Data Act 2023/2854 ET

a)	toote kasutamisel loodud andmete ja seotud teenuse kasutamisel loodud andmete kättesaadavaks tegemist ühendatud toote või seotud teenuse kasutajale;

b)	andmevaldajate poolt andmesaajatele andmete kättesaadavaks tegemist;

c)	andmevaldajate poolt avaliku sektori asutustele, komisjonile, Euroopa Keskpangale ja liidu organitele andmete, mille järele on erakorraline vajadus, kättesaadavaks tegemist avalikes huvides oleva eriülesande täitmiseks;

d)	andmetöötlusteenuste vahetamise hõlbustamist;

e)	kaitsemeetmete kehtestamist, et vältida kolmandate isikute ebaseaduslikku juurdepääsu isikustamata andmetele, ning

f)	andmetele juurdepääsu, andmete edastamist ja kasutamist käsitlevate koostalitlusstandardite väljatöötamist.

2. Käesolev määrus hõlmab isikuandmeid ja isikustamata andmeid, sealhulgas järgmist liiki andmeid järgmistes kontekstides:

a)	II peatükki kohaldatakse andmete suhtes, välja arvatud sisu, mis puudutavad ühendatud toodete ja seotud teenuste toimivust, kasutamist ja keskkonda;

b)	III peatükki kohaldatakse kõigi erasektori andmete suhtes, mille suhtes kehtib seadusjärgne andmete jagamise kohustus;

c)	IV peatükki kohaldatakse kõigi erasektori andmete suhtes, millele pääsetakse juurde ja mida kasutatakse ettevõtjatevaheliste lepingute alusel;

d)	V peatükki kohaldatakse kõigi erasektori andmete suhtes, keskendudes isikustamata andmetele;

e)	VI peatükki kohaldatakse andmetöötlusteenuse osutajate töödeldavate andmete ja teenuste suhtes;

f)	VII peatükki kohaldatakse liidus andmetöötlusteenuse osutajate valduses olevate isikustamata andmete suhtes.

3. Käesolevat määrust kohaldatakse

a)	liidus turule lastud ühendatud toodete tootjate ja seotud teenuste osutajate suhtes, olenemata nende tootjate ja teenuseosutajate asukohast;

b)	punktis a osutatud ühendatud toodete või seotud teenuste liidu kasutajate suhtes;

c)	andmevaldajate suhtes, olenemata nende asukohast, kes teevad andmed liidus andmesaajatele kättesaadavaks;

d)	liidus asuvate andmesaajate suhtes, kellele andmed kättesaadavaks tehakse;

avaliku sektori asutuste, komisjoni, Euroopa Keskpanga ja liidu organite suhtes, kes taotlevad andmevaldajatelt erakorralise vajaduse korral andmete kättesaadavaks tegemist avalikes huvides oleva eriülesande täitmiseks, ning andmevaldajate suhtes, kes esitavad need andmed vastuseks sellisele taotlusele;

f)	andmetöötlusteenuse osutajate suhtes, olenemata nende asukohast, kes osutavad selliseid teenuseid klientidele liidus;

g)	andmeruumides osalejate suhtes ja nutilepinguid kasutavate rakenduste müüjate suhtes ning isikute suhtes, kelle kaubandus-, äri- või kutsetegevus hõlmab kokkuleppe täitmise raames nutilepingute kasutuselevõttu teiste jaoks.

4. Käesoleva määruse viiteid ühendatud toodetele või seotud teenustele käsitatakse ka viidetena virtuaalassistentidele, niivõrd kui need suhtlevad ühendatud toote või seotud teenusega.

5. Käesolev määrus ei mõjuta selles sätestatud õiguste ja kohustustega seoses töödeldavate isikuandmete suhtes eraelu puutumatust ja side konfidentsiaalsust ning lõppseadme terviklust käsitlevat liidu ja riigisisest õigust, eelkõige määruseid (EL) 2016/679 ja (EL) 2018/1725 ning direktiivi 2002/58/EÜ, sealhulgas järelevalveasutuste volitusi ja pädevust ning andmesubjektide õigusi. Andmesubjektidest kasutajate puhul täiendavad käesoleva määruse II peatükis sätestatud õigused määruse (EL) 2016/679 artiklites 15 ja 20 sätestatud andmesubjektide õigust tutvuda andmetega ja andmete ülekandmise õigust. Kui käesolev määrus on vastuolus isikuandmete kaitset või eraelu puutumatust käsitleva liidu õigusega või nimetatud liidu õigusega kooskõlas vastu võetud riigisisese õigusega, siis on ülimuslik asjakohane liidu või riigisisene isikuandmete kaitset või eraelu puutumatust käsitlev õigus.

6. Käesolevat määrust ei kohaldata eraõiguslike ja avalik-õiguslike üksuste vahelise andmevahetuse vabatahtlike kokkulepete, eelkõige andmete jagamise vabatahtlike kokkulepete suhtes ning see ei takista nende sõlmimist.

Käesolev määrus ei mõjuta liidu ja riigisiseseid õigusakte, milles sätestatakse andmete jagamine, andmetele juurdepääs ja andmete kasutamine kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise eesmärgil ning tollivormistuse ja maksustamise eesmärgil, eelkõige määruseid (EL) 2021/784, (EL) 2022/2065 ja (EL) 2023/1543 ning direktiivi (EL) 2023/1544 ja rahvusvahelist koostööd selles valdkonnas. Käesolevat määrust ei kohaldata andmete kogumist, jagamist ja kasutamist ega neile juurdepääsu määruse (EL) 2015/847 ja direktiivi (EL) 2015/849 alusel. Käesolevat määrust ei kohaldata liidu õiguse kohaldamisalast välja jäävate valdkondade suhtes ja see ei mõjuta mingil juhul liikmesriikide pädevust seoses avaliku julgeoleku, riigikaitse ja riikliku julgeolekuga, olenemata sellest, millist liiki üksustele on liikmesriigid usaldanud kõnealuse pädevusega seotud ülesannete täitmise, või nende volitustest kaitsta muid riigi põhifunktsioone, sealhulgas tagada riigi territoriaalne terviklikkus ja avaliku korra säilitamine. Käesolev määrus ei mõjuta liikmesriikide pädevust seoses tolli- ja maksuhaldusega ega kodanike tervise ja ohutusega.

7. Käesoleva määrusega täiendatakse määruse (EL) 2018/1807 iseregulatsioonil põhinevat lähenemisviisi, lisades pilvteenuse vahetamist puudutavad üldkohaldatavad kohustused.

8. Käesolev määrus ei mõjuta nende liidu ja riigisiseste õigusaktide kohaldamist, millega nähakse ette intellektuaalomandi õiguste kaitse, eelkõige direktiive 2001/29/EÜ, 2004/48/EÜ ja (EL) 2019/790.

9. Käesolev määrus täiendab ning ei mõjuta liidu õigust, mille eesmärk on edendada tarbijate huve ja tagada kõrgetasemeline tarbijakaitse ning kaitsta tarbijate tervist, ohutust ja majanduslikke huve, eelkõige direktiive 93/13/EMÜ, 2005/29/EÜ ja 2011/83/EL.

10. Käesolev määrus ei takista vabatahtlike seaduslike andmejagamislepingute sõlmimist, sealhulgas vastastikusel alusel sõlmitud lepingud, mis vastavad käesolevas määruses sätestatud nõuetele.

Artikkel 5

Kasutaja õigus jagada andmeid kolmandate isikutega

1. Kasutaja või tema nimel tegutseva isiku taotlusel teeb andmevaldaja hõlpsasti kättesaadavad andmed ning nende andmete tõlgendamiseks ja kasutamiseks vajalikud metaandmed kolmandale isikule põhjendamatu viivituseta, andmevaldajale kättesaadavate andmetega sama kvaliteediga lihtsalt, turvaliselt, tasuta, terviklikus, struktureeritud, ühiskasutatavas ja masinloetavas vormis ning asjakohasel ja tehniliselt teostataval juhul pidevalt ja reaalajas kättesaadavaks. Andmevaldaja teeb andmed kolmandale isikule kättesaadavaks kooskõlas artiklitega 8 ja 9.

2. Lõiget 1 ei kohaldata hõlpsasti kättesaadavate andmete suhtes seoses selliste uute ühendatud toodete, ainete või protsesside testimisega, mida ei ole veel turule lastud, välja arvatud juhul, kui andmete kasutamine kolmanda isiku poolt on lepinguga lubatud.

3. Ettevõtja, kes on määratud pääsuvalitsejaks määruse (EL) 2022/1925 artikli 3 alusel, ei ole käesoleva artikli kohaselt nõuetele vastav kolmas isik ning seetõttu ei tohi ta

a)	õhutada või äriliselt stimuleerida kasutajat mis tahes viisil, sealhulgas rahalise või muu hüvitise maksmise kaudu tegema mõne oma teenuse jaoks kättesaadavaks andmeid, mille kasutaja on saanud artikli 4 lõike 1 kohase taotluse alusel;

b)	õhutada või äriliselt stimuleerida kasutajat taotlema andmevaldajalt käesoleva artikli lõike 1 kohaselt andmete kättesaadavaks tegemist mõne oma teenuse jaoks;

c)	võtta kasutajalt vastu andmeid, mille kasutaja on saanud artikli 4 lõike 1 kohase taotluse alusel.

4. Selleks et kontrollida, kas füüsiline või juriidiline isik kvalifitseerub kasutajaks või kolmandaks isikuks lõike 1 kohaldamiseks, ei nõuta kasutajalt või kolmandalt isikult rohkem teavet kui on vaja. Andmevaldaja ei säilita teavet kolmanda isiku juurdepääsu kohta taotletud andmetele kauem, kui on vajalik kolmanda isiku juurdepääsutaotluse nõuetekohaseks täitmiseks ning andmetaristu turvalisuse ja hooldamise tagamiseks.

5. Kolmas isik ei võta andmetele juurdepääsu saamiseks kasutusele sunnivahendeid ega kuritarvita andmevaldaja andmekaitseks mõeldud tehnilises taristus esinevaid lünki.

6. Andmevaldaja ei või kasutada hõlpsasti kättesaadavaid andmeid selleks, et saada teavet kolmanda isiku majandusliku olukorra, varade ja tootmismeetodite või kolmanda isiku poolt muul viisil kasutamise kohta, mis võib kahjustada kolmanda isiku äripositsiooni turgudel, kus kolmas isik tegutseb, välja arvatud juhul, kui kolmas isik on andnud selleks loa ja tal on tehniliselt võimalik kõnealune luba lihtsasti igal ajal tagasi võtta.

7. Kui kasutaja ei ole andmesubjekt, kelle isikuandmeid taotletakse, teeb andmevaldaja ühendatud toote või seotud teenuse kasutamise tulemusel loodud isikuandmed kolmandale isikule kättesaadavaks, kui määruse (EL) 2016/679 artikli 6 kohaselt on olemas kehtiv õiguslik alus töötlemiseks ning kui asjakohasel juhul on täidetud kõnealuse määruse artikli 9 ja direktiivi 2002/58/EÜ artikli 5 lõike 3 tingimused.

8. Andmevaldaja ja kolmanda isiku suutmatus leppida kokku andmete edastamise korras ei tohi takistada, ära hoida ega segada andmesubjekti määrusest (EL) 2016/679 tulenevate õiguste kasutamist ja eelkõige kõnealuse määruse artikli 20 kohast andmete ülekandmise õigust.

9. Ärisaladusi hoitakse konfidentsiaalsena ja neid avaldatakse kolmandatele isikutele üksnes ulatuses, mil avaldamine on kasutaja ja kolmanda isiku vahel kokkulepitud eesmärgi täitmiseks vältimatult vajalik. Andmevaldaja või ärisaladuse omaja, kui tegemist ei ole sama isikuga, teeb kindlaks andmed, mida kaitstakse ärisaladusena, sealhulgas asjaomastes metaandmetes, ning lepib kolmanda isikuga kokku proportsionaalsetes tehnilistes ja korralduslikes meetmetes, mida on vaja, et säilitada jagatud andmete konfidentsiaalsus, näiteks lepingu näidistingimused, konfidentsiaalsuskokkulepped, ranged juurdepääsuprotokollid, tehnilised standardid ja tegevusjuhendite kohaldamine.

10. Kui puudub kokkulepe käesoleva artikli lõikes 9 osutatud vajalike meetmete kohta või kui kolmas isik ei rakenda käesoleva artikli lõike 9 kohaselt kokkulepitud meetmeid või kahjustab ärisaladuse konfidentsiaalsust, võib andmevaldaja ärisaladusena määratletud andmete jagamise lõpetada või selle asjakohasel juhul peatada. Andmevaldaja otsus peab olema igakülgselt põhjendatud ja see esitatakse kolmandale isikule kirjalikult ilma põhjendamatu viivituseta. Sellistel juhtudel teavitab andmevaldaja artikli 37 kohaselt määratud pädevat asutust sellest, et ta on andmete jagamise lõpetanud või peatanud, ning täpsustab, milliseid meetmeid ei ole kokku lepitud või rakendatud, ning asjakohasel juhul, millise ärisaladuse konfidentsiaalsust on kahjustatud.

11. Erandkorras, kui andmevaldaja, kes on ärisaladuse omaja, suudab tõendada, et käesoleva artikli lõike 9 kohaselt kolmanda isiku võetud tehnilistest ja korralduslikest meetmetest hoolimata on väga tõenäoline, et ärisaladuse avalikustamine põhjustab talle suurt majanduslikku kahju, võib see andmevaldaja kõnealustele konkreetsetele andmetele juurdepääsu taotluse igal üksikjuhul eraldi rahuldamata jätta. Selline tõendamine peab olema igakülgselt põhjendatud, tuginedes objektiivsetele asjaoludele, eelkõige ärisaladuse kaitse täitmise tagamisele kolmandates riikides, taotletud andmete konfidentsiaalsuse laadile ja tasemele ning ühendatud toote ainulaadsusele ja uudsusele, ning see esitatakse kolmandale isikule kirjalikult ja põhjendamatu viivituseta. Kui andmevaldaja keeldub andmete jagamisest käesoleva lõike alusel, teavitab ta artikli 37 kohaselt määratud pädevat asutust.

12. Ilma et see piiraks kolmanda isiku õigust pöörduda mis tahes etapis liikmesriigi kohtusse, võib kolmas isik, kes soovib vaidlustada andmevaldaja otsuse andmete jagamisest lõigete 10 ja 11 alusel keelduda või selle lõpetada või peatada

a)	esitada kooskõlas artikli 37 lõike 5 punktiga b kaebuse pädevale asutusele, kes otsustab põhjendamatu viivituseta, kas ja millistel tingimustel andmete jagamine peab algama või jätkuma, või

b)	leppida andmevaldajaga kokku, et asi edastatakse vaidluste lahendamise organile kooskõlas artikli 10 lõikega 1.

13. Vastavalt kohaldatavale isikuandmete kaitset käsitlevale liidu ja riigisisesele õigusele ei tohi lõikes 1 osutatud õigus kahjustada andmesubjektide õigusi.

Artikkel 6

Kasutaja taotlusel andmeid vastu võtvate kolmandate isikute kohustused

1. Kolmas isik töötleb talle artikli 5 kohaselt kättesaadavaks tehtud andmeid üksnes kasutajaga kokkulepitud eesmärkidel ja tingimustel ning tingimusel, et järgitakse isikuandmete kaitset käsitlevat liidu ja riigisisest õigust, sealhulgas andmesubjekti isikuandmetega seotud õigusi. Kolmas isik kustutab andmed, kui need ei ole enam kokkulepitud eesmärgi saavutamiseks vajalikud, välja arvatud juhul, kui kasutajaga on isikustamata andmetega seoses kokku lepitud teisiti.

2. Kolmas isik ei tohi

muuta kasutaja artikli 5 ja käesoleva artikli kohaste valikute või õiguste kasutamist põhjendamatult keeruliseks, sealhulgas pakkudes kasutajatele valikuvõimalusi mitteneutraalsel viisil, või kasutajat sundida, eksitada või temaga manipuleerida või õõnestada või kahjustada kasutaja sõltumatust, otsuste tegemist või valikuvõimalusi, sealhulgas digitaalse kasutajaliidese või selle osa kaudu;

b)	olenemata määruse (EL) 2016/679 artikli 22 lõike 2 punktidest a ja c kasutada vastuvõetud andmeid profiilianalüüsiks, välja arvatud juhul, kui see on vajalik kasutaja soovitud teenuse osutamiseks;

teha vastuvõetud andmeid kättesaadavaks muule kolmandale isikule, välja arvatud juhul, kui andmed tehakse kättesaadavaks kasutajaga sõlmitud lepingu alusel, ja tingimusel, et asjaomane muu kolmas isik võtab kõik andmevaldaja ja kolmanda isiku vahel kokku lepitud vajalikud meetmed ärisaladuste konfidentsiaalsuse säilitamiseks;

d)	teha vastuvõetud andmeid kättesaadavaks ettevõtjale, kes on määratud pääsuvalitsejaks vastavalt määruse (EL) 2022/1925 artiklile 3;

kasutada vastuvõetud andmeid sellise toote väljatöötamiseks, mis konkureerib ühendatud tootega, millest andmed, millele juurde pääsetakse, pärinevad, või jagada andmeid sel eesmärgil muu kolmanda isikuga; samuti ei tohi kolmandad isikud kasutada neile kättesaadavaks tehtud toote kasutamisel loodud andmeid või seotud teenuse kasutamisel loodud isikustamata andmeid selleks, et saada teavet andmevaldaja majandusliku olukorra, varade ja tootmismeetodite või nende andmevaldaja poolt kasutamise kohta;

f)	kasutada saadud andmeid viisil, mis kahjustab ühendatud toote või seotud teenuse turvalisust;

g)	eirata artikli 5 lõike 9 kohaselt andmevaldajaga või ärisaladuse omajaga kokku lepitud erimeetmeid ja kahjustada ärisaladuse konfidentsiaalsust;

h)	takistada tarbijast kasutajal, sealhulgas lepingu alusel, vastuvõetud andmeid muudele isikutele kättesaadavaks teha.

Artikkel 11

Andmete loata kasutamise või avalikustamise suhtes kohaldatavad tehnilised kaitsemeetmed

1. Andmevaldaja võib kohaldada asjakohaseid tehnilisi kaitsemeetmeid, sealhulgas nutilepinguid ja krüpteerimist, et hoida ära loata juurdepääs andmetele, sealhulgas metaandmetele, ning tagada artiklite 4, 5, 6, 8 ja 9 ning andmete kättesaadavaks tegemist käsitlevate kokkulepitud lepingutingimuste täitmine. Selliste tehniliste kaitsemeetmetega ei tehta vahet andmesaajate vahel ega piirata kasutaja õigust saada andmete koopia, andmeid välja võtta, kasutada või neile juurde pääseda, esitada andmeid kolmandatele isikutele vastavalt artiklile 5 ega kolmanda isiku õigusi, mis tulenevad liidu õigusest või liidu õiguse alusel vastu võetud riigisisestest õigusaktidest. Kasutajad, kolmandad isikud ja andmesaajad ei tohi selliseid tehnilisi kaitsemeetmeid muuta ega kõrvaldada, kui andmevaldaja ei ole selleks nõusolekut andnud.

2. Lõikes 3 osutatud asjaolude korral teeb kolmas isik või andmesaaja põhjendamatu viivituseta andmevaldaja ning kohaldataval juhul ärisaladuse omaja, kui tegemist ei ole sama isikuga, või kasutaja taotlusel järgmist:

a)	kustutab andmevaldaja poolt kättesaadavaks tehtud andmed ja kõik nende koopiad;

lõpetab selliste andmete abil saadud teadmiste põhjal toodetud kaupade, tuletisandmete või teenuste tootmise, pakkumise, või turule laskmise või kasutamise, või õigusi rikkuvate kaupade impordi, ekspordi või ladustamise nimetatud eesmärkidel, ning hävitab kõik õigusi rikkuvad kaubad, kui on tõsine oht, et kõnealuste andmete ebaseaduslik kasutamine põhjustab andmevaldajale, ärisaladuse omajale või kasutajale olulist kahju või kui selline meede ei oleks andmevaldaja, ärisaladuse omaja või kasutaja huve silmas pidades ebaproportsionaalne;

c)	teavitab kasutajat andmete loata kasutamisest või avalikustamisest ning meetmetest, mis on võetud andmete loata kasutamise või avalikustamise lõpetamiseks;

d)	maksab hüvitist poolele, kes kannatab selliste andmete väärkasutamise või avalikustamise tõttu, millele on ebaseaduslikult juurde pääsetud või mida on ebaseaduslikult kasutatud.

3. Lõiget 2 kohaldatakse, kui kolmas isik või andmesaaja

a)	on andmete saamiseks esitanud andmevaldajale vale teavet, kasutanud eksitavaid või sunnivahendeid või kuritarvitanud andmevaldaja andmekaitseks mõeldud tehnilises taristus esinevaid lünki;

b)	on kasutanud kättesaadavaks tehtud andmeid lubamatutel eesmärkidel, sealhulgas konkureeriva ühendatud toote väljatöötamiseks artikli 6 lõike 2 punkti e tähenduses;

c)	on ebaseaduslikult avalikustanud andmeid muule isikule;

d)	ei ole säilitanud artikli 5 lõike 9 kohaselt kokku lepitud tehnilisi ja korralduslikke meetmeid või

e)	on muutnud andmevaldaja poolt käesoleva artikli lõike 1 kohaselt kohaldatud tehnilisi kaitsemeetmeid või need kõrvaldanud ilma andmevaldaja nõusolekuta.

4. Lõiget 2 kohaldatakse ka siis, kui kasutaja muudab andmevaldaja kohaldatavaid tehnilisi kaitsemeetmeid või kõrvaldab need või ei säilita tehnilisi ja korralduslikke meetmeid, mida kasutaja on andmevaldaja või ärisaladuse omaja, kui tegemist ei ole sama isikuga, nõusolekul ärisaladuse säilitamiseks võtnud, ning kõigi muude isikute puhul, kes saavad kasutajalt andmeid käesolevat määrust rikkudes.

5. Kui andmesaaja rikub artikli 6 lõike 2 punkti a või b, on kasutajatel samad õigused, mis on antud andmevaldajatele käesoleva artikli lõikega 2.

Artikkel 16

Seos muude kohustustega teha andmed avaliku sektori asutustele, komisjonile, Euroopa Keskpangale ja liidu organitele kättesaadavaks

1. Käesolev peatükk ei mõjuta liidu või liikmesriigi õiguses sätestatud kohustusi, mis käsitlevad aruandlust, teabele juurdepääsu taotluste täitmist või õiguslike kohustuste täitmise tõendamist või kontrollimist.

2. Käesolevat peatükki ei kohaldata avaliku sektori asutuste, komisjoni, Euroopa Keskpanga ega liidu organite suhtes, kes tegelevad kuritegude või haldusrikkumiste tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramisega või tolli- või maksuametite suhtes. Käesolev peatükk ei mõjuta kuritegude või haldusrikkumiste tõkestamist, uurimist, avastamist ja nende eest vastutusele võtmist või kriminaal- või halduskaristuste täitmisele pööramist või tolli- või maksuhaldust käsitlevat kohaldatavat liidu ja riigisisest õigust.

Artikkel 19

Avaliku sektori asutuste, komisjoni, Euroopa Keskpanga ja liidu organite kohustused

1. Artikli 14 alusel esitatud taotluse põhjal andmeid vastu võttev avaliku sektori asutus, komisjon, Euroopa Keskpank või liidu institutsioon organ

a)	ei kasuta andmeid viisil, mis on vastuolus eesmärgiga, milleks neid taotleti;

b)	on rakendanud tehnilised ja korralduslikud meetmed, millega säilitatakse taotletud andmete konfidentsiaalsus ja terviklus ning andmete, eelkõige isikuandmete edastamise turvalisus, ning kaitstakse andmesubjektide õigusi ja vabadusi;

kustutab andmed niipea, kui need ei ole nimetatud eesmärgil enam vajalikud, ja teavitab andmete kustutamisest põhjendamatu viivituseta andmevaldajat ning isikuid ja organisatsioone, kes said andmeid kooskõlas artikli 21 lõikega 1, välja arvatud juhul, kui läbipaistvuskohustuste kontekstis nõutakse andmete arhiveerimist kooskõlas liidu või riigisisese õigusega, mis käsitleb üldsuse juurdepääsu dokumentidele.

2. Avaliku sektori asutus, komisjon, Euroopa Keskpank, liidu organ või kolmas isik, kes saab käesoleva peatüki alusel andmeid, ei tohi

a)	kasutada andmevaldaja majanduslikku olukorda, varasid ning tootmis- ja tegevusmeetodeid käsitlevaid andmeid või vastavat teavet sellise ühendatud toote või seotud teenuse väljatöötamiseks või täiustamiseks, mis konkureerib andmevaldaja ühendatud toote või seotud teenusega;

b)	jagada andmeid mõnel punktis a nimetatud eesmärgil muu kolmanda isikuga.

3. Ärisaladuste avalikustamine avaliku sektori asutusele, komisjonile, Euroopa Keskpangale või liidu organile on nõutav üksnes sellises ulatuses, mis on artikli 15 kohase taotluse eesmärgi saavutamiseks vältimatult vajalik. Andmevaldaja või ärisaladuse omaja, kui tegemist ei ole sama isikuga, teeb sellisel juhul kindlaks andmed, mis on kaitstud ärisaladusena, sealhulgas asjaomastes metaandmetes. Avaliku sektori asutus, komisjon, Euroopa Keskpank või liidu organ võtab enne ärisaladuste avalikustamist nende konfidentsiaalsuse säilitamiseks kõik vajalikud ja asjakohased tehnilised ja korralduslikud meetmed, sealhulgas kasutades kohasel juhul lepingu näidistingimusi, tehnilisi standardeid ning tegevusjuhendeid.

4. Avaliku sektori asutus, komisjon, Euroopa Keskpank või liidu organ vastutab saadud andmete turvalisuse eest.

Artikkel 25

Vahetamist käsitlevad lepingutingimused

1. Kliendi õigused ja andmetöötlusteenuse osutaja kohustused seoses selliste teenuste osutajate vahetamisega või, kui see on kohaldatav, lokaalsele IKT-taristule üleminekuga määratakse selgelt kindlaks kirjalikus lepingus. Andmetöötlusteenuse osutaja teeb lepingu kliendile enne lepingu allkirjastamist kättesaadavaks viisil, mis võimaldab kliendil lepingut säilitada ja taasesitada.

2. Ilma et see piiraks direktiivi (EL) 2019/770 kohaldamist, hõlmab käesoleva artikli lõikes 1 osutatud leping vähemalt järgmist:

tingimused, mis võimaldavad kliendil taotluse korral minna üle erineva andmetöötlusteenuse osutaja pakutavale andmetöötlusteenusele või kanda kõik eksporditavad andmed ja digivarad üle lokaalsesse IKT-taristusse põhjendamatu viivituseta ja igal juhul mitte hiljem kui kohustusliku maksimaalselt 30 kalendripäeva pikkuse üleminekuperioodi ajal, mis algab pärast punktis d osutatud maksimaalse etteteatamisaja möödumist, mille jooksul jääb teenusleping kohaldatavaks ning mille jooksul andmetöötlusteenuse osutaja

i)	pakub kliendile ja kliendi volitatud kolmandatele isikutele vahetusprotsessis mõistlikku abi;

ii)	tegutseb nõuetekohase hoolsusega, et säilitada talitluspidevus, ning jätkab funktsioonide või teenuste osutamist lepingu alusel;

iii)	annab selget teavet seni kasutatud andmetöötlusteenuse osutaja funktsioonide või teenuste osutamise järjepidevusega seotud teadaolevate riskide kohta;

iv)	tagab kooskõlas kohaldatava liidu või riigisisese õigusega kõrgetasemelise turvalisuse kogu vahetusprotsessi vältel, eelkõige andmete turvalisuse nende edastamise ajal ja andmete jätkuva turvalisuse punktis g sätestatud väljavõtmisaja jooksul;

b)	andmetöötlusteenuse osutaja kohustus toetada kliendi lahkumisstrateegiat, mis on seotud lepingujärgsete teenustega, sealhulgas esitades kogu asjakohase teabe;

tingimus, milles täpsustatakse, et leping loetakse lõpetatuks ja klienti teavitatakse lõpetamisest ühel järgmistest juhtudest:

i)	kui see on kohaldatav, pärast vahetusprotsessi edukat lõpuleviimist;

ii)	punktis d osutatud maksimaalse etteteatamisaja möödumisel, kui klient ei taha teenust vahetada, vaid soovib kustutada teenuse lõpetamisel oma eksporditavad andmed ja digivarad;

d)	maksimaalne etteteatamisaeg vahetusprotsessi algatamiseks, mis ei tohi olla pikem kui kaks kuud;

e)	ammendav spetsifikatsioon, mis hõlmab kõiki selliste andmete ja digivarade kategooriaid, mida võib vahetusprotsessi käigus üle kanda, sealhulgas vähemalt kõiki eksporditavaid andmeid;

teenuseosutaja andmetöötlusteenuse sisemise toimimisega seotud selliste andmekategooriate ammendav spetsifikatsioon, mis tuleb käesoleva lõike punkti e kohastest eksporditavatest andmetest välja jätta, kui esineb teenuseosutaja ärisaladuste kahjustamise oht, tingimusel et selline väljajätmine ei takista ega lükka edasi artiklis 23 sätestatud vahetusprotsessi;

g)	vähemalt 30-kalendripäevane andmete väljavõtmise kohustuslik miinimumperiood alates kliendi ja andmetöötlusteenuse osutaja vahel käesoleva lõike punkti a ja lõike 4 kohaselt kokku lepitud üleminekuperioodi lõppemisest;

tingimus, millega tagatakse kliendi poolt otse loodud või otseselt kliendiga seotud kõigi eksporditavate andmete ja digivarade täielik kustutamine pärast punktis g sätestatud väljavõtmisaja möödumist või pärast alternatiivse kokkulepitud perioodi möödumist punktis g osutatud perioodi lõppemisest hilisemal kuupäeval, tingimusel et vahetusprotsess on edukalt lõpule viidud;

i)	vahetustasud, mida andmetöötlusteenuse osutajad võivad kehtestada kooskõlas artikliga 29.

3. Lõikes 1 osutatud leping sisaldab sätteid, millega nähakse ette, et klient võib teavitada andmetöötlusteenuse osutajat oma otsusest teha lõike 2 punktis d osutatud maksimaalse etteteatamisaja lõppedes üks või mitu järgmist toimingut:

a)	minna üle erinevale andmetöötlusteenuse osutajale, millisel juhul esitab klient selle teenuseosutaja kohta vajalikud andmed;

b)	minna üle lokaalsele IKT-taristule;

c)	kustutada oma eksporditavad andmed ja digivarad.

4. Kui lõike 2 punktis a sätestatud kohustuslik üleminekuperiood ei ole tehniliselt võimalik, teavitab andmetöötlusteenuse osutaja klienti 14 tööpäeva jooksul pärast teenuse vahetamise taotluse esitamist ning põhjendab igakülgselt tehnilist võimatust ja märgib alternatiivse üleminekuperioodi, mis ei ületa seitset kuud. Vastavalt lõikele 1 tagatakse kogu alternatiivse üleminekuperioodi jooksul teenuse järjepidevus.

5. Ilma et see piiraks lõike 4 kohaldamist, sisaldab lõikes 1 osutatud leping tingimusi, millega antakse kliendile õigus pikendada üleminekuperioodi üks kord ajavahemiku võrra, mida klient peab oma eesmärkide seisukohalt sobivamaks.

Artikkel 31

Teatavaid andmetöötlusteenuseid käsitlev erikord

1. Artikli 23 punktis d, artiklis 29 ning artikli 30 lõigetes 1 ja 3 sätestatud kohustusi ei kohaldata andmetöötlusteenuste suhtes, mille enamik põhiomadusi on kohandatud konkreetse kliendi erivajaduste rahuldamiseks või mille kõik komponendid on välja töötatud konkreetse kliendi jaoks, ning kui neid andmetöötlusteenuseid ei pakuta andmetöötlusteenuse osutaja teenusekataloogi kaudu laias kaubanduslikus mastaabis.

2. Käesolevas peatükis sätestatud kohustusi ei kohaldata andmetöötlusteenuste suhtes, mida osutatakse mittetoodetava versioonina testimise ja hindamise eesmärgil ning piiratud aja jooksul.

3. Enne käesolevas artiklis osutatud andmetöötlusteenuste osutamist käsitleva lepingu sõlmimist teavitab andmetöötlusteenuse osutaja tulevast klienti käesolevas peatükis sätestatud kohustustest, mida ei kohaldata.

VII PEATÜKK

VALITSUSASUTUSTE JUURDEPÄÄS ISIKUSTAMATA ANDMETELE JA NENDE EDASTAMINE RAHVUSVAHELISEL TASANDIL

Artikkel 33

Andmete, andmejagamismehhanismide ja -teenuste ning ühtsete Euroopa andmeruumide koostalitlusvõimega seotud olulised nõuded

1. Andmeruumides osalejad, kes pakuvad andmeid või andmeteenuseid teistele osalejatele, järgivad järgmisi olulisi nõudeid koostalitlusvõime hõlbustamiseks seoses andmete, andmejagamismehhanismide ja -teenustega ning ühtsete Euroopa andmeruumidega, mis on eesmärgi- või sektoripõhised või sektoriülesed koostalitlusvõimelised ühtsete standardite ja tavade raamistikud, et jagada või ühiselt töödelda andmeid, muu hulgas uute toodete ja teenuste väljatöötamiseks, teadusuuringuteks või kodanikuühiskonna algatusteks:

a)	tuleb piisavalt kirjeldada, asjakohasel juhul masinloetavas vormingus, andmekogumi sisu, kasutuspiiranguid, litsentse, andmete kogumise metoodikat, andmete kvaliteeti ja ebakindlust, et andmesaajal oleks võimalik andmeid leida, neile juurde pääseda ja neid kasutada;

b)	tuleb avalikult kättesaadavalt ja järjepidevalt kirjeldada andmestruktuure, andmevorminguid, sõnastikke, klassifitseerimisskeeme, taksonoomiaid ja koodiloendeid, kui need on kättesaadavad;

tuleb piisavalt kirjeldada andmetele juurdepääsu tehnilisi vahendeid, nagu rakendusliidesed, ning nende kasutustingimusi ja teenuse kvaliteeti, et võimaldada automaatset juurdepääsu andmetele ja nende edastamist poolte vahel, sealhulgas pidevalt, hulgiallalaadimise teel või reaalajas masinloetavas vormingus, kui see on tehniliselt teostatav ja ei takista ühendatud toote head toimimist;

d)	kui see on kohaldatav, vahendid, mis võimaldavad andmete jagamise kokkulepete täitmise automatiseerimise vahendite, näiteks nutilepingute koostalitlusvõimet.

Nõuded võivad olla üldist laadi või puudutada konkreetseid sektoreid, võttes samal ajal täielikult arvesse seoseid muust liidu või riigisisesest õigusest tulenevate nõuetega.

2. Komisjonil on õigus võtta kooskõlas käesoleva määruse artikliga 45 käesoleva määruse täiendamiseks vastu delegeeritud õigusakte, millega täpsustatakse käesoleva artikli lõikes 1 sätestatud olulisi nõudeid seoses nõuetega, millel nende laadi tõttu ei saa olla kavandatud mõju, välja arvatud juhul, kui neid on täpsustatud siduvates liidu õigusaktides, ning tehnoloogia ja turu arengu sobivaks kajastamiseks.

Komisjon võtab delegeeritud õigusaktide vastuvõtmisel arvesse Euroopa Andmeinnovatsiooninõukogu nõuandeid kooskõlas artikli 42 punkti c alapunktiga iii.

3. Andmeruumides osalejad, kes pakuvad andmeid või andmeteenuseid teistele sellistes andmeruumides osalejatele, mis vastavad harmoneeritud standarditele või nende osadele, mille viited avaldatakse Euroopa Liidu Teatajas, eeldatakse olevat vastavuses lõikes 1 sätestatud oluliste nõuetega, niivõrd kui nimetatud nõuded on hõlmatud harmoneeritud standardite või nende osadega.

4. Komisjon esitab määruse (EL) nr 1025/2012 artikli 10 kohaselt ühele või mitmele Euroopa standardiorganisatsioonile taotluse koostada harmoneeritud standardid, mis vastavad käesoleva artikli lõikes 1 sätestatud olulistele nõuetele.

5. Komisjon võib rakendusaktidega vastu võtta ühtsed spetsifikatsioonid, mis hõlmavad mõnda olulist nõuet või kõiki olulisi nõudeid, mis on sätestatud lõikes 1, kui on täidetud järgmised tingimused:

komisjon on esitanud määruse (EL) nr 1025/2012 artikli 10 lõike 1 kohaselt ühele või mitmele Euroopa standardiorganisatsioonile taotluse koostada käesoleva artikli lõikes 1 sätestatud olulistele nõuetele vastav harmoneeritud standard ja

i)	taotlust ei ole vastu võetud;

ii)	taotlust käsitlevad harmoneeritud standardid ei ole esitatud määruse (EL) nr 1025/2012 artikli 10 lõikes 1 sätestatud tähtaja jooksul või

iii)	harmoneeritud standardid ei vasta taotlusele ning

b)	Euroopa Liidu Teatajas ei ole avaldatud kooskõlas määrusega (EL) nr 1025/2012 ühtegi viidet harmoneeritud standarditele, mis hõlmaks käesoleva artikli lõikes 1 sätestatud olulisi nõudeid, ning tõenäoliselt sellist viidet mõistliku aja jooksul ei avaldata.

Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 46 lõikes 2 osutatud kontrollimenetlusega.

6. Enne käesoleva artikli lõikes 5 osutatud rakendusakti eelnõu koostamist teavitab komisjon määruse (EL) nr 1025/2012 artiklis 22 osutatud komiteed sellest, et ta leiab, et käesoleva artikli lõikes 5 sätestatud tingimused on täidetud.

7. Lõikes 5 osutatud rakendusakti eelnõu koostamisel võtab komisjon arvesse Euroopa Andmeinnovatsiooninõukogu nõuandeid ja muude asjaomaste organite või eksperdirühmade seisukohti ning konsulteerib igakülgselt kõigi asjaomaste sidusrühmadega.

8. Andmeruumides osalejad, kes pakuvad andmeid või andmeteenuseid teistele sellistes andmeruumides osalejatele, mis vastavad lõikes 5 osutatud rakendusaktidega kehtestatud ühtsetele spetsifikatsioonidele või nende osadele, eeldatakse olevat vastavuses lõikes 1 sätestatud olulistele nõuetega, niivõrd kui nimetatud nõuded on hõlmatud harmoneeritud standardite või nende osadega.

9. Kui Euroopa standardiorganisatsioon võtab vastu harmoneeritud standardi ning see esitatakse komisjonile standardi viite avaldamiseks Euroopa Liidu Teatajas, hindab komisjon seda harmoneeritud standardit kooskõlas määrusega (EL) nr 1025/2012. Kui harmoneeritud standardi viide avaldatakse Euroopa Liidu Teatajas, tunnistab komisjon kehtetuks käesoleva artikli lõikes 5 osutatud rakendusaktid või nende osad, mis hõlmavad harmoneeritud standardiga samu olulisi nõudeid.

10. Kui liikmesriik on seisukohal, et ühtne spetsifikatsioon ei vasta täielikult lõikes 1 sätestatud olulistele nõuetele, teatab ta sellest komisjonile, esitades üksikasjaliku selgituse. Komisjon hindab üksikasjalikku selgitust ja ta võib asjakohasel juhul muuta rakendusakti, millega kõnealune ühtne spetsifikatsioon kehtestatakse.

11. Komisjon võib võtta vastu suunised, võttes arvesse määruse (EL) 2022/868 artikli 30 punkti h kohast Euroopa Andmeinnovatsiooninõukogu ettepanekut, millega kehtestatakse ühtsete standardite ja tavade koostalitlusvõime raamistikud ühtsete Euroopa andmeruumide toimimiseks.

Artikkel 35

Andmetöötlusteenuste koostalitlusvõime

1. Andmetöötlusteenuste koostalitlusvõimet käsitlevad avatud koostalitlusvõime spetsifikatsioonid ja harmoneeritud standardid peavad

a)	saavutama koostalitlusvõime sama liiki teenust hõlmavate erinevate andmetöötlusteenuste vahel, kui see on tehniliselt teostatav;

b)	parandama digivarade ülekantavust sama liiki teenust hõlmavate erinevate andmetöötlusteenuste vahel;

c)	hõlbustama sama liiki teenust hõlmavate artikli 30 lõikes 1 osutatud erinevate andmetöötlusteenuste funktsionaalset samaväärsust, kui see on tehniliselt teostatav;

d)	mitte avaldama negatiivset mõju andmetöötlusteenuste ning andmete turvalisusele ja terviklusele;

e)	olema kavandatud viisil, mis võimaldab tehnilisi edusamme ning andmetöötlusteenuste uute funktsioonide ja uuenduste lisamist.

2. Andmetöötlusteenuste koostalitlusvõimet käsitlevad avatud koostalitlusvõime spetsifikatsioonid ja harmoneeritud standardid peavad piisavalt käsitlema järgmist:

a)	pilvandmetöötluse koostalitlusvõime aspektid, mis on seotud andmetranspordi koostalitlusvõime, süntaktilise koostalitlusvõime, andmete semantilise koostalitlusvõime, käitumusliku koostalitlusvõime ja tegevuspõhimõtete koostalitlusvõimega;

b)	pilveandmete ülekantavuse aspektid, mis on seotud andmete süntaktilise ülekantavuse, andmete semantilise ülekantavuse ja andmepõhimõtete ülekantavusega;

c)	pilverakenduse aspektid, mis on seotud rakenduste süntaktilise ülekantavuse, rakenduste juhiste ülekantavuse, rakenduste metaandmete ülekantavuse, rakenduste käitumusliku ülekantavuse ja rakenduspõhimõtete ülekantavusega.

3. Avatud koostalitlusvõime spetsifikatsioonid vastavad määruse (EL) nr 1025/2012 II lisale.

4. Olles võtnud arvesse asjaomaseid rahvusvahelisi ja Euroopa standardeid ning iseregulatsiooni algatusi, võib komisjon kooskõlas määruse (EL) nr 1025/2012 artikli 10 lõikega 1 esitada ühele või mitmele Euroopa standardiorganisatsioonile taotluse koostada harmoneeritud standardid, mis vastavad käesoleva artikli lõigetes 1 ja 2 sätestatud olulistele nõuetele.

5. Komisjon võib rakendusaktidega võtta avatud koostalitlusvõime spetsifikatsioonide alusel vastu ühtsed spetsifikatsioonid, mis hõlmavad kõiki lõigetes 1 ja 2 sätestatud olulisi nõudeid.

6. Käesoleva artikli lõikes 5 osutatud rakendusakti eelnõu koostamisel võtab komisjon arvesse artikli 37 lõike 5 punktis h osutatud asjaomaste pädevate asutuste ja muude asjaomaste organite või eksperdirühmade seisukohti ning konsulteerib igakülgselt kõigi asjaomaste sidusrühmadega.

7. Kui liikmesriik on seisukohal, et ühtne spetsifikatsioon ei vasta täielikult lõigetes 1 ja 2 sätestatud olulistele nõuetele, teatab ta sellest komisjonile, esitades üksikasjaliku selgituse. Komisjon hindab üksikasjalikku selgitust ja ta võib asjakohasel juhul muuta rakendusakti, millega kõnealune ühtne spetsifikatsioon kehtestatakse.

8. Artikli 30 lõike 3 kohaldamisel avaldab komisjon rakendusaktidega viite andmetöötlusteenuste koostalitlusvõimet käsitlevatele harmoneeritud standarditele ja ühtsetele spetsifikatsioonidele andmetöötlusteenuste koostalitlusvõime standardite liidu keskhoidlas.

9. Käesolevas artiklis osutatud rakendusaktid võetakse vastu kooskõlas artikli 46 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 36

Nutilepingutega seotud olulised nõuded andmete jagamise kokkulepete täitmiseks

1. Nutilepinguid kasutava rakenduse müüja või tema puudumisel isik, kelle kaubandus-, äri- või kutsetegevus hõlmab andmete kättesaadavaks tegemise kokkuleppe või selle osa täitmise raames teiste jaoks nutilepingute kasutuselevõttu, tagab, et nutilepingud täidavad järgmisi olulisi nõudeid:

a)	töökindlus ja juurdepääsukontroll, et tagada nutilepingu juurdepääsukontrolli mehhanismid ja väga hea töökindlus, vältimaks funktsionaalseid vigu ja seismaks vastu kolmandate isikute poolsele manipuleerimisele;

tehingute ohutu lõpetamine ja katkestamine, et tagada sellise mehhanismi olemasolu, millega saab lõpetada tehingute pideva täitmise, ning et nutileping sisaldaks sisemisi funktsioone, mille abil saab lepingut lähtestada või anda sellele korralduse toiming peatada või katkestada, et eelkõige vältida edasisi juhuslikke täitmisi;

c)	andmete arhiveerimine ja järjepidevus, et tagada oludes, kus nutileping tuleb lõpetada või deaktiveerida, võimalus arhiveerida tehinguandmed, nutilepingu loogika ja kood, et pidada arvestust andmetega tehtud varasemate toimingute kohta (auditeeritavus), ning

d)	juurdepääsukontroll, et kaitsta nutilepingut juhtimistasandi ja nutilepingute kihtide rangete juurdepääsukontrolli mehhanismide abil;

e)	kooskõla, et tagada kooskõla selle andmete jagamise kokkuleppe tingimustega, mida nutileping täidab.

2. Nutilepingu müüja või tema puudumisel isik, kelle kaubandus-, äri- või kutsetegevus hõlmab andmete kättesaadavaks tegemise kokkuleppe või selle osa täitmise raames teiste jaoks nutilepingute kasutuselevõttu, teeb vastavushindamise, et täita lõikes 1 sätestatud olulised nõuded, ja väljastab nõuete täitmise kohta ELi vastavusdeklaratsiooni.

3. ELi vastavusdeklaratsiooni koostades vastutab nutilepinguid kasutava rakenduse müüja või tema puudumisel isik, kelle kaubandus-, äri- või kutsetegevus hõlmab andmete kättesaadavaks tegemise kokkuleppe või selle osa täitmise raames teiste jaoks nutilepingute kasutuselevõttu, lõikes 1 sätestatud oluliste nõuete täitmise eest.

4. Nutileping, mis vastab harmoneeritud standarditele või nende asjakohastele osadele, mille viited avaldatakse Euroopa Liidu Teatajas, eeldatakse olevat vastavuses lõikes 1 sätestatud oluliste nõuetega, niivõrd kui nimetatud nõuded on hõlmatud harmoneeritud standardite või nende osadega.

5. Komisjon esitab määruse (EL) nr 1025/2012 artikli 10 kohaselt ühele või mitmele Euroopa standardiorganisatsioonile taotluse koostada harmoneeritud standardid, mis vastavad käesoleva artikli lõikes 1 sätestatud olulistele nõuetele.

6. Komisjon võib rakendusaktidega vastu võtta ühtsed spetsifikatsioonid, mis hõlmavad mõnda olulist nõuet või kõiki olulisi nõudeid, mis on sätestatud lõikes 1, kui on täidetud järgmised tingimused:

i)	taotlust ei ole vastu võetud;

ii)	taotlust käsitlevad harmoneeritud standardid ei ole esitatud määruse (EL) nr 1025/2012 artikli 10 lõikes 1 sätestatud tähtaja jooksul või

iii)	harmoneeritud standardid ei vasta taotlusele ning

b)	Euroopa Liidu Teatajas ei ole avaldatud kooskõlas määrusega (EL) nr 1025/2012 ühtegi viidet harmoneeritud standarditele, mis hõlmaks käesoleva artikli lõikes 1 sätestatud olulisi nõudeid, ning tõenäoliselt sellist viidet mõistliku aja jooksul ei avaldata.

Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 46 lõikes 2 osutatud kontrollimenetlusega.

7. Enne käesoleva artikli lõikes 6 osutatud rakendusakti eelnõu koostamist teavitab komisjon määruse (EL) nr 1025/2012 artiklis 22 osutatud komiteed sellest, et ta leiab, et käesoleva artikli lõikes 6 sätestatud tingimused on täidetud.

8. Lõikes 6 osutatud rakendusakti eelnõu koostamisel võtab komisjon arvesse Euroopa Andmeinnovatsiooninõukogu nõuandeid ja muude asjaomaste organite või eksperdirühmade seisukohti ning konsulteerib igakülgselt kõigi asjaomaste sidusrühmadega.

9. Nutilepingu müüja või tema puudumisel isik, kelle kaubandus-, äri- või kutsetegevus hõlmab andmete kättesaadavaks tegemise kokkuleppe või selle osa täitmise raames teiste jaoks selliste nutilepingute kasutuselevõttu, mis vastavad lõikes 5 osutatud rakendusaktidega kehtestatud ühtsetele spetsifikatsioonidele või nende osadele, eeldatakse olevat vastavuses lõikes 1 sätestatud oluliste nõuetega, niivõrd kui nimetatud nõuded on hõlmatud ühtsete spetsifikatsioonide või nende osadega.

10. Kui Euroopa standardiorganisatsioon võtab vastu harmoneeritud standardi ning see esitatakse komisjonile standardi viite avaldamiseks Euroopa Liidu Teatajas, hindab komisjon seda harmoneeritud standardit kooskõlas määrusega (EL) nr 1025/2012. Kui harmoneeritud standardi viide avaldatakse Euroopa Liidu Teatajas, tunnistab komisjon kehtetuks käesoleva artikli lõikes 6 osutatud rakendusaktid või nende osad, mis hõlmavad samu olulisi nõudeid.

11. Kui liikmesriik on seisukohal, et ühtne spetsifikatsioon ei vasta täielikult lõikes 1 sätestatud olulistele nõuetele, teatab ta sellest komisjonile, esitades üksikasjaliku selgituse. Komisjon hindab üksikasjalikku teavet ja ta võib asjakohasel juhul muuta rakendusakti, millega kõnealune ühtne spetsifikatsioon kehtestatakse.

IX PEATÜKK

RAKENDAMINE JA TÄITMISE TAGAMINE

Artikkel 40

Karistused

1. Liikmesriigid kehtestavad käesoleva määruse rikkumise korral kohaldatavad karistusnormid ja võtavad kõik vajalikud meetmed nende rakendamise tagamiseks. Ettenähtud karistused on mõjusad, proportsionaalsed ja hoiatavad.

2. Liikmesriigid teatavad kõnealustest normidest ja meetmetest komisjonile 12. septembriks 2025, samuti teatavad nad viivitamata kõigist neid mõjutavatest hilisematest muudatustest. Komisjon ajakohastab korrapäraselt kõnealuseid meetmeid käsitlevat hõlpsasti juurdepääsetavat avalikku registrit ja haldab seda.

3. Liikmesriigid võtavad käesoleva määruse rikkumise eest karistuste määramisel arvesse Euroopa Andmeinnovatsiooninõukogu soovitusi ja järgmisi mitteammendavaid kriteeriume:

a)	rikkumise laad, raskus, ulatus ja kestus;

b)	rikkuva poole meetmed rikkumisega tekitatud kahju leevendamiseks või heastamiseks;

c)	rikkuva poole varasemad rikkumised;

d)	rikkuja poolt rikkumise tõttu saadud rahaline kasu või välditud kahju, kuivõrd sellist kasu või kahju on võimalik usaldusväärselt kindlaks teha;

e)	juhtumi asjaolude suhtes kohaldatavad muud raskendavad või kergendavad asjaolud;

f)	rikkuja eelmise majandusaasta käive liidus.

4. Käesoleva määruse II, III ja V peatükis sätestatud kohustuste rikkumise korral võivad järelevalveasutused, kes vastutavad määruse (EL) 2016/679 kohaldamise seire eest, määrata oma pädevuse piires haldustrahve kooskõlas määruse (EL) 2016/679 artikliga 83 ja kuni kõnealuse määruse artikli 83 lõikes 5 osutatud summani.

5. Käesoleva määruse V peatükis sätestatud kohustuste rikkumise korral võib Euroopa Andmekaitseinspektor määrata oma pädevuse piires haldustrahve kooskõlas määruse (EL) 2018/1725 artikliga 66 ja kuni kõnealuse määruse artikli 66 lõikes 3 osutatud summani.

Artikkel 41

Lepingu näidistingimused ja tüüptingimused

Komisjon töötab enne 12. septembrit 2025 välja ja soovitab andmetele juurdepääsu ja nende kasutamist käsitlevaid mittesiduvaid lepingu näidistingimusi, sealhulgas mõistlikku hüvitamist ja ärisaladuste kaitset käsitlevaid tingimusi ning pilveandmetöötluse lepingute mittesiduvaid tüüptingimusi, et aidata pooltel koostada õiglaste, mõistlike ja mittediskrimineerivate lepinguliste õiguste ja kohustustega lepinguid ning nende üle läbirääkimisi pidada.

Artikkel 44

Andmetele juurdepääsu ja nende kasutamisega seotud õigusi ja kohustusi reguleerivad muud liidu õigusaktid

1. Käesolev määrus ei mõjuta erikohustusi, mis on seotud andmete kättesaadavaks tegemisega ettevõtjate vahel, ettevõtjate ja tarbijate vahel ning erandkorras ettevõtjate ja avaliku sektori asutuste vahel ning mis on sätestatud liidu õigusaktides, mis jõustusid 11. jaanuaril 2024 või enne seda, ning nendel põhinevates delegeeritud õigusaktides või rakendusaktides.

2. Käesolev määrus ei piira liidu õiguse kohaldamist, millega määratakse sektori, ühtse Euroopa andmeruumi või avalikku huvi pakkuva valdkonna vajadusi silmas pidades kindlaks täiendavad nõuded, eelkõige seoses järgmisega:

a)	andmetele juurdepääsu tehnilised aspektid;

b)	piirangud, mis käsitlevad andmevaldajate õigusi pääseda juurde teatavatele kasutajate esitatud andmetele või neid kasutada;

c)	andmetele juurdepääsust ja nende kasutamisest kaugemale minevad aspektid.

3. Käesolev määrus, välja arvatud V peatükk, ei piira liidu ja riigisisese õiguse kohaldamist, millega nähakse ette andmetele juurdepääs ja nende kasutamine teadusuuringute eesmärgil.

Artikkel 50

Jõustumine ja kohaldamine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Käesolevat määrust kohaldatakse alates 12. septembrist 2025.

Artikli 3 lõikest 1 tulenevat kohustust kohaldatakse ühendatud toodete ja nendega seotud teenuste suhtes, mis lastakse turule pärast 12. septembrit 2026.

III peatükki kohaldatakse seoses kohustustega teha andmed kättesaadavaks vastavalt liidu õigusele või liidu õiguse alusel vastu võetud riigisisestele õigusaktidele, mis jõustub (jõustuvad) pärast 12. septembrit 2025.

IV peatükki kohaldatakse lepingute suhtes, mis on sõlmitud pärast 12. septembrit 2025.

IV peatükki kohaldatakse alates 12. septembrist 2027 lepingute suhtes, mis on sõlmitud 12. septembril 2025 või enne seda, eeldusel et lepingud

a)	on tähtajatud või

b)	kaotavad kehtivuse vähemalt kümne aasta jooksul pärast 11. jaanuari 2024.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Strasbourg, 13. detsember 2023

Euroopa Parlamendi nimel

president

R. METSOLA

Nõukogu nimel

eesistuja

P. NAVARRO RÍOS

(1) ELT C 402, 19.10.2022, lk 5.

(2) ELT C 365, 23.9.2022, lk 18.

(3) ELT C 375, 30.9.2022, lk 112.

(4) Euroopa Parlamendi 9. novembri 2023. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 27. novembri 2023. aasta otsus.

(5) Komisjoni 6. mai 2003. aasta soovitus 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtete määratlemise kohta (ELT L 124, 20.5.2003, lk 36).

(6) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

(7) Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39).

(8) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(9) Nõukogu 5. aprilli 1993. aasta direktiiv 93/13/EMÜ ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT L 95, 21.4.1993, lk 29).

(10) Euroopa Parlamendi ja nõukogu 11. mai 2005. aasta direktiiv 2005/29/EÜ, mis käsitleb ettevõtja ja tarbija vaheliste tehingutega seotud ebaausaid kaubandustavasid siseturul ning millega muudetakse nõukogu direktiivi 84/450/EMÜ, Euroopa Parlamendi ja nõukogu direktiive 97/7/EÜ, 98/27/EÜ ja 2002/65/EÜ ning Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 2006/2004 (ebaausate kaubandustavade direktiiv) (ELT L 149, 11.6.2005, lk 22).

(11) Euroopa Parlamendi ja nõukogu 25. oktoobri 2011. aasta direktiiv 2011/83/EL tarbija õiguste kohta, millega muudetakse nõukogu direktiivi 93/13/EMÜ ning Euroopa Parlamendi ja nõukogu direktiivi 1999/44/EÜ ja millega tunnistatakse kehtetuks nõukogu direktiiv 85/577/EMÜ ning Euroopa Parlamendi ja nõukogu direktiiv 97/7/EÜ (ELT L 304, 22.11.2011, lk 64).

(12) Euroopa Parlamendi ja nõukogu 29. aprilli 2021. aasta määrus (EL) 2021/784, mis käsitleb võitlemist terroristliku veebisisu levitamise vastu (ELT L 172, 17.5.2021, lk 79).

(13) Euroopa Parlamendi ja nõukogu 19. oktoobri 2022. aasta määrus (EL) 2022/2065, mis käsitleb digiteenuste ühtset turgu ja millega muudetakse direktiivi 2000/31/EÜ (digiteenuste määrus) (ELT L 277, 27.10.2022, lk 1).

(14) Euroopa Parlamendi ja nõukogu 12. juuli 2023. aasta määrus (EL) 2023/1543, mis käsitleb Euroopa andmeesitamismäärust ja Euroopa andmesäilitamismäärust elektrooniliste tõendite hankimiseks kriminaalmenetluses ja kriminaalmenetluse järgsete vabadusekaotuslike karistuste täitmisele pööramiseks (ELT L 191, 28.7.2023, lk 118).

(15) Euroopa Parlamendi ja nõukogu 12. juuli 2023. aasta direktiiv (EL) 2023/1544, millega kehtestatakse määratud majandusüksuste määramise ja esindajate nimetamise ühtlustatud normid elektrooniliste tõendite kogumiseks kriminaalmenetluses (ELT L 191, 28.7.2023, lk 181).

(16) Euroopa Parlamendi ja nõukogu 20. mai 2015. aasta määrus (EL) 2015/847, mis käsitleb rahaülekannetes edastatavat teavet ja millega tunnistatakse kehtetuks määrus (EÜ) nr 1781/2006 (ELT L 141, 5.6.2015, lk 1).

(17) Euroopa Parlamendi ja nõukogu 20. mai 2015. aasta direktiiv (EL) 2015/849, mis käsitleb finantssüsteemi rahapesu või terrorismi rahastamise eesmärgil kasutamise tõkestamist ning millega muudetakse Euroopa Parlamendi ja nõukogu määrust (EL) nr 648/2012 ja tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu direktiiv 2005/60/EÜ ja komisjoni direktiiv 2006/70/EÜ (ELT L 141, 5.6.2015, lk 73).

(18) Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta direktiiv (EL) 2019/882 toodete ja teenuste ligipääsetavusnõuete kohta (ELT L 151, 7.6.2019, lk 70).

(19) Euroopa Parlamendi ja nõukogu 22. mai 2001. aasta direktiiv 2001/29/EÜ autoriõiguse ja sellega kaasnevate õiguste teatavate aspektide ühtlustamise kohta infoühiskonnas (EÜT L 167, 22.6.2001, lk 10).

(20) Euroopa Parlamendi ja nõukogu 29. aprilli 2004. aasta direktiiv 2004/48/EÜ intellektuaalomandi õiguste jõustamise kohta (ELT L 157, 30.4.2004, lk 45).

(21) Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta direktiiv (EL) 2019/790, mis käsitleb autoriõigust ja autoriõigusega kaasnevaid õigusi digitaalsel ühtsel turul ning millega muudetakse direktiive 96/9/EÜ ja 2001/29/EÜ (ELT L 130, 17.5.2019, lk 92).

(22) Euroopa Parlamendi ja nõukogu 30. mai 2022. aasta määrus (EL) 2022/868 Euroopa andmehalduse kohta ning millega muudetakse määrust (EL) 2018/1724 (andmehalduse määrus) (ELT L 152, 3.6.2022, lk 1).

(23) Euroopa Parlamendi ja nõukogu 8. juuni 2016. aasta direktiiv (EL) 2016/943, milles käsitletakse avalikustamata oskusteabe ja äriteabe (ärisaladuste) ebaseadusliku omandamise, kasutamise ja avalikustamise vastast kaitset (ELT L 157, 15.6.2016, lk 1).

(24) Euroopa Parlamendi ja nõukogu 16. veebruari 1998. aasta direktiiv 98/6/EÜ tarbijakaitse kohta tarbijatele pakutavate toodete hindade avaldamisel (EÜT L 80, 18.3.1998, lk 27).

(25) Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiiv 2000/31/EÜ infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) (EÜT L 178, 17.7.2000, lk 1).

(26) Euroopa Parlamendi ja nõukogu 14. septembri 2022. aasta määrus (EL) 2022/1925, mis käsitleb konkurentsile avatud ja õiglaseid turge digisektoris ning millega muudetakse direktiive (EL) 2019/1937 ja (EL) 2020/1828 (digiturgude määrus) (ELT L 265, 12.10.2022, lk 1).

(27) Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta määrus (EÜ) nr 223/2009 Euroopa statistika kohta ning Euroopa Parlamendi ja nõukogu määruse (EÜ, Euratom) nr 1101/2008 (konfidentsiaalsete statistiliste andmete Euroopa Ühenduste Statistikaametile edastamise kohta), nõukogu määruse (EÜ) nr 322/97 (ühenduse statistika kohta) ja nõukogu otsuse 89/382/EMÜ, Euratom (millega luuakse Euroopa ühenduste statistikaprogrammi komitee) kehtetuks tunnistamise kohta (ELT L 87, 31.3.2009, lk 164).

(28) Euroopa Parlamendi ja nõukogu 20. juuni 2019. aasta direktiiv (EL) 2019/1024 avaandmete ja avaliku sektori valduses oleva teabe taaskasutamise kohta (ELT L 172, 26.6.2019, lk 56).

(29) Euroopa Parlamendi ja nõukogu 11. märtsi 1996. aasta direktiiv 96/9/EÜ andmebaaside õiguskaitse kohta (EÜT L 77, 27.3.1996, lk 20).

(30) Euroopa Parlamendi ja nõukogu 14. novembri 2018. aasta määrus (EL) 2018/1807, mis käsitleb isikustamata andmete Euroopa Liidus vaba liikumise raamistikku (ELT L 303, 28.11.2018, lk 59).

(31) Euroopa Parlamendi ja nõukogu 20. mai 2019. aasta direktiiv (EL) 2019/770 digisisu üleandmise ja digiteenuste osutamise lepingute teatavate aspektide kohta (ELT L 136, 22.5.2019, lk 1).

(32) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1).

(33) Euroopa Parlamendi ja nõukogu 25. oktoobri 2012. aasta määrus (EL) nr 1025/2012, mis käsitleb Euroopa standardimist ning millega muudetakse nõukogu direktiive 89/686/EMÜ ja 93/15/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 94/9/EÜ, 94/25/EÜ, 95/16/EÜ, 97/23/EÜ, 98/34/EÜ, 2004/22/EÜ, 2007/23/EÜ, 2009/23/EÜ ja 2009/105/EÜ ning millega tunnistatakse kehtetuks nõukogu otsus 87/95/EMÜ ning Euroopa Parlamendi ja nõukogu otsus nr 1673/2006/EÜ (ELT L 316, 14.11.2012, lk 12).

(34) Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 765/2008, millega sätestatakse akrediteerimise nõuded ja tunnistatakse kehtetuks määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30).

(35) Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta otsus nr 768/2008/EÜ toodete turustamise ühise raamistiku kohta ja millega tunnistatakse kehtetuks nõukogu otsus 93/465/EMÜ (ELT L 218, 13.8.2008, lk 82).

(36) Euroopa Parlamendi ja nõukogu 12. detsembri 2017. aasta määrus (EL) 2017/2394 tarbijakaitsealaste õigusaktide täitmise tagamise eest vastutavate liikmesriigi asutuste vahelise koostöö kohta ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2006/2004 (ELT L 345, 27.12.2017, lk 1).

(37) Euroopa Parlamendi ja nõukogu 25. novembri 2020. aasta direktiiv (EL) 2020/1828, mis käsitleb tarbijate kollektiivsete huvide kaitsmise esindushagisid ja millega tunnistatakse kehtetuks direktiiv 2009/22/EÜ (ELT L 409, 4.12.2020, lk 1).

(38) ELT L 123, 12.5.2016, lk 1.

(39) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0650 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 ET

Data Act 2023/2854 ET