Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32022R0868

Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) (Text av betydelse för EES)

PE/85/2021/REV/1

EUT L 152, 3.6.2022, p. 1–44 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2022/868/oj

3.6.2022   

SV

Europeiska unionens officiella tidning

L 152/1


EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2022/868

av den 30 maj 2022

om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

efter att ha hört Regionkommittén,

i enlighet med det ordinarie lagstiftningsförfarandet (2), och

av följande skäl:

(1)

I enlighet med fördraget om Europeiska unionens funktionssätt (EUF-fördraget) ska en inre marknad inrättas och en ordning skapas som säkerställer att konkurrensen på den inre marknaden inte snedvrids. Fastställande av gemensamma regler och gemensam praxis i medlemsstaterna för utformning av en ram för dataförvaltning bör bidra till att dessa mål uppnås, samtidigt som grundläggande rättigheter respekteras fullt ut. Förstärkningen av unionens öppna strategiska oberoende bör också garanteras och ett internationellt fritt dataflöde samtidigt främjas.

(2)

Under det senaste årtiondet har den digitala tekniken förändrat ekonomin och samhället genom sin inverkan på alla verksamhetssektorer och det dagliga livet. I centrum för den omvandlingen står data: datadriven innovation kommer att medföra enorma fördelar för både unionsmedborgare och ekonomin, till exempel genom förbättrad medicin och precisionsmedicin, genom tillhandahållande av ny mobilitet och genom dess bidrag till kommissionens meddelande av den 11 december 2019 om den europeiska gröna given. För att göra den datadrivna ekonomin inkluderande för alla unionsmedborgare måste särskild uppmärksamhet ägnas åt att minska den digitala klyftan, stimulera kvinnors deltagande i dataekonomin och främja europeisk spetskompetens inom tekniksektorn. Dataekonomin måste byggas på ett sätt som möjliggör välmående företag, särskilt mikroföretag och små och medelstora företag enligt definitionen i bilagan till kommissionens rekommendation 2003/361/EG (3) samt nystartade företag, där neutral dataåtkomst, dataportabilitet och interoperabilitet säkerställs och inlåsningseffekter undviks. I sitt meddelande av den 19 februari 2020 om en EU-strategi för data (EU-strategin för data) beskrev kommissionen visionen om ett gemensamt europeiskt dataområde, som innebär en inre marknad för data, där data kan användas i enlighet med gällande lagstiftning oavsett var i unionen de fysiskt lagras, vilket bland annat skulle kunna vara avgörande för den snabba utvecklingen av teknik för artificiell intelligens.

Kommissionen efterlyste också ett fritt och säkert dataflöde med tredjeländer, med undantag och inskränkningar som rör allmän säkerhet, allmän ordning och andra legitima mål för unionens offentliga politik, i enlighet med internationella åtaganden, inbegripet om grundläggande rättigheter. För att förverkliga denna vision föreslog kommissionen att det inrättas domänspecifika gemensamma europeiska dataområden för datadelning och datapoolning. I EU-strategin för data föreslås att sådana gemensamma europeiska dataområden skulle kunna omfatta områden såsom hälsa, mobilitet, tillverkning, finansiella tjänster, energi eller jordbruk, eller en kombination av sådana områden, till exempel energi och klimat, samt tematiska områden såsom den europeiska gröna given eller europeiska dataområden för offentlig förvaltning eller kompetens. Gemensamma europeiska dataområden bör göra data sökbara, tillgängliga, interoperabla och möjliga att vidareutnyttja (Fairdataprinciperna) och samtidigt säkerställa en hög nivå på cybersäkerheten. När det råder likvärdiga förutsättningar i dataekonomin konkurrerar företagen om tjänsternas kvalitet, inte om mängden data som de kontrollerar. I syfte att utforma, skapa och behålla likvärdiga förutsättningar i dataekonomin behövs sund styrning där de berörda parterna i ett gemensamt europeiskt dataområde behöver samarbeta och vara representerade.

(3)

Det är nödvändigt att förbättra villkoren för datadelning på den inre marknaden genom att skapa en harmoniserad ram för utbyte av data och föreskriva vissa grundläggande krav på dataförvaltning, med särskild omsorg om att underlätta samarbetet mellan medlemsstaterna. Denna förordning bör syfta till att vidareutveckla den gränslösa digitala inre marknaden samt ett datasamhälle och en dataekonomi som ställer människan i centrum och präglas av förtroende och säkerhet. Genom sektorsspecifik unionsrätt kan, beroende på sektorns särdrag, nya och kompletterande delar utvecklas, anpassas och föreslås, såsom den planerade unionsrätten om det europeiska hälsodataområdet och om tillgång till fordonsdata. Dessutom regleras vissa sektorer av ekonomin redan av sektorsspecifik unionsrätt som omfattar regler om den gränsöverskridande eller unionsomfattande delningen av eller tillgången till data, till exempel Europaparlamentets och rådets direktiv 2011/24/EU (4) inom ramen för det europeiska hälsodataområdet, och relevanta lagstiftningsakter på transportområdet, till exempel Europaparlamentets och rådets förordningar (EU) 2019/1239 (5) och (EU) 2020/1056 (6) samt Europaparlamentets och rådets direktiv 2010/40/EU (7) inom ramen för det europeiska dataområdet för rörlighet.

Denna förordning bör därför inte påverka Europaparlamentets och rådets förordningar (EG) nr 223/2009 (8), (EU) 2018/858 (9) och (EU) 2018/1807 (10) samt direktiv 2000/31/EG (11), 2001/29/EG (12), 2004/48/EG (13), 2007/2/EG (14), 2010/40/EU, (EU) 2015/849 (15), (EU) 2016/943 (16), (EU) 2017/1132 (17), (EU) 2019/790 (18) och (EU) 2019/1024 (19) samt annan sektorsspecifik unionsrätt som reglerar tillgång till och vidareutnyttjande av data. Denna förordning bör inte påverka unionsrätten och nationell rätt om tillgången till och användningen av data för förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga påföljder och inte heller det internationella samarbetet i det sammanhanget.

Denna förordning bör inte påverka medlemsstaternas befogenheter när det gäller deras verksamhet som rör allmän säkerhet, försvar och nationell säkerhet. Vidareutnyttjandet av data som är skyddade av sådana skäl och innehas av offentliga myndigheter, inbegripet data från upphandlingsförfaranden som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv 2009/81/EG (20), bör inte omfattas av denna förordning. Ett övergripande system för vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter och tillhandahållande av dataförmedlingstjänster och tjänster baserade på dataaltruism i unionen bör inrättas. De olika sektorernas särdrag kan göra att det behöver skapas sektorsspecifika databaserade system, som samtidigt ska bygga på kraven i denna förordning. Leverantörer av dataförmedlingstjänster som uppfyller kraven i denna förordning bör kunna använda beteckningen ”leverantör av dataförmedlingstjänster som är erkända i unionen”. Juridiska personer som vill stödja mål av allmänt intresse genom att tillhandahålla relevanta data baserat på dataaltruism i större skala och som uppfyller de krav som fastställs i denna förordning, bör kunna registrera sig som och använda beteckningen ”dataaltruismorganisation som är erkänd i unionen”. Om sektorsspecifik unionsrätt eller nationell rätt kräver att offentliga myndigheter, sådana leverantörer av dataförmedlingstjänster eller sådana juridiska personer (erkända dataaltruismorganisationer) uppfyller specifika ytterligare tekniska, administrativa eller organisatoriska krav, däribland genom ett auktorisations- eller certifieringssystem, bör de bestämmelserna i den sektorsspecifika unionsrätten eller nationella rätten också gälla.

(4)

Denna förordning bör inte påverka tillämpningen av Europaparlamentets och rådets förordningar (EU) 2016/679 (21) och (EU) 2018/1725 (22) och av Europaparlamentets och rådets direktiv 2002/58/EG (23) och (EU) 2016/680 (24) samt motsvarande bestämmelser i nationell rätt, inbegripet då personuppgifter och andra data än personuppgifter i en datamängd är oupplösligt sammanlänkade. Den här förordningen bör i synnerhet inte tolkas som att den skapar en ny rättslig grund för behandling av personuppgifter för någon av de reglerade verksamheterna, eller ändrar de informationskrav som fastställs i förordning (EU) 2016/679. Genomförandet av den här förordningen bör inte förhindra gränsöverskridande överföringar av data i enlighet med kapitel V i förordning (EU) 2016/679. Om den här förordningen står i strid med unionsrätten om skydd av personuppgifter eller nationell rätt som antagits i enlighet med sådan unionsrätt bör relevant unionsrätt eller nationell rätt om skydd av personuppgifter ha företräde. Det bör vara möjligt att betrakta dataskyddsmyndigheter som behöriga myndigheter inom ramen för den här förordningen. Om andra myndigheter fungerar som behöriga myndigheter enligt den här förordningen bör de göra detta på ett sätt som inte påverkar dataskyddsmyndigheternas tillsynsbefogenheter och behörigheter enligt förordning (EU) 2016/679.

(5)

Åtgärder på unionsnivå är nödvändiga för att öka förtroendet för datadelning genom att inrätta lämpliga mekanismer för de registrerades och datainnehavares kontroll över data som avser dem och för att ta itu med andra hinder för en väl fungerande och konkurrenskraftig datadriven ekonomi. Dessa åtgärder bör inte påverka tillämpningen av skyldigheter och åtaganden enligt internationella handelsavtal som ingås av unionen. En unionsomfattande styrningsram bör syfta till att skapa förtroende bland enskilda personer och företag när det gäller tillgång till samt kontroll, delning, användning och vidareutnyttjande av data, särskilt genom att fastställa lämpliga mekanismer för att de registrerade ska känna till sina rättigheter och kunna utöva dem på ett meningsfullt sätt, och när det gäller vidareutnyttjande av vissa typer av data som innehas av offentliga myndigheter, tillhandahållande av tjänster från leverantörer av dataförmedlingstjänster till registrerade, datainnehavare och dataanvändare samt insamling och behandling av data som fysiska och juridiska personer gör tillgängliga för altruistiska ändamål. I synnerhet kan större öppenhet om vad syftet med dataanvändningen är och under vilka villkor företag lagrar data bidra till att stärka förtroendet.

(6)

Tanken att data som har tagits fram eller samlats in av offentliga myndigheter eller andra enheter på offentliga budgetars bekostnad bör gynna samhället har länge varit en del av unionens politik. Genom direktiv (EU) 2019/1024 och sektorsspecifik unionsrätt säkerställs att de offentliga myndigheterna gör en större del av de data de producerar lättillgängliga för användning och vidareutnyttjande. Vissa kategorier av data, såsom data som rör affärshemligheter, insynsskyddade statistiska data och data som skyddas av tredje parts immateriella rättigheter, inbegripet företagshemligheter och personuppgifter, i offentliga databaser görs dock ofta inte tillgängliga, inte ens för forskning eller innovativ verksamhet i allmänhetens intresse, trots att sådan tillgänglighet är möjligt i enlighet med tillämplig unionsrätt, särskilt förordning (EU) 2016/679 och direktiven 2002/58/EG och (EU) 2016/680. På grund av sådana datas känslighet måste vissa tekniska och rättsliga förfarandekrav uppfyllas innan de görs tillgängliga, inte minst för att säkerställa att andra personers rättigheter till sådana data iakttas eller för att begränsa den negativa effekten på de grundläggande rättigheterna, principen om icke-diskriminering och dataskyddet. Det är vanligen tidsödande och kunskapsintensiva att uppfylla sådana krav. Detta har lett till ett otillräckligt nyttjande av sådana data. Vissa medlemsstater håller på att inrätta strukturer, processer eller lagstiftning för att underlätta den typen av vidareutnyttjande, men detta är inte fallet i hela unionen. För att underlätta privata och offentliga enheters användning av data för europeisk forskning och innovation behövs tydliga villkor över hela unionen för tillgång till och användning av sådana data.

(7)

Det finns teknik som möjliggör analyser för databaser som innehåller personuppgifter, såsom anonymisering, differentiell integritet, generalisering, undertryckande och randomisering, användningen av syntetiska data eller liknande metoder och andra toppmoderna integritetsbevarande metoder som kan bidra till en mer integritetsvänlig databehandling. Medlemsstaterna bör ge stöd till offentliga myndigheter så att de kan optimera användningen av sådan teknik och därigenom göra en så stor mängd data som möjligt tillgänglig för delning. Tillämpningen av sådan teknik, tillsammans med övergripande konsekvensbedömningar avseende dataskydd och andra skyddsåtgärder, kan bidra till större säkerhet i användningen och vidareutnyttjandet av personuppgifter och bör kunna säkerställa att företagsdata som rör affärshemligheter kan vidareutnyttjas för forsknings-, innovations- och statistikändamål på ett säkert sätt. I många fall innebär tillämpningen av sådan teknik, sådana konsekvensbedömningar och sådana andra skyddsåtgärder att data endast kan användas och vidareutnyttjas i en säker behandlingsmiljö som tillhandahålls eller kontrolleras av den offentliga myndigheten. Det finns erfarenheter på unionsnivå från sådana säkra behandlingsmiljöer som används för forskning om statistiska mikrodata på grundval av kommissionens förordning (EU) nr 557/2013 (25). När det gäller personuppgifter bör behandlingen av dessa i allmänhet baseras på en eller flera av de rättsliga grunder för behandling som anges i artiklarna 6 och 9 i förordning (EU) 2016/679.

(8)

I enlighet med förordning (EU) 2016/679 bör principerna för dataskyddet inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Återidentifiering av registrerade på grundval av anonymiserade dataset bör vara förbjuden. Detta bör inte påverka möjligheten att bedriva forskning om anonymiseringsteknik, i synnerhet för att säkerställa informationssäkerhet, förbättra befintlig anonymiseringsteknik och bidra till anonymiseringens övergripande robusta karaktär, som genomförs i enlighet med förordning (EU) 2016/679.

(9)

För att underlätta skyddet av personuppgifter och konfidentiella uppgifter och för att påskynda förfarandet med att göra sådana uppgifter tillgängliga för vidareutnyttjande inom ramen för denna förordning bör medlemsstaterna uppmuntra de offentliga myndigheterna att ta fram och tillgängliggöra data i enlighet med den princip om inbyggd öppenhet och öppenhet som standard som avses i artikel 5.2 i direktiv (EU) 2019/1024 och att främja framställning och upphandling av data i format och strukturer som möjliggör snabb anonymisering.

(10)

De kategorier av data som innehas av offentliga myndigheter och som bör vidareutnyttjas enligt denna förordning faller utanför tillämpningsområdet för direktiv (EU) 2019/1024, som utesluter uppgifter som inte är tillgängliga på grund av insynsskydd för statistiska och kommersiella uppgifter och data som ingår i verk eller andra alster till vilka tredje man innehar immateriella rättigheter. Data som rör affärshemligheter inbegriper data som skyddas av företagshemligheter, skyddad know-how och annan information vars otillbörliga röjande skulle påverka företagets marknadsställning eller finansiella sundhet. Denna förordning bör tillämpas på personuppgifter som faller utanför tillämpningsområdet för direktiv (EU) 2019/1024 i den mån som bestämmelserna om tillgång till handlingar utesluter eller begränsar tillgången till sådana data av skäl som rör dataskydd, privatlivet och den enskilda personens integritet, särskilt i enlighet med dataskyddsbestämmelserna. Vidareutnyttjande av uppgifter som kan innehålla företagshemligheter bör ske utan att det påverkar tillämpningen av direktiv (EU) 2016/943, som fastställer ramen för tillåtet anskaffande, användande eller röjande av företagshemligheter.

(11)

Denna förordning bör inte göra det obligatoriskt att tillåta vidareutnyttjande av data som innehas av offentliga myndigheter. Mer specifikt, bör varje medlemsstat därför kunna besluta om data ska göras tillgängliga för vidareutnyttjande, även i fråga om syftena med och tillämpningsområdet för denna åtkomst. Denna förordning bör komplettera och inte påverka tillämpningen av mer specifika skyldigheter för offentliga myndigheter att tillåta vidareutnyttjande av data som fastställs i sektorsspecifik unionsrätt eller nationell rätt. Allmänhetens rätt att få tillgång till officiella handlingar kan betraktas som ett allmänt intresse. Med hänsyn till den roll som allmänhetens rätt att få tillgång till officiella handlingar och öppenheten spelar i ett demokratiskt samhälle bör denna förordning inte heller påverka tillämpningen av nationell rätt om beviljande av tillgång till och utlämnande av officiella handlingar. Tillgång till officiella handlingar kan i synnerhet beviljas i enlighet med nationell rätt utan att föreskriva särskilda villkor eller genom att föreskriva särskilda krav som inte föreskrivs i denna förordning.

(12)

Det system för vidareutnyttjande som föreskrivs i denna förordning bör tillämpas på sådana data vars tillhandahållande ingår i den offentliga verksamhet som bedrivs av de berörda offentliga myndigheterna, enligt lag eller andra bindande regler i medlemsstaterna. Om sådana regler saknas bör den offentliga verksamheten fastställas i enlighet med gängse administrativ praxis i medlemsstaterna, förutsatt att den offentliga verksamheten är tydligt avgränsad och föremål för översyn. Den offentliga verksamheten kan fastställas generellt eller från fall till fall för enskilda offentliga myndigheter. Eftersom offentliga företag inte omfattas av definitionen av offentlig myndighet bör de data som innehas av offentliga företag inte omfattas av denna förordning. Data som innehas av kulturinstitutioner, såsom bibliotek, arkiv och museer samt orkestrar, operor, baletter och teatrar, och av utbildningsanstalter bör inte omfattas av denna förordning eftersom de verk och andra handlingar som de innehar till övervägande del omfattas av tredje parts immateriella rättigheter. Organisationer som bedriver forskning och organisationer som finansierar forskning kan också organiseras som offentliga myndigheter eller offentligrättsliga organ.

Denna förordning bör tillämpas på sådana hybridorganisationer endast i deras egenskap av organisationer som bedriver forskning. Om en organisation som bedriver forskning innehar data som en del av en specifik offentlig–privat sammanslutning med organisationer från den privata sektorn eller andra offentliga myndigheter, offentligrättsliga organ eller hybridorganisationer som bedriver forskning, dvs. som är organiserade som antingen offentliga myndigheter eller offentliga företag, med bedrivande av forskning som huvudsakligt syfte, bör inte heller dessa data omfattas av denna förordning. I relevanta fall bör medlemsstaterna kunna tillämpa denna förordning på offentliga företag eller privata företag som utför uppdrag inom offentlig sektor eller tillhandahåller tjänster av allmänt intresse. Utbytet av data, helt och hållet inom ramen för fullgörandet av deras offentliga uppdrag, mellan offentliga myndigheter i unionen eller mellan offentliga myndigheter i unionen och offentliga myndigheter i tredjeländer eller internationella organisationer, samt utbytet av data mellan forskare för icke-kommersiella vetenskapliga forskningsändamål, bör inte omfattas av bestämmelserna i denna förordning om vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter.

(13)

Offentliga myndigheter bör följa konkurrensrätten när de fastställer principerna för vidareutnyttjande av data som de innehar, och undvika att ingå avtal vars syfte eller verkan kan vara att skapa exklusiva rättigheter för vidareutnyttjande av vissa data. Sådana avtal bör endast vara möjliga om det är motiverat och nödvändigt för tillhandahållandet av en tjänst eller tillhandahållandet av en produkt av allmänt intresse. Detta kan vara fallet om den exklusiva användningen av data är det enda sättet att maximera de samhälleliga fördelarna av berörda data, till exempel om det bara finns en enda enhet (som har specialiserat sig på behandling av en viss datamängd) som kan tillhandahålla den tjänst eller produkt som gör det möjligt för den offentliga myndigheten att tillhandahålla en tjänst eller tillhandahålla en produkt av allmänt intresse. Sådana arrangemang bör dock ingås i enlighet med tillämplig unionsrätt eller nationell rätt och bli föremål för regelbunden översyn baserad på en marknadsanalys för att fastställa om en sådan exklusivitet fortfarande är nödvändig. Dessutom bör sådana arrangemang, beroende på vad som är lämpligt, vara förenliga med relevanta regler för statligt stöd och bör ingås för en begränsad period som inte bör överstiga tolv månader. För att säkerställa öppenhet bör sådana exklusiva avtal offentliggöras online i en form som är förenlig med relevant unionsrätt om offentlig upphandling. Om en exklusiv rätt till vidareutnyttjande av data inte är förenlig med denna förordning bör den exklusiva rätten vara ogiltig.

(14)

Förbjudna exklusiva avtal och andra metoder eller arrangemang som rör vidareutnyttjande av data som innehas av offentliga myndigheter och som inte uttryckligen beviljar exklusiva rättigheter men som rimligen kan förväntas begränsa tillgången till data för vidareutnyttjande och som har ingåtts eller redan var införda innan den dag då denna förordning träder i kraft, bör inte förnyas efter det att deras giltighetstid har löpt ut. När det gäller avtal på obestämd tid eller med lång löptid bör de upphöra att gälla inom 30 månader från den dag då denna förordning träder i kraft.

(15)

I denna förordning bör det fastställas villkor för vidareutnyttjande av skyddade data som ska gälla för offentliga myndigheter utsedda till behöriga enligt nationell rätt att bevilja eller vägra tillgång för vidareutnyttjande, och som inte ska påverka rättigheter eller skyldigheter avseende tillgång till sådana data. Dessa villkor bör vara icke-diskriminerande, transparenta, proportionella och objektivt motiverade utan att begränsa konkurrensen, med särskilt fokus på att främja små och medelstora företags och nystartade företags tillgång till sådana data. Villkoren för vidareutnyttjande bör utformas på ett sätt som främjar vetenskaplig forskning så att det, till exempel, som regel bör anses vara icke-diskriminerande att privilegiera vetenskaplig forskning. Offentliga myndigheter som tillåter vidareutnyttjande bör förfoga över de tekniska medel som krävs för att säkerställa skyddet av tredje parts rättigheter och intressen och bör ges befogenhet att begära nödvändig information från vidareutnyttjaren. Villkoren för vidareutnyttjande av data bör begränsas till vad som är nödvändigt för att skydda tredje parts rättigheter och intressen i data och integriteten hos de offentliga myndigheternas it- och kommunikationssystem. Offentliga myndigheter bör tillämpa sådana villkor som bäst gagnar vidareutnyttjarens intressen utan att detta leder till en oproportionerlig börda för de offentliga myndigheterna. Villkoren för vidareutnyttjande av data bör utformas på ett sätt som säkerställer effektiva skyddsåtgärder för personuppgifter. Före överföring bör personuppgifter vara anonymiserade så att de registrerade inte kan identifieras, och data som innehåller affärshemligheter bör ändras på ett sådant sätt att ingen konfidentiell information lämnas ut. Om tillhandahållandet av anonymiserade eller ändrade data inte skulle tillgodose vidareutnyttjarens behov, förutsatt att eventuella krav på att genomföra en konsekvensbedömning avseende dataskydd och samråda med tillsynsmyndigheten enligt artiklarna 35 och 36 i förordning (EU) 2016/679 uppfylls och om riskerna för de registrerades rättigheter och deras intressen är minimala, kan det tillåtas att vidareutnyttja uppgifterna på plats eller på distans inom en säker behandlingsmiljö.

Detta skulle kunna vara ett lämpligt arrangemang för vidareutnyttjande av pseudonymiserade data. Dataanalyser i sådana säkra behandlingsmiljöer bör övervakas av den offentliga myndigheten för att skydda tredje parts rättigheter och intressen. I synnerhet bör personuppgifter överföras till en tredje part för vidareutnyttjande endast om en rättslig grund inom ramen för dataskyddslagstiftningen tillåter en sådan överföring. Icke-personuppgifter bör endast överföras om det saknas skäl att tro att en kombination av dataset som inte består av personuppgifter kan leda till identifiering av de registrerade. Detta bör även gälla pseudonymiserade data som behåller sin status som personuppgifter. Vid återidentifiering av registrerade bör en skyldighet att anmäla en sådan uppgiftsincident till den offentliga myndigheten gälla utöver en skyldighet att anmäla en sådan uppgiftsincident till en tillsynsmyndighet och den registrerade i enlighet med förordning (EU) 2016/679. I tillämpliga fall bör de offentliga myndigheterna underlätta vidareutnyttjande av data efter att de registrerade samtyckt eller datainnehavare med lämpliga tekniska metoder gett sitt tillstånd till vidareutnyttjande av data som rör dem. I det avseendet bör den offentliga myndigheten göra sitt bästa för att bistå potentiella vidareutnyttjare som behöver sådant samtycke eller tillstånd genom att inrätta tekniska mekanismer som gör det möjligt att vidarebefordra begäranden om samtycke eller tillstånd från vidareutnyttjare, när detta är praktiskt genomförbart. Ingen kontaktinformation bör lämnas som gör det möjligt för vidareutnyttjare att kontakta registrerade eller datainnehavare direkt. Om den offentliga myndigheten översänder en begäran om samtycke eller tillstånd bör den säkerställa att den registrerade eller datainnehavaren tydligt informeras om möjligheten att vägra samtycke eller tillstånd.

(16)

För att underlätta och främja användningen av data som innehas av offentliga myndigheter för vetenskaplig forskning uppmuntras offentliga myndigheter att utarbeta en harmoniserad strategi och harmoniserade förfaranden för att göra dessa data enkelt tillgängliga för vetenskaplig forskning i allmänhetens intresse. Det skulle bland annat kunna innebära att man skapar rationaliserade administrativa förfaranden, standardiserade dataformat, informativa metadata om metod- och datainsamlingsvalen samt standardiserade datafält som möjliggör enkel sammanslagning av dataset från olika källor till data från den offentliga sektorn om detta är relevant för analysen. Målet för dessa metoder bör vara att främja offentligt finansierade och framtagna data för vetenskaplig forskning i enlighet med principen så öppen som möjligt, så begränsad som nödvändigt.

(17)

Immateriella rättigheter som innehas av tredje part bör inte påverkas av denna förordning. Denna förordning bör inte påverka vare sig förekomsten av immateriella rättigheter hos offentliga myndigheter eller deras äganderätt av desamma, eller begränsa utövandet av dessa rättigheter på något sätt. De skyldigheter som införs i enlighet med denna förordning bör endast tillämpas i den mån de är förenliga med internationella avtal om skydd av immateriella rättigheter, i synnerhet Bernkonventionen för skydd av litterära och konstnärliga verk (Bernkonventionen), avtalet om handelsrelaterade aspekter av immaterialrätter (Trips-avtalet) och Världsorganisationen för den intellektuella äganderättens fördrag om upphovsrätt (WCT) samt unionsrätt eller nationell rätt om immateriella rättigheter. Offentliga myndigheter bör emellertid använda sin upphovsrätt på ett sätt som underlättar vidareutnyttjande.

(18)

Data som omfattas av immateriella rättigheter och företagshemligheter bör endast överföras till en tredje part om överföringen är laglig enligt unionsrätten eller nationell rätt eller med rättsinnehavarens samtycke. Om offentliga myndigheter är innehavare av en databasproducents rätt som föreskrivs i artikel 7.1 i Europaparlamentets och rådets direktiv 96/9/EG (26), bör de inte utöva denna rätt för att förhindra vidareutnyttjande av data eller begränsa vidareutnyttjande utöver de gränser som fastställs i denna förordning.

(19)

Företagen och de registrerade bör kunna förlita sig på att vidareutnyttjandet av vissa kategorier av skyddade data som innehas av de offentliga myndigheterna kommer att ske på ett sätt som är i enlighet med deras rättigheter och intressen. Ytterligare skyddsåtgärder bör därför införas för situationer där vidareutnyttjande av sådana data från den offentliga sektorn sker på grundval av behandling av data utanför den offentliga sektorn, såsom ett krav på att offentliga myndigheter säkerställer att fysiska och juridiska personers rättigheter och intressen är fullt skyddade, särskilt med avseende på personuppgifter, kommersiellt känsliga data och immateriella rättigheter, i alla situationer, inklusive om sådana uppgifter överförs till tredjeländer. Offentliga myndigheter bör inte tillåta vidareutnyttjandet av information som lagras av försäkringsföretag eller andra tjänsteleverantörer i e-hälsotillämpningar i syfte att diskriminera vid prissättning, eftersom detta skulle strida mot den grundläggande rätten till tillgång till hälso- och sjukvård.

(20)

För att upprätthålla rättvis konkurrens och den öppna marknadsekonomin är det dessutom av största vikt att skyddade data av icke-personuppgiftskaraktär skyddas, särskilt företagshemligheter, men även icke-personuppgifter som avser innehåll som skyddas av immateriella rättigheter, från olaglig tillgång som kan leda till stöld av immateriella rättigheter eller industrispionage. För att säkerställa skyddet av datainnehavarnas rättigheter eller intressen bör det vara möjligt att överföra icke-personuppgifter som ska skyddas från olaglig eller otillåten åtkomst i enlighet med unionsrätten eller nationell rätt och som innehas av offentliga myndigheter till tredjeländer, men endast om lämpliga skyddsåtgärder för användningen av data tillhandahålls. Sådana lämpliga skyddsåtgärder bör inbegripa ett krav att den offentliga myndigheten överför skyddade data till en vidareutnyttjare endast om den vidareutnyttjaren avtalsmässigt åtar sig att skydda dessa data. En vidareutnyttjare som avser att överföra skyddade data till ett tredjeland bör fullgöra de skyldigheter som fastställs i denna förordning även efter det att berörda data har överförts till tredjelandet. För att säkerställa att sådana skyldigheter fullgörs korrekt bör vidareutnyttjaren också godta att den medlemsstat där den offentliga myndighet är belägen som tillät vidareutnyttjandet är behörig vid rättslig tvistlösning.

(21)

Lämpliga skyddsåtgärder bör även anses ha vidtagits om det i tredjelandet till vilket icke-personuppgifter har överförts, finns likvärdiga åtgärder som säkerställer att uppgifterna omfattas av en skyddsnivå liknande den som tillämpas enligt unionsrätten, särskilt vad gäller skyddet av företagshemligheter och immateriella rättigheter. När så motiveras på grund av betydande antal begäranden i hela unionen om vidareutnyttjandet av icke-personuppgifter i specifika tredjeländer bör kommissionen för detta ändamål kunna intyga, genom genomförandeakter, att ett tredjeland tillhandahåller en skyddsnivå som i allt väsentligt är likvärdig med den som föreskrivs i unionsrätten. Kommissionen bör bedöma om sådana genomförandeakter är nödvändiga på grundval av informationen från medlemsstaterna via Europeiska datainnovationsstyrelsen. Sådana genomförandeakter skulle försäkra de offentliga myndigheterna om att vidareutnyttjande av data som innehas av offentliga myndigheter i det berörda tredjelandet inte skulle hota dessa datas skyddade karaktär. Bedömningen av skyddsnivån i det berörda tredjelandet bör i synnerhet ta hänsyn till relevant allmän rätt och sektorsspecifik rätt, inklusive om allmän säkerhet, försvar, nationell säkerhet och straffrätt när det gäller tillgång till och skydd av data som inte är personuppgifter, eventuell åtkomst för de offentliga myndigheterna i det tredjelandet till de uppgifter som överförs, huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter med ansvar för att säkerställa och kontrollera efterlevnaden av den rättsliga ordning som säkerställer tillgång till sådana data, tredjelandets internationella åtaganden i fråga om dataskydd, eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i multilaterala eller regionala system.

Det är särskilt viktigt att det finns effektiva rättsmedel för datainnehavare, offentliga myndigheter eller leverantörer av dataförmedlingstjänster i det berörda tredjelandet i samband med överföring av icke-personuppgifter till det tredjelandet. Sådana skyddsåtgärder bör därför inbegripa tillgång till verkställbara rättigheter och effektiva rättsmedel. Sådana genomförandeakter bör inte påverka rättsliga skyldigheter eller kontraktsmässiga arrangemang som en vidareutnyttjare redan har fullgjort för att skydda icke-personuppgifter, särskilt industridata, och offentliga myndigheters rätt att ålägga vidareutnyttjare att uppfylla villkoren för vidareutnyttjande, i enlighet med denna förordning.

(22)

Vissa tredjeländer antar lagar, förordningar och andra rättsakter som syftar till att direkt överföra eller ge statlig tillgång till icke-personuppgifter som finns i unionen och som fysiska och juridiska personer som står under medlemsstaternas jurisdiktion har kontroll över. Beslut och domar av domstolar i tredjeländer eller beslut av förvaltningsmyndigheter i tredjeländer som innehåller krav på sådan överföring eller tillgång till icke-personuppgifter ska vara verkställbara, om de grundar sig på ett gällande internationellt avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en medlemsstat. I vissa fall kan det uppstå situationer där skyldigheten att överföra eller ge tillgång till icke-personuppgifter som härrör från ett tredjelands rätt står i strid med en skyldighet att skydda sådana data enligt unionsrätten eller nationell rätt, särskilt när det gäller skyddet av den enskilda personens grundläggande rättigheter eller en medlemsstats grundläggande intressen med avseende på nationell säkerhet eller försvar samt skyddet av kommersiellt känsliga uppgifter och skyddet av immateriella rättigheter, inbegripet avtalsskyldigheter i fråga om konfidentiell behandling i enlighet med sådan rätt. I avsaknad av internationella avtal som reglerar sådana frågor bör överföring av eller tillgång till icke-personuppgifter endast tillåtas om det, i synnerhet, har kontrollerats att tredjelandets rättssystem omfattar krav på att beslutets eller domens skäl och proportionalitet anges, att beslutet eller domen är specifik till sin karaktär och att den motiverade invändningen från mottagaren är föremål för prövning av en behörig domstol i tredjelandet, som har befogenhet att vederbörligen beakta de relevanta rättsliga intressena för den som tillhandahåller sådana uppgifter.

Offentliga myndigheter, fysiska eller juridiska personer som beviljats rätten att vidareutnyttja data, leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer bör dessutom, om de undertecknar avtal med andra privata partner, säkerställa att icke-personuppgifter som innehas i unionen görs tillgängliga i eller överförs till tredjeländer endast i enlighet med unionsrätten eller den berörda medlemsstatens nationella rätt.

(23)

I syfte att ytterligare främja förtroendet för unionens dataekonomi är det avgörande att de skyddsåtgärder för unionsmedborgare, den offentliga sektorn och företag som säkerställer kontroll över dessas strategiska och känsliga uppgifter genomförts och att unionsrätt, värden och standarder upprätthålls inom bland annat, men inte enbart, områdena säkerhet, dataskydd och konsumentskydd. För att förhindra olaglig åtkomst till icke-personuppgifter bör de offentliga myndigheterna, de fysiska eller juridiska personer som beviljats rätten att vidareutnyttja data, leverantörerna av dataförmedlingstjänster och erkända dataaltruismorganisationer, vidta alla rimliga åtgärder för att förhindra åtkomst till de system där icke-personuppgifter lagras, inbegripet kryptering av data eller företagspolicyer. För det ändamålet bör det säkerställas att offentliga myndigheter, fysiska eller juridiska personer som beviljats rätten att vidareutnyttja data, leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer uppfyller samtliga relevanta tekniska standarder, uppförandekoder och certifieringar på unionsnivå.

(24)

För att bygga upp förtroendet för mekanismer för vidareutnyttjande kan det vara nödvändigt att införa strängare villkor för vissa typer av icke-personuppgifter som kan komma att identifieras som mycket känsliga i framtida särskilda unionslagstiftningsakter, när det gäller överföring till tredjeländer, om en sådan överföring skulle kunna äventyra unionens offentligpolitiska mål, i linje med internationella åtaganden. Till exempel på hälsoområdet kan vissa dataset som innehas av aktörer i det allmänna hälso- och sjukvårdssystemet, t.ex. offentliga sjukhus, fastställas som mycket känsliga hälsodata. Andra relevanta sektorer är transport, energi, miljö och finans. För att säkerställa en harmoniserad praxis i hela unionen bör sådana typer av mycket känsliga offentliga icke-personuppgifter definieras i unionsrätten, till exempel inom ramen för det europeiska hälsodataområdet eller annan sektorspecifik rätt. Dessa villkor för överföring av sådana uppgifter till tredjeländer bör fastställas i delegerade akter. Villkoren bör vara proportionella, icke-diskriminerande och nödvändiga för att upprätthålla de legitima offentligpolitiska mål för unionen som fastställts, såsom skydd av folkhälsan, säkerhet, miljö, allmän moral, konsumentskydd, integritet och skydd av personuppgifter. Villkoren bör motsvara de risker som identifierats i förhållande till känsligheten hos sådana data, bland annat när det gäller risken för återidentifiering av enskilda personer. Sådana villkor kan omfatta villkor för överföringen eller tekniska arrangemang, såsom krav på användning av en säker behandlingsmiljö, begränsningar när det gäller vidareutnyttjande av data i tredjeländer eller kategorier av personer som har rätt att överföra sådana data till tredjeland eller har tillgång till dem i tredjelandet. I undantagsfall kan sådana villkor också omfatta begränsningar av överföringen av data till tredjeländer för att skydda allmänintresset.

(25)

Offentliga myndigheter bör kunna ta ut avgifter för vidareutnyttjande av data, men bör också kunna tillåta vidareutnyttjande till en nedsatt avgift eller kostnadsfritt, till exempel för vissa kategorier av vidareutnyttjande såsom icke-kommersiellt vidareutnyttjande eller vidareutnyttjande för forskningsändamål, eller små och medelstora företags, nystartade företags, civilsamhällets och utbildningsanstalters vidareutnyttjande, för att ge incitament för sådant vidareutnyttjande i syfte att stimulera forskning och innovation och stödja företag som är en viktig källa till innovation och vanligtvis har svårare att själva samla in relevanta data, i enlighet med reglerna för statligt stöd. I det specifika sammanhanget bör forskningsändamål anses inbegripa alla forskningsrelaterade ändamål oaktat den berörda forskningsinstitutionens organisatoriska eller finansiella struktur, med undantag för forskning som bedrivs av ett företag och som syftar till att utveckla, förbättra eller optimera produkter eller tjänster. Sådana avgifter bör, vara transparenta, icke-diskriminerande och begränsade till de nödvändiga kostnaderna och bör inte begränsa konkurrensen. En förteckning över kategorier av vidareutnyttjare som betalar lägre avgift eller helt slipper avgift bör offentliggöras tillsammans med de kriterier som använts för upprättandet av förteckningen.

(26)

För att ge incitament till vidareutnyttjande av särskilda kategorier av data som innehas av offentliga myndigheter bör medlemsstaterna inrätta en gemensam informationspunkt som ska fungera som ett gränssnitt för vidareutnyttjare som vill vidareutnyttja dessa data. Denna informationspunkt bör ha ett sektorsövergripande uppdrag och vid behov komplettera arrangemang på sektorsnivå. Den gemensamma informationspunkten bör kunna förlita sig på automatiska metoder när den överför förfrågningar eller ansökningar om vidareutnyttjande. En tillräcklig mänsklig tillsyn i överföringsprocessen bör säkerställas. Befintliga praktiska arrangemang som till exempel portaler för öppna data skulle kunna användas för detta syfte. Den enda informationspunkten bör ha en förteckning över resurser som innehåller en översikt över alla tillgängliga datakällor, däribland de datakällor som finns tillgängliga vid sektorsspecifika, regionala eller lokala informationspunkter, tillsammans med relevant information som beskriver tillgängliga data. Dessutom bör medlemsstaterna utse, inrätta eller underlätta inrättandet av behöriga organ för att stödja verksamheten inom offentliga myndigheter som tillåter vidareutnyttjande av vissa kategorier av skyddade data. Deras uppgifter kan inbegripa att bevilja tillgång till data, om detta föreskrivs enligt sektorsspecifik unionsrätt eller nationell rätt. Dessa behöriga organ bör ge bistånd till offentliga myndigheter med hjälp av den senaste tekniken, bland annat avseende hur data bäst struktureras och lagras för att göra dem lättillgängliga, i synnerhet genom applikationsprogrammeringsgränssnitt, samt göra data interoperabla, överförbara och sökbara, med beaktande av bästa praxis för databehandling samt eventuella befintliga tillsynsstandarder och tekniska standarder och säkra databehandlingsmiljöer, som möjliggör dataanalys med bevarande av informationens integritet.

De behöriga organen bör agera i enlighet med den offentliga myndighetens instruktioner. En sådan biståndsstruktur skulle kunna bistå de registrerade och datainnehavarna att hantera samtycke eller tillstånd för vidareutnyttjande, inbegripet samtycke och tillstånd till vissa områden av vetenskaplig forskning, om vedertagna etiska standarder för vetenskaplig forskning iakttas. De behöriga myndigheterna bör inte ha någon tillsynsfunktion, då denna uteslutande ska utövas av tillsynsmyndigheter enligt förordning (EU) 2016/679. Databehandlingen bör, utan att det påverkar dataskyddsmyndigheternas tillsynsbefogenheter, utföras under ansvar av den offentliga myndighet som ansvarar för det register som innehåller dessa data, och som förblir personuppgiftsansvarig enligt definitionen i förordning (EU) 2016/679 i den mån personuppgifter berörs. Medlemsstaterna bör kunna ha ett eller flera behöriga organ, som kan vara verksamma inom olika sektorer. De offentliga myndigheternas interna avdelningar skulle även kunna fungera som behöriga organ. Ett behörigt organ skulle kunna vara en offentlig myndighet som bistår andra offentliga myndigheter när det gäller att tillåta vidareutnyttjande av data, om så är relevant, eller en offentlig myndighet som själv ger tillstånd till vidareutnyttjande. Biståndet till andra offentliga myndigheter bör omfatta att på begäran informera dem om bästa praxis när det gäller att uppfylla de krav som fastställs i den här förordningen, bland annat de tekniska medlen för tillhandahållande av en säker behandlingsmiljö eller de tekniska metoderna för att säkerställa integritet och konfidentiell behandling när tillgång ges till vidareutnyttjande av data som omfattas av tillämpningsområdet för den här förordningen.

(27)

Dataförmedlingstjänster förväntas spela en nyckelroll i dataekonomin, i synnerhet när det gäller att stödja och främja metoder för frivillig datadelning mellan företag eller att underlätta datadelning när det gäller skyldigheter som fastställs i unionsrätten eller nationell rätt. De skulle kunna bli ett verktyg för att underlätta utbyte av stora mängder relevanta data. Leverantörer av dataförmedlingstjänster, vilka även kan omfatta offentliga myndigheter, som erbjuder tjänster som kopplar samman de olika aktörerna kan bidra till en effektiv samkörning av data och till att underlätta bilateral datadelning. Specialiserade dataförmedlingstjänster som är oberoende av registrerade, datainnehavare och dataanvändare skulle kunna underlätta framväxten av nya datadrivna ekosystem som är oberoende av aktörer med betydande marknadsinflytande, samtidigt som de möjliggör icke-diskriminerande tillgång till dataekonomin för aktörer av alla storlekar, särskilt små och medelstora företag och nystartade företag med begränsade ekonomiska, rättsliga eller administrativa resurser. Detta kommer att vara av särskild vikt i samband med inrättandet av gemensamma europeiska dataområden, nämligen ändamåls- eller sektorsspecifika eller sektorsöverskridande interoperabla ramar med gemensamma standarder och praxisformer för delning eller gemensam behandling av data bl.a. för utvecklingen av nya produkter och tjänster, vetenskaplig forskning eller civilsamhällsinitiativ. Dataförmedlingstjänsterna skulle kunna innefatta bilateral eller multilateral delning av data eller inrättandet av plattformar eller databaser som möjliggör datadelning eller gemensamt utnyttjande av data, liksom inrättandet av en särskild infrastruktur för sammankoppling av registrerade och datainnehavare med dataanvändare.

(28)

Denna förordning bör omfatta tjänster som syftar till att med tekniska, rättsliga eller andra medel upprätta affärsförbindelser för datadelning mellan ett obestämt antal registrerade och datainnehavare, å ena sidan, och dataanvändare, å andra sidan, inbegripet för utövande av de registrerades rättigheter avseende personuppgifter. Om företag eller andra enheter erbjuder flera datarelaterade tjänster bör endast sådan verksamhet som direkt berör tillhandahållandet av dataförmedlingstjänster omfattas av denna förordning. Tillhandahållande av molnlagring, analys, programvara för datadelning, webbläsare, insticksprogram för webbläsare eller e-posttjänster bör inte anses vara dataförmedlingstjänster i den mening som avses i denna förordning, under förutsättning att sådana tjänster endast tillhandahåller tekniska verktyg för registrerade eller datainnehavare för delning av data med andra, men tillhandahållandet av sådana verktyg varken syftar till att upprätta en affärsförbindelse mellan datainnehavare och dataanvändare eller ger leverantören av dataförmedlingstjänster möjlighet att erhålla information om upprättandet av affärsförbindelser som syftar till datadelning. Exempel på dataförmedlingstjänster inkluderar datamarknader där företag kan göra data tillgängliga för andra, organisatörer av ekosystem för datadelning som är öppna för alla intresserade parter, till exempel inom ramen för gemensamma europeiska dataområden, samt datapooler som inrättas gemensamt av flera juridiska eller fysiska personer i avsikten att licensiera användningen av sådana datapooler till alla intresserade parter på ett sätt som innebär att alla deltagare som bidrar till datapooler belönas för sitt bidrag.

Detta skulle exkludera tjänster som erhåller data från datainnehavare och aggregerar, berikar eller omvandlar data i syfte att avsevärt öka deras värde och licensierar användningen av resulterande data till dataanvändare, utan att upprätta en affärsförbindelse mellan datainnehavare och dataanvändare. Dessutom skulle det exkludera tjänster som uteslutande används av en datainnehavare för att möjliggöra användning av de data som den datainnehavaren innehar, eller som används av flera juridiska personer i en sluten grupp, inbegripet leverantörs- eller kundrelationer eller samarbeten som grundar sig på avtal, särskilt sådana som har som huvudsakligt syfte att säkerställa funktioner för föremål och enheter som är anslutna till sakernas internet.

(29)

Tjänster som är inriktade på förmedling av upphovsrättsligt skyddat innehåll, däribland onlineleverantör av delningstjänster för innehåll enligt definitionen i artikel 2.6 i direktiv (EU) 2019/790, bör inte omfattas av den här förordningen. Tillhandahållare av konsoliderad handelsinformation enligt definitionen i artikel 2.1.35 i Europaparlamentets och rådets förordning (EU) nr 600/2014 (27) och leverantörer av kontoinformationstjänster enligt definitionen i artikel 4.19 i Europaparlamentets och rådets direktiv (EU) 2015/2366 (28) bör inte anses vara leverantörer av dataförmedlingstjänster vid tillämpning av den här förordningen. Den här förordningen bör inte tillämpas på tjänster som erbjuds av offentliga myndigheter för att underlätta antingen vidareutnyttjande av skyddade data som innehas av offentliga myndigheter i enlighet med den här förordningen eller användning av andra data, i den mån dessa tjänster inte syftar till att upprätta affärsförbindelser. Dataaltruismorganisationer som regleras i denna förordning bör inte anses erbjuda dataförmedlingstjänster förutsatt att dessa tjänster inte upprättar en affärsförbindelse mellan potentiella dataanvändare, å ena sidan, och registrerade och datainnehavare som tillgängliggör data utifrån altruistiska ändamål, å andra sidan. Andra tjänster som inte syftar till att upprätta affärsförbindelser, till exempel databaser som syftar till att möjliggöra vidareutnyttjande av vetenskapliga forskningsdata i enlighet med principerna om öppen tillgång bör inte anses vara dataförmedlingstjänster i den mening som avses i den här förordningen.

(30)

En särskild kategori av dataförmedlingstjänster omfattar leverantörer av tjänster som erbjuder sina tjänster till registrerade. Sådana leverantörer av dataförmedlingstjänster strävar efter att stärka de registrerades handlingsförmåga och särskilt enskilda personers kontroll över de uppgifter som avser dem. Sådana leverantörer hjälper enskilda personer att utöva sina rättigheter enligt förordning (EU) 2016/679, särskilt att hantera deras givande och återkallande av samtycke till databehandling, rätten att få tillgång till sina egna personuppgifter, rätten till rättelse av felaktiga personuppgifter, rätten till radering eller rätten ”att bli bortglömd”, rätten att begränsa behandlingen och rätten till dataportabilitet, som gör det möjligt för registrerade att flytta sina personuppgifter från en personuppgiftsansvarig till en annan. I det sammanhanget är det viktigt att sådana leverantörers affärsmodell säkerställer att det inte finns några dåligt anpassade incitament som uppmuntrar enskilda personer att använda sådana tjänster för att tillgängliggöra mer data som avser dem för behandling än vad som skulle ligga i deras intresse. Detta skulle kunna inbegripa rådgivning till enskilda personer om möjlig användning av deras data och hur de gör due diligence-kontroller av dataanvändare innan de tillåts kontakta registrerade, i syfte att undvika bedrägerier. I vissa situationer kan det vara önskvärt att samla faktiska data inom ett personligt dataområde, så att behandlingen kan ske inom det området utan att personuppgifter överförs till tredje part, för att maximera skyddet av personuppgifter och integritet. Sådana personliga dataområden skulle kunna innehålla statiska personuppgifter, däribland namn, adress och födelsedatum, samt dynamiska data som genereras av en enskild person, genom till exempel användning av en onlinetjänst eller ett föremål anslutet till sakernas internet. De skulle också kunna användas för att lagra verifierade identitetsuppgifter, såsom passnummer eller socialförsäkringsuppgifter samt behörighetsuppgifter, såsom körkort, examensbevis eller uppgifter om bankkonton.

(31)

Datakooperativ strävar efter att uppnå ett antal mål, särskilt att stärka enskilda personers ställning när det gäller att fatta välgrundade beslut innan de samtycker till dataanvändning, påverka dataanvändarorganisationers villkor och bestämmelser knutna till dataanvändning på ett sätt som ger gruppens enskilda medlemmar bättre valmöjligheter, eller eventuellt finna lösningar på meningsmotsättningar mellan enskilda medlemmar i en grupp om hur data kan användas om dessa data är relaterade till flera registrerade inom den gruppen. I det sammanhanget är det viktigt att slå fast att rättigheterna enligt förordning (EU) 2016/679 är personliga rättigheter som tillhör den registrerade och att registrerade inte kan avsäga sig sådana rättigheter. Datakooperativ skulle också kunna vara ett användbart verktyg för enmansföretag samt små och medelstora företag som ofta är jämförbara med enskilda personer när det gäller kunskap om datadelning.

(32)

För att öka förtroendet för sådana dataförmedlingstjänster, i synnerhet när det gäller användningen av data och uppfyllandet av de villkor som de registrerade och datainnehavarna sätter upp, är det nödvändigt att upprätta ett regelverk på unionsnivå som fastställer krav med hög harmoniseringsgrad avseende ett tillförlitligt tillhandahållande av sådana dataförmedlingstjänster och som genomförs av de behöriga myndigheterna. Det regelverket kommer att bidra till att säkerställa att de registrerade och datainnehavarna samt dataanvändarna får bättre kontroll över tillgången till och användningen av deras data, i enlighet med unionsrätten. Kommissionen skulle även kunna uppmuntra och underlätta utarbetandet av uppförandekoder på unionsnivå med deltagande av berörda parter, särskilt vad avser interoperabilitet. Både i situationer där datadelning sker i samband med företagstjänster och när datadelning sker i samband med konsumenttjänster bör leverantörer av dataförmedlingstjänster erbjuda en ny ”europeisk” dataförvaltning genom att i säkra en åtskillnad i dataekonomin mellan tillhandahållandet, förmedlingen och användningen av data. Leverantörer av dataförmedlingstjänster skulle också kunna göra särskild teknisk infrastruktur tillgänglig för sammankoppling av registrerade och datainnehavare med dataanvändare. I detta avseende är det särskilt viktigt att utforma denna infrastruktur på ett sådant sätt att små och medelstora företag och nystartade företag inte stöter på några tekniska eller andra hinder för sitt deltagande i dataekonomin.

Leverantörer av dataförmedlingstjänster bör tillåtas att erbjuda ytterligare särskilda verktyg till datainnehavare eller de registrerade för det särskilda syftet att underlätta utbytet av data, exempelvis i form av tillfällig lagring, kuratering, konvertering, anonymisering och pseudonymisering. Dessa verktyg och tjänster bör användas endast på uttrycklig begäran eller efter uttryckligt godkännande av datainnehavaren eller den registrerade, och tredjepartsverktyg som erbjuds i detta sammanhang bör inte använda data för andra ändamål. Samtidigt bör leverantörer av dataförmedlingstjänster tillåtas anpassa de data som utbyts, för att göra dem mer användbara för dataanvändaren om dataanvändaren så önskar, eller att förbättra interoperabiliteten genom, till exempel, att konvertera dessa data till specifika format.

(33)

Det är viktigt att möjliggöra en konkurrensutsatt miljö för datadelning. En viktig faktor för att ökaförtroendet och datainnehavarnas, de registrerades och dataanvändarnas kontroll över dataförmedlingstjänster är att leverantörerna av dataförmedlingstjänster är neutrala när det gäller de data som utbyts mellan datainnehavare eller de registrerade och dataanvändare. Leverantörerna av dataförmedlingstjänster bör därför endast fungera som förmedlare i transaktionerna och inte använda de data som utbyts för några andra ändamål. De kommersiella villkoren, inklusive prissättning, för tillhandahållandet av dataförmedlingstjänster bör inte vara beroende av huruvida en potentiell datainnehavare eller dataanvändare använder andra tjänster, däribland lagring, analys, artificiell intelligens eller andra databaserade tillämpningar, som tillhandahålls av samma leverantör av dataförmedlingstjänster eller en närstående enhet, och i så fall i vilken utsträckning datainnehavaren eller data användaren använder sådana andra tjänster. Detta kommer också förutsätta en strukturell åtskillnad mellan dataförmedlingstjänsten och alla andra tjänster som erbjuds, så att intressekonflikter undviks. Därmed bör dataförmedlingstjänsten erbjudas via en juridisk person som är separat från all övrig verksamhet som bedrivs av leverantören av dataförmedlingstjänster. Emellertid bör leverantörer av dataförmedlingstjänster kunna använda de data som tillhandahålls av datainnehavaren för att förbättra sina dataförmedlingstjänster.

Leverantörer av dataförmedlingstjänster bör endast kunna ställa sina egna eller tredje parts verktyg till datainnehavares, de registrerades eller dataanvändares förfogande för att underlätta utbytet av data, exempelvis verktyg för konvertering eller kuratering av data, efter den registrerades eller datainnehavarens uttryckliga begäran eller godkännande. De tredjepartsverktyg som erbjuds i detta sammanhang bör inte använda data för andra ändamål än de som är relaterade till dataförmedlingstjänster. Leverantörer av dataförmedlingstjänster som förmedlar ett utbyte av data mellan enskilda personer som registrerade och juridiska personer som dataanvändare bör, utöver att axla sitt förvaltaruppdrag gentemot de enskilda personerna, säkerställa att de agerar i de registrerades intresse. Frågor om ansvar för alla materiella och immateriella skador och brister som uppstår till följd av agerandet av leverantören av dataförmedlingstjänster bör tas upp i det berörda avtalet, på grundval av nationella ansvarsordningar.

(34)

Leverantörer av dataförmedlingstjänster bör vidta rimliga åtgärder för att säkerställa interoperabilitet inom en sektor och mellan olika sektorer i syfte att säkerställa en korrekt fungerande inre marknad. Rimliga åtgärder skulle bland annat kunna inbegripa att man följer de befintliga standarder som allmänt används i den sektor inom vilken leverantören av dataförmedlingstjänster är verksam. Europeiska datainnovationsstyrelsen bör underlätta framtagningen av ytterligare branschstandarder där det är nödvändigt. Leverantörer av dataförmedlingstjänster bör i god tid genomföra de åtgärder för interoperabilitet mellan dataförmedlingstjänster som antagits av Europeiska datainnovationsstyrelsen.

(35)

Denna förordning bör inte påverka skyldigheten för leverantörer av dataförmedlingstjänster att uppfylla kraven i förordning (EU) 2016/679 och tillsynsmyndigheternas skyldighet att säkerställa efterlevnaden av den förordningen. Den här förordningen bör inte påverka skyddet av personuppgifter i de fall då leverantörer av dataförmedlingstjänster behandlar personuppgifter. I de fall då leverantörer av dataförmedlingstjänster är personuppgiftsansvariga eller personuppgiftsbiträden enligt definitionerna i förordning (EU) 2016/679 är de bundna av bestämmelserna i den förordningen.

(36)

Leverantörer av dataförmedlingstjänster förväntas ha infört förfaranden och åtgärder för att ålägga sanktioner för bedrägliga eller otillbörliga metoder i samband med parter som söker åtkomst via deras dataförmedlingstjänster, inbegripet genom åtgärder såsom uteslutning av dataanvändare som bryter mot tjänstevillkoren eller mot befintlig rätt.

(37)

Leverantörer av dataförmedlingstjänster bör också vidta åtgärder för att säkerställa att konkurrensrätten följs och inrätta förfaranden för det ändamålet. Detta gäller i synnerhet sådana situationer där datadelning gör det möjligt för företag att få kännedom om faktiska eller potentiella konkurrenters marknadsstrategier. Typisk information som är känslig i konkurrenshänseende är till exempel information om kunduppgifter, framtida priser, produktionskostnader, kvantiteter, omsättning, försäljning eller kapacitet.

(38)

Ett anmälningsförfarande för dataförmedlingstjänster bör inrättas för att säkerställa att dataförvaltning inom unionen är baserad på ett tillförlitligt utbyte av data. Vinsterna av en tillförlitlig miljö kan bäst uppnås genom ett införande av ett antal krav för tillhandahållandet av dataförmedlingstjänster, men utan något krav på ett uttryckligt beslut eller en uttrycklig administrativ åtgärd av den behöriga myndigheten för dataförmedlingstjänster för tillhandahållandet av sådana tjänster. Anmälningsförfarandet bör inte medföra otillbörliga hinder för små och medelstora företag, nystartade företag och civilsamhällesorganisationer och bör vara förenlig med principen om icke-diskriminering.

(39)

För att stödja ett effektivt gränsöverskridande tillhandahållande av tjänster bör leverantören av dataförmedlingstjänster åläggas att sända en anmälan endast till den behöriga myndigheten för dataförmedlingstjänster från den medlemsstat där leverantörens huvudsakliga verksamhetsställe är beläget eller där leverantörens rättsliga ombud finns. En sådan anmälan bör inte innefatta mer än en ren förklaring om avsikten att tillhandahålla sådana tjänster och bör endast kompletteras genom tillhandahållande av den information som anges i denna förordning. Efter relevant anmälan bör leverantören av dataförmedlingstjänster kunna inleda sin verksamhet i varje medlemsstat utan ytterligare anmälningsskyldigheter.

(40)

Det anmälningsförfarande som fastställs i denna förordning bör inte påverka tillämpningen av särskilda kompletterande bestämmelser för tillhandahållandet av dataförmedlingstjänster som är tillämpliga genom sektorsspecifik rätt.

(41)

Det huvudsakliga verksamhetsstället för en leverantör av dataförmedlingstjänster i unionen bör vara platsen för dess centrala förvaltning i unionen. Det huvudsakliga verksamhetsstället för en leverantör av dataförmedlingstjänster i unionen bör fastställas i enlighet med objektiva kriterier och bör avse det faktiska och reella utövandet av ledningsverksamheten. Den verksamhet som bedrivs av en leverantör av dataförmedlingstjänster bör överensstämma med den nationella rätten i den medlemsstat där denne har sitt huvudsakliga verksamhetsställe.

(42)

För att säkerställa att leverantörerna av dataförmedlingstjänster uppfyller de villkor som fastställs i denna förordning bör de ha sitt huvudsakliga verksamhetsställe i unionen. Om en leverantör av dataförmedlingstjänster som inte är etablerad i unionen erbjuder tjänster inom unionen bör leverantören utse en rättslig företrädare. Det är nödvändigt att utse en rättslig företrädare i sådana fall med tanke på att sådana leverantörer av dataförmedlingstjänster hanterar både personuppgifter och data som rör affärshemligheter och det därmed är nödvändigt att övervaka att leverantörerna av dataförmedlingstjänster efterlever denna förordning. I syfte att fastställa om en sådan leverantör av dataförmedlingstjänster erbjuder tjänster inom unionen bör det kontrolleras om det är uppenbart att leverantören av dataförmedlingstjänster planerar att erbjuda tjänster till personer i en eller flera medlemsstater. Enbart det faktum att en webbplats är tillgänglig i unionen eller att det finns en e-postadress eller andra kontaktuppgifter för leverantören av dataförmedlingstjänster eller att man använder ett språk som används i det tredjeland där leverantören av dataförmedlingstjänster är etablerad, bör inte anses räcka för att fastställa en sådan avsikt. Emellertid kan sådana faktorer som användning av ett visst språk eller en viss valuta som allmänt används i en eller flera medlemsstater, och möjlighet att beställa tjänster på detta språk, eller att användare i unionen omnämns, göra det uppenbart att leverantören av dataförmedlingstjänster planerar att erbjuda tjänster inom unionen.

En utsedd rättslig företrädare bör agera på uppdrag av leverantören av dataförmedlingstjänster och det bör vara möjligt för behöriga myndigheter för dataförmedlingstjänster att vända sig till den rättsliga företrädaren utöver eller i stället för leverantören av dataförmedlingstjänster, även i händelse av en överträdelse, i syfte att inleda verkställighetsförfaranden mot en leverantör av dataförmedlingstjänster som inte uppfyller kraven och som inte är etablerad i unionen. Den rättsliga företrädaren bör utses genom en skriftlig fullmakt från leverantören av dataförmedlingstjänster att agera på dess vägnar med avseende på leverantörens skyldigheter enligt denna förordning.

(43)

För att hjälpa de registrerade och datainnehavare att enkelt identifiera, och därigenom öka sitt förtroende för leverantörer av dataförmedlingstjänster som är erkända i unionen bör det inrättas en gemensam logotyp som är igenkännlig i hela unionen, utöver beteckningen ”leverantörer av dataförmedlingstjänster som är erkända i unionen”.

(44)

De behöriga myndigheterna för dataförmedlingstjänster som utses för att övervaka leverantörer av dataförmedlingstjänsters uppfyllande av kraven i denna förordning bör väljas på grundval av sin kapacitet och sakkunskap avseende horisontellt eller sektorsbaserat datautbyte. De bör vara oberoende av alla leverantörer av dataförmedlingstjänster samt transparenta och opartiska i utförandet av sina arbetsuppgifter. Medlemsstaterna bör meddela kommissionen dessa behöriga myndigheter för dataförmedlingstjänsters identitet. De behöriga myndigheterna för dataförmedlingstjänsters behörighet och befogenheter bör inte påverka dataskyddsmyndigheternas befogenheter. I synnerhet i alla frågor som rör en bedömning av efterlevnaden av förordning (EU) 2016/679 bör den behöriga myndigheten för dataförmedlingstjänster, i tillämpliga fall, efterfråga ett yttrande eller beslut av den behöriga tillsynsmyndighet som inrättats i enlighet med den förordningen.

(45)

Det finns en stor potential för mål av allmänt intresse vid användningen av data som tillhandahålls frivilligt av de registrerade på grundval av deras informerade samtycke eller, när det gäller icke-personuppgifter som tillhandahålls av datainnehavare. Sådana mål skulle kunna inkludera hälso- och sjukvård, bekämpande av klimatförändringar, förbättring av mobiliteten, främjande av utveckling, framställning och spridning av officiell statistik, förbättrat tillhandahållande av offentliga tjänster eller politiskt beslutsfattande. Stöd till vetenskaplig forskning bör också anses vara ett mål av allmänt intresse. Denna förordning bör syfta till att bidra till framväxten av tillräckligt stora datapooler som görs tillgängliga baserat på dataaltruism för att möjliggöra dataanalys och maskininlärning, i hela unionen. För att uppnå det målet bör medlemsstaterna kunna inrätta organisatoriska eller tekniska arrangemang, eller båda, som underlättar dataaltruism. Sådana arrangemang skulle kunna innefatta tillgång till lättanvända verktyg för registrerade eller datainnehavare för givande av samtycke eller tillstånd till altruistisk användning av deras data, anordnande av informationskampanjer eller ett strukturerat utbyte mellan behöriga myndigheter avseende hur offentlig politik, såsom förbättring av trafik och folkhälsa och bekämpning av klimatförändringar, kan gynnas av dataaltruism. För det ändamålet bör medlemsstaterna kunna fastställa nationella strategier för dataaltruism. Registrerade bör endast kunna erhålla ersättning för de kostnader som de ådrar sig när de gör sina data tillgängliga för mål av allmänt intresse.

(46)

Registreringen av erkända dataaltruismorganisationer och användningen av beteckningen ”dataaltruismorganisation som är erkänd i unionen” förväntas leda till upprättandet av centrallager för databaser. En registrering i en medlemsstat skulle gälla i hela unionen, och förväntas främja en gränsöverskridande användning av data inom unionen och framväxten av datapooler som täcker flera medlemsstater. Datainnehavare skulle kunna ge tillstånd till behandling av deras icke-personuppgifter för ett antal ändamål som inte är fastställda vid den tidpunkt då de ger sitt tillstånd. Sådana erkända dataaltruismorganisationers uppfyllande av ett antal krav som fastställs i denna förordning bör skapa förtroende för att de data som tillhandahålls för altruistiska ändamål faktiskt tjänar ett mål av allmänt intresse. Sådant förtroende bör i synnerhet uppnås genom att ha en etableringsort eller en rättslig företrädare inom unionen, samt från kravet att erkända dataaltruismorganisationer är icke-vinstdrivande organisationer, från transparenskrav och från särskilda skyddsmekanismer för att skydda de registrerades och företagens rättigheter och intressen.

Ytterligare skyddsmekanismer bör inkludera att göra det möjligt att behandla relevanta data inom en säker behandlingsmiljö som drivs av de erkända dataaltruismorganisationerna, tillsynsmekanismer som etiska råd eller styrelser, inbegripet företrädare från det civila samhället för att säkerställa att de personuppgiftsansvariga upprätthåller höga standarder när det gäller forskningsetik och skydd av grundläggande rättigheter, effektiva och tydligt förmedlade tekniska metoder för att när som helst dra tillbaka eller ändra sitt samtycke, på grundval av personuppgiftsbiträdenas informationsskyldighet enligt förordning (EU) 2016/679, samt möjligheter för de registrerade att hålla sig underrättade om användningen av de data som de tillhandahållit. Registrering som en erkänd dataaltruismorganisation bör inte vara en förutsättning för att bedriva dataaltruismverksamhet. Kommissionen bör genom delegerade akter utarbeta en regelbok i nära samarbete med dataaltruismorganisationer och berörda parter. Efterlevnad av den regelboken bör vara ett krav för registrering som en erkänd dataaltruismorganisation.

(47)

För att hjälpa de registrerade och datainnehavare att enkelt identifiera, och därigenom öka sitt förtroende för, erkända dataaltruismorganisationer bör det inrättas en gemensam logotyp som är igenkännlig i hela unionen. Den gemensamma logotypen bör åtföljas av en QR-kod med en länk till det offentliga unionsregistret över erkända dataaltruismorganisationer.

(48)

Denna förordning bör inte påverka inrättandet av, organisationen av eller funktionssättet för enheter som önskar bedriva dataaltruism i enlighet med nationell rätt och bygger på krav i nationell rätt för bedrivande av laglig verksamhet i en medlemsstat som icke-vinstdrivande organisation.

(49)

Denna förordning bör inte påverka inrättandet av, organisationen av eller funktionssättet för andra enheter än offentliga myndigheter som bedriver delning av data och innehåll på grundval av öppna licenser och därmed bidrar till att skapa gemensamma resurser som är tillgängliga för alla. Detta bör inbegripa öppna samarbetsplattformar för kunskapsdelning, vetenskapliga och akademiska databaser med öppen åtkomst, plattformar för programvaruutveckling med öppen källkod och plattformar för sammanställning av innehåll med öppen åtkomst.

(50)

Erkända dataaltruismorganisationer bör kunna samla in relevanta data direkt från fysiska och juridiska personer eller behandla data som samlats in av andra. Dataaltruismorganisationer skulle kunna behandla insamlade data för ändamål som de själva fastställer, eller så skulle de, i förekommande fall, kunna tillåta tredjeparter att utföra behandlingen för dessa ändamål. I de fall då erkända dataaltruismorganisationer är personuppgiftsansvariga eller personuppgiftsbiträden enligt definitionerna i förordning (EU) 2016/679 är de bundna av bestämmelserna i den förordningen. Generellt skulle dataaltruism bygga på de registrerades samtycke i den mening som avses i artiklarna 6.1 a och 9.2 a i förordning (EU) 2016/679 vilket bör uppfylla kraven för lagligt samtycke i enlighet med artiklarna 7 och 8 i den förordningen. I enlighet med förordning (EU) 2016/679 skulle ändamål som rör vetenskaplig forskning kunna stödjas genom samtycke till vissa forskningsområden så länge som de är förenliga med allmänt erkända etiska normer för vetenskaplig forskning eller till vissa forskningsområden eller delar av forskningsprojekt. I artikel 5.1 b i förordning (EU) 2016/679 fastställs att ytterligare behandling för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordning (EU) 2016/679 inte ska anses vara oförenlig med de ursprungliga ändamålen. Nyttjandebegränsningarna för icke-personuppgifter bör återfinnas i det tillstånd som ges av datainnehavaren.

(51)

De behöriga myndigheter för registrering av dataaltruismorganisationer som utses för att övervaka erkända dataaltruismorganisationers uppfyllande av kraven i denna förordning bör väljas på grundval av sin kapacitet och sakkunskap. De bör vara oberoende av alla dataaltruismorganisationer samt transparenta och opartiska i utförandet av sina arbetsuppgifter. Medlemsstaterna bör meddela kommissionen dessa behöriga myndigheter för registrering av dataaltruismorganisationers identitet. De behöriga myndigheterna för registrering av dataaltruismorganisationers behörighet och befogenheter bör inte påverka dataskyddsmyndigheternas befogenheter. I synnerhet i alla frågor som rör en bedömning av efterlevnaden av förordning (EU) 2016/679 bör den behöriga myndigheten för registrering av dataaltruismorganisationer, i tillämpliga fall, efterfråga ett yttrande eller beslut av den behöriga tillsynsmyndighet som inrättats i enlighet med den förordningen.

(52)

För att främja förtroendet och få till stånd ökad rättssäkerhet och användarvänlighet vad gäller förfarandet för beviljande och tillbakadragande av samtycke, i synnerhet i samband med vetenskaplig forskning och statistisk användning av data som tillhandahålls baserat på altruism, bör ett europeiskt formulär för dataaltruism utarbetas och användas i samband med altruistisk datadelning. Ett sådant formulär bör för de registrerade bidra till ytterligare transparens om att tillgången till och användningen av deras data kommer att ske i enlighet med deras samtycke och även i full överensstämmelse med dataskyddsbestämmelserna. Formuläret bör också göra det lättare att bevilja och dra tillbaka samtycke och kunna användas för att rationalisera företagens dataaltruism och tillhandahålla en mekanism som tillåter sådana företag att dra tillbaka sitt samtycke till användningen av data. För att ta hänsyn till de enskilda sektorernas särdrag, även ur ett dataskyddsperspektiv, bör det europeiska formuläret för samtycke till dataaltruism baseras på moduler, så att det kan anpassas till enskilda sektorer och olika syften.

(53)

För att genomförandet av dataförvaltningsramen ska bli framgångsrikt bör en europeisk datainnovationsstyrelse inrättas, i form av en expertgrupp. Europeiska datainnovationsstyrelsen bör bestå av företrädare för alla medlemsstaters behöriga myndigheter för dataförmedlingstjänster och behöriga myndigheter för registrering av dataaltruismorganisationer, Europeiska dataskyddsstyrelsen, Europeiska datatillsynsmannen, Europeiska unionens cybersäkerhetsbyrå (Enisa), kommissionen, EU-företrädaren för små och medelstora företag eller en företrädare utsedd av nätverket av företrädare för små och medelstora företag och andra företrädare för relevanta organ inom enskilda sektorer samt organ med specifik sakkunskap. Europeiska datainnovationsstyrelsen bör bestå av ett antal undergrupper, inbegripet en undergrupp för deltagande av berörda parter bestående av relevanta företrädare för näringslivet, såsom hälsa, miljö, jordbruk, transport, energi, industriell tillverkning, medier, kulturella och kreativa sektorer och statistik, samt för forskningsvärlden, den akademiska världen, civilsamhället, standardiseringsorganisationer, berörda gemensamma europeiska dataområden och andra berörda intressenter och tredje parter, bland annat organ med specifik sakkunskap såsom nationella statistikbyråer.

(54)

Europeiska datainnovationsstyrelsen bör bistå kommissionen i samordningen av nationella arbetsmetoder och strategier på de områden som omfattas av denna förordning och stödjandet av sektorsövergripande dataanvändning genom iakttagande av principerna i den europeiska interoperabilitetsramen och genom användning av europeiska och internationella standarder och specifikationer (inklusive genom EU:s flerpartsforum för IKT-standardisering, basvokabulären och byggstenarna inom Fonden för ett sammanlänkat Europa), och bör beakta det standardiseringsarbete som bedrivs inom enskilda sektorer eller områden. Arbetet med teknisk standardisering skulle kunna innefatta fastställandet av prioriteringar för utvecklingen av standarder och fastställandet och upprätthållandet av ett antal tekniska och rättsliga standarder för överföring av data mellan två behandlingsmiljöer som gör det möjligt att organisera dataområden, framför allt för att klarlägga och särskilja vilka standarder och praxisformer som är sektorsöverskridande och vilka som är sektorsspecifika. Europeiska datainnovationsstyrelsen bör samarbeta med sektorsorgan, nätverk eller expertgrupper och andra sektorsövergripande organisationer som hanterar vidareutnyttjandet av data. När det gäller dataaltruism bör Europeiska datainnovationsstyrelsen bistå kommissionen i utarbetandet av formuläret för dataaltruism, efter samråd med Europeiska dataskyddsstyrelsen. Genom att föreslå riktlinjer för gemensamma europeiska dataområden bör Europeiska datainnovationsstyrelsen stödja utvecklingen av en fungerande europeisk dataekonomi på grundval av dessa dataområden, i enlighet med den europeiska datastrategin.

(55)

Medlemsstaterna bör fastställa regler om tillämpliga sanktioner vid överträdelse av denna förordning och bör vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. De sanktioner som föreskrivs bör vara effektiva, proportionella och avskräckande. Stora skillnader mellan sanktionsreglerna skulle kunna snedvrida konkurrensen på den digitala inre marknaden. I det avseendet skulle det vara fördelaktigt med en harmonisering av dessa regler.

(56)

För att säkerställa en effektiv efterlevnad av denna förordning och se till att leverantörer av dataförmedlingstjänster och enheter som vill registrera sig som erkända dataaltruismorganisationer kan få tillgång till och genomföra förfarandena för anmälan och registrering helt online och över gränserna, bör sådana förfaranden erbjudas genom den gemensamma digitala ingång som inrättas i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1724 (29). Dessa förfaranden bör läggas till i förteckningen över förfaranden i bilaga II till förordning (EU) 2018/1724.

(57)

Förordning (EU) 2018/1724 bör därför ändras i enlighet med detta.

(58)

I syfte att säkerställa denna förordnings ändamålsenlighet, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen med avseende på att komplettera denna förordning genom att fastställa särskilda villkor som är tillämpliga på överföring till tredjeländer av vissa kategorier av icke-personuppgifter som anses vara mycket känsliga i särskilda unionslagstiftningsakter och genom att ta fram en regelbok för erkända dataaltruismorganisationer, som dessa organisationer ska följa och som föreskriver informationskrav, tekniska krav och säkerhetskrav samt färdplaner för kommunikation och interoperabilitetsstandarder. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (30). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(59)

För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att bistå offentliga myndigheter och vidareutnyttjare med deras efterlevnad av de villkor för vidareutnyttjande som fastställs i denna förordning genom att fastställa standardavtalsklausuler för vidareutnyttjares överföring av icke-personuppgifter till ett tredjeland, intyga att ett tredjelands rättsliga, tillsynsmässiga och verkställighetsmässiga arrangemang är likvärdiga med det skydd som säkerställs genom unionsrätten, utforma den gemensamma logotypen för leverantörer av dataförmedlingstjänster och den gemensamma logotypen för erkända dataaltruismorganisationer samt utarbeta och utveckla det europeiska formuläret för samtycke till dataaltruism. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (31).

(60)

Denna förordning bör inte påverka tillämpningen av konkurrensreglerna, särskilt artiklarna 101 och 102 i EUF-fördraget. De åtgärder som föreskrivs i denna förordning bör inte användas för att begränsa konkurrensen på ett sätt som strider mot EUF-fördraget. Detta gäller i synnerhet reglerna om utbyte av information som är känslig i konkurrenshänseende mellan faktiska och potentiella konkurrenter via dataförmedlingstjänster.

(61)

Samråd har skett med Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen i enlighet med artikel 42.1 i förordning (EU) 2018/1725 som avgav sitt yttrande den 10 mars 2021.

(62)

De vägledande principerna för denna förordning är respekten för de grundläggande rättigheterna och de principer som erkänns främst genom Europeiska unionens stadga om de grundläggande rättigheterna, inklusive rätten till privatliv, skyddet av personuppgifter, näringsfriheten, rätten till egendom och integreringen av personer med funktionsnedsättning. När det gäller det sistnämnda bör offentliga myndigheter och tjänster inom ramen för denna förordning, i förekommande fall, uppfylla kraven i Europaparlamentets och rådets direktiv (EU) 2016/2102 (32) och (EU) 2019/882 (33). Vidare bör hänsyn tas till design för alla i samband med informations- och kommunikationsteknik, som är ett medvetet och systematiskt försök att aktivt tillämpa principer, metoder och verktyg för att främja universell design inom datorrelaterad teknik, däribland internetbaserad teknik, och därigenom undvika behovet av anpassningar i efterhand eller specialiserad design.

(63)

Eftersom målen för denna förordning, nämligen vidareutnyttjande inom unionen av vissa kategorier av data som innehas av offentliga myndigheter samt inrättandet av en ram för anmälan av och tillsyn över tillhandahållandet av datadelningstjänster, en ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål och en ram för inrättandet av en europeisk datainnovationsstyrelse, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av deras omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Innehåll och tillämpningsområde

1.   I denna förordning fastställs följande:

a)

Villkoren för vidareutnyttjande inom unionen av vissa kategorier av data som innehas av offentliga myndigheter.

b)

En ram för anmälan av och tillsyn över tillhandahållandet av dataförmedlingstjänster.

c)

En ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål.

d)

En ram för inrättandet av en europeisk datainnovationsstyrelse.

2.   Denna förordning medför inte någon skyldighet för offentliga myndigheter att tillåta vidareutnyttjande av data och befriar inte heller offentliga myndigheter från deras skyldigheter i fråga om konfidentiell behandling enligt unionsrätten eller nationell rätt.

Denna förordning ska inte påverka

a)

tillämpningen av särskilda bestämmelser i unionsrätten eller nationell rätt om tillgång till eller vidareutnyttjande av vissa kategorier av data, särskilt när det gäller beviljandet av tillgång till och utlämnandet av officiella handlingar, och

b)

offentliga myndigheters skyldigheter enligt unionsrätten eller nationell rätt att tillåta vidareutnyttjande av data eller krav som rör behandling av icke-personuppgifter.

I de fall då en sektorsspecifik unionsrätt eller nationell rätt föreskriver att offentliga myndigheter, leverantörer av dataförmedlingstjänster eller erkända dataaltruismorganisationer ska uppfylla särskilda ytterligare tekniska, administrativa eller organisatoriska krav, däribland genom ett auktorisations- eller certifieringssystem, ska de bestämmelserna i den sektorsspecifika unionsrätten eller den nationella rätten också tillämpas. Eventuella sådana särskilda ytterligare krav ska vara icke-diskriminerande, proportionella och objektivt motiverade.

3.   Unionsrätt och nationell rätt om skydd av personuppgifter ska tillämpas på alla personuppgifter som behandlas i samband med denna förordning. Denna förordning påverkar i synnerhet inte tillämpningen av förordningarna (EU) 2016/679 och (EU) 2018/1725 och direktiven 2002/58/EG och (EU) 2016/680, inklusive vad gäller tillsynsmyndigheternas befogenheter och behörighet. Om den här förordningen står i strid med unionsrätten om skydd av personuppgifter eller nationell rätt som antagits i enlighet med sådan unionsrätt, bör den relevanta unionsrätten eller nationella rätten om skydd av personuppgifter ha företräde. Den här förordningen skapar inte någon rättslig grund för behandling av personuppgifter och påverkar inte heller några av de skyldigheter och rättigheter som anges i förordningarna (EU) 2016/679 eller (EU) 2018/1725 eller direktiven 2002/58/EG eller (EU) 2016/680.

4.   Denna förordning påverkar inte tillämpningen av konkurrensrätten.

5.   Denna förordning påverkar inte medlemsstaternas befogenheter när det gäller deras verksamhet som rör allmän säkerhet, försvar och nationell säkerhet.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

1.

data: varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, sådana fakta eller sådan information, däribland i form av ljudinspelningar, bildinspelningar eller audiovisuella inspelningar).

2.

vidareutnyttjande: fysiska eller juridiska personers användning av data som innehas av offentliga myndigheter för andra kommersiella eller icke-kommersiella ändamål än det ursprungliga ändamål inom den offentliga verksamheten för vilket de framställdes, med undantag för utbyte av data mellan offentliga myndigheter som enbart sker i samband med deras offentliga verksamhet.

3.

personuppgifter: personuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679.

4.

icke-personuppgifter: andra data än personuppgifter.

5.

samtycke: samtycke enligt definitionen i artikel 4.11 i förordning (EU) 2016/679.

6.

tillstånd: att ge dataanvändare rätt att behandla icke-personuppgifter.

7.

registrerad: registrerad som avses i artikel 4.1 i förordning (EU) 2016/679.

8.

datainnehavare: en juridisk person, inklusive en offentlig myndighet och internationella organisationer, eller en fysisk person som inte är en registrerad i förhållande till de specifika uppgifterna i fråga, som i enlighet med tillämplig unionsrätt eller nationell rätt har rätt att bevilja tillgång till eller dela vissa personuppgifter eller icke-personuppgifter.

9.

dataanvändare: fysisk eller juridisk person som har laglig tillgång till vissa personuppgifter eller icke-personuppgifter och som har rätt att, även enligt förordning (EU) 2016/679 när det gäller personuppgifter, använda dessa data för kommersiella eller icke-kommersiella ändamål.

10.

datadelning: en registrerads eller datainnehavares tillhandahållande av data till en dataanvändare för gemensam eller individuell användning av dessa delade data, baserat på frivilliga avtal, unionsrätt eller nationell rätt, direkt eller via en förmedlare, till exempel inom ramen för öppna eller kommersiella licenser mot en avgift eller kostnadsfritt.

11.

dataförmedlingstjänst: en tjänst som syftar till att med tekniska, rättsliga eller andra medel upprätta affärsförbindelser för datadelning mellan ett obestämt antal registrerade och datainnehavare, å ena sidan, och dataanvändare, å andra sidan, inbegripet för att utöva de registrerades rättigheter avseende personuppgifter, med uteslutande av åtminstone följande:

a)

Tjänster som erhåller data från datainnehavare och aggregerar, berikar eller omvandlar data i syfte att avsevärt öka deras värde och licensierar användningen av resulterande data till dataanvändare, utan att upprätta en affärsförbindelse mellan datainnehavare och dataanvändare.

b)

Tjänster som är inriktade på förmedling av upphovsrättsligt skyddat innehåll.

c)

Tjänster som uteslutande används av en datainnehavare för att möjliggöra användning av de data som den datainnehavaren innehar, eller som används av flera juridiska personer en sluten grupp, inbegripet leverantörs- eller kundrelationer eller samarbeten som grundar sig på avtal, särskilt sådana som har som huvudsakligt syfte att säkerställa funktionerna för föremål och enheter som är anslutna till sakernas internet.

d)

Datadelningstjänster som erbjuds av offentliga myndigheter som inte syftar till att upprätta affärsförbindelser.

12.

behandling: behandling enligt definitionen i artikel 4.2 i förordning (EU) 2016/679 när det gäller personuppgifter eller artikel 3.2 i förordning (EU) 2018/1807 när det gäller icke-personuppgifter.

13.

tillgång: dataanvändning i enlighet med särskilda tekniska, rättsliga eller organisatoriska krav, utan att det nödvändigtvis innefattar överföring eller nedladdning av data.

14.

huvudsakligt verksamhetsställe för en juridisk person: platsen för dess centrala förvaltning i unionen.

15.

datakooperativs tjänster: dataförmedlingstjänster som tillhandahålls av en organisationsstruktur i vilken registrerade, enmansföretag eller små och medelstora företag är medlemmar, och vars huvudsakliga syften är att hjälpa medlemmarna att utöva sina rättigheter avseende vissa data, så att de bland annat kan fatta välgrundade beslut innan de samtycker till databehandling, att utbyta synpunkter om de ändamål och villkor för databehandling som bäst företräder sina medlemmars intressen när det gäller deras data och att förhandla om villkoren för databehandling för sina medlemmar innan de ger tillstånd till behandling av icke-personuppgifter eller lämnar sitt samtycke till behandling av personuppgifter.

16.

dataaltruism: den frivilliga delningen av data på grundval av de registrerades samtycke till behandling av personuppgifter som rör dem, eller tillstånd från datainnehavare att tillåta användning av deras icke-personuppgifter utan något krav på eller mottagande av ersättning utöver ersättning för de kostnader som de ådragit sig när de gör uppgifterna tillgängliga för mål av allmänintresse, som det föreskrivs i nationell rätt i förekommande fall, såsom hälso- och sjukvård, bekämpande av klimatförändringar, förbättring av mobiliteten, främjande av utveckling, framställning och spridning av officiell statistik, förbättrat tillhandahållande av offentliga tjänster, politiskt beslutsfattande eller vetenskaplig forskning av allmänt intresse.

17.

offentliga myndigheter: statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller sammanslutningar av en eller flera sådana myndigheter eller av ett eller flera sådana offentligrättsliga organ.

18.

offentligrättsliga organ: organ som har följande egenskaper:

a)

De har särskilt inrättats för att tillgodose behov av allmänt intresse, och är inte av industriell eller kommersiell art.

b)

De är juridiska personer.

c)

De finansieras till största delen av statliga, regionala eller lokala myndigheter, eller andra offentligrättsliga organ, står under administrativ tillsyn av sådana myndigheter eller organ, eller har ett förvaltnings-, lednings- eller kontrollorgan där mer än hälften av ledamöterna utses av staten, av regionala eller lokala myndigheter eller av andra offentligrättsliga organ.

19.

offentligt företag: varje företag över vilket de offentliga myndigheterna har ett direkt eller indirekt bestämmande inflytande till följd av ägarförhållande, finansiellt deltagande eller gällande regler; inom ramen för denna definition ska offentliga myndigheter anses utöva bestämmande inflytande när dessa myndigheter, direkt eller indirekt,

a)

äger större delen av det tecknade kapitalet i företaget,

b)

kontrollerar majoriteten av de rösträtter som är knutna till företagets emitterade aktier,

c)

kan utse fler än hälften av ledamöterna i företagets förvaltningsorgan, styrelseorgan eller övervakande organ.

20.

säker behandlingsmiljö: fysisk eller virtuell miljö och organisatoriska metoder för att säkerställa överensstämmelse med unionsrätten, såsom förordning (EU) 2016/679, särskilt vad gäller de registrerades rättigheter, immateriella rättigheter samt insynsskydd, integritet och tillgänglighet för kommersiella och statistiska uppgifter, samt med tillämplig nationell rätt, och göra det möjligt för den enhet som tillhandahåller den säkra behandlingsmiljön att fastställa och övervaka alla databehandlingsåtgärder, inbegripet förevisandet, lagringen, nedladdningen och exporten av data och beräkningen av härledda data med hjälp av dataalgoritmer.

21.

rättslig företrädare: en fysisk eller juridisk person etablerad i unionen som uttryckligen utsetts för att agera på uppdrag av en i unionen ej etablerad leverantör av dataförmedlingstjänster eller i unionen ej etablerad enhet som för syften av allmänt intresse samlar in data som tillhandahålls av fysiska eller juridiska personer baserat på dataaltruism, till vilken de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer kan vända sig till utöver eller i stället för leverantören av dataförmedlingstjänster eller enheten när det gäller skyldigheterna enligt denna förordning, inklusive när det gäller att inleda verkställighetsförfaranden mot en leverantör av dataförmedlingstjänster eller enhet som inte uppfyller kraven och som inte är etablerad i unionen.

KAPITEL II

Vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter

Artikel 3

Kategorier av data

1.   Detta kapitel ska tillämpas på data som innehas av offentliga myndigheter och som är skyddade på grund av

a)

insynsskydd för kommersiella uppgifter, inklusive affärs-, yrkes- och företagshemligheter,

b)

insynsskydd för statistiska uppgifter,

c)

skydd av tredje parts immateriella rättigheter, eller

d)

skydd av personuppgifter, i den mån sådana uppgifter faller utanför tillämpningsområdet för direktiv (EU) 2019/1024.

2.   Detta kapitel ska inte tillämpas på

a)

data som innehas av offentliga företag,

b)

data som innehas av public service-bolag och deras dotterbolag och av andra organ eller deras dotterbolag för fullgörandet av ett uppdrag att verka i allmänhetens tjänst på radio- eller tv-området,

c)

data som innehas av kulturinstitutioner och utbildningsinstitutioner,

d)

data som innehas av offentliga myndigheter och är skyddade av skäl som rör allmän säkerhet, försvar eller nationell säkerhet, eller

e)

data vars tillhandahållande inte omfattas av den offentliga verksamhet som bedrivs av de berörda offentliga myndigheterna, såsom den definieras i lagstiftning eller andra bindande regler i den berörda medlemsstaten eller, om sådana regler saknas, såsom den definieras i enlighet med gängse administrativ praxis i denna, förutsatt att den offentliga verksamheten är tydligt avgränsad och föremål för översyn.

3.   Detta kapitel påverkar inte tillämpningen av

a)

unionsrätten, nationell rätt och internationella avtal som unionen eller medlemsstaterna är parter i och som avser skydd av de kategorier av data som avses i punkt 1, och

b)

unionsrätt och nationell rätt om tillgång till handlingar.

Artikel 4

Förbud mot exklusiva avtal

1.   Det ska vara förbjudet med avtal eller annan praxis som rör vidareutnyttjande av data som innehas av offentliga myndigheter och som omfattar kategorier av data som avses i artikel 3.1, vilka omfattar beviljande av exklusiva rättigheter eller vars syfte eller verkan omfattar beviljande av sådana exklusiva rättigheter eller begränsning av tillgången till data för vidareutnyttjande av andra enheter än parterna i sådana avtal eller sådan annan praxis.

2.   Med avvikelse från punkt 1 får en exklusiv rättighet beviljas för vidareutnyttjande av data som avses i den punkten i den mån som det är nödvändigt för tillhandahållande av en tjänst eller tillhandahållande av en produkt av allmänt intresse som annars inte skulle vara möjligt.

3.   En exklusiv rättighet som avses i punkt 2 ska beviljas genom en administrativ åtgärd eller ett kontraktsmässigt arrangemang i enlighet med tillämplig unionsrätt eller nationell rätt och i enlighet med principerna om transparens, likabehandling och icke-diskriminering.

4.   Perioden för en exklusiv rättighet till vidareutnyttjande av data får inte överstiga tolv månader. När ett avtal har ingåtts ska avtalets löptid vara samma som perioden för den exklusiva rättigheten.

5.   Beviljandet av en exklusiv rättighet i enlighet med punkterna 2, 3 och 4, inklusive skälen till varför detta beviljande är nödvändigt, ska vara transparenta och göras allmänt tillgängliga online i en form som är förenlig med relevant unionslagsrätt om offentlig upphandling.

6.   Avtal eller andra metoder som omfattas av tillämpningsområdet för det förbud som avses i punkt 1, som inte uppfyller de villkor som fastställs i punkterna 2 och 3 och som ingicks före den 23 juni 2022 ska upphöra att gälla när det tillämpliga avtalet löper ut och i vilket fall senast den 24 december 2024.

Artikel 5

Villkor för vidareutnyttjande

1.   Offentliga myndigheter som enligt nationell rätt är behöriga att bevilja eller vägra tillgång till vidareutnyttjandet av en eller flera kategorier av data som avses i artikel 3.1 ska offentliggöra villkoren för att tillåta sådant vidareutnyttjande samt förfarandet för att begära vidareutnyttjandet via den gemensamma informationspunkt som avses i artikel 8. När de beviljar eller vägrar tillgång till vidareutnyttjande får de bistås av de behöriga organ som avses i artikel 7.1.

Medlemsstaterna ska säkerställa att offentliga myndigheter är försedda med nödvändiga resurser för att efterleva denna artikel.

2.   Villkoren för vidareutnyttjande ska vara icke-diskriminerande, transparenta, proportionerliga och objektivt motiverade med hänsyn till kategorierna av data, vidareutnyttjandets syfte och typerna av data för vilka vidareutnyttjande tillåts. Dessa villkor får inte användas för att begränsa konkurrensen.

3.   Offentliga myndigheter ska i enlighet med unionsrätt och nationell rätt säkerställa att uppgifternas skyddade karaktär bevaras. De kan föreskriva följande krav:

a)

Att tillgång till vidareutnyttjande av data beviljas endast om den offentliga myndigheten eller det behöriga organet efter begäran om vidareutnyttjande har säkerställt att data har

i)

anonymiserats, när det gäller personuppgifter, och

ii)

ändrats, aggregerats eller behandlats med någon annan metod för kontroll av utlämnande, när det gäller affärshemligheter, inbegripet företagshemligheter eller innehåll som skyddas av immateriella rättigheter.

b)

Att tillgång till och vidareutnyttjande av data på distans sker inom en säker behandlingsmiljö som tillhandahålls eller kontrolleras av den offentliga myndigheten.

c)

Att tillgång till och vidareutnyttjande av data säkerställs i de fysiska lokaler där den säkra behandlingsmiljön är belägen i enlighet med höga säkerhetsnormer, förutsatt att fjärråtkomst inte kan tillåtas utan att tredje parters rättigheter och intressen hotas.

4.   Om vidareutnyttjande har tillåtits i enlighet med punkt 3 b och c, ska offentliga myndigheter införa villkor som bevarar integriteten för de tekniska systemens funktionssätt i den säkra behandlingsmiljön. Offentliga myndigheter ska förbehålla sig rätten att verifiera processen, metoderna och alla resultat från den behandling av data som görs av vidareutnyttjaren för att bevara integriteten i dataskyddet och förbehålla sig rätten att förbjuda användningen av resultat som innehåller information som hotar tredje parters rättigheter och intressen. Beslutet att förbjuda användningen av resultat ska vara lättbegripligt och tydligt för vidareutnyttjaren.

5.   Såvida det i den nationella rätten inte föreskrivs särskilda skyddsåtgärder för tillämpliga skyldigheter i fråga om konfidentiell behandling avseende det vidareutnyttjande av data som avses i artikel 3.1, ska den offentliga myndigheten ställa som villkor för vidareutnyttjandet av data som tillhandahålls i enlighet med punkt 3 i den här artikeln att vidareutnyttjaren uppfyller en skyldighet i fråga om konfidentiell behandling som förbjuder utlämnande av information som äventyrar tredje parts rättigheter och intressen som vidareutnyttjaren kan ha erhållit trots de skyddsåtgärder som införts. Det ska vara förbjudet för vidareutnyttjare att återidentifiera de registrerade som uppgifterna gäller, och vidareutnyttjarna ska vidta tekniska och operativa åtgärder för att förhindra återidentifiering och underrätta den offentliga myndigheten om alla uppgiftsincidenter som leder till att berörda registrerade återidentifieras. Vid otillåtet vidareutnyttjande av icke-personuppgifter ska vidareutnyttjaren utan dröjsmål, och när så är lämpligt med bistånd från den offentliga myndigheten, underrätta de juridiska personer vars rättigheter och intressen kan påverkas.

6.   I de fall då vidareutnyttjande av data inte kan tillåtas i enlighet med de skyldigheter som fastställs i punkterna 3 och 4 i denna artikel, och det inte finns någon rättslig grund för överföring av data inom ramen för förordning (EU) 2016/679, ska den offentliga myndigheten, i den utsträckning det är tillåtet i enlighet med unionsrätten och nationell rätt, göra sitt yttersta för att bistå potentiella vidareutnyttjare som begär de registrerades samtycke eller tillstånd från datainnehavare vars rättigheter och intressen kan påverkas av ett sådant vidareutnyttjande, om detta är möjligt utan en oproportionell börda för den offentliga myndigheten. När den tillhandahåller sådant bistånd får den offentliga myndigheten bistås av de behöriga organ som avses i artikel 7.1.

7.   Vidareutnyttjande av data ska endast tillåtas i enlighet med immateriella rättigheter. En databasproducents rätt som föreskrivs i artikel 7.1 i direktiv 96/9/EG får inte utövas av offentliga myndigheter för att förhindra vidareutnyttjande av data eller begränsa vidareutnyttjandet i högre grad än vad som anges i den här förordningen.

8.   Om data som begärs anses vara konfidentiella i enlighet med unionsrätten eller nationell rätt om affärshemligheter eller insynsskydd för statistiska uppgifter, ska de offentliga myndigheterna säkerställa att dessa konfidentiella data inte röjs till följd av att vidareutnyttjande tillåts, såvida inte sådant vidareutnyttjande är tillåtet i enlighet med punkt 6.

9.   I de fall då en vidareutnyttjare avser att överföra icke-personuppgifter som är skyddade på grund av de skäl som anges i artikel 3.1 till ett tredjeland, ska vidareutnyttjaren underrätta den offentliga myndigheten om sin avsikt att överföra sådana uppgifter och om syftet med en sådan överföring vid tidpunkten för begäran om vidareutnyttjande av dessa data. Vid vidareutnyttjande i enlighet med punkt 6 i den här artikeln, ska vidareutnyttjaren, när så är lämpligt med bistånd från den offentliga myndigheten, underrätta den juridiska person vars rättigheter och intressen kan påverkas av denna avsikt, om detta syfte och de lämpliga skyddsåtgärderna. Den offentliga myndigheten får inte tillåta vidareutnyttjandet om inte den juridiska personen ger sitt tillstånd till överföringen.

10.   Offentliga myndigheter får överföra konfidentiella data som inte är personuppgifter eller data som skyddas av immateriella rättigheter till en vidareutnyttjare som avser att överföra dessa data till ett annat tredjeland än ett land som utsetts i enlighet med punkt 12 endast om vidareutnyttjaren avtalsmässigt åtar sig att

a)

fullgöra de skyldigheter som införts i enlighet med punkterna 7 och 8 även efter att data överförts till det berörda tredjelandet, och

b)

godta jurisdiktionen för domstolarna i den överförande offentliga myndighetens medlemsstat när det gäller eventuella tvister som rör efterlevnaden av punkterna 7 och 8.

11.   Offentliga myndigheter ska, när så är lämpligt och i den utsträckning de kan, ge vidareutnyttjare vägledning och bistånd i fullgörandet av de skyldigheter som avses i punkt 10 i denna artikel.

För att bistå de offentliga myndigheterna och vidareutnyttjarna får kommissionen anta genomförandeakter som fastställer standardavtalsklausuler för fullgörande av de skyldigheter som avses i punkt 10 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 33.3.

12.   När så motiveras på grund av ett betydande antal begäranden i hela unionen om vidareutnyttjandet av icke-personuppgifter i specifika tredjeländer får kommissionen anta genomförandeakter i vilka det intygas att ett tredjelands rättsliga, tillsynsmässiga och verkställighetsmässiga arrangemang

a)

säkerställer ett skydd för immateriella rättigheter och företagshemligheter som i allt väsentligt är likvärdigt med det skydd som säkerställs genom unionsrätten,

b)

tillämpas och verkställs på ett effektivt sätt, och

c)

omfattar effektiva rättsmedel.

Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 33.3.

13.   Enligt särskilda unionslagstiftningsakter kan vissa kategorier av icke-personuppgifter som innehas av offentliga myndigheter anses vara mycket känsliga vid tillämpningen av denna artikel, när överföringen av dem till tredjeländer kan äventyra unionens offentligpolitiska mål, exempelvis säkerhet och folkhälsa, eller leda till risk för återidentifiering av anonymiserade data som inte är personuppgifter. Om en sådan akt antas ska kommissionen anta delegerade akter i enlighet med artikel 32 som kompletterar denna förordning genom att fastställa särskilda villkor som ska tillämpas på överföring av sådana uppgifter till tredjeländer.

Dessa särskilda villkor ska baseras på typen av de kategorier av icke-personuppgifter som anges i den särskilda unionslagstiftningsakten och skälen för att anse dessa kategorier vara mycket känsliga, med beaktande av riskerna för återidentifiering av anonymiserade data som inte är personuppgifter. De ska vara icke-diskriminerande och begränsade till vad som är nödvändigt för att uppnå de unionens offentligpolitiska mål som anges i den akten, i enlighet med unionens internationella skyldigheter.

Om så krävs enligt de särskilda unionslagstiftningsakter som avses i första stycket, kan sådana särskilda villkor innefatta villkor som är tillämpliga på överföring eller tekniska avtal i detta hänseende, begränsningar vad gäller vidareutnyttjande av data i tredjeländer eller kategorier av personer som har rätt att överföra sådana data till tredjeländer eller, i exceptionella fall, begränsningar vad gäller överföring till tredjeländer.

14.   De fysiska eller juridiska personer som beviljades rätten att vidareutnyttja icke-personuppgifter får endast överföra dessa data till de tredjeländer för vilka kraven i punkterna 10, 12 och 13 uppfylls.

Artikel 6

Avgifter

1.   Offentliga myndigheter som tillåter vidareutnyttjande av de kategorier av data som avses i artikel 3.1 får ta ut en avgift för att tillåta vidareutnyttjandet av sådana data.

2.   Avgifter som tas ut i enlighet med punkt 1 ska vara transparenta, icke-diskriminerande, proportionella och objektivt motiverade och får inte begränsa konkurrensen.

3.   Offentliga myndigheter ska säkerställa att alla avgifter också kan betalas online med hjälp av allmänt tillgängliga gränsöverskridande betalningstjänster, utan diskriminering på grund av betaltjänstleverantörens etableringsort, betalningsinstrumentets utfärdandeort eller den plats där betalkontot finns inom unionen.

4.   När offentliga myndigheter tar ut avgifter ska de vidta åtgärder för att ge incitament till vidareutnyttjande av de kategorier av data som avses i artikel 3.1 för icke-kommersiella ändamål, såsom vetenskaplig forskning, och av små och medelstora företag och uppstartsföretag i enlighet med reglerna för statligt stöd. I detta avseende får de offentliga myndigheterna också göra dessa data tillgängliga till en nedsatt avgift eller kostnadsfritt, särskilt för små och medelstora företag och uppstartsföretag, det civila samhället och utbildningsanstalter. Offentliga myndigheter får därför upprätta en förteckning över kategorier av vidareutnyttjare för vilka data för vidareutnyttjande ska göras tillgängliga till en nedsatt avgift eller kostnadsfritt. Förteckningen och kriterierna för upprättande av den ska offentliggöras.

5.   Avgifterna ska härledas från kostnaderna för att genomföra förfarandet för begäran om vidareutnyttjande av de kategorier av data som avses i artikel 3.1, och vara begränsade till nödvändiga kostnader i samband med

a)

reproduktion, tillhandahållande och spridning av data,

b)

klarering av upphovsrätt,

c)

anonymisering eller andra former av framställning av personuppgifter och affärshemligheter som föreskrivs i artikel 5.3,

d)

underhåll av den säkra behandlingsmiljön,

e)

förvärvande av rätten att tillåta vidareutnyttjande i enlighet med detta kapitel av tredje parter utanför den offentliga sektorn, och

f)

bistånd till vidareutnyttjare som begär de registrerades samtycke och tillstånd från datainnehavare vars rättigheter och intressen kan påverkas av ett sådant vidareutnyttjande.

6.   Kriterierna och metoden för beräkning av avgifter ska fastställas av medlemsstaterna och offentliggöras. Offentliga myndigheter ska offentliggöra en beskrivning av huvudkategorierna av kostnader och reglerna för fördelning av kostnader.

Artikel 7

Behöriga organ

1.   För utförandet av de uppgifter som avses i denna artikel ska varje medlemsstat utse ett eller flera behöriga organ, som får vara behöriga för särskilda sektorer, för att bistå de offentliga myndigheter som beviljar eller vägrar tillgång för vidareutnyttjande av de kategorier av data som avses i artikel 3.1. Medlemsstaterna får antingen inrätta ett eller flera nya behöriga organ eller förlita sig på befintliga offentliga myndigheter eller interna avdelningar inom offentliga myndigheter som uppfyller de villkor som fastställs i denna förordning.

2.   De behöriga organen får ges befogenhet att bevilja tillgång till vidareutnyttjande av de kategorier av data som avses i artikel 3.1, i enlighet med unionsrätten eller nationell rätt som medger att sådan tillgång beviljas. När de beviljar eller vägrar tillgång för vidareutnyttjande ska artiklarna 4, 5, 6 och 9 tillämpas på dessa behöriga organ.

3.   Behöriga organ ska ha tillräckliga juridiska, ekonomiska och tekniska resurser och personalresurser för att utföra de uppgifter som de anförtrotts, inbegripet de nödvändiga tekniska kunskaperna för att kunna följa relevant unionsrätt eller nationell rätt om systemen för tillgång till de kategorier av data som avses i artikel 3.1.

4.   Det bistånd som föreskrivs i punkt 1 ska, när så är nödvändigt, innefatta följande:

a)

Tekniskt stöd för att tillhandahålla en säker behandlingsmiljö för att ge tillgång till vidareutnyttjande av data.

b)

Vägledning och tekniskt stöd om hur data bäst kan struktureras och lagras så att dessa data är lättillgängliga.

c)

Tekniskt stöd för pseudonymisering och för att säkerställa databehandling på ett sätt som effektivt bevarar integriteten, konfidentialiteten, dataintegriteten och tillgängligheten för den information som finns i de data för vilka vidareutnyttjande tillåts, däribland teknik för anonymisering, generalisering, undertryckande och randomisering av personuppgifter eller andra toppmoderna integritetsbevarande metoder och radering av kommersiellt känslig information, däribland affärshemligheter eller innehåll som är skyddat av immateriella rättigheter.

d)

Bistånd till offentliga myndigheter, i förekommande fall, för att stödja vidareutnyttjare när de begär registrerades samtycke till vidareutnyttjande eller datainnehavares tillstånd i linje med deras särskilda beslut, däribland om den jurisdiktion där databehandlingen är avsedd att utföras, och bistånd till offentliga myndigheter när de behöver inrätta tekniska mekanismer som gör det möjligt att vidarebefordra begäranden om samtycke eller tillstånd från vidareutnyttjare, när detta är praktiskt genomförbart.

e)

Bistånd till offentliga myndigheter vid bedömningen av tillräckligheten i de avtalsmässiga åtaganden som görs av en vidareutnyttjare i enlighet med artikel 5.10.

5.   Varje medlemsstat ska senast den 24 september 2023 meddela kommissionen vilka behöriga organ som utsetts i enlighet med punkt 1. Varje medlemsstat ska också meddela kommissionen alla senare ändringar av dessa behöriga organs identitet.

Artikel 8

Gemensamma informationspunkter

1.   Medlemsstaterna ska säkerställa att all relevant information om tillämpningen av artiklarna 5 och 6 finns tillgänglig och lätt åtkomlig via en gemensam informationspunkt. Medlemsstaterna ska inrätta ett nytt organ eller utse ett befintligt organ som gemensam informationspunkt. Den gemensamma informationspunkten kan vara länkad till sektoriella, regionala eller lokala informationspunkter. En gemensam informationspunkts funktioner får vara automatiserade förutsatt att den offentliga myndigheten säkerställer tillräckligt stöd.

2.   Den gemensamma informationspunkten ska vara behörig att ta emot förfrågningar eller ansökningar om vidareutnyttjande av de kategorier av data som avses i artikel 3.1 och ska när så är möjligt och lämpligt automatiskt överföra dessa till de behöriga offentliga myndigheter som avses i artikel 7.1, i förekommande fall. Den gemensamma informationspunkten ska på elektronisk väg tillhandahålla en sökbar tillgångsförteckning som innehåller en översikt över alla tillgängliga datakällor, däribland, i relevanta fall, de datakällor som finns tillgängliga vid sektorsspecifika, regionala och lokala informationspunkter, tillsammans med relevant information som beskriver tillgängliga data, inbegripet åtminstone dataformatet och datastorleken samt villkoren för vidareutnyttjandet av dessa data.

3.   Den gemensamma informationspunkten får inrätta en separat, förenklad och väldokumenterad informationskanal för små och medelstora företag och nystartade företag som möter deras behov och förmågor i samband med begäran av vidareutnyttjande av de kategorier av data som avses i artikel 3.1.

4.   Kommissionen ska inrätta en europeisk gemensam åtkomstspunkt som erbjuder ett sökbart elektroniskt register över tillgängliga data i nationella gemensamma informationspunkter och ytterligare information om hur man begär data via dessa nationella gemensamma informationspunkter.

Artikel 9

Behandling av begäranden om vidareutnyttjande

1.   Såvida inte kortare tidsfrister har fastställts i enlighet med nationell rätt ska de behöriga offentliga myndigheterna eller de behöriga organ som avses i artikel 7.1 anta ett beslut om begäran om vidareutnyttjande av de kategorier av data som avses i artikel 3.1 inom två månader från dagen för mottagandet av begäran.

Vid exceptionellt omfattande och komplicerade begäranden om vidareutnyttjande får denna tvåmånadersperiod förlängas med högst 30 dagar. I sådana fall ska de behöriga offentliga myndigheterna eller de behöriga organ som avses i artikel 7.1 underrätta den sökande så snart som möjligt om att mer tid krävs för att genomföra förfarandet, tillsammans med skälen till dröjsmålet.

2.   Fysiska eller juridiska personer som direkt påverkas av ett beslut såsom avses i punkt 1 ska ha effektiv rätt till överprövning i den medlemsstat där det relevanta organet är lokaliserat. Denna rätt till överprövning ska föreskrivas i nationell rätt och inbegripa möjlighet till omprövning av en opartisk myndighet som besitter lämplig sakkunskap, såsom den nationella konkurrensmyndigheten, den berörda myndigheten för tillgång till handlingar, den tillsynsmyndighet som inrättats i enlighet med förordning (EU) 2016/679 eller en nationell rättslig myndighet, vars beslut är bindande för den berörda offentliga myndigheten eller det berörda behöriga organet.

KAPITEL III

Krav som är tillämpliga på dataförmedlingstjänster

Artikel 10

Dataförmedlingstjänster

Tillhandahållandet av följande dataförmedlingstjänster ska uppfylla artikel 12 och ska omfattas av ett anmälningsförfarande:

a)

Förmedlingstjänster mellan datainnehavare och potentiella dataanvändare, däribland tillhandahållandet av tekniska eller andra metoder för att möjliggöra sådana tjänster; dessa tjänster kan innefatta bilaterala eller multilaterala utbyten av data eller inrättandet av plattformar eller databaser som möjliggör utbyte eller gemensam användning av data, liksom inrättandet av annan särskild infrastruktur för sammankoppling av datainnehavare med dataanvändare.

b)

Förmedlingstjänster mellan de registrerade som önskar göra sina personuppgifter tillgängliga eller fysiska personer som önskar göra icke-personuppgifter tillgängliga, och potentiella dataanvändare, däribland tillhandahållandet av tekniska eller andra metoder för att möjliggöra sådana tjänster, och i synnerhet som möjliggör utövandet av de registrerades rättigheter som föreskrivs i förordning (EU) 2016/679.

c)

Datakooperativs tjänster.

Artikel 11

Anmälning från leverantörer av dataförmedlingstjänster

1.   Varje leverantör av dataförmedlingstjänster som avser att tillhandahålla de dataförmedlingstjänster som avses i artikel 10 ska lämna en anmälan till den behöriga myndigheten för dataförmedlingstjänster.

2.   Vid tillämpning av denna förordning ska en leverantör av dataförmedlingstjänster med verksamhetsställen i mer än en medlemsstat anses omfattas av jurisdiktionen i den medlemsstat där den har sitt huvudsakliga verksamhetsställe, utan att det påverkar unionslagsrätten som reglerar gränsöverskridande skadeståndstalan och tillhörande förfaranden.

3.   En leverantör av dataförmedlingstjänster som inte är etablerad i unionen men som i unionen erbjuder de dataförmedlingstjänster som avses i artikel 10 ska utse en rättslig företrädare i en av de medlemsstater där dessa tjänster erbjuds.

För att säkerställa efterlevnaden av denna förordning ska leverantören av dataförmedlingstjänster ge den rättslige företrädaren uppdraget att utöver eller i stället för denna kunna kontaktas av behöriga myndigheter för dataförmedlingstjänster eller registrerade och datainnehavare i alla frågor som rör de tillhandahållna dataförmedlingstjänsterna. Den rättslige företrädaren ska samarbeta med de behöriga myndigheterna för dataförmedlingstjänster och, på begäran, för dessa på ett övergripande sätt påvisa de åtgärder som vidtagits och de bestämmelser som införts av leverantören av dataförmedlingstjänster för att säkerställa överensstämmelse med denna förordning.

Leverantören av dataförmedlingstjänster ska anses omfattas av jurisdiktionen i den medlemsstat där den rättsliga företrädaren finns. Att en leverantör av dataförmedlingstjänster utser en rättslig företrädare ska inte påverka eventuella rättsliga åtgärder som kan vidtas mot leverantören av dataförmedlingstjänster.

4.   Efter att ha lämnat en anmälan i enlighet med punkt 1 får leverantören av dataförmedlingstjänster inleda verksamheten i enlighet med de villkor som fastställs i detta kapitel.

5.   Den anmälan som avses i punkt 1 ska ge leverantören av dataförmedlingstjänster rätt att tillhandahålla dataförmedlingstjänster i alla medlemsstater.

6.   Den anmälan som avses i punkt 1 ska innehålla följande uppgifter:

a)

Namnet på leverantören av dataförmedlingstjänster.

b)

Dataförmedlingstjänsteleverantörens rättsliga status, form, ägarstruktur, relevanta dotterföretag och, om leverantören av dataförmedlingstjänster är registrerad i ett handelsregister eller annat liknande offentligt nationellt register, registreringsnummer

c)

Adressen till dataförmedlingstjänsteleverantörens huvudsakliga verksamhetsställe i unionen, i förekommande fall, och, om tillämpligt, eventuella underordnade filialer i en annan medlemsstat, eller till den rättsliga företrädaren.

d)

En offentlig webbplats med fullständig och uppdaterad information om leverantören av dataförmedlingstjänster och verksamheten, inbegripet åtminstone den information som avses i leden a, b, c och f.

e)

Dataförmedlingstjänsteleverantörens kontaktpersoner och kontaktuppgifter.

f)

En beskrivning av den dataförmedlingstjänst som leverantören av dataförmedlingstjänster avser att tillhandahålla och en uppgift om de kategorier som förtecknas i artikel 10 som dessa dataförmedlingstjänster omfattas av.

g)

Beräknat startdatum för verksamheten, om ett annat än anmälningsdatumet.

7.   Den behöriga myndigheten för dataförmedlingstjänster ska säkerställa att anmälningsförfarandet är icke-diskriminerande och inte snedvrider konkurrensen.

8.   På begäran av leverantören av dataförmedlingstjänster ska den behöriga myndigheten för dataförmedlingstjänster inom en vecka från och med en vederbörligen och fullständigt genomförd anmälan utfärda en standardiserad förklaring som bekräftar att leverantören av dataförmedlingstjänster har inkommit med den anmälan som avses i punkt 1 och att anmälan innehåller de uppgifter som avses i punkt 6.

9.   På begäran av leverantören av dataförmedlingstjänster ska den behöriga myndigheten för dataförmedlingstjänster bekräfta att leverantören av dataförmedlingstjänster uppfyller denna artikel och i artikel 12. När leverantören av dataförmedlingstjänster har mottagit en sådan bekräftelse får den i sin skriftliga och muntliga kommunikation använda beteckningen ”leverantör av dataförmedlingstjänster som är erkänd i unionen” samt en gemensam logotyp.

För att säkerställa att leverantörer av dataförmedlingstjänster som är erkända i unionen lätt kan identifieras i hela unionen ska kommissionen genom genomförandeakter fastställa den gemensamma logotypens utformning. Leverantörer av dataförmedlingstjänster som är erkända i unionen ska tydligt visa den gemensamma logotypen på alla online- och offline-publikationer som anknyter till deras dataförmedlingsverksamhet.

Dessa genomförandeakter ska antas i enlighet med det rådgivande förfarande som avses i artikel 33.2.

10.   Den behöriga myndigheten för dataförmedlingstjänster ska på elektronisk väg och utan dröjsmål underrätta kommissionen om varje ny anmälan. Kommissionen ska föra och regelbundet uppdatera ett offentligt register över alla leverantörer av dataförmedlingstjänster som tillhandahåller sina tjänster i unionen. De uppgifter som avses i punkt 6 a, b, c, d, f och g ska offentliggöras i det offentliga registret.

11.   Den behöriga myndigheten för dataförmedlingstjänster får ta ut avgifter för anmälan i enlighet med nationell rätt. Sådana avgifter ska vara proportionella och objektiva och baseras på de administrativa kostnaderna för de behöriga myndigheterna för dataförmedlingstjänsters övervakning av efterlevnaden och andra marknadskontrollåtgärder avseende anmälningar av leverantörer av dataförmedlingstjänster. För små och medelstora företag samt nystartade företag får den behöriga myndigheten ta ut en nedsatt avgift eller avstå från avgiften.

12.   Leverantörer av dataförmedlingstjänster ska underrätta den behöriga myndigheten för dataförmedlingstjänster om alla ändringar av den information som tillhandahållits i enlighet med punkt 6 inom 14 dagar från dagen för ändringen.

13.   När en leverantör av dataförmedlingstjänster upphör med sin verksamhet ska den inom 15 dagar underrätta den berörda behöriga myndighet för dataförmedlingstjänster som fastställts i enlighet med punkterna 1, 2 och 3.

14.   Den behöriga myndigheten för dataförmedlingstjänster ska på elektronisk väg och utan dröjsmål underrätta kommissionen om varje underrättelse som avses i punkterna 12 och 13. Kommissionen ska uppdatera det offentliga registret över leverantörer av dataförmedlingstjänster i unionen i enlighet med detta.

Artikel 12

Villkor för tillhandahållande av dataförmedlingstjänster

Tillhandahållandet av de dataförmedlingstjänster som avses i artikel 10 ska omfattas av följande villkor:

a)

Leverantören av dataförmedlingstjänster får inte använda de data för vilka dataförmedlingstjänsterna tillhandahålls för andra ändamål än att ställa dem till dataanvändarnas förfogande och ska tillhandahålla dataförmedlingstjänsterna via en separat juridisk person.

b)

De kommersiella villkoren, inklusive prissättningen, för tillhandahållandet av dataförmedlingstjänster till en datainnehavare eller dataanvändare får inte knytas till huruvida datainnehavaren eller dataanvändaren använder andra tjänster från samma leverantör av dataförmedlingstjänster eller en närstående enhet, och i så fall i vilken utsträckning datainnehavaren eller dataanvändaren använder sådana andra tjänster.

c)

De data som samlas in om en fysisk eller juridisk persons aktivitet för tillhandahållandet av dataförmedlingstjänsten, däribland datum, tid, geolokaliseringsdata, aktivitetens varaktighet och kopplingar till andra fysiska eller juridiska personer som har inrättats av den person som använder dataförmedlingstjänsten får endast användas för utvecklingen av denna dataförmedlingstjänst, vilket kan innebära användning av data för att upptäcka bedrägerier eller för cybersäkerhet, och ska på begäran göras tillgängliga för datainnehavare.

d)

Leverantören av dataförmedlingstjänster ska främja ett utbyte av data i det format som den erhåller dessa data från en registrerad eller en datainnehavare, ska endast konvertera data till särskilda format för att öka interoperabiliteten inom och mellan sektorer, eller om datainnehavaren så begär eller detta föreskrivs i unionsrätten, eller för att säkerställa harmonisering med internationella eller europeiska datastandarder och ska erbjuda registrerade och datainnehavare en möjlighet till undantag avseende dessa konverteringar, såvida inte konverteringen föreskrivs i unionsrätten.

e)

Dataförmedlingstjänster får omfatta erbjudande av ytterligare särskilda verktyg och tjänster till datainnehavare eller de registrerade för det särskilda syftet att underlätta utbytet av data, exempelvis i form av tillfällig lagring, kuratering, konvertering, anonymisering och pseudonymisering, varvid sådana verktyg endast får användas på uttrycklig begäran eller efter uttryckligt godkännande av datainnehavaren eller den registrerade, och tredjepartsverktyg som erbjuds i sammanhanget inte får användas för andra ändamål.

f)

Leverantören av dataförmedlingstjänster ska säkerställa att förfarandet för tillgång till dess tjänster är rättvist, transparent och icke-diskriminerande för både registrerade och datainnehavare samt för dataanvändare, även när det gäller prissättning och villkor för tjänsten.

g)

Leverantören av dataförmedlingstjänster ska ha infört förfaranden för att förhindra bedrägerier eller otillbörliga metoder i samband med parter som önskar sådan tillgång via dess dataförmedlingstjänster.

h)

Leverantören av dataförmedlingstjänster ska, vid sin insolvens, säkerställa en rimlig kontinuitet i tillhandahållandet av sina dataförmedlingstjänster och, när sådana dataförmedlingstjänster säkerställer lagring av data, ha mekanismer på plats för att möjliggöra att datainnehavarna och dataanvändarna kan få tillgång till, överföra eller hämta sina data, och om sådana dataförmedlingstjänster tillhandahålls mellan registrerade och dataanvändare, göra det möjligt för registrerade att utöva sina rättigheter.

i)

Leverantören av dataförmedlingstjänster ska vidta lämpliga åtgärder för att säkerställa interoperabiliteten med andra dataförmedlingstjänster genom bland annat allmänt använda öppna standarder inom den sektor i vilken leverantören av dataförmedlingstjänster är verksam.

j)

Leverantören av dataförmedlingstjänster ska vidta tillräckliga tekniska, rättsliga och organisatoriska åtgärder för att förhindra sådan överföring av eller tillgång till icke-personuppgifter som strider mot unionsrätten eller den nationella rätten i den berörda medlemsstaten.

k)

Leverantören av dataförmedlingstjänster ska utan dröjsmål informera datainnehavarna vid otillåten överföring av, tillgång till eller användning av icke-personuppgifter som den har delat.

l)

Leverantören av dataförmedlingstjänster ska vidta nödvändiga åtgärder för att säkerställa en lämplig säkerhetsnivå för lagringen, behandlingen och överföringen av icke-personuppgifter, och leverantören av dataförmedlingstjänster ska vidare säkerställa högsta säkerhet för lagringen och överföringen av information som är känslig i konkurrenshänseende.

m)

Leverantören av dataförmedlingstjänster som erbjuder tjänster åt de registrerade ska handla i deras bästa intresse när den främjar deras utövande av sina rättigheter, i synnerhet genom att informera och, i lämpliga fall, ge de registrerade råd på ett koncist, transparent, begripligt och lättåtkomligt sätt om dataanvändarnas avsedda dataanvändningar och de standardvillkor som är förbundna med sådan användning, innan de registrerade ger sitt samtycke.

n)

Om en leverantör av dataförmedlingstjänster tillhandahåller verktyg för att erhålla de registrerades samtycke eller erhålla tillstånd att behandla data som tillhandhålls av datainnehavare, ska den i relevanta fall ange inom vilken tredjelandsjurisdiktion som dataanvändningen är avsedd att äga rum och förse de registrerade med verktyg för att både ge och återkalla sitt samtycke och datainnehavarna med verktyg för att både ge och återkalla tillstånd för behandling av data.

o)

Leverantören av dataförmedlingstjänster ska föra ett loggregister över dataförmedlingsverksamheten.

Artikel 13

Behöriga myndigheter för dataförmedlingstjänster

1.   Varje medlemsstat ska utse en eller flera behöriga myndigheter för att utföra uppgifter i samband med anmälningsförfarandet för dataförmedlingstjänster och ska meddela kommissionen dessa behöriga myndigheters identitet senast den 24 september 2023. Varje medlemsstat ska även meddela kommissionen alla eventuella senare ändringar av dessa behöriga myndigheters identitet.

2.   De behöriga myndigheterna för dataförmedlingstjänster ska uppfylla de krav som anges i artikel 26.

3.   Befogenheterna för de utsedda behöriga myndigheterna för dataförmedlingstjänsters ska inte påverka befogenheterna för dataskyddsmyndigheterna, de nationella konkurrensmyndigheterna, de myndigheter som ansvarar för cybersäkerhet och andra relevanta sektorsmyndigheter. Dessa myndigheter ska i enlighet med sina respektive befogenheter enligt unionsrätten och nationell rätt etablera ett starkt samarbete och utbyta den information som behövs för att de ska kunna utföra sina uppgifter i förhållande till leverantörerna av dataförmedlingstjänster, och ska eftersträva att de beslut som fattas vid tillämpningen av denna förordning är konsekventa.

Artikel 14

Övervakning av efterlevnaden

1.   De behöriga myndigheterna för dataförmedlingstjänster ska övervaka och utöva tillsyn över leverantörer av dataförmedlingstjänsters efterlevnad av kraven i detta kapitel. De behöriga myndigheterna för dataförmedlingstjänster får även övervaka och utöva tillsyn över leverantörer av dataförmedlingstjänsters efterlevnad på grundval av en begäran från en fysisk eller juridisk person.

2.   De behöriga myndigheterna för dataförmedlingstjänster ska ha befogenhet att från leverantörer av dataförmedlingstjänster eller deras rättsliga företrädare begära all information som är nödvändig för att kontrollera uppfyllandet av kraven i detta kapitel. Varje begäran om information ska stå i proportion till uppgiftens utförande och innehålla en motivering.

3.   I de fall då den behöriga myndigheten för dataförmedlingstjänster finner att en leverantör av dataförmedlingstjänster inte uppfyller ett eller flera av kraven i detta kapitel ska den meddela leverantören av dataförmedlingstjänster dessa iakttagelser och ge den möjlighet att yttra sig, inom 30 dagar från mottagandet av meddelandet.

4.   Den behöriga myndigheten för dataförmedlingstjänster ska ha befogenhet att kräva att den överträdelse som avses i punkt 3 upphör, inom en rimlig tidsperiod eller omedelbart vid allvarlig överträdelse, och ska vidta ändamålsenliga och proportionella åtgärder för att säkerställa efterlevnaden. I det hänseendet ska den behöriga myndigheten för dataförmedlingstjänster, när så är lämpligt, ha befogenhet att

a)

genom administrativa förfaranden ålägga avskräckande ekonomiska sanktioner, som får inbegripa löpande viten och sanktioner med retroaktiv verkan, inleda rättsliga förfaranden för åläggande av sanktionsavgifter, eller bådadera,

b)

kräva att inledandet eller avbrytandet av tillhandahållandet av dataförmedlingstjänsten skjuts upp tills villkoren, enligt den behöriga myndigheten för dataförmedlingstjänsters begäran, har ändrats, eller

c)

kräva att tillhandahållandet av dataförmedlingstjänsten upphör om allvarliga eller upprepade överträdelser inte har åtgärdats trots utfärdat meddelande enligt punkt 3.

Den behöriga myndigheten för dataförmedlingstjänster ska begära att kommissionen avlägsnar leverantören av dataförmedlingstjänster från registret över leverantörer av dataförmedlingstjänster när den har utfärdat föreläggande om att tillhandahållandet av dataförmedlingstjänsten ska upphöra i enlighet med första stycket c.

Om en leverantör av dataförmedlingstjänster åtgärdar överträdelserna, ska den leverantören av dataförmedlingstjänster på nytt anmäla detta till den behöriga myndigheten för dataförmedlingstjänster. Den behöriga myndigheten för dataförmedlingstjänster ska underrätta kommissionen om varje förnyad anmälan.

5.   Om en leverantör av dataförmedlingstjänster som inte är etablerad i unionen inte utser en rättslig företrädare, eller om den rättsliga företrädaren inte på begäran av den behöriga myndigheten för dataförmedlingstjänster lämnar de nödvändiga upplysningar som på ett övergripande sätt visar efterlevnad av denna förordning, ska den behöriga myndigheten för dataförmedlingstjänster ha befogenhet att skjuta upp inledandet av eller att avbryta tillhandahållandet av dataförmedlingstjänsten tills en rättslig företrädare utses eller nödvändig information lämnas.

6.   De behöriga myndigheterna för dataförmedlingstjänster ska utan dröjsmål underrätta den berörda leverantören av dataförmedlingstjänster om de åtgärder som vidtas i enlighet med punkterna 4 och 5, och de skäl som de baseras på samt de nödvändiga åtgärder som ska vidtas för att åtgärda bristerna i fråga, och ska fastställa en rimlig tidsperiod, vilken ska vara högst 30 dagar, för leverantören av dataförmedlingstjänsters uppfyllande av dessa krav.

7.   Om en leverantör av dataförmedlingstjänster har sitt huvudsakliga verksamhetsställe eller sin rättsliga företrädare i en medlemsstat, men tillhandahåller tjänster i andra medlemsstater, ska den behöriga myndigheten för dataförmedlingstjänster i den medlemsstat där det huvudsakliga verksamhetsstället är belägen eller där den rättsliga företrädaren är lokaliserad och de behöriga myndigheterna för dataförmedlingstjänster i dessa andra medlemsstater samarbeta och bistå varandra. Detta bistånd och samarbete får omfatta informationsutbyte mellan de berörda behöriga myndigheterna för dataförmedlingstjänster för utförande av deras uppgifter inom ramen för denna förordning och motiverade begäranden om att de tillsynsåtgärder som avses i denna artikel ska vidtas.

Om en behörig myndighet för dataförmedlingstjänster i en medlemsstat begär bistånd från en myndighet för dataförmedlingstjänster i annan medlemsstat ska den lämna en motiverad begäran. Den behöriga myndigheten för dataförmedlingstjänster ska, i fall av en sådan begäran, lämna ett svar utan dröjsmål och inom en tidsram som står i proportion till hur brådskande begäran är.

All information som utbyts inom ramen för assistans som begärs och tillhandahålls enligt denna punkt får användas endast med avseende på det ärende för vilket den har begärts.

Artikel 15

Undantag

Detta kapitel ska inte tillämpas på erkända dataaltruismorganisationer eller andra icke-vinstdrivande enheter i den mån som deras verksamhet består i att samla in data för ändamål av allmänt intresse som tillhandahålls av fysiska eller juridiska personer baserat på dataaltruism, såvida inte dessa organisationer och enheter syftar till att upprätta affärsförbindelser mellan, å ena sidan, ett obestämt antal registrerade och datainnehavare och, å andra sidan, dataanvändare.

KAPITEL IV

Dataaltruism

Artikel 16

Nationella arrangemang för dataaltruism

Medlemsstaterna får införa organisatoriska eller tekniska arrangemang, eller bådadera, för att underlätta dataaltruism. För det ändamålet får medlemsstaterna fastställa nationella strategier för dataaltruism. Dessa nationella strategier får framför allt bistå registrerade, när dessa frivilligt gör data som avser dem och som innehas av offentliga myndigheter tillgängliga för dataaltruism, och ange den nödvändiga information som ska tillhandahållas de registrerade om vidareutnyttjandet av deras data i allmänt intresse.

Om en medlemsstat utarbetar sådana nationella strategier ska den underrätta kommissionen om detta.

Artikel 17

Offentliga register över erkända dataaltruismorganisationer

1.   Varje behörig myndighet för registrering av dataaltruismorganisationer ska föra och regelbundet uppdatera ett offentligt nationellt register över erkända dataaltruismorganisationer.

2.   Kommissionen ska i informationssyfte hålla ett offentligt unionsregister över erkända dataaltruismorganisationer. Förutsatt att en enhet är registrerad i det offentliga nationella registret över erkända dataaltruismorganisationer i enlighet med artikel 18 får den använda beteckningen ”dataaltruismorganisation som är erkänd i unionen” i sin skriftliga och muntliga kommunikation samt en gemensam logotyp.

För att säkerställa att erkända dataaltruismorganisationer lätt kan identifieras i hela unionen ska kommissionen genom genomförandeakter fastställa utformningen för den gemensamma logotypen. Erkända dataaltruismorganisationer ska tydligt visa den gemensamma logotypen på alla publikationer online och offline som anknyter till deras dataaltruismverksamhet. Den gemensamma logotypen ska åtföljas av en QR-kod med en länk till det offentliga unionsregistret över erkända dataaltruismorganisationer.

Dessa genomförandeakter ska antas i enlighet med det rådgivande förfarande som avses i artikel 33.2.

Artikel 18

Allmänna krav för registrering

För att kvalificera sig för registrering i ett offentligt nationellt register över erkända dataaltruismorganisationer ska en enhet

a)

utföra dataaltruismåtgärder,

b)

vara en juridisk person som bildats i enlighet med nationell rätt för att uppfylla mål av allmänt intresse, som det föreskrivs i nationell rätt i förekommande fall,

c)

bedriva verksamhet på icke-vinstdrivande grund och vara rättsligt fristående från alla enheter som bedriver verksamhet på vinstdrivande grund,

d)

utföra sina dataaltruismåtgärder via en struktur som är funktionellt fristående från dess övriga åtgärder.

e)

följa den regelbok som avses i artikel 22.1 senast 18 månader efter dagen för ikraftträdandet av de delegerade akter som avses i den punkten.

Artikel 19

Registrering av erkända dataaltruismorganisationer

1.   En enhet som uppfyller kraven i artikel 18 får lämna in en ansökan om registrering i det offentliga nationella registret över erkända dataaltruismorganisationer i den medlemsstat där den är etablerad.

2.   En enhet som uppfyller kraven i artikel 18 och har verksamhetsställen i fler än en medlemsstat får inlämna en ansökan om registrering i det offentliga nationella registret över erkända dataaltruismorganisationer i den medlemsstat där den har sitt huvudsakliga verksamhetsställe.

3.   En enhet som uppfyller kraven i artikel 18 men som inte är etablerad i unionen ska utse en rättslig företrädare i en av de medlemsstater i vilka dataaltruismtjänsterna erbjuds.

För att säkerställa efterlevnaden av denna förordning ska enheten ge den rättslige företrädaren uppdraget att utöver eller i stället för denna kunna kontaktas av behöriga myndigheter för registrering av dataaltruismorganisationer eller registrerade och datainnehavare i alla frågor som rör den enheten. Den rättslige företrädaren ska samarbeta med de behöriga myndigheterna för registrering av dataaltruismorganisationer och, på begäran, för dessa på ett övergripande sätt påvisa de åtgärder som vidtagits och bestämmelser som införts av enheten för att säkerställa överensstämmelse med denna förordning.

Enheten ska anses omfattas av jurisdiktionen i den medlemsstat där den rättsliga företrädaren finns. En sådan enhet får lämna in en ansökan om r registrering i det offentliga nationella registret över erkända dataaltruismorganisationer i den medlemsstaten. Att enheten utser en rättslig företrädare ska inte påverka rättsliga åtgärder som kan vidtas mot enheten.

4.   De ansökningar om registrering som avses i punkterna 1, 2 och 3 ska innehålla följande uppgifter:

a)

Enhetens namn.

b)

Enhetens rättsliga status, form och, om enheten är registrerad i ett offentligt nationellt register, registreringsnummer.

c)

Enhetens stadgar, i förekommande fall.

d)

Enhetens inkomstkällor.

e)

Adressen till enhetens huvudsakliga verksamhetsställe i unionen, i förekommande fall, och, om tillämpligt, eventuella underordnade filialer i en annan medlemsstat, eller till den rättsliga företrädaren.

f)

En offentlig webbplats med fullständig och uppdaterad information om enheten och verksamheten, inbegripet åtminstone den information som avses i leden a, b, d, e och h.

g)

Enhetens kontaktpersoner och kontaktuppgifter.

h)

De mål av allmänt intresse som enheten avser att främja när den samlar in data.

i)

Den typ av data som enheten avser att kontrollera eller behandla och, när det gäller personuppgifter, en angivelse av kategorierna av personuppgifter.

j)

Alla andra handlingar som visar att kraven i artikel 18 uppfylls.

5.   När enheten har lämnat all nödvändig information i enlighet med punkt 4, och efter det att den behöriga myndigheten för registrering av dataaltruismorganisationer har utvärderat ansökan om registrering och konstaterat att enheten uppfyller kraven i artikel 18, ska den registrera enheten i det offentliga nationella registret över erkända dataaltruismorganisationer inom tolv veckor efter mottagandet av ansökan om registrering. Registreringen ska gälla i alla medlemsstater.

Den behöriga myndigheten för registrering av dataaltruismorganisationer ska underrätta kommissionen om alla registreringar. Kommissionen ska föra in registreringarna i det offentliga unionsregistret över erkända dataaltruismorganisationer.

6.   De uppgifter som avses i punkt 4 a, b, f, g och h ska offentliggöras i det relevanta offentliga nationella registret över erkända dataaltruismorganisationer.

7.   En erkänd dataaltruismorganisation ska underrätta den relevanta behöriga myndigheten för registrering av dataaltruismorganisationer om alla ändringar av de uppgifter som tillhandahållits i enlighet med punkt 4 inom 14 dagar från dagen för ändringen.

Den behöriga myndigheten för registrering av dataaltruismorganisationer ska utan dröjsmål underrätta kommissionen om varje sådan underrättelse på elektronisk väg. På grundval av en sådan underrättelse ska kommissionen utan dröjsmål uppdatera det offentliga unionsregistret över erkända dataaltruismorganisationer.

Artikel 20

Transparenskrav

1.   En erkänd dataaltruismorganisation ska föra fullständiga och noggranna register över

a)

alla fysiska eller juridiska personer som getts möjlighet att behandla data som innehas av den erkända dataaltruismorganisationen, och deras kontaktuppgifter,

b)

datum eller varaktighet för behandlingen av personuppgifter eller användning av icke-personuppgifter,

c)

behandlingens ändamål som det angetts av den fysiska eller juridiska person som getts möjlighet till behandling,

d)

avgifter som betalas av fysiska eller juridiska personer som behandlar data, i förekommande fall.

2.   En erkänd dataaltruismorganisation ska utarbeta och till den relevanta behöriga myndigheten för registrering av dataaltruismorganisationer sända en årlig verksamhetsrapport som ska innehålla minst följande:

a)

Information om den erkända dataaltruismorganisationens verksamhet.

b)

En beskrivning av hur de mål av allmänt intresse som föranledde insamlingen av data har främjats under det aktuella budgetåret.

c)

En förteckning över alla fysiska och juridiska personer som tillåtits att behandla de data som enheten innehar, inbegripet en sammanfattande beskrivning av de mål av allmänt intresse som är tänkta att uppnås genom sådan databehandling och en beskrivning av de tekniska metoder som använts, inbegripet en beskrivning av de tekniker som använts för skyddet av personlig integritet och dataskydd.

d)

En sammanfattning av resultaten av de databehandlingar som tillåtits av den erkända dataaltruismorganisationen, i förekommande fall.

e)

Information om den erkända dataaltruismorganisationens inkomstkällor, i synnerhet alla intäkter från beviljandet av tillgång till data, och om utgifter.

Artikel 21

Särskilda krav för att skydda de registrerades och datainnehavarnas rättigheter och intressen när det gäller deras data

1.   En erkänd dataaltruismorganisation ska på ett klart och lättbegripligt sätt underrätta registrerade eller datainnehavare innan deras data behandlas

a)

om de mål av allmänt intresse och, om tillämpligt, de särskilda, uttryckligt angivna och berättigade ändamål för vilka personuppgifter ska behandlas, och för vilka den tillåter att deras data behandlas av dataanvändare, och

b)

om lokaliseringen och målen av allmänt intresse i fråga om vilka den tillåter behandling som utförs i ett tredjeland, om behandlingen utförs av den erkända dataaltruismorganisationen.

2.   Den erkända dataaltruismorganisationen får inte använda data för några andra mål än de mål av allmänt intresse för vilka den registrerade eller datainnehavaren tillåter behandling. Den erkända dataaltruismorganisationen får inte använda vilseledande marknadsföringsmetoder i samband med förfrågan om tillhandahållande av data.

3.   Den erkända dataaltruismorganisationen ska tillhandahålla verktyg för inhämtande av samtycke från registrerade eller tillstånd att behandla data som datainnehavare har gjort tillgängliga. Den erkända dataaltruismorganisationen ska också tillhandahålla verktyg för enkelt återkallande av sådant samtycke eller tillstånd.

4.   Den erkända dataaltruismorganisationen ska vidta åtgärder för att säkerställa en lämplig säkerhetsnivå för lagringen och behandlingen av icke-personuppgifter som den har samlat in på grundval av dataaltruism.

5.   Den erkända dataaltruismorganisationen ska utan dröjsmål informera datainnehavarna vid otillåten överföring av, tillgång till eller användning av icke-personuppgifter som den har delat.

6.   Om den erkända dataaltruismorganisationen underlättar tredjeparters behandling av data, bland annat genom att tillhandahålla verktyg för att erhålla de registrerades samtycke eller erhålla tillstånd att behandla data som tillhandhålls av datainnehavare, ska den i relevanta fall, ange inom vilken tredjelandsjurisdiktion som dataanvändningen är avsedd att äga rum.

Artikel 22

Regelbok

1.   Kommissionen ska anta delegerade akter i enlighet med artikel 32 med avseende på att komplettera denna förordning genom skapandet av en regelbok som fastställer

a)

lämpliga informationskrav som säkerställer att registrerade och datainnehavare, innan ett samtycke eller tillstånd för dataaltruism ges, tillhandahålls tillräckligt utförlig, tydlig och transparent information om användningen av data, verktygen för givande och återkallande av samtycke eller tillstånd och de åtgärder som vidtagits för att undvika missbruk av de data som delas med dataaltruismorganisationen,

b)

lämpliga tekniska och säkerhetsmässiga krav för att säkerställa en lämplig nivå av säkerhet för lagringen och behandlingen av data samt för verktygen för givande och återkallande av samtycke eller tillstånd,

c)

kommunikationsfärdplaner med multidisciplinär ansats för att öka medvetenheten om dataaltruism, om erhållen status som ”dataaltruismorganisation som är erkänd i unionen” och om regelboken bland berörda parter, särskilt datainnehavare och registrerade som kan tänka sig att dela med sig av sina data,

d)

rekommendationer om relevanta interoperabilitetsstandarder.

2.   Den regelbok som avses i punkt 1 ska utarbetas i nära samarbete med dataaltruismorganisationer och berörda parter.

Artikel 23

Behöriga myndigheter för registrering av dataaltruismorganisationer

1.   Varje medlemsstat ska utse en eller flera behöriga myndigheter som ansvarar för dess offentliga nationella register av erkända dataaltruismorganisationer.

De behöriga myndigheterna för registrering av dataaltruismorganisationer ska uppfylla de krav som anges i artikel 26.

2.   Varje medlemsstat ska underrätta kommissionen om identiteten på sina behöriga myndigheter för registrering av dataaltruismorganisationers identitet senast den 24 september 2023. Varje medlemsstat ska även underrätta kommissionen om alla eventuella senare ändringar av dessa behöriga myndigheters identitet

3.   Den behöriga myndigheten för registrering av dataaltruismorganisationer i en medlemsstat ska utföra sina uppgifter i samarbete med den relevanta dataskyddsmyndigheten, när dessa uppgifter rör behandlingen av personuppgifter, och med relevanta sektorsmyndigheterna i den medlemsstaten.

Artikel 24

Övervakning av efterlevnaden

1.   De behöriga myndigheterna för registrering av dataaltruismorganisationer ska övervaka och utöva tillsyn över att erkända dataaltruismorganisationer uppfyller de krav som fastställs i detta kapitel. Den behöriga myndigheten för registrering av dataaltruismorganisationer får även övervaka och utöva tillsyn över sådana erkända dataaltruismorganisationers efterlevnad på grundval av en begäran från en fysisk eller juridisk person.

2.   De behöriga myndigheterna för registrering av dataaltruismorganisationer ska ha befogenhet att från erkända dataaltruismorganisationer begära sådan information som är nödvändig för att kontrollera att kraven i detta kapitel följs. Varje begäran om information ska stå i proportion till uppgiftens utförande och innehålla en motivering.

3.   I de fall då den behöriga myndigheten för registrering av dataaltruismorganisationer finner att en erkänd dataaltruismorganisation inte uppfyller ett eller flera av kraven i detta kapitel ska den meddela den erkända dataaltruismorganisationen dessa iakttagelser och ge den möjlighet att yttra sig, inom 30 dagar efter mottagandet av meddelandet.

4.   Den behöriga myndigheten för registrering av dataaltruismorganisationer ska ha befogenhet att kräva att den överträdelse som avses i punkt 3 upphör, antingen omedelbart eller inom en rimlig tidsperiod, och ska vidta ändamålsenliga och proportionella åtgärder för att säkerställa efterlevnaden.

5.   Om en erkänd dataaltruismorganisation inte uppfyller ett eller flera krav i detta kapitel ens efter att den i enlighet med punkt 3 har underrättats av den behöriga myndigheten för registrering av dataaltruismorganisationer, ska den erkända dataaltruismorganisationen

a)

förlora sin rätt att använda beteckningen ”dataaltruismorganisation som är erkänd i unionen” i sin skriftliga och muntliga kommunikation,

b)

avlägsnas från det relevanta offentliga nationella registret över erkända dataaltruismorganisationer och det offentliga unionsregistret över erkända dataaltruismorganisationer.

Ett beslut om att återkalla rätten att använda beteckningen ”dataaltruismorganisation om är erkänd i unionen” enligt första stycket led a ska offentliggöras av den behöriga myndigheten för registrering av dataaltruismorganisationer.

6.   Om en enhet som registreras i det offentliga nationella registret över erkända dataaltruismorganisationer har sitt huvudsakliga verksamhetsställe eller sin rättsliga företrädare i en medlemsstat, men är aktiv i andra medlemsstater, ska den behöriga myndigheten för registrering av dataaltruismorganisationer i den medlemsstat där det huvudsakliga verksamhetsstället är beläget eller där den rättsliga företrädaren är lokaliserad och de behöriga myndigheterna för registrering av dataaltruismorganisationer i dessa andra medlemsstater samarbeta och bistå varandra. Detta bistånd och samarbete får omfatta informationsutbyte mellan de berörda behöriga myndigheterna för registrering av dataaltruismorganisationer för utförande av deras uppgifter inom ramen för denna förordning och motiverade begäranden om att de åtgärder som avses denna artikel ska vidtas.

Om en behörig myndighet för registrering av dataaltruismorganisationer i en medlemsstat begär bistånd från en behörig myndighet för registrering av dataaltruismorganisationer i en annan medlemsstat ska den lämna en motiverad begäran. Den behöriga myndigheten för registrering av dataaltruismorganisationer ska i fall av en sådan begäran svara på denna utan dröjsmål och inom en tidsram som står i proportion till hur brådskande begäran är.

All information som utbyts inom ramen för assistans som begärs och tillhandahålls enligt denna punkt får användas endast med avseende på det ärende för vilket den har begärts.

Artikel 25

Europeiskt formulär för samtycke till dataaltruism

1.   För att främja insamling av data baserat på dataaltruism ska kommissionen anta genomförandeakter om upprättande och utarbetande av ett europeiskt formulär för samtycke till dataaltruism, efter samråd med Europeiska dataskyddsstyrelsen och med beaktande av rådgivning från Europeiska datainnovationsstyrelsen samt med vederbörligt deltagande av berörda parter. Detta formulär ska göra det möjligt att erhålla samtycke eller tillstånd i alla medlemsstater och i ett enhetligt format. Dessa genomförandeakter ska antas i enlighet med det rådgivande förfarande som avses i artikel 33.2.

2.   Det europeiska formuläret för samtycke till dataaltruism ska baseras på moduler, så att det kan anpassas till enskilda sektorer och olika syften.

3.   När personuppgifter tillhandahålls ska det europeiska formuläret för samtycke till dataaltruism säkerställa att de registrerade kan ge och dra tillbaka sitt samtycke till en specifik databehandlingsoperation i enlighet med kraven i förordning (EU) 2016/679.

4.   Formuläret ska tillhandahållas på ett sådant sätt att det kan tryckas på papper, är lättförståeligt och även finns i elektronisk, maskinläsbar form.

KAPITEL V

Behöriga myndigheter och förfarandebestämmelser

Artikel 26

Krav på behöriga myndigheter

1.   De behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer ska vara juridiskt åtskilda från, och funktionellt oberoende av, alla leverantörer av dataförmedlingstjänster eller erkända dataaltruismorganisationer. Funktionerna för de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer får utföras av samma myndighet. Medlemsstaterna får antingen inrätta en eller flera nya myndigheter eller förlita sig på befintliga myndigheter.

2.   De behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer ska utföra sina uppgifter på ett opartiskt, transparent, konsekvent och tillförlitligt sätt och utan dröjsmål. När de utför sina uppgifter ska de skydda rättvis konkurrens och icke-diskriminering.

3.   De ledande befattningshavarna och personalen som ansvarar för att utföra de berörda uppgifterna hos de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer får inte vara personer som utformar, tillverkar, tillhandahåller, installerar, köper in, äger, använder eller underhåller de tjänster som de bedömer, och inte heller vara auktoriserade företrädare eller ombud för någon av dessa parter. Detta ska dock inte hindra en användning av bedömda tjänster som är nödvändig för verksamheten vid de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer eller en användning av sådana tjänster för personliga ändamål.

4.   De ledande befattningshavarna och personalen vid de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer får inte delta i någon verksamhet som kan påverka deras objektivitet och integritet i samband med de bedömningar av verksamhet som de anförtrotts att göra.

5.   De behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer ska ha tillräckliga ekonomiska resurser och personalresurser till sitt förfogande för att utföra de uppgifter som de anförtrotts, inbegripet de nödvändiga tekniska kunskaperna och resurserna.

6.   De behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer i en medlemsstat ska, på motiverad begäran och utan dröjsmål, förse kommissionen och de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer från andra medlemsstater med den information som dessa behöver för att utföra sina uppgifter enligt denna förordning. Om en behörig myndighet för dataförmedlingstjänster eller en behörig myndighet för registrering av dataaltruismorganisationer anser att den begärda informationen är konfidentiell i enlighet med unionsrätten och nationell rätt om affärshemligheter och tystnadsplikt, ska kommissionen och andra berörda behöriga myndigheter för dataförmedlingstjänster eller behöriga myndigheter för registrering av dataaltruismorganisationer säkerställa sådan konfidentiell behandling.

Artikel 27

Rätt att lämna in klagomål

1.   Fysiska och juridiska personer ska, avseende frågor som omfattas av tillämpningsområdet för denna förordning, ha rätt att inkomma med klagomål, individuellt eller i relevanta fall kollektivt, till den berörda a behöriga myndigheten för dataförmedlingstjänster mot en leverantör av dataförmedlingstjänster eller till den behöriga myndigheten för registrering av dataaltruismorganisationer mot en erkänd dataaltruismorganisation.

2.   Den behöriga myndigheten för dataförmedlingstjänster eller den behöriga myndigheten för registrering av dataaltruismorganisationer till vilket klagomålet har lämnats in ska underrätta den klagande om

a)

hur förfarandet fortskrider och vilket beslut som fattats, och

b)

rättsmedel enligt artikel 28.

Artikel 28

Rätten till ett effektivt rättsmedel

1.   Utan att det påverkar administrativa rättsmedel eller andra prövningsförfaranden utanför domstol, ska berörda fysiska och juridiska personer ha rätt till effektiva rättsmedel avseende rättsligt bindande beslut som avses i artikel 14 och som fattats av de behöriga myndigheterna för dataförmedlingstjänster i samband med hantering, övervakning och kontroll av efterlevnaden av anmälningsordningen för leverantörer av dataförmedlingstjänster och rättsligt bindande beslut som avses i artiklarna 19 och 24 som fattas av de behöriga myndigheterna för registrering av dataaltruismorganisationer i samband med övervakningen av erkända dataaltruismorganisationer.

2.   Förfaranden enligt denna artikel ska inledas vid domstolarna i den medlemsstat där den behöriga myndigheten för dataförmedlingstjänster eller den behöriga myndigheten för registrering av dataaltruismorganisationer som rättsmedlen avser är belägen, antingen individuellt eller, i förekommande fall kollektivt, av företrädare för en eller flera fysiska eller juridiska personer.

3.   Om en behörig myndighet för dataförmedlingstjänster eller en behörig myndighet för registrering av dataaltruismorganisationer underlåter att vidta åtgärder med avseende på ett klagomål ska berörda fysiska och juridiska personer, i enlighet med nationell rätt, antingen ha rätt till ett effektivt rättsmedel eller tillgång till omprövning av en opartisk myndighet som besitter lämplig sakkunskap.

KAPITEL VI

Europeiska datainnovationsstyrelsen

Artikel 29

Europeiska datainnovationsstyrelsen

1.   Kommissionen ska inrätta en europeisk datainnovationsstyrelse i form av en expertgrupp som består av företrädare för de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer i alla medlemsstater, Europeiska dataskyddsstyrelsen, Europeiska datatillsynsmannen, Enisa, kommissionen, EU-företrädaren för små och medelstora företag eller en företrädare utsedd av nätverket av företrädare för små och medelstora företag och andra företrädare för relevanta organ inom enskilda sektorer samt organ med specifik sakkunskap. I sin utnämning av enskilda experter ska kommissionen sträva efter att uppnå jämn könsfördelning och geografisk balans bland medlemmarna av expertgruppen.

2.   Europeiska datainnovationsstyrelsen ska bestå av minst följande tre undergrupper:

a)

en undergrupp bestående av de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer, som är avsedd att utföra uppgifterna enligt artikel 30 a, c, j och k,

b)

en undergrupp för tekniska diskussioner om standardisering, portabilitet och interoperabilitet i enlighet med artikel 30 f och g,

c)

en undergrupp för deltagande av berörda parter bestående av relevanta företrädare från näringslivet, forskningsvärlden, den akademiska världen, civilsamhället, standardiseringsorganisationer, berörda gemensamma europeiska dataområden och andra berörda intressenter och tredje parter som ger råd till Europeiska datainnovationsstyrelsen om uppgifter i enlighet med artikel 30 d, e, f, g och h.

3.   Kommissionen ska vara ordförande vid Europeiska datainnovationsstyrelsens sammanträden.

4.   Europeiska datainnovationsstyrelsen ska bistås av ett sekretariat som tillhandahålls av kommissionen.

Artikel 30

Europeiska datainnovationsstyrelsens uppgifter

Europeiska datainnovationsstyrelsen ska ha följande uppgifter:

a)

Att rådge och bistå kommissionen när det gäller utarbetandet av en konsekvent praxis för offentliga myndigheter och behöriga organ enligt 7.1 vid behandlingen av ansökningar om vidareutnyttjande av de kategorier av data som avses i artikel 3.1.

b)

Att rådge och bistå kommissionen när det gäller utvecklingen av en enhetlig praxis för dataaltruism i hela unionen.

c)

Att rådge och bistå kommissionen när det gäller utarbetandet av en konsekvent praxis för de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registreringen av dataaltruismorganisationer vad gäller tillämpningen av krav för leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer.

d)

Att rådge och bistå kommissionen när det gäller utarbetandet av konsekventa riktlinjer för hur man inom ramen för denna förordning bäst ska skydda kommersiellt känsliga data som inte är personuppgifter, särskilt företagshemligheter, men även icke-personuppgifter med immaterialrättsligt skyddat innehåll, mot olaglig åtkomst med risker för stöld av immateriella rättigheter eller industrispionage.

e)

Att rådge och bistå kommissionen när det gäller utarbetandet av konsekventa riktlinjer för cybersäkerhetskrav vid utbyte och lagring av data.

f)

Att rådge kommissionen, särskilt med hänsyn till bidrag från standardiseringsorganisationer, om prioriteringsordningen för sektorsövergripande standarder som ska användas och utvecklas för dataanvändning och sektorsöverskridande datadelning mellan framväxande gemensamma europeiska dataområden, sektorsöverskridande jämförelse och utbyte av bästa praxis när det gäller sektorskrav avseende säkerhet samt förfaranden för tillgång, med beaktande av sektorsspecifik standardiseringsverksamhet, framför allt för att klarlägga och särskilja vilka standarder och praxisformer som är sektorsöverskridande och vilka som är sektorsspecifika.

g)

Att bistå kommissionen, särskilt med hänsyn till bidrag från standardiseringsorganisationer, med att ta itu med fragmenteringen av den inre marknaden och av dataekonomin på den inre marknaden genom att förbättra den gränsöverskridande, sektorsövergripande interoperabiliteten för data och datadelningstjänster mellan olika sektorer och områden, baserat på befintliga europeiska, internationella eller nationella standarder, bland annat med syftet att uppmuntra inrättandet av gemensamma europeiska dataområden.

h)

Att föreslå riktlinjer för gemensamma europeiska dataområden, nämligen ändamåls- eller sektorsspecifika eller sektoröverskridande interoperabla ramar med allmänna standarder och praxisformer för delning eller gemensam behandling av data bl.a. för utveckling av nya produkter och tjänster, vetenskaplig forskning eller civilsamhällsinitiativ, sådana allmänna standarder och praxisformer tar hänsyn till befintliga standarder, följer konkurrensreglerna och säkerställer icke-diskriminerande tillgång för alla deltagare, för att underlätta datadelning i unionen och utnyttja potentialen i befintliga och framtida dataområden, som bland annat tar upp

i)

sektorsövergripande standarder som ska användas och utvecklas för dataanvändning och sektorsöverskridande datadelning, sektorsöverskridande jämförelse och utbyte av bästa praxis när det gäller sektorskrav avseende säkerhet samt förfaranden för tillgång, med beaktande av sektorsspecifik standardiseringsverksamhet, framför allt för att klarlägga och särskilja vilka standarder och praxisformer som är sektorsöverskridande och vilka som är sektorsspecifika,

ii)

krav för att motverka hinder för marknadstillträde och för att undvika inlåsningseffekter, i syfte att säkerställa rättvis konkurrens och interoperabilitet,

iii)

tillräckligt skydd för lagliga dataöverföringar till tredjeländer, däribland skyddsåtgärder mot överföringar som är förbjudna enligt unionsrätten,

iv)

tillräcklig och icke-diskriminerande representation av berörda parter i förvaltningen av gemensamma europeiska dataområden,

v)

efterlevnad av cybersäkerhetskrav i enlighet med unionsrätten.

i)

Att underlätta samarbetet mellan medlemsstaterna om fastställandet av harmoniserade villkor som möjliggör vidareutnyttjande av de kategorier av data som avses i artikel 3.1 och som innehas av offentliga myndigheter överallt på den inre marknaden.

j)

Att underlätta samarbetet mellan behöriga myndigheter för dataförmedlingstjänster och behöriga myndigheter för registrering av dataaltruismorganisationer, genom kapacitetsuppbyggnad och informationsutbyte, i synnerhet genom att fastställa metoder för ett effektivt utbyte av information som rör förfarandet för anmälan av leverantörer av dataförmedlingstjänster och registreringen och övervakningen av erkända dataaltruismorganisationer, inbegripet samordning avseende fastställande av avgifter eller sanktioner, samt underlätta samarbetet mellan behöriga myndigheter för dataförmedlingstjänster och behöriga myndigheter för registrering av dataaltruismorganisationer avseende internationell tillgång till och överföring av data.

k)

Att rådge och bistå kommissionen när det gäller utvärderingen av huruvida de genomförandeakter som avses i artikel 5.11 och 5.12 ska antas.

l)

Att rådge och bistå kommissionen när det gäller utarbetande av det europeiska formuläret för samtycke till dataaltruism i enlighet med artikel 25.1.

m)

Att rådge kommissionen om förbättring av det internationella regelverket för icke-personuppgifter, inbegripet standardisering.

KAPITEL VII

internationell tillgång och överföring

Artikel 31

Internationell tillgång och överföring

1.   Den offentliga myndighet, den fysiska eller juridiska person som beviljats rätt att vidareutnyttja data i enlighet med kapitel II, leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen ska vidta alla rimliga tekniska, rättsliga och organisatoriska åtgärder, inbegripet kontraktsmässiga arrangemang, för att förhindra internationell överföring av eller statlig tillgång till icke-personuppgifter som innehas i unionen, om en sådan överföring eller tillgång skulle strida mot unionsrätten eller den nationella rätten i den berörda medlemsstaten, utan att detta påverkar punkt 2 eller 3.

2.   Beslut eller domar från en domstol i ett tredje land och beslut från förvaltningsmyndigheter i ett tredjeland där det krävs att en offentlig myndighet, en fysisk eller juridisk person som beviljas rätten att vidareutnyttja data i enlighet med kapitel II, en leverantör av dataförmedlingstjänster eller en erkänd dataaltruismorganisation överför icke-personuppgifter som omfattas av tillämpningsområdet för denna förordning från unionen eller ger tillgång till sådana icke-personuppgifter som innehas i unionen får endast erkännas eller genomföras på något som helst sätt om det grundar sig på en internationell överenskommelse, såsom ett fördrag om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen, eller ett sådant avtal mellan det begärande tredjelandet och en medlemsstat.

3.   I de fall då, i avsaknad av en internationell överenskommelse som avses i punkt 2 i denna artikel, en offentlig myndighet, en fysisk eller juridisk person som i enlighet med kapitel II beviljats rättigheten att vidareutnyttja data, en leverantör av dataförmedlingstjänster eller en erkänd dataaltruismorganisation är adressat för ett beslut eller en dom från en domstol i ett tredje land eller ett beslut från en förvaltningsmyndighet i ett tredjeland om att överföra icke-personuppgifter som omfattas av tillämpningsområdet för denna förordning från unionen eller ge tillgång till sådana icke-personuppgifter som innehas i unionen, och efterlevnaden av ett sådant beslut skulle riskera att medföra att adressaten bryter mot unionsrätten eller den nationella rätten i den berörda medlemsstaten, ska tredjelandsmyndighetens överföring av eller tillgång till sådana data endast äga rum om:

a)

tredjelandets system kräver att skälen till och proportionaliteten hos sådana beslut eller domar ska fastställas, och föreskriver att sådana beslut eller domar är av specifik art, exempelvis genom att det fastställs en tillräckligt stark koppling till vissa misstänkta personer eller till överträdelser,

b)

adressatens motiverade invändning är föremål för en granskning av en behörig domstol i tredjelandet, och

c)

den behöriga domstol i tredjelandet som utfärdar beslutet eller domen eller granskar en förvaltningsmyndighets beslut enligt det tredjelandets rätt har befogenhet att ta vederbörlig hänsyn till de relevanta rättsliga intressena för leverantören av de data som skyddas av unionsrätten eller den nationella rätten i den berörda medlemsstaten.

4.   Om de villkor som fastställs i punkterna 2 och 3 är uppfyllda ska den offentliga myndigheten, den fysiska eller juridiska person som beviljats rätt att vidareutnyttja data i enlighet med kapitel II, leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen tillhandahålla den minimimängd data som är tillåten till följd av en begäran, baserat på en rimlig tolkning av denna begäran.

5.   Den offentliga myndigheten, den fysiska eller juridiska person som i enlighet med kapitel II beviljats rättigheten att vidareutnyttja data, leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen ska underrätta datainnehavaren om förekomsten av en begäran från en förvaltningsmyndighet i ett tredjeland om att få tillgång till dess data, innan den tillmötesgår den begäran, förutom då denna begäran avser brottsbekämpande ändamål och så länge som detta är nödvändigt för att skydda brottsbekämpningens effektivitet.

KAPITEL VIII

Delegering och kommittéförfarande

Artikel 32

Utövande av delegeringen

1.   Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.   Den befogenhet att anta delegerade akter som avses i artiklarna 5.13 och 22.1 ges till kommissionen tills vidare från och med den 23 juni 2022.

3.   Den delegering av befogenhet som avses i artiklarna 5.13 och 22.1 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.   Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.   Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

6.   En delegerad akt som antas enligt artikel 5.13 eller 22.1 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

Artikel 33

Kommittéförfarande

1.   Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.   När det hänvisas till denna punkt ska artikel 4 i förordning (EU) nr 182/2011 tillämpas.

3.   När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

KAPITEL IX

Slut- och övergångsbestämmelser

Artikel 34

Sanktioner

1.   Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av skyldigheterna om överföring av icke-personuppgifter till tredjeländer enligt artiklarna 5.14 och 31, anmälningsskyldigheten för leverantörer av dataförmedlingstjänster enligt artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 och villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18, 20, 21 och 22 och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska i sina regler om sanktioner ta hänsyn till Europeiska datainnovationsstyrelsens rekommendationer. Medlemsstaterna ska till kommissionen anmäla dessa regler och åtgärder senast den 24 september 2023 samt utan dröjsmål eventuella ändringar som berör dem.

2.   Medlemsstaterna ska i lämpliga fall beakta följande icke-uttömmande och vägledande kriterier för utdömande av sanktioner för leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer vid överträdelser av denna förordning:

a)

Överträdelsens art, allvar, omfattning och varaktighet.

b)

Eventuella åtgärder som leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen vidtagit för att begränsa eller avhjälpa den skada som överträdelsen har orsakat.

c)

Eventuella tidigare överträdelser som leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen har gjort sig skyldig till.

d)

De ekonomiska vinster som leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen gjort eller de förluster som de undvikit till följd av överträdelsen, i den mån sådana vinster eller förluster på ett tillförlitligt sätt kan fastställas.

e)

Eventuella andra försvårande eller förmildrande omständigheter som är tillämpliga på ärendet.

Artikel 35

Utvärdering och översyn

Kommissionen ska senast den 24 september 2025 genomföra en utvärdering av denna förordning och lämna en rapport om de viktigaste resultaten till Europaparlamentet, rådet och Europeiska ekonomiska och sociala kommittén. Rapporten ska vid behov åtföljas av lagstiftningsförslag.

I rapporten ska särskilt följande bedömas:

a)

Tillämpningen av och funktionssättet för de regler om sanktioner som medlemsstaterna fastställt i enlighet med artikel 34.

b)

I vilken utsträckning de rättsliga företrädarna för leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer som inte är etablerade i unionen efterlever denna förordning, och i vilken utsträckning de sanktioner som åläggs är verkställbara på dessa leverantörer och organisationer.

c)

Vilken typ av dataaltruismorganisationer som registrerats i enlighet med kapitel IV, samt en översikt av för vilka mål av allmänt intresse datadelning förekommer, för att tydliga kriterier för detta ska kunna fastställas.

Medlemsstaterna ska förse kommissionen med de uppgifter som är nödvändiga för att utarbeta den rapporten.

Artikel 36

Ändring av förordning (EU) 2018/1724

I tabellen i bilaga II till förordning (EU) 2018/1724 ska posten ”Starta företag och bedriva affärsverksamhet” ersättas med följande:

Livshändelser

Förfaranden

Förväntat resultat med förbehåll för den behöriga myndighetens bedömning av ansökan i enlighet med nationell rätt, där så är relevant

Starta företag och bedriva affärsverksamhet

Anmälan av affärsverksamhet, tillstånd för affärsverksamhet, ändring av affärsverksamhet och avslutande av affärsverksamhet utan insolvens- eller likvidationsförfaranden, undantaget inledande registrering av affärsverksamhet i företagsregistret och undantaget förfaranden för bildande eller senare anmälan av bolag i den mening som avses i artikel 54 andra stycket i EUF-fördraget

Bekräftelse på mottagande av anmälan eller ändring av – eller av ansökan om tillstånd för – affärsverksamhet

 

Registrera en arbetsgivare (en fysisk person) i ett obligatoriskt pensions- och försäkringssystem

Bekräftelse på registrering eller socialförsäkringsnummer

Registrera anställda i ett obligatoriskt pensions- och försäkringssystem

Bekräftelse på registrering eller socialförsäkringsnummer

Lämna in en bolagsskattedeklaration

Bekräftelse på mottagande av deklarationen

Meddela socialförsäkringssystemet när en anställds kontrakt avslutas, dock ej förfaranden för kollektivt avslutande av anställningskontrakt

Bekräftelse på mottagande av meddelandet

Betala sociala avgifter för anställda

Kvitto eller annan form av bekräftelse på betalningen av sociala avgifter för anställda

Anmälan som leverantör av dataförmedlingstjänster

Bekräftelse på mottagande av anmälan

Registrering som dataaltruismorganisation som är erkänd i unionen

Bekräftelse av registreringen

Artikel 37

Övergångsbestämmelser

Enheter som tillhandahåller de dataförmedlingstjänster som avses i artikel 10 den 23 juni 2022 ska fullgöra de skyldigheter som fastställs i kapitel III senast den 24 september 2025.

Artikel 38

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 24 september 2023.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 30 maj 2022.

På Europaparlamentets vägnar

R. METSOLA

Ordförande

På rådets vägnar

B. LE MAIRE

Ordförande


(1)   EUT C 286, 16.7.2021, s. 38.

(2)  Europaparlamentets ståndpunkt av den 6 april 2022 (ännu inte offentliggjord i EUT) och rådets beslut av den 16 maj 2022.

(3)  Kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36).

(4)  Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

(5)  Europaparlamentets och rådets förordning (EU) 2019/1239 av den 20 juni 2019 om inrättande av en europeisk kontaktpunkt för sjöfart och om upphävande av direktiv 2010/65/EU (EUT L 198, 25.7.2019, s. 64).

(6)  Europaparlamentets och rådets förordning (EU) 2020/1056 av den 15 juli 2020 om elektronisk godstransportinformation (EUT L 249, 31.7.2020, s. 33).

(7)  Europaparlamentets och rådets direktiv 2010/40/EU av den 7 juli 2010 om ett ramverk för införande av intelligenta transportsystem på vägtransportområdet och för gränssnitt mot andra transportslag (EUT L 207, 6.8.2010, s. 1).

(8)  Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).

(9)  Europaparlamentets och rådets förordning (EU) 2018/858 av den 30 maj 2018 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG (EUT L 151, 14.6.2018, s. 1).

(10)  Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (EUT L 303, 28.11.2018, s. 59).

(11)  Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

(12)  Europaparlamentets och rådets direktiv 2001/29/EG av den 22 maj 2001 om harmonisering av vissa aspekter av upphovsrätt och närstående rättigheter i informationssamhället (EGT L 167, 22.6.2001, s. 10).

(13)  Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter (EUT L 157, 30.4.2004, s. 45).

(14)  Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire) (EUT L 108, 25.4.2007, s. 1).

(15)  Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 5.6.2015, s. 73).

(16)  Europaparlamentets och rådets direktiv (EU) 2016/943 av den 8 juni 2016 om skydd mot att icke röjd know-how och företagsinformation (företagshemligheter) olagligen anskaffas, utnyttjas och röjs (EUT L 157, 15.6.2016, s. 1).

(17)  Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt (EUT L 169, 30.6.2017, s. 46).

(18)  Europaparlamentets och rådets direktiv (EU) 2019/790 av den 17 april 2019 om upphovsrätt och närstående rättigheter på den digitala inre marknaden och om ändring av direktiven 96/9/EG och 2001/29/EG (EUT L 130, 17.5.2019, s. 92).

(19)  Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (EUT L 172, 26.6.2019, s. 56).

(20)  Europaparlamentets och rådets direktiv 2009/81/EG av den 13 juli 2009 om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet och om ändring av direktiven 2004/17/EG och 2004/18/EG (EUT L 216, 20.8.2009, s. 76).

(21)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(22)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(23)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(24)  Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(25)  Kommissionens förordning (EU) nr 557/2013 av den 17 juni 2013 om tillämpning av Europaparlamentets och rådets förordning (EG) nr 223/2009 om europeisk statistik vad gäller tillgång till konfidentiella uppgifter för vetenskapliga syften och om upphävande av kommissionens förordning (EG) nr 831/2002 (EUT L 164, 18.6.2013, s. 16).

(26)  Europaparlamentets och rådets direktiv 96/9/EG av den 11 mars 1996 om rättsligt skydd för databaser (EGT L 77, 27.3.1996, s. 20).

(27)  Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84).

(28)  Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

(29)  Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (EUT L 295, 21.11.2018, s. 1).

(30)   EUT L 123, 12.5.2016, s. 1.

(31)  Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(32)  Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer (EUT L 327, 2.12.2016, s. 1).

(33)  Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (EUT L 151, 7.6.2019, s. 70).


Top