MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

•Motiv och syfte med förslaget

Denna motivering åtföljer förslaget till en förordning om harmoniserade regler för rättvis åtkomst till och användning av data (dataakten).

Data är en central del av den digitala ekonomin och en nödvändig resurs för att säkerställa den gröna och den digitala omställningen. Volymen av data som genereras av människor och maskiner har ökat exponentiellt under de senaste åren. De flesta av datauppgifterna förblir emellertid oanvända, och i flera fall är deras värde koncentrerat till relativt få stora företag. En låg förtroendenivå, motstridiga ekonomiska incitament och tekniska hinder gör det svårt att förverkliga potentialen hos datadriven innovation. Därför är det viktigt att frigöra denna potential genom att möjliggöra återanvändning av data och undanröja alla hinder för utvecklingen av den europeiska dataekonomin i enlighet med europeiska regler, med full respekt för europeiska värderingar och i linje med uppdraget att minska den digitala klyftan så att alla kan dra nytta av möjligheterna. En bättre balans i fördelningen av datauppgifternas värde i takt med den nya vågen av icke-personliga industriella data och ökningen av produkter med uppkoppling till sakernas internet medför en enorm potential att stimulera en hållbar dataekonomi i Europa.

En reglering av åtkomsten till och användningen av data är en grundläggande förutsättning för att vi ska kunna ta vara på alla möjligheter i den digitala tidsålder vi lever i. Kommissionens ordförande Ursula von der Leyen fastslog i sina politiska riktlinjer för 2019–2024 att Europa måste ”balansera flödet och den omfattande användningen av data med krav på hög integritet, säkerhet och etiska standarder” 1 . I kommissionens arbetsprogram för 2020 2 fastställdes flera strategiska mål, däribland en EU-strategi för data 3 , som antogs i februari 2020. Syftet med strategin är att bygga upp en genuin inre marknad för data och att göra Europa världsledande inom den data-agila ekonomin. Därmed är dataakten en central pelare och det andra stora initiativet som tillkännages inom ramen för datastrategin. Den bidrar framför allt till skapandet av en sektorsöverskridande styrningsram för åtkomst till och användning av data genom lagstiftning i frågor som påverkar förhållandena mellan olika aktörer i dataekonomin, för att ge incitament till ett horisontellt utbyte av data mellan sektorerna.

I Europeiska rådets slutsatser av den 21–22 oktober 2021 betonades ”vikten av att man gör snabba framsteg med andra befintliga och framtida initiativ,
särskilt att man frigör värdet i användningen av data i Europa, framför allt genom ett övergripande regelverk som befrämjar innovation och möjliggör bättre dataportabilitet och rättvis åtkomst till data samt säkerställer interoperabilitet” 4 . Den 25 mars 2021 upprepade Europeiska rådet vikten av ”ett bättre utnyttjande av potentialen hos data och digital teknik till gagn för samhället, miljön och ekonomin” 5 . Den 1–2 oktober 2020 framhöll Europeiska rådet ”att tillgången på högkvalitativa data måste förbättras och att bättre utbyte och samkörning av data måste främjas och möjliggöras liksom interoperabilitet” 6 . När det gäller molntjänster antog EU:s medlemsstater den 15 oktober 2020 enhälligt ett gemensamt uttalande om inrättandet av nästa generations molntjänster för företag och den offentliga sektorn i EU. Detta skulle till exempel kräva en ny generation av molntjänster inom EU i enlighet med de högsta standarderna för portabilitet och interoperabilitet 7 .

I Europaparlamentets resolution av den 25 mars 2021 om en EU-strategi för data uppmanades kommissionen att lägga fram en datalag för att uppmuntra och möjliggöra ett större och rättvisare flöde av data i alla sektorer mellan företag (B2B), från företag till myndigheter (B2G), från myndigheter till företag (G2B) samt mellan myndigheter (G2G) 8 . I sin resolution av den 25 mars 2021 framhöll Europaparlamentet även behovet av att inrätta gemensamma europeiska dataområden i syfte att säkerställa ett fritt flöde av icke-personuppgifter över gränser och mellan sektorer och därigenom öka dataflödena mellan företagen, den akademiska världen, berörda parter och den offentliga sektorn. I detta sammanhang uppmuntrade parlamentet kommissionen att klargöra nyttjanderättigheterna, särskilt i B2B- och B2G-marknadsmiljöer. Europaparlamentet betonade att marknadsobalanser till följd av koncentrationen av
data begränsar konkurrensen, förstärker hindren för marknadstillträde och minskar en
mer omfattande dataåtkomst och dataanvändning.

I sin resolution påpekade Europaparlamentet även att B2B-avtal inte nödvändigtvis garanterar tillfredsställande åtkomst till data för små och medelstora företag. Skälet till detta är att det finns skillnader i förhandlingsstyrka och sakkunskap. Parlamentet framhöll därför behovet av avtal för att fastställa tydliga skyldigheter och ett tydligt ansvar för åtkomst till samt behandling, delning och lagring av data för att begränsa missbruk av sådana data.

Kommissionen och medlemsstaterna ombads således att granska aktörernas rättigheter och skyldigheter i fråga om åtkomsten till data som de varit med om att generera och att öka deras medvetenhet, särskilt om rätten att komma åt data, att portera data, att uppmana andra parter att sluta använda data eller att rätta eller radera data, samtidigt som man bör identifiera innehavarna och avgränsa rättigheternas art.

När det gäller B2G-datadelning uppmanade Europaparlamentet kommissionen att fastställa vilka omständigheter, villkor och incitament som ska göra den privata sektorn skyldig att dela uppgifter med den offentliga sektorn, t.ex. att det behövs för att organisera datadrivna offentliga tjänster, och även att granska systemen för obligatorisk B2G-datadelning, till exempel i situationer som är utanför människors kontroll.

I detta sammanhang lägger kommissionen fram sitt förslag till dataakt med syftet att säkerställa en rättvis fördelning av datauppgifternas värde bland aktörerna i dataekonomin och att främja åtkomsten till och användningen av data.

Förslaget kommer att bidra till uppnåendet av de bredare politiska målen att säkerställa EU-företagens innovations- och konkurrenskraft i alla sektorer, att ge enskilda personer effektiv kontroll över sina uppgifter samt att ge företagen och de offentliga myndigheterna en proportionerlig och förutsägbar mekanism för att hantera stora politiska och sociala utmaningar, däribland samhällskriser och andra exceptionella situationer. Företagen kommer att kunna skicka sina data och andra digitala tillgångar mellan konkurrerande leverantörer av molntjänster och andra databehandlingstjänster. Utbytet av data inom och mellan olika sektorer av ekonomin kräver en interoperabilitetsram med förfarandemässiga och rättsliga åtgärder för att öka förtroendet och förbättra effektiviteten. Inrättandet av gemensamma europeiska dataområden för strategiska sektorer av ekonomin och områden av allmänt intresse kommer att bidra till en verklig inre marknad för utbyte och användning av data mellan sektorerna. Denna förordning bidrar därmed till dessa styrningsramar och infrastrukturer liksom till utbytet av data utanför dataområdena.

De specifika målen med förslaget beskrivs nedan.

–Underlätta konsumenternas och företagens åtkomst till och användning av data, och samtidigt bevara incitamenten att investera i skapandet av värde genom data. Detta inbegriper en ökning av rättssäkerheten kring utbytet av data som erhållits från eller genererats genom användning av produkter eller tillhörande tjänster samt en operationalisering av reglerna för att säkerställa rättvisa avtal om utbyte av data. Genom förslaget klargörs tillämpningen av relevanta rättigheter enligt direktiv 96/9/EG om rättsligt skydd för databaser (databasdirektivet) 9 och dess bestämmelser.

–Se till att de offentliga myndigheterna och unionens institutioner, byråer och organ kan använda data som innehas av företag i särskilda situationer där behovet av data är stort. Detta gäller i första hand vid samhällskriser, men även i andra exceptionella situationer där ett obligatoriskt utbyte av data mellan företag och myndigheter är motiverat för att ge stöd till evidensbaserade, effektiva, ändamålsenliga och resultatinriktade offentliga strategier och tjänster.

–Underlätta byten mellan olika tjänster för molnteknik och edge computing. Åtkomst till konkurrenskraftiga och kompatibla tjänster för databehandling är en förutsättning för en blomstrande dataekonomi där data enkelt kan delas inom och mellan sektorsövergripande ekosystem. Nivån av förtroende för databehandlingstjänsterna är avgörande för tjänsternas användning i olika sektorer i ekonomin.

–Införa skyddsåtgärder mot olaglig överföring av data utan föregående meddelande av molntjänstleverantören. Detta beror på att det finns farhågor om att myndigheter utanför EU och Europeiska ekonomiska samarbetsområdet (EES) kan komma åt data på olagligt sätt. Sådana skyddsåtgärder bör öka förtroendet ytterligare för de databehandlingstjänster som allt oftare ligger till grund för den europeiska dataekonomin.

–Utarbeta interoperabilitetsstandarder för data som ska återanvändas mellan olika sektorer i ett försök att undanröja hinder för datautbytet mellan gemensamma domänspecifika europeiska dataområden, i enlighet med kraven på interoperabilitet inom sektorn, och mellan andra data som inte omfattas av ett särskilt gemensamt europeiskt dataområde. Förslaget ger även stöd till fastställandet av standarder för ”smarta avtal”. Dessa avtal är datorprogram med elektroniska liggare som verkställer och reglerar transaktioner enligt förutbestämda villkor. De kan ge datainnehavare och datamottagare garantier för att villkoren för datautbytet respekteras.

•Förenlighet med befintliga bestämmelser inom området

Detta förslag är förenligt med de befintliga bestämmelserna om behandling av personuppgifter (inbegripet den allmänna dataskyddsförordningen 10 ), skydd av privatlivet och konfidentialitet vid kommunikation, såväl som alla data (personliga och icke-personliga) som lagras i och hämtas från terminalutrustning (direktivet om integritet och elektronisk kommunikation 11 , vilket ska ersättas av en förordning som för närvarande är föremål för lagstiftningsförhandlingar). Förslaget kompletterar befintliga rättigheter, särskilt rättigheterna när det gäller data som genereras av en användarprodukt som är ansluten till ett offentligt elektroniskt kommunikationsnät.

Förordningen om det fria flödet av andra data än personuppgifter 12 införde en grundläggande byggsten av den europeiska dataekonomin genom att säkerställa att andra data än personuppgifter kan lagras, behandlas och överföras var som helst inom unionen. I förordningen presenterades även en metod för självreglering av problemet med ”inlåsning till en leverantör” för leverantörer av databehandlingstjänster genom införandet av uppförandekoder för att underlätta förflyttningen av data mellan olika molntjänster (uppförandekoderna för ”Switching Cloud Providers and Porting Data (SWIPO)” som utvecklats av industrin). Detta förslag bygger vidare på detta för att hjälpa företagen och medborgarna att utnyttja sin fulla rätt att byta molntjänstleverantör och portera data. Det är även fullt förenligt med direktivet om oskäliga avtalsvillkor när det gäller avtalsrätt 13 . Eftersom den självreglerande metoden inte verkar ha haft någon betydande inverkan på marknadsdynamiken när det gäller molntjänster innehåller detta förslag en regleringsmetod för det problem som lyfts fram i förordningen om det fria flödet av andra data än personuppgifter.

Internationell databehandling och lagring och överföring av data regleras genom dataskyddsförordningen, Världshandelsorganisationens (WTO) handelsåtaganden, det allmänna tjänstehandelsavtalet (Gats) och bilaterala handelsavtal.

Konkurrenslagstiftningen 14 är tillämplig, bland annat i samband med kontroll av företagskoncentrationer, utbyte av data mellan företag eller missbruk av ett företags dominerande ställning.

I databasdirektivet 15 föreskrivs en rätt av sitt eget slag för databaser som har skapats genom en väsentlig investering, även om databasen i sig inte är ett ursprungligt intellektuellt verk som skyddas av upphovsrätt. Med utgångspunkt i den stora mängden rättsfall när det gäller tolkningen av bestämmelserna i databasdirektivet syftar detta förslag till att hantera den rättsliga osäkerheten om huruvida databaser som innehåller data som genererats eller erhållits genom användning av produkter eller tillhörande tjänster, däribland sensorer, eller andra typer av maskingenererade data, skulle ha rätt till sådant skydd.

Förordningen om förbindelserna mellan plattformar och företag 16 omfattar insynskrav som innebär att plattformarna måste beskriva för företagsanvändarna vilka data som genereras vid tillhandahållandet av tjänsten.

I direktivet om öppna data 17 fastställs minimiregler för återanvändningen av data som innehas av den offentliga sektorn och offentligt finansierade forskningsdata som gjorts offentligt tillgängliga i databaser.

Initiativet om en europeisk interoperabilitetsram syftar till att införa en samarbetsbaserad interoperabilitetspolitik för en moderniserad offentlig sektor. Initiativet härstammar från ISA2, ett program för unionsfinansiering som löpte från 2016 till 2021 för att ge stöd till utvecklingen av digitala lösningar för interoperabla gränsöverskridande och sektorsöverskridande offentliga tjänster 18 .

Detta förslag är ett komplement till den nyligen antagna dataförvaltningsakten, vars syfte är att underlätta det frivilliga utbytet av data mellan enskilda personer och företag och att harmonisera villkoren för användningen av vissa data inom den offentliga sektorn utan att ändra de materiella rättigheterna eller de fastställda rättigheterna för åtkomst till och användning av data 19 . Det är även ett komplement till förslaget om en rättsakt om digitala marknader, vilken kommer att omfatta krav på vissa leverantörer av centrala plattformstjänster som identifieras som ”grindvakter” att, bland annat, tillhandahålla mer effektiv portabilitet för data som genereras genom en företagsanvändares eller slutanvändares verksamhet 20 .

Detta förslag påverkar inte de befintliga reglerna på områdena immateriella rättigheter (bortsett från tillämpningen av databasrätten enligt databasdirektivet), konkurrens, rättsliga frågor, inrikes frågor och tillhörande (internationellt) samarbete, handelsrelaterade skyldigheter eller det rättsliga skyddet av företagshemligheter.

Lagstiftningen måste anpassas inom flera områden för att främja den digitala omställningen. Tydliga regler om åtkomsten till särskilda data som behövs för vissa produkters cirkularitet och hållbarhet under deras livstid och i icke-exceptionella situationer kommer att fastställas inom ramen för det europeiska digitala produktpasset (som en del av initiativet för hållbara produkter) 21 . Privaträttsliga regler är en viktig del av den övergripande ramen. Denna förordning omfattar därför en anpassning av avtalsrätten och andra bestämmelser för att förbättra villkoren för återanvändning av data på den inre marknaden och förhindra att avtalsparter inte missbrukar obalanser i förhandlingsstyrkan till skada för svagare parter.

Syftet med det övergripande förslaget till dataakten är att fastställa grundläggande regler för alla sektorer när det gäller rätten att använda data, däribland på områdena för smarta maskiner eller konsumentvaror. Rättigheterna och skyldigheterna för åtkomst till och användning av data måste emellertid även regleras i varierande grad på sektorsnivå. Dataakten kommer inte att ändra någon sådan befintlig lagstiftning, men den framtida lagstiftningen på dessa områden bör i princip anpassas till de övergripande principerna i dataakten. Samstämmigheten med dataaktens övergripande bestämmelser bör bedömas i samband med översynen av de sektorsspecifika instrumenten. Detta förslag lämnar utrymme för vertikal lagstiftning för att fastställa mer detaljerade regler för uppfyllandet av sektorsspecifika regleringsmål.

Mot bakgrund av den befintliga sektorslagstiftningen, och med beaktande av skapandet av ett datautrymme inom ramen för den gröna given, kommer översynen 22 av Inspiredirektivet 23 att möjliggöra ytterligare öppen tillgång till och återanvändning av geografiska data och miljödata. Detta initiativ har som mål att göra det lättare för EU:s offentliga myndigheter, företag och medborgare att stödja omställningen till en grön, koldioxidneutral ekonomi och att minska den administrativa bördan. Initiativet förväntas ge stöd till storskaliga tjänster för återanvändbara data som bidrar till insamlingen, utbytet, behandlingen och analysen av stora datavolymer för att se till att miljölagstiftningen och reglerna för de prioriterade åtgärderna i den gröna given följs. Det kommer även att rationalisera rapporteringen och minska bördan genom bättre återanvändning av befintliga data, automatisk rapportering genom datautvinning och företagsinformation.

EU:s elförordning 24 omfattar krav på att systemansvariga för överföringssystem ska tillhandahålla data till tillsynsmyndigheterna för planering av resurstillräckligheten, medan EU:s eldirektiv 25 innehåller föreskrifter för öppen och icke-diskriminerande åtkomst till data och ger kommissionen befogenhet att utarbeta tillhörande krav och förfaranden för driftskompatibilitet för att underlätta detta. Genom det andra betaltjänstdirektivet 26 öppnas vissa typer av information om betalningstransaktioner och konton upp under vissa omständigheter, däribland för att möjliggöra ett utbyte av data mellan företag på fintechområdet. Inom mobilitets- och transportsektorn finns det en mängd olika regler för åtkomst till och utbyte av data. Reparations- och underhållsuppgifter från motorfordon och jordbruksmaskiner omfattas av särskilda skyldigheter när det gäller åtkomst till och utbyte av data enligt typgodkännandelagstiftningen 27 . Det behövs emellertid nya regler för att säkerställa att den befintliga lagstiftningen om typgodkännande av fordon är anpassad till den digitala tidsåldern och främjar utvecklingen av rena, uppkopplade och självkörande fordon. Med dataakten som ram för åtkomsten till och utbytet av data kommer dessa regler att kunna användas för att hantera sektorsspecifika utmaningar, däribland åtkomsten till fordonsfunktioner och resurser.

Flera delegerade förordningar har redan utarbetats och fler kommer att utvecklas inom ramen för direktivet om intelligenta transportsystem 28 , främst för att specificera åtkomsten till data för vägtransport och multimodal transport av passagerare, framför allt via nationella åtkomstpunkter. Inom flygledningstjänst är icke-operativa data viktiga för att förbättra intermodaliteten och konnektiviteten. Operativa data för flygledningstjänst skulle omfattas av den särskilda ordning som definieras inom ramen för det gemensamma europeiska luftrummet 29 . När det gäller trafikövervakning av fartyg är fartygsrelaterade data (för spårning) viktiga för att förbättra intermodaliteten och konnektiviteten. Dessa data omfattas av den särskilda ordning som definieras i VTMIS-direktivet 30 . De ingår även i ansvarsområdet för det digitala maritima systemet och digitala maritima tjänster 31 . I förslaget till en förordning om utbyggnaden av infrastruktur för alternativa bränslen 32 specificeras de relevanta typer av data som ska göras tillgängliga, i samverkan med den allmänna ram som fastställs i direktivet om intelligenta transportsystem.

•Förenlighet med unionens politik inom andra områden

Detta förslag är i linje med kommissionens prioriteringar att rusta Europa för den digitala tidsåldern och att bygga upp en framtidssäkrad ekonomi som arbetar för medborgarna 33 , där digitaliseringen av den inre marknaden kännetecknas av en hög grad av förtroende, säkerhet, trygghet och valfrihet för konsumenterna. Digitaliseringen av den inre marknaden är mycket konkurrensutsatt tack vare en ram som gynnar öppenhet, konkurrens och innovation och som dessutom är teknikneutral. Den ger stöd till faciliteten för återhämtning och resiliens 34 genom att bygga vidare på erfarenheterna av covid-19-pandemin och fördelarna med mer lättillgängliga data vid behov.

Detta förslag stöder den kritiska roll som tillgången till data har för uppnåendet av målen i den europeiska gröna given på olika sätt. För det första ökar myndigheternas, företagens och medborgarnas förståelse för produkternas, tjänsternas och materialens effekter på samhället och ekonomin längs hela försörjningskedjan. För det andra kan den befintliga mängden av relevanta data i den privata sektorn mobiliseras för att bemöta utmaningarna i fråga om klimat, biologisk mångfald, föroreningar 35 och naturresurser i linje med målen för den europeiska gröna given 36 , rådets relevanta slutsatser 37 och Europaparlamentets ståndpunkter 38 . För det tredje bidrar förslaget till att utjämna kunskapsskillnaderna och hantera tillhörande kriser genom utökade åtgärder för begränsning, beredskap och återhämtning.

I linje med industristrategin 39 omfattar förslaget mycket strategiska tekniker som molnbaserade datortjänster och system för artificiell intelligens, områden vars fulla potential EU ännu inte har börjat utnyttja inför nästa våg av industriella data. Genom förslaget uppfylls målet i strategin för data 40 att skapa bättre förutsättningar för företagen när det gäller innovation och konkurrens på grundval av EU:s värderingar och principen om ett fritt flöde av data på den inre marknaden. Det stämmer även överens med handlingsplanen för immateriella rättigheter 41 , i vilken kommissionen gjorde en översyn av databasdirektivet.

Detta förslag bör även uppfylla principerna i handlingsplanen för den europeiska pelaren för sociala rättigheter 42 och tillgänglighetskraven i direktiv (EU) 2019/882 om tillgänglighetskrav för produkter och tjänster 43 .

2.RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

Den rättsliga grunden för detta förslag är artikel 114 i fördraget om Europeiska unionens funktionssätt, vars mål är att upprätta den inre marknaden och säkerställa dess funktion genom att förbättra åtgärderna för tillnärmning av nationella regler.

Avsikten med förslaget är att påskynda slutförandet av den inre marknaden för data för att data från den offentliga sektorn, företagen och medborgarna ska kunna användas på bästa möjliga sätt utan att inkräkta på rättigheterna när det gäller sådana data och de investeringar som gjort för att samla in dem. Bestämmelserna om byte mellan databehandlingstjänster syftar till att säkerställa skäliga och konkurrensbaserade marknadsvillkor för den inre marknaden när det gäller molnlagring, edge computing och tillhörande tjänster.

Skyddet av konfidentiella affärsuppgifter och företagshemligheter är en viktig aspekt av den inre marknadens funktion, liksom i andra sammanhang där tjänster utbyts och varor handlas. Detta förslag säkerställer att företagshemligheter respekteras i samband med användningen av data mellan företag eller av konsumenter. Initiativet kommer att ge unionen möjlighet att dra nytta av hela den inre marknadens storlek, eftersom produkter och tillhörande tjänster ofta utvecklas med hjälp av data från olika medlemsstater och därefter kommersialiseras över hela unionen.

Vissa medlemsstater har vidtagit lagstiftningsåtgärder för att hantera de problem som beskrivs ovan, i scenarier mellan företag eller mellan företag och myndigheter, medan andra inte har vidtagit några åtgärder. Detta kan leda till en fragmentering av lagstiftningen på den inre marknaden med olika regler och förfaranden över hela unionen och ökade kostnader för företag som måste följa olika regler. Därför är det viktigt att säkerställa att de föreslagna åtgärderna tillämpas på ett enhetligt sätt i alla medlemsstater.

•Subsidiaritetsprincipen (för icke-exklusiv befogenhet)

Med tanke på dataanvändningens gränsöverskridande karaktär och de många områden som påverkas av dataakten kan de problem som beskrivs i detta förslag inte hanteras på ett effektivt sätt på medlemsstatsnivå. Fragmentering till följd av skillnader mellan de nationella bestämmelserna bör undvikas, eftersom det skulle leda till högre transaktionskostnader, bristande öppenhet, rättsosäkerhet och oönskad forumshopping. Att undvika detta är särskilt viktigt i alla situationer som rör dataaspekterna av relationerna mellan företag, däribland skäliga avtalsvillkor och skyldigheter för tillverkare av produkter eller tillhörande tjänster i sakernas internet. Dessa aspekter kräver en enhetlig ram i hela unionen.

En bedömning av de gränsöverskridande aspekterna av dataflödena vid utbyte av data mellan företag och myndigheter visar att åtgärder även måste vidtas på unionsnivå. Många privata aktörer som innehar relevanta data är multinationella företag. Dessa företag bör inte tvingas hantera ett fragmenterat rättssystem.

Tjänster för molnlagring erbjuds sällan bara i en medlemsstat. I linje med dataskyddsförordningen och förordningen om det fria flödet av andra data än personuppgifter, vilka gör att konsumenter och företag kan behandla personuppgifter och andra data var de vill i unionen, är den gränsöverskridande behandlingen av data inom unionen avgörande för möjligheterna att bedriva verksamhet på den inre marknaden. Därför är det viktigt att bestämmelserna om byte av databehandlingstjänster tillämpas på unionsnivå för att undvika en skadlig fragmentering på en marknad som annars är enhetlig när det gäller databehandlingstjänster.

Gemensamma åtgärder på unionsnivå krävs för att uppnå de mål som fastställs i detta förslag, däribland innovativa och rättvisa konkurrensförhållanden för datadrivna företag och ett ökat inflytande för medborgarna. Denna gemensamma insats är ett viktigt steg framåt för förverkligandet av visionen att skapa en genuin inre marknad för data.

•Proportionalitetsprincipen

Detta förslag innebär en avvägning mellan de berörda aktörernas rättigheter och intressen och det allmänna målet att underlätta den övergripande användningen av data för en rad olika aktörer. Genom förslaget inrättas ett stödjande ramverk som inte går längre än vad som är nödvändigt för att uppnå målen. Syftet med förslaget är att undanröja befintliga hinder för att företag, konsumenter och den offentliga sektorn ska kunna utnyttja det potentiella värdet av data. Det innebär även att en ram fastställs för framtida särregler för att undvika fragmentering och rättslig osäkerhet. Förslaget klargör de befintliga rättigheterna och fastställer, vid behov, rätten till dataåtkomst, vilket bidrar till utvecklingen av en inre marknad för utbyte av data. Initiativet ger berörda aktörer en betydande flexibilitet när det gäller tillämpningen på sektorsspecifik nivå.

Detta förslag kommer att medföra finansiella och administrativa kostnader. Kostnaderna ska främst bäras av nationella myndigheter, tillverkare och tjänsteleverantörer, så att de uppfyller de skyldigheter som fastställs i denna förordning. De olika alternativ som utforskades och deras förväntade kostnader och fördelar har emellertid lett till en balanserad utformning av instrumentet. På samma sätt kommer kostnaderna för dataanvändare och datainnehavare att uppvägas av värdet av en bredare tillgång och användning av data samt av spridningen på marknaden av nya tjänster.

•Val av instrument

En förordning valdes som instrument eftersom det är den bästa mekanismen för att uppfylla de bredare politiska målen att säkerställa att alla företag i unionen kan öka sin innovations- och konkurrenskraft, att konsumenterna kan få bättre kontroll över sina data och att unionens institutioner, byråer och organ blir bättre rustade att hantera stora politiska utmaningar, däribland samhällskriser. En förordning är nödvändig mot bakgrund av den övergripande harmonisering som eftersträvas med förslaget, för att säkerställa rättssäkerheten och öppenheten för ekonomiska aktörer, däribland mikroföretag och små och medelstora företag, för att ge juridiska och fysiska personer i alla medlemsstater samma nivå av rättsligt verkställbara rättigheter och skyldigheter och för att säkerställa en konsekvent tillämpning i alla medlemsstater såväl som ett effektivt samarbete mellan de olika medlemsstaternas behöriga myndigheter.

Förslaget kommer att stärka den inre marknaden för data genom att öka rättssäkerheten och säkerställa en enhetlig, övergripande och konsekvent rättslig ram.

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig lagstiftning

Detta förslag bygger delvis på den senaste utvärderingen av databasdirektivet och kommissionens undersökning som stöd till översynen av det direktivet 44 . Genom databasdirektivet infördes, bland annat, en särskild rätt av sitt eget slag för att skydda databaserna om databasproducenten har gjort betydande investeringar för att anskaffa, granska och presentera uppgifterna. Direktivet har utvärderats två gånger sedan det antogs. Båda utvärderingarna har kompletterats med meddelanden från kommissionen om politiken för dataekonomin 45 .

Europeiska unionens domstol har skärpt definitionen av väsentliga investeringar i en databas genom att klargöra att databasrätten syftar till att skydda investeringarna vid anskaffandet, och inte vid skapandet av data 46 som en biprodukt av annan ekonomisk verksamhet. Det råder emellertid fortfarande osäkerhet kring oförutsedd eller oavsiktlig tillämpning av databasrätten (rätt av sitt eget slag) när det gäller databaser som innehåller maskingenererade data, dvs. data som erhållits från eller genererats genom användning av produkter eller tillhörande tjänster. En avvägning måste göras mellan de politiska målen för databasernas immaterialrättsskydd inom ramen för dataekonomin, där dataexklusiviteten som en icke-konkurrerande vara i allmänhet ses som ett hinder för innovation. För att säkerställa överensstämmelsen med de regleringsåtgärder som ingår i detta förslag har interventionsåtgärden för databasrätten särskilt inriktats på den problematiska tillämpningen av rätten inom ramen för sakernas internet. Kommissionen håller även på att förbereda en utvärdering av förordning (EU) 2018/1807, vilken förväntas vara slutförd i november 2022. De inledande rapporterna från externa leverantörer har visat att SWIPO:s uppförandekoder har begränsad inverkan när det gäller molnbyte.

•Samråd med berörda parter

Ett omfattande arbete inleddes under den föregående kommissionens mandatperiod för att identifiera de problem som hindrar unionen från att ta vara på den potential som datadriven innovation har för ekonomin. Förslaget bygger på tidigare samråd, däribland 2017 års offentliga samråd som stöd till kommissionens meddelande ”Att skapa en europeisk dataekonomi” 47 , 2017 års offentliga samråd om utvärderingen av databasdirektivet, 2018 års offentliga samråd om översynen av direktivet om vidareutnyttjande av information från den offentliga sektorn, 2018 års samråd med panelen för små och medelstora företag om principer och riktlinjer för utbyte av data mellan företag samt kommissionens öppna internetbaserade samråd om datastrategin 48 från februari till maj 2020.

En inledande konsekvensbedömning offentliggjordes på portalen för bättre lagstiftning den 28 maj 2021 och var öppen för feedback under fyra veckor. Kommissionen tog emot 91 bidrag på portalen för bättre lagstiftning 49 , främst från olika företag.

Ett offentligt internetbaserat samråd om dataakten offentliggjordes den 3 juni 2021, och avslutades den 3 september 2021. Under samrådet behandlades de punkter som ingår i initiativet tillsammans med relevanta avsnitt och frågor. Samrådet riktades till alla typer av aktörer för att samla in information om utbyte, åtkomst och användning av data mellan företag eller mellan företag och myndigheter, konsumentinflytande och dataportabilitet, betydelsen av smarta avtal och andra tekniska åtgärder, användarens möjlighet att byta mellan molntjänster, immateriella rättigheter (dvs. skyddet av databaserna) samt skyddsåtgärder för andra data än personuppgifter i ett internationellt sammanhang. Efter att ha utfört en ingående analys av svaren offentliggjorde kommissionen en sammanfattande rapport på sin webbplats 50 .

Sammanlagt togs 449 bidrag emot från 32 länder. Det största antalet bidrag kom från olika affärsenheter, däribland 122 näringslivsorganisationer och 105 företagsorganisationer. Vidare inkom 100 svar från offentliga myndigheter och 58 från privatpersoner. De flesta svaren bekräftade att det finns en mängd olika hinder för ett effektivt och ändamålsenligt utbyte av data i alla typer av dataförbindelser.

Trots att utbyte av data mellan företag är vanligt förekommande uppgav de svarande som hade upplevt svårigheter att hindren var av teknisk natur (format, brist på standarder – 69 %), direkt vägran att bevilja åtkomst utan någon koppling till konkurrensproblem (55 %) eller missbruk av en obalans mellan avtalsparterna (44 %). När det gäller avtalsrelaterade frågor var nästan hälften av de svarande för införandet av ett oskälighetstest (46 %), medan mindre än hälften så många var emot (21 %). Små och medelstora företag visade ett starkt stöd (50 %) för ett oskälighetstest, och ett betydande antal stora företag var också positiva (41 %). Likaså var 46 % av de berörda aktörerna i de olika sektorerna positiva till allmänna åtkomstregler baserade på rättvisa, skäliga och icke-diskriminerande villkor. De flesta av de svarande (60 %), i synnerhet små och medelstora företag och mikroföretag (78 %), var eniga om att standardavtalsvillkor skulle kunna bidra till ett ökat datautbyte. Vidare uppgav 70 % av de berörda aktörerna att det finns ett rättviseproblem när det gäller data som genereras inom ramen för sakernas internet och att tillverkare av uppkopplade produkter eller tillhörande tjänster inte borde få fatta egna beslut om vad som ska hända med data som genereras av sådana produkter. Av alla svarande ansåg 79 % att smarta avtal kan vara ett effektivt verktyg för det tekniska genomförandet av åtkomst till och användning av samgenererade data i sakernas internet.

Rättslig osäkerhet och rättsliga hinder, kommersiella incitament med avskräckande effekt och en brist på lämplig infrastruktur var bland de viktigaste faktorerna som svarandena uppgav som hinder för utbyte av data mellan företag och myndigheter. Nästan alla offentliga myndigheter (på unionsnivå eller medlemsstatsnivå) anser att åtgärder behövs för utbytet av data mellan företag och myndigheter, jämfört med 80 % av de akademiska institutionerna och forskningsinstitutionerna och 38 % av näringslivs- och företagsorganisationerna. En övervägande majoritet av de berörda aktörerna (i synnerhet medborgare och offentliga myndigheter) ansåg att utbytet av data mellan företag och myndigheter bör vara obligatoriskt, med tydliga skyddsåtgärder för enskilda användningsfall med ett tydligt allmänintresse i nödsituationer samt för krishantering, officiell statistik, miljöskydd och ett sundare samhälle i allmänhet.

Svarandena bekräftade även att rätten att byta mellan olika molntjänster skulle vara av stor betydelse för företagsanvändare. Vad gäller skyddsåtgärder för andra data än personuppgifter i ett internationellt sammanhang ansåg 76 % av svarandena att möjligheten att utländska myndigheter kan komma åt data på grundval av utländsk lagstiftning innebar en risk för deras organisation, och 19 % uppgav att risken var betydande.

•Insamling och användning av sakkunnigutlåtanden

Förslaget stöddes av flera olika undersökningar, seminarier och andra bidrag från sakkunniga:

–En undersökning för att ge stöd till denna konsekvensbedömning om utökad användning av data i Europa, inbegripet intervjuer med utvalda berörda aktörer. Detta omfattade två sektorsöverskridande seminarier om utbytet av data mellan företag och mellan företag och myndigheter och ett slutligt valideringsseminarium som anordnades under våren 2021.

–En undersökning om standardavtalsvillkor, skälighetskontroll av datautbyte och molnavtal samt rätten till dataåtkomst utfördes för att bedöma rättviseaspekter av förbindelserna för utbyte av data mellan företag genom riktade intervjuer med berörda aktörer och ett valideringsseminarium.

–En undersökning av de ekonomiska följderna av oskäliga och obalanserade molnavtal. Detta omfattade en webbenkät med ett urval av små och medelstora företag och uppstartsföretag som använde molntjänster i sin verksamhet.

–En undersökning om byte av molntjänstleverantör, vilken omfattade ett sektorsöverskridande seminarium under andra kvartalet 2017.

–En undersökning som stöd till översynen av databasdirektivet, inbegripet intervjuer med utvalda berörda aktörer. Undersökningen har hjälpt kommissionen att utarbeta denna konsekvensbedömning som ska åtfölja översynen av databasdirektivet inom ramen för dataakten och för uppnåendet av deras sammanflätade mål.

–Metodrelaterat stöd till konsekvensbedömningen av användningen av privatägda uppgifter genom officiell statistik. Detta stöd underlättar bedömningen av konsekvenserna av återanvändningen av data mellan företag och myndigheter i officiell statistik genom att utveckla ett metodiskt tillvägagångssätt och genom att beskriva fördelarna och kostnaderna för dataåteranvändning och utvalda användningsfall för olika statistiska domäner och olika typer av data inom den privata sektorn. Det bidrar även till den forskning och de överläggningar som pågår för att förbättra förståelsen för utbytet av data mellan företag och myndigheter.

–Webbinarier om plattformar för personuppgifter och industriella data. Tre webbinarier anordnades den 6, 7 och 8 maj 2020. Vid dessa tillfällen sammanfördes relevanta projekt för dataplattformar i portföljen Big Data Value Public-Private Partnership.

–Rapport från högnivåexpertgruppen för utbyte av data mellan företag och myndigheter. Rapporten omfattar en analys av problemen kring utbytet av data mellan företag och myndigheter i unionen och innehåller ett antal rekommendationer för att säkerställa ett anpassningsbart, ansvarsfullt och hållbart utbyte av data mellan företag och myndigheter i allmänhetens intresse. Utöver rekommendationen till kommissionen om att undersöka alternativet om en rättslig ram på detta område presenteras flera sätt att uppmuntra privata företag att dela med sig av sina data. Dessa omfattar bland annat monetära och icke-monetära incitament, till exempel skatteincitament, investeringar av offentliga medel för att stödja utvecklingen av tillförlitliga tekniska verktyg samt erkännandesystem för datadelning.

–Workshop om märkning/intyg för leverantörer av tekniska lösningar för datautbyte. Omkring hundra deltagare från olika företag (inklusive små och medelstora företag), europeiska institutioner och den akademiska världen deltog i detta webbinarium den 12 maj 2020. Syftet var att undersöka om ett system för märkning eller utfärdande av intyg skulle kunna stimulera företagens användning av dataförmedlare genom att öka förtroendet för dataekosystemet.

–Tio workshoppar med fler än 300 berörda aktörer från olika sektorer anordnades mellan juli och november 2019. I workshopparna diskuterades hur organiseringen av datautbytet inom vissa områden, däribland miljö, jordbruk, energi eller hälso- och sjukvård, skulle kunna gynna samhället i stort genom att hjälpa offentliga aktörer att utforma bättre strategier och förbättra de offentliga tjänsterna och genom att hjälpa privata aktörer att erbjuda tjänster som bidrar till hanteringen av samhällets utmaningar.

–Samråd inom panelen med små och medelstora företag. Detta samråd anordnades mellan oktober 2018 och januari 2019 för att samla in synpunkter från små och medelstora företag om kommissionens principer och riktlinjer för utbyte av data mellan företag, vilka utfärdades i meddelandet ”Mot ett gemensamt dataområde i EU” och åtföljde arbetsdokumentet från kommissionens avdelningar av den 25 april 2018 51 .

–Den senaste Eurobarometern om digitaliseringens konsekvenser. Denna allmänna undersökning om européernas dagliga liv omfattar frågor om medborgarnas kontroll över och utbyte av sina personuppgifter. Undersökningen offentliggjordes den 5 mars 2020 och innehåller information om de europeiska medborgarnas vilja att dela med sig av sina personuppgifter, däribland under vilka förhållanden.

–Europeiska datatillsynsmannens yttrande om EU-strategin för data 52 . Den 16 juni 2020 antog Europeiska datatillsynsmannen sitt yttrande 3/2020 om EU-strategin för data. Europeiska datatillsynsmannen välkomnade strategin och ansåg att dess genomförande var en möjlighet att föregå med gott exempel när det gäller en alternativ modell för dataekonomi.

•Konsekvensbedömning

Detta förslag åtföljs av en konsekvensbedömning 53 som lämnades in till nämnden för lagstiftningskontroll den 29 september 2021 och den 13 december 2021. Den 21 januari 2022 utfärdade nämnden ett positivt yttrande med förbehåll för reservationer.

•Lagstiftningens ändamålsenlighet och förenkling

Genom att klargöra att databasrätten enligt databasdirektivet (direktiv 96/9/EG) inte är tillämplig på databaser som innehåller data som har genererats eller erhållits genom användning av produkter eller tillhörande tjänster säkerställer förslaget att databasrätten inte kommer att påverka företagens och konsumenternas rätt att komma åt och använda data och att utbyta data enligt föreskrifterna i den här förordningen. Klargörandet innebär att tillämpningen av databasrätten anpassas till målet med lagstiftningsförslaget och har en positiv inverkan på den enhetliga tillämpningen av bestämmelserna för den inre marknaden och för dataekonomin.

Genom att underlätta åtkomsten till och användningen av data bör dataakten minska bördan, både i den offentliga sektorn och bland företagen, i första hand genom sänkta transaktionskostnader och ökade effektivitetsvinster. I enlighet med principen ”en in och en ut” 54 , vilken syftar till att minimera bördan för medborgare och företag när det gäller konsekvenserna och kostnaderna vid tillämpning av lagstiftning, kommer dataaktens uppskattade administrativa nettobörda, baserat på konsekvensbedömningen, att motsvara fördelar som sannolikt inte bara kompenserar utan mer än väl uppväger de tillhörande administrativa kostnaderna.

•Grundläggande rättigheter

Förslaget stämmer överens med unionslagstiftningen om skyddet av personuppgifter och integritet vid kommunikation och användning av terminalutrustning och omfattar ytterligare åtgärder när det gäller åtkomsten till personuppgifter såväl som i fall som omfattas av immateriella rättigheter.

I kapitel II förstärks den höga nivån av konsumentskydd med den nya rättigheten att komma åt användargenererade data i situationer som tidigare inte omfattades av unionsrätten. Rätten att använda och avyttra lagligen förvärvad egendom förstärks med en rättighet att komma åt data som genererats genom användning av föremål i sakernas internet. På så sätt kan ägaren få en bättre användarupplevelse och ett större urval av t.ex. reparations- och underhållstjänster. När det gäller konsumentskydd bör särskild uppmärksamhet ägnas åt barnens rättigheter som utsatta konsumenter, och bestämmelserna i dataakten kommer att bidra till ytterligare klarhet när det gäller åtkomst till och användning av data.

En tredje parts rätt att komma åt data från sakernas internet på användarens begäran begränsar näringsfriheten och avtalsfriheten för tillverkaren eller formgivaren av en produkt eller tillhörande tjänst. Begränsningen är motiverad för att förstärka konsumentskyddet, i synnerhet för att främja konsumentens ekonomiska intressen. Tillverkaren eller formgivaren av en produkt eller tillhörande tjänst har i regel exklusiv kontroll över användningen av data som genererats genom användning av en produkt eller tillhörande tjänst, vilket bidrar till inlåsningseffekter och hindrar inträde på marknaden för aktörer som erbjuder tjänster på eftermarknaden. Rätten att komma åt data från sakernas internet förändrar denna situation genom att ge konsumenter som använder produkter eller tillhörande tjänster möjlighet att på ett meningsfullt sätt kontrollera hur data som genereras när de använder produkten eller den tillhörande tjänsten används och genom att möjliggöra innovation av fler marknadsaktörer. Därmed kan konsumenterna dra nytta av ett större urval av eftermarknadstjänster, t.ex. för reparation och underhåll, utan att vara beroende av tillverkarens tjänster. Förslaget underlättar överföringen av användarens data till tredje parter och möjliggör därmed ett konkurrenskraftigt erbjudande av eftermarknadstjänster, samt bredare databaserad innovation och utveckling av produkter eller tjänster som inte har anknytning till de som användaren ursprungligen köpte eller abonnerade på.

Begränsningen av tillverkarens eller designerns avtalsfrihet och näringsfrihet är proportionell och mildras av att tillverkarens eller formgivarens möjlighet att också använda datauppgifterna inte påverkas, under förutsättning att användningen uppfyller villkoren i lagstiftningen och avtalet med användaren. Tillverkaren eller formgivaren har dessutom rätt att begära kompensation för att ha gett tredje part åtkomst till datauppgifterna. Rätten till åtkomst påverkar inte den befintliga rätten till åtkomst och flyttbarhet för registrerade personer enligt dataskyddsförordningen. Ytterligare skyddsåtgärder säkerställer att den tredje parten använder datauppgifterna på ett proportionerligt sätt.

I kapitel IV presenteras ett rättvist och effektivt skyddssystem mot oskäliga avtalsvillkor vid datautbyte som kommer att bidra till mikroföretagens och de små och medelstora företagens förmåga att bedriva verksamhet. Denna bestämmelse begränsar företagens avtalsfrihet i begränsad omfattning, eftersom den endast gäller oskäliga avtalsvillkor för åtkomst till och användning av data som ensidigt införts av en avtalspart på ett mikroföretag eller ett litet eller medelstort företag. Detta motiveras av att små och medelstora företag i regel har en svagare förhandlingsposition och ofta inte har något annat val än att godta de avtalsvillkor som erbjuds. Avtalsfriheten förblir i stort sett oförändrad, eftersom endast överdrivna och oskäliga villkor ogiltigförklaras, och eftersom de avtal som ingåtts förblir, om möjligt, giltiga utan de oskäliga villkoren. Dessutom kan parterna fortfarande inleda enskilda förhandlingar om ett visst avtalsvillkor 55 .

I kapitel V ingår bestämmelser för utbytet av data mellan företag och myndigheter vid exceptionella behov som kommer att öka de offentliga myndigheternas förmåga att vidta åtgärder för allmänhetens bästa, däribland att reagera på, förebygga eller bistå i återhämtningen efter en samhällskris. Den privata sektorn kommer också att dra nytta av de förenklade förfarandena för att begära åtkomst till data.

Kapitel VI innehåller bestämmelser om byte av leverantör av databehandlingstjänster för att stärka företagskundernas ställning och öka deras valfrihet att byta leverantör. Begränsningen av näringsfriheten för leverantörer av databehandlingstjänster är motiverad, eftersom de nya bestämmelserna syftar till att förebygga inlåsningseffekter på marknaden för molnteknik och edge computing och öka valfriheten för företag och enskilda personer som använder databehandlingstjänster.

Den interventionsåtgärd för databasrätten i databasdirektivet som beskrivs i kapitel X påverkar inte det immaterialrättsskydd som ingår i direktivet. I stället bidrar den till att öka rättssäkerheten i de fall där skyddet genom databasrätten tidigare varit oklart.

4.BUDGETKONSEKVENSER

Förslaget kommer inte att påverka budgeten.

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

På sektorsnivå och makroekonomisk nivå kommer den pågående undersökningen av övervakningen på datamarknaden att underlätta bedömningen av det föreliggande förslagets ekonomiska konsekvenser för tillväxten på unionens datamarknad.

Konsekvenserna för små och medelstora företag, främst deras uppfattning om problemen i samband med åtkomst till och användning av data, kommer att bedömas genom ett samråd i panelen med små och medelstora företag fem år efter antagandet av dataakten.

Med tanke på de gemensamma europeiska dataområdenas centrala roll för genomförandet av EU-strategin för data kommer många av effekterna av detta initiativ att övervakas på nivån för sektorsvisa dataområden och de insikter som gjorts av de stödcentrum för dataområden som ska finansieras genom programmet för ett digitalt Europa. Den regelbundna samverkan mellan kommissionens avdelningar, stödcentrumet och Europeiska datainnovationsstyrelsen (som kommer att inrättas efter att dataförvaltningsakten har trätt i kraft) bör fungera som en tillförlitlig källa till information för bedömningen av framstegen.

Slutligen kommer en utvärdering att inledas fyra år efter antagandet av dataakten för att utvärdera initiativet och utarbeta ytterligare åtgärder vid behov.

•Ingående redogörelse för de specifika bestämmelserna i förslaget

I kapitel I anges förordningens syfte och tillämpningsområde samt de definitioner som används i rättsakten.

Kapitel II innehåller bestämmelser som ökar konsumenternas och företagens rättssäkerhet vid åtkomst till data som genereras av de produkter eller tillhörande tjänster som de äger, hyr eller leasar. Tillverkare och formgivare måste utforma produkterna så att datauppgifterna finns tillgängliga automatiskt, och de måste vara tydliga med vilka data som kommer att finns tillgängliga och hur användaren får tillgång till dem. Bestämmelserna i detta kapitel ska inte påverka tillverkarnas möjlighet att komma åt och använda data från de produkter eller tillhörande tjänster som de erbjuder, om detta har överenskommits med användaren. Datainnehavaren är skyldig att göra sådana data tillgängliga för tredje part på begäran av användaren. Användarna kommer att ha rätt att ge datainnehavaren tillstånd att bevilja åtkomst till datauppgifterna för utomstående tjänsteföretag, däribland leverantörer av eftermarknadstjänster. Mikroföretag och små företag kommer att vara undantagna från dessa skyldigheter.

I kapitel III fastställs allmänna bestämmelser som gäller för skyldigheten att göra datauppgifter tillgängliga. Om en datainnehavare är skyldig att göra datauppgifter tillgängliga för en datamottagare i enlighet med kapitel II eller andra bestämmelser i unionslagstiftningen eller medlemsstaternas lagstiftning ingår de villkor enligt vilka datauppgifterna ska göras tillgängliga och ersättningen för att göra dem tillgängliga i den allmänna ramen. Villkoren måste vara skäliga och icke-diskriminerande, och ersättningen måste vara rimlig, utan att detta hindrar att annan unionslagstiftning eller nationell lagstiftning om genomförande av unionslagstiftning utesluter ersättning eller föreskriver lägre ersättning för att göra datauppgifter tillgängliga. Ersättning till små och medelstora företag får inte överstiga kostnaderna för att göra datauppgifterna tillgängliga, såvida inte annat anges i sektorspecifik lagstiftning. Tvistlösningsorgan som har certifierats av medlemsstaterna får bistå parter som inte godtar ersättningen eller villkoren för att ingå ett avtal.

I kapitel IV behandlas oskäliga avtalsvillkor i avtal om datautbyte mellan företag i situationer där en av parterna ensidigt har infört ett avtalsvillkor för ett mikroföretag eller ett litet eller medelstort förtag. Syftet med detta kapitel är att säkerställa att obalanser i förhandlingsstyrkan mellan avtalsparterna inte påverkar avtalsvillkoren för åtkomst till och användning av data. Oskälighetstestet omfattar en allmän bestämmelse om att definiera oskäliga avtalsvillkor i samband med utbyte av data som kompletteras av en förteckning över klausuler som antingen är eller antas vara oskäliga. I situationer med ojämn förhandlingsstyrka skyddar testet den svagare avtalsparten för att undvika oskäliga avtal. Sådan oskälighet försvårar användningen av data för båda avtalsparterna. Därmed säkerställer bestämmelserna en mer rättvis fördelning av värdet i dataekonomin 56 . De standardavtalsvillkor som rekommenderas av kommissionen kan hjälpa handelsparter att ingå avtal med skäliga villkor.

Genom kapitel V inrättas en harmoniserad ram för att de offentliga myndigheterna och unionens institutioner, byråer och organ ska kunna använda data som innehas av företag i situationer där det finns ett stort behov av de begärda datauppgifterna. Ramen bygger på en skyldighet att göra data tillgängliga och skulle endast vara tillämplig i händelse av en samhällskris eller i en situation där de offentliga myndigheterna har ett exceptionellt behov att använda vissa data, men där sådana data inte kan anskaffas på marknaden, inom rimlig tid genom att anta ny lagstiftning eller med hjälp av befintliga rapporteringskrav. Vid ett exceptionellt behov att hantera ett nödläge, däribland hot mot folkhälsan eller större naturliga eller människoskapade katastrofer, skulle datauppgifterna göras tillgängliga utan kostnad. I andra fall med exceptionella behov, däribland för att förebygga eller bistå vid återhämtningen efter en samhällskris, bör den datainnehavare som gör datauppgifterna tillgängliga ha rätt till ersättning för kostnaderna i samband med tillgängliggörandet av de relevanta uppgifterna plus en skälig marginal. För att säkerställa att rätten att begära datauppgifter inte missbrukas och att den offentliga sektorn bibehåller ansvaret för deras användning skulle begäranden om data behöva vara proportionerliga, omfatta en tydlig angivelse av vilket syfte som ska uppnås och tillgodose intressena för det företag som gör datauppgifterna tillgängliga. De behöriga myndigheterna skulle säkerställa öppenheten och den allmänna tillgängligheten för alla begäranden. De skulle även hantera eventuella efterföljande klagomål.

I kapitel VI införs lagstadgade minimikrav av avtalsmässig, kommersiell och teknisk karaktär som ska åläggas leverantörer av molnteknik, edge computing och andra databehandlingstjänster för att möjliggöra byten mellan sådana tjänster. Genom förslaget säkerställs framför allt att kunderna kan upprätthålla en funktionell likvärdighet (en miniminivå av funktion) hos tjänsten efter att de har bytt till en annan tjänsteleverantör. Förslaget omfattar ett undantag för tekniska hinder, men lägger bevisbördan på tjänsteleverantören i detta avseende. I förslaget föreskrivs inte några särskilda tekniska standarder eller gränssnitt. Det omfattar emellertid ett krav på att tjänsterna ska vara förenliga med europeiska standarder eller öppna tekniska specifikationer för interoperabilitet om sådana finns.

I kapitel VII behandlas olaglig tillgång för tredje part till andra data än personuppgifter som innehas i unionen genom databehandlingstjänster som erbjuds på unionsmarknaden. Förslaget påverkar inte den rättsliga grunden för begäranden om åtkomst till data som innehas av EU-medborgare eller EU-företag och har inte någon inverkan på unionens ramverk för dataskydd och integritet. Det inbegriper särskilda skyddsåtgärder som ålägger leverantörerna att vidta alla rimliga tekniska, rättsliga och organisatoriska åtgärder för att förhindra att sådan åtkomst står i strid med samverkande skyldigheter att skydda sådana data enligt unionsrätten, såvida inte strikta villkor har uppfyllts. Förordningen uppfyller kraven i unionens internationella åtaganden inom ramen för WTO och bilaterala handelsavtal.

I kapitel VIII föreskrivs de grundläggande krav som måste vara uppfyllda när det gäller interoperabiliteten mellan ansvariga för dataområden och leverantörer av databehandlingstjänster, såväl som grundläggande krav för smarta avtal. Genom kapitlet möjliggörs även öppna specifikationer och europeiska standarder för databehandlingstjänsternas interoperabilitet för att främja en gränslös molnmiljö med flera aktörer.

I kapitel IX fastställs ramverket för genomförande och verkställande med behöriga myndigheter i varje medlemsstat, inbegripet en klagomålsmekanism. Kommissionen ska rekommendera frivilliga standardavtalsvillkor för åtkomst till och användning av data. Påföljder ska tillämpas för överträdelser av denna förordning.

Kapitel X innehåller en bestämmelse om att den databasrätt som fastställs i direktiv 96/9/EG inte ska tillämpas på databaser som innehåller data som erhållits från eller genererats genom användning av produkter eller tillhörande tjänster, så att den inte hindrar användarna att utöva sina rättigheter att komma åt och använda data i enlighet med artikel 4 i denna förordning eller rätten att dela sådana data med tredje part i enlighet med artikel 5 i denna förordning.

Kapitel XI ger kommissionen möjlighet att anta delegerade akter för att införa en övervakningsmekanism för bytesavgifter som åläggs leverantörer av databehandlingstjänster, för att ytterligare specificera de grundläggande kraven avseende interoperabilitet och för att offentliggöra hänvisningen till öppna specifikationer och europeiska standarder för databehandlingstjänsternas interoperabilitet. I kapitlet föreskrivs även kommittéförfarandet för att anta genomförandeakter som underlättar antagandet av gemensamma specifikationer för interoperabilitet och smarta avtal i de fall då harmoniserade standarder saknas eller inte är tillräckliga för att säkerställa överensstämmelsen med de grundläggande kraven. Genom förslaget klargörs även förhållandet till andra av unionens rättsakter om rättigheter och skyldigheter i samband med utbyte av data.

2022/0047 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om harmoniserade regler för skälig åtkomst till och användning av data
(dataakten)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande 57 ,

med beaktande av Regionkommitténs yttrande 58 ,

i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1)På senare år har datadriven teknik haft omdanande effekter på alla ekonomiska sektorer. Det ökade antalet produkter som är anslutna till sakernas internet har särskilt ökat volymen och det potentiella värdet av data för konsumenter, företag och samhälle. Högkvalitativa och interoperabla data från olika områden stärker konkurrenskraften och innovationen och säkerställer en hållbar ekonomisk tillväxt. Samma dataset kan potentiellt användas och vidareutnyttjas för en mängd olika syften och i en obegränsad omfattning, utan att det påverkar kvaliteten eller kvantiteten.

(2)Hinder för datadelning står i vägen för en optimal dataallokering som gagnar samhället. Några exempel på sådana hinder är bristande incitament för datainnehavarna att frivilligt ingå datadelningsavtal, osäkerhet om rättigheter och skyldigheter när det gäller data, kostnader för kontrakt och genomförande när det gäller tekniska gränssnitt, en hög fragmenteringsgrad för information i informationssilor, undermålig hantering av metadata, avsaknad av standarder för semantisk och teknisk interoperabilitet, flaskhalsar som hindrar dataåtkomst, brist på gemensam datadelningspraxis och missbruk av kontraktsmässiga obalanser när det gäller datatillgång och dataanvändning.

(3)Inom sektorer som kännetecknas av förekomsten av mikroföretag och små och medelstora företag finns det ofta en brist på digitala kapaciteter och färdigheter för att samla in, analysera och använda data, och åtkomsten begränsas ofta när det är en aktör som innehar data i systemet eller när interoperabiliteten är bristfällig mellan data, mellan datatjänster eller över gränserna.

(4)För att tillgodose den digitala ekonomins behov och undanröja hinder för en väl fungerande inre marknad för data är det nödvändigt att fastställa en harmoniserad ram som specificerar vem utöver tillverkaren eller datainnehavaren som har rätt att få tillgång till data som genereras av produkter eller tillhörande tjänster samt villkoren och grunden för detta. Därför bör medlemsstaterna inte anta eller upprätthålla ytterligare nationella krav när det gäller frågor som omfattas av denna förordning, om det inte uttryckligen föreskrivs i denna förordning, eftersom detta skulle inverka på den direkta och enhetliga tillämpningen av förordningen.

(5)Denna förordning säkerställer att användarna av en produkt eller tillhörande tjänst i unionen i rätt tid kan få tillgång till de data som genereras genom användningen av den berörda produkten eller tillhörande tjänsten och att dessa användare kan använda dessa data, även genom att dela dem med tredje part efter eget val. Genom förordningen införs en skyldighet för datainnehavaren att göra data tillgängliga för användare och tredje parter som utses av användarna under vissa omständigheter. Förordningen säkerställer också att datainnehavarna gör data tillgängliga för datamottagare i unionen på rättvisa, rimliga och icke-diskriminerande villkor och på ett transparent sätt. Privaträttsliga bestämmelser är grundläggande i den allmänna ramen för datadelning. Därför anpassar denna förordning avtalsrättsliga bestämmelser och förhindrar utnyttjandet av kontraktsmässiga obalanser som hindrar en rättvis dataåtkomst och dataanvändning för mikroföretag och små och medelstora företag i den mening som avses i rekommendation 2003/361/EG. Förordningen säkerställer också att datainnehavare när ett exceptionellt behov uppstår ger medlemsstaternas offentliga organ och unionens institutioner, organ eller byråer tillgång till de data som är nödvändiga för utförandet av uppgifter i allmänhetens intresse. Förordningen syftar också till att underlätta byten mellan databehandlingstjänster och att förbättra interoperabiliteten för data och datadelningsmekanismer och -tjänster i unionen. Förordningen bör inte tolkas som att den erkänner eller skapar någon rättslig grund för datainnehavaren att inneha, ha åtkomst till eller behandla data, eller som att den medför någon ny rättighet för datainnehavaren att använda de data som genereras genom användningen av en produkt eller tillhörande tjänst. Förordningens utgångspunkt är i stället den kontroll som datainnehavaren i praktiken – rättsligt eller faktiskt – har över de data som genereras av produkter eller tillhörande tjänster.

(6)Datagenerering är resultatet av åtgärder från minst två aktörer: produktens designer eller tillverkare samt produktens användare. Den ger upphov till frågor som rör rättvisa i den digitala ekonomin, eftersom data som registreras av sådana produkter eller tillhörande tjänster ger viktiga upplysningar för eftermarknaden, stödtjänster och andra tjänster. För att förverkliga de stora ekonomiska fördelarna med data som en icke-rivaliserande vara för ekonomin och samhället är en allmän metod för tilldelning av rättigheter avseende åtkomst till och användning av data att föredra framför tilldelning av exklusiva rättigheter avseende åtkomst och användning.

(7)Den grundläggande rättigheten till skydd av personuppgifter skyddas i synnerhet genom förordning (EU) 2016/679 och förordning (EU) 2018/1725. Dessutom skyddar direktiv 2002/58/EG privatlivet och konfidentialiteten för kommunikation och omfattar även villkor för all lagring av och åtkomst till personuppgifter och icke-personuppgifter från terminalutrustning. Dessa instrument ger grunden för en hållbar och ansvarsfull databehandling, även i de fall då dataset innehåller en blandning av personuppgifter och icke-personuppgifter. Förordningen kompletterar, utan att påverka tillämpningen av, unionslagstiftning om dataskydd och personlig integritet, i synnerhet förordning (EU) 2016/679 och direktiv 2002/58/EG. Ingen bestämmelse i denna förordning bör tillämpas eller tolkas så att den minskar eller begränsar rätten till skydd av personuppgifter eller rätten till personlig integritet eller konfidentialitet för kommunikation.

(8)Principerna om dataminimering, inbyggt dataskydd och dataskydd som standard är viktiga när behandlingen medför betydande risker för individers grundläggande rättigheter. Med beaktande av den aktuella tekniska nivån bör alla parter som deltar i datadelning, inbegripet datadelning inom ramen för denna förordning, genomföra tekniska och organisatoriska åtgärder för att skydda dessa rättigheter. Sådana åtgärder innefattar inte bara pseudonymisering och kryptering, utan även användningen av alltmer tillgänglig teknik som tillåter att algoritmer kombineras med data och gör det möjligt att få fram värdefulla insikter utan någon överföring mellan parterna eller någon onödig kopiering av rådata eller strukturerade data.

(9)Denna förordning kompletterar och påverkar inte tillämpningen av unionslagstiftning som syftar till att främja konsumenternas intressen och säkerställa en hög nivå av konsumentskydd, för att skydda konsumenternas hälsa, säkerhet och ekonomiska intressen, i synnerhet Europaparlamentets och rådets direktiv 2005/29/EG 59 , Europaparlamentets och rådets direktiv 2011/83/EU 60 och Europaparlamentets och rådets direktiv 93/13/EEG 61 .

(10)Denna förordning påverkar inte tillämpningen av unionens rättsakter med föreskrifter om delning av, åtkomst till och användning av data i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, eller för tull- och skatteändamål, oavsett på grundval av vilken rättslig grund enligt fördraget om Europeiska unionens funktionssätt som de antogs. Sådana rättsakter omfattar Europaparlamentets och rådets förordning (EU) 2021/784 av den 29 april 2021 om åtgärder mot spridning av terrorisminnehåll online, [förslagen om e-bevisning [COM(2018) 225 och 226], när de antagits], [förslaget till] Europaparlamentets och rådets förordning om en inre marknad för digitala tjänster (rättsakten om digitala tjänster) och om ändring av direktiv 2000/31/EG, samt internationellt samarbete i detta sammanhang, i synnerhet på grundval av Europarådets Budapestkonvention om it-brottslighet från 2001. Denna förordning påverkar inte medlemsstaternas befogenheter i fråga om allmän säkerhet, försvar och nationell säkerhet i enlighet med unionsrätten, eller tullverksamhet som avser riskhantering och allmän kontroll av de ekonomiska aktörernas uppfyllande av tullkodexen.

(11)Unionslagstiftning som fastställer den fysiska utformningen av och datakraven för produkter som ska släppas ut på unionsmarknaden bör inte påverkas av denna förordning.

(12)Denna förordning kompletterar och påverkar inte tillämpningen av unionslagstiftning som syftar till fastställande av tillgänglighetskrav för vissa produkter och tjänster, i synnerhet direktiv 2019/882 62 .

(13)Denna förordning påverkar inte medlemsstaternas befogenheter i fråga om allmän säkerhet, försvar och nationell säkerhet i enlighet med unionsrätten, eller tullverksamhet som avser riskhantering och allmän kontroll av de ekonomiska aktörernas uppfyllande av tullkodexen.

(14)Fysiska produkter som genom sina komponenter erhåller, genererar eller samlar in data om sin prestanda, användning eller miljö och som kan kommunicera dessa data via en allmänt tillgänglig elektronisk kommunikationstjänst (ofta benämnt sakernas internet) bör omfattas av denna förordning. Elektroniska kommunikationstjänster innefattar markbaserade telefonnät, kabel-tv-nät, satellitbaserade nät och NFC-nät (near-field communication networks). Exempel på sådana produkter är fordon, hemutrustning och konsumentvaror, medicinsk och hälsorelaterad utrustning och maskiner för jordbruk och industri. Dessa data representerar digitaliseringen av användaråtgärder och -händelser och bör därmed vara tillgängliga för användaren, medan information som är härledd eller avledd från dessa data, vilka lagligen innehas, inte bör anses omfattas av denna förordnings tillämpningsområde. Sådana data är potentiellt värdefulla för användaren och stöder innovation och utveckling av digitala tjänster och andra tjänster som skyddar miljön, människors hälsa och den cirkulära ekonomin, i synnerhet genom att underlätta underhåll och reparation av produkterna i fråga.

(15)Vissa produkter som huvudsakligen utformats för att visa eller spela innehåll, eller för att spela in och överföra innehåll, exempelvis för användning av en onlinetjänst, bör däremot inte omfattas av denna förordning, Exempel på sådana produkter är persondatorer, servrar, datorplattor och smarttelefoner, kameror, webbkameror, system för ljudinspelning och textskannrar. De förutsätter mänskligt ingripande för att producera olika former av innehåll, t.ex. textdokument, ljudfiler, videofiler, spel eller digitala kartor.

(16)Det är nödvändigt att fastställa regler som gäller för uppkopplade produkter som innefattar eller är sammankopplade med en tjänst på ett sådant sätt att produkten inte skulle kunna utföra sina funktioner utan den tjänsten. Sådana tillhörande tjänster kan ingå i försäljnings-, hyres- eller leasingavtalet, eller också tillhandahålls sådana tjänster normalt för produkter av samma typ och användaren kan rimligtvis förvänta sig att de ska tillhandahållas mot bakgrund av produktens art och med beaktande av eventuella offentliga uttalanden som gjorts av försäljaren, uthyraren eller leasegivaren eller för deras räkning, eller av andra personer i tidigare länkar i transaktionskedjan, inbegripet tillverkaren. Det kan vara fallet att dessa tillhörande tjänster i sig genererar data av värde för användaren oberoende av datainsamlingskapaciteten i den produkt som de är sammankopplade med. Denna förordning bör också tillämpas på tillhörande tjänster som inte tillhandahålls av försäljaren eller uthyraren utan tillhandahålls av tredje part inom ramen för försäljnings-, hyres- eller leasingavtalet. Om det är osäkert om tillhandahållandet av tjänsten ingår i försäljnings-, hyres- eller leasingavtalet bör denna förordning tillämpas.

(17)Data som generas genom användningen av en produkt eller tillhörande tjänst innefattar data som avsiktligt registrerats av användaren. Sådana data innefattar också data som genereras som en biprodukt av användarens åtgärder, såsom diagnostikdata, och utan någon åtgärd av användaren, exempelvis när produkten är i viloläge, och data som registreras under perioder då produkten är avstängd. Sådana data bör innefatta data i den form och det format som genereras av produkten, men inte omfatta data som är följden av en programvaruprocess som beräknar härledda data från sådana data, eftersom programvaruprocessen kan vara föremål för immateriella rättigheter.

(18)Användaren av en produkt bör förstås som den juridiska eller fysiska person – såsom ett företag eller en konsument – som har köpt, hyrt eller leasat produkten. Beroende på vilket rättsförhållande som ligger till grund för användarens användning av produkten är det denna användare som bär riskerna och åtnjuter fördelarna av användningen av den uppkopplade produkten och som även bör ha åtkomsten till de data som produkten genererar. Användaren bör därför ha rätt att utnyttja fördelarna av data som genereras av den berörda produkten och de tillhörande tjänsterna.

(19)I praktiken är inte alla data som genereras av produkter eller tillhörande tjänster lättillgängliga för användarna av dem, och ofta finns endast begränsade möjligheter till portabilitet för data som genereras av produkter som är uppkopplade till sakernas internet. Användarna kan inte få fram de data som krävs för att utnyttja leverantörer av reparationstjänster eller andra tjänster, och företagen kan inte sjösätta innovativa tjänster som är effektivare och mer lättanvända. Inom många sektorer kan tillverkarna ofta, genom sin kontroll av produktens eller den tillhörande tjänstens tekniska design, bestämma vilka data som genereras och hur åtkomsten till dem ska ske, trots att de inte har någon laglig rätt till dessa data. Det är därför nödvändigt att säkerställa att produkterna utformas och tillverkas, och de tillhörande tjänster tillhandahålls, på ett sådant sätt att användaren alltid kan få enkel åtkomst till de data som genereras genom användningen.

(20)I de fall då flera personer eller enheter äger en produkter eller omfattas av ett leasingavtal eller hyresavtal och har åtkomst till en tillhörande tjänst, bör rimliga ansträngningar göras vid utformningen av produkten, den tillhörande tjänsten eller det berörda gränssnittet för att se till att alla personer kan få åtkomst till de data som de genererar. Användare av produkter som genererar data behöver vanligtvis skapa ett användarkonto. Det innebär att användaren kan identifieras av tillverkaren, och användarkontot kan användas för kommunikation om begäranden om åtkomst till data och hanteringen av sådana. Tillverkare och designers av en produkt som vanligtvis används av flera personer bör införa en nödvändig mekanism som möjliggör separata användarkonton för enskilda personer, vid behov, eller möjligheten för flera personer att använda samma användarkonto. Användaren bör beviljas åtkomst genom ett automatiskt beviljande som verkställs av en enkel begärandemekanism, utan att det krävs någon granskning eller något godkännande från tillverkaren eller datainnehavaren. Detta innebär att data endast tillhandahålls när användaren faktiskt önskar detta. I de fall då ett automatiserat beviljande av en begäran om dataåtkomst inte är möjligt, exempelvis via ett användarkonto eller en mobilapplikation som tillhandahålls tillsammans med produkten eller tjänsten, bör tillverkaren underrätta användaren om hur åtkomst kan fås till data.

(21)Produkterna får vara utformade så att vissa data görs direkt tillgängliga genom datalagring i enheten eller från en fjärrserver till vilken data kommuniceras. Åtkomst till datalagringen i enheten kan möjliggöras genom kabelbaserade eller trådlösa lokala nät (LAN) som är anslutna till en allmänt tillgänglig elektronisk kommunikationstjänst eller ett mobilnät. Servern kan vara tillverkarens egen lokala serverkapacitet eller den lokala serverkapaciteten hos en tredje part eller en leverantör av molntjänster som fungerar som datainnehavare. De kan vara utformade så att de tillåter användaren eller en tredje part att behandla dessa data i produkten eller i en databehandlingsinstans hos tillverkaren.

(22)Virtuella assistenter spelar en allt viktigare roll i digitaliseringen av konsumentmiljön och tjänar som ett användarvänligt gränssnitt för att spela upp innehåll, erhålla information eller aktivera fysiska föremål som är uppkopplade till sakernas internet. Virtuella assistenter kan fungera som en gemensam portal för exempelvis en smart hushållsmiljö och registrera betydande mängder relevanta data om hur användarna interagerar med produkter som är uppkopplade till sakernas internet, även produkter som är tillverkade av andra parter, och kan ersätta användningen av tillverkartillhandahållna gränssnitt såsom pekskärmar och mobilappar. Användaren kan önska göra sådana data tillgängliga till tredjepartstillverkare och möjliggöra nya smarta hushållstjänster. Sådana virtuella assistenter bör omfattas av den rätt till dataåtkomst som föreskrivs i denna förordning även när det gäller data som registrerats innan den virtuella assistenten aktiverats med ”väckningskommandot” och data som genereras när användaren interagerar med en produkt via en virtuell assistent som tillhandahålls av någon annan än tillverkararen av produkten. Det är dock endast data som härrör från interaktionen mellan användaren och produkten via den virtuella assistenten som omfattas av denna förordning. Data som produceras av den virtuella assistenten och som inte är förbunden med användningen av en produkt omfattas inte av denna förordning.

(23)Innan ett avtal ingås om inköp, uthyrning eller leasing av en produkt eller tillhandahållandet av en tillhörande tjänst bör användaren förses med tydlig och tillräcklig information om hur åtkomst kan fås till de data som genereras. Denna skyldighet säkrar transparens när det gäller genererade data och förenklar åtkomsten för användaren. Den påverkar inte den personuppgiftsansvarigas skyldighet att lämna information till den registrerade i enlighet med artiklarna 12, 13 och 14 i förordning 2016/679.

(24)Genom förordningen införs en skyldighet för datainnehavaren att göra data tillgängliga under vissa omständigheter. I den mån personuppgifter behandlas bör datainnehavaren vara en personuppgiftsansvarig i enlighet med förordning (EU) 2016/679. När den registrerade är en användare bör datainnehavaren vara skyldig att ge den registrerade åtkomst till sina data och göra dessa data tillgängliga för tredje parter som väljs av användaren i enlighet med denna förordning. Förordningen skapar dock inte någon rättslig grund enligt förordning (EU) 2016/679 för datainnehavaren att tillhandahålla åtkomst till personuppgifter eller göra dessa tillgängliga för en tredje part på begäran av en användare som inte är den registrerade och den bör inte tolkas som att den medför någon ny rättighet för datainnehavaren att använda data som genereras genom användningen av en produkt eller tillhörande tjänst. Detta gäller i synnerhet om det är tillverkaren som är datainnehavare. I sådana fall bör tillverkarens användning av icke-personuppgifter grundas på en avtalsöverenskommelse mellan tillverkaren och användaren. Denna överenskommelse kan ingå i ett försäljnings-, hyres- eller leasingavtal för produkten. Alla avtalsvillkor i denna överenskommelse som föreskriver att datainnehavaren får använda de data som genereras av användaren av en produkt eller tillhörande tjänst bör vara transparenta för användaren, även vad gäller det ändamål för vilket datainnehavaren avser att använda berörda data. Denna förordning bör inte hindra avtalsvillkor vars effekt är att utesluta eller begränsa datainnehavarens användning av berörda data, eller vissa kategorier av berörda data. Förordningen bör inte heller hindra sektorsspecifika regleringskrav i enlighet med unionsrätten, eller nationell lagstiftning som är förenlig med unionsrätten, som skulle utesluta eller begränsa datainnehavarens användning av vissa sådana data av tydligt definierade skäl grundade på offentlig policy.

(25)Inom sektorer som kännetecknas av koncentration av ett litet antal tillverkare som levererar till slutanvändarna finns det endast ett begränsat antal alternativ för användarna vad gäller delning av data med dessa tillverkare. Under sådana omständigheter kan avtalsöverenskommelser vara otillräckliga för att uppnå målet att stärka användarnas egenmakt. Data tenderar att kvarstå under tillverkarnas kontroll, vilket gör det svårt för användarna att få ut ett värde från de data som genereras av den utrustning som de köper in eller leasar. Därmed finns det bara begränsade möjligheter för innovativa mindre företag att erbjuda databaserade lösningar på ett konkurrenskraftigt sätt och för en diversifierad dataekonomi i Europa. Denna förordning bör därför bygga vidare på senare tids utveckling inom enskilda sektorer, såsom uppförandekoden för delning av jordbruksdata genom avtal. Sektorslagstiftning kan läggas fram för att hantera sektorsspecifika behov och mål. Datainnehavaren bör inte heller använda data som genererats genom användningen av en produkt eller tillhörande tjänst för att få en inblick i användarens ekonomiska situation, tillgångar eller produktionsmetoder eller i användningen på något annat sätt som skulle kunna underminera användarens affärsmässiga ställning på de marknader där denne är verksam. Detta skulle exempelvis innefatta att använda kunskap om ett företags eller ett jordbruks allmänna resultat i avtalsförhandlingar med användaren om potentiella förvärv av användarens produkter eller jordbruksprodukter till skada för användaren, eller att använda sådan information i aggregerad form för inmatning i större databaser om vissa marknader (t.ex. databaser om skördeavkastningen för den kommande skördesäsongen), eftersom en sådan användning indirekt skulle kunna påverka användaren negativt. Användaren bör förses med det tekniska gränssnitt som behövs för hantering av tillstånd, företrädesvis med detaljerade tillståndsalternativ (såsom ”tillåt en gång” eller ”tillåt när denna app eller tjänst används”).

(26)I avtal mellan en datainnehavare och en konsument som är användare av en produkt eller tillhörande tjänst som genererar data ska direktiv 93/13/EEG tillämpas på avtalsvillkoren för att säkerställa att en konsument inte omfattas av oskäliga avtalsvillkor. När det gäller oskäliga villkor som ensidigt åläggs mikroföretag eller små eller medelstora företag enligt definitionen i artikel 2 i bilagan till rekommendation 2003/361/EG 63 föreskriver denna förordning att sådana oskäliga villkor inte bör vara bindande för företaget.

(27)Datainnehavaren kan kräva lämplig användaridentifiering för att kontrollera användarens rätt till dataåtkomst. När det gäller personuppgifter som behandlas av ett personuppgiftsbiträde på uppdrag av den personuppgiftsansvarige bör datainnehavaren säkerställa att begäran om åtkomst tas emot och hanteras av personuppgiftsbiträdet.

(28)Användaren bör vara fri att använda dessa data för alla lagliga ändamål. Detta innefattar att tillhandahålla de data som användaren har erhållit vid utövandet av sin rätt enligt denna förordning åt en tredje part som erbjuder en eftermarknadstjänst som kan konkurrera med en tjänst som tillhandahålls av datainnehavaren, eller instruera datainnehavaren att göra detta. Datainnehavaren bör säkerställa att de data som görs tillgängliga för den tredje parten är lika korrekta, fullständiga, tillförlitliga, relevanta och aktuella som de data som datainnehavaren själv kan ha eller har rätt att få tillgång till från användningen av produkten eller den tillhörande tjänsten. Eventuella företagshemligheter eller immateriella rättigheter bör respekteras vid hanteringen av data. Det är viktigt att bevara incitamenten för investering i produkter med funktioner som baseras på användningen av data från sensorer som är inbyggda i produkten. Denna förordnings syfte bör därför förstås som att främja utvecklingen av nya innovativa produkter eller tillhörande tjänster, stimulera innovation på eftermarknaderna, men även som att stimulera utvecklingen av helt nya tjänster som utnyttjar data, även baserat på data från en rad olika produkter eller tillhörande tjänster. Samtidigt syftar den till att undvika att underminera investeringsincitamenten för den typ av produkt som data erhålls från, exempelvis genom användning av data för utveckling av en konkurrerande produkt.

(29)En tredje part som ges tillgång till data kan vara ett företag, en forskningsorganisation eller en organisation utan vinstsyfte. När datainnehavaren gör data tillgängliga för den tredje parten bör datainnehavaren inte missbruka sin ställning för att uppnå en konkurrensfördel på marknader där datainnehavaren och den tredje parten kan stå i direkt konkurrens med varandra. Datainnehavaren bör därför inte använda några data som genererats genom användningen av produkten eller den tillhörande tjänsten för att få en inblick i den tredje partens ekonomiska situation, tillgångar eller produktionsmetoder eller i användningen på något annat sätt som skulle kunna underminera den tredje partens affärsmässiga ställning på de marknader där denne är verksam.

(30)Användningen av en produkt eller tillhörande tjänst kan, i synnerhet när användaren är en fysisk person, generera data som rör en identifierad eller identifierbar fysisk person (den registrerade). Behandlingen av sådana data omfattas av de regler som fastställs inom ramen för förordning (EU) 2016/679, även när personuppgifter och icke-personuppgifter i ett dataset hänger oupplösligt samman 64 . Den registrerade kan vara användaren eller en annan fysisk person. Personuppgifter får endast begäras av den personuppgiftsansvarige eller den registrerade. En användare som är den registrerade har under vissa omständigheter enligt förordning (EU) 2016/679 rätt att få åtkomst till sina personuppgifter, och dessa rättigheter påverkas inte av denna förordning. Enligt denna förordning har en användare som är en fysisk person dessutom rätt att få åtkomst till alla data som genereras av produkten, både personuppgifter och icke-personuppgifter. I de fall då användaren inte är den registrerade utan ett företag, inbegripet ett enmansföretag, och det inte rör sig om gemensam hushållsanvändning av produkten, kommer användaren att vara en personuppgiftsansvarig i den mening som avses i förordning (EU) 2016/679. Därmed måste en sådan personuppgiftsansvarig användare, som avser att begära personuppgifter som genererats genom användningen av en produkt eller tillhörande tjänst, ha en rättslig grund för behandling av data i enlighet med artikel 6.1 i förordning (EU) 2016/679, såsom samtycke av den registrerade eller berättigade intressen. Denna användare bör säkerställa att den registrerade på lämpligt sätt informeras om de särskilda, uttryckligt angivna och berättigade ändamålen för behandlingen av berörda data, och om hur den registrerade praktiskt kan utöva sina rättigheter. Om datainnehavaren och användaren är gemensamt personuppgiftsansvariga i den mening som avses i artikel 26 i förordning (EU) 2016/679 måste de, på ett transparent sätt genom ett arrangemang sinsemellan, fastställa sina respektive ansvarsområden för att uppfylla kraven i den förordningen. Det bör förstås att sådana användare, när berörda data har gjorts tillgängliga, i sin tur kan bli datainnehavare, om de uppfyller kriterierna enligt denna förordning och därmed omfattas av skyldigheten att göra data tillgängliga enligt denna förordning.

(31)Data som genereras genom användningen av en produkt eller en tillhörande tjänst bör endast göras tillgängliga för en tredje part på användarens begäran. Denna förordning kompletterar därmed den rättighet som föreskrivs i artikel 20 i förordning (EU) 2016/679. Enligt den artikeln har den registrerade rätt att få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig, när dessa uppgifter behandlas på grundval av artikel 6.1 a eller artikel 9.2 a eller på grundval av ett avtal i enlighet med artikel 6.1 b. Den registrerade har också rätt att få dessa personuppgifter överförda direkt från en personuppgiftsansvarig till en annan, men endast när detta är tekniskt möjligt. I artikel 20 specificeras att detta avser data som tillhandahålls av den registrerade, men det anges inte om det förutsätter en aktiv handling från den registrerades sida eller om det också gäller för situationer där en produkt eller tillhörande tjänst genom sin konstruktion på ett passivt sätt iakttar en registrerads beteende eller annan information som rör en registrerad. Rätten enligt denna förordning kompletterar rätten att få ut och överföra personuppgifter i enlighet med artikel 20 i förordning (EU) 2016/679 på flera sätt. Den ger användaren rätt att få åtkomst och ge tredje part tillgång till alla data som genereras genom användningen av en produkt eller tillhörande tjänst, oavsett om det rör sig om personuppgifter, utan någon skillnad mellan data som aktivt tillhandahålls och data som passivt iakttas, och oavsett den rättsliga grunden för behandlingen. Till skillnad från de tekniska skyldigheter som föreskrivs i artikel 20 i förordning (EU) 2016/679 kräver och säkerställer denna förordning den tekniska genomförbarheten för tredjepartsåtkomst till alla typer av data som omfattas av förordningens tillämpningsområde oavsett om det handlar om personuppgifter eller icke-personuppgifter. Den ger också datainnehavaren rätt att fastställa en rimlig ersättning som ska betalas av tredje parter, men inte av användaren, för eventuella kostnader som uppstår när direkt åtkomst ges till de data som genereras av användarens produkt. Om datainnehavaren och den tredje parten inte kan enas om villkoren för sådan direkt åtkomst bör den registrerade inte på något sätt hindras från att utöva de rättigheter som avses i förordning (EU) 2016/679, inbegripet rätten till dataportabilitet, genom att utnyttja rättsmedel i enlighet med den förordningen. Det bör i detta sammanhang förstås att enligt förordning (EU) 2016/679 tillåter ett avtalsarrangemang inte behandling av särskilda kategorier av personuppgifter från datainnehavarens eller den tredje partens sida.

(32)Åtkomst till data som lagras och nås från terminalutrustning omfattas av direktiv 2002/58/EG och förutsätter ett samtycke från abonnenten eller användaren i den mening som avses i det direktivet, om det inte är strikt nödvändigt för tillhandhållandet av en informationssamhällestjänst som uttryckligen begärs av användaren eller abonnenten (eller endast i syfte att överföra ett meddelande). Direktiv 2002/58/EG (direktivet om integritet och elektronisk kommunikation) (och den föreslagna förordningen om integritet och elektronisk kommunikation) skyddar integriteten för användarens terminalutrustning vad gäller användningen av behandlings- och lagringskapacitet och insamling av information. Utrustning för sakernas internet betraktas som terminalutrustning om den är direkt eller indirekt ansluten till ett allmänt kommunikationsnät.

(33)För att förhindra att användare utnyttjas bör tredje parter som fått tillgång till data på användarens begäran endast behandla dessa data för de ändamål som överenskommits med användaren och endast dela dem med annan tredje part om det är nödvändigt för tillhandahållandet av den tjänst som begärts av användaren.

(34)I enlighet med principen om uppgiftsminimering bör den tredje parten endast få tillgång till ytterligare information som är nödvändig för tillhandahållandet av den tjänst som begärts av användaren. När den tredje parten fått tillgång till data bör den uteslutande behandla dessa data för ändamål som överenskommits med användaren, utan inblandning från datainnehavaren. Det bör vara enkelt för användaren att vägra eller avbryta tredje parts tillgång till data eftersom det är användarens sak att godkänna åtkomsten. Den tredje parten bör inte på något sätt utöva tvång mot, vilseleda eller manipulera användaren genom att undergräva eller inskränka användarens handlingsfrihet, beslutsfattande eller valfrihet, exempelvis med hjälp av ett digitalt gränssnitt mot användaren. I detta sammanhang bör tredje parter inte förlita sig på så kallade mörka mönster i designen av sina digitala gränssnitt. Mörka mönster är designtekniker som driver eller vilseleder konsumenter till beslut som har negativa konsekvenser för dem. Dessa manipulationstekniker kan användas för att övertyga användarna, i synnerhet utsatta konsumenter, att ägna sig åt oönskade beteenden och att vilseleda dem genom att ”puffa” dem så att de fattar beslut om att lämna ut data eller för att otillbörligt påverka de beslut som fattas av tjänstens användare, på ett sätt som undergräver och inskränker deras handlingsfrihet, beslutsfattande och valfrihet. Gemensamma och legitima affärsmetoder som är förenliga med unionsrätten bör inte i sig anses utgöra mörka mönster. Tredje parter bör fullgöra sina skyldigheter enligt berörd unionslagstiftning, i synnerhet kraven i direktiv 2005/29/EG, direktiv 2011/83/EU, direktiv 2000/31/EG och direktiv 98/6/EG.

(35)Den tredje parten bör också avstå från att använda data för profilering av individer om inte denna behandling är strikt nödvändig för tillhandahållandet av den tjänst som begärs av användaren. Kravet att radera data när de inte längre krävs för det ändamål som överenskommits med användaren kompletterar den registrerades rätt till radering enligt artikel 17 i förordning 2016/679. När den tredje parten är en leverantör av en dataförmedlingstjänst i den mening som avses i [dataförvaltningsakten] ska de skyddsåtgärder för den registrerade som föreskrivs i den förordningen tillämpas. Den tredje parten får använda data för att utveckla en ny och innovativ produkt eller tillhörande tjänst men inte för att utveckla en konkurrerande produkt.

(36)Uppstartsföretag och små och medelstora företag samt företag från traditionella sektorer med mindre utvecklad digital kapacitet kämpar för att få åtkomst till relevanta data. Denna förordning syftar till att underlätta åtkomsten till data för dessa enheter och samtidigt säkerställa att de motsvarande skyldigheterna är så proportionella som möjligt så att de inte blir alltför betungande. Samtidigt har ett litet antal mycket stora företag med betydande ekonomisk styrka vuxit fram i den digitala ekonomin genom ackumulering och aggregering av enorma datavolymer och den tekniska infrastrukturen för monetarisering av data. Det handlar om företag som tillhandahåller centrala plattformstjänster och kontrollerar hela plattformsekosystem i den digitala ekonomin och som befintliga eller nya marknadsaktörer inte kan utmana eller konkurrera med. [Förordningen om öppna och rättvisa marknader inom den digitala sektorn (rättsakt om digitala marknader)] syftar till att avhjälpa dessa ineffektiva aspekter och obalanser genom att tillåta att kommissionen utser en leverantör till ”grindvakt” och införa ett antal skyldigheter för sådana utsedda grindvakter, inbegripet ett förbud mot att kombinera vissa data utan samtycke, och en skyldighet att säkerställa en rätt till effektiv dataportabilitet i enlighet med artikel 20 i förordning (EU) 2016/679. I överensstämmelse med [förordningen om öppna och rättvisa marknader inom den digitala sektorn (rättsakt om digitala marknader)] och mot bakgrund av grindvaktsföretagens unika möjlighet att förvärva data, är det inte nödvändigt för uppnåendet av denna förordnings mål, och därmed oproportionerligt i förhållande till datainnehavare som omfattas av sådana skyldigheter, att låta sådana grindvaktsföretag omfattas av rätten till dataåtkomst. Detta betyder att ett företag som tillhandahåller centrala plattformstjänster som har utsetts till grindvakt inte kan begära eller beviljas åtkomst till användares data som genereras genom användningen av en produkt eller tillhörande tjänst eller av en virtuell assistent baserat på bestämmelserna i kapitel II i denna förordning. Ett företag som tillhandahåller centrala plattformstjänster som utsetts till grindvakt i enlighet med rättsakten om digitala marknader bör anses inkludera alla rättsliga enheter i en koncern där en rättslig enhet tillhandahåller centrala plattformstjänster. Dessutom får tredje parter som får tillgång till data på begäran av användaren inte göra dessa data tillgängliga för en utsedd grindvakt. Den tredje parten får exempelvis inte lägga ut tjänstetillhandahållandet på underentreprenad hos en grindvakt. Detta hindrar dock inte tredje parter från att använda databehandlingstjänster som erbjuds av en utsedd grindvakt. Det faktum att utsedda grindvakter utesluts från tillämpningsområdet för åtkomsträtten enligt denna förordning hindrar inte dessa företag från att erhålla data på annat lagligt sätt.

(37)Med tanke på det nuvarande tekniska läget är det alltför betungande att införa ytterligare designskyldigheter avseende produkter som tillverkas eller designas av mikroföretag och små företag och tillhörande tjänster som tillhandahålls av sådana. Detta gäller dock inte om mikroföretag eller små företag tillverkar eller designar en produkt på entreprenad. I sådana situationer kan det företaget som har lagt ut entreprenaden på mikroföretaget eller småföretaget ersätta detta på lämpligt sätt. Ett mikroföretag eller småföretag kan dock ändå omfattas av krav enligt denna förordning såsom datainnehavare, om det inte är produktens tillverkare eller leverantör av tillhörande tjänster.

(38)Denna förordning omfattar allmänna regler om åtkomst, när helst en datainnehavare enligt lag är skyldig att göra data tillgängliga för en datamottagare. Sådan åtkomst bör baseras på rättvisa, rimliga, icke-diskriminerande och transparanta villkor för att säkerställa enhetlig datadelningspraxis på den inre marknaden, även mellan sektorer, och för att uppmuntra och främja rättvis datadelningspraxis även på områden där ingen sådan rätt till dataåtkomst föreskrivs. Dessa allmänna åtkomstregler bör inte tillämpas på skyldigheter att göra data tillgängliga enligt förordning (EU) 2016/679. Frivillig datadelning påverkas inte av dessa regler.

(39)Baserat på principen om avtalsfrihet bör parterna fortsatt vara fria att förhandla fram de exakta villkoren för tillhandhållandet av data i sina avtal, inom ramen för de allmänna åtkomstreglerna för tillhandahållandet av data.

(40)För att säkerställa att villkoren för obligatorisk dataåtkomst är rättvisa för båda parter bör de allmänna reglerna för rätten till dataåtkomst hänvisa till regeln om undvikande av oskäliga avtalsvillkor.

(41)För att kompensera bristen på information om villkoren i olika avtal, som gör det svårt för datamottagaren att bedöma om villkoren för tillhandahållande av data är icke-diskriminerande, bör det vara datainnehavarens sak att visa att ett avtalsvillkor inte är diskriminerande. Det rör sig inte om olaglig diskriminering om en datainnehavare använder olika avtalsvillkor för att göra data tillgängliga eller olika ersättningsnivåer, om dessa skillnader är motiverade av objektiva skäl. Dessa skyldigheter bör inte påverka tillämpningen av förordning (EU) 2016/679.

(42)För att uppmuntra fortsatta investeringar i generering av värdefulla data, inbegripet investeringar i relevanta tekniska verktyg, omfattar denna förordning principen att datainnehavaren får begära en rimlig ersättning i de fall då denne enligt lag är skyldig att göra data tillgängliga för datamottagaren. Dessa bestämmelser ska inte förstås som en betalning för själva uppgifterna utan – när det gäller mikroföretag eller små och medelstora företag – som betalning för de kostnader som uppstår och investeringar som krävs när data görs tillgängliga.

(43)I motiverade fall, exempelvis till följd av behovet att skydda konsumenternas deltagande och konkurrensen eller för att främja innovation på vissa marknaden, får unionsrätten eller den nationella lagstiftning som genomför unionsrätten omfatta reglerad ersättning för tillhandhållandet av specifika typer av data.

(44)För att skydda mikroföretag och små och medelstora företag från alltför betungande ekonomiska bördor som affärsmässigt sett skulle göra det alltför svårt för dem att utveckla och driva innovativa affärsmodeller, bör den ersättning för tillhandahållande av data som de betalar inte överstiga de direkta kostnaderna för att göra dessa data tillgängliga och den bör vara icke-diskriminerande.

(45)De direkta kostnaderna för att göra data tillgängliga är de kostnader som är nödvändiga för återgivning av data, spridning på elektronisk väg och lagring av data, men inte för datainsamling eller dataproduktion. De direkta kostnaderna för att göra data tillgängliga bör begränsas till den andel av kostnaderna som kan hänföras till den enskilda begäran, med beaktande av de nödvändiga tekniska gränssnitten eller tillhörande programvara och konnektivitet som måste inrättas permanent av datainnehavaren. Långsiktiga arrangemang mellan datainnehavare och datamottagare, exempelvis genom en abonnemangsmodell, skulle kunna minska kostnaderna för att göra data tillgängliga i regelbundna eller upprepade transaktioner i ett affärsförhållande.

(46)Det är inte nödvändigt att ingripa vid datadelning mellan stora företag eller när datainnehavaren är ett småföretag eller medelstort företag och datamottagaren är ett stort företag. I sådana fall anses företagen själva kunna förhandla fram en ersättning om det är rimligt, med beaktande av sådana faktorer som berörda datas volym, format eller art, och tillgången till och efterfrågan på dessa data, samt kostnaderna för att samla in och göra data tillgängliga för datamottagaren.

(47)Transparens är en viktig princip för att säkerställa att den ersättning som begärs av datainnehavaren är rimlig eller, i de fall då datamottagaren är ett mikroföretag, småföretag eller medelstort företag, att ersättningen inte överstiger kostnaderna för att göra berörda data tillgängliga för datamottagaren och kan hänföras till den enskilda begäran. För att ge datamottagaren möjlighet att bedöma om och kontrollera att ersättningen uppfyller kraven i denna förordning bör datainnehavaren förse datamottagaren med information på tillräcklig detaljnivå om hur ersättningen beräknats.

(48)Det bör gagna datainnehavarna och datamottagarna och därmed stärka förtroendet för datadelning om det finns tillgång till alternativa sätt att lösa inhemska och gränsöverskridande tvister som uppstår i samband med tillhandahållandet. I de fall då parterna inte kan enas om rättvisa, rimliga och icke-diskriminerande villkor för tillhandahållandet av data bör tvistlösningsorgan erbjuda parterna en enkel och snabb lågkostnadslösning.

(49)För att undvika att två eller fler tvistlösningsorgan används för samma tvist, i synnerhet i gränsöverskridande sammanhang, bör ett tvistlösningsorgan kunna avvisa en begäran om att lösa en tvist som redan har hänskjutits till ett annat tvistlösningsorgan eller en domstol i en medlemsstat.

(50)Parter i tvistlösningsförfaranden bör inte hindras från att utöva sin grundläggande rätt till ett effektivt rättsmedel och till en opartisk domstol. Därför bör beslutet att hänskjuta en tvist till ett tvistlösningsorgan inte innebära att dessa parter berövas sin rätt att få sin sak prövad i en domstol i en medlemsstat.

(51)Om en part har en starkare förhandlingsposition finns det en risk för att den kan utnyttja denna till nackdel för den andra avtalsparten vid förhandlingarna om åtkomst till data och göra åtkomsten till dessa data mindre affärsmässigt lönsam eller till och med ekonomiskt oöverkomlig. Sådana avtalsmässiga obalanser kan potentiellt skada mikroföretag och små och medelstora företag som saknar en meningsfull förmåga att förhandla om villkoren för åtkomst till data och som därför inte har något annat val än att godta de avtalsvillkor som de erbjuds. Därför bör oskäliga avtalsvillkor för åtkomst till och användning av data eller avtalsrättsligt ansvar och påföljder vid överträdelse eller uppsägning av datarelaterade skyldigheter inte vara bindande för mikroföretag eller små och medelstora företag när de ensidigt åläggs dem.

(52)Regler om avtalsvillkor bör ta hänsyn till principen om avtalsfrihet som ett grundläggande begrepp i förbindelserna mellan företag. Därför bör inte alla avtalsvillkor omfattas av en skälighetsprövning utan endast de villkor som ensidigt åläggs mikroföretag och små och medelstora företag. Detta omfattar situationer där en part tillhandahåller ett visst avtalsvillkor och mikroföretaget, småföretaget eller det medelstora företaget inte kan påverka innehållet i detta villkor trots ett förhandlingsförsök. Ett avtalsvillkor som helt enkelt föreskrivs av en part och godtas av mikroföretaget, småföretaget eller det medelstora företaget eller ett villkor som förhandlats fram och sedan i ändrad lydelse godkänns av avtalsparterna bör inte anses som ensidigt ålagt.

(53)Dessutom bör reglerna om oskäliga avtalsvillkor endast tillämpas på de delar av ett avtal som rör tillhandahållandet av data, alltså avtalsvillkor som rör åtkomsten till och användningen av data samt avtalsrättsligt ansvar och påföljder vid överträdelse eller uppsägning av datarelaterade skyldigheter. Andra delar av samma avtal, som inte rör tillhandahållandet av data, bör inte vara föremål för skälighetsprövningen enligt denna förordning.

(54)Kriterier för identifiering av oskäliga avtalsvillkor bör endast tillämpas på orimliga avtalsvillkor, i de fall då en starkare förhandlingsposition missbrukas. De allra flesta avtalsvillkor som affärsmässigt gynnar en part mer än en annan, inbegripet sådana som är normala i avtal mellan företag, är ett normalt uttryck för principen om avtalsfrihet och bör fortsätta att gälla.

(55)Om ett avtalsvillkor inte finns med i förteckningen över villkor som alltid anses vara oskäliga eller som antas vara oskäliga bör den allmänna oskälighetsbestämmelsen gälla. I detta hänseende bör de villkor som förtecknas som oskäliga villkor fungera som måttstock för tolkningen av den allmänna oskälighetsbestämmelsen. Slutligen kan också standardavtalsvillkor för datadelningsavtal mellan företag som utarbetas och rekommenderas av kommissionen vara till hjälp för affärspartner som förhandlar fram avtal.

(56)Vid situationer då det finns exceptionella behov kan det vara nödvändigt för offentliga organ eller unionens institutioner, organ eller byråer att använda data som innehas av ett företag för att agera i ett allmänt nödläge eller annan exceptionell situation. Organisationer som bedriver forskning och organisationer som finansierar forskning kan också organiseras som offentliga organ eller offentligrättsliga organ. För att minska bördan för företagen bör mikroföretag och småföretag undantas från skyldigheten att förse offentliga organ och unionens institutioner, organ eller byråer med data i situationer med exceptionella behov.

(57)Vid allmänna nödlägen, såsom folkhälsohot, nödsituationer till följd av miljöförstöring och större naturkatastrofer, inbegripet sådana som förvärras av klimatförändringar, samt vid större katastrofer orsakade av människor, såsom större cybersäkerhetsincidenter, bör allmänintresset av dataanvändningen väga tyngre än datainnehavarnas intresse av att fritt förfoga över de data de innehar. I sådana fall bör datainnehavarna åläggas att göra dessa data tillgängliga för offentliga organ eller unionens institutioner, byråer eller organ på deras begäran. Förekomsten av ett allmänt nödläge fastställs i enlighet med respektive förfaranden i medlemsstaten eller hos berörda internationella organisationer.

(58)Ett exceptionellt behov kan också föreligga när ett offentligt organ kan visa att uppgifterna är nödvändiga antingen för att förhindra ett allmänt nödläge eller för att bidra till återhämtningen från ett allmänt nödläge, i omständigheter som är rimligt näraliggande det allmänna nödläget i fråga. När det exceptionella behovet inte är motiverat av behovet av att reagera på, förhindra eller bidra till återhämtningen från ett allmänt nödläge bör det offentliga organet eller unionsinstitutionen, unionsbyrån eller unionsorganet visa att avsaknaden av snabb tillgång till och användning av begärda data hindrar detta/denna från att effektivt fullgöra en specifik uppgift i allmänt intresse som uttryckligen föreskrivs i lagstiftning. Sådana exceptionella behov kan också uppträda i andra situationer, exempelvis när det gäller att i rätt tid sammanställa officiell statistik och data inte finns tillgängliga på annat sätt eller när det innebär en avsevärt minskad börda för uppgiftslämnarna. Samtidigt bör det offentliga organet eller unionsinstitutionen, unionsbyrån eller unionsorganet, när det inte handlar om att reagera på, förhindra eller bidra till återhämtningen från ett allmänt nödläge, visa att det inte finns några alternativa sätt att erhålla begärda data och att dessa data inte kan erhållas i rätt tid genom att de nödvändiga bestämmelserna om skyldighet att tillhandahålla data fastställs i ny lagstiftning.

(59)Denna förordning bör inte tillämpas på eller föregripa frivilliga arrangemang för utbyte av data mellan privata och offentliga enheter. Skyldigheter för datainnehavare att tillhandahålla data som motiveras av behov av icke-exceptionell art, i synnerhet när datauppsättningen och datainnehavarna är kända och dataanvändningen kan ske regelbundet, såsom är fallet med rapporteringsskyldigheter och skyldigheter kopplade till den inre marknaden, bör inte påverkas av denna förordning. Kraven på åtkomst till data för kontroll av efterlevnaden av tillämpliga regler, även i de fall då offentliga organ anförtror efterlevnadskontrollen åt andra enheter än offentliga organ, bör inte heller påverkas av denna förordning.

(60)Offentliga organ och unionens institutioner, byråer och organ bör förlita sig på sina befogenheter enligt sektorslagstiftning för utövandet av sina uppgifter när det gäller lagföring av brott och administrativa förseelser, verkställandet av straffrättsliga och administrativa påföljder samt insamlingen av data för skatte- eller tulländamål. Denna förordning påverkar därmed inte instrument för delning eller användning av data eller åtkomst till data inom dessa områden.

(61)En proportionell, begränsad och förutsebar ram på unionsnivå är nödvändig för datainnehavarnas tillhandahållande av data, vid exceptionella behov, till offentliga organ och unionens institutioner, byråer eller organ, både med tanke på rättslig förutsebarhet och för att minimera de administrativa bördorna för företagen. Därför bör begäranden avseende dataåtkomst från offentliga organ och unionens institutioner, byråer och organ till datainnehavare vara transparenta och proportionella i fråga om innehållets omfång och detaljrikedom. Begärans syfte och den avsedda användningen av begärda data bör specificeras och förklaras tydligt, med tillräckligt utrymme för den begärande enheten att utföra sina uppgifter i allmänhetens intresse på ett flexibelt sätt. Begäran bör också respektera legitima intressen hos de företag som mottar begäran. Datainnehavarnas börda bör minimeras genom att begärande enheter åläggs att iaktta ”engångsprincipen”, som förhindrar att samma data begärs mer än en gång av mer än ett offentligt organ eller en unionsinstitution, unionsbyrå eller ett unionsorgan, när dessa data behövs till följd av ett allmänt nödläge. För att säkerställa transparens bör begäranden om data som görs av offentliga organ eller unionens institutioner, byråer och organ offentliggöras utan dröjsmål av den enhet som begär dessa data och det bör säkerställas att alla begäranden som motiveras med ett allmänt nödläge finns tillgängliga online.

(62)Syftet med skyldigheten att tillhandahålla data är att säkerställa att offentliga organ och unionens institutioner, byråer och organ har den kunskap som krävs för att reagera på, förhindra eller bidra till återhämtningen från allmänna nödlägen eller att bidra till fullgörandet av de specifika uppgifter som uttryckligen föreskrivs i lagstiftning. De data som erhålls av dessa enheter kan vara affärsmässigt känsliga. Därför bör Europaparlamentets och rådets direktiv (EU) 2019/1024 65 inte tillämpas på data som tillhandahålls i enlighet med denna förordning och bör inte anses som öppna data som är tillgängliga för vidareutnyttjande av tredje part. Detta bör dock inte påverka tillämpligheten för direktiv (EU) 2019/1024 på vidareutnyttjandet av officiell statistik där data som erhållits i enlighet med denna förordning har använts för framtagandet, förutsatt att vidareutnyttjandet inte inkluderar de data som finns i underlaget. Det bör inte heller påverka möjligheten till utbyte av data för forskningsändamål eller för sammanställning av officiell statistik, förutsatt att villkoren i denna förordning uppfylls. Offentliga organ bör också ha rätt att utbyta data som erhållits i enlighet med denna förordning med andra offentliga myndigheter för att hantera de exceptionella behov som begäran om data avser.

(63)Datainnehavare bör ha möjlighet att antingen begära en ändring av den begäran som gjorts av ett offentligt organ eller unionens institution, byrå eller organ eller begära att den annulleras inom 5 eller 15 arbetsdagar beroende på vilken typ av exceptionellt behov som åberopas i begäran. Om en begäran motiveras med ett allmänt nödläge bör det finnas motiverade skäl att inte göra data tillgängliga om det kan visas att begäran liknar eller är identisk med en tidigare begäran för samma ändamål som gjorts av ett annat offentligt organ eller en annan unionsinstitution, unionsbyrå eller annat unionsorgan. En datainnehavare som avvisar en begäran eller begär en ändring bör meddela vilken motivering som ligger till grund för avvisandet av begäran till det offentliga organet eller unionsinstitutionen, unionsbyrån eller unionsorganet som begär data. Om ”rätten av sitt eget slag” avseende databaser enligt Europaparlamentets och rådets direktiv 96/6/EG 66 gäller för de dataset som begärts, bör datainnehavarna utöva sina rättigheter på ett sådant sätt att det inte hindrar ett offentligt organ eller unionens institutioner, byråer och organ från att erhålla dessa data eller från att dela dessa data, i enlighet med denna förordning.

(64)När det är strikt nödvändigt att inkludera personuppgifter i de data som görs tillgängliga för ett offentligt organ eller en unionsinstitution, unionsbyrå eller ett unionsorgan, bör de tillämpliga reglerna om skydd av personuppgifter följas och vid tillhandahållandet och den senare användningen av dessa data bör det finnas mekanismer som skyddar rättigheterna och intressena för de individer som berörs av uppgifterna. Det organ som begär uppgifterna bör visa att det är strikt nödvändigt och att behandlingen sker för specifika och begränsade ändamål. Datainnehavaren bör vidta rimliga åtgärder för att anonymisera dessa data eller, om sådan anonymisering visar sig vara omöjlig, tillämpa sådana tekniska metoder som pseudonymisering och aggregering innan uppgifterna tillhandahålls.

(65)Data som görs tillgängliga för offentliga organ och unionens institutioner, byråer och organ baserat på exceptionella behov bör endast användas för det ändamål som de begärdes för, om inte den datainnehavare som gjorde uppgifterna tillgängliga uttryckligen godkänt att de används för andra ändamål. Dessa data bör förstöras när de inte längre behövs för det ändamål som anges i begäran, om inte annat överenskommits, och datainnehavaren bör underrättas om detta.

(66)Vid vidareutnyttjande av data som tillhandahållits av datainnehavare bör offentliga organ och unionens institutioner, byråer eller organ iaktta både befintlig tillämplig lagstiftning och avtalsskyldigheter som datainnehavaren omfattas av. När röjandet av datainnehavarens företagshemligheter för offentliga organ eller unionens institutioner, byråer eller organ är strikt nödvändig för uppfyllandet av de ändamål för vilka data har begärts, bör datainnehavaren säkerställa konfidentialiteten för de uppgifter som röjs.

(67)När skydd av en betydande kollektiv nyttighet berörs, vilket är fallet när det handlar om att reagera på ett allmänt nödläge, bör det offentliga organet eller unionsinstitutionen, unionsbyrån eller unionsorganet inte förväntas ersätta företagen för de data som erhålls. Allmänna nödlägen är ovanliga händelser och det är inte alla sådana nödlägen som kräver användning av data som innehas av företag. Datainnehavarnas affärsverksamhet bör därför knappast påverkas negativt av att offentliga organ eller unionens institutioner, byråer eller organ använder sig av denna förordning. Andra exceptionella behov än en reaktion på ett allmänt nödläge är förmodligen vanligare – inbegripet situationer där det handlar om förhindrande av eller återhämtning från ett allmänt nödläge, och därför bör datainnehavarna i sådana fall ha rätt till en rimlig ersättning som inte bör överstiga de tekniska och organisatoriska kostnaderna för att tillgodose begäran och den rimliga marginal som krävs för att göra data tillgängliga för det offentliga organet eller unionsinstitutionen, unionsbyrån eller unionsorganet. Ersättningen bör inte anses utgöra betalning för själva uppgifterna eller anses obligatorisk.

(68)Offentliga organ eller unionsinstitutioner, unionsbyråer eller unionsorgan får dela de data som erhållits till följd av en begäran med andra enheter eller personer när det behövs för genomförandet av forskningsverksamhet eller analysverksamhet som de själva inte kan utföra. Sådana data får också under samma omständigheter delas med de nationella statistikbyråerna och Eurostat för sammanställning av officiell statistik. Denna forskningsverksamhet bör dock vara förenlig med det ändamål som uppgifterna begärdes för och datainnehavaren bör underrättas om vidare delning av de data som tillhandahållits. De individer som bedriver forskning eller de forskningsorganisationer med vilka data får delas bör agera antingen på icke vinstdrivande grund eller inom ramen för ett uppdrag i det allmännas intresse som erkänns av staten. Organisationer över vilka kommersiella företag har ett avgörande inflytande, som innebär att de kan utöva kontroll på grund av strukturella situationer, vilket skulle kunna medföra förmånstillträde till forskningsresultat, bör inte anses som forskningsorganisationer vid tillämpningen av denna förordning.

(69)Möjligheten för kunder av databehandlingstjänster, inbegripet molntjänster och edgetjänster, att byta från en databehandlingstjänst till en annan och samtidigt behålla en miniminivå av tjänstefunktioner, är ett centralt villkor för en mer konkurrenspräglad marknad med lägre inträdeshinder för nya tjänsteleverantörer.

(70)Europaparlamentets och rådets förordning (EU) 2018/1807 uppmuntrar tjänsteleverantörer att effektivt utveckla och genomföra självreglerande uppförandekoder som omfattar bästa praxis när det gäller bland annat att underlätta byten av leverantör av databehandlingstjänster och dataportering. Mot bakgrund av att de självregleringsramar som utvecklades till följd av detta har haft begränsad effektivitet, och den allmänna avsaknaden av öppna standarder och gränssnitt, är det nödvändigt att anta ett antal minimiregleringsskyldigheter för leverantörer av databehandlingstjänster för att undanröja avtalsmässiga, ekonomiska och tekniska hinder för effektivt byten mellan databehandlingstjänster.

(71)Databehandlingstjänster bör omfatta tjänster som möjliggör administration av beställtjänster och bred fjärråtkomst till en skalbar och elastisk pool av delbara och distribuerade dataresurser. Dessa dataresurser innefattar sådana resurser som nät, servrar eller annan virtuell eller fysisk infrastruktur, operativsystem, programvara, inbegripet verktyg för programvaruutveckling, samt lagring, applikationer och tjänster. Databehandlingstjänstens kunds förmåga att ensidigt självständigt tillhandahålla datorkapacitet, såsom servertid eller nätlagring, utan någon mänsklig medverkan från tjänsteleverantören, kan beskrivas som administration av beställtjänster. Termen bred fjärråtkomst används för att beskriva att datorkapaciteten tillhandahålls över nätet och nås genom mekanismer som främjar användning av heterogena tunna eller tjocka klientplattformar (däribland webbläsare, mobilenheter och arbetsstationer). Termen skalbar avser datorresurser som leverantören av datebehandlingstjänster fördelar på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. Termen elastisk pool används för att beskriva datorresurser som avsätts och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas eller minskas i takt med arbetsbördan. Termen delbar används för att beskriva datorresurser som tillhandahålls flera användare som delar en gemensam åtkomst till tjänsten där behandlingen genomförs separat för varje användare, även om tjänsten tillhandahålls från samma elektroniska utrustning. Termen distribuerad används för att beskriva de datorresurser som finns på olika nätverksanslutna datorer eller enheter och som kommunicerar och samordnar sig sinsemellan genom meddelandepassning. Termen mycket distribuerad används för att beskriva databehandlingstjänster som involverar databehandling som sker närmare den plats där data genereras eller samlas in, exempelvis i en uppkopplad databehandlingsenhet. Edge computing, som är en form av sådan mycket distribuerad databehandling, förväntas generera nya affärsmodeller och modeller för leverans av molntjänster, som bör vara öppna och interoperabla från början.

(72)Förordningen syftar till att underlätta byten mellan databehandlingstjänster, på ett sätt som omfattar alla villkor och åtgärder som är nödvändiga för att en kund ska kunna avsluta ett avtal med en databehandlingstjänst, ingå ett eller flera nya avtal med olika leverantörer av databehandlingstjänster, portera alla digitala tillgångar, inbegripet data, till övriga berörda leverantörer och fortsätta använda dessa i den nya miljön med tillgång med funktionell likvärdighet. Digitala tillgångar avser element i digitalt format för vilka kunden har nyttjanderätten, inbegripet data, applikationer, virtuella maskiner och andra uttryck för virtualiseringsteknik, såsom behållare. Funktionell likvärdighet innebär att en miniminivå av funktionalitet upprätthålls för en tjänst efter ett byte och bör anses tekniskt genomförbar i alla situationer då både den ursprungliga databehandlingstjänsten och destinationstjänsten (helt eller delvis) täcker samma typ av tjänst. Metadata som genereras genom kundens användning av en tjänst bör också omfattas av portabilitet i enlighet med denna förordnings bestämmelser om byte av leverantör.

(73)I de fall då leverantörer av databehandlingstjänster i sin tur är kunder till databehandlingstjänster som tillhandahålls av en tredjepartsleverantör, kommer de själva att omfattas av effektivare byten, samtidigt som de oförändrat är bundna av denna förordnings skyldigheter när det gäller det egna tjänsteutbudet.

(74)Leverantörer av databehandlingstjänster bör åläggas att erbjuda allt bistånd och stöd som krävs för att göra bytesprocessen framgångsrik och effektiv, men utan att det krävs att dessa leverantörer av databehandlingstjänster utvecklar nya kategorier tjänster inom eller på grundval av it-infrastrukturen hos andra leverantörer av databehandlingstjänster för att garantera funktionell likvärdighet i en annan miljö än de egna systemen. Tjänsteleverantörerna måste dock erbjuda allt bistånd och stöd som krävs för att göra bytesprocessen effektiv. Befintliga rättigheter avseende uppsägning av avtal, inbegripet de som infördes genom Europaparlamentets och rådets förordning (EU) 2016/679 och Europaparlamentets och rådets direktiv (EU) 2019/770 67 , bör inte påverkas.

(75)För att främja byten mellan databehandlingstjänster bör leverantörer av databehandlingstjänster överväga att använda genomförandeverktyg och/eller verktyg för kontroll av efterlevnaden, i synnerhet de som kommissionen offentliggör i form av en regelbok för molntjänster. Standardavtalsklausuler är särskilt fruktbara för att öka förtroendet för databehandlingstjänster, för att upprätta ett mer balanserat förhållande mellan användare och tjänsteleverantörer och för att förbättra rättssäkerheten vad gäller de villkor som är tillämpliga på byten till andra databehandlingstjänster. Därför bör användare och tjänsteleverantörer överväga att använda standardavtalsklausuler som utarbetats av relevanta organ eller expertgrupper som inrättats inom ramen för unionsrätten.

(76)Öppna interoperabilitetsspecifikationer och standarder som utvecklats i enlighet med punkterna 3 och 4 i bilaga II till förordning (EU) nr 1025/2021 på området interoperabilitet och portabilitet möjliggör den sömlösa molnmiljö med flera leverantörer som är en förutsättning för öppen innovation i den europeiska dataekonomin. I och med att marknadsdrivna processer inte har visat sig fungera för fastställandet av tekniska specifikationer eller standarder för att främja molninteroperabilitet i praktiken på nivåerna PaaS (platform-as-a-service) och SaaS (software-as-a-service) bör kommissionen, på grundval av denna förordning och i enlighet med förordning (EU) nr 1025/2012, kunna begära att europeiska standardiseringsorgan utarbetar sådana standarder, i synnerhet för de tjänstetyper som fortfarande saknar sådana. Kommissionen kommer också att uppmana marknadsaktörerna att utveckla relevanta öppna interoperabilitetsspecifikationer. Kommissionen kan, genom delegerade akter, föreskriva användningen av europeiska standarder för interoperabilitet eller öppna interoperabilitetsspecifikationer för specifika typer av tjänster genom en referens i ett centralt unionsregister över standarder till interoperabla databehandlingstjänster. Det kommer endast att refereras till europeiska standarder och öppna interoperabilitetsspecifikationer om de uppfyller de kriterier som anges i denna förordning, som har samma innebörd som kraven i punkterna 3 och 4 i bilaga II till förordning (EU) nr 1025/2021 och de interoperabilitetsaspekter som definieras i ISO/IEC 19941:2017.

(77)Tredjeländer kan anta lagar och andra författningar som syftar till direkt överföring av och statlig åtkomst till icke-personuppgifter som finns utanför det egna landets gränser, inbegripet inom unionen. Rättsliga avgöranden eller beslut av rättsliga eller administrativa myndigheter, däribland brottsbekämpande myndigheter, i tredjeländer som innehåller krav på sådan överföring eller åtkomst till icke-personuppgifter ska vara verkställbara, om de grundar sig på ett gällande internationellt avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en medlemsstat. I andra fall kan det uppstå situationer där en begäran om överföring av eller åtkomst till icke-personuppgifter inom ramen för tredje lands lagstiftning står i strid med en skyldighet att skydda sådana data enligt unionsrätten eller nationell lagstiftning, i synnerhet när det gäller skyddet av individers grundläggande rättigheter, såsom rätten till säkerhet och rätten till ett effektivt rättsmedel, eller en medlemsstats grundläggande intressen med avseende på nationell säkerhet eller försvar samt skyddet av kommersiellt känsliga uppgifter och skyddet av immateriella rättigheter, inbegripet dess avtalsskyldigheter i fråga om konfidentialitet i enlighet med sådan lagstiftning. I avsaknad av internationella avtal som reglerar sådana frågor bör överföring eller åtkomst endast tillåtas om det har kontrollerats att tredjelandets rättssystem omfattar krav på att beslutets skäl och proportionalitet anges, att domstolsavgörandet eller beslutet är specifikt till sin karaktär och att den motiverade invändningen från mottagaren är föremål för prövning av en behörig domstol i tredjelandet som har befogenhet att vederbörligen beakta de relevanta rättsliga intressena för leverantören av sådana data. När det är möjligt enligt villkoren för tredjelandsmyndighetens begäran om dataåtkomst bör leverantören av databehandlingstjänster kunna informera den kund vars data omfattas av begäran för att kontrollera om denna åtkomst potentiellt kan strida mot unionens regler eller nationella regler, såsom reglerna om skydd av kommersiellt känsliga uppgifter, inbegripet skyddet av företagshemligheter och immateriella rättigheter samt avtalsåtaganden avseende konfidentialitet.

(78)För att främja förtroendet för data är det viktigt att det i möjligaste mån genomförs skyddsåtgärder för unionens medborgare, den offentliga sektorn och företagen för att säkra deras kontroll över sina data. Dessutom bör unionsrätten och unionens värden och standarder upprätthållas med avseende på (men inte begränsat till) säkerhet, dataskydd och integritet samt konsumentskydd. För att förhindra olaglig åtkomst till icke-personuppgifter bör leverantörer av databehandlingstjänster som omfattas av detta instrument, däribland molntjänster och edgetjänster, vidta alla rimliga åtgärder för att förhindra åtkomst till de system där icke-personuppgifter lagras, inbegripet, när så är lämpligt, genom kryptering av data, frekventa revisioner, verifierad anslutning till relevanta certifieringssystem för säkerhetsförsäkran och ändring av företagspolicyer.

(79)Standardisering och semantisk interoperabilitet bör ha en nyckelroll för tekniska lösningar som säkerställer interoperabilitet. För att främja överensstämmelse med interoperabilitetskraven är det nödvändigt att föreskriva presumtion om överensstämmelse för interoperabilitetslösningar som motsvarar harmoniserade standarder – eller delar av sådana – i enlighet med Europaparlamentets och rådets förordning (EU) nr 1025/2012. Kommissionen bör anta gemensamma specifikationer på de områden där det saknas harmoniserade standarder eller där dessa är otillräckliga för att ytterligare förbättra interoperabiliteten för gemensamma europeiska dataområden, applikationsprogrammeringsgränssnitt, byte av molntjänst samt smarta kontrakt. Gemensamma specifikationer inom olika sektorer skulle också kunna fortsätta att antas, i enlighet med sektorslagstiftning i unionen eller på nationell nivå, baserat på specifika behov inom dessa sektorer. Återanvändbara datastrukturer och modeller (i form av basvokabulärer), ontologier, applikationsprofiler för metadata, referensdata i form av basvokabulär, taxonomier, kodlistor, behörighetstabeller och tesaurer bör också ingå i de tekniska specifikationerna för semantisk interoperabilitet. Kommissionen bör också få möjlighet att föreskriva utvecklingen av harmoniserade standarder för interoperabla databehandlingstjänster.

(80)För att främja interoperabiliteten för smarta kontrakt i datadelningsapplikationer är det nödvändigt att fastställa grundläggande krav för smarta kontrakt för yrkespersoner som skapar smarta kontrakt för andra eller integrerar sådana smarta kontrakt i applikationer som stöder genomförandet av avtal om datadelning. För att främja sådana smarta kontrakts överensstämmelse med dessa grundläggande krav är det nödvändigt att föreskriva presumtion om överensstämmelse för smarta kontrakt som uppfyller harmoniserade standarder – eller delar av sådana – i enlighet med Europaparlamentets och rådets förordning (EU) nr 1025/2012.

(81)För att säkerställa ett effektivt genomförande av denna förordning bör medlemsstaterna utse en eller flera behöriga myndigheter. Om en medlemsstat utser mer än en behörig myndighet bör den också utse en samordnande behörig myndighet. De behöriga myndigheterna bör samarbeta med varandra. De myndigheter som ansvarar för tillsynen över uppfyllandet av dataskyddet och de behöriga myndigheter som utses inom ramen för sektorslagstiftning bör ha ansvaret för denna förordnings tillämpning inom sina behörighetsområden.

(82)Fysiska och juridiska personer bör, för att hävda sina rättigheter enligt denna förordning vid överträdelse av deras rättigheter enligt denna förordning, ha rätt att söka omprövning genom att inkomma med ett klagomål till behöriga myndigheter. Dessa myndigheter bör vara skyldiga att samarbeta för att säkerställa att klagomålet hanteras och löses på rätt sätt. För att utnyttja mekanismen för nätverket för konsumentskyddssamarbete och möjliggöra representativa åtgärder omfattar denna förordning en ändring av bilagorna till Europaparlamentets och rådets förordning (EU) 2017/2394 68 och Europaparlamentets och rådets direktiv (EU) 2020/1828 69 .

(83)Medlemsstaternas behöriga myndigheter bör säkerställa att överträdelser av de skyldigheter som fastställs i denna förordning bestraffas med påföljder. När de gör detta bör de ta hänsyn till överträdelsens art, allvar, frekvens och varaktighet med tanke på det allmänintresse som står på spel, omfattningen och typen av den verksamhet som bedrivs samt överträdarens ekonomiska kapacitet. De bör ta hänsyn till om den som är skyldig till överträdelsen systematiskt eller återkommande underlåter att uppfylla sina skyldigheter enligt denna förordning. För att hjälpa företagen att utarbeta och förhandla fram avtal bör kommissionen utveckla och rekommendera icke-obligatoriska standardavtalsvillkor för avtal om datadelning mellan företag, vid behov med beaktande av villkoren inom enskilda sektorer och befintlig praxis för frivilliga datadelningsmekanismer. Dessa standardavtalsvillkor bör i första han fungera som ett praktiskt verktyg som hjälper i synnerhet mindre företag att ingå avtal. När sådana standardavtalsvillkor används brett och på ett integrerat sätt bör de också ha den positiva effekten att de påverkar utformningen av avtal om åtkomst till och användning av data och därmed mer generellt leder till rättvisare avtalsförhållanden för åtkomst till och delning av data.

(84)För att undanröja risken för att innehavare av data i databaser som erhålls eller genereras med hjälp av fysiska komponenter, såsom sensorer, i en uppkopplad produkt eller tillhörande tjänst åberopar en ”rätt av sitt eget slag” enligt artikel 7 i direktiv 96/9/EG även när sådana databaser inte omfattas av denna rätt, och de därigenom hindrar ett effektivt utövande av användarnas rätt till åtkomst till och användning av data och deras rätt att dela data med tredjeparter enligt denna förordning, bör denna förordning klargöra att ”rätt av sitt eget slag” inte gäller för sådana databaser eftersom de inte skulle uppfylla kraven om skydd.

(85)För att ta hänsyn till tekniska aspekter av databehandlingstjänster bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen med avseende på komplettering av denna förordning för att införa en mekanism för övervakning av de avgifter som leverantörer av databehandlingstjänster på marknaden tar ut vid leverantörsbyten, att ytterligare specificera de grundläggande kraven för operatörer av dataområden och leverantörer av databehandlingstjänster när det gäller interoperabilitet och att offentliggöra referensen till öppna interoperabilitetsspecifikationer och europeiska standarder för interoperabla databehandlingstjänster. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet om bättre lagstiftning av den 13 april 2016 70 . För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(86)För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter med avseende på att komplettera förordningen genom antagandet av gemensamma specifikationer för att säkerställa interoperabiliteten för gemensamma europeiska dataområden och för datadelning, byten mellan databehandlingstjänster, interoperabiliteten för smarta kontrakt och för tekniska medel, såsom applikationsprogrammeringsgränssnitt, för att möjliggöra överföring av data mellan parter – även kontinuerligt eller i realtid – och för basvokabulärer för semantisk interoperabilitet, och med avseende på antagandet av gemensamma specifikationer för smarta kontrakt. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 71 .

(87)Denna förordning bör inte påverka särskilda bestämmelser i unionsrättsakter på området datadelning mellan företag, mellan företag och konsumenter och mellan företag och offentliga organ som antagits före antagandet av denna förordning. För att säkerställa konsekvens på en väl fungerande inre marknad bör kommissionen vid behov utvärdera situationen med avseende på denna förordnings förhållande till rättsakter som antagits före denna förordnings antagandedatum och som reglerar datadelning, för att bedöma om dessa särskilda bestämmelser behöver anpassas till denna förordning. Denna förordning bör inte påverka tillämpningen av regler som avser behov som är specifika för enskilda sektorer eller områden av allmänt intresse. Sådana regler kan innefatta krav som avser tekniska aspekter av åtkomsten till data, såsom gränssnitt för dataåtkomst, eller hur dataåtkomsten kan tillhandahållas, exempelvis direkt från en produkt eller via dataförmedlingstjänster. Sådana regler kan också omfatta begränsningar av datainnehavares rätt till åtkomst till eller användning av användardata, eller andra aspekter utöver dataåtkomst och dataanvändning, såsom styrningsaspekter. Denna förordning bör inte heller påverka tillämpningen av mer specifika regler i samband med utvecklingen av gemensamma europeiska dataområden.

(88)Denna förordning bör inte påverka tillämpningen av konkurrensreglerna, särskilt inte artiklarna 101 och 102 i fördraget. De åtgärder som förskrivs i denna förordning bör inte användas för att begränsa konkurrensen på ett sätt som strider mot fördraget.

(89)För att ge de ekonomiska aktörerna möjlighet att anpassa sig till de nya reglerna i denna förordning bör dessa börja gälla ett år efter förordningens ikraftträdande.

(90)Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen har hörts i enlighet med artikel 42 i förordning (EU) 2018/1725 och avgav ett gemensamt yttrande den [XX XX 2022].

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I
ALLMÄNNA BESTÄMMELSER

Artikel 1
Innehåll och tillämpningsområde

1.I denna förordning fastställs harmoniserade regler om att göra data som genereras genom användningen av en produkt eller tillhörande tjänst tillgängliga för användaren av den produkten eller tjänsten, om datainnehavares tillhandahållande av data till datamottagare och om datainnehavares tillhandahållande av data till offentliga organ eller unionens institutioner, byråer eller organ, vid exceptionella behov, för utförandet av en uppgift i allmänhetens intresse.

2.Denna förordning är tillämplig på följande:

(a)Tillverkare av produkter och leverantörer av tillhörande tjänster som släpps ut på marknaden i unionen samt användarna av sådana produkter och tjänster.

(b)Datainnehavare som gör data tillgängliga för datamottagare i unionen.

(c)Datamottagare i unionen som ges tillgång till data.

(d)Offentliga organ och unionens institutioner, byråer eller organ som begär att datainnehavare gör data tillgängliga när det finns ett exceptionellt behov av dessa data för utförandet av en uppgift i allmänt intresse samt de datainnehavare som tillhandahåller data till följd av en sådan begäran.

(e)Leverantörer av databehandlingstjänster som erbjuder kunder i unionen sådana tjänster.

3.Unionslagstiftningen om skydd av personuppgifter, personintegritet och konfidentialitet för kommunikation samt terminalutrustningens integritet ska tillämpas på personuppgifter som behandlas i samband med de rättigheter och skyldigheter som fastställs i denna förordning. Denna förordning påverkar inte tillämpligheten för unionslagstiftning om skydd av personuppgifter, i synnerhet förordning (EU) 2016/679 och direktiv 2002/58/EG, inbegripet tillsynsmyndigheternas befogenheter och behörighet. I den mån som de rättigheter som fastställs i kapitel II i denna förordning berörs och, i de fall då användaren är den registrerade, när det gäller personuppgifter som omfattas av rättigheterna och skyldigheterna enligt det kapitlet, ska bestämmelserna i denna förordning komplettera rätten till dataportabilitet enligt artikel 20 i förordning (EU) 2016/679.

4.Denna förordning påverkar inte unionsrättsakter och nationella rättsakter som föreskriver delning, åtkomst till och användning av data för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, däribland Europaparlamentets och rådets förordning (EU) 2021/784 72 och [förslagen om e-bevisning [COM(2018) 225 och 226], när de antagits, eller internationellt samarbete på det området. Denna förordning ska inte påverka insamling, delning, åtkomst till eller användning av data enligt Europaparlamentets och rådets direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism eller Europaparlamentets och rådets förordning (EU) 2015/847 om uppgifter som ska åtfölja överföringar av medel. Denna förordning påverkar inte medlemsstaternas befogenheter i fråga om verksamhet som rör allmän säkerhet, försvar, nationell säkerhet, tull- och skatteförvaltningen och medborgarnas hälsa och säkerhet i enlighet med unionsrätten.

Artikel 2
Definitioner

I denna förordning gäller följande definitioner:

(1)data: varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, fakta eller information, även i form av ljudupptagningar, bildupptagningar eller audiovisuella upptagningar.

(2)produkt: alla lösa saker, även när de ingår i ett fast föremål, som erhåller, genererar eller samlar in data om sin användning eller om miljön, och som kan kommunicera data via en allmänt tillgänglig elektronisk kommunikationstjänst och vars huvudfunktion inte är att lagra eller behandla data.

(3)tillhörande tjänst: en digital tjänst, inbegripet programvara, som ingår i eller är sammankopplad med en produkt på ett sådant sätt att produkten inte skulle kunna utföra en av sina funktioner utan den.

(4)virtuella assistenter: programvara som kan behandla uppmaningar, uppdrag eller frågor, baserat på t.ex. ljud, gester eller rörelse, och som baserat på dessa uppmaningar, uppdrag eller frågor ger tillgång till sina egna eller tredje parts tjänster eller kontrollerar sina egna eller tredje parts enheter.

(5)användare: fysisk eller juridisk person som äger, hyr eller leasar en produkt eller erhåller en tjänster.

(6)datainnehavare: juridisk eller fysisk person som har en rätt eller skyldighet, i enlighet med denna förordning, tillämplig unionslagstiftning eller nationell lagstiftning som genomför unionslagstiftning, eller, när det gäller icke-personuppgifter och genom kontroll av den tekniska designen för produkten och tillhörande tjänster, förmågan att göra vissa data tillgängliga.

(7)datamottagare: en juridisk eller fysisk person, som agerar för syften kopplade till personens näringsverksamhet, affärsverksamhet, hantverk eller yrke och som är en annan än användaren av en produkt eller tillhörande tjänst, åt vilken datainnehavaren gör data tillgängliga, inbegripet en tredje part på användarens begäran eller i enlighet med en rättslig skyldighet enligt unionsrätten eller nationell lagstiftning som genomför unionsrätten.

(8)företag: en fysisk eller juridisk person som när det gäller avtal eller praxis som omfattas av denna förordning agerar för syften som är kopplade till personens näringsverksamhet, affärsverksamhet, hantverk eller yrke.

(9) offentliga organ: medlemsstaternas nationella, regionala eller lokala myndigheter och medlemsstaternas offentligrättsliga organ, eller sammanslutningar som bildats av en eller flera sådana myndigheter eller ett eller flera sådana organ.

(10)allmänt nödläge: en exceptionell situation med negativa konsekvenser för befolkningen i unionen, en medlemsstat eller en del av en medlemsstat, och som medför en risk för allvarliga och bestående återverkningar på levnadsvillkoren och den ekonomiska stabiliteten, eller avsevärd värdeminskning av ekonomiska tillgångar i unionen eller berörda medlemsstater.

(11)behandling: åtgärd eller kombination av åtgärder som utförs på data eller dataset i elektroniskt format, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

(12)databehandlingstjänst: en digital tjänst som inte är en innehållstjänst online enligt definitionen i artikel 2.5 i förordning (EU) 2017/1128, vilken tillhandahålls åt en kund och möjliggör administration av beställtjänster och bred fjärråtkomst till en skalbar och elastisk pool av delbara dataresurser av centraliserad, distribuerad eller mycket distribuerad art.

(13)tjänstetyp: en uppsättning databehandlingstjänster som delar samma primära mål och grundläggande databehandlingstjänstemodell.

(14)funktionell likvärdighet: upprätthållande av en miniminivå av funktionalitet i miljön för en ny databehandlingstjänst efter bytesprocessen, i en sådan mån att destinationstjänsten, till följd av användarens inputåtgärd avseende centrala delar av tjänsten, kommer att leverera samma output med samma prestanda och med samma nivå av säkerhet, operativ resiliens och tjänstekvalitet som den ursprungliga tjänsten vid den tidpunkt då avtalet sades upp.

(15)öppna interoperabilitetsspecifikationer: teknisk specifikation på IKT-området, enligt definitionen i förordning (EU) nr 1025/2012, som är resultatinriktad på att uppnå interoperabilitet mellan databehandlingstjänster.

(16)smart kontrakt: ett datorprogram som lagras i ett system för elektroniska liggare där resultatet från exeveringen av programmet registreras i den elektroniska liggaren.

(17)elektronisk liggare: en elektronisk liggare enligt artikel 3.53 i förordning (EU) nr 910/2014;

(18)gemensamma specifikationer: ett dokument, som inte är en standard, vilket omfattar tekniska lösningar som gör det möjligt att uppfylla vissa krav och skyldigheter som fastställs i enlighet med denna förordning.

(19)interoperabilitet: förmågan hos två eller fler dataområden eller kommunikationsnät, system, produkter, applikationer eller komponenter att utbyta och använda data för att utföra sina funktioner.

(20)harmoniserad standard: harmoniserad standard enligt definitionen i artikel 2.1 c i förordning (EU) nr 1025/2012.

KAPITEL II
DATADELNING MELLAN FÖRETAG OCH KONSUMENTER OCH MELLAN FÖRETAG

Artikel 3
Skyldighet att göra data som genereras genom användning av produkter eller tillhörande tjänster tillgängliga

1.Produkter ska utformas och tillverkas, och tillhörande tjänster ska tillhandahållas, så att data som genereras av användare är tillgängliga för användaren på ett enkelt, säkert och, när detta är relevant och lämpligt, direkt sätt.

2.Innan ett avtal om köp, hyra eller leasing av en produkt eller en tillhörande tjänst ingås ska åtminstone följande information lämnas till användaren i ett tydligt och begripligt format:

(a)Arten och volymen av de data som sannolikt kommer att genereras vid användning av produkten eller den tillhörande tjänsten.

(b)Om det är sannolikt att data kommer att genereras kontinuerligt och i realtid.

(c)Hur användaren kan få åtkomst till dessa data.

(d)Huruvida den tillverkare som tillhandahåller produkten eller den tjänsteleverantör som tillhandahåller den tillhörande tjänsten har för avsikt att själv använda dessa data eller tillåta en tredje part att använda dem och, i så fall, de ändamål för vilka dessa data kommer att användas.

(e)Huruvida säljaren, uthyraren eller leasegivaren är datainnehavare och, om så inte är fallet, information om vem datainnehavaren är, som t.ex. företagsnamn och den geografiska adress där denne är etablerad.

(f)De kommunikationsmedel som gör det möjligt för användaren att snabbt kontakta datainnehavaren och effektivt kommunicera med denna.

(g)Hur användaren kan begära att data delas med en tredje part.

(h)Användarens rätt att lämna in ett klagomål om överträdelse av bestämmelserna i detta kapitel till den behöriga myndighet som avses i artikel 31.

Artikel 4
Användarens rätt att få åtkomst till och använda data som genereras genom användning av produkter eller tillhörande tjänster

1.Om användaren inte har direkt åtkomst till data från produkten ska datainnehavaren utan onödigt dröjsmål, utan kostnad och i tillämpliga fall kontinuerligt och i realtid göra de data som genereras genom användningen av en produkt eller tillhörande tjänst tillgängliga för användaren. Detta ska göras på grundval av en enkel begäran på elektronisk väg om det är tekniskt möjligt.

2.Datainnehavaren får inte kräva att användaren lämnar någon information utöver vad som är nödvändigt för att bekräfta att det rör sig om en användare enligt punkt 1. Datainnehavaren får inte spara någon information om användarens åtkomst till de data som begärs utöver vad som är nödvändigt för ett korrekt utförande av användarens begäran om åtkomst och för säkerheten och underhållet av datainfrastrukturen.

3.Företagshemligheter får endast röjas under förutsättning att alla specifika åtgärder som är nödvändiga vidtas för att bevara konfidentialiteten för företagshemligheter, särskilt med avseende på tredje parter. Datainnehavaren och användaren kan komma överens om åtgärder för att hålla delade data konfidentiella, särskilt i förhållande till tredje part.

4.Användaren får inte använda de data som erhållits till följd av en begäran som avses i punkt 1 för att utveckla en produkt som konkurrerar med den produkt som dessa data härrör från.

5.Om användaren inte är den registrerade ska datainnehavaren endast tillgängliggöra personuppgifter som genereras genom användning av en produkt eller tillhörande tjänst för användaren om det finns en giltig rättslig grund enligt artikel 6.1 i förordning (EU) 2016/679 och, i förekommande fall, om villkoren i artikel 9 i förordning (EU) 2016/679 är uppfyllda.

6.Datainnehavaren får endast använda icke-personuppgifter som genereras genom användning av en produkt eller tillhörande tjänst på grundval av ett avtal med användaren. Datainnehavaren får inte använda sådana data som genererats genom användningen av produkten eller den tillhörande tjänsten för att få insikter om användarens ekonomiska situation, tillgångar och produktionsmetoder eller användning som skulle kunna undergräva användarens kommersiella ställning på de marknader där användaren är verksam.

Artikel 5
Rätten att dela data med tredje part

1.På begäran av en användare, eller av en part som agerar för en användares räkning, ska datainnehavaren utan onödigt dröjsmål och utan kostnad för användaren göra de data som genererats genom användningen av en produkt eller tillhörande tjänst tillgängliga för en tredje part, med samma kvalitet som är tillgänglig för datainnehavaren och, i tillämpliga fall, kontinuerligt och i realtid.

2.Företag som tillhandahåller centrala plattformstjänster och för vilka en eller flera av dessa tjänster har utsetts till grindvakt i enlighet med artikel [...] i [förordning XXX om öppna och rättvisa marknader inom den digitala sektorn (rättsakten om digitala marknader) 73 ska inte vara en godtagbar tredje part enligt denna artikel och får därför inte

(a)på något sätt försöka söka utverka eller erbjuda kommersiellt incitament till en användare, inbegripet genom att tillhandahålla ekonomisk eller annan ersättning, för att användaren ska göra data som användaren har erhållit till följd av en begäran enligt artikel 4.1 tillgängliga för en av förtagets tjänster,

(b)söka utverka eller erbjuda kommersiellt incitament till en användare för att användaren ska begära att datainnehavaren gör data tillgängliga för en av företagets tjänster i enlighet med punkt 1 i denna artikel,

(c)från en användare ta emot data som användaren har fått till följd av en begäran enligt artikel 4.1.

3.Användaren eller den tredje parten ska inte vara skyldig att tillhandahålla någon information utöver vad som är nödvändigt för att bekräfta att det rör sig om en användare eller en tredje part i enlighet med punkt 1. Datainnehavaren får inte spara någon information om den tredje partens åtkomst till begärda data utöver vad som är nödvändigt för ett korrekt utförande av den tredje partens begäran om åtkomst och för säkerheten och underhållet av datainfrastrukturen.

4.Den tredje parten får inte, för att få tillgång till data, använda tvångsmedel eller missbruka uppenbara luckor i datainnehavarens tekniska infrastruktur som utformats för att skydda data.

5.Datainnehavaren får inte använda icke-personuppgifter som genereras genom användningen av produkten eller den tillhörande tjänsten för att få insikter om den tredje partens ekonomiska situation, tillgångar, produktionsmetoder eller användning av produkten eller tjänsten som skulle kunna undergräva den tredje partens kommersiella ställning på de marknader där den tredje parten är verksam, såvida inte den tredje parten har samtyckt till sådan användning och har teknisk möjlighet att när som helst återkalla sitt samtycke.

6.Om användaren inte är en registrerad ska alla personuppgifter som genereras genom användning av en produkt eller tillhörande tjänst endast göras tillgängliga om det finns en giltig rättslig grund enligt artikel 6.1 i förordning (EU) 2016/679 och, i förekommande fall, om villkoren i artikel 9 i förordning (EU) 2016/679 är uppfyllda.

7.Om datainnehavaren och den tredje parten underlåter att komma överens om arrangemangen för överföring av data får detta inte hindra eller inkräkta på den registrerades utövande av sina rättigheter enligt förordning (EU) 2016/679, i synnerhet inte när det gäller rätten till dataportabilitet enligt artikel 20 i den förordningen.

8.Företagshemligheter får endast röjas för tredje part i den mån de är absolut nödvändiga för att uppfylla det syfte som överenskommits mellan användaren och den tredje parten och alla särskilda nödvändiga åtgärder som datainnehavaren och den tredje parten kommit överens om vidtas av den tredje parten för att bevara företagshemlighetens konfidentialitet. I sådana fall ska dessa datas art som företagshemligheter och åtgärderna för att bevara konfidentialiteten anges i avtalet mellan datainnehavaren och den tredje parten.

9.Den rätt som avses i punkt 1 får inte påverka andras dataskyddsrättigheter på ett ogynnsamt sätt.

Artikel 6
Skyldigheter för tredje parter som tar emot data på användarens begäran

1.En tredje part ska behandla de data som gjorts tillgängliga för den i enlighet med artikel 5 endast för de ändamål och på de villkor som överenskommits med användaren och med förbehåll för den registrerades rättigheter när det gäller personuppgifter, och ska radera data när de inte längre är nödvändiga för det överenskomna ändamålet.

2.Den tredje parten ska inte

(a)på något sätt tvinga, vilseleda eller manipulera användaren genom att undergräva eller försämra användarens självständighet, beslutsfattande eller val, inbegripet genom ett digitalt gränssnitt mot användaren,

(b)använda de data som den tar emot för profilering av fysiska personer i den mening som avses i artikel 4.4 i förordning (EU) 2016/679 såvida det inte är nödvändigt för att tillhandahålla den tjänst som begärs av användaren,

(c)göra de data den tredje parten tar emot tillgängliga för en annan tredje part, i obearbetad, aggregerad eller härledd form, såvida det inte är nödvändigt för att tillhandahålla den tjänst som begärs av användaren,

(d)göra de data den tredje parten mottar tillgängliga för ett företag som tillhandahåller centrala plattformstjänster och för vilka en eller flera av dessa tjänster har utsetts till grindvakt i enlighet med artikel [...] i [förordning XXX om öppna och rättvisa marknader inom den digitala sektorn (rättsakten om digitala marknader)],

(e)använda de data som den mottar för att utveckla en produkt som konkurrerar med den produkt från vilken tillgängliga data härrör eller dela dessa data med en annan tredje part för det ändamålet,

(f)hindra användaren, bland annat genom avtalsenliga åtaganden, från att göra mottagna data tillgängliga för andra parter.

Artikel 7
Tillämpningsområdet för skyldigheter vad gäller datadelning mellan företag och konsumenter och mellan företag

1.Skyldigheterna i detta kapitel ska inte gälla data som genereras genom användning av produkter som tillverkas eller tillhörande tjänster som tillhandahålls av företag som kan betecknas som mikroföretag eller små företag enligt definitionen i artikel 2 i bilagan till rekommendation 2003/361/EG, förutsatt att dessa företag inte har partnerföretag eller anknutna företag enligt definitionen i artikel 3 i bilagan till rekommendation 2003/361/EG vilka inte räknas som mikroföretag eller små företag.

2.När det i denna förordning hänvisas till produkter eller tillhörande tjänster ska en sådan hänvisning även anses omfatta virtuella assistenter, i den mån de används för att få åtkomst till eller kontrollera en produkt eller tillhörande tjänst.

KAPITEL III
SKYLDIGHETER FÖR DATAINNEHAVARE SOM ENLIGT LAG ÄR SKYLDIGA ATT GÖRA DATA TILLGÄNGLIGA

Artikel 8
Villkor enligt vilka datainnehavare gör data tillgängliga för datamottagare

1.Om en datainnehavare är skyldig att göra data tillgängliga för en datamottagare enligt artikel 5 eller enligt annan unionslagstiftning eller nationell lagstiftning som genomför unionsrätten, ska denne göra detta på rättvisa, rimliga och icke-diskriminerande villkor och på ett öppet sätt i enlighet med bestämmelserna i detta kapitel och kapitel IV.

2.En datainnehavare ska komma överens med en datamottagare om villkoren för att göra data tillgängliga. Ett avtalsvillkor om tillgång till och användning av data eller om ansvar och rättsmedel vid överträdelse eller uppsägning av datarelaterade skyldigheter ska inte vara bindande om det uppfyller villkoren i artikel 13 eller om det utesluter tillämpningen av, avviker från eller ändrar verkan av användarens rättigheter enligt kapitel II.

3.En datainnehavare får inte diskriminera mellan jämförbara kategorier av datamottagare, inbegripet partnerföretag eller anknutna företag, enligt definitionen i artikel 3 i bilagan till rekommendation 2003/361/EG, när datainnehavaren gör data tillgängliga. Om en datamottagare anser att de förhållanden under vilka data har gjorts tillgängliga för denne är diskriminerande, ska det åligga datainnehavaren att visa att det inte har förekommit någon diskriminering.

4.En datainnehavare får inte på exklusiv grund göra data tillgängliga för en datamottagare, såvida inte användaren begär detta enligt kapitel II.

5.Datainnehavare och datamottagare ska inte vara skyldiga att tillhandahålla någon information utöver vad som är nödvändigt för att kontrollera efterlevnaden av de avtalsvillkor som överenskommits för tillgängliggörande av data eller vad som är nödvändigt för uppfyllandet av deras skyldigheter enligt denna förordning eller annan tillämplig unionslagstiftning eller nationell lagstiftning som genomför unionsrätten.

6.Om inte annat föreskrivs i unionsrätten, inbegripet artikel 6 i denna förordning, eller i nationell lagstiftning som genomför unionsrätten, ska en skyldighet att göra data tillgängliga för en datamottagare inte medföra någon skyldighet att röja företagshemligheter i den mening som avses i direktiv (EU) 2016/943.

Artikel 9
Ersättning för tillgängliggörande av data

1.All ersättning som en datainnehavare och en datamottagare kommer överens om för att göra data tillgängliga ska vara rimlig.

2.Om datamottagaren är ett mikroföretag eller ett litet eller medelstort företag enligt definitionen i artikel 2 i bilagan till rekommendation 2003/361/EG får den överenskomna ersättningen inte överstiga de kostnader som är direkt förknippade med att göra data tillgängliga för datamottagaren och som kan hänföras till begäran. Artikel 8.3 ska tillämpas i enlighet med detta.

3.Denna artikel ska inte hindra annan unionslagstiftning eller nationell lagstiftning som genomför unionsrätten från att utesluta ersättning för tillgängliggörande av data eller föreskriva lägre ersättning.

4.Datainnehavaren ska ge datamottagaren tillräckligt detaljerad information om grunden för beräkningen av ersättningen så att datamottagaren kan kontrollera att kraven i punkt 1 och, i tillämpliga fall, punkt 2 är uppfyllda.

Artikel 10
Tvistlösning

1.Datainnehavare och datamottagare ska ha tillgång till tvistlösningsorgan, certifierade i enlighet med punkt 2 i denna artikel, för att lösa tvister i samband med fastställandet av rättvisa, rimliga och icke-diskriminerande villkor för och öppet redovisande av data i enlighet med artiklarna 8 och 9.

2.Den medlemsstat där tvistlösningsorganet är etablerat ska på begäran av det organet certifiera detta, om organet har visat att det uppfyller samtliga följande villkor:

(a)Organet är opartisk och oberoende, och kommer att fatta sina beslut i enlighet med tydliga och rättvisa förfaranderegler.

(b)Det har den sakkunskap som krävs för att fastställa rättvisa, rimliga och icke-diskriminerande villkor för att göra data tillgängliga och att göra det på ett öppet sätt, vilket innebär att organet på ett effektivt sätt kan fastställa dessa villkor.

(c)Det kan enkelt nås genom elektronisk kommunikationsteknik.

(d)Det klarar att utfärda beslut på ett snabbt, effektivt och kostnadseffektivt sätt och på minst ett av de officiella språken i unionen.

Om inget tvistlösningsorgan är certifierat i en medlemsstat senast den [den dag då förordningen börjar tillämpas] ska den medlemsstaten inrätta och certifiera ett tvistlösningsorgan som uppfyller villkoren i leden a–d i denna punkt.

3.Medlemsstaterna ska underrätta kommissionen om de tvistlösningsorgan som certifierats i enlighet med punkt 2. Kommissionen ska offentliggöra en förteckning över dessa organ på en särskild webbplats och hålla den uppdaterad.

4.Tvistlösningsorganen ska informera de berörda parterna om avgifter eller mekanismer som används för att fastställa avgifter innan dessa parter begär ett beslut.

5.Tvistlösningsorganen ska vägra att behandla en begäran om lösning av en tvist som redan har hänskjutits till ett annat tvistlösningsorgan eller till en domstol eller skiljedomstol i en medlemsstat.

6.Tvistlösningsorganen ska ge parterna möjlighet att inom rimlig tid framföra sina synpunkter i frågor som dessa parter har begärt ska prövas vid organen. I detta sammanhang ska tvistlösningsorganen förse dessa parter med den andra partens inlagor och eventuella utlåtanden från experter. Organen ska ge parterna möjlighet att lämna synpunkter på sådana inlagor och uttalanden.

7.Tvistlösningsorganen ska fatta sitt beslut i frågor som hänskjutits till dem senast 90 dagar efter det att begäran om ett beslut har gjorts. Dessa beslut ska vara skriftliga eller på ett varaktigt medium och ska åtföljas av en motivering till beslutet.

8.Tvistlösningsorganets beslut ska endast vara bindande för parterna om parterna uttryckligen och innan tvistlösningsförfarandet inleds har samtyckt till att beslutet är bindande.

9.Denna artikel påverkar inte parternas rätt att söka ett effektivt rättsmedel inför en domstol eller en skiljedomstol i en medlemsstat.

Artikel 11
Tekniska skyddsåtgärder och bestämmelser om obehörig användning eller obehörigt utlämnande av data

1.Datainnehavaren får vidta lämpliga tekniska skyddsåtgärder, inbegripet smarta kontrakt för att förhindra obehörig åtkomst till data och för att säkerställa överensstämmelse med artiklarna 5, 6, 9 och 10 samt med de överenskomna avtalsvillkoren för tillgängliggörande av data. Sådana tekniska skyddsåtgärder får inte användas som ett medel för att hindra användarens rätt att på ett effektivt sätt tillhandahålla data till tredje part i enlighet med artikel 5 eller någon tredje parts rätt enligt unionsrätten eller nationell lagstiftning som genomför unionsrätten enligt artikel 8.1.

2.En datamottagare som, i syfte att erhålla data, har lämnat felaktig eller falsk information till datainnehavaren, använt bedrägliga eller tvingande medel eller missbrukat tydliga luckor i datainnehavarens tekniska infrastruktur som är utformad för att skydda dessa data, har använt de data som gjorts tillgängliga för obehöriga ändamål eller har röjt dessa data för en annan part utan datainnehavarens tillstånd, ska utan onödigt dröjsmål, såvida inte datainnehavaren eller användaren instruerar något annat, göra följande:

(a)Förstöra de data som tillhandahållits av datainnehavaren och eventuella kopior av dessa.

(b)Avsluta produktion, erbjudande, utsläppande på marknaden eller användning av varor, härledda data eller tjänster som framställts på grundval av kunskap som erhållits genom sådana data, eller import, export eller lagring av varor som innebär intrång för dessa ändamål, och förstöra alla varor som innebär intrång.

3.Punkt 2 b ska inte tillämpas om något av följande gäller:

(a)Användningen av data inte har vållat datainnehavaren betydande skada.

(b)Det skulle vara oproportionerligt med hänsyn till datainnehavarens intressen.

Artikel 12
Omfattningen av skyldigheterna för datainnehavare som enligt lag är skyldiga att göra data tillgängliga

1.Detta kapitel ska tillämpas om en datainnehavare är skyldig att göra data tillgängliga för en datamottagare enligt artikel 5 eller enligt annan unionslagstiftning eller nationell lagstiftning som genomför unionsrätten.

2.Alla eventuella avtalsvillkor i ett datadelningsavtal som, till nackdel för en part eller, där detta är tillämpligt, till nackdel för användaren, utesluter tillämpningen av detta kapitel, avviker från det eller ändrar dess verkan, ska inte vara bindande för den parten.

3.Detta kapitel ska endast tillämpas på skyldigheter att göra data tillgängliga enligt unionslagstiftning eller nationell lagstiftning som genomför unionsrätten och som träder i kraft efter den [den dag då förordningen börjar tillämpas].

KAPITEL IV
OSKÄLIGA VILLKOR I SAMBAND MED ÅTKOMST TILL OCH ANVÄNDNING AV DATA MELLAN FÖRETAG

Artikel 13
Oskäliga avtalsvillkor som ensidigt åläggs mikroföretag eller små eller medelstora företag

1.Ett avtalsvillkor om åtkomst till och användning av data eller om ansvar och rättsmedel vid överträdelse eller uppsägande av datarelaterade skyldigheter som ett företag ensidigt har ålagt ett mikroföretag eller ett litet eller medelstort företag enligt definitionen i artikel 2 i bilagan till rekommendation 2003/361/EG ska inte vara bindande för det senare företaget om det är oskäligt.

2.Ett avtalsvillkor är oskäligt om det är av sådan art att dess användning i hög grad avviker från god affärssed vid åtkomst till och användning av data, i strid med god tro och heder.

3.Ett avtalsvillkor är oskäligt med avseende på tillämpningen av denna artikel om det har till syfte eller verkan att

(a)utesluta eller begränsa ansvaret för den part som ensidigt ålagt villkoret för uppsåtliga handlingar eller grov oaktsamhet,

(b)utesluta de rättsmedel som står till buds för den part som ensidigt har ålagts villkoret i händelse av underlåtenhet att fullgöra avtalsförpliktelser eller utesluta ansvar för den part som ensidigt ålade avtalsvillkoret vid åsidosättande av dessa skyldigheter,

(c)ge den part som ensidigt har föreskrivit villkoret ensamrätt att avgöra om de data som lämnas är i överensstämmelse med avtalet eller att tolka något villkor i avtalet.

4.Ett avtalsvillkor antas vara oskäligt med avseende på tillämpningen av denna artikel om det har till syfte eller verkan att

(a)på ett olämpligt sätt begränsa rättsmedlen vid underlåtenhet att fullgöra avtalsförpliktelser eller begränsa ansvar vid åsidosättande av dessa skyldigheter,

(b)tillåta den part som ensidigt införde villkoret att få tillgång till och använda den andra avtalsslutande partens data på ett sätt som avsevärt skadar den andra avtalsslutande partens legitima intressen,

(c)hindra den part som ensidigt har ålagts villkoret att använda de data som den parten har lämnat eller genererat under avtalsperioden, eller att begränsa användningen av sådana data i en sådan omfattning att den parten inte har rätt att använda, samla in, få åtkomst till eller kontrollera sådana data eller utnyttja värdet av sådana data på ett proportionellt sätt,

(d)hindra den part som ensidigt har ålagts villkoret att erhålla en kopia av de data som den parten har lämnat eller genererat under avtalets löptid eller inom en rimlig tidsperiod efter det att avtalet sagts upp,

(e)göra det möjligt för den part som ensidigt ålägger villkoret att säga upp avtalet med oskäligt kort varsel, med beaktande av den andra avtalspartens rimliga möjligheter att byta till en alternativ och jämförbar tjänst och den ekonomiska skada som följer av en sådan uppsägning, såvida det inte finns tungt vägande skäl för detta.

5.Ett avtalsvillkor ska anses vara ensidigt ålagt i den mening som avses i denna artikel om det har tillhandahållits av en avtalsslutande part och den andra avtalsslutande parten inte har kunnat påverka dess innehåll trots försök att förhandla om det. Det åligger den avtalspart som har tillhandahållit ett avtalsvillkor att bevisa att villkoret inte har införts ensidigt.

6.Om det oskäliga avtalsvillkoret kan avskiljas från övriga villkor i avtalet ska dessa återstående villkor förbli bindande.

7.Denna artikel är inte tillämplig på avtalsvillkor som anger avtalets huvudsakliga syfte eller på avtalsvillkor som fastställer det pris som ska betalas.

8.Parterna i ett avtal som omfattas av punkt 1 får inte utesluta tillämpningen av denna artikel, avvika från den eller ändra dess verkan.

KAPITEL V
GÖRA DATA TILLGÄNGLIGA FÖR OFFENTLIGA MYNDIGHETER OCH UNIONENS INSTITUTIONER, BYRÅER ELLER ORGAN PÅ GRUNDVAL AV EXCEPTIONELLA BEHOV

Artikel 14
Skyldighet att göra data tillgängliga på grundval av exceptionella behov

1.Datainnehavaren ska på begäran göra data tillgängliga för en offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan som visar att det föreligger ett exceptionellt behov av att använda dessa begärda data.

2.Detta kapitel ska inte tillämpas på små företag och mikroföretag enligt definitionen i artikel 2 i bilagan till rekommendation 2003/361/EG.

Artikel 15
Exceptionellt behov av att använda data

Ett exceptionellt behov av att använda data i den mening som avses i detta kapitel ska anses föreligga under någon av följande omständigheter:

(a)Om dessa begärda data är nödvändiga för att hantera ett allmänt nödläge.

(b)Om begäran om data är begränsad i tid och omfattning och nödvändig för att förhindra ett allmänt nödläge eller bidra till återhämtningen från ett allmänt nödläge.

(c)Om bristen på tillgängliga data hindrar den offentliga myndigheten eller unionsinstitutionen, unionsbyrån eller unionsorganet från att utföra en specifik uppgift av allmänt intresse som uttryckligen föreskrivs i lag och

(1)den offentliga myndigheten eller unionsinstitutionen, unionsbyrån eller unionsorganet inte har kunnat erhålla sådana data på alternativa sätt, till exempel genom att köpa in data på marknaden till marknadspris eller genom att förlita sig på befintliga skyldigheter att göra data tillgängliga, och antagandet av nya lagstiftningsåtgärder kan inte säkerställa att data finns tillgängliga i tid, eller

(2)att inhämtning av data i enlighet med det förfarande som fastställs i detta kapitel avsevärt skulle minska den administrativa bördan för datainnehavare eller andra företag.

Artikel 16
Förhållande till andra skyldigheter att göra data tillgängliga för offentliga myndigheter och unionsinstitutioner, unionsbyråer eller unionsorgan

1.Detta kapitel ska inte påverka de skyldigheter som fastställs i unionslagstiftning eller nationell lagstiftning vad gäller rapportering eller att tillmötesgå begäranden om information eller visa eller kontrollera efterlevnaden av rättsliga skyldigheter.

2.Rättigheterna enligt detta kapitel ska inte utövas av offentliga organ eller unionens institutioner, byråer och organ för att bedriva verksamhet som syftar till att förebygga, utreda, avslöja eller lagföra brott eller administrativa överträdelser eller verkställa straffrättsliga påföljder, eller för tull- eller skatteförvaltning. Detta kapitel påverkar inte tillämplig unionslagstiftning eller nationell lagstiftning om förebyggande, utredning, avslöjande eller lagföring av brott eller administrativa överträdelser eller verkställighet av straffrättsliga eller administrativa sanktioner, eller för tull- eller skatteförvaltning.

Artikel 17
Begäran om att data ska göras tillgängliga

1.En offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan som begär data i enlighet med artikel 14.1 ska

(a)specificera vilka data som krävs,

(b)visa det exceptionella behov som ligger till grund för begäran om data,

(c)förklara syftet med begäran, den avsedda användningen av begärda data och användningens varaktighet,

(d)ange den rättsliga grunden för begäran om data,

(e)ange den tidsfrist inom vilken data ska tillgängliggöras eller inom vilken datainnehavaren kan begära att den offentliga myndigheten eller unionsinstitutionen, unionsbyrån eller unionsorganet ändrar eller drar tillbaka begäran.

2.En begäran om data enligt punkt 1 i denna artikel ska

(a)uttryckas på ett klart, koncist och tydligt språk som kan förstås av datainnehavaren,

(b)stå i proportion till det exceptionella behovet, i fråga om detaljnivå och omfattning av begärda data och hur ofta dessa begärda data kommer att tillgås,

(c)respektera datainnehavarens legitima mål, med beaktande av skyddet av företagshemligheter och de kostnader och ansträngningar som krävs för att göra data tillgängliga,

(d)i möjligaste mån gälla icke-personuppgifter,

(e)informera datainnehavaren om de sanktioner som en behörig myndighet som avses i artikel 31 ska ålägga i enlighet med artikel 33 om begäran inte följs, och

(f)offentliggöras på nätet utan onödigt dröjsmål.

3.En offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan får inte göra data som erhållits i enlighet med detta kapitel tillgängliga för vidareutnyttjande i den mening som avses i direktiv (EU) 2019/1024. Direktiv (EU) 2019/1024 ska inte tillämpas på data som innehas av offentliga organ och som erhållits i enlighet med detta kapitel.

4.Punkt 3 hindrar inte en offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan från att utbyta data som erhållits i enlighet med detta kapitel med andra offentliga organ, unionsinstitutioner, unionsbyråer eller unionsorgan, i syfte att fullgöra uppgifterna i artikel 15, eller att göra data tillgängliga för en tredje part i fall där den/det genom ett offentligt tillgängligt avtal har lagt ut tekniska inspektioner eller andra funktioner på denna tredje part. Skyldigheterna för offentliga myndigheter, unionens institutioner, byråer eller organ enligt artikel 19 är tillämpliga.

Om en offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan överför eller tillgängliggör data enligt denna punkt ska den underrätta den datainnehavare från vilken dessa data mottogs.

Artikel 18
Uppfyllande av begäran om data

1.En datainnehavare som mottar en begäran om åtkomst till data enligt detta kapitel ska utan onödigt dröjsmål göra dessa data tillgängliga för den begärande offentliga myndigheten eller unionsinstitutionen, unionsbyrån eller unionsorganet.

2.Utan att det påverkar de särskilda behov vad gäller tillgänglighet av data som fastställs i sektorsspecifik lagstiftning får datainnehavaren avslå eller ansöka om ändring av begäran inom fem arbetsdagar efter mottagandet av en begäran om data som är nödvändiga för att bemöta ett allmänt nödläge och inom 15 arbetsdagar i andra fall av exceptionellt behov, av något av följande skäl:

(a)Dessa data är inte tillgängliga.

(b)Begäran uppfyller inte villkoren i artikel 17.1 och 17.2.

3.Vid en begäran om data som är nödvändiga för att bemöta ett allmänt nödläge får datainnehavaren också avslå eller ansöka om ändring av en begäran om de data som begärs redan har tillhandahållits av datainnehavaren som svar på en tidigare begäran som lämnats in för samma ändamål av ett annat offentligt organ eller en annan unionsbyrå eller annat unionsorgan och datainnehavaren inte har underrättats om att dessa data har förstörts i enlighet med artikel 19.1 c.

4.Om datainnehavaren beslutar sig för att avslå begäran eller ansöka om ändring av den i enlighet med punkt 3, ska denne ange identiteten på det offentliga organ eller den unionsbyrå eller det unionsorgan som tidigare lämnat in en begäran för samma ändamål.

5.Om en begäran om att göra data tillgängliga för en offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan kräver att personuppgifter lämnas ut, ska datainnehavaren vidta rimliga åtgärder för att pseudonymisera personuppgifterna, i den mån begäran kan tillgodoses med pseudonymiserade uppgifter.

6.Om den offentliga myndigheten eller unionsinstitutionen, unionsbyrån eller unionsorganet vill överklaga en datainnehavares vägran att tillhandahålla begärda data eller datainnehavarens krav om ändring av begäran, eller om datainnehavaren vill bestrida begäran, ska ärendet hänskjutas till den behöriga myndighet som avses i artikel 31.

Artikel 19
Skyldigheter för offentliga myndigheter och unionens institutioner, byråer och organ

1.En offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan som har tagit emot data till följd av en begäran enligt artikel 14 ska

(a)inte använda dessa data på ett sätt som är oförenligt med det ändamål för vilket de begärdes,

(b)i den mån behandling av personuppgifter är nödvändig, genomföra tekniska och organisatoriska åtgärder som skyddar de registrerades rättigheter och friheter,

(c)förstöra dessa data så snart de inte längre är nödvändiga för det angivna ändamålet och informera datainnehavaren om att de har förstörts.

2.Röjande av företagshemligheter eller påstådda företagshemligheter till ett offentligt organ eller till en unionsinstitution, en unionsbyrå eller ett unionsorgan ska endast krävas i den mån det är absolut nödvändigt för att uppnå syftet med begäran. I sådana fall ska den offentliga myndigheten eller unionsinstitutionen, unionsbyrån eller unionsorganet vidta lämpliga åtgärder för att bevara konfidentialiteten för dessa företagshemligheter.

Artikel 20
Ersättning vid situationer då det föreligger ett exceptionellt behov

1.Data som görs tillgängliga som svar på ett allmänt nödläge i enlighet med artikel 15 a ska tillhandahållas kostnadsfritt.

2.Om datainnehavaren begär ersättning för att göra data tillgängliga i enlighet med en begäran som gjorts i enlighet med artikel 15 b eller c, får denna ersättning inte överstiga de tekniska och organisatoriska kostnader som uppstår till följd av tillmötesgåendet av begäran, inbegripet, vid behov, kostnaderna för anonymisering och teknisk anpassning, plus en rimlig marginal. På begäran av den offentliga myndighet eller den unionsinstitution, den unionsbyrå eller det unionsorgan som begär data ska datainnehavaren tillhandahålla information om underlaget till kostnadsberäkningen och den rimliga marginalen.

Artikel 21
Bidrag till forskningsorganisationer eller statistikorgan i samband med exceptionella behov

1.En offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan ska ha rätt att dela data som mottagits enligt detta kapitel med enskilda personer eller organisationer i syfte att bedriva vetenskaplig forskning eller analys som är förenlig med det ändamål för vilket data begärdes, eller till nationella statistikbyråer och Eurostat för sammanställning av officiell statistik.

2.Enskilda personer eller organisationer som tar emot data enligt punkt 1 ska agera utan vinstsyfte eller inom ramen för ett uppdrag av allmänt intresse som erkänns i unionsrätten eller medlemsstaternas lagstiftning. Detta omfattar inte organisationer på vilka kommersiella företag har ett avgörande inflytande eller som skulle kunna leda till förmånstillträde till forskningsresultaten.

3.Enskilda personer eller organisationer som tar emot data enligt punkt 1 ska följa bestämmelserna i artikel 17.3 och artikel 19.

4.Om en offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan överför eller tillgängliggör data enligt punkt 1 ska den underrätta den datainnehavare från vilken dessa data mottogs.

Artikel 22
Ömsesidigt bistånd och gränsöverskridande samarbete

1.Offentliga myndigheter och unionens institutioner, byråer och organ ska samarbeta och bistå varandra för att genomföra detta kapitel på ett konsekvent sätt.

2.Data som utbyts i samband med begärt bistånd och som tillhandahållits i enlighet med punkt 1 får inte användas på ett sätt som är oförenligt med det ändamål för vilket de begärdes.

3.Om ett offentligt organ avser att begära data från en datainnehavare som är etablerad i en annan medlemsstat, ska den först underrätta den behöriga myndigheten i denna medlemsstat i enlighet med artikel 31 om en sådan avsikt. Detta krav ska även gälla för begäranden från unionens institutioner, byråer och organ.

4.Efter att ha underrättats i enlighet med punkt 3 ska den relevanta behöriga myndigheten ge det begärande offentliga organet råd om behovet av att samarbeta med offentliga organ i den medlemsstat där datainnehavaren är etablerad, i syfte att minska den administrativa bördan för datainnehavaren när det gäller att tillmötesgå begäran. Det begärande offentliga organet ska beakta råden från den relevanta behöriga myndigheten.

KAPITEL VI

BYTE AV DATABEHANDLINGSTJÄNST

Artikel 23
Undanröjande av hinder för ett effektivt byte av leverantör av databehandlingstjänster

1.Leverantörer av en databehandlingstjänst ska vidta de åtgärder som föreskrivs i artiklarna 24, 25 och 26 för att säkerställa att kunder till deras tjänster kan byta till en annan databehandlingstjänst som omfattar samma tjänstetyp och som tillhandahålls av en annan tjänsteleverantör. Leverantörer av databehandlingstjänster ska särskilt undanröja kommersiella, tekniska, avtalsmässiga och organisatoriska hinder som förhindrar kunderna från att

(a)säga upp avtalet om tjänsten efter en uppsägningstid på högst 30 kalenderdagar,

(b)ingå nya avtal med en annan leverantör av databehandlingstjänster som täcker samma tjänstetyp,

(c)portera sina data, applikationer och andra digitala tillgångar till en annan leverantör av databehandlingstjänster,

(d)upprätthålla funktionell likvärdighet för tjänsten i it-miljön hos den/de olika leverantörer av databehandlingstjänster som omfattar samma tjänstetyp, i enlighet med artikel 26.

2.Punkt 1 ska endast tillämpas på de hinder som rör tjänster, avtal eller affärsmetoder vilka tillhandahålls av den ursprungliga leverantören.

Artikel 24
Avtalsvillkor om byte av leverantör av databehandlingstjänster

1.Kundens rättigheter och leverantörens skyldigheter vad gäller ett byte av leverantör av databehandlingstjänster ska tydligt anges i ett skriftligt avtal. Utan att det påverkar tillämpningen av direktiv (EU) 2019/770 ska avtalet innehålla åtminstone följande:

(a)Villkor som gör det möjligt för kunden att på begäran byta till en databehandlingstjänst som erbjuds av en annan leverantör av databehandlingstjänster eller att portera alla data, applikationer och digitala tillgångar som genereras direkt eller indirekt av kunden till ett system på plats, och i synnerhet fastställandet av en obligatorisk maximal övergångsperiod på 30 kalenderdagar, under vilken leverantören av databehandlingstjänster ska

(1)bistå med och, om det är tekniskt möjligt, slutföra bytesprocessen,

(2)säkerställa fullständig kontinuitet i tillhandahållandet av respektive funktioner eller tjänster.

(b)En uttömmande specifikation av alla kategorier av data och applikationer som kan exporteras under bytesprocessen, inklusive åtminstone alla data som importerades av kunden när tjänsteavtalet ingicks och alla data och metadata som skapats av kunden och som skapats genom användningen av tjänsten under den period tjänsten tillhandahölls, inbegripet, men inte begränsat till, konfigurationsparametrar, säkerhetsinställningar, åtkomsträttigheter och åtkomstloggar till tjänsten.

(c)En minimiperiod för datahämtning på minst 30 kalenderdagar, med början efter det att den övergångsperiod som överenskommits mellan kunden och tjänsteleverantören har löpt ut, i enlighet med punkterna 1 a och 2.

2.Om den obligatoriska övergångsperiod som definieras i punkt 1 a och c i denna artikel är tekniskt ogenomförbar ska leverantören av databehandlingstjänster underrätta kunden inom sju arbetsdagar efter det att begäran om byte av leverantör gjorts och vederbörligen motivera varför det är tekniskt ogenomförbart genom en detaljerad rapport och ska ange en alternativ övergångsperiod, som inte får överstiga 6 månader. I enlighet med punkt 1 i denna artikel ska fullständig driftskontinuitet säkerställas under hela den alternativa övergångsperiod mot de nedsatta avgifter som avses i artikel 25.2.

Artikel 25
Gradvis avskaffande av avgifter för bytet

1.Från och med den [datum X + 3 år] ska leverantörer av databehandlingstjänster inte ta ut några avgifter av kunden för bytesprocessen.

2.Från och med den [datum X, den dag då dataakten träder i kraft] till och med den [datum X + 3 år] får leverantörer av databehandlingstjänster ta ut nedsatta avgifter av kunden för bytesprocessen.

3.De avgifter som avses i punkt 2 får inte överstiga de kostnader som är direkt kopplade till den berörda bytesprocessen som uppstår för leverantören av databehandlingstjänster.

4.Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 38 för att komplettera denna förordning, i syfte att införa en övervakningsmekanism som låter kommissionen övervaka de avgifter för byte av leverantör som tas ut av leverantörer av databehandlingstjänster på marknaden för att säkerställa att avskaffandet av bytesavgifter enligt punkt 1 i den här artikeln kommer att genomföras i enlighet med den tidsfrist som anges i samma punkt.

Artikel 26
Tekniska aspekter av byte

1.Leverantörer av databehandlingstjänster som avser skalbara och elastiska datorresurser begränsade till infrastrukturella element såsom servrar, nät och de virtuella resurser som krävs för driften av infrastrukturen, men som inte ger åtkomst till de operativa tjänster, den programvara och de applikationer som lagras, på annat sätt behandlas eller används på dessa infrastrukturkomponenter, ska säkerställa att kunden, efter att denna har bytt till en tjänst som omfattar samma tjänstetyp som erbjuds av en annan leverantör av databehandlingstjänster, har funktionell likvärdighet vid användningen av den nya tjänsten.

2.För andra databehandlingstjänster än de som omfattas av punkt 1 ska leverantörer av databehandlingstjänster göra öppna gränssnitt tillgängliga för allmänheten och göra dem kostnadsfria.

3.För andra databehandlingstjänster än de som omfattas av punkt 1 ska leverantörer av databehandlingstjänster säkerställa kompatibilitet med öppna interoperabilitetsspecifikationer eller europeiska standarder för interoperabilitet som identifieras i enlighet med artikel 29.5 i denna förordning.

4.Om de öppna interoperabilitetsspecifikationer eller europeiska standarder som avses i punkt 3 inte finns för den berörda tjänstetypen ska leverantören av databehandlingstjänster på kundens begäran exportera alla data som genererats eller samgenererats, inbegripet relevanta dataformat och datastrukturer, i ett strukturerat, allmänt använt och maskinläsbart format.

KAPITEL VII
SKYDDSÅTGÄRDER FÖR ICKE-PERSONUPPGIFTER I INTERNATIONELLA SAMMANHANG

Artikel 27
Internationell åtkomst och överföring

1.Leverantörer av databehandlingstjänster ska vidta alla rimliga tekniska, rättsliga och organisatoriska åtgärder, inbegripet avtalsarrangemang, för att förhindra internationell överföring av eller statlig åtkomst till icke-personuppgifter som innehas i unionen, om en sådan överföring eller åtkomst skulle strida mot unionsrätten eller den berörda medlemsstatens nationella lagstiftning, utan att det påverkar tillämpningen av punkt 2 eller 3.

2.Domstolsbeslut eller beslut från myndigheter i tredjeland som kräver att en leverantör av databehandlingstjänster överför eller ger åtkomst till icke-personuppgifter som omfattas av denna förordning och som innehas i unionen får endast på något sätt erkännas eller genomföras om de grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen eller en medlemsstat.

3.I avsaknad av ett sådant internationellt avtal, om en leverantör av databehandlingstjänster är adressat för ett domstolsbeslut eller ett beslut av en administrativ myndighet i ett tredjeland om att överföra eller ge åtkomst till icke-personuppgifter som omfattas av denna förordning och som innehas i unionen, och efterlevnaden av ett sådant beslut skulle riskera att medföra att adressaten bryter mot unionsrätten eller den nationella lagstiftningen i den berörda medlemsstaten, ska myndigheten i det tredje landet motta eller få åtkomst till sådana data endast om

(a)tredjelandets system kräver att skälen till beslutet och beslutets proportionalitet ska fastställas, och det föreskrivs att beslutet, allt efter omständigheterna, är av specifik art, exempelvis genom att det fastställs en tillräckligt stark koppling till vissa misstänkta personer eller till överträdelser,

(b)om adressatens motiverade invändning är föremål för en granskning av en behörig domstol i tredjelandet, och

(c)om den behöriga domstol som utfärdar beslutet eller granskar en förvaltningsmyndighets beslut enligt det landets lagstiftning har befogenhet att ta vederbörlig hänsyn till de relevanta rättsliga intressena för leverantören av de data som skyddas av unionsrätten eller nationella lagstiftning i den berörda medlemsstaten.

Beslutets adressat får begära ett yttrande från de relevanta behöriga organen eller myndigheterna, i enlighet med denna förordning, för att avgöra om dessa villkor är uppfyllda, särskilt när den anser att beslutet kan avse kommersiellt känsliga data eller kan inkräkta på unionens eller dess medlemsstaters nationella säkerhets- eller försvarsintressen.

Europeiska datainnovationsstyrelsen, inrättad genom förordning [xxx – dataförvaltningsakten] ska ge råd till och bistå kommissionen vid utarbetandet av riktlinjer för bedömningen av huruvida dessa villkor är uppfyllda.

4.Om villkoren i punkt 2 eller 3 är uppfyllda ska leverantören av databehandlingstjänster tillhandahålla den minsta mängd data som är tillåten som svar på en begäran, på grundval av en rimlig tolkning av denna.

5.Leverantören av databehandlingstjänster ska informera datainnehavaren om att det finns en begäran från en administrativ myndighet i ett tredjeland om att få tillgång till dess data innan leverantören tillmötesgår begäran, utom i fall där begäran tjänar brottsbekämpande ändamål och så länge som detta är nödvändigt för att upprätthålla den brottsbekämpande verksamhetens effektivitet.

KAPITEL VIII
Interoperabilitet

Artikel 28
Grundläggande krav med avseende på interoperabilitet

1.Operatörer av dataområden ska uppfylla följande grundläggande krav för att underlätta interoperabilitet mellan data, datadelningsmekanismer och datadelningstjänster:

(a)Innehåll i dataset, användningsbegränsningar, licenser, datainsamlingsmetoder, datakvalitet och osäkerhet i data ska beskrivas tillräckligt för att mottagaren ska kunna hitta, få åtkomst till och använda data.

(b)Datastrukturer, dataformat, vokabulärer, klassificeringssystem, taxonomier och kodförteckningar ska beskrivas på ett allmänt tillgängligt och konsekvent sätt.

(c)De tekniska medlen för åtkomst till data, såsom programmeringsgränssnitt, och deras användningsvillkor och tjänstekvalitet ska vara tillräckligt beskrivna för att möjliggöra automatisk åtkomst och överföring av data mellan parter, även kontinuerligt eller i realtid i ett maskinläsbart format.

(d)De medel som krävs för att möjliggöra interoperabilitet mellan smarta kontrakt inom deras tjänster och verksamhet ska tillhandahållas.

Dessa krav kan vara av allmän karaktär eller avse specifika sektorer, samtidigt som man fullt ut beaktar sambandet med krav som härrör från annan sektorslagstiftning på unionsnivå eller nationell nivå.

2.Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 38 för att komplettera denna förordning genom att ytterligare specificera de grundläggande krav som avses i punkt 1.

3.Operatörer av dataområden som uppfyller de harmoniserade standarder som offentliggörs genom hänvisning i Europeiska unionens officiella tidning eller delar av dessa standarder ska förutsättas uppfylla de grundläggande krav som avses i punkt 1 i denna artikel, i den mån dessa standarder omfattar dessa krav.

4.Kommissionen får i enlighet med artikel 10 i förordning (EU) nr 1025/2012 begära att en eller flera europeiska standardiseringsorganisationer utarbetar harmoniserade standarder som uppfyller de grundläggande kraven inom ramen för punkt 1 i denna artikel.

5.Kommissionen ska, genom genomförandeakter, anta gemensamma specifikationer i de fall där det inte finns några sådana harmoniserade standarder som avses i punkt 4 i denna artikel eller om den anser att de relevanta harmoniserade standarderna är otillräckliga för att säkerställa uppfyllande av de grundläggande kraven i punkt 1 i denna artikel, när så är nödvändigt, med avseende på alla de krav som fastställs i punkt 1 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 39.2.

6.Kommissionen får anta riktlinjer med interoperabilitetsspecifikationer för de gemensamma europeiska dataområdenas funktion, såsom arkitektoniska modeller och tekniska standarder för genomförande av rättsliga regler och arrangemang mellan parterna som främjar datadelning, till exempel när det gäller åtkomsträtt och teknisk översättning av samtycke eller tillstånd.

Artikel 29
Interoperabilitet för databehandlingstjänster

1.Öppna interoperabilitetsspecifikationer och europeiska standarder för interoperabilitet för databehandlingstjänster ska

(a)vara resultatinriktade på att uppnå interoperabilitet mellan olika databehandlingstjänster som omfattar samma typ av tjänst,

(b)förbättra portabiliteten för digitala tillgångar mellan olika databehandlingstjänster som omfattar samma tjänstetyp,

(c)om det är tekniskt möjligt garantera funktionell likvärdighet mellan olika databehandlingstjänster som omfattar samma tjänstetyp.

2.Öppna interoperabilitetsspecifikationer och europeiska standarder för interoperabilitet för databehandlingstjänster ska hantera

(a)aspekterna av interoperabilitet i molnet när det gäller transportinteroperabilitet, syntaktisk interoperabilitet, semantisk datainteroperabilitet, beteendeinteroperabilitet och policyinteroperabilitet,

(b)aspekterna av dataportabilitet i molnet vad gäller syntaktisk dataportabilitet, semantisk dataportabilitet och portabilitet för datapolicy,

(c)aspekterna av applikationer i molnet vad gäller syntaktisk applikationsportabilitet, applikationsportabilitet för instruktioner, applikationsportabilitet för metadata, applikationsportabilitet för beteende och applikaitonsportabilitet för policy.

3.De öppna interoperabilitetsspecifikationerna ska uppfylla kraven i punkterna 3 och 4 i bilaga II till förordning (EU) nr 1025/2012.

4.Kommissionen får i enlighet med artikel 10 i förordning (EU) nr 1025/2012 begära att en eller flera europeiska standardiseringsorganisationer utarbetar europeiska standarder tillämpliga på särskilda tjänstetyper av databehandlingstjänster.

5.Vid tillämpning av artikel 26.3 i denna förordning ska kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 38 för att offentliggöra hänvisningen till öppna interoperabilitetsspecifikationer och europeiska standarder för interoperabilitet för databehandlingstjänster i det centrala unionsstandardiseringsregistret för interoperabilitet mellan databehandlingstjänster, om dessa uppfyller de kriterier som anges i punkterna 1 och 2 i den här artikeln.

Artikel 30
Grundläggande krav avseende smarta kontrakt för datadelning

1.Leverantören av en applikation som använder smarta kontrakt eller, i avsaknad av en sådan, den person vars närings- eller yrkesverksamhet inbegriper användning av smarta kontrakt för andra inom ramen av ett avtal om att tillgängliggöra data ska efterleva följande grundläggande krav:

(a)Robusthet: Säkerställa att det smarta kontraktet har utformats för att erbjuda en mycket hög grad av robusthet för att undvika funktionsfel och stå emot manipulering från tredje parts sida.

(b)Säkerhet vid uppsägning och avbrott: Säkerställa att det finns en mekanism för att avsluta det fortsatta genomförandet av transaktioner. Det smarta kontraktet ska omfatta interna funktioner som kan återställa eller instruera kontraktet att permanent eller tillfälligt avbryta driften för att undvika framtida (oavsiktliga) exekveringar.

(c)Dataarkivering och kontinuitet: Föreskriva, i fall där ett smart kontrakt måste avslutas eller avaktiveras, en möjlighet att arkivera transaktionsuppgifter, den smarta avtalslogiken och kod för att föra register över tidigare utförda transaktioner (granskningsbarhet).

(d)Behörighetskontroll: Ett smart kontrakt ska skyddas genom strikta mekanismer för åtkomstkontroll vid skikten för kontroll och smarta kontrakt.

2.Säljaren av ett smart kontrakt eller, i avsaknad av en sådan, den person vars närings- eller yrkesverksamhet inbegriper användning av smarta kontrakt för andra inom ramen av ett avtal om att tillgängliggöra data ska utföra en bedömning av överensstämmelse i syfte att uppfylla de grundläggande kraven i punkt 1 och, när kraven är uppfyllda, utfärda en EU-försäkran om överensstämmelse.

3.Genom att utarbeta en EU-försäkran om överensstämmelse ska leverantören av en applikation som använder smarta kontrakt eller, i avsaknad av en sådan, den person vars närings- eller yrkesverksamhet inbegriper användning av smarta kontrakt för andra inom ramen för ett avtal om att tillgängliggöra data vara ansvarig för efterlevnaden av kraven i enlighet med punkt 1.

4.Ett smart kontrakt som uppfyller de harmoniserade standarder som utarbetats och offentliggörs i Europeiska unionens officiella tidning eller de relevanta delarna av dessa standarder ska förutsättas uppfylla de grundläggande krav som avses i punkt 1 i denna artikel, i den mån standarderna omfattar dessa krav.

5.Kommissionen får i enlighet med artikel 10 i förordning (EU) nr 1025/2012 begära att en eller flera europeiska standardiseringsorganisationer utarbetar harmoniserade standarder som uppfyller de grundläggande kraven enligt punkt 1 i denna artikel.

6.Om det inte finns några sådana harmoniserade standarder som avses i punkt 4 i denna artikel eller om kommissionen anser att de relevanta harmoniserade standarderna är otillräckliga för att säkerställa överensstämmelse med de grundläggande kraven i punkt 1 i denna artikel i ett gränsöverskridande sammanhang, får kommissionen genom genomförandeakter anta gemensamma specifikationer med avseende på de väsentliga krav som anges i punkt 1 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 39.2.

KAPITEL IX
GENOMFÖRANDE OCH VERKSTÄLLIGHET

Artikel 31
Behöriga myndigheter

1.Varje medlemsstat ska utse en eller flera behöriga myndigheter som ska ansvara för tillämpningen och genomförandet av denna förordning. Medlemsstaterna får inrätta en eller flera nya myndigheter eller förlita sig på befintliga myndigheter.

2.Utan att det påverkar tillämpningen av punkt 1 i denna artikel gäller följande:

(a)De oberoende tillsynsmyndigheter som ansvarar för att övervaka tillämpningen av förordning (EU) 2016/679 ska ansvara för att övervaka tillämpningen av denna förordning när det gäller skyddet av personuppgifter. Kapitlen VI och VII i förordning (EU) 2016/679 ska gälla i tillämpliga delar. Tillsynsmyndigheternas uppgifter och befogenheter ska utövas med avseende på behandling av personuppgifter.

(b)När det gäller sektorsspecifika frågor som rör utbytet av data i samband med genomförandet av denna förordning ska sektorsmyndigheternas behörighet respekteras.

(c)Den nationella behöriga myndighet som ansvarar för tillämpningen och kontrollen av efterlevnaden av kapitel VI i denna förordning ska ha erfarenhet på området data och elektroniska kommunikationstjänster.

3.Medlemsstaterna ska säkerställa att respektive uppgifter och befogenheter för de behöriga myndigheter som utsetts i enlighet med punkt 1 i denna artikel är tydligt definierade och omfattar följande:

(a)Öka medvetenheten bland de användare och enheter som omfattas av denna förordning om deras rättigheter och skyldigheter inom ramen för denna förordning.

(b)Hantera klagomål som härrör från påstådda överträdelser av denna förordning och i lämplig utsträckning undersöka föremålet för klagomålet och inom rimlig tid informera den klagande om hur utredningen fortskrider och om resultatet av den, särskilt om ytterligare utredning eller samordning med en annan behörig myndighet är nödvändig.

(c)Utföra undersökningar om frågor som rör tillämpningen av denna förordning, inbegripet på grundval av information som erhålls från en annan behörig myndighet eller offentlig myndighet.

(d)Genom administrativa förfaranden ålägga avskräckande ekonomiska sanktioner, som kan inbegripa viten och sanktioner med retroaktiv verkan, eller inleda rättsliga förfaranden för åläggande av böter,

(e)Övervaka den tekniska utveckling som är relevant för tillgängliggörande och användning av data,

(f)Samarbeta med behöriga myndigheter i andra medlemsstater för att säkerställa en konsekvent tillämpning av denna förordning, inbegripet utbyte av all relevant information på elektronisk väg, utan onödigt dröjsmål.

(g)Säkerställa att offentliga organs begäranden om tillgång till data på grund av ett allmänt nödläge enligt kapitel V finns tillgängliga för allmänheten på nätet.

(h)Samarbeta med alla relevanta behöriga myndigheter för att säkerställa att skyldigheterna i kapitel VI verkställs i överensstämmelse med annan unionslagstiftning och självreglering som är tillämplig på leverantörer av databehandlingstjänster.

(i)Säkerställa att avgifterna för byte av leverantör av databehandlingstjänster avskaffas i enlighet med artikel 25.

4.Om en medlemsstat utser mer än en behörig myndighet ska de behöriga myndigheterna, vid utövandet av de uppgifter och befogenheter som tilldelats dem enligt punkt 3 i denna artikel, samarbeta med varandra, och, när så är lämpligt, med den tillsynsmyndighet som ansvarar för att övervaka tillämpningen av förordning (EU) 2016/679, för att säkerställa en enhetlig tillämpning av denna förordning. I sådana fall ska den berörda medlemsstaten utse en samordnande behörig myndighet.

5.Medlemsstaterna ska meddela kommissionen namnet på de utsedda behöriga myndigheterna och deras respektive uppgifter och befogenheter samt, i tillämpliga fall, namnet på den samordnande behöriga myndigheten. Kommissionen ska föra ett offentligt register över dessa myndigheter.

6.När de behöriga myndigheterna utför sina uppgifter och utövar sina befogenheter i enlighet med denna förordning ska de stå fria från all yttre påverkan, direkt eller indirekt, och får varken begära eller ta emot instruktioner från någon annan offentlig myndighet eller någon privat part.

7.Medlemsstaterna ska se till att de utsedda behöriga myndigheterna har de resurser som krävs för att de på ett tillfredställande sätt ska kunna utföra sina uppgifter i enlighet med denna förordning.

Artikel 32
Rätt att lämna in klagomål till en behörig myndighet

1.Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel ska fysiska och juridiska personer ha rätt att enskilt eller, i förekommande fall, kollektivt lämna in ett klagomål till den relevanta behöriga myndigheten i den medlemsstat där de har sin vanliga vistelseort, sin arbetsplats eller sin etableringsort, om de anser att deras rättigheter enligt denna förordning har kränkts.

2.Den behöriga myndighet till vilken klagomålet har lämnats in ska underrätta den klagande om hur förfarandet fortskrider och om det beslut som fattats.

3.Behöriga myndigheter ska samarbeta för att hantera och lösa klagomål, bland annat genom att utan onödigt dröjsmål utbyta all relevant information på elektronisk väg. Detta samarbete ska inte påverka den särskilda samarbetsmekanism som föreskrivs i kapitlen VI och VII i förordning (EU) 2016/679.

Artikel 33
Sanktioner

1.Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av bestämmelserna i denna förordning och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande.

2.Medlemsstaterna ska senast [det datum då förordningen börjar tillämpas] anmäla dessa regler och åtgärder till kommissionen samt utan dröjsmål anmäla eventuella ändringar som berör dem.

3.För åsidosättande av de skyldigheter som fastställs i kapitlen II, III och V i denna förordning får de tillsynsmyndigheter som avses i artikel 51 i förordning (EU) 2016/679 inom ramen för sina behörigheter ålägga administrativa sanktionsavgifter i enlighet med artikel 83 i förordning (EU) 2016/679 på högst det belopp som avses i artikel 83.5 i den förordningen.

4.För åsidosättande av de skyldigheter som fastställs i kapitel V i denna förordning får den tillsynsmyndighet som avses i artikel 52 i förordning (EU) 2018/1725 inom ramen för sin behörighet ålägga administrativa sanktionsavgifter i enlighet med artikel 66 i förordning (EU) 2018/1725 på högst det belopp som avses i artikel 66.3 i den förordningen.

Artikel 34
Standardavtalsvillkor

Kommissionen ska sammanställa och rekommendera icke-bindande standardavtalsvillkor för åtkomst till och användning av data för att hjälpa parterna att utarbeta och förhandla fram avtal med balanserade avtalsenliga rättigheter och skyldigheter.

KAPITEL X
RÄTTEN AV SITT EGET SLAG INOM RAMEN FÖR DIREKTIV 1996/9/EG

Artikel 35
Databaser som innehåller vissa data

För att inte hindra användarnas rätt att få åtkomst till och använda sådana data i enlighet med artikel 4 i denna förordning eller rätten att dela sådana data med tredje parter i enlighet med artikel 5 i denna förordning, tillämpas rätten av sitt eget slag enligt artikel 7 i direktiv 96/9/EG inte på databaser som innehåller data som erhållits från eller genererats genom användning av en produkt eller en tillhörande tjänst.

KAPITEL XI SLUTBESTÄMMELSER

Artikel 36
Ändring av förordning (EU) 2017/2394

I bilagan till förordning (EU) 2017/2394 ska följande punkt läggas till:

”29. [Europaparlamentets och rådets förordning (EU) XXX [dataakten]]”

Artikel 37
Ändring av direktiv (EU) 2020/1828

I bilagan till direktiv (EU) 2020/1828 ska följande punkt läggas till:

”67. [Europaparlamentets och rådets förordning (EU) XXX [dataakten]]”

Artikel 38
Utövande av delegeringen

1.Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.Den befogenhet att anta delegerade akter som avses i artiklarna 25.4, 28.2 och 29.5 ska ges till kommissionen tills vidare från och med […].

3.Den delegering av befogenhet som avses i artiklarna 25.4, 28.2 och 29.5 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.Innan kommissionen antar en delegerad akt, ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet om bättre lagstiftning av den 13 april 2016.

5.Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

6.En delegerad akt som antas enligt artiklarna 25.4, 28.2 och 29.5 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

Artikel 39
Kommittéförfarande

1.Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

Artikel 40
Andra unionsrättsakter som reglerar rättigheter och skyldigheter avseende åtkomst till och användning av data

1.De specifika skyldigheterna att göra data tillgängliga mellan företag, mellan företag och konsumenter, och i undantagsfall mellan företag och offentliga organ, i unionsrättsakter som trädde i kraft senast den [xx XXX xxx], och delegerade akter eller genomförandeakter som grundar sig på dessa, ska inte påverkas.

2.Denna förordning påverkar inte unionslagstiftning som, mot bakgrund av en sektors behov, fastställer ytterligare krav på ett gemensamt europeiskt dataområde eller ett område av allmänt intresse, särskilt när det gäller följande:

(a)Tekniska aspekter på dataåtkomst.

(b)Begränsningar av datainnehavarnas rätt att få tillgång till eller använda vissa data som tillhandahålls av användarna.

(c)Aspekter som går utöver åtkomst till och användning av data.

Artikel 41
Utvärdering och översyn

Kommissionen ska senast den [två år efter tillämpningsdatum för denna förordning] genomföra en utvärdering av denna förordning och lämna en rapport om de viktigaste resultaten till Europaparlamentet, rådet och Europeiska ekonomiska och sociala kommittén. I utvärderingen ska särskilt följande bedömas:

(a)Andra kategorier eller typer av data som ska göras tillgängliga.

(b)Uteslutning av vissa kategorier av företag som stödmottagare inom ramen för artikel 5.

(c)Andra situationer som ska betraktas som exceptionella behov i den mening som avses i artikel 15.

(d)Ändringar av avtalspraxis hos leverantörer av databehandlingstjänster och huruvida detta leder till tillräcklig efterlevnad av artikel 24.

(e)Sänkning av de avgifter som tas ut av leverantörer av databehandlingstjänster för processen för att byta leverantör, i linje med det gradvisa avskaffandet av bytesavgifter i enlighet med artikel 25.

Artikel 42
Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den [12 månader efter dagen för denna förordnings ikraftträdande].

Utfärdad i Bryssel den

På Europaparlamentets vägnar På rådets vägnar

Ordförande Ordförande

(1) Ursula von der Leyen, En ambitiösare union – Min agenda för Europa, Politiska riktlinjer för nästa europeiska kommission 2019–2024 , 16 juli 2019

(2) Europeiska kommissionen, Bilagor till kommissionens arbetsprogram 2020 – En ambitiösare union , COM(2020) 37, 29 januari 2020

(3) COM/2020/66 final

(4) Europeiska rådet, Europeiska rådets möte (den 21–22 oktober 2021) – Slutsatser EUCO 17/21, 2021 , s. 2.

(5) Europeiska rådet, Uttalande från Europeiska rådets medlemmar (den 25 mars 2021) – Uttalande SN 18/21 , s. 4.

(6) Europeiska rådet, Europeiska rådets möte (den 1–2 oktober 2020) – Slutsatser EUCO 13/20, 2020 , s. 5.

(7) Europeiska kommissionen (2020). Commission welcomes Member States' declaration on EU cloud federation , Pressmeddelande (ej översatt till svenska).

(8) Europaparlamentets resolution av den 25 mars 2021 om en EU-strategi för data ( 2020/2217(INI) )

(9) EGT L 77, 27.3.1996, s. 20–28

(10) EUT L 119, 4.5.2016, s. 1–88 .

(11) EUT L 201, 31.7.2002, s. 37–47

(12) EUT L 303, 28.11.2018, s. 59–68 ; SWIPO (2021), se webbplatsen .

(13) EGT L 95, 21.4.1993, s. 29–34 .

(14) EUT L 335, 18.12.2010, s. 36–42 .

(15) EGT L 77, 27.3.1996, s. 20–28 .

(16) EUT L 186, 11.7.2019, s. 57–79 .

(17) EUT L 172, 26.6.2019, s. 56–83 .

(18) EUT L 318, 4.12.2015, s. 1–16 .

(19) COM/2020/767 final .

(20) EUT L 186, 11.7.2019, s. 57–79 .

(21) COM/2020/98 final.

(22) Initiativet GreenData4All (REFIT) | Legislative train schedule | Europaparlamentet (europa.eu)

(23) EUT L 108, 25.4.2007, s. 1–14

(24) EUT L 158, 14.6.2019, s. 54–124 .

(25) EUT L 158, 14.6.2019, s. 125–199 .

(26) EUT L 337, 23.12.2015, s. 35–127 EUT L 337, 23.12.2015, s. 35–127 .

(27) EUT L 151, 14.6.2018, s. 1–218 ; EUT L 60, 2.3.2013, s. 1–51 .

(28) EUT L 207, 6.8.2010, s. 1–13 .

(29) EUT L 96, 31.3.2004, s. 1–9 ; EUT L 96, 31.3.2004, s. 10–19 ; EUT L 96, 31.3.2004, s. 20–25 .

(30) EUT L 308, 29.10.2014, s. 82–87 .

(31) EUT L 96, 12.4.2016, s. 46–49 .

(32)

COM/2021/559 final

(33) COM/2020/67 final .

(34) EUT L 57, 18.2.2021, s. 17 .

(35) COM(2021) 400 final

(36) COM/2019/640 final

(37) Digitalisering till nytta för miljön, 11 december 2020 , rådets slutsatser om den nya handlingsplanen för den cirkulära ekonomin, 11 december 2020 , rådets slutsatser om strategin för biologisk mångfald för 2030, 16 oktober 2020 , rådets slutsatser om förbättring av luftkvalitet, 5 mars 2020

(38) Klimat- och miljönödläget – Torsdagen den 28 november 2019 (europa.eu)

(39) COM/2021/350 final .

(40) COM/2020/66 final .

(41) COM/2020/760 final .

(42) COM/2021/102 final .

(43) EUT L 151, 7.6.2019

(44) COM/2017/09 final ; SWD(2018) 146 final, avsnitt 5.4.2, Study to Support an Impact Assessment for the Review of the Database Directive (ej översatt till svenska).

(45) COM/2017/09 final ; COM/2020/66 final ; COM/2020/760 final .

(46) Fixtures Marketing Ltd mot Oy Veikkaus Ab (C-46/02, 9/11/2004), Fixtures Marketing Ltd mot Svenska Spel Ab (C-338/02, 9/11/2004) British Horseracing Board Ltd mot William Hill (C-203/02, 9/11/2004) Fixtures Marketing Ltd mot OPAP (C-444/02, 9/11/2004).

(47) COM/2017/09 final .

(48) Europeiska kommissionen (2020). Outcome of the online consultation on the European strategy for data .

(49) Europeiska kommissionens webbplats : Kom med synpunkter – Datalag och ändrade regler om rättsligt skydd för databaser.

(50) Europeiska kommissionen (2021). Offentligt samråd om rättsakten om data: Sammanfattande rapport .

(51) COM(2018)232 final ; SWD(2018)125 final , 25.4.2018.

(52) EDPS Opinion 3/2020 on the European Strategy for Data .

(53) [Länkar till det slutliga dokumentet och till sammanfattningsbladet ska läggas till.]

(54) SWD(2021) 305 final .

(55) En ingående förklaring av oskälighetstestet och principen om avtalsfrihet finns i bilaga 11 till konsekvensbedömningen.

(56) En mer ingående förklaring av oskälighetstestet, inbegripet dess användning i praktiken, finns i bilaga 11 till konsekvensbedömningen.

(57) EUT C , , s. .

(58) EUT C , , s. .

(59) Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder) (EUT L 149, 11.6.2005, s. 22).

(60) Europaparlamentets och rådets direktiv 2011/83/EU av den 25 oktober 2011 om konsumenträttigheter och om ändring av rådets direktiv 93/13/EEG och Europaparlamentets och rådets direktiv 1999/44/EG och om upphävande av rådets direktiv 85/577/EEG och Europaparlamentets och rådets direktiv 97/7/EG.

(61) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal. Europaparlamentets och rådets direktiv (EU) 2019/2161 av den 27 november 2019 om ändring av rådets direktiv 93/13/EEG och Europaparlamentets och rådets direktiv 98/6/EG, 2005/29/EG och 2011/83/EU vad gäller bättre upprätthållande och modernisering av unionens konsumentskyddsregler.

(62) Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster, EUT L 151, 7.6.2019.

(63) Kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag

(64) EUT L 303, 28.11.2018, s. 59 .

(65) Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (EUT L 172, 26.6.2019, s. 56).

(66) Europaparlamentets och rådets direktiv 96/9/EG av den 11 mars 1996 om rättsligt skydd för databaser (EGT L 77, 27.3.1996, s. 20).

(67) Europaparlamentets och rådets direktiv (EU) 2019/770 av den 20 maj 2019 om vissa aspekter på avtal om tillhandahållande av digitalt innehåll och digitala tjänster (EUT L 136, 22.5.2019, s. 1).

(68) Europaparlamentets och rådets förordning (EU) 2017/2394 av den 12 december 2017 om samarbete mellan de nationella myndigheter som har tillsynsansvar för konsumentskyddslagstiftningen och om upphävande av förordning (EG) nr 2006/2004 (EUT L 345, 27.12.2017, s. 1).

(69) Europaparlamentets och rådets direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22/EG (EUT L 409, 4.12.2020, s. 1).

(70) EUT L 123, 12.5.2016, s. 1 .

(71) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(72) Europaparlamentets och rådets förordning (EU) 2021/784 av den 29 april 2021 om åtgärder mot spridning av terrorisminnehåll online (EUT L 172, 17.5.2021, s. 79).

(73) EUT […].