
(8) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).
(9) A Tanács 93/13/EGK irányelve (1993. április 5.) a fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről (HL L 95., 1993.4.21., 29. o.).
(10) Az Európai Parlament és a Tanács 2005/29/EK irányelve (2005. május 11.) a belső piacon az üzleti vállalkozások fogyasztókkal szemben folytatott tisztességtelen kereskedelmi gyakorlatairól, valamint a 84/450/EGK tanácsi irányelv, a 97/7/EK, a 98/27/EK és a 2002/65/EK európai parlamenti és tanácsi irányelvek, valamint a 2006/2004/EK európai parlamenti és tanácsi rendelet módosításáról („Irányelv a tisztességtelen kereskedelmi gyakorlatokról”) (HL L 149., 2005.6.11., 22. o.).
(11) Az Európai Parlament és a Tanács 2011/83/EU irányelve (2011. október 25.) a fogyasztók jogairól, a 93/13/EGK tanácsi irányelv és az 1999/44/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 85/577/EGK tanácsi irányelv és a 97/7/EK európai parlamenti és tanácsi irányelv hatályon kívül helyezéséről (HL L 304., 2011.11.22., 64. o.).
(12) Az Európai Parlament és a Tanács (EU) 2021/784 rendelete (2021. április 29.) az online terrorista tartalom terjesztésével szembeni fellépésről (HL L 172., 2021.5.17., 79. o.).
(13) Az Európai Parlament és a Tanács (EU) 2022/2065 rendelete (2022. október 19.) a digitális szolgáltatások egységes piacáról és a 2000/31/EK irányelv módosításáról (digitális szolgáltatásokról szóló jogszabály) (HL L 277., 2022.10.27., 1. o.).
(14) Az Európai Parlament és a Tanács (EU) 2023/1543 rendelete (2023. július 12.) a büntetőeljárás során az elektronikus bizonyítékokkal kapcsolatban, valamint a büntetőeljárást követően a szabadságvesztés-büntetések végrehajtása céljából kibocsátott, közlésre kötelező európai határozatokról és megőrzésre kötelező európai határozatokról (HL L 191., 2023.7.28., 118. o.).
(15) Az Európai Parlament és a Tanács (EU) 2023/1544 irányelve (2023. július 12.) a büntetőeljárásban az elektronikus bizonyítékok gyűjtése céljából a kijelölt telephelyek kijelöléséről és a jogi képviselők kinevezéséről szóló harmonizált szabályok meghatározásáról (HL L 191., 2023.7.28., 181. o.).
(16) Az Európai Parlament és a Tanács (EU) 2015/847 rendelete (2015. május 20.) a pénzátutalásokat kísérő adatokról és a 1781/2006/EK rendelet hatályon kívül helyezéséről (HL L 141., 2015.6.5., 1. o.).
(17) Az Európai Parlament és a Tanács (EU) 2015/849 irányelve (2015. május 20.) a pénzügyi rendszerek pénzmosás vagy terrorizmusfinanszírozás céljára való felhasználásának megelőzéséről, a 648/2012/EU európai parlamenti és tanácsi rendelet módosításáról, valamint a 2005/60/EK európai parlamenti és tanácsi irányelv és a 2006/70/EK bizottsági irányelv hatályon kívül helyezéséről (HL L 141., 2015.6.5., 73. o.).
(18) Az Európai Parlament és a Tanács (EU) 2019/882 irányelve (2019. április 17.) a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelményekről (HL L 151., 2019.6.7., 70. o.).
(19) Az Európai Parlament és a Tanács 2001/29/EK irányelve (2001. május 22.) az információs társadalomban a szerzői és szomszédos jogok egyes vonatkozásainak összehangolásáról (HL L 167., 2001.6.22., 10. o.).
(20) Az Európai Parlament és a Tanács 2004/48/EK irányelve (2004. április 29.) a szellemi tulajdonjogok érvényesítéséről (HL L 157., 2004.4.30., 45. o.).
(21) Az Európai Parlament és a Tanács (EU) 2019/790 irányelve (2019. április 17.) a digitális egységes piacon a szerzői és szomszédos jogokról, valamint a 96/9/EK és a 2001/29/EK irányelv módosításáról (HL L 130., 2019.5.17., 92. o.).
(22) Az Európai Parlament és a Tanács (EU) 2022/868 rendelete (2022. május 30.) az európai adatkormányzásról és az (EU) 2018/1724 rendelet módosításáról (adatkormányzási rendelet) (HL L 152., 2022.6.3., 1. o.).
(23) Az Európai Parlament és a Tanács (EU) 2016/943 irányelve (2016. június 8.) a nem nyilvános know-how és üzleti információk (üzleti titkok) jogosulatlan megszerzésével, hasznosításával és felfedésével szembeni védelemről (HL L 157., 2016.6.15., 1. o.).
(24) Az Európai Parlament és a Tanács 98/6/EK irányelve (1998. február 16.) a fogyasztók számára kínált termékek árának feltüntetésével kapcsolatos fogyasztóvédelemről (HL L 80., 1998.3.18., 27. o.).
(25) Az Európai Parlament és a Tanács 2000/31/EK irányelve (2000. június 8.) a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem, egyes jogi vonatkozásairól („Elektronikus kereskedelemről szóló irányelv”) (HL L 178., 2000.7.17., 1. o.).
(26) Az Európai Parlament és a Tanács (EU) 2022/1925 rendelete (2022. szeptember 14.) a digitális ágazat vonatkozásában a versengő és tisztességes piacokról, valamint az (EU) 2019/1937 és az (EU) 2020/1828 irányelv módosításáról (digitális piacokról szóló jogszabály) (HL L 265., 2022.10.12., 1. o.).
(27) Az Európai Parlament és a Tanács 223/2009/EK rendelete (2009. március 11.) az európai statisztikákról és a titoktartási kötelezettség hatálya alá tartozó statisztikai adatoknak az Európai Közösségek Statisztikai Hivatala részére történő továbbításáról szóló 1101/2008/EK, Euratom európai parlamenti és tanácsi rendelet, a közösségi statisztikákról szóló 322/97/EK tanácsi rendelet és az Európai Közösségek statisztikai programbizottságának létrehozásáról szóló 89/382/EGK, Euratom tanácsi határozat hatályon kívül helyezéséről (HL L 87., 2009.3.31., 164. o.).
(28) Az Európai Parlament és a Tanács (EU) 2019/1024 irányelve (2019. június 20.) a nyílt hozzáférésű adatokról és a közszféra információinak további felhasználásáról (HL L 172., 2019.6.26., 56. o.).
(29) Az Európai Parlament és a Tanács 96/9/EK irányelve (1996. március 11.) az adatbázisok jogi védelméről (HL L 77., 1996.3.27., 20. o.).
(30) Az Európai Parlament és a Tanács (EU) 2018/1807 rendelete (2018. november 14.) a nem személyes adatok Európai Unióban való szabad áramlásának keretéről (HL L 303., 2018.11.28., 59. o.).
(31) Az Európai Parlament és a Tanács (EU) 2019/770 irányelve (2019. május 20.) a digitális tartalom szolgáltatására és digitális szolgáltatások nyújtásra irányuló szerződések egyes vonatkozásairól (HL L 136., 2019.5.22., 1. o.).
(32) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333., 2022.12.27., 1. o.).
(33) Az Európai Parlament és a Tanács 1025/2012/EU rendelete (2012. október 25.) az európai szabványosításról, a 89/686/EGK és a 93/15/EGK tanácsi irányelv, a 94/9/EK, a 94/25/EK, a 95/16/EK, a 97/23/EK, a 98/34/EK, a 2004/22/EK, a 2007/23/EK, a 2009/23/EK és a 2009/105/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 87/95/EGK tanácsi határozat és az 1673/2006/EK európai parlamenti és tanácsi határozat hatályon kívül helyezéséről (HL L 316., 2012.11.14., 12. o.).
(34) Az Európai Parlament és a Tanács 765/2008/EK rendelete (2008. július 9.) a termékek forgalmazása tekintetében az akkreditálás és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.).
(35) Az Európai Parlament és a Tanács 768/2008/EK határozata (2008. július 9.) a termékek forgalomba hozatalának közös keretrendszeréről, valamint a 93/465/EGK tanácsi határozat hatályon kívül helyezéséről (HL L 218., 2008.8.13., 82. o.).
(36) Az Európai Parlament és a Tanács (EU) 2017/2394 rendelete (2017. december 12.) a fogyasztóvédelmi jogszabályok végrehajtásáért felelős nemzeti hatóságok közötti együttműködésről és a 2006/2004/EK rendelet hatályon kívül helyezéséről (HL L 345., 2017.12.27., 1. o.).
(37) Az Európai Parlament és a Tanács (EU) 2020/1828 irányelve (2020. november 25.) a fogyasztók kollektív érdekeinek védelmére irányuló képviseleti keresetekről és a 2009/22/EK irányelv hatályon kívül helyezéséről (HL L 409., 2020.12.4., 1. o.).
(38) HL L 123., 2016.5.12., 1. o.
(39) Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).
ELI: http://data.europa.eu/eli/reg/2023/2854/oj
ISSN 1977-0731 (electronic edition)