(1)

I enlighet med fördraget om Europeiska unionens funktionssätt (EUF-fördraget) ska en inre marknad inrättas och en ordning skapas som säkerställer att konkurrensen på den inre marknaden inte snedvrids. Fastställande av gemensamma regler och gemensam praxis i medlemsstaterna för utformning av en ram för dataförvaltning bör bidra till att dessa mål uppnås, samtidigt som grundläggande rättigheter respekteras fullt ut. Förstärkningen av unionens öppna strategiska oberoende bör också garanteras och ett internationellt fritt dataflöde samtidigt främjas.

(2)

Under det senaste årtiondet har den digitala tekniken förändrat ekonomin och samhället genom sin inverkan på alla verksamhetssektorer och det dagliga livet. I centrum för den omvandlingen står data: datadriven innovation kommer att medföra enorma fördelar för både unionsmedborgare och ekonomin, till exempel genom förbättrad medicin och precisionsmedicin, genom tillhandahållande av ny mobilitet och genom dess bidrag till kommissionens meddelande av den 11 december 2019 om den europeiska gröna given. För att göra den datadrivna ekonomin inkluderande för alla unionsmedborgare måste särskild uppmärksamhet ägnas åt att minska den digitala klyftan, stimulera kvinnors deltagande i dataekonomin och främja europeisk spetskompetens inom tekniksektorn. Dataekonomin måste byggas på ett sätt som möjliggör välmående företag, särskilt mikroföretag och små och medelstora företag enligt definitionen i bilagan till kommissionens rekommendation 2003/361/EG (3) samt nystartade företag, där neutral dataåtkomst, dataportabilitet och interoperabilitet säkerställs och inlåsningseffekter undviks. I sitt meddelande av den 19 februari 2020 om en EU-strategi för data (EU-strategin för data) beskrev kommissionen visionen om ett gemensamt europeiskt dataområde, som innebär en inre marknad för data, där data kan användas i enlighet med gällande lagstiftning oavsett var i unionen de fysiskt lagras, vilket bland annat skulle kunna vara avgörande för den snabba utvecklingen av teknik för artificiell intelligens.

Kommissionen efterlyste också ett fritt och säkert dataflöde med tredjeländer, med undantag och inskränkningar som rör allmän säkerhet, allmän ordning och andra legitima mål för unionens offentliga politik, i enlighet med internationella åtaganden, inbegripet om grundläggande rättigheter. För att förverkliga denna vision föreslog kommissionen att det inrättas domänspecifika gemensamma europeiska dataområden för datadelning och datapoolning. I EU-strategin för data föreslås att sådana gemensamma europeiska dataområden skulle kunna omfatta områden såsom hälsa, mobilitet, tillverkning, finansiella tjänster, energi eller jordbruk, eller en kombination av sådana områden, till exempel energi och klimat, samt tematiska områden såsom den europeiska gröna given eller europeiska dataområden för offentlig förvaltning eller kompetens. Gemensamma europeiska dataområden bör göra data sökbara, tillgängliga, interoperabla och möjliga att vidareutnyttja (Fairdataprinciperna) och samtidigt säkerställa en hög nivå på cybersäkerheten. När det råder likvärdiga förutsättningar i dataekonomin konkurrerar företagen om tjänsternas kvalitet, inte om mängden data som de kontrollerar. I syfte att utforma, skapa och behålla likvärdiga förutsättningar i dataekonomin behövs sund styrning där de berörda parterna i ett gemensamt europeiskt dataområde behöver samarbeta och vara representerade.

(3)

Det är nödvändigt att förbättra villkoren för datadelning på den inre marknaden genom att skapa en harmoniserad ram för utbyte av data och föreskriva vissa grundläggande krav på dataförvaltning, med särskild omsorg om att underlätta samarbetet mellan medlemsstaterna. Denna förordning bör syfta till att vidareutveckla den gränslösa digitala inre marknaden samt ett datasamhälle och en dataekonomi som ställer människan i centrum och präglas av förtroende och säkerhet. Genom sektorsspecifik unionsrätt kan, beroende på sektorns särdrag, nya och kompletterande delar utvecklas, anpassas och föreslås, såsom den planerade unionsrätten om det europeiska hälsodataområdet och om tillgång till fordonsdata. Dessutom regleras vissa sektorer av ekonomin redan av sektorsspecifik unionsrätt som omfattar regler om den gränsöverskridande eller unionsomfattande delningen av eller tillgången till data, till exempel Europaparlamentets och rådets direktiv 2011/24/EU (4) inom ramen för det europeiska hälsodataområdet, och relevanta lagstiftningsakter på transportområdet, till exempel Europaparlamentets och rådets förordningar (EU) 2019/1239 (5) och (EU) 2020/1056 (6) samt Europaparlamentets och rådets direktiv 2010/40/EU (7) inom ramen för det europeiska dataområdet för rörlighet.

Denna förordning bör därför inte påverka Europaparlamentets och rådets förordningar (EG) nr 223/2009 (8), (EU) 2018/858 (9) och (EU) 2018/1807 (10) samt direktiv 2000/31/EG (11), 2001/29/EG (12), 2004/48/EG (13), 2007/2/EG (14), 2010/40/EU, (EU) 2015/849 (15), (EU) 2016/943 (16), (EU) 2017/1132 (17), (EU) 2019/790 (18) och (EU) 2019/1024 (19) samt annan sektorsspecifik unionsrätt som reglerar tillgång till och vidareutnyttjande av data. Denna förordning bör inte påverka unionsrätten och nationell rätt om tillgången till och användningen av data för förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga påföljder och inte heller det internationella samarbetet i det sammanhanget.

Denna förordning bör inte påverka medlemsstaternas befogenheter när det gäller deras verksamhet som rör allmän säkerhet, försvar och nationell säkerhet. Vidareutnyttjandet av data som är skyddade av sådana skäl och innehas av offentliga myndigheter, inbegripet data från upphandlingsförfaranden som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv 2009/81/EG (20), bör inte omfattas av denna förordning. Ett övergripande system för vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter och tillhandahållande av dataförmedlingstjänster och tjänster baserade på dataaltruism i unionen bör inrättas. De olika sektorernas särdrag kan göra att det behöver skapas sektorsspecifika databaserade system, som samtidigt ska bygga på kraven i denna förordning. Leverantörer av dataförmedlingstjänster som uppfyller kraven i denna förordning bör kunna använda beteckningen ”leverantör av dataförmedlingstjänster som är erkända i unionen”. Juridiska personer som vill stödja mål av allmänt intresse genom att tillhandahålla relevanta data baserat på dataaltruism i större skala och som uppfyller de krav som fastställs i denna förordning, bör kunna registrera sig som och använda beteckningen ”dataaltruismorganisation som är erkänd i unionen”. Om sektorsspecifik unionsrätt eller nationell rätt kräver att offentliga myndigheter, sådana leverantörer av dataförmedlingstjänster eller sådana juridiska personer (erkända dataaltruismorganisationer) uppfyller specifika ytterligare tekniska, administrativa eller organisatoriska krav, däribland genom ett auktorisations- eller certifieringssystem, bör de bestämmelserna i den sektorsspecifika unionsrätten eller nationella rätten också gälla.

(4)

Denna förordning bör inte påverka tillämpningen av Europaparlamentets och rådets förordningar (EU) 2016/679 (21) och (EU) 2018/1725 (22) och av Europaparlamentets och rådets direktiv 2002/58/EG (23) och (EU) 2016/680 (24) samt motsvarande bestämmelser i nationell rätt, inbegripet då personuppgifter och andra data än personuppgifter i en datamängd är oupplösligt sammanlänkade. Den här förordningen bör i synnerhet inte tolkas som att den skapar en ny rättslig grund för behandling av personuppgifter för någon av de reglerade verksamheterna, eller ändrar de informationskrav som fastställs i förordning (EU) 2016/679. Genomförandet av den här förordningen bör inte förhindra gränsöverskridande överföringar av data i enlighet med kapitel V i förordning (EU) 2016/679. Om den här förordningen står i strid med unionsrätten om skydd av personuppgifter eller nationell rätt som antagits i enlighet med sådan unionsrätt bör relevant unionsrätt eller nationell rätt om skydd av personuppgifter ha företräde. Det bör vara möjligt att betrakta dataskyddsmyndigheter som behöriga myndigheter inom ramen för den här förordningen. Om andra myndigheter fungerar som behöriga myndigheter enligt den här förordningen bör de göra detta på ett sätt som inte påverkar dataskyddsmyndigheternas tillsynsbefogenheter och behörigheter enligt förordning (EU) 2016/679.

(5)

Åtgärder på unionsnivå är nödvändiga för att öka förtroendet för datadelning genom att inrätta lämpliga mekanismer för de registrerades och datainnehavares kontroll över data som avser dem och för att ta itu med andra hinder för en väl fungerande och konkurrenskraftig datadriven ekonomi. Dessa åtgärder bör inte påverka tillämpningen av skyldigheter och åtaganden enligt internationella handelsavtal som ingås av unionen. En unionsomfattande styrningsram bör syfta till att skapa förtroende bland enskilda personer och företag när det gäller tillgång till samt kontroll, delning, användning och vidareutnyttjande av data, särskilt genom att fastställa lämpliga mekanismer för att de registrerade ska känna till sina rättigheter och kunna utöva dem på ett meningsfullt sätt, och när det gäller vidareutnyttjande av vissa typer av data som innehas av offentliga myndigheter, tillhandahållande av tjänster från leverantörer av dataförmedlingstjänster till registrerade, datainnehavare och dataanvändare samt insamling och behandling av data som fysiska och juridiska personer gör tillgängliga för altruistiska ändamål. I synnerhet kan större öppenhet om vad syftet med dataanvändningen är och under vilka villkor företag lagrar data bidra till att stärka förtroendet.

(6)

Tanken att data som har tagits fram eller samlats in av offentliga myndigheter eller andra enheter på offentliga budgetars bekostnad bör gynna samhället har länge varit en del av unionens politik. Genom direktiv (EU) 2019/1024 och sektorsspecifik unionsrätt säkerställs att de offentliga myndigheterna gör en större del av de data de producerar lättillgängliga för användning och vidareutnyttjande. Vissa kategorier av data, såsom data som rör affärshemligheter, insynsskyddade statistiska data och data som skyddas av tredje parts immateriella rättigheter, inbegripet företagshemligheter och personuppgifter, i offentliga databaser görs dock ofta inte tillgängliga, inte ens för forskning eller innovativ verksamhet i allmänhetens intresse, trots att sådan tillgänglighet är möjligt i enlighet med tillämplig unionsrätt, särskilt förordning (EU) 2016/679 och direktiven 2002/58/EG och (EU) 2016/680. På grund av sådana datas känslighet måste vissa tekniska och rättsliga förfarandekrav uppfyllas innan de görs tillgängliga, inte minst för att säkerställa att andra personers rättigheter till sådana data iakttas eller för att begränsa den negativa effekten på de grundläggande rättigheterna, principen om icke-diskriminering och dataskyddet. Det är vanligen tidsödande och kunskapsintensiva att uppfylla sådana krav. Detta har lett till ett otillräckligt nyttjande av sådana data. Vissa medlemsstater håller på att inrätta strukturer, processer eller lagstiftning för att underlätta den typen av vidareutnyttjande, men detta är inte fallet i hela unionen. För att underlätta privata och offentliga enheters användning av data för europeisk forskning och innovation behövs tydliga villkor över hela unionen för tillgång till och användning av sådana data.

(7)

Det finns teknik som möjliggör analyser för databaser som innehåller personuppgifter, såsom anonymisering, differentiell integritet, generalisering, undertryckande och randomisering, användningen av syntetiska data eller liknande metoder och andra toppmoderna integritetsbevarande metoder som kan bidra till en mer integritetsvänlig databehandling. Medlemsstaterna bör ge stöd till offentliga myndigheter så att de kan optimera användningen av sådan teknik och därigenom göra en så stor mängd data som möjligt tillgänglig för delning. Tillämpningen av sådan teknik, tillsammans med övergripande konsekvensbedömningar avseende dataskydd och andra skyddsåtgärder, kan bidra till större säkerhet i användningen och vidareutnyttjandet av personuppgifter och bör kunna säkerställa att företagsdata som rör affärshemligheter kan vidareutnyttjas för forsknings-, innovations- och statistikändamål på ett säkert sätt. I många fall innebär tillämpningen av sådan teknik, sådana konsekvensbedömningar och sådana andra skyddsåtgärder att data endast kan användas och vidareutnyttjas i en säker behandlingsmiljö som tillhandahålls eller kontrolleras av den offentliga myndigheten. Det finns erfarenheter på unionsnivå från sådana säkra behandlingsmiljöer som används för forskning om statistiska mikrodata på grundval av kommissionens förordning (EU) nr 557/2013 (25). När det gäller personuppgifter bör behandlingen av dessa i allmänhet baseras på en eller flera av de rättsliga grunder för behandling som anges i artiklarna 6 och 9 i förordning (EU) 2016/679.

(8)

I enlighet med förordning (EU) 2016/679 bör principerna för dataskyddet inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Återidentifiering av registrerade på grundval av anonymiserade dataset bör vara förbjuden. Detta bör inte påverka möjligheten att bedriva forskning om anonymiseringsteknik, i synnerhet för att säkerställa informationssäkerhet, förbättra befintlig anonymiseringsteknik och bidra till anonymiseringens övergripande robusta karaktär, som genomförs i enlighet med förordning (EU) 2016/679.

(9)

För att underlätta skyddet av personuppgifter och konfidentiella uppgifter och för att påskynda förfarandet med att göra sådana uppgifter tillgängliga för vidareutnyttjande inom ramen för denna förordning bör medlemsstaterna uppmuntra de offentliga myndigheterna att ta fram och tillgängliggöra data i enlighet med den princip om inbyggd öppenhet och öppenhet som standard som avses i artikel 5.2 i direktiv (EU) 2019/1024 och att främja framställning och upphandling av data i format och strukturer som möjliggör snabb anonymisering.

(10)

De kategorier av data som innehas av offentliga myndigheter och som bör vidareutnyttjas enligt denna förordning faller utanför tillämpningsområdet för direktiv (EU) 2019/1024, som utesluter uppgifter som inte är tillgängliga på grund av insynsskydd för statistiska och kommersiella uppgifter och data som ingår i verk eller andra alster till vilka tredje man innehar immateriella rättigheter. Data som rör affärshemligheter inbegriper data som skyddas av företagshemligheter, skyddad know-how och annan information vars otillbörliga röjande skulle påverka företagets marknadsställning eller finansiella sundhet. Denna förordning bör tillämpas på personuppgifter som faller utanför tillämpningsområdet för direktiv (EU) 2019/1024 i den mån som bestämmelserna om tillgång till handlingar utesluter eller begränsar tillgången till sådana data av skäl som rör dataskydd, privatlivet och den enskilda personens integritet, särskilt i enlighet med dataskyddsbestämmelserna. Vidareutnyttjande av uppgifter som kan innehålla företagshemligheter bör ske utan att det påverkar tillämpningen av direktiv (EU) 2016/943, som fastställer ramen för tillåtet anskaffande, användande eller röjande av företagshemligheter.

(11)

Denna förordning bör inte göra det obligatoriskt att tillåta vidareutnyttjande av data som innehas av offentliga myndigheter. Mer specifikt, bör varje medlemsstat därför kunna besluta om data ska göras tillgängliga för vidareutnyttjande, även i fråga om syftena med och tillämpningsområdet för denna åtkomst. Denna förordning bör komplettera och inte påverka tillämpningen av mer specifika skyldigheter för offentliga myndigheter att tillåta vidareutnyttjande av data som fastställs i sektorsspecifik unionsrätt eller nationell rätt. Allmänhetens rätt att få tillgång till officiella handlingar kan betraktas som ett allmänt intresse. Med hänsyn till den roll som allmänhetens rätt att få tillgång till officiella handlingar och öppenheten spelar i ett demokratiskt samhälle bör denna förordning inte heller påverka tillämpningen av nationell rätt om beviljande av tillgång till och utlämnande av officiella handlingar. Tillgång till officiella handlingar kan i synnerhet beviljas i enlighet med nationell rätt utan att föreskriva särskilda villkor eller genom att föreskriva särskilda krav som inte föreskrivs i denna förordning.

(12)

Det system för vidareutnyttjande som föreskrivs i denna förordning bör tillämpas på sådana data vars tillhandahållande ingår i den offentliga verksamhet som bedrivs av de berörda offentliga myndigheterna, enligt lag eller andra bindande regler i medlemsstaterna. Om sådana regler saknas bör den offentliga verksamheten fastställas i enlighet med gängse administrativ praxis i medlemsstaterna, förutsatt att den offentliga verksamheten är tydligt avgränsad och föremål för översyn. Den offentliga verksamheten kan fastställas generellt eller från fall till fall för enskilda offentliga myndigheter. Eftersom offentliga företag inte omfattas av definitionen av offentlig myndighet bör de data som innehas av offentliga företag inte omfattas av denna förordning. Data som innehas av kulturinstitutioner, såsom bibliotek, arkiv och museer samt orkestrar, operor, baletter och teatrar, och av utbildningsanstalter bör inte omfattas av denna förordning eftersom de verk och andra handlingar som de innehar till övervägande del omfattas av tredje parts immateriella rättigheter. Organisationer som bedriver forskning och organisationer som finansierar forskning kan också organiseras som offentliga myndigheter eller offentligrättsliga organ.

Denna förordning bör tillämpas på sådana hybridorganisationer endast i deras egenskap av organisationer som bedriver forskning. Om en organisation som bedriver forskning innehar data som en del av en specifik offentlig–privat sammanslutning med organisationer från den privata sektorn eller andra offentliga myndigheter, offentligrättsliga organ eller hybridorganisationer som bedriver forskning, dvs. som är organiserade som antingen offentliga myndigheter eller offentliga företag, med bedrivande av forskning som huvudsakligt syfte, bör inte heller dessa data omfattas av denna förordning. I relevanta fall bör medlemsstaterna kunna tillämpa denna förordning på offentliga företag eller privata företag som utför uppdrag inom offentlig sektor eller tillhandahåller tjänster av allmänt intresse. Utbytet av data, helt och hållet inom ramen för fullgörandet av deras offentliga uppdrag, mellan offentliga myndigheter i unionen eller mellan offentliga myndigheter i unionen och offentliga myndigheter i tredjeländer eller internationella organisationer, samt utbytet av data mellan forskare för icke-kommersiella vetenskapliga forskningsändamål, bör inte omfattas av bestämmelserna i denna förordning om vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter.

(13)

Offentliga myndigheter bör följa konkurrensrätten när de fastställer principerna för vidareutnyttjande av data som de innehar, och undvika att ingå avtal vars syfte eller verkan kan vara att skapa exklusiva rättigheter för vidareutnyttjande av vissa data. Sådana avtal bör endast vara möjliga om det är motiverat och nödvändigt för tillhandahållandet av en tjänst eller tillhandahållandet av en produkt av allmänt intresse. Detta kan vara fallet om den exklusiva användningen av data är det enda sättet att maximera de samhälleliga fördelarna av berörda data, till exempel om det bara finns en enda enhet (som har specialiserat sig på behandling av en viss datamängd) som kan tillhandahålla den tjänst eller produkt som gör det möjligt för den offentliga myndigheten att tillhandahålla en tjänst eller tillhandahålla en produkt av allmänt intresse. Sådana arrangemang bör dock ingås i enlighet med tillämplig unionsrätt eller nationell rätt och bli föremål för regelbunden översyn baserad på en marknadsanalys för att fastställa om en sådan exklusivitet fortfarande är nödvändig. Dessutom bör sådana arrangemang, beroende på vad som är lämpligt, vara förenliga med relevanta regler för statligt stöd och bör ingås för en begränsad period som inte bör överstiga tolv månader. För att säkerställa öppenhet bör sådana exklusiva avtal offentliggöras online i en form som är förenlig med relevant unionsrätt om offentlig upphandling. Om en exklusiv rätt till vidareutnyttjande av data inte är förenlig med denna förordning bör den exklusiva rätten vara ogiltig.

(14)

Förbjudna exklusiva avtal och andra metoder eller arrangemang som rör vidareutnyttjande av data som innehas av offentliga myndigheter och som inte uttryckligen beviljar exklusiva rättigheter men som rimligen kan förväntas begränsa tillgången till data för vidareutnyttjande och som har ingåtts eller redan var införda innan den dag då denna förordning träder i kraft, bör inte förnyas efter det att deras giltighetstid har löpt ut. När det gäller avtal på obestämd tid eller med lång löptid bör de upphöra att gälla inom 30 månader från den dag då denna förordning träder i kraft.

(15)

I denna förordning bör det fastställas villkor för vidareutnyttjande av skyddade data som ska gälla för offentliga myndigheter utsedda till behöriga enligt nationell rätt att bevilja eller vägra tillgång för vidareutnyttjande, och som inte ska påverka rättigheter eller skyldigheter avseende tillgång till sådana data. Dessa villkor bör vara icke-diskriminerande, transparenta, proportionella och objektivt motiverade utan att begränsa konkurrensen, med särskilt fokus på att främja små och medelstora företags och nystartade företags tillgång till sådana data. Villkoren för vidareutnyttjande bör utformas på ett sätt som främjar vetenskaplig forskning så att det, till exempel, som regel bör anses vara icke-diskriminerande att privilegiera vetenskaplig forskning. Offentliga myndigheter som tillåter vidareutnyttjande bör förfoga över de tekniska medel som krävs för att säkerställa skyddet av tredje parts rättigheter och intressen och bör ges befogenhet att begära nödvändig information från vidareutnyttjaren. Villkoren för vidareutnyttjande av data bör begränsas till vad som är nödvändigt för att skydda tredje parts rättigheter och intressen i data och integriteten hos de offentliga myndigheternas it- och kommunikationssystem. Offentliga myndigheter bör tillämpa sådana villkor som bäst gagnar vidareutnyttjarens intressen utan att detta leder till en oproportionerlig börda för de offentliga myndigheterna. Villkoren för vidareutnyttjande av data bör utformas på ett sätt som säkerställer effektiva skyddsåtgärder för personuppgifter. Före överföring bör personuppgifter vara anonymiserade så att de registrerade inte kan identifieras, och data som innehåller affärshemligheter bör ändras på ett sådant sätt att ingen konfidentiell information lämnas ut. Om tillhandahållandet av anonymiserade eller ändrade data inte skulle tillgodose vidareutnyttjarens behov, förutsatt att eventuella krav på att genomföra en konsekvensbedömning avseende dataskydd och samråda med tillsynsmyndigheten enligt artiklarna 35 och 36 i förordning (EU) 2016/679 uppfylls och om riskerna för de registrerades rättigheter och deras intressen är minimala, kan det tillåtas att vidareutnyttja uppgifterna på plats eller på distans inom en säker behandlingsmiljö.

Detta skulle kunna vara ett lämpligt arrangemang för vidareutnyttjande av pseudonymiserade data. Dataanalyser i sådana säkra behandlingsmiljöer bör övervakas av den offentliga myndigheten för att skydda tredje parts rättigheter och intressen. I synnerhet bör personuppgifter överföras till en tredje part för vidareutnyttjande endast om en rättslig grund inom ramen för dataskyddslagstiftningen tillåter en sådan överföring. Icke-personuppgifter bör endast överföras om det saknas skäl att tro att en kombination av dataset som inte består av personuppgifter kan leda till identifiering av de registrerade. Detta bör även gälla pseudonymiserade data som behåller sin status som personuppgifter. Vid återidentifiering av registrerade bör en skyldighet att anmäla en sådan uppgiftsincident till den offentliga myndigheten gälla utöver en skyldighet att anmäla en sådan uppgiftsincident till en tillsynsmyndighet och den registrerade i enlighet med förordning (EU) 2016/679. I tillämpliga fall bör de offentliga myndigheterna underlätta vidareutnyttjande av data efter att de registrerade samtyckt eller datainnehavare med lämpliga tekniska metoder gett sitt tillstånd till vidareutnyttjande av data som rör dem. I det avseendet bör den offentliga myndigheten göra sitt bästa för att bistå potentiella vidareutnyttjare som behöver sådant samtycke eller tillstånd genom att inrätta tekniska mekanismer som gör det möjligt att vidarebefordra begäranden om samtycke eller tillstånd från vidareutnyttjare, när detta är praktiskt genomförbart. Ingen kontaktinformation bör lämnas som gör det möjligt för vidareutnyttjare att kontakta registrerade eller datainnehavare direkt. Om den offentliga myndigheten översänder en begäran om samtycke eller tillstånd bör den säkerställa att den registrerade eller datainnehavaren tydligt informeras om möjligheten att vägra samtycke eller tillstånd.

(16)

För att underlätta och främja användningen av data som innehas av offentliga myndigheter för vetenskaplig forskning uppmuntras offentliga myndigheter att utarbeta en harmoniserad strategi och harmoniserade förfaranden för att göra dessa data enkelt tillgängliga för vetenskaplig forskning i allmänhetens intresse. Det skulle bland annat kunna innebära att man skapar rationaliserade administrativa förfaranden, standardiserade dataformat, informativa metadata om metod- och datainsamlingsvalen samt standardiserade datafält som möjliggör enkel sammanslagning av dataset från olika källor till data från den offentliga sektorn om detta är relevant för analysen. Målet för dessa metoder bör vara att främja offentligt finansierade och framtagna data för vetenskaplig forskning i enlighet med principen så öppen som möjligt, så begränsad som nödvändigt.

(17)

Immateriella rättigheter som innehas av tredje part bör inte påverkas av denna förordning. Denna förordning bör inte påverka vare sig förekomsten av immateriella rättigheter hos offentliga myndigheter eller deras äganderätt av desamma, eller begränsa utövandet av dessa rättigheter på något sätt. De skyldigheter som införs i enlighet med denna förordning bör endast tillämpas i den mån de är förenliga med internationella avtal om skydd av immateriella rättigheter, i synnerhet Bernkonventionen för skydd av litterära och konstnärliga verk (Bernkonventionen), avtalet om handelsrelaterade aspekter av immaterialrätter (Trips-avtalet) och Världsorganisationen för den intellektuella äganderättens fördrag om upphovsrätt (WCT) samt unionsrätt eller nationell rätt om immateriella rättigheter. Offentliga myndigheter bör emellertid använda sin upphovsrätt på ett sätt som underlättar vidareutnyttjande.

(18)

Data som omfattas av immateriella rättigheter och företagshemligheter bör endast överföras till en tredje part om överföringen är laglig enligt unionsrätten eller nationell rätt eller med rättsinnehavarens samtycke. Om offentliga myndigheter är innehavare av en databasproducents rätt som föreskrivs i artikel 7.1 i Europaparlamentets och rådets direktiv 96/9/EG (26), bör de inte utöva denna rätt för att förhindra vidareutnyttjande av data eller begränsa vidareutnyttjande utöver de gränser som fastställs i denna förordning.

(19)

Företagen och de registrerade bör kunna förlita sig på att vidareutnyttjandet av vissa kategorier av skyddade data som innehas av de offentliga myndigheterna kommer att ske på ett sätt som är i enlighet med deras rättigheter och intressen. Ytterligare skyddsåtgärder bör därför införas för situationer där vidareutnyttjande av sådana data från den offentliga sektorn sker på grundval av behandling av data utanför den offentliga sektorn, såsom ett krav på att offentliga myndigheter säkerställer att fysiska och juridiska personers rättigheter och intressen är fullt skyddade, särskilt med avseende på personuppgifter, kommersiellt känsliga data och immateriella rättigheter, i alla situationer, inklusive om sådana uppgifter överförs till tredjeländer. Offentliga myndigheter bör inte tillåta vidareutnyttjandet av information som lagras av försäkringsföretag eller andra tjänsteleverantörer i e-hälsotillämpningar i syfte att diskriminera vid prissättning, eftersom detta skulle strida mot den grundläggande rätten till tillgång till hälso- och sjukvård.

(20)

För att upprätthålla rättvis konkurrens och den öppna marknadsekonomin är det dessutom av största vikt att skyddade data av icke-personuppgiftskaraktär skyddas, särskilt företagshemligheter, men även icke-personuppgifter som avser innehåll som skyddas av immateriella rättigheter, från olaglig tillgång som kan leda till stöld av immateriella rättigheter eller industrispionage. För att säkerställa skyddet av datainnehavarnas rättigheter eller intressen bör det vara möjligt att överföra icke-personuppgifter som ska skyddas från olaglig eller otillåten åtkomst i enlighet med unionsrätten eller nationell rätt och som innehas av offentliga myndigheter till tredjeländer, men endast om lämpliga skyddsåtgärder för användningen av data tillhandahålls. Sådana lämpliga skyddsåtgärder bör inbegripa ett krav att den offentliga myndigheten överför skyddade data till en vidareutnyttjare endast om den vidareutnyttjaren avtalsmässigt åtar sig att skydda dessa data. En vidareutnyttjare som avser att överföra skyddade data till ett tredjeland bör fullgöra de skyldigheter som fastställs i denna förordning även efter det att berörda data har överförts till tredjelandet. För att säkerställa att sådana skyldigheter fullgörs korrekt bör vidareutnyttjaren också godta att den medlemsstat där den offentliga myndighet är belägen som tillät vidareutnyttjandet är behörig vid rättslig tvistlösning.

(21)

Lämpliga skyddsåtgärder bör även anses ha vidtagits om det i tredjelandet till vilket icke-personuppgifter har överförts, finns likvärdiga åtgärder som säkerställer att uppgifterna omfattas av en skyddsnivå liknande den som tillämpas enligt unionsrätten, särskilt vad gäller skyddet av företagshemligheter och immateriella rättigheter. När så motiveras på grund av betydande antal begäranden i hela unionen om vidareutnyttjandet av icke-personuppgifter i specifika tredjeländer bör kommissionen för detta ändamål kunna intyga, genom genomförandeakter, att ett tredjeland tillhandahåller en skyddsnivå som i allt väsentligt är likvärdig med den som föreskrivs i unionsrätten. Kommissionen bör bedöma om sådana genomförandeakter är nödvändiga på grundval av informationen från medlemsstaterna via Europeiska datainnovationsstyrelsen. Sådana genomförandeakter skulle försäkra de offentliga myndigheterna om att vidareutnyttjande av data som innehas av offentliga myndigheter i det berörda tredjelandet inte skulle hota dessa datas skyddade karaktär. Bedömningen av skyddsnivån i det berörda tredjelandet bör i synnerhet ta hänsyn till relevant allmän rätt och sektorsspecifik rätt, inklusive om allmän säkerhet, försvar, nationell säkerhet och straffrätt när det gäller tillgång till och skydd av data som inte är personuppgifter, eventuell åtkomst för de offentliga myndigheterna i det tredjelandet till de uppgifter som överförs, huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter med ansvar för att säkerställa och kontrollera efterlevnaden av den rättsliga ordning som säkerställer tillgång till sådana data, tredjelandets internationella åtaganden i fråga om dataskydd, eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i multilaterala eller regionala system.

Det är särskilt viktigt att det finns effektiva rättsmedel för datainnehavare, offentliga myndigheter eller leverantörer av dataförmedlingstjänster i det berörda tredjelandet i samband med överföring av icke-personuppgifter till det tredjelandet. Sådana skyddsåtgärder bör därför inbegripa tillgång till verkställbara rättigheter och effektiva rättsmedel. Sådana genomförandeakter bör inte påverka rättsliga skyldigheter eller kontraktsmässiga arrangemang som en vidareutnyttjare redan har fullgjort för att skydda icke-personuppgifter, särskilt industridata, och offentliga myndigheters rätt att ålägga vidareutnyttjare att uppfylla villkoren för vidareutnyttjande, i enlighet med denna förordning.

(22)

Vissa tredjeländer antar lagar, förordningar och andra rättsakter som syftar till att direkt överföra eller ge statlig tillgång till icke-personuppgifter som finns i unionen och som fysiska och juridiska personer som står under medlemsstaternas jurisdiktion har kontroll över. Beslut och domar av domstolar i tredjeländer eller beslut av förvaltningsmyndigheter i tredjeländer som innehåller krav på sådan överföring eller tillgång till icke-personuppgifter ska vara verkställbara, om de grundar sig på ett gällande internationellt avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en medlemsstat. I vissa fall kan det uppstå situationer där skyldigheten att överföra eller ge tillgång till icke-personuppgifter som härrör från ett tredjelands rätt står i strid med en skyldighet att skydda sådana data enligt unionsrätten eller nationell rätt, särskilt när det gäller skyddet av den enskilda personens grundläggande rättigheter eller en medlemsstats grundläggande intressen med avseende på nationell säkerhet eller försvar samt skyddet av kommersiellt känsliga uppgifter och skyddet av immateriella rättigheter, inbegripet avtalsskyldigheter i fråga om konfidentiell behandling i enlighet med sådan rätt. I avsaknad av internationella avtal som reglerar sådana frågor bör överföring av eller tillgång till icke-personuppgifter endast tillåtas om det, i synnerhet, har kontrollerats att tredjelandets rättssystem omfattar krav på att beslutets eller domens skäl och proportionalitet anges, att beslutet eller domen är specifik till sin karaktär och att den motiverade invändningen från mottagaren är föremål för prövning av en behörig domstol i tredjelandet, som har befogenhet att vederbörligen beakta de relevanta rättsliga intressena för den som tillhandahåller sådana uppgifter.

Offentliga myndigheter, fysiska eller juridiska personer som beviljats rätten att vidareutnyttja data, leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer bör dessutom, om de undertecknar avtal med andra privata partner, säkerställa att icke-personuppgifter som innehas i unionen görs tillgängliga i eller överförs till tredjeländer endast i enlighet med unionsrätten eller den berörda medlemsstatens nationella rätt.

(23)

I syfte att ytterligare främja förtroendet för unionens dataekonomi är det avgörande att de skyddsåtgärder för unionsmedborgare, den offentliga sektorn och företag som säkerställer kontroll över dessas strategiska och känsliga uppgifter genomförts och att unionsrätt, värden och standarder upprätthålls inom bland annat, men inte enbart, områdena säkerhet, dataskydd och konsumentskydd. För att förhindra olaglig åtkomst till icke-personuppgifter bör de offentliga myndigheterna, de fysiska eller juridiska personer som beviljats rätten att vidareutnyttja data, leverantörerna av dataförmedlingstjänster och erkända dataaltruismorganisationer, vidta alla rimliga åtgärder för att förhindra åtkomst till de system där icke-personuppgifter lagras, inbegripet kryptering av data eller företagspolicyer. För det ändamålet bör det säkerställas att offentliga myndigheter, fysiska eller juridiska personer som beviljats rätten att vidareutnyttja data, leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer uppfyller samtliga relevanta tekniska standarder, uppförandekoder och certifieringar på unionsnivå.

(24)

För att bygga upp förtroendet för mekanismer för vidareutnyttjande kan det vara nödvändigt att införa strängare villkor för vissa typer av icke-personuppgifter som kan komma att identifieras som mycket känsliga i framtida särskilda unionslagstiftningsakter, när det gäller överföring till tredjeländer, om en sådan överföring skulle kunna äventyra unionens offentligpolitiska mål, i linje med internationella åtaganden. Till exempel på hälsoområdet kan vissa dataset som innehas av aktörer i det allmänna hälso- och sjukvårdssystemet, t.ex. offentliga sjukhus, fastställas som mycket känsliga hälsodata. Andra relevanta sektorer är transport, energi, miljö och finans. För att säkerställa en harmoniserad praxis i hela unionen bör sådana typer av mycket känsliga offentliga icke-personuppgifter definieras i unionsrätten, till exempel inom ramen för det europeiska hälsodataområdet eller annan sektorspecifik rätt. Dessa villkor för överföring av sådana uppgifter till tredjeländer bör fastställas i delegerade akter. Villkoren bör vara proportionella, icke-diskriminerande och nödvändiga för att upprätthålla de legitima offentligpolitiska mål för unionen som fastställts, såsom skydd av folkhälsan, säkerhet, miljö, allmän moral, konsumentskydd, integritet och skydd av personuppgifter. Villkoren bör motsvara de risker som identifierats i förhållande till känsligheten hos sådana data, bland annat när det gäller risken för återidentifiering av enskilda personer. Sådana villkor kan omfatta villkor för överföringen eller tekniska arrangemang, såsom krav på användning av en säker behandlingsmiljö, begränsningar när det gäller vidareutnyttjande av data i tredjeländer eller kategorier av personer som har rätt att överföra sådana data till tredjeland eller har tillgång till dem i tredjelandet. I undantagsfall kan sådana villkor också omfatta begränsningar av överföringen av data till tredjeländer för att skydda allmänintresset.

(25)

Offentliga myndigheter bör kunna ta ut avgifter för vidareutnyttjande av data, men bör också kunna tillåta vidareutnyttjande till en nedsatt avgift eller kostnadsfritt, till exempel för vissa kategorier av vidareutnyttjande såsom icke-kommersiellt vidareutnyttjande eller vidareutnyttjande för forskningsändamål, eller små och medelstora företags, nystartade företags, civilsamhällets och utbildningsanstalters vidareutnyttjande, för att ge incitament för sådant vidareutnyttjande i syfte att stimulera forskning och innovation och stödja företag som är en viktig källa till innovation och vanligtvis har svårare att själva samla in relevanta data, i enlighet med reglerna för statligt stöd. I det specifika sammanhanget bör forskningsändamål anses inbegripa alla forskningsrelaterade ändamål oaktat den berörda forskningsinstitutionens organisatoriska eller finansiella struktur, med undantag för forskning som bedrivs av ett företag och som syftar till att utveckla, förbättra eller optimera produkter eller tjänster. Sådana avgifter bör, vara transparenta, icke-diskriminerande och begränsade till de nödvändiga kostnaderna och bör inte begränsa konkurrensen. En förteckning över kategorier av vidareutnyttjare som betalar lägre avgift eller helt slipper avgift bör offentliggöras tillsammans med de kriterier som använts för upprättandet av förteckningen.

(26)

För att ge incitament till vidareutnyttjande av särskilda kategorier av data som innehas av offentliga myndigheter bör medlemsstaterna inrätta en gemensam informationspunkt som ska fungera som ett gränssnitt för vidareutnyttjare som vill vidareutnyttja dessa data. Denna informationspunkt bör ha ett sektorsövergripande uppdrag och vid behov komplettera arrangemang på sektorsnivå. Den gemensamma informationspunkten bör kunna förlita sig på automatiska metoder när den överför förfrågningar eller ansökningar om vidareutnyttjande. En tillräcklig mänsklig tillsyn i överföringsprocessen bör säkerställas. Befintliga praktiska arrangemang som till exempel portaler för öppna data skulle kunna användas för detta syfte. Den enda informationspunkten bör ha en förteckning över resurser som innehåller en översikt över alla tillgängliga datakällor, däribland de datakällor som finns tillgängliga vid sektorsspecifika, regionala eller lokala informationspunkter, tillsammans med relevant information som beskriver tillgängliga data. Dessutom bör medlemsstaterna utse, inrätta eller underlätta inrättandet av behöriga organ för att stödja verksamheten inom offentliga myndigheter som tillåter vidareutnyttjande av vissa kategorier av skyddade data. Deras uppgifter kan inbegripa att bevilja tillgång till data, om detta föreskrivs enligt sektorsspecifik unionsrätt eller nationell rätt. Dessa behöriga organ bör ge bistånd till offentliga myndigheter med hjälp av den senaste tekniken, bland annat avseende hur data bäst struktureras och lagras för att göra dem lättillgängliga, i synnerhet genom applikationsprogrammeringsgränssnitt, samt göra data interoperabla, överförbara och sökbara, med beaktande av bästa praxis för databehandling samt eventuella befintliga tillsynsstandarder och tekniska standarder och säkra databehandlingsmiljöer, som möjliggör dataanalys med bevarande av informationens integritet.

De behöriga organen bör agera i enlighet med den offentliga myndighetens instruktioner. En sådan biståndsstruktur skulle kunna bistå de registrerade och datainnehavarna att hantera samtycke eller tillstånd för vidareutnyttjande, inbegripet samtycke och tillstånd till vissa områden av vetenskaplig forskning, om vedertagna etiska standarder för vetenskaplig forskning iakttas. De behöriga myndigheterna bör inte ha någon tillsynsfunktion, då denna uteslutande ska utövas av tillsynsmyndigheter enligt förordning (EU) 2016/679. Databehandlingen bör, utan att det påverkar dataskyddsmyndigheternas tillsynsbefogenheter, utföras under ansvar av den offentliga myndighet som ansvarar för det register som innehåller dessa data, och som förblir personuppgiftsansvarig enligt definitionen i förordning (EU) 2016/679 i den mån personuppgifter berörs. Medlemsstaterna bör kunna ha ett eller flera behöriga organ, som kan vara verksamma inom olika sektorer. De offentliga myndigheternas interna avdelningar skulle även kunna fungera som behöriga organ. Ett behörigt organ skulle kunna vara en offentlig myndighet som bistår andra offentliga myndigheter när det gäller att tillåta vidareutnyttjande av data, om så är relevant, eller en offentlig myndighet som själv ger tillstånd till vidareutnyttjande. Biståndet till andra offentliga myndigheter bör omfatta att på begäran informera dem om bästa praxis när det gäller att uppfylla de krav som fastställs i den här förordningen, bland annat de tekniska medlen för tillhandahållande av en säker behandlingsmiljö eller de tekniska metoderna för att säkerställa integritet och konfidentiell behandling när tillgång ges till vidareutnyttjande av data som omfattas av tillämpningsområdet för den här förordningen.

(27)

Dataförmedlingstjänster förväntas spela en nyckelroll i dataekonomin, i synnerhet när det gäller att stödja och främja metoder för frivillig datadelning mellan företag eller att underlätta datadelning när det gäller skyldigheter som fastställs i unionsrätten eller nationell rätt. De skulle kunna bli ett verktyg för att underlätta utbyte av stora mängder relevanta data. Leverantörer av dataförmedlingstjänster, vilka även kan omfatta offentliga myndigheter, som erbjuder tjänster som kopplar samman de olika aktörerna kan bidra till en effektiv samkörning av data och till att underlätta bilateral datadelning. Specialiserade dataförmedlingstjänster som är oberoende av registrerade, datainnehavare och dataanvändare skulle kunna underlätta framväxten av nya datadrivna ekosystem som är oberoende av aktörer med betydande marknadsinflytande, samtidigt som de möjliggör icke-diskriminerande tillgång till dataekonomin för aktörer av alla storlekar, särskilt små och medelstora företag och nystartade företag med begränsade ekonomiska, rättsliga eller administrativa resurser. Detta kommer att vara av särskild vikt i samband med inrättandet av gemensamma europeiska dataområden, nämligen ändamåls- eller sektorsspecifika eller sektorsöverskridande interoperabla ramar med gemensamma standarder och praxisformer för delning eller gemensam behandling av data bl.a. för utvecklingen av nya produkter och tjänster, vetenskaplig forskning eller civilsamhällsinitiativ. Dataförmedlingstjänsterna skulle kunna innefatta bilateral eller multilateral delning av data eller inrättandet av plattformar eller databaser som möjliggör datadelning eller gemensamt utnyttjande av data, liksom inrättandet av en särskild infrastruktur för sammankoppling av registrerade och datainnehavare med dataanvändare.

(28)

Denna förordning bör omfatta tjänster som syftar till att med tekniska, rättsliga eller andra medel upprätta affärsförbindelser för datadelning mellan ett obestämt antal registrerade och datainnehavare, å ena sidan, och dataanvändare, å andra sidan, inbegripet för utövande av de registrerades rättigheter avseende personuppgifter. Om företag eller andra enheter erbjuder flera datarelaterade tjänster bör endast sådan verksamhet som direkt berör tillhandahållandet av dataförmedlingstjänster omfattas av denna förordning. Tillhandahållande av molnlagring, analys, programvara för datadelning, webbläsare, insticksprogram för webbläsare eller e-posttjänster bör inte anses vara dataförmedlingstjänster i den mening som avses i denna förordning, under förutsättning att sådana tjänster endast tillhandahåller tekniska verktyg för registrerade eller datainnehavare för delning av data med andra, men tillhandahållandet av sådana verktyg varken syftar till att upprätta en affärsförbindelse mellan datainnehavare och dataanvändare eller ger leverantören av dataförmedlingstjänster möjlighet att erhålla information om upprättandet av affärsförbindelser som syftar till datadelning. Exempel på dataförmedlingstjänster inkluderar datamarknader där företag kan göra data tillgängliga för andra, organisatörer av ekosystem för datadelning som är öppna för alla intresserade parter, till exempel inom ramen för gemensamma europeiska dataområden, samt datapooler som inrättas gemensamt av flera juridiska eller fysiska personer i avsikten att licensiera användningen av sådana datapooler till alla intresserade parter på ett sätt som innebär att alla deltagare som bidrar till datapooler belönas för sitt bidrag.

Detta skulle exkludera tjänster som erhåller data från datainnehavare och aggregerar, berikar eller omvandlar data i syfte att avsevärt öka deras värde och licensierar användningen av resulterande data till dataanvändare, utan att upprätta en affärsförbindelse mellan datainnehavare och dataanvändare. Dessutom skulle det exkludera tjänster som uteslutande används av en datainnehavare för att möjliggöra användning av de data som den datainnehavaren innehar, eller som används av flera juridiska personer i en sluten grupp, inbegripet leverantörs- eller kundrelationer eller samarbeten som grundar sig på avtal, särskilt sådana som har som huvudsakligt syfte att säkerställa funktioner för föremål och enheter som är anslutna till sakernas internet.

(29)

Tjänster som är inriktade på förmedling av upphovsrättsligt skyddat innehåll, däribland onlineleverantör av delningstjänster för innehåll enligt definitionen i artikel 2.6 i direktiv (EU) 2019/790, bör inte omfattas av den här förordningen. Tillhandahållare av konsoliderad handelsinformation enligt definitionen i artikel 2.1.35 i Europaparlamentets och rådets förordning (EU) nr 600/2014 (27) och leverantörer av kontoinformationstjänster enligt definitionen i artikel 4.19 i Europaparlamentets och rådets direktiv (EU) 2015/2366 (28) bör inte anses vara leverantörer av dataförmedlingstjänster vid tillämpning av den här förordningen. Den här förordningen bör inte tillämpas på tjänster som erbjuds av offentliga myndigheter för att underlätta antingen vidareutnyttjande av skyddade data som innehas av offentliga myndigheter i enlighet med den här förordningen eller användning av andra data, i den mån dessa tjänster inte syftar till att upprätta affärsförbindelser. Dataaltruismorganisationer som regleras i denna förordning bör inte anses erbjuda dataförmedlingstjänster förutsatt att dessa tjänster inte upprättar en affärsförbindelse mellan potentiella dataanvändare, å ena sidan, och registrerade och datainnehavare som tillgängliggör data utifrån altruistiska ändamål, å andra sidan. Andra tjänster som inte syftar till att upprätta affärsförbindelser, till exempel databaser som syftar till att möjliggöra vidareutnyttjande av vetenskapliga forskningsdata i enlighet med principerna om öppen tillgång bör inte anses vara dataförmedlingstjänster i den mening som avses i den här förordningen.

(30)

En särskild kategori av dataförmedlingstjänster omfattar leverantörer av tjänster som erbjuder sina tjänster till registrerade. Sådana leverantörer av dataförmedlingstjänster strävar efter att stärka de registrerades handlingsförmåga och särskilt enskilda personers kontroll över de uppgifter som avser dem. Sådana leverantörer hjälper enskilda personer att utöva sina rättigheter enligt förordning (EU) 2016/679, särskilt att hantera deras givande och återkallande av samtycke till databehandling, rätten att få tillgång till sina egna personuppgifter, rätten till rättelse av felaktiga personuppgifter, rätten till radering eller rätten ”att bli bortglömd”, rätten att begränsa behandlingen och rätten till dataportabilitet, som gör det möjligt för registrerade att flytta sina personuppgifter från en personuppgiftsansvarig till en annan. I det sammanhanget är det viktigt att sådana leverantörers affärsmodell säkerställer att det inte finns några dåligt anpassade incitament som uppmuntrar enskilda personer att använda sådana tjänster för att tillgängliggöra mer data som avser dem för behandling än vad som skulle ligga i deras intresse. Detta skulle kunna inbegripa rådgivning till enskilda personer om möjlig användning av deras data och hur de gör due diligence-kontroller av dataanvändare innan de tillåts kontakta registrerade, i syfte att undvika bedrägerier. I vissa situationer kan det vara önskvärt att samla faktiska data inom ett personligt dataområde, så att behandlingen kan ske inom det området utan att personuppgifter överförs till tredje part, för att maximera skyddet av personuppgifter och integritet. Sådana personliga dataområden skulle kunna innehålla statiska personuppgifter, däribland namn, adress och födelsedatum, samt dynamiska data som genereras av en enskild person, genom till exempel användning av en onlinetjänst eller ett föremål anslutet till sakernas internet. De skulle också kunna användas för att lagra verifierade identitetsuppgifter, såsom passnummer eller socialförsäkringsuppgifter samt behörighetsuppgifter, såsom körkort, examensbevis eller uppgifter om bankkonton.

(31)

Datakooperativ strävar efter att uppnå ett antal mål, särskilt att stärka enskilda personers ställning när det gäller att fatta välgrundade beslut innan de samtycker till dataanvändning, påverka dataanvändarorganisationers villkor och bestämmelser knutna till dataanvändning på ett sätt som ger gruppens enskilda medlemmar bättre valmöjligheter, eller eventuellt finna lösningar på meningsmotsättningar mellan enskilda medlemmar i en grupp om hur data kan användas om dessa data är relaterade till flera registrerade inom den gruppen. I det sammanhanget är det viktigt att slå fast att rättigheterna enligt förordning (EU) 2016/679 är personliga rättigheter som tillhör den registrerade och att registrerade inte kan avsäga sig sådana rättigheter. Datakooperativ skulle också kunna vara ett användbart verktyg för enmansföretag samt små och medelstora företag som ofta är jämförbara med enskilda personer när det gäller kunskap om datadelning.

(32)

För att öka förtroendet för sådana dataförmedlingstjänster, i synnerhet när det gäller användningen av data och uppfyllandet av de villkor som de registrerade och datainnehavarna sätter upp, är det nödvändigt att upprätta ett regelverk på unionsnivå som fastställer krav med hög harmoniseringsgrad avseende ett tillförlitligt tillhandahållande av sådana dataförmedlingstjänster och som genomförs av de behöriga myndigheterna. Det regelverket kommer att bidra till att säkerställa att de registrerade och datainnehavarna samt dataanvändarna får bättre kontroll över tillgången till och användningen av deras data, i enlighet med unionsrätten. Kommissionen skulle även kunna uppmuntra och underlätta utarbetandet av uppförandekoder på unionsnivå med deltagande av berörda parter, särskilt vad avser interoperabilitet. Både i situationer där datadelning sker i samband med företagstjänster och när datadelning sker i samband med konsumenttjänster bör leverantörer av dataförmedlingstjänster erbjuda en ny ”europeisk” dataförvaltning genom att i säkra en åtskillnad i dataekonomin mellan tillhandahållandet, förmedlingen och användningen av data. Leverantörer av dataförmedlingstjänster skulle också kunna göra särskild teknisk infrastruktur tillgänglig för sammankoppling av registrerade och datainnehavare med dataanvändare. I detta avseende är det särskilt viktigt att utforma denna infrastruktur på ett sådant sätt att små och medelstora företag och nystartade företag inte stöter på några tekniska eller andra hinder för sitt deltagande i dataekonomin.

Leverantörer av dataförmedlingstjänster bör tillåtas att erbjuda ytterligare särskilda verktyg till datainnehavare eller de registrerade för det särskilda syftet att underlätta utbytet av data, exempelvis i form av tillfällig lagring, kuratering, konvertering, anonymisering och pseudonymisering. Dessa verktyg och tjänster bör användas endast på uttrycklig begäran eller efter uttryckligt godkännande av datainnehavaren eller den registrerade, och tredjepartsverktyg som erbjuds i detta sammanhang bör inte använda data för andra ändamål. Samtidigt bör leverantörer av dataförmedlingstjänster tillåtas anpassa de data som utbyts, för att göra dem mer användbara för dataanvändaren om dataanvändaren så önskar, eller att förbättra interoperabiliteten genom, till exempel, att konvertera dessa data till specifika format.

(33)

Det är viktigt att möjliggöra en konkurrensutsatt miljö för datadelning. En viktig faktor för att ökaförtroendet och datainnehavarnas, de registrerades och dataanvändarnas kontroll över dataförmedlingstjänster är att leverantörerna av dataförmedlingstjänster är neutrala när det gäller de data som utbyts mellan datainnehavare eller de registrerade och dataanvändare. Leverantörerna av dataförmedlingstjänster bör därför endast fungera som förmedlare i transaktionerna och inte använda de data som utbyts för några andra ändamål. De kommersiella villkoren, inklusive prissättning, för tillhandahållandet av dataförmedlingstjänster bör inte vara beroende av huruvida en potentiell datainnehavare eller dataanvändare använder andra tjänster, däribland lagring, analys, artificiell intelligens eller andra databaserade tillämpningar, som tillhandahålls av samma leverantör av dataförmedlingstjänster eller en närstående enhet, och i så fall i vilken utsträckning datainnehavaren eller data användaren använder sådana andra tjänster. Detta kommer också förutsätta en strukturell åtskillnad mellan dataförmedlingstjänsten och alla andra tjänster som erbjuds, så att intressekonflikter undviks. Därmed bör dataförmedlingstjänsten erbjudas via en juridisk person som är separat från all övrig verksamhet som bedrivs av leverantören av dataförmedlingstjänster. Emellertid bör leverantörer av dataförmedlingstjänster kunna använda de data som tillhandahålls av datainnehavaren för att förbättra sina dataförmedlingstjänster.

Leverantörer av dataförmedlingstjänster bör endast kunna ställa sina egna eller tredje parts verktyg till datainnehavares, de registrerades eller dataanvändares förfogande för att underlätta utbytet av data, exempelvis verktyg för konvertering eller kuratering av data, efter den registrerades eller datainnehavarens uttryckliga begäran eller godkännande. De tredjepartsverktyg som erbjuds i detta sammanhang bör inte använda data för andra ändamål än de som är relaterade till dataförmedlingstjänster. Leverantörer av dataförmedlingstjänster som förmedlar ett utbyte av data mellan enskilda personer som registrerade och juridiska personer som dataanvändare bör, utöver att axla sitt förvaltaruppdrag gentemot de enskilda personerna, säkerställa att de agerar i de registrerades intresse. Frågor om ansvar för alla materiella och immateriella skador och brister som uppstår till följd av agerandet av leverantören av dataförmedlingstjänster bör tas upp i det berörda avtalet, på grundval av nationella ansvarsordningar.

(34)

Leverantörer av dataförmedlingstjänster bör vidta rimliga åtgärder för att säkerställa interoperabilitet inom en sektor och mellan olika sektorer i syfte att säkerställa en korrekt fungerande inre marknad. Rimliga åtgärder skulle bland annat kunna inbegripa att man följer de befintliga standarder som allmänt används i den sektor inom vilken leverantören av dataförmedlingstjänster är verksam. Europeiska datainnovationsstyrelsen bör underlätta framtagningen av ytterligare branschstandarder där det är nödvändigt. Leverantörer av dataförmedlingstjänster bör i god tid genomföra de åtgärder för interoperabilitet mellan dataförmedlingstjänster som antagits av Europeiska datainnovationsstyrelsen.

(35)

Denna förordning bör inte påverka skyldigheten för leverantörer av dataförmedlingstjänster att uppfylla kraven i förordning (EU) 2016/679 och tillsynsmyndigheternas skyldighet att säkerställa efterlevnaden av den förordningen. Den här förordningen bör inte påverka skyddet av personuppgifter i de fall då leverantörer av dataförmedlingstjänster behandlar personuppgifter. I de fall då leverantörer av dataförmedlingstjänster är personuppgiftsansvariga eller personuppgiftsbiträden enligt definitionerna i förordning (EU) 2016/679 är de bundna av bestämmelserna i den förordningen.

(36)

Leverantörer av dataförmedlingstjänster förväntas ha infört förfaranden och åtgärder för att ålägga sanktioner för bedrägliga eller otillbörliga metoder i samband med parter som söker åtkomst via deras dataförmedlingstjänster, inbegripet genom åtgärder såsom uteslutning av dataanvändare som bryter mot tjänstevillkoren eller mot befintlig rätt.

(37)

Leverantörer av dataförmedlingstjänster bör också vidta åtgärder för att säkerställa att konkurrensrätten följs och inrätta förfaranden för det ändamålet. Detta gäller i synnerhet sådana situationer där datadelning gör det möjligt för företag att få kännedom om faktiska eller potentiella konkurrenters marknadsstrategier. Typisk information som är känslig i konkurrenshänseende är till exempel information om kunduppgifter, framtida priser, produktionskostnader, kvantiteter, omsättning, försäljning eller kapacitet.

(38)

Ett anmälningsförfarande för dataförmedlingstjänster bör inrättas för att säkerställa att dataförvaltning inom unionen är baserad på ett tillförlitligt utbyte av data. Vinsterna av en tillförlitlig miljö kan bäst uppnås genom ett införande av ett antal krav för tillhandahållandet av dataförmedlingstjänster, men utan något krav på ett uttryckligt beslut eller en uttrycklig administrativ åtgärd av den behöriga myndigheten för dataförmedlingstjänster för tillhandahållandet av sådana tjänster. Anmälningsförfarandet bör inte medföra otillbörliga hinder för små och medelstora företag, nystartade företag och civilsamhällesorganisationer och bör vara förenlig med principen om icke-diskriminering.

(39)

För att stödja ett effektivt gränsöverskridande tillhandahållande av tjänster bör leverantören av dataförmedlingstjänster åläggas att sända en anmälan endast till den behöriga myndigheten för dataförmedlingstjänster från den medlemsstat där leverantörens huvudsakliga verksamhetsställe är beläget eller där leverantörens rättsliga ombud finns. En sådan anmälan bör inte innefatta mer än en ren förklaring om avsikten att tillhandahålla sådana tjänster och bör endast kompletteras genom tillhandahållande av den information som anges i denna förordning. Efter relevant anmälan bör leverantören av dataförmedlingstjänster kunna inleda sin verksamhet i varje medlemsstat utan ytterligare anmälningsskyldigheter.

(40)

Det anmälningsförfarande som fastställs i denna förordning bör inte påverka tillämpningen av särskilda kompletterande bestämmelser för tillhandahållandet av dataförmedlingstjänster som är tillämpliga genom sektorsspecifik rätt.

(41)

Det huvudsakliga verksamhetsstället för en leverantör av dataförmedlingstjänster i unionen bör vara platsen för dess centrala förvaltning i unionen. Det huvudsakliga verksamhetsstället för en leverantör av dataförmedlingstjänster i unionen bör fastställas i enlighet med objektiva kriterier och bör avse det faktiska och reella utövandet av ledningsverksamheten. Den verksamhet som bedrivs av en leverantör av dataförmedlingstjänster bör överensstämma med den nationella rätten i den medlemsstat där denne har sitt huvudsakliga verksamhetsställe.

(42)

För att säkerställa att leverantörerna av dataförmedlingstjänster uppfyller de villkor som fastställs i denna förordning bör de ha sitt huvudsakliga verksamhetsställe i unionen. Om en leverantör av dataförmedlingstjänster som inte är etablerad i unionen erbjuder tjänster inom unionen bör leverantören utse en rättslig företrädare. Det är nödvändigt att utse en rättslig företrädare i sådana fall med tanke på att sådana leverantörer av dataförmedlingstjänster hanterar både personuppgifter och data som rör affärshemligheter och det därmed är nödvändigt att övervaka att leverantörerna av dataförmedlingstjänster efterlever denna förordning. I syfte att fastställa om en sådan leverantör av dataförmedlingstjänster erbjuder tjänster inom unionen bör det kontrolleras om det är uppenbart att leverantören av dataförmedlingstjänster planerar att erbjuda tjänster till personer i en eller flera medlemsstater. Enbart det faktum att en webbplats är tillgänglig i unionen eller att det finns en e-postadress eller andra kontaktuppgifter för leverantören av dataförmedlingstjänster eller att man använder ett språk som används i det tredjeland där leverantören av dataförmedlingstjänster är etablerad, bör inte anses räcka för att fastställa en sådan avsikt. Emellertid kan sådana faktorer som användning av ett visst språk eller en viss valuta som allmänt används i en eller flera medlemsstater, och möjlighet att beställa tjänster på detta språk, eller att användare i unionen omnämns, göra det uppenbart att leverantören av dataförmedlingstjänster planerar att erbjuda tjänster inom unionen.

En utsedd rättslig företrädare bör agera på uppdrag av leverantören av dataförmedlingstjänster och det bör vara möjligt för behöriga myndigheter för dataförmedlingstjänster att vända sig till den rättsliga företrädaren utöver eller i stället för leverantören av dataförmedlingstjänster, även i händelse av en överträdelse, i syfte att inleda verkställighetsförfaranden mot en leverantör av dataförmedlingstjänster som inte uppfyller kraven och som inte är etablerad i unionen. Den rättsliga företrädaren bör utses genom en skriftlig fullmakt från leverantören av dataförmedlingstjänster att agera på dess vägnar med avseende på leverantörens skyldigheter enligt denna förordning.

(43)

För att hjälpa de registrerade och datainnehavare att enkelt identifiera, och därigenom öka sitt förtroende för leverantörer av dataförmedlingstjänster som är erkända i unionen bör det inrättas en gemensam logotyp som är igenkännlig i hela unionen, utöver beteckningen ”leverantörer av dataförmedlingstjänster som är erkända i unionen”.

(44)

De behöriga myndigheterna för dataförmedlingstjänster som utses för att övervaka leverantörer av dataförmedlingstjänsters uppfyllande av kraven i denna förordning bör väljas på grundval av sin kapacitet och sakkunskap avseende horisontellt eller sektorsbaserat datautbyte. De bör vara oberoende av alla leverantörer av dataförmedlingstjänster samt transparenta och opartiska i utförandet av sina arbetsuppgifter. Medlemsstaterna bör meddela kommissionen dessa behöriga myndigheter för dataförmedlingstjänsters identitet. De behöriga myndigheterna för dataförmedlingstjänsters behörighet och befogenheter bör inte påverka dataskyddsmyndigheternas befogenheter. I synnerhet i alla frågor som rör en bedömning av efterlevnaden av förordning (EU) 2016/679 bör den behöriga myndigheten för dataförmedlingstjänster, i tillämpliga fall, efterfråga ett yttrande eller beslut av den behöriga tillsynsmyndighet som inrättats i enlighet med den förordningen.

(45)

Det finns en stor potential för mål av allmänt intresse vid användningen av data som tillhandahålls frivilligt av de registrerade på grundval av deras informerade samtycke eller, när det gäller icke-personuppgifter som tillhandahålls av datainnehavare. Sådana mål skulle kunna inkludera hälso- och sjukvård, bekämpande av klimatförändringar, förbättring av mobiliteten, främjande av utveckling, framställning och spridning av officiell statistik, förbättrat tillhandahållande av offentliga tjänster eller politiskt beslutsfattande. Stöd till vetenskaplig forskning bör också anses vara ett mål av allmänt intresse. Denna förordning bör syfta till att bidra till framväxten av tillräckligt stora datapooler som görs tillgängliga baserat på dataaltruism för att möjliggöra dataanalys och maskininlärning, i hela unionen. För att uppnå det målet bör medlemsstaterna kunna inrätta organisatoriska eller tekniska arrangemang, eller båda, som underlättar dataaltruism. Sådana arrangemang skulle kunna innefatta tillgång till lättanvända verktyg för registrerade eller datainnehavare för givande av samtycke eller tillstånd till altruistisk användning av deras data, anordnande av informationskampanjer eller ett strukturerat utbyte mellan behöriga myndigheter avseende hur offentlig politik, såsom förbättring av trafik och folkhälsa och bekämpning av klimatförändringar, kan gynnas av dataaltruism. För det ändamålet bör medlemsstaterna kunna fastställa nationella strategier för dataaltruism. Registrerade bör endast kunna erhålla ersättning för de kostnader som de ådrar sig när de gör sina data tillgängliga för mål av allmänt intresse.

(46)

Registreringen av erkända dataaltruismorganisationer och användningen av beteckningen ”dataaltruismorganisation som är erkänd i unionen” förväntas leda till upprättandet av centrallager för databaser. En registrering i en medlemsstat skulle gälla i hela unionen, och förväntas främja en gränsöverskridande användning av data inom unionen och framväxten av datapooler som täcker flera medlemsstater. Datainnehavare skulle kunna ge tillstånd till behandling av deras icke-personuppgifter för ett antal ändamål som inte är fastställda vid den tidpunkt då de ger sitt tillstånd. Sådana erkända dataaltruismorganisationers uppfyllande av ett antal krav som fastställs i denna förordning bör skapa förtroende för att de data som tillhandahålls för altruistiska ändamål faktiskt tjänar ett mål av allmänt intresse. Sådant förtroende bör i synnerhet uppnås genom att ha en etableringsort eller en rättslig företrädare inom unionen, samt från kravet att erkända dataaltruismorganisationer är icke-vinstdrivande organisationer, från transparenskrav och från särskilda skyddsmekanismer för att skydda de registrerades och företagens rättigheter och intressen.

Ytterligare skyddsmekanismer bör inkludera att göra det möjligt att behandla relevanta data inom en säker behandlingsmiljö som drivs av de erkända dataaltruismorganisationerna, tillsynsmekanismer som etiska råd eller styrelser, inbegripet företrädare från det civila samhället för att säkerställa att de personuppgiftsansvariga upprätthåller höga standarder när det gäller forskningsetik och skydd av grundläggande rättigheter, effektiva och tydligt förmedlade tekniska metoder för att när som helst dra tillbaka eller ändra sitt samtycke, på grundval av personuppgiftsbiträdenas informationsskyldighet enligt förordning (EU) 2016/679, samt möjligheter för de registrerade att hålla sig underrättade om användningen av de data som de tillhandahållit. Registrering som en erkänd dataaltruismorganisation bör inte vara en förutsättning för att bedriva dataaltruismverksamhet. Kommissionen bör genom delegerade akter utarbeta en regelbok i nära samarbete med dataaltruismorganisationer och berörda parter. Efterlevnad av den regelboken bör vara ett krav för registrering som en erkänd dataaltruismorganisation.

(47)

För att hjälpa de registrerade och datainnehavare att enkelt identifiera, och därigenom öka sitt förtroende för, erkända dataaltruismorganisationer bör det inrättas en gemensam logotyp som är igenkännlig i hela unionen. Den gemensamma logotypen bör åtföljas av en QR-kod med en länk till det offentliga unionsregistret över erkända dataaltruismorganisationer.

(48)

Denna förordning bör inte påverka inrättandet av, organisationen av eller funktionssättet för enheter som önskar bedriva dataaltruism i enlighet med nationell rätt och bygger på krav i nationell rätt för bedrivande av laglig verksamhet i en medlemsstat som icke-vinstdrivande organisation.

(49)

Denna förordning bör inte påverka inrättandet av, organisationen av eller funktionssättet för andra enheter än offentliga myndigheter som bedriver delning av data och innehåll på grundval av öppna licenser och därmed bidrar till att skapa gemensamma resurser som är tillgängliga för alla. Detta bör inbegripa öppna samarbetsplattformar för kunskapsdelning, vetenskapliga och akademiska databaser med öppen åtkomst, plattformar för programvaruutveckling med öppen källkod och plattformar för sammanställning av innehåll med öppen åtkomst.

(50)

Erkända dataaltruismorganisationer bör kunna samla in relevanta data direkt från fysiska och juridiska personer eller behandla data som samlats in av andra. Dataaltruismorganisationer skulle kunna behandla insamlade data för ändamål som de själva fastställer, eller så skulle de, i förekommande fall, kunna tillåta tredjeparter att utföra behandlingen för dessa ändamål. I de fall då erkända dataaltruismorganisationer är personuppgiftsansvariga eller personuppgiftsbiträden enligt definitionerna i förordning (EU) 2016/679 är de bundna av bestämmelserna i den förordningen. Generellt skulle dataaltruism bygga på de registrerades samtycke i den mening som avses i artiklarna 6.1 a och 9.2 a i förordning (EU) 2016/679 vilket bör uppfylla kraven för lagligt samtycke i enlighet med artiklarna 7 och 8 i den förordningen. I enlighet med förordning (EU) 2016/679 skulle ändamål som rör vetenskaplig forskning kunna stödjas genom samtycke till vissa forskningsområden så länge som de är förenliga med allmänt erkända etiska normer för vetenskaplig forskning eller till vissa forskningsområden eller delar av forskningsprojekt. I artikel 5.1 b i förordning (EU) 2016/679 fastställs att ytterligare behandling för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordning (EU) 2016/679 inte ska anses vara oförenlig med de ursprungliga ändamålen. Nyttjandebegränsningarna för icke-personuppgifter bör återfinnas i det tillstånd som ges av datainnehavaren.

(51)

De behöriga myndigheter för registrering av dataaltruismorganisationer som utses för att övervaka erkända dataaltruismorganisationers uppfyllande av kraven i denna förordning bör väljas på grundval av sin kapacitet och sakkunskap. De bör vara oberoende av alla dataaltruismorganisationer samt transparenta och opartiska i utförandet av sina arbetsuppgifter. Medlemsstaterna bör meddela kommissionen dessa behöriga myndigheter för registrering av dataaltruismorganisationers identitet. De behöriga myndigheterna för registrering av dataaltruismorganisationers behörighet och befogenheter bör inte påverka dataskyddsmyndigheternas befogenheter. I synnerhet i alla frågor som rör en bedömning av efterlevnaden av förordning (EU) 2016/679 bör den behöriga myndigheten för registrering av dataaltruismorganisationer, i tillämpliga fall, efterfråga ett yttrande eller beslut av den behöriga tillsynsmyndighet som inrättats i enlighet med den förordningen.

(52)

För att främja förtroendet och få till stånd ökad rättssäkerhet och användarvänlighet vad gäller förfarandet för beviljande och tillbakadragande av samtycke, i synnerhet i samband med vetenskaplig forskning och statistisk användning av data som tillhandahålls baserat på altruism, bör ett europeiskt formulär för dataaltruism utarbetas och användas i samband med altruistisk datadelning. Ett sådant formulär bör för de registrerade bidra till ytterligare transparens om att tillgången till och användningen av deras data kommer att ske i enlighet med deras samtycke och även i full överensstämmelse med dataskyddsbestämmelserna. Formuläret bör också göra det lättare att bevilja och dra tillbaka samtycke och kunna användas för att rationalisera företagens dataaltruism och tillhandahålla en mekanism som tillåter sådana företag att dra tillbaka sitt samtycke till användningen av data. För att ta hänsyn till de enskilda sektorernas särdrag, även ur ett dataskyddsperspektiv, bör det europeiska formuläret för samtycke till dataaltruism baseras på moduler, så att det kan anpassas till enskilda sektorer och olika syften.

(53)

För att genomförandet av dataförvaltningsramen ska bli framgångsrikt bör en europeisk datainnovationsstyrelse inrättas, i form av en expertgrupp. Europeiska datainnovationsstyrelsen bör bestå av företrädare för alla medlemsstaters behöriga myndigheter för dataförmedlingstjänster och behöriga myndigheter för registrering av dataaltruismorganisationer, Europeiska dataskyddsstyrelsen, Europeiska datatillsynsmannen, Europeiska unionens cybersäkerhetsbyrå (Enisa), kommissionen, EU-företrädaren för små och medelstora företag eller en företrädare utsedd av nätverket av företrädare för små och medelstora företag och andra företrädare för relevanta organ inom enskilda sektorer samt organ med specifik sakkunskap. Europeiska datainnovationsstyrelsen bör bestå av ett antal undergrupper, inbegripet en undergrupp för deltagande av berörda parter bestående av relevanta företrädare för näringslivet, såsom hälsa, miljö, jordbruk, transport, energi, industriell tillverkning, medier, kulturella och kreativa sektorer och statistik, samt för forskningsvärlden, den akademiska världen, civilsamhället, standardiseringsorganisationer, berörda gemensamma europeiska dataområden och andra berörda intressenter och tredje parter, bland annat organ med specifik sakkunskap såsom nationella statistikbyråer.

(54)

Europeiska datainnovationsstyrelsen bör bistå kommissionen i samordningen av nationella arbetsmetoder och strategier på de områden som omfattas av denna förordning och stödjandet av sektorsövergripande dataanvändning genom iakttagande av principerna i den europeiska interoperabilitetsramen och genom användning av europeiska och internationella standarder och specifikationer (inklusive genom EU:s flerpartsforum för IKT-standardisering, basvokabulären och byggstenarna inom Fonden för ett sammanlänkat Europa), och bör beakta det standardiseringsarbete som bedrivs inom enskilda sektorer eller områden. Arbetet med teknisk standardisering skulle kunna innefatta fastställandet av prioriteringar för utvecklingen av standarder och fastställandet och upprätthållandet av ett antal tekniska och rättsliga standarder för överföring av data mellan två behandlingsmiljöer som gör det möjligt att organisera dataområden, framför allt för att klarlägga och särskilja vilka standarder och praxisformer som är sektorsöverskridande och vilka som är sektorsspecifika. Europeiska datainnovationsstyrelsen bör samarbeta med sektorsorgan, nätverk eller expertgrupper och andra sektorsövergripande organisationer som hanterar vidareutnyttjandet av data. När det gäller dataaltruism bör Europeiska datainnovationsstyrelsen bistå kommissionen i utarbetandet av formuläret för dataaltruism, efter samråd med Europeiska dataskyddsstyrelsen. Genom att föreslå riktlinjer för gemensamma europeiska dataområden bör Europeiska datainnovationsstyrelsen stödja utvecklingen av en fungerande europeisk dataekonomi på grundval av dessa dataområden, i enlighet med den europeiska datastrategin.

(55)

Medlemsstaterna bör fastställa regler om tillämpliga sanktioner vid överträdelse av denna förordning och bör vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. De sanktioner som föreskrivs bör vara effektiva, proportionella och avskräckande. Stora skillnader mellan sanktionsreglerna skulle kunna snedvrida konkurrensen på den digitala inre marknaden. I det avseendet skulle det vara fördelaktigt med en harmonisering av dessa regler.

(56)

För att säkerställa en effektiv efterlevnad av denna förordning och se till att leverantörer av dataförmedlingstjänster och enheter som vill registrera sig som erkända dataaltruismorganisationer kan få tillgång till och genomföra förfarandena för anmälan och registrering helt online och över gränserna, bör sådana förfaranden erbjudas genom den gemensamma digitala ingång som inrättas i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1724 (29). Dessa förfaranden bör läggas till i förteckningen över förfaranden i bilaga II till förordning (EU) 2018/1724.

(57)

Förordning (EU) 2018/1724 bör därför ändras i enlighet med detta.

(58)

I syfte att säkerställa denna förordnings ändamålsenlighet, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen med avseende på att komplettera denna förordning genom att fastställa särskilda villkor som är tillämpliga på överföring till tredjeländer av vissa kategorier av icke-personuppgifter som anses vara mycket känsliga i särskilda unionslagstiftningsakter och genom att ta fram en regelbok för erkända dataaltruismorganisationer, som dessa organisationer ska följa och som föreskriver informationskrav, tekniska krav och säkerhetskrav samt färdplaner för kommunikation och interoperabilitetsstandarder. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (30). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(59)

För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att bistå offentliga myndigheter och vidareutnyttjare med deras efterlevnad av de villkor för vidareutnyttjande som fastställs i denna förordning genom att fastställa standardavtalsklausuler för vidareutnyttjares överföring av icke-personuppgifter till ett tredjeland, intyga att ett tredjelands rättsliga, tillsynsmässiga och verkställighetsmässiga arrangemang är likvärdiga med det skydd som säkerställs genom unionsrätten, utforma den gemensamma logotypen för leverantörer av dataförmedlingstjänster och den gemensamma logotypen för erkända dataaltruismorganisationer samt utarbeta och utveckla det europeiska formuläret för samtycke till dataaltruism. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (31).

(60)

Denna förordning bör inte påverka tillämpningen av konkurrensreglerna, särskilt artiklarna 101 och 102 i EUF-fördraget. De åtgärder som föreskrivs i denna förordning bör inte användas för att begränsa konkurrensen på ett sätt som strider mot EUF-fördraget. Detta gäller i synnerhet reglerna om utbyte av information som är känslig i konkurrenshänseende mellan faktiska och potentiella konkurrenter via dataförmedlingstjänster.

(61)

Samråd har skett med Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen i enlighet med artikel 42.1 i förordning (EU) 2018/1725 som avgav sitt yttrande den 10 mars 2021.

(62)

De vägledande principerna för denna förordning är respekten för de grundläggande rättigheterna och de principer som erkänns främst genom Europeiska unionens stadga om de grundläggande rättigheterna, inklusive rätten till privatliv, skyddet av personuppgifter, näringsfriheten, rätten till egendom och integreringen av personer med funktionsnedsättning. När det gäller det sistnämnda bör offentliga myndigheter och tjänster inom ramen för denna förordning, i förekommande fall, uppfylla kraven i Europaparlamentets och rådets direktiv (EU) 2016/2102 (32) och (EU) 2019/882 (33). Vidare bör hänsyn tas till design för alla i samband med informations- och kommunikationsteknik, som är ett medvetet och systematiskt försök att aktivt tillämpa principer, metoder och verktyg för att främja universell design inom datorrelaterad teknik, däribland internetbaserad teknik, och därigenom undvika behovet av anpassningar i efterhand eller specialiserad design.

(63)

Eftersom målen för denna förordning, nämligen vidareutnyttjande inom unionen av vissa kategorier av data som innehas av offentliga myndigheter samt inrättandet av en ram för anmälan av och tillsyn över tillhandahållandet av datadelningstjänster, en ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål och en ram för inrättandet av en europeisk datainnovationsstyrelse, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av deras omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.