keyboard_tab Data Act 2023/2854 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 2 artikla Määritelmät
- 1 18 artikla Datapyyntöjen noudattaminen
- 2 22 artikla Keskinäinen avunanto ja rajatylittävä yhteistyö
- 6 32 artikla Kolmannen maan viranomaisten pääsy dataan ja datan kansainvälinen siirto
- 6 37 artikla Toimivaltaiset viranomaiset ja datakoordinaattorit
- 1 38 artikla Oikeus tehdä valitus
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
YRITYSTEN JA KULUTTAJIEN VÄLINEN SEKÄ YRITYSTEN VÄLINEN DATAN JAKAMINEN
III LUKU
DATAN SAATAVILLE ASETTAMISEEN UNIONIN OIKEUDEN MUKAISESTI VELVOITETTUJEN DATAN HALTIJOIDEN VELVOITTEET
IV LUKU
DATAN SAATAVUUTTA JA KÄYTTÖÄ YRITYSTEN VÄLILLÄ KOSKEVAT KOHTUUTTOMAT SOPIMUSEHDOT
V LUKU
DATAN ASETTAMINEN JULKISEN SEKTORIN ELINTEN, KOMISSION, EUROOPAN KESKUSPANKIN JA UNIONIN ELINTEN SAATAVILLE POIKKEUKSELLISEN TARPEEN PERUSTEELLA
VI LUKU
DATANKÄSITTELYPALVELUJEN VAIHTAMINEN
VII LUKU
LAITON KOLMANNEN MAAN VIRANOMAISTEN PÄÄSY MUUHUN DATAAN KUIN HENKILÖTIETOIHIN JA TÄLLAISEN DATAN KANSAINVÄLINEN SIIRTO
VIII LUKU
YHTEENTOIMIVUUS
IX LUKU
TÄYTÄNTÖÖNPANO JA TÄYTÄNTÖÖNPANON VALVONTA
X LUKU
DIREKTIIVIN 96/9/EY MUKAINEN SUI GENERIS -OIKEUS
XI LUKU
LOPPUSÄÄNNÖKSET
- datan 46
- tämän 37
- asetuksen 37
- joka 37
- unionin 30
- pyynnön 23
- mukaisesti 22
- dataa 22
- että 20
- viranomaisten 17
- euroopan 16
- verkkoon 16
- jäsenvaltion 16
- kuin 15
- saataville 15
- sektorin 14
- kohdan 14
- datankäsittelypalvelujen 14
- maan 13
- viranomaisen 13
- kolmannen 13
- julkisen 12
- kansallisen 11
- kanssa 11
- tuotteen 11
- jotka 11
- mukaan 11
- soveltamisalaan 10
- elimen 10
- lainsäädännön 10
- yhteistyötä 10
- myös 10
- haltija 9
- jos 9
- toimivaltaisten 9
- ilman 9
- nojalla 9
- lukien 9
- oikeuden 9
- siihen 9
- muun 9
- käyttää 9
- toimivaltaisen 8
- unionissa 8
- niiden 8
- artiklan 8
- liitetyn 8
- datankäsittelypalvelun 8
- dataan 8
- elin 8
2 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan
| 1) | ’datalla’ kaikkea toimenpiteiden, tosiseikkojen tai tietojen digitaalista esittämistä sekä kaikkia tällaisten toimenpiteiden, tosiseikkojen tai tietojen koosteita, myös ääni- tai kuvatallenteena tai audiovisuaalisena tallenteena; |
| 2) | ’metadatalla’ datan jäsenneltyä sisällön tai käytön kuvausta, joka helpottaa kyseisen datan hakemista tai käyttämistä; |
| 3) | ’henkilötiedoilla’ asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa määriteltyjä henkilötietoja; |
| 4) | ’muulla datalla kuin henkilötiedoilla’ muuta dataa kuin henkilötietoja; |
| 5) | ’verkkoon liitetyllä tuotteella’ esinettä, joka saa, tuottaa tai kerää käytöstään ja ympäristöstään dataa, joka pystyy välittämään tuotteen dataa sähköisen viestintäpalvelun, fyysisen yhteyden tai laiteyhteyden kautta ja jonka pääasiallinen toiminto ei ole datan tallennus, käsittely tai siirto muun osapuolen kuin käyttäjän puolesta; |
| 6) | ’tuotteeseen liittyvällä palvelulla’ muuta digitaalista palvelua kuin sähköistä viestintäpalvelua, mukaan lukien ohjelmistot, jotka on osto-, vuokraus- tai liisaushetkellä liitetty tuotteeseen siten, että verkkoon liitetty tuote ei pystyisi ilman sitä suorittamaan jotain sen toiminnoista, tai jotka valmistaja tai kolmas osapuoli myöhemmin liittää tuotteeseen lisätäkseen, päivittääkseen tai mukauttaakseen verkkoon liitetyn tuotteen toimintoja; |
| 7) | ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan dataan tai datajoukkoihin joko automaattista datankäsittelyä käyttäen tai manuaalisesti, kuten datan keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, datan luovuttamista siirtämällä, levittämällä tai asettamalla se muutoin saataville, datan yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista; |
| 8) | ’datankäsittelypalvelulla’ asiakkaalle tarjottavaa digitaalista palvelua, joka mahdollistaa kaikkialla käytössä olevaan ja tarveperusteiseen verkkokäyttöön jaetun joukon konfiguroitavissa olevia, skaalattavia ja joustavia, luonteeltaan keskitettyjä, hajautettuja tai pitkälle hajautettuja tietoteknisiä resursseja niin, että se voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen; |
| 9) | ’samalla palvelutyypillä’ datankäsittelypalvelujen kokonaisuutta, jossa palveluilla on sama ensisijainen tavoite, sama datankäsittelypalvelujen perusmalli ja samat päätoiminnot; |
| 10) | ’datan välityspalvelulla’ asetuksen (EU) 2022/868 2 artiklan 11 alakohdassa määriteltyä datan välityspalvelua; |
| 11) | ’rekisteröidyllä’ asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa tarkoitettua rekisteröityä; |
| 12) | ’käyttäjällä’ oikeushenkilöä tai luonnollista henkilöä, joka omistaa verkkoon liitetyn tuotteen tai jolle kyseisen verkkoon liitetyn tuotteen tilapäinen käyttöoikeus on sopimuksella siirretty taikka joka vastaanottaa tuotteeseen liittyviä palveluja; |
| 13) | ’datan haltijalla’ luonnollista henkilöä tai oikeushenkilöä, jolla on tämän asetuksen, sovellettavan unionin oikeuden tai unionin oikeuden mukaisesti annetun kansallisen lainsäädännön mukaisesti oikeus tai velvollisuus käyttää ja asettaa saataville dataa, myös tuotteen dataa tai siihen liittyvän palvelun dataa, jonka datan haltija on hankkinut tai tuottanut tuotteeseen liittyvän palvelun tarjoamisen aikana, kun tästä on sovittu sopimuksella; |
| 14) | ’datan vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, joka toimii omaan elinkeino-, liike-, käsiteollisuus- tai ammattitoimintaansa liittyvässä tarkoituksessa ja joka ei ole verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käyttäjä ja jonka saataville datan haltija asettaa dataa, myös kolmatta osapuolta käyttäjän datan haltijalle esittämän pyynnön perusteella tai unionin oikeuden mukaisesti annetun kansallisen lainsäädännön mukaisen oikeudellisen velvoitteen mukaisesti; |
| 15) | ’tuotteen datalla’ verkkoon liitetyn tuotteen käytön tuloksena tuotettua dataa, jonka valmistaja on suunnitellut olevan käyttäjän, datan haltijan tai kolmannen osapuolen, tarvittaessa myös valmistajan, saatavilla tuotteesta sähköisen viestintäpalvelun, fyysisen yhteyden tai laiteyhteyden kautta; |
| 16) | ’tuotteeseen liittyvän palvelun datalla’ dataa, joka edustaa verkkoon liitettyyn tuotteeseen liittyvien käyttäjän toimien tai tapahtumien digitointia, jonka käyttäjä on tallentanut tarkoituksella tai joka on tallentunut käyttäjän toiminnan sivutuotteena ja joka tuotetaan palveluntarjoajan tarjotessa tuotteeseen liittyvää palvelua; |
| 17) | ’helposti saatavilla olevalla datalla’ tuotteen dataa ja siihen liittyvän palvelun dataa, jonka datan haltija laillisesti saa tai voi saada verkkoon liitetystä tuotteesta tai siihen liittyvästä palvelusta ilman kohtuutonta vaivaa ja jota ei voida toteuttaa yksinkertaisin toimenpitein; |
| 18) | ’liikesalaisuudella’ direktiivin (EU) 2016/943 2 artiklan 1 alakohdassa määriteltyä liikesalaisuutta; |
| 19) | ’liikesalaisuuden haltijalla’ direktiivin (EU) 2016/943 2 artiklan 2 alakohdassa määriteltyä liikesalaisuuden haltijaa; |
| 20) | ’profiloinnilla’, asetuksen (EU) 2016/679 4 artiklan 4 alakohdassa määriteltyä profilointia; |
| 21) | ’asettamisella saataville markkinoilla’ verkkoon liitetyn tuotteen toimittamista liiketoiminnan yhteydessä unionin markkinoille jakelua, kulutusta tai käyttöä varten joko maksua vastaan tai maksutta; |
| 22) | ’markkinoille saattamisella’ verkkoon liitetyn tuotteen asettamista ensimmäistä kertaa saataville unionin markkinoilla; |
| 23) | ’kuluttajalla’ luonnollista henkilöä, joka toimii sellaisessa tarkoituksessa, joka ei liity hänen elinkeino- tai ammattitoimintaansa; |
| 24) | ’yrityksellä’ luonnollista henkilöä tai oikeushenkilöä, joka tämän asetuksen soveltamisalaan kuuluvien sopimusten ja käytäntöjen yhteydessä toimii omaan elinkeino-, liike-, käsiteollisuus- tai ammattitoimintaansa liittyvässä tarkoituksessa; |
| 25) | ’pienellä yrityksellä’ suosituksen 2003/361/EY liitteessä olevan 2 artiklan 2 kohdassa määriteltyä pientä yritystä; |
| 26) | ’mikroyrityksellä’ suosituksen 2003/361/EY liitteessä olevan 2 artiklan 3 kohdassa määriteltyä mikroyritystä; |
| 27) | ’unionin elimillä’ Euroopan unionista tehdyn sopimuksen, Euroopan unionin toiminnasta tehdyn sopimuksen tai Euroopan atomienergiayhteisön perustamissopimuksen nojalla perustettuja unionin elimiä ja laitoksia; |
| 28) | ’julkisen sektorin elimellä’ jäsenvaltioiden kansallisia viranomaisia, alue- tai paikallisviranomaisia ja jäsenvaltioiden julkisoikeudellisia laitoksia tai yhden tai useamman tällaisen viranomaisen tai laitoksen muodostamia yhteenliittymiä; |
| 29) | ’yleisellä hätätilalla’ poikkeustilannetta, joka on ajallisesti rajattu, kuten kansanterveysuhka, luonnonkatastrofeista johtuva hätätilanne, ihmisen aiheuttama suuri hätätila, mukaan lukien vakava kyberturvallisuuspoikkeama, joka vaikuttaa kielteisesti unionin tai jäsenvaltion tai sen osan väestöön ja johon liittyy riski vakavista ja pitkäaikaisista vaikutuksista elinoloihin tai taloudelliseen vakauteen tai rahoitusvakauteen taikka taloudellisten resurssien merkittävästä ja välittömästä heikkenemisestä unionissa tai asianomaisessa jäsenvaltiossa ja joka määritetään ja julistetaan virallisesti unionin oikeuden tai kansallisen lainsäädännön mukaisten asiaankuuluvien menettelyjen mukaisesti; |
| 30) | ’asiakkaalla’ luonnollista henkilöä tai oikeushenkilöä, joka on solminut sopimussuhteen datankäsittelypalvelujen tarjoajan kanssa tarkoituksenaan käyttää yhtä tai useampaa datankäsittelypalvelua; |
| 31) | ’virtuaaliavustajalla’ ohjelmistoa, joka voi käsitellä pyyntöjä, tehtäviä tai kysymyksiä, mukaan lukien äänisignaalit, kirjoitus, eleet tai liikkeet, ja joka tarjoaa näiden pyyntöjen, tehtävien tai kysymysten perusteella pääsyn muihin palveluihin tai ohjaa verkkoon liitettyjen tuotteiden toimintoja; |
| 32) | ’digitaalisella omaisuudella’ digitaalisessa muodossa olevia elementtejä, mukaan lukien sovellukset, joita asiakkaalla on oikeus käyttää, riippumatta sopimussuhteesta siihen datankäsittelypalveluun, jonka asiakas aikoo vaihtaa toiseen; |
| 33) | ’omissa tiloissa sijaitsevalla tieto- ja viestintäteknisellä infrastruktuurilla’ tieto- ja viestintäteknistä infrastruktuuria ja tietoteknisiä resursseja, jotka asiakas omistaa, vuokraa tai liisaa, jotka sijaitsevat asiakkaan itsensä omassa datakeskuksessa ja joita asiakas tai kolmas osapuoli käyttää; |
| 34) | ’vaihtamisella’ prosessia, johon osallistuu lähteenä oleva datankäsittelypalvelujen tarjoaja, datankäsittelypalvelun asiakas ja kohteena oleva datankäsittelypalvelujen tarjoaja ja jossa datankäsittelypalvelun asiakas vaihtaa yhden datankäsittelypalvelun käytöstä toisen saman palvelutyypin datankäsittelypalvelun tai eri datankäsittelypalvelujen tarjoajan tarjoaman muun palvelun taikka omissa tiloissa sijaitsevan tieto- ja viestintäteknisen infrastruktuurin käyttöön, mukaan lukien datan poimiminen, muuntaminen ja lataaminen; |
| 35) | ’datan poistomaksuilla’ datansiirtomaksuja, jotka veloitetaan datankäsittelypalvelujen tarjoajan asiakkailta niiden datan poimimisesta verkon kautta datankäsittelypalvelujen tarjoajan tieto- ja viestintäteknisestä infrastruktuurista eri palveluntarjoajan järjestelmiin tai asiakkaan omissa tiloissa sijaitsevaan tieto- ja viestintäteknistä infrastruktuuriin; |
| 36) | ’vaihtomaksuilla’ muita kuin tavanomaisia palvelumaksuja tai sopimuksen ennenaikaisesta päättämisestä aiheutuvia seuraamusmaksuja, joita datankäsittelypalvelujen tarjoaja perii asiakkaalta toimista, jotka tässä asetuksessa on säädetty eri palveluntarjoajan järjestelmään tai omissa tiloissa sijaitsevaan tieto- ja viestintätekniseen infrastruktuuriin vaihtamiseen kuuluviksi, mukaan lukien datan poistomaksut; |
| 37) | ’toiminnallisella vastaavuudella’ sitä, että asiakkaan siirrettävissä olevan datan ja digitaalisen omaisuuden perusteella voidaan palauttaa toiminnallisuuden vähimmäistaso uuden samantyyppisen datankäsittelypalvelun ympäristössä vaihtoprosessin jälkeen, kun kohteena oleva datankäsittelypalvelu tuottaa olennaisilta osin vertailukelpoisen tuloksen reaktiona samaan syötteeseen asiakkaalle sopimuksen nojalla toimitettujen yhteisten ominaisuuksien osalta; |
| 38) | ’siirrettävissä olevalla datalla’ 23–31 artiklaa ja 35 artiklaa sovellettaessa syöte- ja tuotosdataa, mukaan lukien metadata, joka on suoraan tai välillisesti tuotettu tai yhteistuotettu asiakkaan datankäsittelypalvelun käytöllä, lukuun ottamatta datankäsittelypalvelun tarjoajien tai kolmansien osapuolten omaisuutta tai teollis- ja tekijänoikeuksilla suojattua taikka liikesalaisuutena pidettävää dataa; |
| 39) | ’älysopimuksella’ tietokoneohjelmaa, jota käytetään sopimuksen tai sen osan automaattiseen toteuttamiseen sähköisten tietueiden sarjan avulla ja siten, että niiden eheys ja niiden kronologisen järjestyksen oikeellisuus varmistetaan; |
| 40) | ’yhteentoimivuudella’ kahden tai useamman data-avaruuden tai viestintäverkon, järjestelmän, verkkoon liitetyn tuotteen, sovelluksen, datankäsittelypalvelun tai komponentin kykyä vaihtaa ja käyttää dataa toimintojensa suorittamiseksi; |
| 41) | ’yhteentoimivuutta koskevilla avoimilla eritelmillä’ tieto- ja viestintätekniikan teknisiä eritelmiä, jotka ovat käyttöominaisuuksiin painottuvia ja joiden tavoitteena on datankäsittelypalvelujen välinen yhteentoimivuus; |
| 42) | ’yhteisillä eritelmillä’ sellaista muuta asiakirjaa kuin standardia, joka sisältää teknisiä ratkaisuja, joiden avulla voidaan täyttää tietyt tässä asetuksessa vahvistetut vaatimukset ja velvoitteet; |
| 43) | ’yhdenmukaistetulla standardilla’ asetuksen (EU) N:o 1025/2012 2 artiklan 1 kohdan c alakohdassa määriteltyä yhdenmukaistettua standardia. |
II LUKU
YRITYSTEN JA KULUTTAJIEN VÄLINEN SEKÄ YRITYSTEN VÄLINEN DATAN JAKAMINEN
18 artikla
Datapyyntöjen noudattaminen
1. Datan haltijan, joka saa tämän luvun mukaisesti datan saataville asettamista koskevan pyynnön, on asetettava data pyynnön esittäneen julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen saataville ilman aiheetonta viivytystä ottaen huomioon tarvittavat tekniset, organisatoriset ja oikeudelliset toimenpiteet.
2. Rajoittamatta unionin oikeudessa tai kansallisessa lainsäädännössä määriteltyjä datan saatavuutta koskevia erityistarpeita datan haltija voi evätä pyynnön asettaa data saataville tai pyytää sen muuttamista tämän luvun mukaisesti ilman aiheetonta viivytystä ja joka tapauksessa viimeistään viiden työpäivän kuluessa siitä, kun se on vastaanottanut yleiseen hätätilaan reagointia varten tarvittavaa dataa koskevan pyynnön ja ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 30 työpäivän kuluessa pyynnön vastaanottamisesta muissa poikkeuksellisen tarpeen tapauksissa, minkä tahansa seuraavan syyn perusteella:
| a) | datan haltijalla ei ole määräysvaltaa pyydettyyn dataan; |
| b) | toinen julkisen sektorin elin tai komissio, Euroopan keskuspankki tai unionin elin on aiemmin esittänyt samanlaisen pyynnön samaa tarkoitusta varten, eikä datan haltijalle ole ilmoitettu datan poistamisesta 19 artiklan 1 kohdan c alakohdan nojalla; |
| c) | pyyntö ei täytä 17 artiklan 1 ja 2 kohdassa säädettyjä edellytyksiä. |
3. Jos datan haltija päättää evätä pyynnön tai pyytää sen muuttamista 2 kohdan b alakohdan mukaisesti, sen on nimettävä se julkisen sektorin elin taikka komissio, Euroopan keskuspankki tai unionin elin, joka on aiemmin esittänyt pyynnön samaa tarkoitusta varten.
4. Jos pyydetty datajoukko sisältää henkilötietoja, datan haltijan on anonymisoitava data asianmukaisesti, paitsi jos datan asettamista julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen saataville koskevan pyynnön noudattaminen edellyttää henkilötietojen luovuttamista. Tällaisissa tapauksissa datan haltijan on pseudonymisoitava data.
5. Jos julkisen sektorin elin, komissio, Euroopan keskuspankki tai unionin elin haluaa riitauttaa datan haltijan kieltäytymisen toimittamasta pyydettyä dataa tai jos datan haltija haluaa riitauttaa pyynnön eikä asiaa voida ratkaista muuttamalla pyyntöä asianmukaisesti, asia on saatettava sen jäsenvaltion 37 artiklan mukaisesti nimetyn toimivaltaisen viranomaisen käsiteltäväksi, johon datan haltija on sijoittautunut.
22 artikla
Keskinäinen avunanto ja rajatylittävä yhteistyö
1. Julkisen sektorin elinten, komission, Euroopan keskuspankin ja unionin elinten on tehtävä yhteistyötä ja avustettava toisiaan tämän luvun johdonmukaisessa täytäntöönpanossa.
2. Dataa, joka vaihdetaan 1 kohdan nojalla pyydetyn ja annetun avun yhteydessä, ei saa käyttää tavalla, joka on ristiriidassa sen tarkoituksen kanssa, jota varten kyseistä dataa on pyydetty.
3. Jos julkisen sektorin elin aikoo pyytää dataa toiseen jäsenvaltioon sijoittautuneelta datan haltijalta, sen on ensin ilmoitettava tästä aikomuksesta 37 artiklan mukaisesti kyseisessä jäsenvaltiossa nimetylle toimivaltaiselle viranomaiselle. Tätä vaatimusta sovelletaan myös komission, Euroopan keskuspankin ja unionin elinten esittämiin pyyntöihin. Sen jäsenvaltion toimivaltaisen viranomaisen, johon datan haltija on sijoittautunut, on tutkittava pyyntö.
4. Kun asianomainen toimivaltainen viranomainen on tutkinut pyynnön 17 artiklassa säädettyjen vaatimusten perusteella, sen on ilman aiheetonta viivytystä toteutettava jokin seuraavista toimista:
| a) | toimitettava pyyntö datan haltijalle ja tarvittaessa ilmoitettava pyynnön esittäneelle julkisen sektorin elimelle, komissiolle, Euroopan keskuspankille tai unionin elimelle mahdollisesta tarpeesta tehdä yhteistyötä sen jäsenvaltion julkisen sektorin elinten kanssa, johon datan haltija on sijoittautunut, jotta voidaan vähentää datan haltijalle pyynnön noudattamisesta aiheutuvaa hallinnollista rasitetta; |
| b) | hylättävä dataa pyytävän julkisen sektorin elimen pyynnön asianmukaisesti perustelluista syistä tämän luvun mukaisesti. |
Pyynnön esittäneen julkisen sektorin elimen, komission, Euroopan keskuspankin ja unionin elimen on otettava huomioon asianomaisen toimivaltaisen viranomaisen ensimmäisen alakohdan mukaisesti antamat neuvot ja perustelut, ennen kuin se ryhtyy tarvittaessa muihin toimiin, kuten pyynnön toimittamiseen uudelleen.
VI LUKU
DATANKÄSITTELYPALVELUJEN VAIHTAMINEN
32 artikla
Kolmannen maan viranomaisten pääsy dataan ja datan kansainvälinen siirto
1. Datankäsittelypalvelujen tarjoajien on toteutettava kaikki riittävät tekniset, organisatoriset ja oikeudelliset toimenpiteet, mukaan lukien sopimukset, estääkseen unionissa olevan muun datan kuin henkilötietojen kansainvälisen siirron tai kolmansien maiden viranomaisten pääsyn kyseiseen dataan, jos tällainen siirto tai pääsy olisi ristiriidassa unionin oikeuden tai asianomaisen jäsenvaltion kansallisen lainsäädännön kanssa, sanotun kuitenkaan rajoittamatta 2 tai 3 kohdan soveltamista.
2. Kolmannen maan tuomioistuimen päätös tai tuomio tai kolmannen maan hallintoviranomaisen päätös, jossa vaaditaan datankäsittelypalvelujen tarjoajaa siirtämään unionissa olevaa tämän asetuksen soveltamisalaan kuuluvaa muuta dataa kuin henkilötietoja tai antamaan pääsy tällaiseen dataan, tunnustetaan tai pannaan täytäntöön millä tahansa tavalla vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäistä oikeusapua koskevaan sopimukseen, tai pyynnön esittäneen kolmannen maan ja jäsenvaltion väliseen tällaiseen sopimukseen.
3. Jos 2 kohdassa tarkoitettua kansainvälistä sopimusta ei ole ja jos datankäsittelypalvelujen tarjoaja on sellaisen kolmannen maan tuomioistuimen päätöksen tai tuomion taikka kolmannen maan hallintoviranomaisen päätöksen vastaanottajana, joka koskee tämän asetuksen soveltamisalaan kuuluvan unionissa olevan muun datan kuin henkilötietojen siirtämistä tai niihin pääsyä, ja tällaisen päätöksen noudattaminen saattaisi johtaa siihen, että vastaanottaja rikkoo unionin oikeutta tai asianomaisen jäsenvaltion kansallista lainsäädäntöä, kyseisen kolmannen maan viranomainen saa siirtää tällaista dataa tai saada pääsyn siihen ainoastaan, jos
| a) | kolmannen maan järjestelmä edellyttää, että tällaisen päätöksen tai tuomion perustelut ja oikeasuhteisuus esitetään ja että tällainen päätös tai tuomio on luonteeltaan yksilöity, esimerkiksi siten, että siitä käy riittävällä tavalla ilmi yhteys tiettyihin epäiltyihin henkilöihin tai rikkomuksiin; |
| b) | toimivaltainen kolmannen maan tuomioistuin tutkii vastaanottajan perustellun vastalauseen; sekä |
| c) | toimivaltaisella kolmannen maan tuomioistuimella, joka antaa päätöksen tai tuomion tai joka tarkastelee uudelleen hallintoviranomaisen päätöstä, on kyseisen kolmannen maan lainsäädännön nojalla toimivalta ottaa asianmukaisesti huomioon unionin oikeuden tai asianosaisen jäsenvaltion kansallisen oikeuden mukaisesti suojatun datan toimittajan asiaankuuluvat oikeudelliset edut. |
Päätöksen tai tuomion vastaanottaja voi pyytää asianomaisen kansallisen elimen tai kansainvälisen oikeusavun alalla toimivaltaisen viranomaisen lausuntoa määrittääkseen, täyttyvätkö tämän kohdan ensimmäisessä alakohdassa vahvistetut edellytykset, erityisesti, jos se katsoo, että päätös saattaa koskea liikesalaisuuksia ja muuta kaupallisesti arkaluonteista dataa taikka teollis- ja tekijänoikeuksilla suojattua sisältöä tai että siirto voi johtaa uudelleentunnistamiseen. Asianomainen kansallinen elin tai viranomainen voi kuulla komissiota. Jos vastaanottaja katsoo, että päätös tai tuomio voi vaikuttaa unionin tai sen jäsenvaltioiden kansalliseen turvallisuuteen tai puolustukseen liittyviin etuihin, sen on pyydettävä asiaankuuluvalta kansalliselta elimeltä tai viranomaiselta lausunto sen selvittämiseksi, koskeeko pyydetty data unionin tai sen jäsenvaltioiden kansallista turvallisuutta tai puolustukseen liittyviä etuja. Jos vastaanottaja ei ole saanut vastausta kuukauden kuluessa tai jos tällaisen elimen tai viranomaisten lausunnossa todetaan, etteivät tämän kohdan ensimmäisessä alakohdassa vahvistetut edellytykset täyty, vastaanottaja voi evätä muun datan kuin henkilötietojen siirtoa tai pääsyä tällaiseen dataan koskevan pyynnön kyseisillä perusteilla.
Edellä 42 artiklassa tarkoitettu Euroopan datainnovaatiolautakunta neuvoo ja avustaa komissiota laadittaessa suuntaviivoja sen arvioinnista, täyttyvätkö tämän kohdan ensimmäisessä alakohdassa vahvistetut edellytykset.
4. Jos 2 tai 3 kohdassa vahvistetut edellytykset täyttyvät, datankäsittelypalvelujen tarjoajan on vastauksena pyyntöön toimitettava vähimmäismäärä sallittavaa dataa palveluntarjoajan tai 3 kohdan toisessa alakohdassa tarkoitetun asiaankuuluvan kansallisen elimen tai viranomaisen kyseistä pyyntöä koskevan kohtuullisen tulkinnan perusteella.
5. Datankäsittelypalvelujen tarjoajan on ilmoitettava asiakkaalle kolmannen maan viranomaisen esittämästä pyynnöstä saada pääsy sen dataan ennen kyseisen pyynnön noudattamista, lukuun ottamatta tapauksia, joissa pyyntö palvelee lainvalvontatarkoituksia, ja niin kauan kuin se on tarpeen lainvalvontatoimien tehokkuuden säilyttämiseksi.
VIII LUKU
YHTEENTOIMIVUUS
37 artikla
Toimivaltaiset viranomaiset ja datakoordinaattorit
1. Kunkin jäsenvaltion on nimettävä yksi tai useampi toimivaltainen viranomainen, joka on vastuussa tämän asetuksen soveltamisesta ja sen täytäntöönpanon valvonnasta, jäljempänä ’toimivaltaiset viranomaiset’. Jäsenvaltiot voivat perustaa yhden tai useamman uuden viranomaisen tai käyttää olemassa olevia viranomaisia.
2. Jos jäsenvaltio nimeää useamman kuin yhden toimivaltaisen viranomaisen, sen on nimettävä niiden joukosta datakoordinaattori helpottamaan toimivaltaisten viranomaisten yhteistyötä ja avustamaan tämän asetuksen soveltamisalaan kuuluvia yhteisöjä kaikissa sen soveltamiseen ja täytäntöönpanon valvontaan liittyvissä asioissa. Toimivaltaisten viranomaisten on niille tämän artiklan 5 kohdan nojalla annettuja tehtäviä ja valtuuksia käyttäessään tehtävä yhteistyötä keskenään.
3. Asetuksen (EU) 2016/679 soveltamisen valvonnasta vastaavat valvontaviranomaiset ovat vastuussa tämän asetuksen soveltamisen valvonnasta henkilötietojen suojan osalta. Asetuksen (EU) 2016/679 VI ja VII lukua sovelletaan soveltuvin osin.
Euroopan tietosuojavaltuutettu on vastuussa tämän asetuksen soveltamisen valvonnasta komission, Euroopan keskuspankin tai unionin elinten osalta. Asetuksen (EU) 2018/1725 62 artiklaa sovelletaan tarvittaessa soveltuvin osin.
Henkilötietojen käsittelyssä on käytettävä tässä kohdassa tarkoitettujen valvontaviranomaisten tehtäviä ja valtuuksia.
4. Rajoittamatta tämän artiklan 1 kohdan soveltamista
| a) | alakohtaisten viranomaisten toimivalta on otettava huomioon tämän asetuksen soveltamiseen liittyvissä alakohtaiseen dataan pääsyä ja sen käyttöä koskevissa erityiskysymyksissä; |
| b) | tämän asetuksen 23–31 artiklan sekä 34 ja 35 artiklan soveltamisesta ja täytäntöönpanon valvonnasta vastaavalla toimivaltaisella viranomaisella on oltava kokemusta data-alalta ja sähköisten viestintäpalvelujen alalta. |
5. Jäsenvaltioiden on varmistettava, että tämän artiklan 1 kohdan mukaisesti nimettyjen toimivaltaisten viranomaisten tehtävät ja valtuudet määritellään selkeästi ja niiden mukaan tällaiset viranomaiset muun muassa:
| a) | edistävät tämän asetuksen soveltamisalaan kuuluvien käyttäjien ja yhteisöjen datalukutaitoa ja tietoisuutta tämän asetuksen mukaisista oikeuksista ja velvoitteista; |
| b) | käsittelevät valituksia, jotka koskevat tämän asetuksen väitettyä rikkomista, myös liikesalaisuuksiin liittyviltä osin, ja tutkivat siinä määrin, kuin se on asianmukaista, valitusten kohdetta ja ilmoittavat säännöllisesti ja tarvittaessa kansallisen lainsäädännön mukaisesti valituksen tekijöille tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen toimivaltaisen viranomaisen kanssa; |
| c) | suorittavat tutkimuksia tämän asetuksen soveltamista koskevista asioista, myös toiselta toimivaltaiselta tai muulta viranomaiselta saatujen tietojen perusteella; |
| d) | määräävät tehokkaita, oikeasuhteisia ja varoittavia taloudellisia seuraamuksia, joihin voi sisältyä uhkasakkoja ja takautuvia uhkasakkoja, tai panevat vireille oikeudellisia menettelyjä sakkojen määräämiseksi; |
| e) | seuraavat datan saataville asettamisen ja käytön kannalta teknologista ja merkityksellistä kaupallista kehitystä; |
| f) | tekevät yhteistyötä muiden jäsenvaltioiden toimivaltaisten viranomaisten ja tarvittaessa komission tai Euroopan datainnovaatiolautakunnan kanssa tämän asetuksen johdonmukaisen ja tehokkaan soveltamisen varmistamiseksi, mukaan lukien kaikkien asiaankuuluvien tietojen vaihtaminen sähköisesti ja ilman aiheetonta viivytystä, myös tämän artiklan 10 kohdan osalta; |
| g) | tekevät yhteistyötä muiden unionin tai kansallisten säädösten täytäntöönpanosta vastaavien asiaankuuluvien toimivaltaisten viranomaisten, myös data-alalla ja sähköisten viestintäpalvelujen alalla toimivaltaisten viranomaisten, asetuksen (EU) 2016/679 soveltamisen valvonnasta vastaavan valvontaviranomaisen tai alakohtaisten viranomaisten kanssa sen varmistamiseksi, että tämä asetus pannaan täytäntöön johdonmukaisesti muun unionin ja lainsäädännön ja kansallisen oikeuden kanssa; |
| h) | tekevät yhteistyötä kaikkien asiaankuuluvien toimivaltaisten viranomaisten kanssa, jotta varmistetaan, että 23–31 artiklan sekä 34 ja 35 artiklan velvollisuuksien täytäntöönpanoa valvotaan johdonmukaisesti muun unionin lainsäädännön ja datankäsittelypalvelujen tarjoajiin sovellettavan itsesääntelyn kanssa; |
| i) | varmistavat, että vaihtomaksut poistetaan 29 artiklan mukaisesti; |
| j) | tutkivat V luvun nojalla esitetyt datapyynnöt. |
Jos datakoordinaattori on nimetty, sen on helpotettava ensimmäisen alakohdan f, g ja h alakohdassa tarkoitettua yhteistyötä ja avustettava toimivaltaisia viranomaisia näiden pyynnöstä.
6. Jos tällainen toimivaltainen viranomainen on nimetty, datakoordinaattorin on
| a) | toimittava keskitettynä yhteyspisteenä kaikissa tämän asetuksen soveltamiseen liittyvissä kysymyksissä; |
| b) | varmistettava niiden datan saataville asettamista koskevien pyyntöjen julkinen saatavuus verkossa, joita julkisen sektorin elimet esittävät poikkeuksellisen tarpeen perusteella V luvun mukaisesti, ja edistettävä vapaaehtoisia datan jakamista koskevia sopimuksia julkisen sektorin elinten ja datan haltijoiden välillä; |
| c) | ilmoitettava komissiolle vuosittain 4 artiklan 2 ja 8 kohdan ja 5 artiklan 11 kohdan mukaisesti ilmoitetuista epäämisistä. |
7. Jäsenvaltioiden on ilmoitettava komissiolle toimivaltaisten viranomaisten nimet ja niille kuuluvat tehtävät ja valtuudet sekä tapauksen mukaan datakoordinaattorin nimi. Komissio pitää yllä julkista rekisteriä näistä viranomaisista.
8. Toimivaltaisten viranomaisten on pysyttävä puolueettomina ja vapaina kaikesta suorasta tai välillisestä ulkopuolisesta vaikuttamisesta hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eivätkä ne saa pyytää eivätkä ottaa yksittäisiä tapauksia varten ohjeita miltään muulta viranomaiselta tai yksityiseltä osapuolelta.
9. Jäsenvaltioiden on varmistettava, että toimivaltaisille viranomaisille osoitetaan riittävät henkilöstö- ja tekniset resurssit ja asiaankuuluva asiantuntemus, jotta ne voivat hoitaa tehokkaasti tämän asetuksen mukaiset tehtävänsä.
10. Tämän asetuksen soveltamisalaan kuuluvat yhteisöt kuuluvat sen jäsenvaltion toimivaltaan, johon yhteisö on sijoittautunut. Jos yhteisö on sijoittautunut useampaan kuin yhteen jäsenvaltioon, sen on katsottava kuuluvan sen jäsenvaltion toimivaltaan, jossa sen päätoimipaikka sijaitsee eli jossa sillä on kotipaikka tai sääntömääräinen kotipaikka, josta pääasialliset taloudelliset toiminnot ja operatiivinen valvonta tapahtuvat.
11. Tämän asetuksen soveltamisalaan kuuluvan yhteisön, joka asettaa verkkoon liitettyjä tuotteita saataville tai tarjoaa palveluja unionissa ja joka ei ole sijoittautunut unioniin, on nimettävä laillinen edustaja johonkin jäsenvaltioon.
12. Tämän asetuksen noudattamisen varmistamiseksi tämän asetuksen soveltamisalaan kuuluvan yhteisön, joka asettaa verkkoon liitettyjä tuotteita saataville tai tarjoaa palveluja unionissa, on valtuutettava laillinen edustaja, joka vastaa kyseisen yhteisön lisäksi tai sen sijasta yhteyksistä toimivaltaisiin viranomaisiin kaikissa kyseiseen yhteisöön liittyvissä kysymyksissä. Kyseisen laillisen edustajan on tehtävä yhteistyötä toimivaltaisten viranomaisten kanssa ja osoitettava niille pyynnöstä kattavasti tämän asetuksen soveltamisalaan kuuluvan, verkkoon liitettyjä tuotteita saataville asettavan tai palveluja unionissa tarjoavan yhteisön toteuttamat toimet ja soveltamat säännöt tämän asetuksen noudattamisen varmistamiseksi.
13. Tämän asetuksen soveltamisalaan kuuluvan yhteisön, joka asettaa verkkoon liitettyjä tuotteita saataville tai tarjoaa palveluja unionissa, on katsottava kuuluvan sen jäsenvaltion toimivaltaan, jossa sen laillinen edustaja sijaitsee. Sillä, että tällainen yhteisö on nimennyt laillisen edustajan, ei rajoiteta tällaisen yhteisön vastuuta eikä mahdollisia oikeudellisia toimia, joita voidaan panna vireille sitä vastaan. Siihen saakka, kunnes yhteisö nimeää laillisen edustajan tämän artiklan mukaisesti, sen on tarvittaessa kuuluttava kaikkien jäsenvaltioiden toimivaltaan tämän asetuksen soveltamisen ja täytäntöönpanon varmistamiseksi. Mikä tahansa toimivaltainen viranomainen voi käyttää toimivaltaansa muun muassa määräämällä tehokkaita, oikeasuhteisia ja varoittavia seuraamuksia edellyttäen, että yhteisö ei kuulu tämän asetuksen nojalla toisen toimivaltaisen viranomaisen täytäntöönpanomenettelyn alaisuuteen samojen asioiden osalta.
14. Toimivaltaisilla viranomaisilla on oltava valtuudet pyytää käyttäjiltä, datan haltijoilta tai datan vastaanottajilta tai niiden laillisilta edustajilta, jotka kuuluvat niiden jäsenvaltion toimivaltaan, kaikki tiedot, jotka ovat tarpeen tämän asetuksen noudattamisen todentamiseksi. Tietopyynnön on oltava oikeassa suhteessa lähtökohtaisten tehtävien suorittamiseen nähden, ja se on perusteltava.
15. Jos yhden jäsenvaltion toimivaltainen viranomainen pyytää apua tai täytäntöönpanotoimenpiteitä toisen jäsenvaltion toimivaltaiselta viranomaiselta, sen on esitettävä perusteltu pyyntö. Toimivaltaisen viranomaisen on tällaisen pyynnön saatuaan annettava ilman aiheetonta viivytystä vastaus, jossa esitetään yksityiskohtaisesti toteutetut tai suunnitellut toimet.
16. Toimivaltaisten viranomaisten on kunnioitettava luottamuksellisuutta ja ammatti- ja liikesalaisuuksien suojaa koskevia periaatteita sekä turvattava henkilötiedot unionin oikeuden tai kansallisen lainsäädännön mukaisesti. Tietoja, jotka vaihdetaan avunantoa koskevan pyynnön yhteydessä ja toimitetaan tämän artiklan nojalla, saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.
38 artikla
Oikeus tehdä valitus
1. Luonnollisilla henkilöillä ja oikeushenkilöillä on oikeus tehdä valitus yksin tai tarvittaessa yhteisesti sen jäsenvaltion asianomaiselle toimivaltaiselle viranomaiselle, jossa heidän vakinainen asuinpaikkansa tai työpaikkansa taikka sijoittautumispaikkansa sijaitsee, jos he katsovat, että heidän tähän asetukseen perustuvia oikeuksiaan on loukattu, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja. Datakoordinaattorin on pyynnöstä annettava luonnollisille henkilöille ja oikeushenkilöille kaikki tarvittavat tiedot, jotta nämä voivat tehdä valituksensa asianomaiselle toimivaltaiselle viranomaiselle.
2. Toimivaltaisen viranomaisen, jolle valitus on jätetty, on ilmoitettava kansallisen lainsäädännön mukaisesti valituksen tekijälle valituksen käsittelyn etenemisestä ja siitä tehdystä päätöksestä.
3. Toimivaltaisten viranomaisten on tehtävä yhteistyötä valitusten käsittelemiseksi ja ratkaisemiseksi tehokkaasti ja oikea-aikaisesti, myös vaihtamalla kaikki asiaankuuluvat tiedot sähköisesti ja ilman aiheetonta viivytystä. Tämä yhteistyö ei vaikuta erityisiin yhteistyömekanismeihin, joista säädetään asetuksen (EU) 2016/679 VI ja VII luvussa ja asetuksessa (EU) 2017/2394.
whereas