Data Act 2023/2854 DA

c)	dataindehaveres tilrådighedsstillelse af data for offentlige myndigheder, Kommissionen, Den Europæiske Centralbank og EU-organer, hvis der er et ekstraordinært behov for de pågældende data med henblik på udførelse af en specifik opgave i offentlighedens interesse

d)	lettelse af skift mellem databehandlingstjenester

e)	indførelse af sikkerhedsforanstaltninger mod tredjeparts ulovlige adgang til andre data end personoplysninger, og

f)	sikring af udvikling af interoperabilitetsstandarder for data, der skal tilgås, overføres og anvendes.

2. Denne forordning omfatter personoplysninger og andre data end personoplysninger, herunder følgende datatyper, i følgende sammenhænge:

a)	Kapitel II finder anvendelse på data, bortset fra indhold, vedrørende produkters og relaterede tjenesters ydeevne, anvendelse og omgivelser.

b)	Kapitel III finder anvendelse på data fra den private sektor, der er underlagt lovbestemte forpligtelser vedrørende datadeling.

c)	Kapitel IV finder anvendelse på data fra den private sektor, der tilgås og anvendes på grundlag af aftaler mellem virksomheder.

d)	Kapitel V finder anvendelse på data fra den private sektor med fokus på andre data end personoplysninger.

e)	Kapitel VI finder anvendelse på data og tjenester, der behandles af udbydere af databehandlingstjenester.

f)	Kapitel VII finder anvendelse på andre data end personoplysninger, som udbydere af databehandlingstjenester er i besiddelse af i Unionen.

3. Denne forordning finder anvendelse på:

a)	producenter af forbundne produkter, som bringes i omsætning i Unionen, og udbydere af relaterede tjenester, uanset disse producenters og udbyderes etableringssted

b)	brugere i Unionen af forbundne produkter eller relaterede tjenester, jf. litra a)

c)	dataindehavere, uanset deres etableringssted, der stiller data til rådighed for datamodtagere i Unionen

d)	datamodtagere i Unionen, som dataene stilles til rådighed for

offentlige myndigheder, Kommissionen, Den Europæiske Centralbank og EU-organer, der anmoder dataindehavere om at stille data til rådighed, hvis der er et ekstraordinært behov for de pågældende data med henblik på udførelse af en specifik opgave i offentlighedens interesse, og de dataindehavere, der leverer disse data som følge af en sådan anmodning

f)	udbydere af databehandlingstjenester, uanset deres etableringssted, der udbyder sådanne tjenester til kunder i Unionen

g)	deltagere i dataområder og leverandører af applikationer, der anvender intelligente kontrakter, og personer, hvis erhverv, forretning eller profession omfatter indførelse af intelligente kontrakter for andre i forbindelse med gennemførelsen af en aftale.

4. Når der i denne forordning henvises til forbundne produkter eller relaterede tjenester, skal sådanne henvisninger forstås som omfattende også virtuelle assistenter, for så vidt som de interagerer med et forbundet produkt eller en relateret tjeneste.

5. Denne forordning berører ikke EU-retten og national ret om beskyttelse af personoplysninger, privatlivets fred og kommunikationshemmeligheden samt integriteten af terminaludstyr, som finder anvendelse på personoplysninger, der behandles i forbindelse med de rettigheder og forpligtelser, der er fastsat i denne forordning, navnlig forordning (EU) 2016/679 og (EU) 2018/1725 og direktiv 2002/58/EF, herunder tilsynsmyndighedernes beføjelser og kompetencer og de registreredes rettigheder. For så vidt som brugere er registrerede, supplerer de rettigheder, der er fastsat i nærværende forordnings kapitel II, registreredes indsigtsret og retten til dataportabilitet i henhold til artikel 15 og 20 i forordning (EU) 2016/679. I tilfælde af uoverensstemmelse mellem nærværende forordning og EU-retten om beskyttelse af personoplysninger eller privatlivets fred eller national ret vedtaget i overensstemmelse med EU-retten har den relevante EU-ret eller nationale ret om beskyttelse af personoplysninger eller privatlivets fred forrang.

6. Denne forordning finder ikke anvendelse på og foregriber heller ikke frivillige ordninger for udveksling af data mellem private og offentlige enheder, navnlig frivillige ordninger for deling af data.

Denne forordning berører ikke EU-retsakter eller nationale retsakter om deling af, adgang til og anvendelse af data med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, eller til told- og skatteformål, navnlig forordning (EU) 2021/784, (EU) 2022/2065 og (EU) 2023/1543 og direktiv (EU) 2023/1544, eller internationalt samarbejde på dette område. Nærværende forordning finder ikke anvendelse på indsamling eller deling af, adgang til eller anvendelse af data i henhold til forordning (EU) 2015/847 og direktiv (EU) 2015/849. Nærværende forordning finder ikke anvendelse på områder, der falder uden for EU-rettens anvendelsesområde, og berører under ingen omstændigheder medlemsstaternes kompetencer vedrørende offentlig sikkerhed, forsvar eller national sikkerhed, uanset hvilken type enhed medlemsstaterne har bemyndiget til at udføre opgaver i forbindelse med disse kompetencer, eller deres beføjelse til at beskytte andre væsentlige statslige funktioner, herunder sikring af statens territoriale integritet og opretholdelse af lov og orden. Nærværende forordning berører ikke medlemsstaternes kompetencer vedrørende told- og skatteforvaltning eller borgernes sundhed og sikkerhed.

7. Denne forordning supplerer selvreguleringstilgangen i forordning (EU) 2018/1807 ved at tilføje alment gældende forpligtelser vedrørende cloudskift.

8. Denne forordning berører ikke EU-retsakter og nationale retsakter om beskyttelse af intellektuelle ejendomsrettigheder, navnlig direktiv 2001/29/EF, 2004/48/EF og (EU) 2019/790.

9. Denne forordning supplerer og berører ikke EU-ret, der har til formål at fremme forbrugernes interesser og sikre et højt forbrugerbeskyttelsesniveau og at beskytte deres sundhed, sikkerhed og økonomiske interesser, navnlig direktiv 93/13/EØF, 2005/29/EF og 2011/83/EU.

10. Denne forordning er ikke til hinder for, at der kan indgås frivillige lovlige datadelingsaftaler, herunder aftaler, der er indgået på et gensidigt grundlag, og som opfylder kravene i denne forordning.

Artikel 2

Definitioner

I denne forordning forstås ved:

1)	»data« :_enhver_digital_repræsentation_af_handlinger,_kendsgerninger_eller_oplysninger_og_enhver_samling_af_sådanne_handlinger,_kendsgerninger_eller_oplysninger,_herunder_i_form_af_lyd-_eller_videooptagelser_eller_audiovisuelle_optagelser

2)	»metadata«: en struktureret beskrivelse af indholdet eller anvendelsen af de data, hvormed søgningen i eller anvendelsen af disse data lettes

3)	»personoplysninger«: personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679

4)	»andre data end personoplysninger«: data, der ikke er personoplysninger

»forbundet produkt«: en genstand, som opnår, genererer eller indsamler data vedrørende sin anvendelse eller sine omgivelser, og som er i stand til at kommunikere produktdata via en elektronisk kommunikationstjeneste, en fysisk forbindelse eller adgang på en enhed, og hvis primære funktion ikke er lagring, behandling eller overførsel af data på vegne af andre parter end brugeren

»relateret tjeneste«: en digital tjeneste, bortset fra en elektronisk kommunikationstjeneste, herunder software, som på købs-, leje- eller leasingtidspunktet er forbundet med produktet på en sådan måde, at fraværet heraf ville forhindre det forbundne produkt i at udføre en eller flere af sine funktioner, eller som producenten eller en tredjepart efterfølgende har forbundet med produktet for at supplere, ajourføre eller tilpasse det forbundne produkts funktioner

»behandling«: enhver aktivitet eller række af aktiviteter, med eller uden brug af automatisk behandling, som data eller datasæt gøres til genstand for, såsom indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, hentning, søgning, brug, videregivelse ved overførsel, formidling eller enhver anden form for tilrådighedsstillelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

»databehandlingstjeneste«: en digital tjeneste, der leveres til en kunde, og som muliggør alment tilgængelig og on demand-netværksadgang til en fælles pulje af konfigurerbare, skalerbare og elastiske databehandlingsressourcer af central, distribueret eller stærkt distribueret karakter, og som kan tilvejebringes hurtigt og stilles til rådighed med minimal administrativ indsats eller tjenesteudbyderinteraktion

9)	»samme tjenestetype«: en gruppe af databehandlingstjenester, der har samme primære formål, model for levering af databehandlingstjenester og hovedfunktionaliteter

10)	»dataformidlingstjeneste«: dataformidlingstjeneste som defineret i artikel 2, nr. 11), i forordning (EU) 2022/868

11)	»den registrerede«: den registrerede som omhandlet i artikel 4, nr. 1), i forordning (EU) 2016/679

12)	»bruger« :_en_fysisk_eller_juridisk_person,_der_ejer_et_forbundet_produkt,_eller_til_hvem_midlertidige_brugsrettigheder_til_det_forbundne_produkt_kontraktligt_er_blevet_overdraget,_eller_som_modtager_relaterede_tjenester

13)

»dataindehaver«: en fysisk eller juridisk person, der i overensstemmelse med denne forordning, gældende EU-ret eller national lovgivning, der er vedtaget i overensstemmelse med EU-retten, har ret eller pligt til at anvende data og stille data til rådighed, herunder, hvis det er aftalt, produktdata eller relaterede tjenestedata, som vedkommende har hentet eller genereret under leveringen af en relateret tjeneste

14)

»datamodtager: en fysisk eller juridisk person, der uden at være brugeren af et forbundet produkt eller en relateret tjeneste som led i udøvelsen af sit erhverv, sin forretning, sit håndværk eller sin profession får stillet data til rådighed af dataindehaveren, herunder en tredjepart efter anmodning fra brugeren til dataindehaveren eller i overensstemmelse med en retlig forpligtelse i henhold til EU-retten eller national lovgivning vedtaget i overensstemmelse med EU-retten

15)

»produktdata«: data, der er genereret ved brug af et forbundet produkt, som producenten har udformet til via en elektronisk kommunikationstjeneste, en fysisk forbindelse eller adgang på en enhed at kunne hentes af en bruger, dataindehaver eller en tredjepart, herunder, hvis det er relevant, producenten

16)	»relaterede tjenestedata«: data, der repræsenterer en digitalisering af brugerhandlinger eller -begivenheder i forbindelse med det forbundne produkt, som registreres bevidst af brugeren eller genereres som et biprodukt af brugerens handling under udbyderens levering af en relateret tjeneste

17)	»let tilgængelige data«: produktdata og relaterede tjenestedata, som en dataindehaver lovligt opnår eller lovligt kan opnå fra det forbundne produkt eller den relaterede tjeneste uden et uforholdsmæssigt stort arbejde, der ikke kan klares som en simpel ekspeditionssag

18)	»forretningshemmelighed«: en forretningshemmelighed som defineret i artikel 2, nr. 1), i direktiv (EU) 2016/943

19)	»forretningshemmelighedshaver«: en forretningshemmelighedshaver som defineret i artikel 2, nr. 2), i direktiv (EU) 2016/943

20)	»profilering«: profilering som defineret i artikel 4, nr. 4), i forordning (EU) 2016/679

21)	»gøre tilgængelig på markedet«: enhver levering af et forbundet produkt med henblik på distribution, forbrug eller anvendelse på EU-markedet som led i erhvervsvirksomhed, hvad enten det er mod vederlag eller gratis

22)	»bringe i omsætning«: første tilgængeliggørelse af et forbundet produkt på EU-markedet

23)	»forbruger«: enhver fysisk person, der ikke handler som led i den pågældende persons erhverv, forretning, håndværk eller profession

24)	»virksomhed«: en fysisk eller juridisk person, der i forbindelse med aftaler og praksisser, der er omfattet af denne forordning, handler som led i udøvelsen af sit erhverv, sin forretning, sit håndværk eller sin profession

25)	»lille virksomhed«: en lille virksomhed som defineret i artikel 2, stk. 2, i bilaget til henstilling 2003/361/EF

26)	»mikrovirksomhed«: en mikrovirksomhed som defineret i artikel 2, stk. 3, i bilaget til henstilling 2003/361/EF

27)	»EU-organer«: de EU-organer, -kontorer og -agenturer, der er oprettet ved eller i henhold til retsakter vedtaget på grundlag af traktaten om Den Europæiske Union, TEUF eller traktaten om oprettelse af Det Europæiske Atomenergifællesskab

28)	»offentlig myndighed«: nationale, regionale eller lokale myndigheder i medlemsstaterne, offentligretlige organer i medlemsstaterne, sammenslutninger af en eller flere af disse myndigheder eller et eller flere af disse organer

29)

»offentlig nødsituation«: en tidsbegrænset ekstraordinær situation såsom en folkesundhedsmæssig krisesituation, en nødsituation som følge af naturkatastrofer eller en større menneskeskabt katastrofe, herunder en større cybersikkerhedsrelateret hændelse, der har negative virkninger for befolkningen i Unionen eller hele eller en del af en medlemsstat, med risiko for alvorlige og varige følgevirkninger for levevilkårene, for den økonomiske stabilitet eller den finansielle stabilitet eller med risiko for en væsentlig og omgående forringelse af Unionens eller den relevante medlemsstats økonomiske aktiver, og som er konstateret eller officielt erklæret efter de relevante procedurer i overensstemmelse med EU-retten eller national ret

30)	»kunde« :_en_fysisk_eller_juridisk_person,_der_har_indgået_et_kontraktforhold_med_en_udbyder_af_databehandlingstjenester_med_det_formål_at_anvende_en_eller_flere_databehandlingstjenester

31)

»virtuelle assistenter«: software, der kan behandle instrukser, opgaver eller spørgsmål, herunder sådanne, der er afgivet ved hjælp af lyd, skriftligt input, gestik eller bevægelser, og som baseret på disse instrukser, opgaver eller spørgsmål giver adgang til andre tjenester eller kontrollerer forbundne produkters funktioner

32)	»digitale aktiver«: elementer i digitalt format, herunder applikationer, som kunden har brugsret over, uafhængigt af kontraktforholdet med den databehandlingstjeneste, som vedkommende ønsker at skifte fra

33)	»lokal IKT-infrastruktur«: IKT-infrastruktur og databehandlingsressourcer, der ejes, lejes eller leases af kunden, og som befinder sig i kundens eget datacenter og drives af kunden eller en tredjepart

34)

»skift« :_en_proces,_der_involverer_en_kildeudbyder_af_databehandlingstjenester,_en_kunde_af_en_databehandlingstjeneste_og,_hvor_det_er_relevant,_en_destinationsudbyder_af_databehandlingstjenester,_hvorved_kunden_af_en_databehandlingstjeneste_skifter_fra_at_anvende_én_databehandlingstjeneste_til_at_anvende_en_anden_databehandlingstjeneste_af_samme_tjenestetype_eller_en_anden_tjeneste,_der_tilbydes_af_en_anden_udbyder_af_databehandlingstjenester,_eller_til_en_lokal_IKT-infrastruktur,_herunder_ved_at_udtrække,_transformere_og_uploade_dataene

35)	»gebyrer for udgående dataoverførsel«: gebyrer for dataoverførsel, der pålægges kunder for at udtrække deres data gennem nettet fra IKT-infrastrukturen hos en udbyder af databehandlingstjenester til systemet hos en anden udbyder eller til lokal IKT-infrastruktur

36)

»skiftegebyrer«: gebyrer, bortset fra standardtjenestegebyrer eller sanktioner ved førtidig opsigelse, som en udbyder af databehandlingstjenester pålægger en kunde for de handlinger, der i henhold til denne forordning kræves for at skifte til en anden udbyders system eller til lokal IKT-infrastruktur, herunder gebyrer for udgående dataoverførsel

37)

»funktionel ækvivalens«: genetablering på grundlag af kundens eksporterbare data og digitale aktiver af et minimumsniveau af funktionalitet i en ny databehandlingstjenestes miljø af den samme tjenestetype efter skifteprocessen, hvor destinationsdatabehandlingstjenesten leverer et materielt sammenligneligt resultat som svar på det samme input for delte elementer, der leveres til kunden i henhold til aftalen

38)

»eksporterbare data« med henblik på artikel 23-31 og 35: de input- og outputdata, herunder metadata, der direkte eller indirekte genereres eller samgenereres ved kundens anvendelse af databehandlingstjenesten, med undtagelse af aktiver eller data, der er beskyttet af intellektuelle ejendomsrettigheder eller udgør en forretningshemmelighed, og som tilhører udbydere af databehandlingstjenester eller tredjeparter

39)	»intelligent kontrakt«: et computerprogram, der anvendes til automatisk gennemførelse af en aftale eller en del heraf ved hjælp af en sekvens af elektroniske dataposter, som sikrer deres integritet og nøjagtigheden af deres kronologiske rækkefølge

40)	»interoperabilitet«: evnen hos to eller flere dataområder eller kommunikationsnet, systemer, forbundne produkter, applikationer, databehandlingstjenester eller komponenter til at udveksle og anvende data for at kunne udføre deres funktioner

41)	»åbne interoperabilitetsspecifikationer«: en teknisk specifikation på området informations- og kommunikationsteknologi, som er resultatorienteret med henblik på at opnå interoperabilitet mellem databehandlingstjenester

42)	»fælles specifikationer«: et dokument, der ikke er en standard, og som indeholder tekniske løsninger, der giver mulighed for at opfylde visse krav og forpligtelser fastsat i denne forordning

43)	»harmoniseret standard«: en harmoniseret standard som defineret i artikel 2, nr. 1), litra c), i forordning (EU) nr. 1025/2012.

KAPITEL II

DATADELING MELLEM VIRKSOMHEDER OG FORBRUGERE OG MELLEM VIRKSOMHEDER

Artikel 13

Urimelige aftalevilkår, der ensidigt pålægges en anden virksomhed

1. Et aftalevilkår om adgang til og anvendelse af data eller om ansvar og retsmidler ved tilsidesættelse eller ophør af datarelaterede forpligtelser, som en virksomhed ensidigt har pålagt en anden virksomhed, er ikke bindende for sidstnævnte virksomhed, hvis det er urimeligt.

2. Et aftalevilkår, der afspejler ufravigelige bestemmelser i EU-retten eller bestemmelser i EU-retten, som ville finde anvendelse, hvis aftalevilkårene ikke regulerede spørgsmålet, skal ikke anses for at være urimeligt.

3. Et aftalevilkår er urimeligt, hvis det er af en sådan art, at dets anvendelse klart afviger fra god handelspraksis med hensyn til dataadgang og -anvendelse i strid med god tro og redelig handlemåde.

4. Med henblik på stk. 3 anses et aftalevilkår navnlig for at være urimeligt, hvis dets formål eller virkning er:

a)	at udelukke eller begrænse ansvaret for forsætlige handlinger eller grov uagtsomhed for den part, der ensidigt har pålagt vilkåret

b)	at udelukke de retsmidler, som den part, der ensidigt er blevet pålagt vilkåret, har til rådighed i tilfælde af manglende opfyldelse af kontraktlige forpligtelser eller det ansvar, der påhviler den part, som ensidigt har pålagt vilkåret, i tilfælde af tilsidesættelse af disse forpligtelser

c)	at give den part, der ensidigt har pålagt vilkåret, eneret til at afgøre, om de leverede data opfylder aftalevilkårene, eller til at fortolke de enkelte aftalevilkår.

5. Med henblik på stk. 3 formodes et aftalevilkår at være urimeligt, hvis dets formål eller virkning er:

a)	på upassende vis at begrænse retsmidlerne i tilfælde af manglende opfyldelse af kontraktlige forpligtelser eller på upassende vis at begrænse ansvaret i tilfælde af tilsidesættelse af disse forpligtelser eller udvide det ansvar, der påhviler den virksomhed, som ensidigt er blevet pålagt vilkåret

at give den part, der ensidigt har pålagt vilkåret, tilladelse til at tilgå og anvende den anden kontraherende parts data på en måde, der er til betydelig skade for den anden kontraherende parts legitime interesser, navnlig når de pågældende data indeholder kommercielt følsomme data eller er beskyttet af forretningshemmeligheder eller af intellektuelle ejendomsrettigheder

at forhindre den part, som ensidigt er blevet pålagt vilkåret, i at anvende de data, som denne part har leveret eller genereret i løbet af aftalens gyldighedsperiode, eller at begrænse anvendelsen af sådanne data i et sådant omfang, at denne part ikke har ret til at anvende, indsamle, tilgå eller kontrollere sådanne data eller udnytte værdien af sådanne data på en hensigtsmæssig måde

d)	at forhindre den part, som ensidigt er blevet pålagt vilkåret, i at opsige aftalen inden for en rimelig frist

e)	at forhindre den part, som er blevet ensidigt pålagt vilkåret, i at få en kopi af de data, som denne part har leveret eller genereret i løbet af aftalens gyldighedsperiode eller inden for en rimelig frist efter dens ophør

at give den part, der ensidigt har pålagt vilkåret, mulighed for at opsige aftalen med urimeligt kort varsel, under hensyntagen til den anden kontraherende parts rimelige mulighed for at skifte til en alternativ og sammenlignelig tjeneste og den økonomiske skade, som en sådan opsigelse forvolder, medmindre der er tungtvejende grunde hertil

at give den part, der ensidigt har pålagt vilkåret, mulighed for i væsentlig grad at ændre den pris, der er anført i aftalen, eller enhver anden materiel betingelse vedrørende arten, formatet, kvaliteten eller mængden af de data, der skal deles, hvis der i aftalen ikke er anført nogen gyldig grund til og ingen ret for den anden part til at opsige aftalen i tilfælde af en sådan ændring.

Første afsnit, litra g), berører ikke vilkår, hvorved den part, der ensidigt har pålagt vilkåret, forbeholder sig ret til ensidigt at ændre vilkårene i en aftale af ubestemt varighed, forudsat at der i aftalen er anført en gyldig grund for en sådan ensidig ændring, at den part, der ensidigt har pålagt vilkåret, er forpligtet til at give den anden kontraherende part et rimeligt varsel om en sådan påtænkt ændring, og at den anden kontraherende part frit kan opsige aftalen uden omkostninger i tilfælde af en ændring.

6. Et aftalevilkår anses for at være ensidigt pålagt som omhandlet i denne artikel, hvis det er fremsat af en af de kontraherende parter, og den anden kontraherende part ikke har kunnet påvirke dets indhold på trods af et forsøg på at forhandle om vilkåret. Det påhviler den af de kontraherende parter, der har fremsat aftalevilkåret, at bevise, at dette vilkår ikke er ensidigt pålagt. Den kontraherende part, der har fremsat det omtvistede aftalevilkår, kan ikke gøre gældende, at vilkåret er et urimeligt aftalevilkår.

7. Hvis det urimelige aftalevilkår kan adskilles fra de øvrige aftalevilkår, er disse øvrige aftalevilkår bindende.

8. Denne artikel finder ikke anvendelse på aftalevilkår, der definerer aftalens hovedgenstand, eller på overensstemmelsen mellem prisen og de data, der er leveret som modydelse herfor.

9. Parterne i en aftale, der er omfattet af stk. 1, må ikke udelukke anvendelsen af, fravige eller ændre virkningerne af denne artikel.

KAPITEL V

TILRÅDIGHEDSSTILLELSE AF DATA FOR OFFENTLIGE MYNDIGHEDER, KOMMISSIONEN, DEN EUROPÆISKE CENTRALBANK OG EU-ORGANER PÅ GRUNDLAG AF ET EKSTRAORDINÆRT BEHOV

Artikel 30

Tekniske aspekter af skift

1. Udbydere af databehandlingstjenester, der vedrører skalerbare og elastiske databehandlingsressourcer, som er begrænset til infrastrukturelle elementer såsom servere, netværk og de virtuelle ressourcer, der er nødvendige for at drive infrastruktur, men som ikke giver adgang til driftstjenester, software og applikationer, der lagres eller på anden måde behandles eller anvendes i disse infrastrukturelle elementer, træffer i overensstemmelse med artikel 27 alle rimelige foranstaltninger inden for rammerne af deres beføjelser for at lette, at kunden efter at have skiftet til en tjeneste, der dækker den samme tjenestetype, opnår funktionel ækvivalens ved anvendelse af destinationsdatabehandlingstjenesten. Kildeudbyderen af databehandlingstjenester letter skifteprocessen ved at stille kapacitet, tilstrækkelig oplysning, dokumentation, teknisk støtte og, hvor det er relevant, de nødvendige værktøjer til rådighed.

2. Andre udbydere af databehandlingstjenester end dem, der er omhandlet i stk. 1, stiller gratis åbne grænseflader til rådighed i lige høj grad for alle deres kunder og de berørte destinationsudbydere af databehandlingstjenester for at lette skifteprocessen. Disse grænseflader skal omfatte tilstrækkelige oplysninger om den pågældende tjeneste til at muliggøre udvikling af software, der skal kommunikere med tjenesterne, med henblik på dataportabilitet og interoperabilitet.

3. For andre databehandlingstjenester end dem, der er omhandlet i denne artikels stk. 1, sikrer udbydere af databehandlingstjenester kompatibilitet med fælles specifikationer baseret på åbne interoperabilitetsspecifikationer eller harmoniserede standarder for interoperabilitet senest 12 måneder efter, at henvisninger til fælles specifikationer eller harmoniserede standarder for databehandlingstjenesters interoperabilitet er offentliggjort i det centrale EU-standardiseringsregister for databehandlingstjenesters interoperabilitet efter offentliggørelse af de underliggende gennemførelsesretsakter i Den Europæiske Unions Tidende i overensstemmelse med artikel 35, stk. 8.

4. Udbydere af andre databehandlingstjenester end dem, der er omhandlet i denne artikels stk. 1, ajourfører onlineregistret omhandlet i artikel 26, litra b), i overensstemmelse med deres forpligtelser i henhold til nærværende artikels stk. 3.

5. I tilfælde af skift mellem tjenester af samme tjenestetype, for hvilke fælles specifikationer eller harmoniserede standarder for interoperabilitet omhandlet i denne artikels stk. 3 ikke er blevet offentliggjort i det centrale EU-standardiseringsregister for databehandlingstjenesters interoperabilitet i overensstemmelse med artikel 35, stk. 8, eksporterer udbyderen af databehandlingstjenesterne på kundens anmodning alle eksporterbare data i et struktureret, almindeligt anvendt og maskinlæsbart format.

6. Udbydere af databehandlingstjenester er ikke forpligtet til at udvikle nye teknologier eller tjenester eller videregive eller overføre digitale aktiver, som er beskyttede af intellektuelle ejendomsrettigheder eller udgør en forretningshemmelighed, til en kunde eller til en anden udbyder af databehandlingstjenester eller bringe kundens eller udbyderens sikkerhed og tjenesteintegriteten i fare.

Artikel 32

International statslig adgang og overførsel

1. Udbydere af databehandlingstjenester træffer alle passende tekniske, organisatoriske og retlige foranstaltninger, herunder aftaler, for at forhindre international statslig adgang til og overførsel af og tredjelandes statslige adgang til og overførsel af andre data end personoplysninger, der er lagret i Unionen, hvis en sådan overførsel eller adgang ville være i strid med EU-retten eller med den relevante medlemsstats nationale ret, jf. dog stk. 2 eller 3.

2. Enhver afgørelse truffet eller dom afsagt af et tredjelands domstol eller ret og enhver afgørelse truffet af et tredjelands administrative myndighed, der kræver, at en udbyder af databehandlingstjenester overfører eller giver adgang til andre data end personoplysninger, der er omfattet af denne forordnings anvendelsesområde, og som er lagret i Unionen, anerkendes eller håndhæves kun på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller enhver sådan aftale mellem det anmodende tredjeland og en medlemsstat.

3. Hvis der ikke foreligger en international aftale som omhandlet i stk. 2, og en udbyder af databehandlingstjenester er adressat for en afgørelse truffet eller dom afsagt af et tredjelands domstol eller ret eller en afgørelse truffet af et tredjelands administrative myndighed om at overføre eller give adgang til andre data end personoplysninger, der er omfattet af denne forordnings anvendelsesområde, og som er lagret i Unionen, og hvis overholdelsen af en sådan afgørelse risikerer at medføre, at adressaten handler i strid med EU-retten eller med den relevante medlemsstats nationale ret, må overførslen af sådanne data til den pågældende tredjelandsmyndighed eller dennes adgang til sådanne data kun finde sted, hvis:

a)	tredjelandets system kræver, at begrundelsen for og proportionaliteten af en sådan afgørelse eller dom angives, og at en sådan afgørelse eller dom er af specifik karakter, f.eks. ved at fastslå en tilstrækkelig forbindelse til visse mistænkte personer eller overtrædelser

b)	en begrundet indsigelse fra adressaten kan prøves ved tredjelandets kompetente domstol eller ret, og

tredjelandets kompetente domstol eller ret, der udsteder afgørelsen eller dommen eller prøver en administrativ myndigheds afgørelse, i henhold til det pågældende tredjelands ret har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de data til rådighed, som er beskyttet af EU-retten eller af den relevante medlemsstats nationale ret.

Adressaten for afgørelsen eller dommen kan anmode om en udtalelse fra det relevante nationale organ eller den relevante nationale myndighed, der er kompetent med hensyn til internationalt retligt samarbejde, med henblik på at fastslå, om betingelserne i første afsnit er opfyldt, navnlig hvis den finder, at afgørelsen kan vedrøre forretningshemmeligheder eller andre forretningsmæssigt følsomme oplysninger samt indhold, der er beskyttet af intellektuelle ejendomsrettigheder, eller at overførslen kan føre til genidentifikation. Det relevante nationale organ eller den relevante nationale myndighed kan høre Kommissionen. Hvis adressaten finder, at afgørelsen eller dommen kan påvirke Unionens eller dens medlemsstaters nationale sikkerheds- eller forsvarsinteresser, beder den om en udtalelse fra det relevante nationale organ eller den relevante nationale myndighed for at fastslå, om de ønskede data vedrører Unionens eller dens medlemsstaters nationale sikkerheds- eller forsvarsinteresser. Hvis adressaten ikke har modtaget svar inden for én måned, eller hvis det i udtalelsen fra et sådant organ eller en sådan myndighed konkluderes, at betingelserne i første afsnit ikke er opfyldt, kan adressaten give afslag på anmodningen om overførsel af eller adgang til andre data end personoplysninger med denne begrundelse.

EDIB, jf. artikel 42, rådgiver og bistår Kommissionen i forbindelse med udarbejdelse af retningslinjer for vurdering af, om betingelserne i dette stykkes første afsnit er opfyldt.

4. Hvis betingelserne i stk. 2 eller 3 er opfyldt, leverer udbyderen af databehandlingstjenester den mindste mængde data, der er tilladt som svar på en anmodning, på grundlag af en rimelig fortolkning af denne anmodning fra udbyderen eller det relevante kompetente organ eller den relevante kompetente myndighed, der er omhandlet i stk. 3, andet afsnit.

5. Udbyderen af databehandlingstjenester underretter kunden om, at der foreligger en anmodning fra et tredjelandsmyndighed om at få adgang til vedkommendes data, inden den pågældende anmodning imødekommes, undtagen i tilfælde, hvor anmodningen tjener retshåndhævelsesformål, og så længe dette er nødvendigt for at bevare retshåndhævelsesaktivitetens effektivitet.

KAPITEL VIII

INTEROPERABILITET

Artikel 49

Evaluering og revision

1. Senest den 12. september 2028 foretager Kommissionen en evaluering af denne forordning og forelægger Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg en rapport om de vigtigste resultater. I denne evaluering vurderes navnlig:

situationer, der anses for at være situationer, hvor der er et ekstraordinært behov med henblik på denne forordnings artikel 15 og anvendelsen af denne forordnings kapitel V i praksis, navnlig offentlige myndigheders, Kommissionens, Den Europæiske Centralbanks og EU-organers erfaringer med anvendelse af denne forordnings kapitel V, antallet og resultatet af de sager, der er indbragt for den kompetente myndighed i henhold til artikel 18, stk. 5, om anvendelse af denne forordnings kapitel V, som indberettet af de kompetente myndigheder, indvirkningen af andre forpligtelser, der er fastsat i EU-retten eller national ret med henblik på at efterkomme anmodninger om adgang til oplysninger, indvirkningen af frivillige datadelingsmekanismer såsom dem, som dataaltruistiske organisationer, der er anerkendt i henhold til forordning (EU) 2022/868, har fastlagt, på opfyldelsen af målene i nærværende forordnings kapitel V og personoplysningers rolle i forbindelse med nærværende forordnings artikel 15, herunder udviklingen af teknologier til beskyttelse af privatlivet

b)	denne forordnings indvirkning på anvendelsen af data i økonomien, herunder på datainnovation, datamonetariseringspraksis og dataformidlingstjenester samt på datadeling inden for de fælles europæiske dataområder

c)	tilgængeligheden og anvendelsen af forskellige kategorier og typer af data

d)	udelukkelsen af visse kategorier af virksomheder som berettigede i henhold til artikel 5

e)	fraværet af enhver indvirkning på intellektuelle ejendomsrettigheder

indvirkningen på forretningshemmeligheder, herunder på beskyttelsen mod ulovlig erhvervelse, brug og videregivelse heraf, samt indvirkningen af den mekanisme, der gør det muligt for dataindehavere at afvise brugeres anmodninger i henhold til artikel 4, stk. 8, og artikel 5, stk. 11, så vidt muligt under hensyntagen til eventuel revision af direktiv (EU) 2016/943

g)	om listen over urimelige aftalevilkår, jf. artikel 13, er ajourført i lyset af ny forretningspraksis og den hurtige markedsinnovation

h)	ændringer i kontraktpraksis hos udbydere af databehandlingstjenester, og hvorvidt dette resulterer i tilstrækkelig overensstemmelse med artikel 25

i)	nedsættelsen af de gebyrer, som udbydere af databehandlingstjenester pålægger for skifteprocessen, i overensstemmelse med den gradvise fjernelse af skiftegebyrer i henhold til artikel 29

j)	samspillet mellem denne forordning og andre EU-retsakter af relevans for dataøkonomien

k)	forebyggelsen af ulovlig statslig adgang til andre data end personoplysninger

l)	effektiviteten af den håndhævelsesordning, der kræves i henhold til artikel 37

m)	denne forordnings indvirkning på SMV'er med hensyn til deres innovationskapacitet og tilgængeligheden af databehandlingstjenester for brugere i Unionen og byrden ved at opfylde nye forpligtelser.

2. Senest den 12. september 2028 foretager Kommissionen en evaluering af denne forordning og forelægger Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg en rapport om de vigtigste resultater. Denne evaluering skal vurdere indvirkningen af artikel 23-31, 34 og 35, navnlig med hensyn til prisfastsættelse og mangfoldigheden af databehandlingstjenester, der udbydes i Unionen, med særligt fokus på udbydere, der er SMV'er.

3. Medlemsstaterne forelægger Kommissionen de oplysninger, der er nødvendige for udarbejdelsen af de i stk. 1 og 2 omhandlede rapporter.

4. På grundlag af de i stk. 1 og 2 omhandlede rapporter kan Kommissionen, hvis det er relevant, forelægge Europa-Parlamentet og Rådet et lovgivningsmæssigt forslag om ændring af denne forordning.

Artikel 50

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse fra den 12. september 2025.

Den forpligtelse, der følger af artikel 3, stk. 1, finder anvendelse på forbundne produkter og de hermed relaterede tjenester, der bringes i omsætning efter den 12. september 2026.

Kapitel III finder kun anvendelse i forbindelse med forpligtelser til at stille data til rådighed i henhold til EU-ret eller national lovgivning vedtaget i overensstemmelse med EU-retten, som træder i kraft efter den 12. september 2025.

Kapitel IV finder anvendelse på aftaler, der indgås efter den 12. september 2025.

Kapitel IV finder anvendelse fra den 12. september 2027 på aftaler, der indgås senest den 12. september 2025, forudsat at de:

a)	er af ubegrænset varighed, eller

b)	udløber mindst ti år efter den 11. januar 2024.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Strasbourg, den 13. december 2023.

På Europa-Parlamentets vegne

R. METSOLA

Formand

På Rådets vegne

P. NAVARRO RÍOS

Formand

(1) EUT C 402 af 19.10.2022, s. 5.

(2) EUT C 365 af 23.9.2022, s. 18.

(3) EUT C 375 af 30.9.2022, s. 112.

(4) Europa-Parlamentets holdning af 9.11.2023 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 27.11.2023.

(5) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).

(6) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(7) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(8) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(9) Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af 21.4.1993, s. 29).

(10) Europa-Parlamentets og Rådets direktiv 2005/29/EF af 11. maj 2005 om virksomheders urimelige handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (»direktivet om urimelig handelspraksis«) (EUT L 149 af 11.6.2005, s. 22).

(11) Europa-Parlamentets og Rådets direktiv 2011/83/EU af 25. oktober 2011 om forbrugerrettigheder, om ændring af Rådets direktiv 93/13/EØF og Europa-Parlamentets og Rådets direktiv 1999/44/EF samt om ophævelse af Rådets direktiv 85/577/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF (EUT L 304 af 22.11.2011, s. 64).

(12) Europa-Parlamentets og Rådets forordning (EU) 2021/784 af 29. april 2021 om håndtering af udbredelsen af terrorrelateret indhold online (EUT L 172 af 17.5.2021, s. 79).

(13) Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester og om ændring af direktiv 2000/31/EF (forordning om digitale tjenester) (EUT L 277 af 27.10.2022, s. 1).

(14) Europa-Parlamentets og Rådets forordning (EU) 2023/1543 af 12. juli 2023 om europæiske editionskendelser og europæiske sikringskendelser om elektronisk bevismateriale i straffesager og om fuldbyrdelse af frihedsstraffe idømt som led i en straffesag (EUT L 191 af 28.7.2023, s. 118).

(15) Europa-Parlamentets og Rådets direktiv (EU) 2023/1544 af 12. juli 2023 om harmoniserede regler for udpegning af bestemte forretningssteder og udpegning af retlige repræsentanter med henblik på indsamling af elektronisk bevismateriale i straffesager (EUT L 191 af 28.7.2023, s. 181).

(16) Europa-Parlamentets og Rådets forordning (EU) 2015/847 af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, og om ophævelse af forordning (EF) nr. 1781/2006 (EUT L 141 af 5.6.2015, s. 1).

(17) Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (EUT L 141 af 5.6.2015, s. 73).

(18) Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for produkter og tjenester (EUT L 151 af 7.6.2019, s. 70).

(19) Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet (EFT L 167 af 22.6.2001, s. 10).

(20) Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder (EUT L 157 af 30.4.2004, s. 45).

(21) Europa-Parlamentets og Rådets direktiv (EU) 2019/790 af 17. april 2019 om ophavsret og beslægtede rettigheder på det digitale indre marked og om ændring af direktiv 96/9/EF og 2001/29/EF (EUT L 130 af 17.5.2019, s. 92).

(22) Europa-Parlamentets og Rådets forordning (EU) 2022/868 af 30. maj 2022 om europæisk datastyring og om ændring af forordning (EU) 2018/1724 (forordning om datastyring) (EUT L 152 af 3.6.2022, s. 1).

(23) Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT L 157 af 15.6.2016, s. 1).

(24) Europa-Parlamentets og Rådets direktiv 98/6/EF af 16. februar 1998 om forbrugerbeskyttelse i forbindelse med angivelse af priser på forbrugsvarer (EFT L 80 af 18.3.1998, s. 27).

(25) Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (direktivet om elektronisk handel) (EFT L 178 af 17.7.2000, s. 1).

(26) Europa-Parlamentets og Rådets forordning (EU) 2022/1925 af 14. september 2022 om åbne og fair markeder i den digitale sektor og om ændring af direktiv (EU) 2019/1937 og (EU) 2020/1828 (forordningen om digitale markeder) (EUT L 265 af 12.10.2022, s. 1).

(27) Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 af 11. marts 2009 om europæiske statistikker og om ophævelse af forordning (EF, Euratom) nr. 1101/2008 om fremsendelse af fortrolige statistiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor, Rådets forordning (EF) nr. 322/97 om EF-statistikker og Rådets afgørelse 89/382/EØF, Euratom om nedsættelse af et udvalg for De Europæiske Fællesskabers statistiske program (EUT L 87 af 31.3.2009, s. 164).

(28) Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 af 20. juni 2019 om åbne data og videreanvendelse af den offentlige sektors informationer (EUT L 172 af 26.6.2019, s. 56).

(29) Europa-Parlamentet og Rådets direktiv 96/9/EF af 11. marts 1996 om retlig beskyttelse af databaser (EFT L 77 af 27.3.1996, s. 20).

(30) Europa-Parlamentets og Rådets forordning (EU) 2018/1807 af 14. november 2018 om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union (EUT L 303 af 28.11.2018, s. 59).

(31) Europa-Parlamentets og Rådets direktiv (EU) 2019/770 af 20. maj 2019 om visse aspekter om aftaler om levering af digitalt indhold og digitale tjenester (EUT L 136 af 22.5.2019, s. 1).

(32) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1).

(33) Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).

(34) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og om ophævelse af Rådets forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

(35) Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF af 9. juli 2008 om fælles rammer for markedsføring af produkter og om ophævelse af Rådets afgørelse 93/465/EØF (EUT L 218 af 13.8.2008, s. 82).

(36) Europa-Parlamentets og Rådets forordning (EU) 2017/2394 af 12. december 2017 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse og om ophævelse af forordning (EF) nr. 2006/2004 (EUT L 345 af 27.12.2017, s. 1).

(37) Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25. november 2020 om adgang til anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF (EUT L 409 af 4.12.2020, s. 1).

(38) EUT L 123 af 12.5.2016, s. 1.

(39) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0634 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 DA

Data Act 2023/2854 DA