keyboard_tab Data Act 2023/2854 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 1 artikla Kohde ja soveltamisala
- 1 5 artikla Käyttäjän oikeus jakaa dataa kolmansien osapuolten kanssa
- 1 17 artikla Datan saataville asettamista koskevat pyynnöt
- 1 21 artikla Poikkeuksellisen tarpeen vuoksi saadun datan jakaminen tutkimusorganisaatioiden tai tilastolaitosten kanssa
- 3 25 artikla Vaihtamista koskevat sopimusehdot
- 1 32 artikla Kolmannen maan viranomaisten pääsy dataan ja datan kansainvälinen siirto
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
YRITYSTEN JA KULUTTAJIEN VÄLINEN SEKÄ YRITYSTEN VÄLINEN DATAN JAKAMINEN
III LUKU
DATAN SAATAVILLE ASETTAMISEEN UNIONIN OIKEUDEN MUKAISESTI VELVOITETTUJEN DATAN HALTIJOIDEN VELVOITTEET
IV LUKU
DATAN SAATAVUUTTA JA KÄYTTÖÄ YRITYSTEN VÄLILLÄ KOSKEVAT KOHTUUTTOMAT SOPIMUSEHDOT
V LUKU
DATAN ASETTAMINEN JULKISEN SEKTORIN ELINTEN, KOMISSION, EUROOPAN KESKUSPANKIN JA UNIONIN ELINTEN SAATAVILLE POIKKEUKSELLISEN TARPEEN PERUSTEELLA
VI LUKU
DATANKÄSITTELYPALVELUJEN VAIHTAMINEN
VII LUKU
LAITON KOLMANNEN MAAN VIRANOMAISTEN PÄÄSY MUUHUN DATAAN KUIN HENKILÖTIETOIHIN JA TÄLLAISEN DATAN KANSAINVÄLINEN SIIRTO
VIII LUKU
YHTEENTOIMIVUUS
IX LUKU
TÄYTÄNTÖÖNPANO JA TÄYTÄNTÖÖNPANON VALVONTA
X LUKU
DIREKTIIVIN 96/9/EY MUKAINEN SUI GENERIS -OIKEUS
XI LUKU
LOPPUSÄÄNNÖKSET
- datan 88
- unionin 34
- dataa 34
- kohdan 29
- tämän 27
- saataville 26
- kolmannen 25
- mukaisesti 24
- dataan 22
- että 21
- sektorin 21
- jotka 19
- artiklan 19
- kuin 18
- datankäsittelypalvelujen 18
- haltija 17
- euroopan 16
- nojalla 16
- pyynnön 16
- julkisen 16
- joka 15
- osapuolen 14
- alakohdassa 14
- asetuksen 14
- mukaan 13
- artiklan 13
- maan 13
- data 13
- sekä 13
- haltijan 12
- eikä 12
- elin 11
- sovelletaan 11
- verkkoon 10
- viivytystä 10
- aiheetonta 10
- ilman 10
- tarjoajan 10
- eu / 10
- kanssa 10
- henkilötietojen 9
- ilmoitettava 9
- varten 9
- asiakkaan 9
- oikeuden 9
- lainsäädännön 9
- siirtää 8
- siihen 8
- lukien 8
- unionissa 8
1 artikla
Kohde ja soveltamisala
1. Tässä asetuksessa vahvistetaan yhdenmukaiset säännöt, jotka koskevat muun muassa seuraavia:
| a) | verkkoon liitetyn tuotteen datan ja siihen liittyvän palvelun datan asettaminen verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käyttäjän saataville; |
| b) | datan asettaminen datan haltijoilta datan vastaanottajien saataville; |
| c) | datan asettaminen datan haltijoilta julkisen sektorin elinten, komission, Euroopan keskuspankin ja unionin elinten saataville, jos kyseiseen dataan on poikkeuksellinen tarve tietyn yleistä etua koskevan tehtävän suorittamiseksi; |
| d) | vaihdon helpottaminen datankäsittelypalvelujen välillä; |
| e) | suojalausekkeiden käyttöönotto kolmansien osapuolten laittoman pääsyn muuhun dataan kuin henkilötietoihin estämiseksi; ja |
| f) | yhteentoimivuutta koskevien standardien kehittäminen saataville annettavaa, siirrettävää ja käytettävää dataa varten. |
2. Tämä asetus kattaa henkilötiedot ja muun datan kuin henkilötiedot, mukaan lukien seuraavat datatyypit, seuraavissa yhteyksissä:
| a) | II lukua sovelletaan verkkoon liitettyjen tuotteiden ja niihin liittyvien palvelujen suorituskykyä, käyttöä ja ympäristöä koskevaan dataan, lukuun ottamatta datan sisältöä; |
| b) | III lukua sovelletaan yksityisen sektorin dataan, jota koskevat lakisääteiset datan jakamista koskevat velvoitteet; |
| c) | IV lukua sovelletaan yksityisen sektorin dataan, johon päästään ja jota käytetään yritysten välisten sopimusten perusteella; |
| d) | V lukua sovelletaan yksityisen sektorin dataan, jossa painotetaan muita kuin henkilötietoja; |
| e) | VI lukua sovelletaan datankäsittelypalvelujen tarjoajien käsittelemään dataan ja palveluihin; |
| f) | VII lukua sovelletaan datankäsittelypalvelujen tarjoajien hallussa unionissa oleviin muihin kuin henkilötietoihin. |
3. Tätä asetusta sovelletaan
| a) | unionin markkinoille saatettujen verkkoon liitettyjen tuotteiden valmistajiin ja niihin liittyvien palvelujen tarjoajiin kyseisten valmistajien tai tarjoajien sijoittautumispaikasta riippumatta; |
| b) | a alakohdassa tarkoitettujen verkkoon liitettyjen tuotteiden tai niihin liittyvien palvelujen käyttäjiin unionissa; |
| c) | datan haltijoihin, jotka asettavat dataa datan vastaanottajien saataville unionissa, niiden sijoittautumispaikasta riippumatta; |
| d) | unionissa oleviin datan vastaanottajiin, joiden saataville data asetetaan; |
| e) | julkisen sektorin elimiin, komissioon, Euroopan keskuspankkiin ja unionin elimiin, jotka pyytävät datan haltijoita asettamaan dataa saataville, jos kyseiseen dataan on poikkeuksellinen tarve tietyn yleistä etua koskevan tehtävän suorittamiseksi, sekä datan haltijoihin, jotka toimittavat kyseistä dataa vastauksena tällaiseen pyyntöön; |
| f) | datankäsittelypalvelujen tarjoajiin, jotka tarjoavat tällaisia palveluja asiakkaille unionissa, datankäsittelypalvelujen tarjoajien sijoittautumispaikasta riippumatta; |
| g) | data-avaruuksien osallistujiin ja älysopimuksia käyttävien sovellusten myyjiin sekä henkilöihin, joiden elinkeino-, liike- tai ammattitoimintaan liittyy älysopimusten käyttöönotto toisten puolesta sopimuksen täytäntöönpanon yhteydessä. |
4. Kun tässä asetuksessa viitataan verkkoon liitettyihin tuotteisiin tai niihin liittyviin palveluihin, viittausten katsotaan kattavan myös virtuaaliavustajat siltä osin kuin ne ovat vuorovaikutuksessa verkkoon liitettyyn tuotteeseen tai siihen liittyvään palveluun.
5. Tämä asetus ei rajoita henkilötietojen suojaa, yksityisyyden suojaa ja viestinnän luottamuksellisuutta sekä päätelaitteiden eheyttä koskevaa unionin oikeutta ja kansallista lainsäädäntöä, jota sovelletaan tässä asetuksessa säädettyjen oikeuksien ja velvollisuuksien yhteydessä käsiteltäviin henkilötietoihin, etenkään asetuksia (EU) 2016/679 ja (EU) 2018/1725 ja direktiiviä 2002/58/EY eikä myöskään valvontaviranomaisten valtuuksia ja toimivaltaa tai rekisteröityjen oikeuksia. Siltä osin kuin käyttäjät ovat rekisteröityjä, tämän asetuksen II luvussa säädetyt oikeudet täydentävät asetuksen (EU) 2016/679 15 ja 20 artiklan mukaisia rekisteröityjen oikeuksia saada pääsy tietoihin ja oikeuksia siirtää tiedot järjestelmästä toiseen. Jos tämän asetuksen säännökset ovat ristiriidassa henkilötietojen tai yksityisyyden suojaa koskevan unionin oikeuden tai unionin oikeuden mukaisesti hyväksytyn kansallisen lainsäädännön kanssa, on sovellettava asiaan kuuluvaa henkilötietojen tai yksityisyyden suojaa koskevaa unionin oikeutta tai kansallista lainsäädäntöä.
6. Tätä asetusta ei sovelleta yksityisten elinten ja julkisyhteisöjen välistä datan vaihtoa koskeviin vapaaehtoisiin järjestelyihin, etenkään datan jakamista koskeviin vapaaehtoisiin järjestelyihin, eikä niitä pitäisi sulkea pois tällä asetuksella.
Tämä asetus ei vaikuta unionin tai kansallisiin säädöksiin, joissa säädetään datan jakamisesta sekä dataan pääsystä ja sen käytöstä rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten tai tullitoiminnan tai verotuksen tarkoituksiin, eikä etenkään asetuksiin (EU) 2021/784, (EU) 2022/2065 ja (EU) 2023/1543 ja direktiiviin (EU) 2023/1544, eikä kyseisellä alalla tehtävään kansainväliseen yhteistyöhön. Tämä asetus ei vaikuta asetuksen (EU) 2015/847 ja direktiivin (EU) 2015/849 mukaiseen datan keräämiseen, jakamiseen, käyttöön tai saatavuuteen. Tätä asetusta ei sovelleta aloihin, jotka eivät kuulu unionin lainsäädännön soveltamisalaan, eikä se missään tapauksessa vaikuta jäsenvaltioiden yleistä turvallisuutta, puolustusta ja kansallista turvallisuutta koskevaan toimivaltaan riippumatta siitä, minkä tyyppisiä elimiä jäsenvaltiot ovat valtuuttaneet suorittamaan näihin toimivaltuuksiin liittyviä tehtäviä, tai niiden valtuuksista turvata muita keskeisiä valtion tehtäviä, mukaan lukien valtion alueellisen koskemattomuuden turvaaminen ja yleisen järjestyksen ylläpitäminen. Tämä asetus ei vaikuta tulli- ja verohallintoa eikä kansanterveyttä tai kansalaisten turvallisuutta koskevaan jäsenvaltioiden toimivaltaan.
7. Tällä asetuksella täydennetään asetuksen (EU) 2018/1807 itsesääntelyyn perustuvaa lähestymistapaa lisäämällä pilvipalvelujen vaihtamista koskevia yleisesti sovellettavia velvoitteita.
8. Tällä asetuksella ei rajoiteta sellaisten unionin tai kansallisten säädösten soveltamista, joissa säädetään teollis- ja tekijänoikeuksien suojaamisesta, mukaan lukien direktiivi 2001/29/EY, direktiivi 2004/48/EY ja direktiivi (EU) 2019/790.
9. Tällä asetuksella täydennetään sen unionin lainsäädännön sovellettavuutta, jonka tarkoituksena on edistää kuluttajien etuja sekä varmistaa kuluttajansuojan korkea taso ja suojella heidän terveyttään, turvallisuuttaan ja taloudellisia etujaan, erityisesti direktiivejä 93/13/ETY, 2005/29/EY ja 2011/83/EU, eikä sillä rajoiteta tällaisen unionin lainsäädännön soveltamista.
10. Tämä asetus ei estä sellaisten vapaaehtoisten lainmukaisten datan jakamista koskevien sopimusten tekemistä, jotka täyttävät tässä asetuksessa vahvistetut vaatimukset, ei myöskään vastavuoroisia sopimuksia.
5 artikla
Käyttäjän oikeus jakaa dataa kolmansien osapuolten kanssa
1. Datan haltijan on käyttäjän tai käyttäjän puolesta toimivan osapuolen pyynnöstä asetettava kolmannen osapuolen saataville helposti saatavilla oleva data ja asiaankuuluva metadata, joka on tarpeen kyseisen datan tulkitsemiseksi ja käyttämiseksi, ilman aiheetonta viivytystä, samanlaatuisena kuin datan haltijan käytettävissä oleva data, helposti, turvallisesti ja käyttäjälle maksutta kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä tarvittaessa, ja kun se on teknisesti mahdollista, jatkuvasti ja reaaliaikaisesti. Datan haltijan on asetettava data kolmannen osapuolen saataville 8 ja 9 artiklan mukaisesti.
2. Edellä olevan 1 kohdan mukaista oikeutta ei sovelleta helposti saatavilla olevaan dataan testattaessa uusia verkkoon liitettyjä tuotteita, aineita tai prosesseja, joita ei ole vielä saatettu markkinoille, paitsi jos kolmannella osapuolella on sopimukseen perustuva lupa käyttää kyseistä dataa.
3. Yritys, joka on nimetty portinvartijaksi asetuksen (EU) 2022/1925 3 artiklan nojalla, ei ole tässä artiklassa tarkoitettu dataan pääsyyn edellytykset täyttävä kolmas osapuoli eikä se näin ollen saa
| a) | pyytää käyttäjää tai taivutella käyttäjää kaupallisin kannustimin millään tavalla, muun muassa tarjoamalla rahallista tai muuta korvausta, asettamaan jonkin sen palvelun saataville dataa, jonka käyttäjä on saanut 4 artiklan 1 kohdan mukaisen pyynnön perusteella; |
| b) | pyytää käyttäjää tai taivutella käyttäjää kaupallisin kannustimin pyytämään datan haltijaa asettamaan dataa jonkin sen palvelun saataville tämän artiklan 1 kohdan mukaisesti; |
| c) | vastaanottaa käyttäjältä dataa, jonka käyttäjä on saanut 4 artiklan 1 kohdan mukaisen pyynnön perusteella. |
4. Sen varmistamiseksi, onko luonnollinen henkilö tai oikeushenkilö katsottava käyttäjäksi tai kolmanneksi osapuoleksi 1 kohdan soveltamista varten, käyttäjän tai kolmannen osapuolen ei saa edellyttää antavan enempää tietoja kuin on tarpeen. Datan haltijat eivät saa säilyttää enempää tietoja kolmannen osapuolen pääsystä pyydettyyn dataan kuin on tarpeen kolmannen osapuolen datansaantipyynnön moitteetonta noudattamista ja datainfrastruktuurin turvallisuutta ja ylläpitoa varten.
5. Kolmas osapuoli ei saa käyttää pakottavia keinoja eikä käyttää väärin datan suojaamiseen suunnitellun datan haltijan teknisen infrastruktuurin puutteita saadakseen pääsyn dataan.
6. Datan haltija ei saa käyttää helposti saatavilla olevaa dataa sellaisten päätelmien tekemiseen kolmannen osapuolen taloudellisesta tilanteesta, varoista ja tuotantomenetelmistä tai siitä, miten kolmas osapuoli käyttää dataa, eikä käyttää tällaista dataa millään tahansa muulla tavalla, joka voisi heikentää kolmannen osapuolen kaupallista asemaa markkinoilla, joilla kolmas osapuoli toimii paitsi, jos kolmas osapuoli on antanut luvan tällaiseen käyttöön ja sillä on tekniset mahdollisuudet peruuttaa lupa helposti milloin tahansa.
7. Jos käyttäjä ei ole rekisteröity, jonka henkilötietoja pyydetään, datan haltija saa asettaa verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tuotetut henkilötiedot, mukaan lukien data kyseisestä käytöstä, kolmannen osapuolen saataville vain, jos käsittelylle on asetuksen (EU) 2016/679 6 artiklan mukainen pätevä oikeusperuste ja jos tarvittaessa kyseisen asetuksen 9 artiklan ja direktiivin 2002/58/EY 5 artiklan 3 kohdan edellytykset täyttyvät.
8. Se, että datan haltija ja kolmas osapuoli eivät sovi datan siirtämistä koskevista järjestelyistä, ei saa vaikeuttaa, estää tai häiritä asetuksen (EU) 2016/679 mukaisten rekisteröidyn oikeuksien käyttämistä eikä etenkään mainitun asetuksen 20 artiklan mukaista oikeutta siirtää tietoja järjestelmästä toiseen.
9. Liikesalaisuudet on säilytettävä, ja niitä saa ilmaista kolmansille osapuolille vain siltä osin kuin tällainen ilmaiseminen on ehdottaman välttämätöntä käyttäjän ja kolmannen osapuolen välillä sovitun käyttötarkoituksen täyttämiseksi. Datan haltijan tai, kun kyse ei ole samasta henkilöstä, liikesalaisuuden haltijan on yksilöitävä data, joka on suojattu liikesalaisuuksina, mukaan lukien asiaankuuluva metadata, ja sovittava kolmannen osapuolen kanssa kaikista oikeasuhteisista teknisistä ja organisatorisista toimenpiteistä, jotka ovat tarpeen jaettavan datan luottamuksellisuuden säilyttämiseksi, kuten mallisopimusehdot, salassapitosopimukset, tiukat pääsyprotokollat, tekniset standardit ja käytännesääntöjen soveltaminen.
10. Jos tämän artiklan 9 kohdassa tarkoitetuista tarpeellisista toimenpiteistä ei päästä sopimukseen tai jos kolmas osapuoli ei toteuta tämän artiklan 9 kohdan nojalla sovittuja toimenpiteitä tai heikentää liikesalaisuuksien luottamuksellisuutta, datan haltija voi pidättyä liikesalaisuuksiksi määritetyn datan jakamisesta tai tapauksen mukaan keskeyttää sen. Datan haltijan päätös on perusteltava asianmukaisesti, ja se on toimitettava kolmannelle osapuolelle kirjallisesti ilman aiheetonta viivytystä. Tällaisissa tapauksissa datan haltijan on ilmoitettava 37 artiklan mukaisesti nimetylle toimivaltaiselle viranomaiselle, että se on pidättynyt datan jakamisesta tai keskeyttänyt sen, ja yksilöitävä, mitä toimenpiteitä ei ole sovittu tai pantu täytäntöön, sekä tapauksen mukaan minkä liikesalaisuuksien luottamuksellisuus on vaarantunut.
11. Jos datan haltija, joka on liikesalaisuuden haltija, voi osoittaa, että sille aiheutuu erittäin todennäköisesti vakavaa taloudellista vahinkoa liikesalaisuuksien ilmaisemisesta kolmannen osapuolen tämän artiklan 9 kohdan mukaisesti toteuttamista teknisistä ja organisatorisista toimenpiteistä huolimatta, se datan haltija voi tapauskohtaisesti ja poikkeuksellisesti evätä pääsypyynnön kyseiseen dataan. Kyseinen osoittaminen on perusteltava asianmukaisesti objektiivisilla seikoilla, joita ovat erityisesti liikesalaisuuksien suojan täytäntöönpanokelpoisuus kolmansissa maissa, pyydetyn datan luonne ja luottamuksellisuuden taso sekä verkkoon liitetyn tuotteen ainutlaatuisuus ja uutuus, ja nämä tiedot on toimitettava kolmannelle osapuolelle kirjallisesti ilman aiheetonta viivytystä. Jos datan haltija kieltäytyy jakamasta dataa tämän kohdan nojalla, sen on ilmoitettava asiasta 37 artiklan mukaisesti nimetylle toimivaltaiselle viranomaiselle.
12. Rajoittamatta oikeutta hakea muutosta missä tahansa vaiheessa jäsenvaltion tuomioistuimessa kolmas osapuoli, joka haluaa riitauttaa datan haltijan päätöksen datan jakamisen epäämisestä, siitä pidättymisestä tai sen keskeyttämisestä 10 ja 11 kohdan mukaisesti, voi
| a) | tehdä 37 artiklan 5 kohdan b alakohdan mukaisesti valituksen kansalliselle toimivaltaiselle viranomaiselle, jonka on ilman aiheetonta viivytystä päätettävä, millä edellytyksillä datan jakaminen on määrä aloittaa tai millä edellytyksillä sitä on määrä jatkaa; tai |
| b) | sopia datan haltijan kanssa asian saattamisesta riidanratkaisuelimen käsiteltäväksi 10 artiklan 1 kohdan mukaisesti. |
13. Edellä 1 kohdassa tarkoitettu oikeus ei saa vaikuttaa haitallisesti sovellettavan henkilötietojen suojaa koskevan unionin oikeuden ja kansallisen lainsäädännön mukaisiin muiden rekisteröityjen oikeuksiin.
17 artikla
Datan saataville asettamista koskevat pyynnöt
1. Pyytäessään dataa 14 artiklan mukaisesti julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen on
| a) | täsmennettävä, mitä dataa tarvitaan, mukaan lukien kyseisen datan tulkitsemiseksi ja käyttämiseksi tarvittava asiaankuuluva metadata; |
| b) | osoitettava, että 15 artiklassa tarkoitetut sen poikkeuksellisen tarpeen olemassaolon edellytykset täyttyvät, jota varten dataa pyydetään; |
| c) | selitettävä pyynnön tarkoitus, pyydetyn datan aiottu käyttötarkoitus, tarvittaessa myös kolmannen osapuolen toimesta tämän artiklan 4 kohdan mukaisesti, kyseisen käytön kesto ja tarvittaessa se, miten henkilötietojen käsittelyllä pyritään vastaamaan poikkeukselliseen tarpeeseen; |
| d) | täsmennettävä, jos mahdollista, milloin kaikkien niiden osapuolten, joilla on pääsy dataan, odotetaan poistavan sen; |
| e) | perusteltava sen datan haltijan valinta, jolle pyyntö osoitetaan; |
| f) | täsmennettävä muut julkisen sektorin elimet tai komissio, Euroopan keskuspankki tai unionin elimet ja kolmannet osapuolet, joiden kanssa pyydetty data on tarkoitus jakaa; |
| g) | jos pyyntö kohdistuu henkilötietoihin, täsmennettävä mahdolliset tarvittavat ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet tietosuojaperiaatteiden ja tarvittavien tietosuojatakeiden täytäntöönpanemiseksi, kuten pseudonymisointi ja se, voiko datan haltija anonymisoida datan, ennen kuin se asetetaan saataville; |
| h) | mainittava säännös, jolla pyynnön esittäneelle julkisen sektorin elimelle, komissiolle, Euroopan keskuspankille tai unionin elimelle annetaan suoritettavaksi datan pyytämisen kannalta merkityksellinen tietty yleistä etua koskeva tehtävä; |
| i) | täsmennettävä määräaika, johon mennessä data on asetettava saataville, ja 18 artiklan 2 kohdassa tarkoitettu määräaika, johon mennessä datan haltija voi pyytää pyynnön muuttamista tai peruuttamista; |
| j) | tehtävä parhaansa välttääkseen datapyynnön noudattamisen, jos tämä johtaisi siihen, että datan haltija joutuisi vastuuseen unionin oikeuden tai kansallisen lainsäädännön rikkomisesta. |
2. Tämän artiklan 1 kohdan mukaisesti esitettävän datapyynnön on täytettävä seuraavat edellytykset:
| a) | pyyntö on tehtävä kirjallisesti ja ilmaistava selkeällä, ytimekkäällä ja yksinkertaisella kielellä, jota datan haltija ymmärtää; |
| b) | pyynnön on oltava pyydetyn datan tyypin osalta täsmällinen ja vastattava datan haltijan määräysvallassa pyyntöhetkellä olevaa dataa; |
| c) | pyynnön on oltava oikeassa suhteessa poikkeukselliseen tarpeeseen ja perusteltu pyydetyn datan tarkkuuden ja määrän sekä pyydettyyn dataan pääsyn tiheyden osalta; |
| d) | pyynnössä on noudatettava datan haltija oikeutettuja tavoitteita, sitouduttava varmistamaan liikesalaisuuksien suojaaminen 19 artiklan 3 kohdan mukaisesti sekä otettava huomioon datan saataville asettamiseen liittyvät kustannukset ja työmäärä; |
| e) | pyynnön on koskettava muuta dataa kuin henkilötietoja ja ainoastaan, jos on osoitettu, että tämä ei riitä vastaamaan poikkeukselliseen tarpeeseen käyttää dataa 15 artiklan 1 kohdan a alakohdan mukaisesti, voidaan pyytää henkilötietoja pseudonymisoidussa muodossa ja vahvistaa tekniset ja organisatoriset toimenpiteet, jotka toteutetaan datan suojaamiseksi; |
| f) | pyynnössä on ilmoitettava datan haltijalle seuraamuksista, jotka 40 artiklassa tarkoitettu toimivaltainen viranomainen määrää 37 artiklan nojalla, jos pyyntöä ei noudateta; |
| g) | jos pyynnön tekee julkisen sektorin elin, pyyntö on toimitettava 37 artiklassa tarkoitetulle sen jäsenvaltion datakoordinaattorille, johon pyynnön esittänyt julkisen sektorin elin on sijoittautunut, jonka on asetettava pyyntö julkisesti saataville verkossa ilman aiheetonta viivytystä, ellei datakoordinaattori katso, että tällainen julkistaminen aiheuttaisi riskin yleiselle turvallisuudelle; |
| h) | jos pyynnön tekee komissio, Euroopan keskuspankki tai unionin elin, se on asetettava saataville verkossa ilman aiheetonta viivytystä ja ilmoittavat tästä komissiolle; |
| i) | jos henkilötietoja pyydetään, pyynnöstä on ilmoitettava ilman aiheetonta viivytystä valvontaviranomaiselle, joka vastaa asetuksen (EU) 2016/679 soveltamisen valvonnasta jäsenvaltiossa, johon julkisen sektorin elin on sijoittautunut. |
Euroopan keskuspankki ja unioni elimet ilmoittavat pyyntönsä komissiolle.
3. Julkisen sektorin elin, komissio, Euroopan keskuspankki tai unionin elin ei saa asettaa tämän luvun nojalla saatua dataa saataville asetuksen (EU) 2022/868 2 artiklan 2 alakohdassa tai direktiivin (EU) 2019/1024 2 artiklan 11 alakohdassa tarkoitettua uudelleenkäyttöä varten. Asetusta (EU) 2022/868 eikä direktiiviä (EU) 2019/1024 sovelleta tämän luvun nojalla saatuun julkisen sektorin elinten hallussa olevaan dataan.
4. Tämän artiklan 3 kohta ei estä julkisen sektorin elintä, komissiota, Euroopan keskuspankkia tai unionin elintä vaihtamasta tämän luvun nojalla saatua dataa toisen julkisen sektorin elimen tai komission, Euroopan keskuspankin tai unionin elimen kanssa tämän artiklan 1 kohdan f alakohdan mukaisessa pyynnössä määriteltyjen 15 artiklassa tarkoitettujen tehtävien suorittamiseksi tai datan asettamiseksi kolmannen osapuolen saataville silloin, kun se on delegoinut teknisiä tarkastuksia tai muita toimintoja kyseiselle kolmannelle osapuolelle julkisesti saatavilla olevalla sopimuksella. Julkisen sektorin elimille 19 artiklan nojalla kuuluvia velvoitteita, erityisesti liikesalaisuuksien luottamuksellisuuden säilyttämistä koskevia suojatoimia, sovelletaan myös tällaisiin kolmansiin osapuoliin. Jos julkisen sektorin elin, komissio, Euroopan keskuspankki tai unionin elin siirtää tai asettaa saataville dataa tämän kohdan mukaisesti, sen on ilmoitettava asiasta ilman aiheetonta viivytystä sille datan haltijalle, jolta data on vastaanotettu.
5. Jos datan haltija katsoo, että sen tämän luvun mukaisia oikeuksia on loukattu siirtämällä tai asettamalla dataa saataville, se voi tehdä valituksen sen jäsenvaltion 37 artiklan mukaisesti nimetylle toimivaltaiselle viranomaiselle, johon datan haltija on sijoittautunut.
6. Komissio laatii tämän artiklan nojalla tehtäville pyynnöille mallipohjan.
21 artikla
Poikkeuksellisen tarpeen vuoksi saadun datan jakaminen tutkimusorganisaatioiden tai tilastolaitosten kanssa
1. Julkisen sektorin elimillä, komissiolla, Euroopan keskuspankilla tai unionin elimillä on oikeus jakaa tämän luvun nojalla saatua dataa
| a) | yksityishenkilöiden tai organisaatioiden kanssa sellaisen tieteellisen tutkimuksen tai analyysien suorittamiseksi, jotka ovat sen tarkoituksen mukaisia, johon dataa pyydettiin; tai |
| b) | kansallisten tilastolaitosten ja Eurostatin kanssa virallisten tilastojen tuottamista varten. |
2. Yksityishenkilöiden tai organisaatioiden, jotka vastaanottavat dataa 1 kohdan nojalla, on toimittava voittoa tavoittelematta tai unionin oikeudessa tai kansallisessa lainsäädännössä tunnustetun yleisen edun mukaisen tehtävän puitteissa. Niihin eivät kuulu organisaatiot, joissa kaupallisilla yrityksillä on merkittävä vaikutusvalta, jonka perusteella nämä yritykset todennäköisesti saavat etuoikeutetun aseman tutkimustulosten saannissa.
3. Yksityishenkilöiden tai organisaatioiden, jotka vastaanottavat dataa tämän artiklan 1 kohdan mukaisesti, on noudatettava samoja velvoitteita, joita sovelletaan julkisen sektorin elimiin, komissioon, Euroopan keskuspankkiin tai unionin elimiin 17 artiklan 3 kohdan ja 19 artiklan nojalla.
4. Sen estämättä, mitä 19 artiklan 1 kohdan c alakohdassa säädetään, tämän artiklan 1 kohdan nojalla dataa vastaanottavat yksityishenkilöt tai organisaatiot voivat säilyttää saamansa datan siihen tarkoitukseen, jota varten dataa pyydettiin, enintään kuuden kuukauden ajan siitä, kun julkisen sektorin elimet, komissio, Euroopan keskuspankki ja unionin elimet ovat poistaneet datan.
5. Jos julkisen sektorin elin, komissio, Euroopan keskuspankki tai unionin elin aikoo siirtää tai asettaa saataville dataa tämän artiklan 1 kohdan mukaisesti, sen on ilman aiheetonta viivytystä ilmoitettava asiasta sille datan haltijalle, jolta data on vastaanotettu, ja mainittava datan vastaanottavan organisaation tai yksityishenkilön henkilöllisyys ja yhteystiedot, datan siirron tai saataville asettamisen tarkoitus, datan käyttöaika sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet, myös henkilötietojen tai liikesalaisuuksien osalta. Jos datan haltija on eri mieltä datan siirtämisestä tai asettamisesta saataville, se voi tehdä valituksen sen jäsenvaltion 37 artiklan mukaisesti nimetylle toimivaltaiselle viranomaiselle, johon datan haltija on sijoittautunut.
25 artikla
Vaihtamista koskevat sopimusehdot
1. Datankäsittelypalveluiden asiakkaan oikeudet ja tarjoajan velvoitteet, jotka liittyvät tällaisten palvelujen tarjoajien vaihtamiseen tai tapauksen mukaan vaihtamiseen asiakkaan omissa tiloissa sijaitsevaan tieto- ja viestintätekniseen infrastruktuuriin, on määritettävä selkeästi kirjallisessa sopimuksessa. Datankäsittelypalvelujen tarjoajan on asetettava kyseinen sopimus asiakkaan saataville ennen sopimuksen allekirjoittamista siten, että asiakkaan on mahdollista tallentaa sopimus ja toisintaa se.
2. Rajoittamatta direktiivin (EU) 2019/770 soveltamista, tämän artiklan 1 kohdassa tarkoitetun sopimuksen on sisällettävä vähintään seuraavat seikat:
| a) | lausekkeet, joiden nojalla asiakas voi pyynnöstä vaihtaa eri datankäsittelypalvelujen tarjoajan tarjoamaan datankäsittelypalveluun tai siirtää kaiken siirrettävissä olevan datan, sovellukset ja digitaalisen omaisuuden omissa tiloissaan sijaitsevaan tieto- ja viestintätekniseen infrastruktuuriin ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 30 kalenteripäivän pituisen pakollisen enimmäissiirtymäajan kuluessa, joka alkaa d alakohdassa tarkoitetun enimmäisirtisanomisajan jälkeen ja jonka aikana palvelusopimusta sovelletaan ja datankäsittelypalvelujen tarjoajan on
|
| b) | datankäsittelypalvelujen tarjoajan velvoite tukea asiakkaan irtautumisstrategiaa sopimuksen kohteena olevien palvelujen osalta, myös antamalla kaikki asiaan liittyvät tiedot; |
| c) | lauseke, jossa täsmennetään, että sopimus katsotaan irtisanotuksi ja asiakkaalle ilmoitetaan irtisanomisesta jossakin seuraavista tapauksista:
|
| d) | vaihtoprosessin aloittamista koskeva enimmäisirtisanomisaika, joka saa olla enintään kaksi kuukautta; |
| e) | kattava eritelmä kaikista dataluokista ja digitaalisen omaisuuden luokista, jotka voidaan siirtää vaihtoprosessin aikana, mukaan lukien vähintään kaikki siirrettävissä oleva data; |
| f) | tyhjentävä erittely palveluntarjoajan datankäsittelypalvelun sisäiseen toimintaan liittyvistä tietoluokista, jotka on erotettava tämän kohdan e alakohdan mukaisesta siirrettävissä olevasta datasta, jos on olemassa palveluntarjoajan liikesalaisuuksien paljastumisen riski, edellyttäen että tällaiset erottamiset eivät estä tai viivästytä 23 artiklassa säädettyä vaihtoprosessia; |
| g) | vähintään 30 kalenteripäivän pituinen datan hakemista koskeva vähimmäisaika, joka alkaa asiakkaan ja datankäsittelypalvelujen tarjoajan välillä tämän kohdan a alakohdan ja 4 kohdan mukaisesti sovitun siirtymäajan päätyttyä; |
| h) | lauseke, jolla taataan, että kaikki siirrettävissä oleva data ja digitaalinen omaisuus, jotka asiakas on tuottanut suoraan tai jotka liittyvät suoraan asiakkaaseen, poistetaan kokonaan g alakohdassa säädetyn datan hakuajan päättymisen jälkeen tai kun vaihtoehtoinen sovittu määräaika on päättynyt myöhemmin kuin g alakohdassa tarkoitetun datan hakuajan päättymispäivä, edellyttäen, että vaihtoprosessi on saatettu onnistuneesti päätökseen; |
| i) | vaihtomaksut, joita datankäsittelypalvelujen tarjoajat voivat periä 29 artiklan mukaisesti. |
3. Edellä 1 kohdassa määriteltyyn sopimukseen on sisällyttävä määräyksiä, joiden mukaan asiakas voi ilmoittaa datankäsittelypalvelujen tarjoajalle päätöksestään toteuttaa yksi tai useampi seuraavista toimista 2 kohdan d alakohdassa tarkoitetun enimmäisirtisanomisajan päätyttyä:
| a) | vaihtaminen eri datankäsittelypalvelujen tarjoajaan, jolloin asiakkaan on annettava tarvittavat tiedot kyseisestä palveluntarjoajasta; |
| b) | vaihtaminen asiakkaan omissa tiloissa sijaitsevaan tieto- ja viestintätekniseen infrastruktuuriin; |
| c) | asiakkaan siirrettävissä olevan datan ja digitaalisen omaisuuden poistaminen. |
4. Jos 2 kohdan a alakohdassa määritelty pakollinen enimmäissiirtymäaika ei ole teknisesti mahdollinen, datankäsittelypalvelujen tarjoajan on ilmoitettava asiasta asiakkaalle 14 työpäivän kuluessa vaihtoa koskevan pyynnön tekemisestä ja perusteltava asianmukaisesti, miksi siirtymäaika ei ole teknisesti mahdollinen, sekä ilmoitettava vaihtoehtoinen siirtymäaika, joka saa olla enintään seitsemän kuukautta. Edellä olevan 1 kohdan mukaisesti on varmistettava palvelun jatkuvuus tarvittaessa koko vaihtoehtoisen siirtymäajan aikana.
5. Edellä 1 kohdassa tarkoitettuun sopimukseen on sisällyttävä määräyksiä, jotka antavat asiakkaalle oikeuden pidentää siirtymäaikaa kerran ajaksi, jota asiakas pitää asianmukaisempana omiin tarkoituksiinsa, sanotun kuitenkaan rajoittamatta 4 kohdan soveltamista.
32 artikla
Kolmannen maan viranomaisten pääsy dataan ja datan kansainvälinen siirto
1. Datankäsittelypalvelujen tarjoajien on toteutettava kaikki riittävät tekniset, organisatoriset ja oikeudelliset toimenpiteet, mukaan lukien sopimukset, estääkseen unionissa olevan muun datan kuin henkilötietojen kansainvälisen siirron tai kolmansien maiden viranomaisten pääsyn kyseiseen dataan, jos tällainen siirto tai pääsy olisi ristiriidassa unionin oikeuden tai asianomaisen jäsenvaltion kansallisen lainsäädännön kanssa, sanotun kuitenkaan rajoittamatta 2 tai 3 kohdan soveltamista.
2. Kolmannen maan tuomioistuimen päätös tai tuomio tai kolmannen maan hallintoviranomaisen päätös, jossa vaaditaan datankäsittelypalvelujen tarjoajaa siirtämään unionissa olevaa tämän asetuksen soveltamisalaan kuuluvaa muuta dataa kuin henkilötietoja tai antamaan pääsy tällaiseen dataan, tunnustetaan tai pannaan täytäntöön millä tahansa tavalla vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäistä oikeusapua koskevaan sopimukseen, tai pyynnön esittäneen kolmannen maan ja jäsenvaltion väliseen tällaiseen sopimukseen.
3. Jos 2 kohdassa tarkoitettua kansainvälistä sopimusta ei ole ja jos datankäsittelypalvelujen tarjoaja on sellaisen kolmannen maan tuomioistuimen päätöksen tai tuomion taikka kolmannen maan hallintoviranomaisen päätöksen vastaanottajana, joka koskee tämän asetuksen soveltamisalaan kuuluvan unionissa olevan muun datan kuin henkilötietojen siirtämistä tai niihin pääsyä, ja tällaisen päätöksen noudattaminen saattaisi johtaa siihen, että vastaanottaja rikkoo unionin oikeutta tai asianomaisen jäsenvaltion kansallista lainsäädäntöä, kyseisen kolmannen maan viranomainen saa siirtää tällaista dataa tai saada pääsyn siihen ainoastaan, jos
| a) | kolmannen maan järjestelmä edellyttää, että tällaisen päätöksen tai tuomion perustelut ja oikeasuhteisuus esitetään ja että tällainen päätös tai tuomio on luonteeltaan yksilöity, esimerkiksi siten, että siitä käy riittävällä tavalla ilmi yhteys tiettyihin epäiltyihin henkilöihin tai rikkomuksiin; |
| b) | toimivaltainen kolmannen maan tuomioistuin tutkii vastaanottajan perustellun vastalauseen; sekä |
| c) | toimivaltaisella kolmannen maan tuomioistuimella, joka antaa päätöksen tai tuomion tai joka tarkastelee uudelleen hallintoviranomaisen päätöstä, on kyseisen kolmannen maan lainsäädännön nojalla toimivalta ottaa asianmukaisesti huomioon unionin oikeuden tai asianosaisen jäsenvaltion kansallisen oikeuden mukaisesti suojatun datan toimittajan asiaankuuluvat oikeudelliset edut. |
Päätöksen tai tuomion vastaanottaja voi pyytää asianomaisen kansallisen elimen tai kansainvälisen oikeusavun alalla toimivaltaisen viranomaisen lausuntoa määrittääkseen, täyttyvätkö tämän kohdan ensimmäisessä alakohdassa vahvistetut edellytykset, erityisesti, jos se katsoo, että päätös saattaa koskea liikesalaisuuksia ja muuta kaupallisesti arkaluonteista dataa taikka teollis- ja tekijänoikeuksilla suojattua sisältöä tai että siirto voi johtaa uudelleentunnistamiseen. Asianomainen kansallinen elin tai viranomainen voi kuulla komissiota. Jos vastaanottaja katsoo, että päätös tai tuomio voi vaikuttaa unionin tai sen jäsenvaltioiden kansalliseen turvallisuuteen tai puolustukseen liittyviin etuihin, sen on pyydettävä asiaankuuluvalta kansalliselta elimeltä tai viranomaiselta lausunto sen selvittämiseksi, koskeeko pyydetty data unionin tai sen jäsenvaltioiden kansallista turvallisuutta tai puolustukseen liittyviä etuja. Jos vastaanottaja ei ole saanut vastausta kuukauden kuluessa tai jos tällaisen elimen tai viranomaisten lausunnossa todetaan, etteivät tämän kohdan ensimmäisessä alakohdassa vahvistetut edellytykset täyty, vastaanottaja voi evätä muun datan kuin henkilötietojen siirtoa tai pääsyä tällaiseen dataan koskevan pyynnön kyseisillä perusteilla.
Edellä 42 artiklassa tarkoitettu Euroopan datainnovaatiolautakunta neuvoo ja avustaa komissiota laadittaessa suuntaviivoja sen arvioinnista, täyttyvätkö tämän kohdan ensimmäisessä alakohdassa vahvistetut edellytykset.
4. Jos 2 tai 3 kohdassa vahvistetut edellytykset täyttyvät, datankäsittelypalvelujen tarjoajan on vastauksena pyyntöön toimitettava vähimmäismäärä sallittavaa dataa palveluntarjoajan tai 3 kohdan toisessa alakohdassa tarkoitetun asiaankuuluvan kansallisen elimen tai viranomaisen kyseistä pyyntöä koskevan kohtuullisen tulkinnan perusteella.
5. Datankäsittelypalvelujen tarjoajan on ilmoitettava asiakkaalle kolmannen maan viranomaisen esittämästä pyynnöstä saada pääsy sen dataan ennen kyseisen pyynnön noudattamista, lukuun ottamatta tapauksia, joissa pyyntö palvelee lainvalvontatarkoituksia, ja niin kauan kuin se on tarpeen lainvalvontatoimien tehokkuuden säilyttämiseksi.
VIII LUKU
YHTEENTOIMIVUUS
whereas