Data Act 2023/2854 DA

Brugeres og dataindehaveres rettigheder og forpligtelser for så vidt angår at tilgå og anvende produktdata og relaterede tjenestedata og stille dem til rådighed

1. Hvis brugeren ikke direkte kan tilgå data fra det forbundne produkt eller den relaterede tjeneste, gør dataindehaverne let tilgængelige data og de relevante metadata, der er nødvendige for at fortolke og anvende disse data, tilgængelige for brugeren uden unødigt ophold, i samme kvalitet som dataindehaveren har til rådighed, på en let og sikker måde, gratis og i et fyldestgørende, struktureret, almindeligt anvendt og maskinlæsbart format og, hvis det er relevant og teknisk muligt, kontinuerligt og i realtid. Dette skal ske på grundlag af en simpel anmodning ad elektronisk vej, hvor det er teknisk muligt.

2. Brugere og dataindehavere kan indgå aftale om at begrænse eller forbyde adgang til eller anvendelse eller yderligere deling af data, hvis en sådan behandling kan underminere det forbundne produkts sikkerhedskrav, der er fastsat i EU-retten eller national ret, med en alvorlig negativ virkning for fysiske personers sundhed og sikkerhed. Sektormyndigheder kan yde brugere og dataindehavere teknisk ekspertise i denne forbindelse. Hvis dataindehaveren afslår at dele data i henhold til denne artikel, underretter vedkommende den kompetente myndighed, der er udpeget i henhold til artikel 37.

3. Uden at det berører brugerens ret til prøvelse ved en medlemsstats domstol eller ret på et hvilket som helst tidspunkt, kan brugeren i forbindelse med enhver tvist med dataindehaveren vedrørende de kontraktlige begrænsninger eller forbud, der er omhandlet i stk. 2:

a)	indgive klage til den kompetente myndighed i overensstemmelse med artikel 37, stk. 5, litra b), eller

b)	aftale med dataindehaveren, at sagen indbringes for et tvistbilæggelsesorgan i overensstemmelse med artikel 10, stk. 1.

4. Dataindehavere må ikke gøre brugerens udøvelse af valgmuligheder eller rettigheder i henhold til denne artikel unødigt vanskelig, herunder ved at tilbyde brugerne valgmuligheder på en ikkeneutral måde eller ved at undergrave eller begrænse brugerens autonomi, beslutningstagning eller valgmuligheder via den måde, som en digital brugergrænseflade eller en del heraf er struktureret, udformet, fungerer eller betjenes på.

5. For at fastslå om en fysisk eller juridisk person er en bruger med henblik på stk. 1 må en dataindehaver ikke kræve, at denne person skal fremlægge oplysninger ud over, hvad der er nødvendigt. Dataindehavere må ikke opbevare oplysninger, navnlig logdata, om brugerens adgang til de ønskede data ud over, hvad der er nødvendigt for en forsvarlig udførelse af brugerens anmodning om adgang og af hensyn til sikkerheden og vedligeholdelsen af datainfrastrukturen.

6. Forretningshemmeligheder skal beskyttes og må kun videregives, hvis dataindehaveren og brugeren forud for videregivelsen træffer alle nødvendige foranstaltninger for at beskytte deres fortrolighed, navnlig over for tredjeparter. Dataindehaveren eller, når det ikke er den samme person, forretningshemmelighedshaveren identificerer de data, der er beskyttet som forretningshemmeligheder, herunder i de relevante metadata, og aftaler med brugeren forholdsmæssige tekniske og organisatoriske foranstaltninger, der er nødvendige for at beskytte fortroligheden af de delte data, navnlig over for tredjeparter, såsom en model for aftalevilkår, fortrolighedsaftaler, strenge adgangsprotokoller, tekniske standarder og anvendelse af adfærdskodekser.

7. Hvis der ikke foreligger nogen aftale om de nødvendige foranstaltninger omhandlet i stk. 6, eller hvis brugeren undlader at gennemføre de foranstaltninger, der er aftalt i henhold til stk. 6, eller undergraver fortroligheden af forretningshemmeligheder, kan dataindehaveren tilbageholde eller i givet fald suspendere delingen af data, der er identificeret som forretningshemmeligheder. Dataindehaverens beslutning skal være behørigt begrundet og meddeles brugeren skriftligt uden unødigt ophold. I sådanne tilfælde underretter dataindehaveren den kompetente myndighed, der er udpeget i henhold til artikel 37, om, at den har tilbageholdt eller suspenderet datadeling, og udpeger de foranstaltninger, der ikke er aftalt eller gennemført, og, hvis det er relevant, de forretningshemmeligheder, hvis fortrolighed er undergravet.

8. Under ekstraordinære omstændigheder, hvor dataindehaveren, der er forretningshemmelighedshaver, kan påvise, at vedkommende højst sandsynligt vil lide alvorlig økonomisk skade som følge af videregivelsen af forretningshemmeligheder på trods af de tekniske og organisatoriske foranstaltninger, som brugeren har truffet i henhold til denne artikels stk. 6, kan den pågældende dataindehaver fra sag til sag afslå en anmodning om adgang til de pågældende specifikke data. Denne påvisning skal være behørigt begrundet i objektive forhold, navnlig muligheden for at håndhæve beskyttelsen af forretningshemmeligheder i tredjelande, arten og graden af fortrolighed for de ønskede data og det forbundne produkts unikke og nyskabende karakter, og skal gives brugeren skriftligt uden unødigt ophold. Hvor dataindehaveren afslår at dele data i henhold til nærværende stykke, underretter vedkommende den kompetente myndighed, der er udpeget i henhold til artikel 37.

9. Uden at dette berører en brugers ret til prøvelse ved en medlemsstats domstol eller ret på et hvilket som helst tidspunkt, kan en bruger, der ønsker at anfægte en dataindehavers beslutning om at afslå eller om at tilbageholde eller suspendere datadelingen i henhold til stk. 7 og 8:

a)	i overensstemmelse med artikel 37, stk. 5, litra b), indgive klage til den kompetente myndighed, som uden unødigt ophold skal beslutte, om og på hvilke betingelser datadelingen skal påbegyndes eller genoptages, eller

b)	aftale med dataindehaveren, at sagen indbringes for et tvistbilæggelsesorgan i overensstemmelse med artikel 10, stk. 1.

10. Brugeren må ikke anvende de data, der er opnået på grundlag af en anmodning omhandlet i stk. 1, til at udvikle et forbundet produkt, der konkurrerer med det forbundne produkt, som dataene stammer fra, og heller ikke dele dataene med en tredjepart med henblik herpå og må ikke anvende de pågældende data til at opnå indsigt i producentens eller i givet fald dataindehaverens økonomiske situation, aktiver og produktionsmetoder.

11. Brugeren må ikke anvende tvangsmidler eller misbruge mangler i en dataindehavers tekniske databeskyttelsesinfrastruktur for at få adgang til data.

12. Hvis brugeren ikke er den registrerede, hvis personoplysninger der anmodes om, må alle personoplysninger, der er genereret ved brug af et forbundet produkt eller en relateret tjeneste, kun stilles til rådighed af dataindehaveren for brugeren, hvis der er et gyldigt retsgrundlag for behandling i henhold til artikel 6 i forordning (EU) 2016/679, og, hvor det er relevant, betingelserne i artikel 9 i nævnte forordning og i artikel 5, stk. 3, i direktiv 2002/58/EF er opfyldt.

13. En dataindehaver må kun anvende let tilgængelige andre data end personoplysninger, på grundlag af en aftale med brugeren. En dataindehaver må ikke anvende sådanne data til at opnå indsigt i brugerens økonomiske situation, aktiver og produktionsmetoder eller anvendelse af disse på en anden måde, som kunne underminere denne brugers forretningsmæssige stilling på de markeder, hvor brugeren er aktiv.

14. Dataindehavere må ikke stille andre produktdata end personoplysninger til rådighed for tredjeparter til andre kommercielle eller ikkekommercielle formål end opfyldelsen af deres aftale med brugeren. Hvor det er relevant, forpligter dataindehavere kontraktligt tredjeparter til ikke at dele data, som de har modtaget fra dem, med andre.

Artikel 5

Brugerens ret til at dele data med tredjeparter

1. Efter anmodning fra en bruger eller en part, der handler på dennes vegne, stiller dataindehaveren let tilgængelige data og de relevante metadata, der er nødvendige for at fortolke og anvende disse data, til rådighed for en tredjepart uden unødigt ophold, i samme kvalitet som dataindehaveren har til rådighed, på en let og sikker måde, gratis for brugeren, i et fyldestgørende, struktureret, almindeligt anvendt og maskinlæsbart format og, hvis det er relevant og teknisk muligt, kontinuerligt og i realtid. Dataene stilles til rådighed af dataindehaveren for tredjeparten i overensstemmelse med artikel 8 og 9.

2. Stk. 1 finder ikke anvendelse på let tilgængelige data i forbindelse med afprøvning af nye forbundne produkter, stoffer eller processer, der endnu ikke er blevet bragt i omsætning, medmindre en tredjeparts anvendelse heraf er kontraktligt tilladt.

3. Enhver virksomhed, der er udpeget som gatekeeper i henhold til artikel 3 i forordning (EU) 2022/1925, må ikke være en berettiget tredjepart i henhold til nærværende artikel og må derfor ikke:

a)	på nogen måde anmode en bruger om eller kommercielt tilskynde en bruger til, herunder ved at yde økonomisk eller anden godtgørelse, at stille data, som brugeren har opnået på grundlag af en anmodning i henhold til artikel 4, stk. 1, til rådighed for en af virksomhedens tjenester

b)	anmode eller kommercielt tilskynde en bruger til at anmode dataindehaveren om at stille data til rådighed for en af virksomhedens tjenester i henhold til denne artikels stk. 1

c)	modtage data fra en bruger, som brugeren har opnået på grundlag af en anmodning i henhold til artikel 4, stk. 1.

4. For at fastslå om en fysisk eller juridisk person er en bruger eller en tredjepart med henblik på stk. 1 er brugeren eller tredjeparten ikke forpligtet til at fremlægge oplysninger ud over, hvad der er nødvendigt. Dataindehavere må ikke opbevare oplysninger om tredjepartens adgang til de ønskede data ud over, hvad der er nødvendigt for en forsvarlig udførelse af tredjepartens anmodning om adgang og af hensyn til sikkerheden og vedligeholdelsen af datainfrastrukturen.

5. Tredjeparten må ikke anvende tvangsmidler eller misbruge mangler i en dataindehavers tekniske databeskyttelsesinfrastruktur for at få adgang til data.

6. En dataindehaver må ikke anvende let tilgængelige data til at opnå indsigt i tredjepartens økonomiske situation, aktiver og produktionsmetoder eller anvendelse af disse på en anden måde, som kan underminere tredjepartens forretningsmæssige stilling på de markeder, hvor tredjeparten er aktiv, medmindre tredjeparten har givet tilladelse til en sådan anvendelse og har teknisk mulighed for let at trække tilladelsen tilbage på et hvilket som helst tidspunkt.

7. Hvis brugeren ikke er den registrerede, hvis personoplysninger der anmodes om, må enhver personoplysning, der er genereret ved anvendelse af et forbundet produkt eller en relateret tjeneste, kun stilles til rådighed af dataindehaveren til tredjeparten, hvis der er et gyldigt retsgrundlag for behandling i henhold til artikel 6 i forordning (EU) 2016/679, og, hvor det er relevant, betingelserne i artikel 9 i nævnte forordning og artikel 5, stk. 3, i direktiv 2002/58/EF er opfyldt.

8. Enhver uenighed mellem dataindehaver og tredjepart om ordninger for overførsel af data må ikke berøre, hindre eller gribe ind i den registreredes udøvelse af rettigheder i henhold til forordning (EU) 2016/679, navnlig med hensyn til retten til dataportabilitet i henhold til nævnte forordnings artikel 20.

9. Forretningshemmeligheder skal bevares og må kun videregives til tredjeparter, i det omfang sådan videregivelse er strengt nødvendig for at opfylde det formål, der er aftalt mellem brugeren og tredjeparten. Dataindehaveren eller, når det ikke er den samme person, forretningshemmelighedshaveren identificerer de data, der er beskyttet som forretningshemmeligheder, herunder i de relevante metadata, og aftaler med tredjeparten alle forholdsmæssige tekniske og organisatoriske foranstaltninger, der er nødvendige for at beskytte fortroligheden af de delte data, såsom en model for aftalevilkår, fortrolighedsaftaler, strenge adgangsprotokoller, tekniske standarder og anvendelse af adfærdskodekser.

10. Hvis der ikke foreligger nogen aftale om de i denne artikels stk. 9 omhandlede nødvendige foranstaltninger, eller hvis tredjeparten undlader at gennemføre de foranstaltninger, der er aftalt i henhold til denne artikels stk. 9, eller undergraver fortroligheden af forretningshemmeligheder, kan dataindehaveren tilbageholde eller i givet fald suspendere delingen af data, der er identificeret som forretningshemmeligheder. Dataindehaverens beslutning skal være behørigt begrundet og meddeles tredjeparten skriftligt uden unødigt ophold. I sådanne tilfælde underretter dataindehaveren den kompetente myndighed, der er udpeget i henhold til artikel 37, om, at den har tilbageholdt eller suspenderet datadelingen, og udpeger de foranstaltninger, der ikke er aftalt eller gennemført, og, hvis det er relevant, de forretningshemmeligheder, hvis fortrolighed er undergravet.

11. Når dataindehaveren, der er en forretningshemmelighedshaver, under ekstraordinære omstændigheder kan påvise, at vedkommende højst sandsynligt vil lide alvorlig økonomisk skade som følge af videregivelsen af forretningshemmeligheder på trods af de tekniske og organisatoriske foranstaltninger, som tredjeparten har truffet i henhold til denne artikels stk. 9, kan den pågældende dataindehaver fra sag til sag afslå en anmodning om adgang til de pågældende specifikke data. Denne påvisning skal være behørigt begrundet i objektive forhold, navnlig muligheden for at håndhæve beskyttelsen af forretningshemmeligheder i tredjelande, arten og graden af fortrolighed for de ønskede data og det forbundne produkts unikke og nyskabende karakter, og skal meddeles tredjeparten skriftligt uden unødigt ophold. Hvor dataindehaveren afslår at dele data i henhold til nærværende stykke, underretter vedkommende den kompetente myndighed, der er udpeget i henhold til artikel 37.

12. Uden at det berører en tredjeparts ret til prøvelse ved en medlemsstats domstol eller ret på et hvilket som helst tidspunkt, kan en tredjepart, der ønsker at anfægte en dataindehavers beslutning om at afslå eller om at tilbageholde eller suspendere datadeling i henhold til stk. 10 og 11:

a)	i overensstemmelse med artikel 37, stk. 5, litra b), indgive klage til den kompetente myndighed, som uden unødigt ophold skal beslutte, om og på hvilke betingelser datadelingen skal påbegyndes eller genoptages, eller

b)	aftale med dataindehaveren, at sagen indbringes for et tvistbilæggelsesorgan i overensstemmelse med artikel 10, stk. 1.

13. Den rettighed, der er omhandlet i stk. 1, må ikke krænke registreredes rettigheder i henhold til gældende EU-ret og national ret om beskyttelse af personoplysninger.

Artikel 11

Tekniske beskyttelsesforanstaltninger om uautoriseret anvendelse eller videregivelse af data

1. En dataindehaver kan anvende passende tekniske beskyttelsesforanstaltninger, herunder intelligente kontrakter og kryptering, for at forhindre uautoriseret adgang til data, herunder metadata, og sikre overholdelse af artikel 4, 5, 6, 8 og 9 samt af de aftalte kontraktvilkår for at stille data til rådighed. Sådanne tekniske beskyttelsesforanstaltninger må hverken forskelsbehandle datamodtagere eller hindre en brugers ret til at få en kopi af, hente, anvende eller tilgå data eller levere data til tredjeparter i henhold til artikel 5 eller en tredjeparts rettigheder i henhold til EU-retten eller national lovgivning vedtaget i overensstemmelse med EU-retten. Brugere, tredjeparter og datamodtagere må ikke ændre eller fjerne sådanne tekniske beskyttelsesforanstaltninger, medmindre det er aftalt med dataindehaveren.

2. I de tilfælde, der er omhandlet i stk. 3, skal tredjeparten eller datamodtageren uden unødigt ophold imødekomme anmodningerne fra dataindehaveren og i givet fald og hvor de ikke er den samme person, forretningshemmelighedshaveren eller fra brugeren om at:

a)	slette de data, som dataindehaveren har stillet til rådighed, samt alle kopier heraf

ophøre med produktion, udbud til salg, bringen i omsætning eller anvendelse af varer, afledte data eller tjenester, der er fremstillet på grundlag af viden, der er opnået ved hjælp af sådanne data, samt ophøre med import, eksport eller oplagring af sådanne krænkende varer og tilintetgøre alle krænkende varer, hvis der er alvorlig risiko for, at ulovlig anvendelse af disse data vil forvolde dataindehaveren, forretningshemmelighedshaveren eller brugeren væsentlig skade, eller hvis en sådan foranstaltning ikke vil være uforholdsmæssig i forhold til dataindehaverens, forretningshemmelighedshaverens eller brugerens interesser

c)	informere brugeren om den uautoriserede anvendelse eller videregivelse af data samt om de foranstaltninger, der er truffet for at bringe den uautoriserede anvendelse eller videregivelse af dataene til ophør

d)	yde godtgørelse til den part, der lider skade på grund af misbrug eller videregivelse af sådanne data, som er tilgået eller anvendt ulovligt.

3. Stk. 2 finder anvendelse, hvis en tredjepart eller en datamodtager:

a)	med henblik på opnåelse af data har givet urigtige oplysninger til en dataindehaver, har anvendt vildledende midler eller tvangsmidler, eller har misbrugt mangler i dataindehaverens tekniske databeskyttelsesinfrastruktur

b)	har anvendt de data, der er stillet til rådighed, til uautoriserede formål, herunder udvikling af et konkurrerende forbundet produkt som omhandlet i artikel 6, stk. 2, litra e)

c)	ulovligt har videregivet data til en anden part

d)	ikke har opretholdt de tekniske og organisatoriske foranstaltninger, der er aftalt i henhold til artikel 5, stk. 9, eller

e)	har ændret eller fjernet tekniske beskyttelsesforanstaltninger, som dataindehaveren anvender i henhold til nærværende artikels stk. 1, uden dataindehaverens samtykke.

4. Stk. 2 finder også anvendelse, hvis en bruger ændrer eller fjerner tekniske beskyttelsesforanstaltninger, som dataindehaveren anvender, eller ikke opretholder de tekniske og organisatoriske foranstaltninger, som brugeren har truffet efter aftale med dataindehaveren eller, når det ikke er den samme person, forretningshemmelighedshaveren, for at beskytte forretningshemmeligheder, samt hvad angår enhver anden part, der modtager dataene fra brugeren ved hjælp af en overtrædelse af denne forordning.

5. Hvis datamodtageren overtræder artikel 6, stk. 2, litra a) eller b), har brugere de samme rettigheder som dataindehavere i henhold til nærværende artikels stk. 2.

Artikel 17

Anmodninger om at få stillet data til rådighed

1. Når offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller et EU-organ anmoder om data i henhold til artikel 14 skal de:

a)	præcisere de nødvendige data, herunder de relevante metadata, der er nødvendige for at fortolke og anvende disse data

b)	påvise, at de nødvendige betingelser for, at der foreligger et ekstraordinært behov som omhandlet i artikel 15, hvortil der anmodes om data, er opfyldt

forklare formålet med anmodningen, den påtænkte anvendelse af de data, der anmodes om, herunder i givet fald af en tredjepart i overensstemmelse med nærværende artikels stk. 4, varigheden af denne anvendelse, og, hvor det er relevant, hvordan behandlingen af personoplysninger skal imødekomme det ekstraordinære behov

d)	om muligt angive, hvornår dataene forventes at blive slettet af alle parter, der har adgang til dem

e)	begrunde valget af dataindehaver, som anmodningen er rettet til

f)	angive andre offentlige myndigheder eller Kommissionen, Den Europæiske Centralbank eller EU-organer og de tredjeparter, som de data, der anmodes om, forventes at blive delt med

hvis der anmodes om personoplysninger, angive eventuelle tekniske og organisatoriske foranstaltninger, der er nødvendige og forholdsmæssige for at implementere databeskyttelsesprincipper, og nødvendige sikkerhedsforanstaltninger såsom pseudonymisering og hvorvidt dataindehaveren kan anvende anonymisering, inden dataene stilles til rådighed

h)	angive den retlige bestemmelse, som tildeler den anmodende offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet den specifikke opgave udført i offentlighedens interesse, der er relevant for anmodningen om data

i)	angive den frist, inden for hvilken dataene skal stilles til rådighed, og den i artikel 18, stk. 2, omhandlede frist, inden for hvilken dataindehaveren kan afslå eller anmode om ændring af anmodningen

j)	gøre deres bedste for at undgå, at en efterkommelse af dataanmodningen fører til, at dataindehaverne er ansvarlige for overtrædelse af EU-retten eller national ret.

2. En anmodning om data i henhold til denne artikels stk. 1 skal:

a)	være formuleret skriftligt og i et klart, koncist og almindeligt sprog, der er forståeligt for dataindehaveren

b)	være specifik med hensyn, hvilken type data der anmodes om, og vedrøre data, som dataindehaveren har kontrol over på tidspunktet for anmodningen

c)	stå i et rimeligt forhold til det ekstraordinære behov og være behørigt begrundet med hensyn til de ønskede datas detaljeringsgrad, mængde og tilgangshyppighed

d)	respektere dataindehaverens legitime mål og indeholde tilsagn om at sikre beskyttelsen af forretningshemmeligheder i overensstemmelse med artikel 19, stk. 3, og de omkostninger og den indsats, der kræves for at stille dataene til rådighed

vedrøre andre data end personoplysninger og, kun hvis det påvises, at dette er utilstrækkeligt til at imødekomme det ekstraordinære behov for at anvende data, jf. artikel 15, stk. 1, litra a), anmode om personoplysninger i pseudonymiseret form og fastsætte de tekniske og organisatoriske foranstaltninger, der skal træffes for at beskytte dataene

f)	informere dataindehaveren om de sanktioner, der i tilfælde af manglende efterkommelse af anmodningen skal pålægges i henhold til artikel 40 af den kompetente myndighed, der er udpeget i henhold til artikel 37

hvis anmodningen er foretaget af en offentlig myndighed, overføres til den i artikel 37 omhandlede datakoordinator i den medlemsstat, hvor den anmodende offentlige myndighed er etableret, som uden unødigt ophold skal gøre anmodningen offentligt tilgængelig online, medmindre datakoordinatoren finder, at sådan offentliggørelse vil udgøre en risiko for den offentlige sikkerhed

h)	hvis anmodningen er foretaget af Kommissionen, Den Europæiske Centralbank eller et EU-organ, gøres tilgængelig online uden unødigt ophold

i)	hvis der anmodes om personoplysninger, uden unødigt ophold meddeles den tilsynsmyndighed, der er ansvarlig for at overvåge anvendelsen af forordning (EU) 2016/679 i den medlemsstat, hvor den offentlige myndighed er etableret.

Den Europæiske Centralbank og EU-organerne underretter Kommissionen om deres anmodninger.

3. En offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ må ikke stille data, der er opnået i henhold til dette kapitel, til rådighed for videreanvendelse som defineret i artikel 2, nr. 2), i forordning (EU) 2022/868 eller i artikel 2, nr. 11), direktiv (EU) 2019/1024. Forordning (EU) 2022/868 og direktiv (EU) 2019/1024 finder ikke anvendelse på data i offentlige myndigheders besiddelse, der er opnået i henhold til dette kapitel.

4. Denne artikels stk. 3 er ikke til hinder for, at en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ udveksler data, der er opnået i henhold til dette kapitel, med en anden offentlig myndighed eller Kommissionen, Den Europæiske Centralbank eller et EU-organ med henblik på at udføre opgaverne omhandlet i artikel 15, som anført i anmodningen i overensstemmelse med nærværende artikels stk. 1, litra f), eller stiller dataene til rådighed for en tredjepart, når tekniske inspektioner eller andre funktioner ved hjælp af en offentlig aftale er outsourcet til denne tredjepart. De forpligtelser, der påhviler offentlige myndigheder i henhold til artikel 19, navnlig sikkerhedsforanstaltninger til at beskytte fortroligheden af forretningshemmeligheder, finder også anvendelse på sådanne tredjeparter. Hvis en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ overfører eller stiller data til rådighed i henhold til nærværende stykke, underrettes den dataindehaver, som dataene er modtaget fra, uden unødigt ophold.

5. Hvis dataindehaveren mener, at dennes rettigheder i henhold til dette kapitel er blevet krænket ved overførsel eller tilrådighedsstillelse af data, kan dataindehaveren indgive en klage til den kompetente myndighed, der er udpeget i henhold til artikel 37, i den medlemsstat, hvor dataindehaveren er etableret.

6. Kommissionen udarbejder en standardmodel for anmodninger i henhold til denne artikel.

Artikel 18

Efterkommelse af anmodninger om data

1. En dataindehaver, der modtager en anmodning om tilrådighedsstillelse af data i henhold til dette kapitel, stiller dataene til rådighed for den anmodende offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ uden unødigt ophold og under hensyntagen til de nødvendige tekniske, organisatoriske og retlige foranstaltninger.

2. Uden at det berører specifikke behov vedrørende tilgængeligheden af data som defineret i EU-retten eller national ret, kan en dataindehaver afslå eller anmode om ændring af en anmodning om tilrådighedsstillelse af data i medfør af dette kapitel uden unødigt ophold og under alle omstændigheder senest fem arbejdsdage efter modtagelsen af en anmodning om de data, der er nødvendige for at reagere på en offentlig nødsituation, og uden unødigt ophold og under alle omstændigheder senest 30 arbejdsdage efter modtagelsen af en sådan anmodning i andre tilfælde af et ekstraordinært behov af enhver af følgende grunde:

a)	dataindehaveren har ikke kontrol over de data, der anmodes om

b)	en lignende anmodning til samme formål er tidligere blevet indgivet af en anden offentlig myndighed eller Kommissionen, Den Europæiske Centralbank eller et EU-organ, og dataindehaveren er ikke blevet underrettet om sletningen af dataene i henhold til artikel 19, stk. 1, litra c)

c)	anmodningen opfylder ikke betingelserne i artikel 17, stk. 1 og 2.

3. Hvis dataindehaveren beslutter at afslå eller anmode om ændring af anmodningen i overensstemmelse med stk. 2, litra b), angiver dataindehaveren identiteten på den offentlige myndighed eller Kommissionen, Den Europæiske Centralbank eller EU-organet, der tidligere har indgivet en anmodning til samme formål.

4. Hvis de data, der anmodes om, omfatter personoplysninger, anonymiserer dataindehaveren dataene korrekt, medmindre efterkommelsen af anmodningen om at stille data til rådighed for en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ kræver videregivelse af personoplysninger. I så fald pseudonymiserer dataindehaveren dataene.

5. Hvis den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet ønsker at anfægte en dataindehavers afslag på at levere de data, der anmodes om, eller hvis dataindehaveren ønsker at anfægte anmodningen, og sagen ikke kan løses ved en passende ændring af anmodningen, forelægges sagen for den kompetente myndighed, der er udpeget i henhold til artikel 37, i den medlemsstat, hvor dataindehaveren er etableret.

Artikel 19

Offentlige myndigheders, Kommissionens, Den Europæiske Centralbanks og EU-organers forpligtelser

1. Når offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller et EU-organ modtager data på grundlag af en anmodning i henhold til artikel 14:

a)	må de ikke anvende dataene på en måde, der er uforenelig med det formål, hvortil der blev anmodet om dem

b)	skal de have gennemført tekniske og organisatoriske foranstaltninger, der beskytter fortroligheden og integriteten af de data, der anmodes om, og sikkerheden i forbindelse med overførslerne af data, navnlig personoplysninger, og beskytter de registreredes rettigheder og frihedsrettigheder

skal de slette dataene, så snart de ikke længere er nødvendige til det angivne formål, og uden unødigt ophold underrette dataindehaveren og de enkeltpersoner eller organisationer, der modtog dataene i henhold til artikel 21, stk. 1, om, at dataene er blevet slettet, medmindre det er påkrævet at arkivere dataene i henhold til EU-retten eller national ret om aktindsigt i forbindelse med gennemsigtighedsforpligtelser.

2. En offentlig myndighed, Kommissionen, Den Europæiske Centralbank, et EU-organ eller en tredjepart, som modtager data i henhold til dette kapitel, må ikke:

a)	anvende dataene eller indsigt i dataindehaverens økonomiske situation, aktiver og produktions- eller driftsmetoder til at udvikle eller forbedre et forbundet produkt eller en relateret tjeneste, der konkurrerer med dataindehaverens forbundne produkt eller relaterede tjeneste

b)	dele dataene med en anden tredjepart til et af de i litra a) omhandlede formål.

3. Videregivelse af forretningshemmeligheder til en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ er kun påkrævet i det omfang, det er strengt nødvendigt for at opfylde formålet med en anmodning i henhold til artikel 15. I så fald udpeger dataindehaveren eller, når det ikke er den samme person, forretningshemmelighedshaveren de data, der er beskyttet som forretningshemmeligheder, herunder i de relevante metadata. Den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet træffer forud for videregivelsen af forretningshemmeligheder alle nødvendige og passende tekniske og organisatoriske foranstaltninger for at sikre fortroligheden af forretningshemmelighederne, herunder i relevant omfang en model for aftalevilkår, tekniske standarder og anvendelse af adfærdskodekser.

4. En offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ er ansvarlig for sikkerheden af de data, som den eller det modtager.

Artikel 20

Godtgørelse i tilfælde af et ekstraordinært behov

1. Dataindehavere, som ikke er mikrovirksomheder eller små virksomheder, stiller gratis data til rådighed, der er nødvendige for at reagere på en offentlig nødsituation i henhold til artikel 15, stk. 1, litra a). Den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet, som har modtaget data, giver en dataindehaver offentlig anerkendelse, hvis dataindehaveren anmoder om det.

2. En dataindehaver har ret til en rimelig godtgørelse for at efterkomme en anmodning om at stille data til rådighed i efterkommelse af artikel 15, stk. 1, litra b). En sådan godtgørelse skal dække de tekniske og organisatoriske omkostninger, der afholdes for at efterkomme anmodningen, herunder i givet fald omkostningerne ved anonymisering, pseudonymisering, aggregering og teknisk tilpasning, og en rimelig margen. Efter anmodning fra den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet, fremlægger dataindehaveren oplysninger om beregningen af omkostningerne og den rimelige margen.

3. Stk. 2 finder ligeledes anvendelse, hvis en mikrovirksomhed og lille virksomhed kræver godtgørelse for at stille data til rådighed.

4. Dataindehavere er ikke berettigede til godtgørelse for at efterkomme en anmodning om at stille data til rådighed i henhold til artikel 15, stk. 1, litra b), hvis den specifikke opgave udført i offentlighedens interesse er udarbejdelse af officielle statistikker, og hvis køb af data ikke er tilladt i henhold til national ret. Medlemsstaterne underretter Kommissionen, hvis køb af data til udarbejdelse af officielle statistikker ikke er tilladt i henhold til national ret.

5. Hvis den offentlige myndighed, Kommissionen, Den Europæiske Centralbank eller EU-organet er uenige om størrelsen af den godtgørelse, som dataindehaveren anmoder om, kan de indgive en klage til den kompetente myndighed, der er udpeget i henhold til artikel 37, i den medlemsstat, hvor dataindehaveren er etableret.

Artikel 21

Deling af data, der er indhentet i forbindelse med et ekstraordinært behov, med forskningsinstitutioner eller statistiske kontorer

1. En offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ har ret til at dele data modtaget i henhold til dette kapitel:

a)	med enkeltpersoner eller organisationer med henblik på at udføre videnskabelig forskning eller analyse, der er forenelig med det formål, hvortil der blev anmodet om dataene, eller

b)	med nationale statistiske kontorer og Eurostat med henblik på udarbejdelse af officielle statistikker.

2. Enkeltpersoner eller organisationer, der modtager data i henhold til stk. 1, handler uden fortjeneste for øje eller i forbindelse med en almennyttig opgave, der er anerkendt i henhold til EU-retten eller national ret. De omfatter ikke organisationer, som kommercielle virksomheder har væsentlig indflydelse på, og som sandsynligvis vil føre til privilegeret adgang til forskningsresultaterne.

3. Enkeltpersoner eller organisationer, der modtager data i henhold til denne artikels stk. 1, skal opfylde de samme forpligtelser, som er gældende for offentlige myndigheder, Kommissionen, Den Europæiske Centralbank eller EU-organer i henhold til artikel 17, stk. 3, og artikel 19.

4. Uanset artikel 19, stk. 1, litra c), må enkeltpersoner eller organisationer, der modtager data i henhold til nærværende artikels stk. 1, opbevare de modtagne data til det formål, til hvilket der blev anmodet om dataene, i op til seks måneder, efter at de offentlige myndigheder, Kommissionen, Den Europæiske Centralbank og EU-organer har slettet dem.

5. Hvis en offentlig myndighed, Kommissionen, Den Europæiske Centralbank eller et EU-organ har til hensigt at overføre eller stille data til rådighed i henhold til denne artikels stk. 1, underretter den eller det uden unødigt ophold den dataindehaver, som dataene er modtaget fra, om identiteten på og kontaktoplysningerne for den organisation eller enkeltperson, der modtager dataene, formålet med overførslen eller tilrådighedsstillelsen af dataene, den periode, for hvilken dataene skal anvendes, samt de trufne tekniske beskyttelsesforanstaltninger og organisatoriske foranstaltninger, herunder hvis personoplysninger eller forretningshemmeligheder er involveret. Hvis dataindehaveren er uenig i overførslen eller tilrådighedsstillelsen af data, kan denne indgive en klage til den kompetente myndighed, der er udpeget i henhold til artikel 37, i den medlemsstat, hvor dataindehaveren er etableret.

Artikel 23

Fjernelse af hindringer for effektive skift

Udbydere af databehandlingstjenester træffer de foranstaltninger, der er fastsat i artikel 25, 26, 27, 29 og 30, for at gøre det muligt for kunder at skifte til en databehandlingstjeneste, der dækker samme tjenestetype, og som leveres af en anden udbyder af databehandlingstjenester, eller til lokal IKT-infrastruktur, eller, hvor det er relevant, at anvende flere udbydere af databehandlingstjenester på samme tid. Udbydere af databehandlingstjenester må navnlig ikke pålægge og skal fjerne prækommercielle, kommercielle, tekniske, kontraktmæssige og organisatoriske hindringer, som forhindrer kunder i at:

a)	bringe aftalen om databehandlingstjenesteydelsen til ophør efter den maksimale opsigelsesfrist og efter en vellykket afslutning på skifteprocessen i overensstemmelse med artikel 25

b)	indgå nye aftaler med en anden udbyder af databehandlingstjenester, der dækker samme tjenestetype

c)	portere kunders eksporterbare data og andre digitale aktiver til en anden udbyder af databehandlingstjenester eller til en lokal IKT-infrastruktur, herunder efter at have nydt godt af et tilbud om gratis niveau

d)	opnå funktionel ækvivalens i overensstemmelse med artikel 24 i forbindelse med anvendelse af den nye databehandlingstjeneste i IKT-miljøet hos en anden udbyder af databehandlingstjenester, der dækker samme tjenestetype

e)	hvis det er teknisk muligt, adskille databehandlingstjenester omhandlet i artikel 30, stk. 1, fra andre databehandlingstjenester, der leveres af udbyderen af databehandlingstjenester.

Artikel 28

Kontraktlige gennemsigtighedsforpligtelser vedrørende international adgang og overførsel

1. Udbydere af databehandlingstjenester stiller følgende oplysninger til rådighed på deres websteder og ajourfører disse oplysninger:

a)	den jurisdiktion, som den IKT-infrastruktur, der anvendes til databehandling af deres individuelle tjenester, er underlagt

en overordnet beskrivelse af de tekniske, organisatoriske og kontraktlige foranstaltninger, som udbyderen af databehandlingstjenester har truffet for at forhindre international statslig adgang til, eller overførsel af, andre data end personoplysninger, der er lagret i Unionen, hvis en sådan adgang eller overførsel ville være i strid med EU-retten eller den relevante medlemsstats nationale ret.

2. De websteder, der er omhandlet i stk. 1, skal anføres i aftaler om alle databehandlingstjenester, der tilbydes af udbydere af databehandlingstjenester.

Artikel 32

International statslig adgang og overførsel

1. Udbydere af databehandlingstjenester træffer alle passende tekniske, organisatoriske og retlige foranstaltninger, herunder aftaler, for at forhindre international statslig adgang til og overførsel af og tredjelandes statslige adgang til og overførsel af andre data end personoplysninger, der er lagret i Unionen, hvis en sådan overførsel eller adgang ville være i strid med EU-retten eller med den relevante medlemsstats nationale ret, jf. dog stk. 2 eller 3.

2. Enhver afgørelse truffet eller dom afsagt af et tredjelands domstol eller ret og enhver afgørelse truffet af et tredjelands administrative myndighed, der kræver, at en udbyder af databehandlingstjenester overfører eller giver adgang til andre data end personoplysninger, der er omfattet af denne forordnings anvendelsesområde, og som er lagret i Unionen, anerkendes eller håndhæves kun på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller enhver sådan aftale mellem det anmodende tredjeland og en medlemsstat.

3. Hvis der ikke foreligger en international aftale som omhandlet i stk. 2, og en udbyder af databehandlingstjenester er adressat for en afgørelse truffet eller dom afsagt af et tredjelands domstol eller ret eller en afgørelse truffet af et tredjelands administrative myndighed om at overføre eller give adgang til andre data end personoplysninger, der er omfattet af denne forordnings anvendelsesområde, og som er lagret i Unionen, og hvis overholdelsen af en sådan afgørelse risikerer at medføre, at adressaten handler i strid med EU-retten eller med den relevante medlemsstats nationale ret, må overførslen af sådanne data til den pågældende tredjelandsmyndighed eller dennes adgang til sådanne data kun finde sted, hvis:

a)	tredjelandets system kræver, at begrundelsen for og proportionaliteten af en sådan afgørelse eller dom angives, og at en sådan afgørelse eller dom er af specifik karakter, f.eks. ved at fastslå en tilstrækkelig forbindelse til visse mistænkte personer eller overtrædelser

b)	en begrundet indsigelse fra adressaten kan prøves ved tredjelandets kompetente domstol eller ret, og

tredjelandets kompetente domstol eller ret, der udsteder afgørelsen eller dommen eller prøver en administrativ myndigheds afgørelse, i henhold til det pågældende tredjelands ret har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de data til rådighed, som er beskyttet af EU-retten eller af den relevante medlemsstats nationale ret.

Adressaten for afgørelsen eller dommen kan anmode om en udtalelse fra det relevante nationale organ eller den relevante nationale myndighed, der er kompetent med hensyn til internationalt retligt samarbejde, med henblik på at fastslå, om betingelserne i første afsnit er opfyldt, navnlig hvis den finder, at afgørelsen kan vedrøre forretningshemmeligheder eller andre forretningsmæssigt følsomme oplysninger samt indhold, der er beskyttet af intellektuelle ejendomsrettigheder, eller at overførslen kan føre til genidentifikation. Det relevante nationale organ eller den relevante nationale myndighed kan høre Kommissionen. Hvis adressaten finder, at afgørelsen eller dommen kan påvirke Unionens eller dens medlemsstaters nationale sikkerheds- eller forsvarsinteresser, beder den om en udtalelse fra det relevante nationale organ eller den relevante nationale myndighed for at fastslå, om de ønskede data vedrører Unionens eller dens medlemsstaters nationale sikkerheds- eller forsvarsinteresser. Hvis adressaten ikke har modtaget svar inden for én måned, eller hvis det i udtalelsen fra et sådant organ eller en sådan myndighed konkluderes, at betingelserne i første afsnit ikke er opfyldt, kan adressaten give afslag på anmodningen om overførsel af eller adgang til andre data end personoplysninger med denne begrundelse.

EDIB, jf. artikel 42, rådgiver og bistår Kommissionen i forbindelse med udarbejdelse af retningslinjer for vurdering af, om betingelserne i dette stykkes første afsnit er opfyldt.

4. Hvis betingelserne i stk. 2 eller 3 er opfyldt, leverer udbyderen af databehandlingstjenester den mindste mængde data, der er tilladt som svar på en anmodning, på grundlag af en rimelig fortolkning af denne anmodning fra udbyderen eller det relevante kompetente organ eller den relevante kompetente myndighed, der er omhandlet i stk. 3, andet afsnit.

5. Udbyderen af databehandlingstjenester underretter kunden om, at der foreligger en anmodning fra et tredjelandsmyndighed om at få adgang til vedkommendes data, inden den pågældende anmodning imødekommes, undtagen i tilfælde, hvor anmodningen tjener retshåndhævelsesformål, og så længe dette er nødvendigt for at bevare retshåndhævelsesaktivitetens effektivitet.

KAPITEL VIII

INTEROPERABILITET

whereas

keyboard_tab Data Act 2023/2854 DA

Data Act 2023/2854 DA