keyboard_tab Data Act 2023/2854 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 4 Brugeres og dataindehaveres rettigheder og forpligtelser for så vidt angår at tilgå og anvende produktdata og relaterede tjenestedata og stille dem til rådighed
- 1 Artikel 17 Anmodninger om at få stillet data til rådighed
- 1 Artikel 20 Godtgørelse i tilfælde af et ekstraordinært behov
- 2 Artikel 21 Deling af data, der er indhentet i forbindelse med et ekstraordinært behov, med forskningsinstitutioner eller statistiske kontorer
- 1 Artikel 32 International statslig adgang og overførsel
- 1 Artikel 37 Kompetente myndigheder og datakoordinatorer
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
DATADELING MELLEM VIRKSOMHEDER OG FORBRUGERE OG MELLEM VIRKSOMHEDER
KAPITEL III
FORPLIGTELSER FOR DATAINDEHAVERE, DER ER FORPLIGTEDE TIL AT STILLE DATA TIL RÅDIGHED I HENHOLD TIL EU-RETTEN
KAPITEL IV
URIMELIGE AFTALEVILKÅR VEDRØRENDE DATAADGANG OG -ANVENDELSE MELLEM VIRKSOMHEDER
KAPITEL V
TILRÅDIGHEDSSTILLELSE AF DATA FOR OFFENTLIGE MYNDIGHEDER, KOMMISSIONEN, DEN EUROPÆISKE CENTRALBANK OG EU-ORGANER PÅ GRUNDLAG AF ET EKSTRAORDINÆRT BEHOV
KAPITEL VI
SKIFT MELLEM DATABEHANDLINGSTJENESTER
KAPITEL VII
ULOVLIG INTERNATIONAL STATSLIG ADGANG OG OVERFØRSEL AF ANDRE DATA END PERSONOPLYSNINGER
KAPITEL VIII
INTEROPERABILITET
KAPITEL IX
GENNEMFØRELSE OG HÅNDHÆVELSE
KAPITEL X
SUI GENERIS-RET I HENHOLD TIL DIREKTIV 96/9/EF
KAPITEL XI
AFSLUTTENDE BESTEMMELSER
- : enhver digital repræsentation af handlinger, kendsgerninger eller oplysninger og enhver samling af sådanne handlinger, kendsgerninger eller oplysninger, herunder i form af lyd- eller videooptagelser eller audiovisuelle opta
- : en fysisk eller juridisk person, der ejer et forbundet produkt, eller til hvem midlertidige brugsrettigheder til det forbundne produkt kontraktligt er blevet overdraget, eller som modtager relaterede t
- : en fysisk eller juridisk person, der har indgået et kontraktforhold med en udbyder af databehandlingstjenester med det formål at anvende en eller flere databehandlingstj
- : en proces, der involverer en kildeudbyder af databehandlingstjenester, en kunde af en databehandlingstjeneste og, hvor det er relevant, en destinationsudbyder af databehandlingstjenester, hvorved kunden af en databehandlingstjeneste skifter fra at anvende én databehandlingstjeneste til at anvende en anden databehandlingstjeneste af samme tjenestetype eller en anden tjeneste, der tilbydes af en anden udbyder af databehandlingstjenester, eller til en lokal IKT-infrastruktur, herunder ved at udtrække, transformere og uploade
- eller 133
- data 66
- henhold 45
- denne 45
- artikel 42
- myndighed 41
- stk 35
- hvis 35
- kompetente 31
- ikke 29
- myndigheder 27
- dataindehaveren 26
- kommissionen 24
- forordning 24
- skal 23
- rådighed 22
- relevante 19
- anmodning 18
- hvor 18
- europæiske 18
- centralbank 17
- personoplysninger 17
- adgang 16
- offentlige 15
- dataene 15
- anvendelse 15
- sådan 14
- brugeren 14
- andre 14
- anmodningen 13
- overensstemmelse 13
- herunder 13
- offentlig 13
- medlemsstat 13
- nationale 13
- uden 12
- forbindelse 12
- forretningshemmeligheder 12
- unødigt 12
- deres 11
- tekniske 11
- dette 11
- forordnings 11
- ophold 11
- nødvendige 11
- artikels 10
- oplysninger 10
- hvis 10
- relevant 10
- kompetent 10
Artikel 4
Brugeres og dataindehaveres rettigheder og forpligtelser for så vidt angår at tilgå og anvende produktdata og relaterede tjenestedata og stille dem til rådighed
1. Hvis brugeren ikke direkte kan tilgå data fra det forbundne produkt eller den relaterede tjeneste, gør dataindehaverne let tilgængelige data og de relevante metadata, der er nødvendige for at fortolke og anvende disse data, tilgængelige for brugeren uden unødigt ophold, i samme kvalitet som dataindehaveren har til rådighed, på en let og sikker måde, gratis og i et fyldestgørende, struktureret, almindeligt anvendt og maskinlæsbart format og, hvis det er relevant og teknisk muligt, kontinuerligt og i realtid. Dette skal ske på grundlag af en simpel anmodning ad elektronisk vej, hvor det er teknisk muligt.
2. Brugere og dataindehavere kan indgå aftale om at begrænse eller forbyde adgang til eller anvendelse eller yderligere deling af data, hvis en sådan behandling kan underminere det forbundne produkts sikkerhedskrav, der er fastsat i EU-retten eller national ret, med en alvorlig negativ virkning for fysiske personers sundhed og sikkerhed. Sektormyndigheder kan yde brugere og dataindehavere teknisk ekspertise i denne forbindelse. Hvis dataindehaveren afslår at dele data i henhold til denne artikel, underretter vedkommende den kompetente myndighed, der er udpeget i henhold til artikel 37.
3. Uden at det berører brugerens ret til prøvelse ved en medlemsstats domstol eller ret på et hvilket som helst tidspunkt, kan brugeren i forbindelse med enhver tvist med dataindehaveren vedrørende de kontraktlige begrænsninger eller forbud, der er omhandlet i stk. 2:
| a) | indgive klage til den kompetente myndighed i overensstemmelse med artikel 37, stk. 5, litra b), eller |
| b) | aftale med dataindehaveren, at sagen indbringes for et tvistbilæggelsesorgan i overensstemmelse med artikel 10, stk. 1. |
4. Dataindehavere må ikke gøre brugerens udøvelse af valgmuligheder eller rettigheder i henhold til denne artikel unødigt vanskelig, herunder ved at tilbyde brugerne valgmuligheder på en ikkeneutral måde eller ved at undergrave eller begrænse brugerens autonomi, beslutningstagning eller valgmuligheder via den måde, som en digital brugergrænseflade eller en del heraf er struktureret, udformet, fungerer eller betjenes på.
5. For at fastslå om en fysisk eller juridisk person er en bruger med henblik på stk. 1 må en dataindehaver ikke kræve, at denne person skal fremlægge oplysninger ud over, hvad der er nødvendigt. Dataindehavere må ikke opbevare oplysninger, navnlig logdata, om brugerens adgang til de ønskede data ud over, hvad der er nødvendigt for en forsvarlig udførelse af brugerens anmodning om adgang og af hensyn til sikkerheden og vedligeholdelsen af datainfrastrukturen.
6. Forretningshemmeligheder skal beskyttes og må kun videregives, hvis dataindehaveren og brugeren forud for videregivelsen træffer alle nødvendige foranstaltninger for at beskytte deres fortrolighed, navnlig over for tredjeparter. Dataindehaveren eller, når det ikke er den samme person, forretningshemmelighedshaveren identificerer de data, der er beskyttet som forretningshemmeligheder, herunder i de relevante metadata, og aftaler med brugeren forholdsmæssige tekniske og organisatoriske foranstaltninger, der er nødvendige for at beskytte fortroligheden af de delte data, navnlig over for tredjeparter, såsom en model for aftalevilkår, fortrolighedsaftaler, strenge adgangsprotokoller, tekniske standarder og anvendelse af adfærdskodekser.
7. Hvis der ikke foreligger nogen aftale om de nødvendige foranstaltninger omhandlet i stk. 6, eller hvis brugeren undlader at gennemføre de foranstaltninger, der er aftalt i henhold til stk. 6, eller undergraver fortroligheden af forretningshemmeligheder, kan dataindehaveren tilbageholde eller i givet fald suspendere delingen af data, der er identificeret som forretningshemmeligheder. Dataindehaverens beslutning skal være behørigt begrundet og meddeles brugeren skriftligt uden unødigt ophold. I sådanne tilfælde underretter dataindehaveren den kompetente myndighed, der er udpeget i henhold til artikel 37, om, at den har tilbageholdt eller suspenderet datadeling, og udpeger de foranstaltninger, der ikke er aftalt eller gennemført, og, hvis det er relevant, de forretningshemmeligheder, hvis fortrolighed er undergravet.
8. Under ekstraordinære omstændigheder, hvor dataindehaveren, der er forretningshemmelighedshaver, kan påvise, at vedkommende højst sandsynligt vil lide alvorlig økonomisk skade som følge af videregivelsen af forretningshemmeligheder på trods af de tekniske og organisatoriske foranstaltninger, som brugeren har truffet i henhold til denne artikels stk. 6, kan den pågældende dataindehaver fra sag til sag afslå en anmodning om adgang til de pågældende specifikke data. Denne påvisning skal være behørigt begrundet i objektive forhold, navnlig muligheden for at håndhæve beskyttelsen af forretningshemmeligheder i tredjelande, arten og graden af fortrolighed for de ønskede data og det forbundne produkts unikke og nyskabende karakter, og skal gives brugeren skriftligt uden unødigt ophold. Hvor dataindehaveren afslår at dele data i henhold til nærværende stykke, underretter vedkommende den kompetente myndighed, der er udpeget i henhold til artikel 37.
9. Uden at dette berører en brugers ret til prøvelse ved en medlemsstats domstol eller ret på et hvilket som helst tidspunkt, kan en bruger, der ønsker at anfægte en dataindehavers beslutning om at afslå eller om at tilbageholde eller suspendere datadelingen i henhold til stk. 7 og 8:
| a) | i overensstemmelse med artikel 37, stk. 5, litra b), indgive klage til den kompetente myndighed, som uden unødigt ophold skal beslutte, om og på hvilke betingelser datadelingen skal påbegyndes eller genoptages, eller |
| b) | aftale med dataindehaveren, at sagen indbringes for et tvistbilæggelsesorgan i overensstemmelse med artikel 10, stk. 1. |
10. Brugeren må ikke anvende de data, der er opnået på grundlag af en anmodning omhandlet i stk. 1, til at udvikle et forbundet produkt, der konkurrerer med det forbundne produkt, som dataene stammer fra, og heller ikke dele dataene med en tredjepart med henblik herpå og må ikke anvende de pågældende data til at opnå indsigt i producentens eller i givet fald dataindehaverens økonomiske situation, aktiver og produktionsmetoder.
11. Brugeren må ikke anvende tvangsmidler eller misbruge mangler i en dataindehavers tekniske databeskyttelsesinfrastruktur for at få adgang til data.
12. Hvis brugeren ikke er den registrerede, hvis personoplysninger der anmodes om, må alle personoplysninger, der er genereret ved brug af et forbundet produkt eller en relateret tjeneste, kun stilles til rådighed af dataindehaveren for brugeren, hvis der er et gyldigt retsgrundlag for behandling i henhold til artikel 6 i forordning (EU) 2016/679, og, hvor det er relevant, betingelserne i artikel 9 i nævnte forordning og i artikel 5, stk. 3, i direktiv 2002/58/EF er opfyldt.
13. En dataindehaver må kun anvende let tilgængelige andre data end personoplysninger, på grundlag af en aftale med brugeren. En dataindehaver må ikke anvende sådanne data til at opnå indsigt i brugerens økonomiske situation, aktiver og produktionsmetoder eller anvendelse af disse på en anden måde, som kunne underminere denne brugers forretningsmæssige stilling på de markeder, hvor brugeren er aktiv.
14. Dataindehavere må ikke stille andre produktdata end personoplysninger til rådighed for tredjeparter til andre kommercielle eller ikkekommercielle formål end opfyldelsen af deres aftale med brugeren. Hvor det er relevant, forpligter dataindehavere kontraktligt tredjeparter til ikke at dele data, som de har modtaget fra dem, med andre.
Artikel 17
Anmodninger om at få stillet data til rådighed
1. Når offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller et EU-organ anmoder om data i henhold til artikel 14 skal de:
| a) | præcisere de nødvendige data, herunder de relevante metadata, der er nødvendige for at fortolke og anvende disse data |
| b) | påvise, at de nødvendige betingelser for, at der foreligger et ekstraordinært behov som omhandlet i artikel 15, hvortil der anmodes om data, er opfyldt |
| c) | forklare formålet med anmodningen, den påtænkte anvendelse af de data, der anmodes om, herunder i givet fald af en tredjepart i overensstemmelse med nærværende artikels stk. 4, varigheden af denne anvendelse, og, hvor det er relevant, hvordan behandlingen af personoplysninger skal imødekomme det ekstraordinære behov |
| d) | om muligt angive, hvornår dataene forventes at blive slettet af alle parter, der har adgang til dem |
| e) | begrunde valget af dataindehaver, som anmodningen er rettet til |
| f) | angive andre offentlige myndigheder eller Kommissionen, Den Europæiske Centralbank eller EU-organer og de tredjeparter, som de data, der anmodes om, forventes at blive delt med |
| g) | hvis der anmodes om personoplysninger, angive eventuelle tekniske og organisatoriske foranstaltninger, der er nødvendige og forholdsmæssige for at implementere databeskyttelsesprincipper, og nødvendige sikkerhedsforanstaltninger såsom pseudonymisering og hvorvidt dataindehaveren kan anvende anonymisering, inden dataene stilles til rådighed |
| h) | angive den retlige bestemmelse, som tildeler den anmodende offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet den specifikke opgave udført i offentlighedens interesse, der er relevant for anmodningen om data |
| i) | angive den frist, inden for hvilken dataene skal stilles til rådighed, og den i artikel 18, stk. 2, omhandlede frist, inden for hvilken dataindehaveren kan afslå eller anmode om ændring af anmodningen |
| j) | gøre deres bedste for at undgå, at en efterkommelse af dataanmodningen fører til, at dataindehaverne er ansvarlige for overtrædelse af EU-retten eller national ret. |
2. En anmodning om data i henhold til denne artikels stk. 1 skal:
| a) | være formuleret skriftligt og i et klart, koncist og almindeligt sprog, der er forståeligt for dataindehaveren |
| b) | være specifik med hensyn, hvilken type data der anmodes om, og vedrøre data, som dataindehaveren har kontrol over på tidspunktet for anmodningen |
| c) | stå i et rimeligt forhold til det ekstraordinære behov og være behørigt begrundet med hensyn til de ønskede datas detaljeringsgrad, mængde og tilgangshyppighed |
| d) | respektere dataindehaverens legitime mål og indeholde tilsagn om at sikre beskyttelsen af forretningshemmeligheder i overensstemmelse med artikel 19, stk. 3, og de omkostninger og den indsats, der kræves for at stille dataene til rådighed |
| e) | vedrøre andre data end personoplysninger og, kun hvis det påvises, at dette er utilstrækkeligt til at imødekomme det ekstraordinære behov for at anvende data, jf. artikel 15, stk. 1, litra a), anmode om personoplysninger i pseudonymiseret form og fastsætte de tekniske og organisatoriske foranstaltninger, der skal træffes for at beskytte dataene |
| f) | informere dataindehaveren om de sanktioner, der i tilfælde af manglende efterkommelse af anmodningen skal pålægges i henhold til artikel 40 af den kompetente myndighed, der er udpeget i henhold til artikel 37 |
| g) | hvis anmodningen er foretaget af en offentlig myndighed, overføres til den i artikel 37 omhandlede datakoordinator i den medlemsstat, hvor den anmodende offentlige myndighed er etableret, som uden unødigt ophold skal gøre anmodningen offentligt tilgængelig online, medmindre datakoordinatoren finder, at sådan offentliggørelse vil udgøre en risiko for den offentlige sikkerhed |
| h) | hvis anmodningen er foretaget af Kommissionen, Den Europæiske Centralbank eller et EU-organ, gøres tilgængelig online uden unødigt ophold |
| i) | hvis der anmodes om personoplysninger, uden unødigt ophold meddeles den tilsynsmyndighed, der er ansvarlig for at overvåge anvendelsen af forordning (EU) 2016/679 i den medlemsstat, hvor den offentlige myndighed er etableret. |
Den Europæiske Centralbank og EU-organerne underretter Kommissionen om deres anmodninger.
3. En offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ må ikke stille data, der er opnået i henhold til dette kapitel, til rådighed for videreanvendelse som defineret i artikel 2, nr. 2), i forordning (EU) 2022/868 eller i artikel 2, nr. 11), direktiv (EU) 2019/1024. Forordning (EU) 2022/868 og direktiv (EU) 2019/1024 finder ikke anvendelse på data i offentlige myndigheders besiddelse, der er opnået i henhold til dette kapitel.
4. Denne artikels stk. 3 er ikke til hinder for, at en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ udveksler data, der er opnået i henhold til dette kapitel, med en anden offentlig myndighed eller Kommissionen, Den Europæiske Centralbank eller et EU-organ med henblik på at udføre opgaverne omhandlet i artikel 15, som anført i anmodningen i overensstemmelse med nærværende artikels stk. 1, litra f), eller stiller dataene til rådighed for en tredjepart, når tekniske inspektioner eller andre funktioner ved hjælp af en offentlig aftale er outsourcet til denne tredjepart. De forpligtelser, der påhviler offentlige myndigheder i henhold til artikel 19, navnlig sikkerhedsforanstaltninger til at beskytte fortroligheden af forretningshemmeligheder, finder også anvendelse på sådanne tredjeparter. Hvis en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ overfører eller stiller data til rådighed i henhold til nærværende stykke, underrettes den dataindehaver, som dataene er modtaget fra, uden unødigt ophold.
5. Hvis dataindehaveren mener, at dennes rettigheder i henhold til dette kapitel er blevet krænket ved overførsel eller tilrådighedsstillelse af data, kan dataindehaveren indgive en klage til den kompetente myndighed, der er udpeget i henhold til artikel 37, i den medlemsstat, hvor dataindehaveren er etableret.
6. Kommissionen udarbejder en standardmodel for anmodninger i henhold til denne artikel.
Artikel 20
Godtgørelse i tilfælde af et ekstraordinært behov
1. Dataindehavere, som ikke er mikrovirksomheder eller små virksomheder, stiller gratis data til rådighed, der er nødvendige for at reagere på en offentlig nødsituation i henhold til artikel 15, stk. 1, litra a). Den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet, som har modtaget data, giver en dataindehaver offentlig anerkendelse, hvis dataindehaveren anmoder om det.
2. En dataindehaver har ret til en rimelig godtgørelse for at efterkomme en anmodning om at stille data til rådighed i efterkommelse af artikel 15, stk. 1, litra b). En sådan godtgørelse skal dække de tekniske og organisatoriske omkostninger, der afholdes for at efterkomme anmodningen, herunder i givet fald omkostningerne ved anonymisering, pseudonymisering, aggregering og teknisk tilpasning, og en rimelig margen. Efter anmodning fra den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet, fremlægger dataindehaveren oplysninger om beregningen af omkostningerne og den rimelige margen.
3. Stk. 2 finder ligeledes anvendelse, hvis en mikrovirksomhed og lille virksomhed kræver godtgørelse for at stille data til rådighed.
4. Dataindehavere er ikke berettigede til godtgørelse for at efterkomme en anmodning om at stille data til rådighed i henhold til artikel 15, stk. 1, litra b), hvis den specifikke opgave udført i offentlighedens interesse er udarbejdelse af officielle statistikker, og hvis køb af data ikke er tilladt i henhold til national ret. Medlemsstaterne underretter Kommissionen, hvis køb af data til udarbejdelse af officielle statistikker ikke er tilladt i henhold til national ret.
5. Hvis den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet er uenige om størrelsen af den godtgørelse, som dataindehaveren anmoder om, kan de indgive en klage til den kompetente myndighed, der er udpeget i henhold til artikel 37, i den medlemsstat, hvor dataindehaveren er etableret.
Artikel 21
Deling af data, der er indhentet i forbindelse med et ekstraordinært behov, med forskningsinstitutioner eller statistiske kontorer
1. En offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ har ret til at dele data modtaget i henhold til dette kapitel:
| a) | med enkeltpersoner eller organisationer med henblik på at udføre videnskabelig forskning eller analyse, der er forenelig med det formål, hvortil der blev anmodet om dataene, eller |
| b) | med nationale statistiske kontorer og Eurostat med henblik på udarbejdelse af officielle statistikker. |
2. Enkeltpersoner eller organisationer, der modtager data i henhold til stk. 1, handler uden fortjeneste for øje eller i forbindelse med en almennyttig opgave, der er anerkendt i henhold til EU-retten eller national ret. De omfatter ikke organisationer, som kommercielle virksomheder har væsentlig indflydelse på, og som sandsynligvis vil føre til privilegeret adgang til forskningsresultaterne.
3. Enkeltpersoner eller organisationer, der modtager data i henhold til denne artikels stk. 1, skal opfylde de samme forpligtelser, som er gældende for offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer i henhold til artikel 17, stk. 3, og artikel 19.
4. Uanset artikel 19, stk. 1, litra c), må enkeltpersoner eller organisationer, der modtager data i henhold til nærværende artikels stk. 1, opbevare de modtagne data til det formål, til hvilket der blev anmodet om dataene, i op til seks måneder, efter at de offentlige myndigheder, Kommissionen, Den Europæiske Centralbank og EU-organer har slettet dem.
5. Hvis en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ har til hensigt at overføre eller stille data til rådighed i henhold til denne artikels stk. 1, underretter den eller det uden unødigt ophold den dataindehaver, som dataene er modtaget fra, om identiteten på og kontaktoplysningerne for den organisation eller enkeltperson, der modtager dataene, formålet med overførslen eller tilrådighedsstillelsen af dataene, den periode, for hvilken dataene skal anvendes, samt de trufne tekniske beskyttelsesforanstaltninger og organisatoriske foranstaltninger, herunder hvis personoplysninger eller forretningshemmeligheder er involveret. Hvis dataindehaveren er uenig i overførslen eller tilrådighedsstillelsen af data, kan denne indgive en klage til den kompetente myndighed, der er udpeget i henhold til artikel 37, i den medlemsstat, hvor dataindehaveren er etableret.
Artikel 32
International statslig adgang og overførsel
1. Udbydere af databehandlingstjenester træffer alle passende tekniske, organisatoriske og retlige foranstaltninger, herunder aftaler, for at forhindre international statslig adgang til og overførsel af og tredjelandes statslige adgang til og overførsel af andre data end personoplysninger, der er lagret i Unionen, hvis en sådan overførsel eller adgang ville være i strid med EU-retten eller med den relevante medlemsstats nationale ret, jf. dog stk. 2 eller 3.
2. Enhver afgørelse truffet eller dom afsagt af et tredjelands domstol eller ret og enhver afgørelse truffet af et tredjelands administrative myndighed, der kræver, at en udbyder af databehandlingstjenester overfører eller giver adgang til andre data end personoplysninger, der er omfattet af denne forordnings anvendelsesområde, og som er lagret i Unionen, anerkendes eller håndhæves kun på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller enhver sådan aftale mellem det anmodende tredjeland og en medlemsstat.
3. Hvis der ikke foreligger en international aftale som omhandlet i stk. 2, og en udbyder af databehandlingstjenester er adressat for en afgørelse truffet eller dom afsagt af et tredjelands domstol eller ret eller en afgørelse truffet af et tredjelands administrative myndighed om at overføre eller give adgang til andre data end personoplysninger, der er omfattet af denne forordnings anvendelsesområde, og som er lagret i Unionen, og hvis overholdelsen af en sådan afgørelse risikerer at medføre, at adressaten handler i strid med EU-retten eller med den relevante medlemsstats nationale ret, må overførslen af sådanne data til den pågældende tredjelandsmyndighed eller dennes adgang til sådanne data kun finde sted, hvis:
| a) | tredjelandets system kræver, at begrundelsen for og proportionaliteten af en sådan afgørelse eller dom angives, og at en sådan afgørelse eller dom er af specifik karakter, f.eks. ved at fastslå en tilstrækkelig forbindelse til visse mistænkte personer eller overtrædelser |
| b) | en begrundet indsigelse fra adressaten kan prøves ved tredjelandets kompetente domstol eller ret, og |
| c) | tredjelandets kompetente domstol eller ret, der udsteder afgørelsen eller dommen eller prøver en administrativ myndigheds afgørelse, i henhold til det pågældende tredjelands ret har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de data til rådighed, som er beskyttet af EU-retten eller af den relevante medlemsstats nationale ret. |
Adressaten for afgørelsen eller dommen kan anmode om en udtalelse fra det relevante nationale organ eller den relevante nationale myndighed, der er kompetent med hensyn til internationalt retligt samarbejde, med henblik på at fastslå, om betingelserne i første afsnit er opfyldt, navnlig hvis den finder, at afgørelsen kan vedrøre forretningshemmeligheder eller andre forretningsmæssigt følsomme oplysninger samt indhold, der er beskyttet af intellektuelle ejendomsrettigheder, eller at overførslen kan føre til genidentifikation. Det relevante nationale organ eller den relevante nationale myndighed kan høre Kommissionen. Hvis adressaten finder, at afgørelsen eller dommen kan påvirke Unionens eller dens medlemsstaters nationale sikkerheds- eller forsvarsinteresser, beder den om en udtalelse fra det relevante nationale organ eller den relevante nationale myndighed for at fastslå, om de ønskede data vedrører Unionens eller dens medlemsstaters nationale sikkerheds- eller forsvarsinteresser. Hvis adressaten ikke har modtaget svar inden for én måned, eller hvis det i udtalelsen fra et sådant organ eller en sådan myndighed konkluderes, at betingelserne i første afsnit ikke er opfyldt, kan adressaten give afslag på anmodningen om overførsel af eller adgang til andre data end personoplysninger med denne begrundelse.
EDIB, jf. artikel 42, rådgiver og bistår Kommissionen i forbindelse med udarbejdelse af retningslinjer for vurdering af, om betingelserne i dette stykkes første afsnit er opfyldt.
4. Hvis betingelserne i stk. 2 eller 3 er opfyldt, leverer udbyderen af databehandlingstjenester den mindste mængde data, der er tilladt som svar på en anmodning, på grundlag af en rimelig fortolkning af denne anmodning fra udbyderen eller det relevante kompetente organ eller den relevante kompetente myndighed, der er omhandlet i stk. 3, andet afsnit.
5. Udbyderen af databehandlingstjenester underretter kunden om, at der foreligger en anmodning fra et tredjelandsmyndighed om at få adgang til vedkommendes data, inden den pågældende anmodning imødekommes, undtagen i tilfælde, hvor anmodningen tjener retshåndhævelsesformål, og så længe dette er nødvendigt for at bevare retshåndhævelsesaktivitetens effektivitet.
KAPITEL VIII
INTEROPERABILITET
Artikel 37
Kompetente myndigheder og datakoordinatorer
1. Hver medlemsstat udpeger én eller flere kompetente myndigheder til at have ansvaret for anvendelsen og håndhævelsen af denne forordning (kompetente myndigheder). Medlemsstaterne kan oprette en eller flere nye myndigheder eller forlade sig på eksisterende myndigheder.
2. Hvis en medlemsstat udpeger mere end én kompetent myndighed, udpeger den en datakoordinator blandt dem for at lette samarbejdet mellem de kompetente myndigheder og for at bistå enheder inden for denne forordnings anvendelsesområde i forbindelse med alle spørgsmål vedrørende dens anvendelse og håndhævelse. Kompetente myndigheder samarbejder med hinanden ved udøvelsen af de opgaver og beføjelser, som de er tillagt i henhold til stk. 5.
3. De tilsynsmyndigheder, der er ansvarlige for at overvåge anvendelsen af forordning (EU) 2016/679, er ansvarlige for at overvåge anvendelsen af nærværende forordning for så vidt angår beskyttelse af personoplysninger. Kapitel VI og VII i forordning (EU) 2016/679 finder tilsvarende anvendelse.
Den Europæiske Tilsynsførende for Databeskyttelse er ansvarlig for overvågning af nærværende forordnings anvendelse, for så vidt som den vedrører Kommissionen, Den Europæiske Centralbank eller EU-organer. Hvor det er relevant, finder artikel 62 i forordning (EU) 2018/1725 tilsvarende anvendelse.
Tilsynsmyndighedernes opgaver og beføjelser omhandlet i dette stykke udøves i forbindelse med behandling af personoplysninger.
4. Uden at det berører denne artikels stk. 1:
| a) | skal sektormyndighedernes kompetence i forbindelse med specifikke sektorbestemte spørgsmål vedrørende dataadgang og -anvendelse i forbindelse med gennemførelsen af denne forordning respekteres |
| b) | skal den kompetente myndighed, der er ansvarlig for anvendelsen og håndhævelsen af artikel 23-31, 34 og 35, have erfaring inden for områderne data og elektroniske kommunikationstjenester. |
5. Medlemsstaterne sikrer, at opgaverne og beføjelserne for de kompetente myndigheder er klart definerede og omfatter at:
| a) | fremme datakompetence og -bevidsthed blandt brugere og enheder, der er omfattet af denne forordnings anvendelsesområde, om rettigheder og forpligtelser i henhold til denne forordning |
| b) | behandle klager over påståede overtrædelser af denne forordning, herunder vedrørende forretningshemmeligheder, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og løbende underrette klagerne, hvis det er relevant i henhold til national ret, om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden kompetent myndighed er nødvendig |
| c) | foretage undersøgelser om spørgsmål, der vedrører anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden kompetent myndighed eller en anden offentlig myndighed |
| d) | pålægge økonomiske sanktioner, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og som kan omfatte periodiske sanktioner og sanktioner med tilbagevirkende kraft, eller indlede retsforfølgning med henblik på at pålægge bøder |
| e) | overvåge den teknologiske og relevante kommercielle udvikling af relevans for tilrådighedsstillelsen og anvendelsen af data |
| f) | samarbejde med andre medlemsstaters kompetente myndigheder og, hvis det er relevant, Kommissionen eller EDIB for at sikre ensartet og effektiv anvendelse af denne forordning, herunder udveksling af alle relevante oplysninger ad elektronisk vej uden unødigt ophold, herunder med hensyn til denne artikels stk. 10 |
| g) | samarbejde med de relevante kompetente myndigheder, der er ansvarlige for gennemførelsen af andre EU-retsakter eller nationale retsakter, herunder med myndigheder med kompetence inden for områderne data og elektroniske kommunikationstjenester, med den tilsynsmyndighed, der er ansvarlig for at overvåge anvendelsen af forordning (EU) 2016/679, eller med sektormyndigheder for at sikre, at nærværende forordning håndhæves i overensstemmelse med anden EU-ret og national ret |
| h) | samarbejde med de relevante kompetente myndigheder for at sikre, at forpligtelserne i artikel 23-31, 34 og 35 håndhæves i overensstemmelse med anden EU-ret og selvregulering, der gælder for udbydere af databehandlingstjenester |
| i) | sikre, at skiftegebyrer mellem udbydere af databehandlingstjenester fjernes i overensstemmelse med artikel 29 |
| j) | behandle anmodninger om data fremsat i henhold til kapitel V. |
Hvis der er udpeget en datakoordinator, letter denne det i første afsnit, litra f), g) og h), omhandlede samarbejde og bistår de kompetente myndigheder på deres anmodning.
6. Datakoordinatoren skal, hvis en sådan kompetent myndighed er udpeget:
| a) | fungere som et enkelt kontaktpunkt for alle spørgsmål vedrørende denne forordnings anvendelse |
| b) | sikre offentlig onlineadgang til offentlige myndigheders anmodninger om at stille data til rådighed i tilfælde af ekstraordinært behov i henhold til kapitel V og fremme frivillige aftaler om datadeling mellem offentlige myndigheder og dataindehavere |
| c) | underrette Kommissionen hvert år om de afslag, der er meddelt i henhold til artikel 4, stk. 2 og 8, og artikel 5, stk. 11. |
7. Medlemsstaterne underretter Kommissionen om navnene på de kompetente myndigheder og om deres opgaver og beføjelser samt, i givet fald, navnet på datakoordinatoren. Kommissionen fører et offentligt register over disse myndigheder.
8. De kompetente myndigheder skal ved udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til denne forordning være upartiske og frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser med henblik på enkeltsager fra nogen anden offentlig myndighed eller nogen privat part.
9. Medlemsstaterne sikrer, at de kompetente myndigheder har tilstrækkelige menneskelige og tekniske ressourcer og relevant ekspertise til effektivt at kunne udføre deres opgaver i overensstemmelse med denne forordning.
10. Enheder, der er omfattet af denne forordnings anvendelsesområde, er underlagt kompetencen i den medlemsstat, hvor enheden er etableret. Hvis en enhed er etableret i mere end én medlemsstat, anses den for at høre under kompetencen i den medlemsstat, hvor den har sin hovedvirksomhed, dvs. hvor enheden har sit hovedkontor eller vedtægtsmæssige hjemsted, hvorfra de vigtigste finansielle funktioner og den operationelle kontrol udøves.
11. Enhver enhed, der er omfattet af denne forordnings anvendelsesområde, som stiller forbundne produkter til rådighed eller udbyder tjenester i Unionen, og som ikke er etableret i Unionen, udpeger en retlig repræsentant i en af medlemsstaterne.
12. For at sikre overholdelse af denne forordning bemyndiger en enhed, der er omfattet af denne forordnings anvendelsesområde, og som stiller forbundne produkter til rådighed eller udbyder tjenester i Unionen, en retlig repræsentant, som der skal rettes henvendelse til i tillæg til eller i stedet for enheden af de kompetente myndigheder med hensyn til alle spørgsmål vedrørende den pågældende enhed. Denne retlige repræsentant samarbejder med og dokumenterer udførligt på anmodning over for de kompetente myndigheder, hvilke tiltag der er iværksat, og hvilke bestemmelser der er indført af den enhed, der er omfattet af denne forordnings anvendelsesområde, og som stiller forbundne produkter til rådighed eller udbyder tjenester i Unionen, for at sikre, at denne forordning overholdes.
13. En enhed, der er omfattet af denne forordnings anvendelsesområde, og som stiller forbundne produkter til rådighed eller udbyder tjenester i Unionen, anses for at høre under den medlemsstats kompetence, hvor dens retlige repræsentant befinder sig. En sådan enheds udpegelse af en retlig repræsentant berører ikke en sådan enheds ansvar og eventuelle retlige skridt, som måtte blive taget over for en sådan enhed. Indtil en enhed udpeger en retlig repræsentant i overensstemmelse med denne artikel, hører den under alle medlemsstaternes kompetence med henblik på i givet fald at sikre anvendelse og håndhævelse af denne forordning. Enhver kompetent myndighed kan udøve sin kompetence, herunder ved at pålægge sanktioner, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, forudsat at enheden ikke er genstand for håndhævelsesprocedurer i henhold til denne forordning vedrørende de samme forhold af en anden kompetent myndighed.
14. De kompetente myndigheder har beføjelse til at anmode brugere, dataindehavere eller datamodtagere eller deres retlige repræsentanter, der hører under deres medlemsstats kompetence, om alle oplysninger, som er nødvendige for at kontrollere efterlevelsen af denne forordning. Enhver anmodning om oplysninger skal stå i et rimeligt forhold til, hvad den underliggende opgave kræver, og være begrundet.
15. Hvis en kompetent myndighed i én medlemsstat anmoder om bistand eller håndhævelsesforanstaltninger fra en kompetent myndighed i en anden medlemsstat, indgiver den en begrundet anmodning. Ved modtagelsen af en sådan anmodning giver en kompetent myndighed uden unødigt ophold et svar med nærmere oplysninger om de tiltag, der er iværksat eller påtænkes iværksat.
16. De kompetente myndigheder overholder principperne om fortrolighed og om tavshedspligt og forretningshemmeligheder og beskytter personoplysninger i overensstemmelse med EU-retten eller national ret. Alle oplysninger, der udveksles i forbindelse med en anmodning om bistand, og som gives i henhold til denne artikel, må kun anvendes i forbindelse med den sag, hvortil der blev anmodet om oplysningerne.
whereas