Europeiska unionens
officiella tidning
SV
L-serien
|
|
Europeiska unionens |
SV L-serien |
|
2025/2050 |
9.10.2025 |
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2025/2050
av den 1 juli 2025
om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2065 genom fastställande av de tekniska villkor och förfaranden enligt vilka leverantörer av mycket stora onlineplattformar och av mycket stora onlinesökmotorer ska dela data med utvalda forskare
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (1), särskilt artikel 40.13, och
av följande skäl:
|
(1) |
I artikel 40 i förordning (EU) 2022/2065 fastställs regler om dataåtkomst som ska beviljas av leverantörer av mycket stora onlineplattformar och av mycket stora onlinesökmotorer. Särskilt får forskare som har slutfört en process möjlighet att visa att de uppfyller villkoren i punkt 8 i den artikeln (utvalda forskare) för att få sådan åtkomst. |
|
(2) |
Enligt artikel 40.4 i förordning (EU) 2022/2065 ska utvalda forskare ges åtkomst till data för att hjälpa dem att studera systemrisker i unionen och bedöma hur effektiva åtgärderna för att minska dessa risker är. Deras resultat kan utgöra värdefulla bidrag för genomförandet av förordning (EU) 2022/2065 och främja ansvarsskyldighet för leverantörer av mycket stora onlineplattformar och av mycket stora onlinesökmotorer. Syftet med denna förordning är att fastställa de tekniska villkor och förfaranden som krävs för att möjliggöra sådan åtkomst på ett säkert och effektivt sätt som är konsekvent för alla samordnare för digitala tjänster och på ett sätt som säkerställer likabehandling av forskare och dataleverantörer. |
|
(3) |
För att säkerställa att processen för dataåtkomst är konsekvent för alla samordnare för digitala tjänster och för att göra det förfarandet tydligt och transparent för alla är det nödvändigt att skapa en särskild digital infrastruktur (portalen för dataåtkomst inom ramen för förordningen om digitala tjänster, DSA-dataåtkomstportalen). DSA-dataåtkomstportalen bör göra det möjligt för forskare, dataleverantörer och samordnare för digitala tjänster att delta i processen för dataåtkomst, få tillgång till och sprida relevant information, såsom uppgifter om de särskilda kontaktpunkterna, samt kommunicera med varandra. DSA-dataåtkomstportalen bör inte betraktas som ett av de åtkomstsätt som ska användas för tillhandahållande av åtkomst till data enligt en motiverad begäran. |
|
(4) |
Dataleverantörer och forskare som vill delta i processen för dataåtkomst bör skapa ett konto för detta ändamål på DSA-dataåtkomstportalen. För att säkerställa att samordnarna för digitala tjänster kan få åtkomst till information som lämnas via DSA-dataåtkomstportalen utan att behöva skapa ett separat konto på portalen, bör DSA-dataåtkomstportalen vara interoperabel med systemet för informationsutbyte Agora som inrättades genom kommissionens genomförandeförordning (EU) 2024/607 (2). |
|
(5) |
För att säkerställa insyn i processen för dataåtkomst för alla berörda parter och för att övervaka ändamålsenligheten och effektiviteten i processen för dataåtkomst samt efterlevnaden av artikel 40.4 i förordning (EU) 2022/2065 och denna förordning bör DSA-dataåtkomstportalen generera automatiska meddelanden om processens olika steg och uppdateringar. |
|
(6) |
För att ge forskare konsekvent information om processen för dataåtkomst bör samordnare för digitala tjänster via sina onlinegränssnitt se till att information om processen för dataåtkomst är tillgänglig och lätt åtkomlig, och bland annat har länkar till DSA-dataåtkomstportalen. För att undvika att skapa onödiga administrativa bördor, öka effektiviteten och underlätta kommunikationen mellan alla parter som deltar i processen för dataåtkomst uppmanas samordnare för digitala tjänster att underlätta hanteringen av information som rör processen för dataåtkomst, även ur ett språkligt perspektiv. |
|
(7) |
För att forskare ska kunna identifiera relevanta data för de ändamål som anges i artikel 40.4 i förordning (EU) 2022/2065 bör dataleverantörer tillgängliggöra datakataloger enligt förordningen om digitala tjänster (DSA-datakataloger) för sina tjänster. Sådana kataloger bör vara lätta att hitta och åtkomliga i dataleverantörernas onlinegränssnitt och de bör beskriva de tillgängliga datatillgångar, till vilka åtkomst kan begäras i enlighet med artikel 40.4 i förordning (EU) 2022/2065, samt deras datastruktur och metadata. När dataleverantörer tillgängliggör DSA-datakataloger bör de ta hänsyn till de risker för konfidentialitet, datasäkerhet eller skydd av personuppgifter som kan uppstå till följd av att sådan information offentliggörs. |
|
(8) |
För att bidra till utvecklingen av relevanta forskningsprojekt för de ändamål som anges i artikel 40.4 i förordning (EU) 2022/2065 bör DSA-datakatalogerna särskilt innehålla uppgifter om de systemrisker i unionen som dataleverantörerna har identifierat i sina årliga riskbedömningar i enlighet med artikel 34 i den förordningen samt de data om eventuella riskbegränsningsåtgärder som avses i artikel 35 i den förordningen. För att säkerställa att DSA-datakatalogerna är relevanta och aktuella bör dessa kataloger regelbundet uppdateras med vederbörlig hänsyn till nyligen identifierade systemrisker och utvecklingen av systemrisker. De bör till exempel återspegla nya risker som identifierats efter en specifik riskbedömning enligt artikel 34 i förordning (EU) 2022/2065 eller efter en revisionsrapport i enlighet med artikel 37 i den förordningen. För att minimera den processuella bördan för dataleverantörerna kan sådana kataloger, när så är lämpligt, förlita sig på befintliga datadokumentationsresurser som används för andra ändamål och målgrupper, såsom reklam, innehållsskapande eller utveckling av appar från tredje part. Det bör inte krävas att DSA-datakatalogerna ska vara uttömmande och de bör därför inte binda eller begränsa sökande forskare i deras ansökningar om dataåtkomst. |
|
(9) |
För att samordnaren för digitala tjänster i etableringslandet lättare ska kunna fastställa åtkomstsätten och minska den totala bördan när det gäller processen för dataåtkomst för alla berörda aktörer bör dataleverantörerna offentliggöra sina föreslagna åtkomstsätt för de data som anges i DSA-datakatalogerna. Dessa föreslagna åtkomstsätt bör stå i proportion till hur känsliga uppgifterna är samt omfatta information om möjliga tekniska, organisatoriska och rättsliga villkor som dataleverantörerna anser vara lämpliga för att uppgifterna ska kunna tillhandahållas. De åtkomstsätt som dataleverantörerna föreslår bör inte vara bindande för samordnarna för digitala tjänster i etableringslandet, som bör vara fortsatt behöriga att fastställa lämpliga åtkomstsätt. |
|
(10) |
För att säkerställa att ansökningar om dataåtkomst behandlas lika, oberoende av den samordnare för digitala tjänster till vilken ansökan om dataåtkomst lämnas in eller från vilken den motiverade begäran härrör, bör tidsramen för formuleringen av motiverade begäranden specificeras för att säkerställa samstämmighet mellan alla samordnare för digitala tjänster. Om formuleringen av den motiverade begäran kräver ytterligare tid bör samordnaren för digitala tjänster i etableringslandet underrätta huvudforskaren och ange skälen till förseningen. Sådana skäl kan inbegripa att samordnaren för digitala tjänster behöver göra ytterligare kontroller av forskningsorganisationen eller i etableringslandet, till exempel om ansökningar om dataåtkomst innebär internationella dataöverföringar eller om samordnaren för digitala tjänster i etableringslandet har identifierat potentiella risker för unionens säkerhet om data skulle delas. I syfte att anpassa även de steg i processen för dataåtkomst som föregår formuleringen av motiverade begäranden, inbegripet bedömning av ansökningar om dataåtkomst och beviljande av status som utvald forskare, uppmanas samordnarna för digitala tjänster att utveckla ett konsekvent och samordnat arbetssätt, inbegripet gemensamma operativa kriterier, inom ramen för den europeiska nämnden för digitala tjänster. |
|
(11) |
För att effektivisera förfarandena för att formulera motiverade begäranden bör alla samordnare för digitala tjänster i etableringslandet vara skyldiga att kontrollera att vissa gemensamma delar av processen för dataåtkomst vederbörligen omfattas av ansökningarna om dataåtkomst. I detta syfte bör samordnarna för digitala tjänster i etableringslandet kontrollera att alla sökande forskare som nämns i ansökan om dataåtkomst visar att de är knutna till en forskningsorganisation, till exempel genom att tillhandahålla skriftliga bevis på anställningsavtal eller någon annan form av rättslig anslutning till forskningsorganisationen. Samordnarna för digitala tjänster i etableringslandet bör också kontrollera att de sökande forskarna har visat att de är fristående från kommersiella intressen, till exempel genom en förklaring om detta. |
|
(12) |
Samordnaren för digitala tjänster i etableringslandet bör kontrollera att finansieringen av det forskningsprojekt för vilket data begärs anges i ansökan om dataåtkomst. Den information som lämnas av de sökande forskarna bör innehålla uppgifter om bidragen, såsom finansieringsenheten, bidragsbeloppet, bidragets art och varaktighet, inklusive huruvida finansieringen redan har beviljats eller huruvida en ansökan om finansiering fortfarande utvärderas, samt, i tillämpliga fall, relevanta hänvisningar till unionsfinansierade projekt. I förekommande fall bör ansökan om dataåtkomst också innehålla resultaten av utvärderingar som genomförts av den enhet eller de enheter som tillhandahåller finansieringen. |
|
(13) |
Samordnaren för digitala tjänster i etableringslandet bör kontrollera att det i ansökan om dataåtkomst anges hur data och dataformat väljs, med hänvisning till kraven på nödvändighet och proportionalitet, i förhållande till den planerade forskningens syfte. Om de begärda uppgifterna också är tillgängliga genom andra källor bör samordnaren för digitala tjänster i etableringslandet bedöma huruvida begäran om sådana data i ansökan om dataåtkomst är vederbörligen motiverad, med beaktande av informationen i ansökan om dataåtkomst. Möjliga motiveringar kan inbegripa bevis på dålig kvalitet eller bristande tillförlitlighet hos sådana data som härrör från andra källor eller att det format i vilket sådana uppgifter kan hämtas från andra källor för forskningsprojektets syften är olämpligt, vilket skulle hindra forskningsprojektets genomförande. Data som kan begäras för att studera systemrisker eller begränsa sådana i unionen kan komma att utvecklas i framtiden. Aktuella exempel på sådana data omfattar data som rör användare av tjänsterna, såsom profilinformation, kontaktnät, exponering av innehåll på individnivå och engagemangshistorik; uppgifter om interaktioner, t.ex. kommentarer eller andra engagemang; uppgifter som rör innehållsrekommendationer, bland annat uppgifter som används för att individanpassa rekommendationerna; uppgifter om inriktning av annonser och profilering, inbegripet kostnad per klickdata och andra mått avseende reklampriser; uppgifter om testning av nya funktioner innan de tas i bruk, bland annat resultaten av A/B-tester; data som rör innehållsmoderering och innehållsstyrning, såsom data om algoritmiska eller andra system och processer för innehållsmoderering, inbegripet ändringsloggar, arkiv eller databaser som dokumenterar modererat innehåll, inklusive konton samt data om priser, kvantiteter och egenskaper hos varor eller tjänster som tillhandahålls eller förmedlas av dataleverantören. |
|
(14) |
Samordnaren för digitala tjänster i etableringslandet bör kontrollera om ansökan om dataåtkomst innehåller tillräcklig information som visar att forskaren kan uppfylla de särskilda kraven på konfidentialitet, säkerhet och skydd av personuppgifter med avseende på de begärda uppgifterna, kan identifiera eventuella risker som härrör från åtkomst till och behandling av sådana data för forskningsändamål samt dokumentera alla föreslagna åtkomstsätt, inbegripet de rättsliga, organisatoriska och tekniska villkor som kommer att införas för att minimera identifierade risker, till exempel genom ett skriftligt åtagande från forskningsorganisationen som bekräftar tillgång till medel som kan utgöra relevanta skyddsåtgärder, eller andra handlingar som styrker detta. |
|
(15) |
Om personuppgifter begärs bör samordnaren för digitala tjänster i etableringslandet kontrollera att ansökan om dataåtkomst innehåller information om den rättsliga grunden för behandling av personuppgifter, inbegripet särskilda kategorier av personuppgifter, i tillämpliga fall, och huruvida en sådan rättslig grund är förenlig med artikel 6.1 e eller 6.1 f och, i tillämpliga fall, artikel 9.2 g eller 9.2 j i Europaparlamentets och rådets förordning (EU) 2016/679 (3). Samordnaren för digitala tjänster i etableringslandet bör dessutom kontrollera att ansökan om dataåtkomst innehåller tillräckliga indikationer på att forskarna har bedömt riskerna för skyddet av personuppgifter. Detta kan till exempel påvisas genom en konsekvensbedömning avseende dataskydd i den mening som avses i artikel 35 i den förordningen. För att säkerställa åtkomst till personuppgifter i enlighet med förordning (EU) 2016/679 bör samordnare för digitala tjänster ha rätt att samråda med de relevanta tillsynsmyndigheter som inrättats i enlighet med artikel 51 i den förordningen, vilka alltjämt är behöriga att bedöma efterlevnaden av förordning (EU) 2016/679. |
|
(16) |
För att underlätta formuleringen av den motiverade begäran och bevara integriteten hos den information som ingår i ansökan om dataåtkomst bör samordnaren för digitala tjänster i etableringslandet kontrollera om ansökan om dataåtkomst innehåller en sammanfattning. En sådan sammanfattning bör innehålla en översikt över den information som kommer att ingå i den motiverade begäran som offentliggörs i DSA-dataåtkomstportalen, i de fall när bedömningen av ansökan om dataåtkomst leder till att en motiverad begäran formuleras. |
|
(17) |
För att säkerställa att de åtkomstsätt som samordnaren för digitala tjänster i etableringslandet fastställer är lämpliga för att hantera känsligheten hos de specifika data som begärs i en ansökan om dataåtkomst bör samordnaren för digitala tjänster i etableringslandet göra en bedömning från fall till fall, på grundval av den information som tillhandahålls i ansökan om dataåtkomst. De åtkomstsätt som fastställs i den motiverade begäran bör vara lämpliga för att uppfylla kraven på datasäkerhet, datasekretess och skydd av personuppgifter, och samtidigt göra det möjligt att uppnå forskningsprojektets forskningsmål. Åtkomst till data kan till exempel ske genom dataöverföring till utvalda forskare via ett lämpligt gränssnitt och lämplig datalagring; överföring av data till och lagring i en säker behandlingsmiljö som drivs av dataleverantören eller av en tredjepartsleverantör som utvalda forskare har åtkomst till men där ingen dataöverföring till de utvalda forskarna äger rum, eller andra åtkomstsätt som ska fastställas eller underlättas av dataleverantören. När åtkomstsätten specificeras bör samordnaren för digitala tjänster i etableringslandet också förteckna alla rättsliga, tekniska eller organisatoriska villkor som åtkomsten ska omfattas av. I fall där tillhandahållandet av åtkomst inbegriper en överföring av personuppgifter till tredjeländer eller internationella organisationer i den mening som avses i kapitel V i förordning (EU) 2016/679 bör åtkomstsätten även omfatta information om behovet av att inrätta en lämplig överföringsmekanism för att säkerställa att dataleverantören vidtar nödvändiga åtgärder för att följa den förordningen. |
|
(18) |
För att säkerställa att sätten för dataåtkomst är lämpliga för att hantera särskilda känsliga frågor om dataskydd, datasäkerhet eller konfidentialitet bör samordnaren för digitala tjänster i etableringslandet, på grundval av den information som mottas i ansökan om dataåtkomst, kunna kräva att dataåtkomsten tillhandahålls via säkra behandlingsmiljöer. I sådana fall bör samordnaren för digitala tjänster i etableringslandet säkerställa att den valda miljön fungerar i linje med den lämpligaste tekniken och gör det möjligt för utvalda forskare att uppnå målen för sin forskning. |
|
(19) |
För att säkerställa att den information som samordnarna för digitala tjänster i etableringslandet överför till dataleverantörerna är konsekvent är det nödvändigt att specificera innehållet i motiverade begäranden. |
|
(20) |
För att skydda dataleverantörernas intressen och minska frekvensen av begäranden om ändring över tid samt underlätta för forskare att formulera relevanta ansökningar om dataåtkomst, bör en översikt över varje motiverad begäran, inbegripet eventuella ändringar och uppdateringar av den, göras tillgänglig för allmänheten i DSA-dataåtkomstportalen av den samordnare för digitala tjänster i etableringslandet som utfärdade respektive motiverade begäran. |
|
(21) |
För att säkerställa att samordnaren för digitala tjänster i etableringslandet har relevant information för att utvärdera en begäran om ändring och för att underlätta en enhetlig strategi vid utvärderingen av begäranden om ändring bör dataleverantören vara skyldig att ange skälen till en sådan begäran, i enlighet med artikel 40.5 i förordning (EU) 2022/2065. Mer specifikt bör samordnaren för digitala tjänster i etableringslandet, vid bedömningen av en begäran om ändring som lämnas in på grundval av att en dataleverantör inte kan ge åtkomst till data, kunna undersöka om den påstådda omöjligheten är vederbörligen motiverad, till exempel av att de begärda uppgifterna saknas eller av tekniska begränsningar såsom kryptering, och samordnaren bör ha den information som krävs för att överväga huruvida bristen på åtkomst är permanent eller tillfällig. Det bör i detta avseende stå klart att kommersiella överväganden inte bör anses som ett skäl för att automatiskt vägra åtkomst till begärda uppgifter, utan snarare som en grund för att ändra sättet att ge åtkomst till uppgifterna, vilket kan leda till ytterligare krav på datasäkerhet och konfidentialitet. |
|
(22) |
För att säkerställa en effektiv tvistlösning och uppmuntra till identifieringen av en ömsesidigt godtagbar lösning, efter en begäran om ändring, bör dataleverantörer kunna uppmana samordnarna för digitala tjänster i etableringslandet att delta i medling. Ett sådant deltagande bör vara frivilligt under hela medlingsprocessen och bör inte leda till något bindande resultat för samordnaren för digitala tjänster i etableringslandet, som förblir behörig att besluta om begäranden om ändring. Alla parter som deltar i medlingsprocessen bör engagera sig i god tro och sträva efter att nå en rättvis och ömsesidigt godtagbar överenskommelse. |
|
(23) |
För att förhindra att medlingen förlänger processen för dataåtkomst på obestämd tid bör överföringen av den skriftliga begäran om medling, valet av medlare och själva medlingsprocessen ske inom angivna tidsramar. Samordnarna för digitala tjänster i etableringslandet bör fastställa en tidsfrist för medlingsprocessen i samband med en viss motiverad begäran, och medlaren bör ha befogenhet att avsluta medlingsprocessen under särskilda omständigheter. |
|
(24) |
För att upprätthålla ömsesidigt förtroende mellan de parter som deltar i medlingen bör samordnaren för digitala tjänster i etableringslandet säkerställa att den föreslagna medlaren uppfyller kraven på opartiskhet och oberoende samt har relevant sakkunskap i ämnet för medlingen. |
|
(25) |
För att underlätta ett välgrundat och effektivt beslutsfattande i samband med processen för dataåtkomst bör samordnare för digitala tjänster ha möjlighet att inhämta expertutlåtanden om specifika delar av processen för dataåtkomst, såsom fastställandet av åtkomstsätten, inbegripet lämpliga gränssnitt, formuleringen av den motiverade begäran och eventuella begäranden om ändring från dataleverantören. De experter som rådfrågas bör ha beprövad sakkunskap i den fråga som de rådfrågas om och bör vara oberoende. De bör i synnerhet inte ha någon intressekonflikt, till exempel på grund av eventuella band till de sökande forskarna eller till dataleverantören. |
|
(26) |
För att öka insynen och göra det möjligt för samordnare för digitala tjänster att bygga vidare på sin sakkunskap som förvärvats över tid bör varje begäran om samråd med expert och den uppföljning som genereras av dessa samråd registreras i Agora. |
|
(27) |
För att underlätta en effektiv tillsyn av efterlevnaden av de villkor som anges i den motiverade begäran bör dataleverantören underrätta samordnaren för digitala tjänster i etableringslandet inom tre arbetsdagar från den dag då de utvalda forskarna får åtkomst och om den dag då åtkomsten upphör. |
|
(28) |
För att göra det möjligt för utvalda forskare att använda begärda data för forskningsändamål och för att tillhandahålla relevant kontextinformation bör dataleverantörerna förse utvalda forskare med relevanta metadata och dokumentation som beskriver de data som gjorts åtkomliga, såsom kodböcker, ändringsloggar och dokumentarkitektur. |
|
(29) |
För att underlätta utvalda forskares meningsfulla forskning, även genom att göra det möjligt att kombinera begärda data med data som finns tillgängliga via andra källor, bör dataleverantörer inte införa några begränsningar för de analysverktyg som används av utvalda forskare, inbegripet relevanta programvarubibliotek, och de bör inte införa krav på arkivering, lagring, uppdatering och radering, såvida detta inte uttryckligen nämns i de åtkomstsätt som anges i den motiverade begäran. |
|
(30) |
Om de uppgifter som lämnas till de utvalda forskarna omfattar personuppgifter i den mening som avses i artikel 4 i förordning (EU) 2016/679, bör dataleverantören följa reglerna i den förordningen. I synnerhet inför artikel 40.4 i förordning (EU) 2022/2065 en rättslig skyldighet i den mening som avses i artikel 6.1 c i förordning (EU) 2016/679 för all behandling av personuppgifter som är nödvändig för att dataleverantören ska ge åtkomst till de uppgifter som anges i den motiverade begäran. Om särskilda kategorier av personuppgifter i den mening som avses i artikel 9 i förordning (EU) 2016/679 ska behandlas, uppfyller denna förordning kravet i artikel 9.2 g i förordning (EU) 2016/679. |
|
(31) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (4) och avgav ett yttrande den 4 december 2024. |
|
(32) |
Den europeiska nämnden för digitala tjänster har hörts i enlighet med artikel 40.13 i förordning (EU) 2022/2065 och uttryckte sitt godkännande. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Innehåll
I denna förordning fastställs förfaranden och tekniska villkor för att ge utvalda forskare åtkomst till data som innehas av leverantörer av mycket stora onlineplattformar och av mycket stora onlinesökmotorer, i enlighet med artikel 40.4 i förordning (EU) 2022/2065, särskilt följande:
|
a) |
De tekniska villkoren för utveckling och drift av en portal för dataåtkomst. |
|
b) |
Förfarandena och de tekniska villkoren för hur samordnare för digitala tjänster och dataleverantörer ska hantera processen för dataåtkomst. |
|
c) |
Kraven på formuleringen av motiverade begäranden och bedömningen av begäranden om ändringar. |
|
d) |
De tekniska villkoren för dataleverantörernas tillhandahållande av åtkomst till data. |
Artikel 2
Definitioner
I denna förordning ska definitionerna i artikel 4 i förordning (EU) 2016/679 och artikel 3 i förordning (EU) 2018/1725 gälla. Dessutom ska följande definitioner gälla:
|
1. |
ansökan om dataåtkomst: den information och relevanta dokumentation som lämnas in av sökande forskare till samordnaren för digitala tjänster i etableringslandet eller samordnaren för digitala tjänster i forskningsorganisationens medlemsstat, till vilken huvudforskaren är knuten, för att erhålla status som utvald forskare i den mening som avses i artikel 40.8 första stycket i förordning (EU) 2022/2065, för ett specifikt forskningsprojekt som omfattar åtkomst till data från en dataleverantör. |
|
2. |
process för dataåtkomst: de steg och förfaranden som kan leda till att åtkomst ges till data i enlighet med artikel 40.4 i förordning (EU) 2022/2065. |
|
3. |
sökande forskare: varje fysisk person som ansöker om åtkomst till de data som avses i artikel 40.4 i förordning (EU) 2022/2065, antingen enskilt, i en grupp eller som en del av en enhet. |
|
4. |
huvudforskare: den sökande forskare som lämnar in ansökan om dataåtkomst i egenskap av enskild person eller på uppdrag av en enhet eller en grupp sökande forskare. |
|
5. |
dataleverantör: en leverantör av en mycket stor onlineplattform eller av en mycket stor onlinesökmotor utsedd som sådan i enlighet med artikel 33.4 i förordning (EU) 2022/2065, till vilken en motiverad begäran kan riktas. |
|
6. |
motiverad begäran: en motiverad begäran om dataåtkomst i enlighet med artikel 40.4 i förordning (EU) 2022/2065. |
|
7. |
begäran om ändring: en begäran om ändring enligt artikel 40.5 i förordning (EU) 2022/2065, som dataleverantören lämnar in till samordnaren för digitala tjänster i etableringslandet efter mottagandet av en motiverad begäran. |
|
8. |
säker behandlingsmiljö: säker behandlingsmiljö enligt definitionen i artikel 2.20 i Europaparlamentets och rådets förordning (EU) 2022/868 (5). |
KAPITEL II
INFORMATIONS- OCH KONTAKTSKYLDIGHETER
Artikel 3
Portalen för dataåtkomst inom ramen för förordningen om digitala tjänster (DSA-dataåtkomstportalen)
1. Kommissionen ska inrätta och stå som värd för en portal för dataåtkomst inom ramen för förordningen om digitala tjänster (DSA-dataåtkomstportalen).
2. DSA-dataåtkomstportalen ska ha följande funktioner:
|
a) |
Stödja och effektivisera förvaltningen av processen för dataåtkomst för forskare, dataleverantörer och samordnare för digitala tjänster. |
|
b) |
Fungera som den centrala digitala informationspunkten för processen för dataåtkomst och underlätta informationsutbytet enligt denna förordning mellan sökande forskare, utvalda forskare, dataleverantörer och samordnare för digitala tjänster. |
3. DSA-dataåtkomstportalen ska vara interoperabel med systemet för informationsutbyte Agora som inrättats genom genomförandeförordning (EU) 2024/607. Samordnarna för digitala tjänster ska ha åtkomst i Agora till den information som lämnas via DSA-dataåtkomstportalen.
4. Dataleverantörer ska ha ett konto på DSA-dataåtkomstportalen.
5. För att delta i processen för dataåtkomst ska sökande forskare ha ett konto på DSA-dataåtkomstportalen.
Artikel 4
Roller och ansvarsområden för behandling av personuppgifter i DSA-dataåtkomstportalen
1. Samordnare för digitala tjänster ska vara enskilda personuppgiftsansvariga med avseende på den behandling av personuppgifter som de utför för att hantera processen för dataåtkomst och för att offentliggöra relevant information.
2. Kommissionen ska vara personuppgiftsbiträde för personuppgifter som behandlas inom DSA-dataåtkomstportalen
3. Kommissionens ansvar som personuppgiftsbiträde för databehandling som utförs i DSA-dataåtkomstportalen ska vara enligt det som anges i bilagan.
Artikel 5
Behandling av personuppgifter i DSA-dataåtkomstportalen
1. Om personuppgifter registreras i och utbyts via DSA-dataåtkomstportalen ska behandlingen endast äga rum i den mån det är proportionellt och nödvändigt för ändamålet med processen för dataåtkomst och offentliggörandet av relevant information.
2. Behandlingen av personuppgifter ska ske i DSA-dataåtkomstportalen endast med avseende på följande kategorier av registrerade:
|
a) |
Fysiska personer som har ett konto på DSA-dataåtkomstportalen. |
|
b) |
Fysiska personer vars personuppgifter finns i DSA-dataåtkomstportalen eller i samband med något annat utbyte i enlighet med denna förordning som rör processen för dataåtkomst. |
3. Behandlingen av personuppgifter ska ske i DSA-dataåtkomstportalen endast med avseende på följande kategorier av personuppgifter:
|
a) |
Identitetsuppgifter, t.ex. namn och användar-id. |
|
b) |
Kontaktuppgifter, t.ex. adress, e-postadress och kontaktuppgifter. |
|
c) |
Personuppgifter i den dokumentation som visar anknytningen till en forskningsorganisation och alla andra personuppgifter som anses nödvändiga för att delta i processen för dataåtkomst. |
4. Den behandling av personuppgifter som avses i punkt 1 ska utföras med hjälp av it-infrastruktur som är belägen i Europeiska ekonomiska samarbetsområdet.
Artikel 6
Kontaktpunkter och offentlig information om processen för dataåtkomst
1. Varje samordnare för digitala tjänster och varje dataleverantör ska inrätta en särskild kontaktpunkt, vars uppgift ska vara att tillhandahålla information och stöd avseende processen för dataåtkomst.
2. Samordnarna för digitala tjänster och dataleverantörerna ska så snart som möjligt underrätta kommissionen om sina kontaktpunkter. Kommissionen ska offentliggöra närmare uppgifter om de kontaktpunkter som avses i punkt 1 i det offentliga gränssnittet i DSA-dataåtkomstportalen.
3. Varje samordnare för digitala tjänster ska i sitt onlinegränssnitt göra uppgifterna om den kontaktpunkt som inrättats i enlighet med punkt 1 tillgängliga och lätta att hitta tillsammans med en länk till DSA-dataåtkomstportalen.
4. Dataleverantörer ska göra följande information tillgänglig och lätt att hitta i sina onlinegränssnitt:
|
a) |
Närmare uppgifter om den kontaktpunkt som de har inrättat i enlighet med punkt 1. |
|
b) |
En länk till DSA-dataåtkomstportalen. |
|
c) |
En datakatalog enligt förordningen om digitala tjänster (DSA-datakatalog), som beskriver de datatillgångar som är tillgängliga för de ändamål som anges i artikel 40.4 i förordning (EU) 2022/2065, samt deras datastruktur och metadata. |
|
d) |
De föreslagna sätten att få åtkomst till uppgifterna i katalogen i enlighet med led c som är lämpliga med hänsyn till de olika datatillgångarnas känslighetsnivå. |
5. Den information som avses i punkt 4 c och 4 d ska regelbundet uppdateras, särskilt för att återspegla uppgifter som rör de riskbedömningar som utförs i enlighet med artikel 34 i förordning (EU) 2022/2065 och de revisioner som utförs i enlighet med artikel 37 i den förordningen.
KAPITEL III
KRAV VID FORMULERING OCH BEHANDLING AV MOTIVERADE BEGÄRANDEN
Artikel 7
Formulering av en motiverad begäran
1. Inom 80 arbetsdagar efter att en ansökan om dataåtkomst har lämnats in ska samordnaren för digitala tjänster i etableringslandet, med vederbörlig hänsyn till de förutsättningar som anges i artikel 8 och, i tillämpliga fall, andra bedömningar som är relevanta för dessa ändamål, besluta huruvida en motiverad begäran kan formuleras samt vidta någon av följande åtgärder:
|
a) |
Formulera en motiverad begäran, lämna in den till dataleverantören och underrätta huvudforskaren om att den motiverade begäran har lämnats in. |
|
b) |
Informera huvudforskaren om skälen till att den motiverade begäran inte kunde formuleras. |
2. Om samordnaren för digitala tjänster i etableringslandet i vederbörligen motiverade fall behöver ytterligare tid för att formulera en motiverad begäran, ska samordnaren så snart som möjligt underrätta huvudforskaren samt ange skälen till förseningen och ett nytt datum för genomförandet av de åtgärder som avses i punkt 1.
Artikel 8
Förutsättningar för att formulera en motiverad begäran
1. Samordnaren för digitala tjänster i etableringslandet ska besluta huruvida en motiverad begäran kan formuleras med beaktande av följande:
|
a) |
För varje sökande forskare ska följande beaktas:
|
|
b) |
Information om finansiering till stöd för det forskningsprojekt för vilket uppgifterna begärs. |
|
c) |
En beskrivning av de data som begärs, bland annat format, omfattning och, om möjligt, särskilda attribut, relevanta metadata och datadokumentation, även med beaktande av den information som gjorts tillgänglig i enlighet med artikel 6.4 i denna förordning. |
|
d) |
Information om dataåtkomstens nödvändighet och proportionalitet och information om tidsramarna för den forskning för vilken uppgifterna begärs. |
|
e) |
Information om de identifierade riskerna i fråga om konfidentialitet, datasäkerhet och skydd av personuppgifter i samband med de uppgifter som man skulle få tillgång till samt en beskrivning av de tekniska, rättsliga och organisatoriska åtgärder som kommer att vidtas, inbegripet, när så är möjligt, föreslagna åtkomstsätt, för att minska sådana risker vid behandling av de begärda uppgifterna. |
|
f) |
En beskrivning av den forskningsverksamhet som ska bedrivas med begärda data. |
|
g) |
En sammanfattning av ansökan om dataåtkomst som innehåller följande:
|
Artikel 9
Åtkomstsätt
1. Samordnaren för digitala tjänster i etableringslandet ska fastställa de sätt, inbegripet de tekniska, rättsliga och organisatoriska åtgärder som dataleverantören ska använda för att ge de utvalda forskarna dataåtkomst.
2. Samordnarna för digitala tjänster ska ha rätt att samråda med de relevanta tillsynsmyndigheter som inrättats i enlighet med artikel 51 i förordning (EU) 2016/679.
3. Vid fastställandet av åtkomstsätt ska samordnaren för digitala tjänster i etableringslandet beakta den information som lämnas i ansökan om dataåtkomst, särskilt den information som avses i artikel 8 e, samt även ta hänsyn till dataleverantörernas och de berörda tjänstemottagarnas rättigheter och intressen, bland annat skyddet av konfidentiell information, företagshemligheter och upprätthållandet av säkerheten för deras tjänster och den information som tillhandahålls av dataleverantörerna i enlighet med artikel 6.4 d.
4. Utöver de delar som avses i punkt 3 ska samordnaren för digitala tjänster i etableringslandet, när åtkomstsätten fastställs, beakta följande:
|
a) |
Om åtkomsten inbegriper behandling av personuppgifter ska följande beaktas:
|
|
b) |
Relevanta åtgärder för nätsäkerhet, kryptering, mekanismer för åtkomstkontroll, säkerhetskopieringsstrategier, mekanismer för dataintegritet och incidenthanteringsplaner. |
|
c) |
I tillämpliga fall, information om den planerade lagringsperioden och relevanta planer för förstöring av uppgifter. |
|
d) |
Alla organisatoriska åtgärder såsom interna granskningsprocesser, begränsningar av åtkomsträttigheter och informationsutbyte. |
|
e) |
Alla föreslagna avtalsklausuler, såsom sekretessavtal, dataavtal och andra typer av skriftliga förklaringar som fastställer eventuella villkor för åtkomst och behandling mellan huvudforskaren och dataleverantören. |
|
f) |
Utbildning om datasäkerhet och skydd av personuppgifter som de sökande forskarna fått. |
|
g) |
Huruvida säkra behandlingsmiljöer är nödvändiga för att behandla uppgifterna. |
5. Om samordnaren för digitala tjänster i etableringslandet anser att en säker behandlingsmiljö ska användas för att tillhandahålla åtkomst till begärda data ska samordnaren för digitala tjänster i etableringslandet kräva dokumentation som styrker att operatören i den miljön
|
a) |
anger sätten att få åtkomst till den säkra behandlingsmiljön för att minimera risken för obehörig läsning, kopiering, ändring eller radering av data som finns i den säkra behandlingsmiljön, |
|
b) |
säkerställer att utvalda forskare endast har åtkomst till de data som omfattas av den motiverade begäran, genom individuella och unika användaridentiteter och konfidentiella åtkomstmetoder, |
|
c) |
sparar identifierbara loggar över åtkomst till den säkra behandlingsmiljön under den tid som krävs för att verifiera och granska all behandling i den miljön, |
|
d) |
säkerställer att den datorkraft som står till de utvalda forskarnas förfogande är lämplig och tillräcklig för forskningsprojektets syften, |
|
e) |
övervakar effektiviteten i de åtgärder som förtecknas i leden a–d. |
Artikel 10
Innehåll i en motiverad begäran
1. En motiverad begäran ska innehålla åtminstone följande uppgifter:
|
a) |
Det datum då dataleverantören ska ge åtkomst till begärda data och det datum då sådan åtkomst ska upphöra. |
|
b) |
De åtkomstsätt som fastställs i enlighet med artikel 9. |
|
c) |
Den sammanfattning av ansökan om dataåtkomst som avses i artikel 8 g. |
2. Samordnaren för digitala tjänster i etableringslandet får i den motiverade begäran inkludera namn på och kontaktuppgifter till alla utvalda forskare som anges i ansökan om dataåtkomst, om detta är nödvändigt för att möjliggöra åtkomst till begärda data, i enlighet med de åtkomstsätt som anges i den motiverade begäran.
3. Om tillhandahållandet av åtkomst innebär en överföring av personuppgifter till ett tredjeland eller en internationell organisation i den mening som avses i kapitel V i förordning (EU) 2016/679 ska den motiverade begäran innehålla information om behovet av att införa eller hänvisa till en lämplig överföringsmekanism för att säkerställa efterlevnad av förordning (EU) 2016/679.
Artikel 11
Offentliggörande av en översikt över en motiverad begäran i DSA-dataåtkomstportalen
1. Efter att ha formulerat en motiverad begäran ska samordnaren för digitala tjänster i etableringslandet offentliggöra en översikt över den motiverade begäran i det offentliga gränssnittet på DSA-dataåtkomstportalen. Översikten ska innehålla följande:
|
a) |
Den sammanfattning av ansökan om dataåtkomst som avses i artikel 8 g. |
|
b) |
De åtkomstsätt som fastställs i enlighet med artikel 9. |
2. Den översikt som avses i punkt 1 ska uppdateras för att återspegla eventuella ändringar till följd av en ändring av en eller flera delar efter granskningen av en begäran om ändring eller resultatet av en medling i enlighet med artikel 13.
Artikel 12
Förfaranden för behandling av begäranden om ändring
1. Efter mottagandet av en begäran om ändring i enlighet med artikel 40.5 i förordning (EU) 2022/2065 ska samordnaren för digitala tjänster i etableringslandet informera den berörda huvudforskaren.
2. Vid beslut om en begäran om ändring enligt artikel 40.5 a i förordning (EU) 2022/2065 ska samordnaren för digitala tjänster i etableringslandet beakta följande:
|
a) |
Huruvida skälen till den påstådda bristen på åtkomst till data är vederbörligen motiverade. |
|
b) |
Huruvida denna brist på åtkomst till data är permanent eller tillfällig. |
3. Vid beslut om en begäran om ändring enligt artikel 40.5 b i förordning (EU) 2022/2065 ska samordnaren för digitala tjänster i etableringslandet beakta följande:
|
a) |
Huruvida de påstådda sårbarheterna och deras betydelse är vederbörligen motiverade. |
|
b) |
Sannolikheten för och allvaret i den skada som orsakas av dessa påstådda betydande sårbarheter. |
|
c) |
I vilken utsträckning de åtkomstsätt som anges i den motiverade begäran effektivt minskar risken för att sådan skada uppstår. |
4. När som helst under bedömningen av en begäran om ändring får samordnaren för digitala tjänster i etableringslandet be dataleverantören eller huvudforskaren om all ytterligare information som samordnaren anser nödvändig för att slutföra sin bedömning.
5. En sådan begäran om ytterligare information ska göras så snart som möjligt för att ge dataleverantören eller huvudforskaren tillräckligt med tid för att svara och ska under inga omständigheter påverka den tidsfrist som anges i artikel 40.6 andra stycket i förordning (EU) 2022/2065. Om dataleverantören eller huvudforskaren underlåter att tillhandahålla den begärda informationen helt eller inom en period som anges av samordnaren för digitala tjänster i etableringslandet eller tillhandahåller ofullständig information ska samordnaren för digitala tjänster i etableringslandet fatta sitt beslut inom den tidsfrist som fastställs i artikel 40.6 i förordning (EU) 2022/2065, på grundval av den information som gjordes tillgänglig för samordnaren inom en rimlig tidsfrist.
Artikel 13
Medling
1. Om dataleverantören inte samtycker till det beslut om begäran om ändring som fattats av samordnaren för digitala tjänster i etableringslandet får dataleverantören, inom fem arbetsdagar från att samordnaren för digitala tjänster i etableringslandet meddelat sitt beslut i enlighet med artikel 40.6 andra stycket i förordning (EU) 2022/2065, skriftligen begära att samordnaren för digitala tjänster i etableringslandet deltar i medling.
2. Samordnaren för digitala tjänster i etableringslandet ska inte vara skyldig att delta i medlingsprocessen.
3. Den skriftliga begäran som avses i punkt 1 ska innehålla en kortfattad beskrivning av de specifika delar av beslutet som samordnaren för digitala tjänster i etableringslandet meddelat i enlighet med artikel 40.6 andra stycket i förordning (EU) 2022/2065 och som dataleverantören invänder mot.
4. Samordnaren för digitala tjänster i etableringslandet och dataleverantören ska enas om att utse en medlare samt inleda medlingen inom 20 arbetsdagar från det att begäran om medling lämnas in i enlighet med punkt 3.
5. Innan en medlare utses ska samordnaren för digitala tjänster i etableringslandet kontrollera att medlaren är opartisk och oberoende samt besitter relevant sakkunskap i det ärende som beskrivs i den skriftliga begäran som avses i punkt 1.
6. Dataleverantören ska stå för alla kostnader för medlingen.
7. Samordnaren för digitala tjänster i etableringslandet ska utan onödigt dröjsmål underrätta huvudforskaren om den begäran om medling som avses i punkt 1 och får besluta att bjuda in huvudforskaren att som part delta i medlingen. Om ansökan om dataåtkomst har lämnats in till forskningsorganisationens samordnare för digitala tjänster får samordnaren för digitala tjänster i etableringslandet bjuda in forskningsorganisationens samordnare för digitala tjänster att delta i medlingsprocessen. Parter som samordnaren för digitala tjänster i etableringslandet bjuder in att delta i medlingen ska inte vara skyldiga att delta i medlingsprocessen.
8. Deltagande i medling ska inte påverka parternas rätt att inleda rättsliga förfaranden när som helst före, under eller efter medlingen.
9. Samordnaren för digitala tjänster i etableringslandet ska fastställa en tidsfrist för medlingen, som inte får överstiga 40 arbetsdagar från och med den dag då medlingen inleds i enlighet med punkt 4.
10. Medlaren får avsluta medlingen tidigare i ett av följande fall:
|
a) |
En av parterna begär uttryckligen att medlingen ska avslutas. |
|
b) |
Det står klart att parternas agerande under medlingen, inbegripet underlåtenhet att handla i god tro, gör det osannolikt att en överenskommelse kommer att nås. |
11. Om medlingen leder till en överenskommelse mellan parterna ska samordnaren för digitala tjänster i etableringslandet beakta denna överenskommelse samt vid behov ändra den motiverade begäran och underrätta huvudforskaren om ändringen.
12. Om parterna inte lyckas nå en överenskommelse ska samordnaren för digitala tjänster i etableringslandet underrätta dataleverantören om att beslutet av samordnaren för digitala tjänster i etableringslandet avseende den begäran om ändring som senast meddelats i enlighet med artikel 40.6 andra stycket i förordning (EU) 2022/2065 ska anses vara giltigt och utgöra den relevanta grunden för ytterligare steg i processen samt informera huvudforskaren.
13. Samordnaren för digitala tjänster i etableringslandet ska i Agora registrera en sammanfattning av medlingen, som utarbetas av medlaren och undertecknas av alla parter. Den registrerade sammanfattningen ska innehålla följande uppgifter:
|
a) |
Datum för dataleverantörens skriftliga begäran om medling. |
|
b) |
Parternas identitet och kontaktuppgifter. |
|
c) |
Start- och slutdatum för medlingen. |
|
d) |
Resultatet av medlingen, inbegripet eventuella överenskommelser som nåtts eller skälet till att medlingen har avslutats. |
Artikel 14
Samråd med oberoende experter
1. Innan samordnaren för digitala tjänster formulerar en motiverad begäran eller fattar ett beslut om en begäran om ändring får samordnaren besluta att samråda med experter.
2. Experterna ska vara oberoende och opartiska och ha relevant sakkunskap och dokumenterad kompetens samt kapacitet och resurser för att utföra den identifierade uppgiften utan onödigt dröjsmål.
3. För att intyga opartiskhet ska experterna underteckna en förklaring som bekräftar att de
|
a) |
inte har några ekonomiska eller personliga band till dataleverantören eller de sökande forskarna, |
|
b) |
inte har något intresse av resultatet av processen för dataåtkomst, |
|
c) |
inte har några intressekonflikter. |
4. Samordnaren för digitala tjänster ska utan onödigt dröjsmål i Agora koda alla samråd som genomförs i enlighet med punkt 1, tillsammans med det expertutlåtande som mottagits som svar på samrådet.
KAPITEL IV
VILLKOR FÖR TILLHANDAHÅLLANDE AV BEGÄRDA DATA TILL UTVALDA FORSKARE
Artikel 15
Datadelning och datadokumentation
1. Dataleverantörer ska inom tre arbetsdagar underrätta samordnaren för digitala tjänster i etableringslandet om följande:
|
a) |
Att utvalda forskare har fått åtkomst till begärda data i enlighet med den motiverade begäran. |
|
b) |
Att utvalda forskares åtkomst har upphört. |
2. Dataleverantörerna ska förse utvalda forskare med all ytterligare information som behövs för att de ska få åtkomst till och förstå begärda data, såsom kodböcker, ändringsloggar och arkitekturdokumentation. Om tillhandahållandet av sådan information kan leda till en betydande sårbarhet för dataleverantörens tjänster ska dataleverantören underrätta samordnaren för digitala tjänster i etableringslandet om denna risk och, om möjligt, föreslå alternativ information.
3. När dataleverantörer ger åtkomst till data får de inte ålägga utvalda forskare krav på datahantering, såsom arkivering, lagring, uppdatering och radering, eller begränsa användningen av standardiserade analysverktyg, som kan hindra att den relevanta forskningen utförs, såvida inte sådana krav eller begränsningar uttryckligen nämns i den motiverade begäran.
4. Vid behandling av personuppgifter ska dataleverantörer inte ålägga utvalda forskare några andra villkor för behandlingen av de delade personuppgifterna än de som anges i den motiverade begäran.
KAPITEL V
SLUTBESTÄMMELSER
Artikel 16
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 1 juli 2025.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 277, 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
(2) Kommissionens genomförandeförordning (EU) 2024/607 av den 15 februari 2024 om praktiska och operativa bestämmelser för driften av systemet för informationsutbyte i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2065 (förordningen om digitala tjänster) (EUT L, 2024/607, 16.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/607/oj).
(3) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) (EUT L 152, 3.6.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).
(6) Europaparlamentets och rådets direktiv (EU) 2019/790 av den 17 april 2019 om upphovsrätt och närstående rättigheter på den digitala inre marknaden och om ändring av direktiven 96/9/EG och 2001/29/EG (EUT L 130, 17.5.2019, s. 92, ELI: http://data.europa.eu/eli/dir/2019/790/oj).
BILAGA
Kommissionens ansvar som personuppgiftsbiträde för databehandling som utförs i samband med portalen för dataåtkomst inom ramen för förordningen om digitala tjänster (DSA-dataåtkomstportalen)
1.
Kommissionen ska på uppdrag av samordnarna för digitala tjänster inrätta och sörja för en säker och tillförlitlig it-infrastruktur, portalen för dataåtkomst inom ramen för förordningen om digitala tjänster (DSA-dataåtkomstportalen), som stöder och effektiviserar förvaltningen av processen för dataåtkomst för forskare, forskningsorganisationer, dataleverantörer och samordnare för digitala tjänster.
2.
För att fullgöra sina skyldigheter som personuppgiftsbiträde för samordnarna för digitala tjänster får kommissionen anlita tredje parter som underentreprenörer. Om detta är fallet ska de personuppgiftsansvariga ge kommissionen tillstånd att anlita underentreprenörer eller vid behov byta ut underentreprenörerna. Kommissionen ska informera de personuppgiftsansvariga om sådant anlitande eller utbyte av underentreprenörer, och därigenom ge de personuppgiftsansvariga möjlighet att invända mot sådana ändringar. Kommissionen ska säkerställa att dataskyddsskyldigheterna i denna förordning även tillämpas på dessa underentreprenörer.
3.
Kommissionens behandling av personuppgifter ska endast ske i den mån det är nödvändigt för|
a) |
autentisering och åtkomstkontroll med avseende på alla användare av DSA-dataåtkomstportalen, |
|
b) |
tillståndsimplementering av begäranden från användare av DSA-dataåtkomstportalen om att all information som finns i applikationen i DSA-dataåtkomstportalen ska skapas, uppdateras eller raderas, |
|
c) |
mottagande av de personuppgifter som avses i artikel 5.3 i denna förordning och som laddas upp av användare av DSA-dataåtkomstportalen, |
|
d) |
lagring av personuppgifter i DSA-dataåtkomstportalen, |
|
e) |
radering av personuppgifterna efter föreskriven tid eller efter instruktion från den personuppgiftsansvariga, |
|
f) |
när tillhandahållandet av tjänster som tillhandahålls av DSA-dataåtkomstportalen har avslutats, radering av eventuella kvarvarande personuppgifter, såvida inte lagring av personuppgifterna krävs enligt unionslagstiftningen eller en medlemsstats lagstiftning. |
4.
Kommissionen ska vidta alla aktuella organisatoriska, fysiska och logiska säkerhetsåtgärder för att säkerställa att DSA-dataåtkomstportalen fungerar. Kommissionen ska i detta syfte göra följande:|
a) |
Utse en enhet som ansvarar för säkerhetsförvaltningen av DSA-dataåtkomstportalen, meddela den personuppgiftsansvariga enhetens kontaktuppgifter och säkerställa att den är tillgänglig för att hantera säkerhetshot. |
|
b) |
Ta ansvaret för säkerheten på DSA-dataåtkomstportalen, bland annat genom att regelbundet utföra tester, utvärderingar och bedömningar av säkerhetsåtgärderna. |
5.
Kommissionens ska vidta alla säkerhetsåtgärder som krävs för att DSA-dataåtkomstportalen ska fungera smidigt. Detta ska innefatta följande:|
a) |
Riskbedömningsförfaranden för att identifiera och utvärdera potentiella hot mot DSA-dataåtkomstportalen. |
|
b) |
Ett revisions- och granskningsförfarande för att
|
|
c) |
Ändrande av kontrollförfarandet för att dokumentera och mäta effekten av en ändring innan den genomförs och hålla de personuppgiftsansvariga informerade om samtliga ändringar som kan påverka kommunikationen med och/eller säkerheten i DSA-dataåtkomstportalen. |
|
d) |
Inrättande av ett underhålls- och reparationsförfarande för att fastställa de regler och villkor som ska följas vid underhåll och/eller reparation av DSA-dataåtkomstportalen. |
|
e) |
Inrättande av ett förfarande för säkerhetsincidenter för att fastställa ett rapporterings- och eskaleringssystem, utan dröjsmål informera de personuppgiftsansvariga som berörs och utan dröjsmål informera de personuppgiftsansvariga så att de kan underrätta de nationella dataskyddstillsynsmyndigheterna om personuppgiftsincidenter samt för att fastställa ett disciplinärt förfarande för hantering av säkerhetsöverträdelser i DSA-dataåtkomstportalen. |
6.
Kommissionen ska vidta aktuella fysiska och logiska säkerhetsåtgärder för de anläggningar som hyser DSA-dataåtkomstportalen och för kontroller av åtkomst till uppgifter och säkert tillträde till anläggningarna. Kommissionen ska i detta syfte göra följande:|
a) |
Införa fysiska säkerhetsåtgärder för att upprätta tydliga säkerhetsperimetrar och möjliggöra att överträdelser i DSA-dataåtkomstportalen upptäcks. |
|
b) |
Kontrollera tillträdet till anläggningar som hyser DSA-dataåtkomstportalen. |
|
c) |
Säkerställa att utrustning inte kan läggas till, ersättas eller avlägsnas utan förhandstillstånd från utsedda ansvariga organ. |
|
d) |
Kontrollera åtkomst från och till DSA-dataåtkomstportalen. |
|
e) |
Säkerställa att de användare av DSA-dataåtkomstportalen som har åtkomst till DSA-dataåtkomstportalen |
|
f) |
Se över de tillståndsrättigheter som gäller åtkomst till DSA-dataåtkomstportalen vid säkerhetsöverträdelser som påverkar DSA-dataåtkomstportalen. |
|
g) |
Bevara integriteten för den information som överförs via DSA-dataåtkomstportalen. |
|
h) |
Vidta tekniska och organisatoriska säkerhetsåtgärder för att förhindra obehörig åtkomst till personuppgifter i DSA-dataåtkomstportalen. |
|
i) |
Vid behov vidta åtgärder för att förhindra obehörig åtkomst till DSA-dataåtkomstportalen (dvs. blockera en plats/IP-adress). |
7.
Kommissionen ska göra följande:|
a) |
Vidta åtgärder för att skydda sin domän, inklusive genom frånkoppling, vid betydande avvikelser från principerna och koncepten för kvalitet och säkerhet. |
|
b) |
Upprätthålla en riskhanteringsplan för sitt ansvarsområde. |
|
c) |
I realtid övervaka prestandan hos alla tjänstekomponenter i DSA-dataåtkomstportalen, ta fram regelbunden statistik och upprätthålla register. |
|
d) |
Ge användare av DSA-dataåtkomstportalen stöd på engelska avseende portalen för dataåtkomst inom ramen för förordningen om digitala tjänster. |
|
e) |
Bistå de personuppgiftsansvariga med lämpliga tekniska och organisatoriska åtgärder så att de kan fullgöra de personuppgiftsansvarigas skyldigheter att besvara begäranden om utövande av den registrerades rättigheter enligt kapitel III i förordning (EU) 2016/679. |
|
f) |
Stödja de personuppgiftsansvariga genom att tillhandahålla information om DSA-dataåtkomstportalen för att genomföra skyldigheterna enligt artiklarna 32, 33, 34, 35 och 36 i förordning (EU) 2016/679. |
|
g) |
Säkerställa att de uppgifter som behandlas i DSA-dataåtkomstportalen är oläsliga för personer som inte är behöriga att få åtkomst till dem. |
|
h) |
Vidta alla relevanta åtgärder för att förhindra obehörig åtkomst till överförda personuppgifter via DSA-dataåtkomstportalen. |
|
i) |
Vidta åtgärder för att underlätta kommunikationen mellan de personuppgiftsansvariga. |
|
j) |
Föra ett register över behandling som utförts för de personuppgiftsansvarigas räkning i enlighet med artikel 31.2 i förordning (EU) 2018/1725. |
ELI: http://data.europa.eu/eli/reg_del/2025/2050/oj
ISSN 1977-0820 (electronic edition)