Data Act 2023/2854 HU

(1) Az összekapcsolt_termékeket úgy kell megtervezni és gyártani, a kapcsolódó_szolgáltatásokat pedig úgy kell megtervezni és nyújtani, hogy a termék adatok és a kapcsolódószolgáltatás- adatok – ideértve az említett adatok értelmezéséhez és felhasználásához szükséges releváns meta adatokat is – alapértelmezés szerint könnyen, biztonságosan, díjmentesen, egy átfogó, strukturált, széles körben használt és géppel olvasható formátumban, és amennyiben releváns, valamint technikailag kivitelezhető, közvetlenül legyenek hozzáférhetők a felhasználó számára.

(2) Az összekapcsolt_termék megvásárlására, bérlésére vagy lízingjére vonatkozó szerződés megkötése előtt az eladónak, a bérbeadónak vagy a lízingbe adónak – amely lehet a gyártó – legalább a következő információkat kell a felhasználó számára egyértelmű és érthető módon biztosítania:

a)	azon termék adatok típusa, formátuma és becsült mennyisége, amelyeket az összekapcsolt_termék generálni képes;

b)	az összekapcsolt_termék képes-e folyamatosan és valós időben adatokat generálni;

c)	az összekapcsolt_termék képes-e adatokat tárolni eszközön vagy távoli szerveren, ideértve adott esetben a megőrzés tervezett időtartamát is;

d)	az a mód, ahogyan a felhasználó az adatokhoz hozzáférhet, azokat visszanyerheti vagy adott esetben törölheti, ideértve az ehhez szükséges technikai eszközöket, valamint azok felhasználási feltételeit és a szolgáltatás minőségét is.

(3) A kapcsolódó_szolgáltatás nyújtására vonatkozó szerződés megkötése előtt az ilyen kapcsolódó_szolgáltatás szolgáltatójának legalább a következő információkat kell a felhasználó számára egyértelműen és érthető módon biztosítania:

azon termék adatok jellege, becsült mennyisége és gyűjtési gyakorisága, amelyeket a leendő adatbirtokos várhatóan megszerez, és adott esetben az arra szolgáló intézkedések, hogy a felhasználó az ilyen adatokhoz hozzáférjen, vagy azokat visszanyerje, ideértve a leendő adatbirtokos adattárolási intézkedéseit és a megőrzés időtartamát is;

b)	a generálandó kapcsolódószolgáltatás- adatok jellege és becsült mennyisége, valamint a felhasználónak az ilyen adatokhoz való hozzáférésére vagy azok visszanyerésére vonatkozó intézkedések, ideértve a leendő adatbirtokos adattárolási intézkedéseit és a megőrzés időtartamát is;

az, hogy a leendő adatbirtokos arra számít-e, hogy saját maga használ fel könnyen elérhető adatokat, és az említett adatok felhasználásának céljai, valamint, hogy szándékában áll-e egy vagy több harmadik fél számára lehetővé tenni az adatoknak a felhasználóval egyeztetett célokra történő felhasználását;

d)	a leendő adatbirtokos – és adott esetben egyéb adatkezelő felek – kiléte, például kereskedelmi neve és az a földrajzi cím, ahol letelepedett;

e)	azon kommunikációs eszközök, amelyek lehetővé teszik a gyors kapcsolatfelvételt és a hatékony kommunikációt a leendő adatbirtokossal;

f)	annak mikéntje, hogyan kérheti a felhasználó az adatok harmadik féllel való megosztását, és adott esetben az adatmegosztás megszüntetését;

g)	a felhasználó azon joga, hogy panaszt nyújtson be a 37. cikk alapján kijelölt illetékes hatósághoz az e fejezetben foglalt rendelkezések bármelyikének feltételezett megsértése miatt;

h)	az, hogy a leendő adatbirtokos az összekapcsolt_termékből hozzáférhető vagy egy kapcsolódó_szolgáltatás nyújtása során generált adatokban foglalt üzleti titkok jogosultja-e, és amennyiben a leendő adatbirtokos nem az üzleti_titok jogosultja, az üzleti_titok jogosultjának kiléte;

i)	a felhasználó és a leendő adatbirtokos közötti szerződés időtartama, valamint az ilyen szerződés megszüntetésére vonatkozó intézkedések.

4. cikk

A felhasználók és az adatbirtokosok jogai és kötelezettségei a termék adatokhoz és a kapcsolódószolgáltatás- adatokhoz való hozzáférés, azok felhasználása és rendelkezésre bocsátása tekintetében

(1) Amennyiben a felhasználó nem tud az összekapcsolt_termékből vagy a kapcsolódó_szolgáltatásból közvetlenül hozzáférni az adatokhoz, az adatbirtokosoknak indokolatlan késedelem nélkül – az adatbirtokos rendelkezésére állóval megegyező minőségben – könnyen elérhető adatokat, valamint az említett adatok értelmezéséhez és felhasználásához szükséges releváns meta adatokat kell hozzáférhetővé tennie a felhasználó számára, könnyen, biztonságosan, díjmentesen, egy átfogó, strukturált, széles körben használt és géppel olvasható formátumban, és – amennyiben releváns és technikailag kivitelezhető – folyamatosan és valós időben. Ezt egyszerű kérelem alapján, elektronikus úton kell megtenni, amennyiben technikailag kivitelezhető.

(2) A felhasználók és az adatbirtokosok szerződésben korlátozhatják vagy megtilthatják az adatokhoz való hozzáférést, azok felhasználását vagy további megosztását, ha az ilyen adatkezelés alááshatná az összekapcsolt_termékre vonatkozó, az uniós vagy nemzeti jogban megállapított biztonsági követelményeket, ami súlyosan hátrányos hatással járhat a természetes személyek egészségére, biztonságára vagy védelmére nézve. Az ágazati hatóságok technikai szakértelmet biztosíthatnak a felhasználóknak és az adatbirtokosoknak ebben az összefüggésben. Amennyiben az adatbirtokos megtagadja az adatmegosztást e cikk alapján, értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot.

(3) A felhasználó azon jogának sérelme nélkül, hogy bármely szakaszban jogorvoslatért forduljon valamely tagállam bíróságához vagy igazságszolgáltatási fórumához, a (2) bekezdésben említett szerződéses korlátozások vagy tilalmak tekintetében az adatbirtokossal felmerülő bármely vitával kapcsolatban a felhasználó:

a)	a 37. cikk (5) bekezdése b) pontjának megfelelően panaszt nyújthat be az illetékes hatósághoz; vagy

b)	megállapodhat az adatbirtokossal abban, hogy az ügyet a 10. cikk (1) bekezdésének megfelelően valamely vitarendezési testület elé terjesztik.

(4) Az adatbirtokos nem nehezítheti meg indokolatlanul a felhasználó e cikk szerinti választási lehetőségeinek vagy jogainak a gyakorlását, többek között azáltal, hogy nem semleges módon kínál választási lehetőségeket a felhasználó számára, vagy azáltal, hogy a felhasználói digitális interfész vagy annak egy része szerkezetén, kialakításán, funkcióján vagy működési módján keresztül aláássa vagy csorbítja a felhasználó autonómiáját, döntéshozatalát vagy választási lehetőségeit.

(5) Annak ellenőrzése céljából, hogy egy természetes vagy jogi személy az (1) bekezdés alkalmazásában felhasználónak minősül-e, az adatbirtokos nem követelheti meg az említett személytől, hogy a szükségest meghaladó információkat adjon meg. Az adatbirtokosok nem őrizhetnek meg semmilyen, a felhasználónak a kért adatokhoz való hozzáférésére vonatkozó, azt meghaladó információt – különösen napló adatokat –, amely a felhasználó hozzáférési kérelmének megfelelő teljesítéséhez, valamint az adatinfrastruktúra biztonságához és fenntartásához szükséges.

(6) Üzleti titkok csak akkor őrizhetők meg és fedhetők fel, amennyiben az adatbirtokos és a felhasználó a felfedést megelőzően minden szükséges intézkedést megtett az üzleti titkok bizalmas jellegének megőrzése érdekében, különösen harmadik felek vonatkozásában. Az adatbirtokosnak – vagy az üzleti_titok jogosultjának, amennyiben ez nem ugyanaz a személy – azonosítania kell az üzleti_titokként védett adatokat, a vonatkozó meta adatokban is, és meg kell állapodnia a felhasználóval a megosztott adatok bizalmas jellegének megőrzéséhez szükséges, arányos technikai és szervezési intézkedésekről, különösen harmadik felekkel kapcsolatban, mint például minta-szerződésifeltételek, titoktartási megállapodások, szigorú hozzáférési protokollok, technikai szabványok és a magatartási kódexek alkalmazása.

(7) Amennyiben nem jön létre megállapodás a (6) bekezdésben említett szükséges intézkedésekről, vagy ha a felhasználó elmulasztja végrehajtani a (6) bekezdés alapján megállapodott intézkedéseket, vagy aláássa az üzleti titkok bizalmas jellegét, az adatbirtokos visszatarthatja vagy – esettől függően – felfüggesztheti az üzleti_titokként azonosított adatok megosztását. Az adatbirtokos döntését megfelelően meg kell indokolni, és indokolatlan késedelem nélkül írásban közölni kell a felhasználóval. Ilyen esetekben az adatbirtokosnak értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot arról, hogy visszatartotta vagy felfüggesztette az adatmegosztást, és azonosítania kell azon intézkedéseket, amelyekről nem jött létre megállapodás, vagy amelyeket nem hajtottak végre, és adott esetben azon üzleti titkokat, amelyek bizalmas jellegét aláásták.

(8) Rendkívüli körülmények között, amennyiben az üzleti_titok jogosultjának minősülő adatbirtokos bizonyítani tudja, hogy a felhasználó által e cikk (6) bekezdése alapján hozott technikai és szervezési intézkedések ellenére nagy valószínűséggel súlyos gazdasági kárt szenved az üzleti titkok felfedése miatt, az adatbirtokos eseti alapon elutasíthatja a szóban forgó konkrét adatokhoz való hozzáférés iránti kérelmet. Az említett bizonyítást objektív elemek – különösen az üzleti titkok védelmének harmadik országokban való érvényesíthetősége, a kért adatok természete és bizalmas jellegének szintje, valamint az összekapcsolt_termék egyedisége és újszerűsége – alapján megfelelően alá kell támasztani, és indokolatlan késedelem nélkül írásban közölnie kell a felhasználóval. Amennyiben az adatbirtokos megtagadja az adatmegosztást e bekezdés alapján, értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot.

(9) A felhasználó azon jogának sérelme nélkül, hogy bármely szakaszban jogorvoslatért forduljon valamely tagállam bíróságához vagy igazságszolgáltatási fórumához, az adatbirtokosnak az adatmegosztás megtagadására vagy visszatartására vagy felfüggesztésére vonatkozó, a (7) és a (8) bekezdés szerinti döntését megtámadni kívánó felhasználó:

a)	a 37. cikk (5) bekezdése b) pontjának megfelelően panaszt nyújthat be az illetékes hatósághoz, amelynek indokolatlan késedelem nélkül döntenie kell arról, hogy az adatmegosztást meg kell-e kezdeni, vagy folytatni kell-e, és ha igen, milyen feltételek mellett; vagy

b)	megállapodhat az adatbirtokossal abban, hogy az ügyet a 10. cikk (1) bekezdésének megfelelően valamely vitarendezési testület elé terjesztik.

(10) A felhasználó az (1) bekezdésben említett kérelem alapján szerzett adatokat nem használhatja fel olyan összekapcsolt_termék kifejlesztésére, amely verseng azon összekapcsolt_termékkel, amelyből az adatok származnak, nem oszthatja meg az adatokat az említett szándékkal harmadik féllel, és nem használhat fel ilyen adatokat arra, hogy betekintést nyerjen a gyártó vagy – adott esetben – az adatbirtokos gazdasági helyzetére, eszközeire és termelési módszereire vonatkozóan.

(11) A felhasználó nem alkalmazhat kényszerítő eszközöket, és nem élhet vissza az adatbirtokos adatvédelmi célból kialakított technikai infrastruktúrájának hiányosságaival az adatokhoz való hozzáférés megszerzése érdekében.

(12) Ha a felhasználó nem az az érintett, akinek a személyes adatait kérik, az összekapcsolt_termék vagy a kapcsolódó_szolgáltatás használata által generált személyes adatokat az adatbirtokos csak akkor bocsáthatja a felhasználó rendelkezésére, amennyiben az (EU) 2016/679 rendelet 6. cikke szerint érvényes adatkezelési jogalap áll fenn, valamint amennyiben – adott esetben – teljesülnek az említett rendelet 9. cikkében és a 2002/58/EK irányelv 5. cikkének (3) bekezdésében foglalt feltételek.

(13) Az adatbirtokos kizárólag a felhasználóval kötött szerződés alapján használhat fel nem személyes adatnak minősülő, könnyen elérhető adatokat. Az adatbirtokos nem használhat fel ilyen adatokat arra, hogy olyan betekintést nyerjen a felhasználó gazdasági helyzetét, eszközeit és termelési módszereit illetően, vagy az általa történő felhasználásra vonatkozóan bármely más módon, amely alááshatja az említett felhasználó üzleti pozícióját azon piacokon, amelyeken a felhasználó aktív.

(14) Az adatbirtokosok kereskedelmi vagy nem kereskedelmi célból – a felhasználóval kötött szerződésük teljesítésén kívül – nem bocsáthatnak harmadik felek rendelkezésére nem személyes termék adatokat. Adott esetben az adatbirtokosok szerződésben köteleznek harmadik feleket arra, hogy a tőlük kapott adatokat a továbbiakban ne osszák meg.

5. cikk

A felhasználó joga az adatok harmadik felekkel való megosztására

(1) A felhasználó vagy a felhasználó nevében eljáró fél kérelmére az adatbirtokos köteles indokolatlan késedelem nélkül – az adatbirtokos rendelkezésére állóval megegyező minőségben – könnyen elérhető adatokat, valamint az említett adatok értelmezéséhez és felhasználásához szükséges releváns meta adatokat valamely harmadik fél rendelkezésére bocsátani könnyen, biztonságosan, a felhasználó számára díjmentesen, egy átfogó, strukturált, széles körben használt és géppel olvasható formátumban, továbbá – adott esetben és amennyiben ez technikailag kivitelezhető – folyamatosan és valós időben. Az adatokat az adatbirtokosnak a 8. és a 9. cikkel összhangban kell a harmadik fél rendelkezésére bocsátania.

(2) Az (1) bekezdés nem alkalmazandó könnyen elérhető adatokra a még forgalomba nem hozott új összekapcsolt_termékek, anyagok vagy eljárások tesztelésével összefüggésben, kivéve, ha a harmadik fél általi felhasználásuk szerződésben megengedett.

(3) Az (EU) 2022/1925 rendelet 3. cikke értelmében kapuőrnek minősített vállalkozás nem minősülhet e cikk értelmében jogosult harmadik félnek, és ezért:

a)	semmilyen módon – többek között pénzbeli vagy bármely más kompenzáció nyújtásával – nem hívhat fel vagy nem ösztönözhet üzletileg felhasználót arra, hogy a 4. cikk (1) bekezdése szerinti kérelem alapján szerzett adatokat valamely szolgáltatásához rendelkezésre bocsássa;

b)	nem hívhat fel vagy nem ösztönözhet üzletileg arra felhasználót, hogy az az adatbirtokostól valamely szolgáltatásához adatoknak az e cikk (1) bekezdése alapján történő rendelkezésre bocsátását kérje;

c)	nem kaphat felhasználótól olyan adatokat, amelyeket a felhasználó a 4. cikk (1) bekezdése szerinti kérelem alapján szerzett be.

(4) Annak ellenőrzése céljából, hogy egy természetes vagy jogi személy az (1) bekezdés alkalmazásában felhasználónak vagy harmadik félnek minősül-e, a felhasználótól vagy a harmadik féltől nem követelhető meg, hogy a szükségest meghaladó információkat adjon meg. Az adatbirtokosok nem őrizhetnek meg semmilyen, a harmadik félnek a kért adatokhoz való hozzáférésére vonatkozó, azt meghaladó információt, amely a harmadik fél hozzáférési kérelmének megfelelő teljesítéséhez, valamint az adatinfrastruktúra biztonságához és fenntartásához szükséges.

(5) A harmadik fél nem alkalmazhat kényszerítő eszközöket, és nem élhet vissza az adatbirtokos adatvédelmi célból kialakított technikai infrastruktúrájának hiányosságaival az adatokhoz való hozzáférés megszerzése érdekében.

(6) Az adatbirtokos nem használhat fel könnyen elérhető adatokat arra, hogy olyan betekintést nyerjen a harmadik fél gazdasági helyzetére, eszközeire vagy termelési módszereire, vagy az általa történő bármely más módon való felhasználásra vonatkozóan, amely alááshatja a harmadik fél üzleti pozícióját azon piacokon, amelyeken a harmadik fél aktív, kivéve, ha a harmadik fél engedélyt adott az ilyen felhasználásra, és megvan a technikai lehetősége ahhoz, hogy az említett engedélyt bármikor könnyen visszavonja.

(7) Amennyiben a felhasználó nem az az érintett, akinek a személyes adatait kérik, a valamely összekapcsolt_termék vagy kapcsolódó_szolgáltatás igénybe vétele által generált személyes adatok csak akkor bocsáthatók az adatbirtokos által a harmadik fél rendelkezésére, amennyiben az (EU) 2016/679 rendelet 6. cikke szerint érvényes adatkezelési jogalap áll fenn, és – adott esetben – teljesülnek az említett rendelet 9. cikkében és a 2002/58/EK irányelv 5. cikkének (3) bekezdésében foglalt feltételek.

(8) Az adatbirtokos és a harmadik fél közötti, adattovábbításra vonatkozó szabályokat rögzítő megállapodás hiánya nem gátolhatja, akadályozhatja meg vagy érintheti az érintettnek az (EU) 2016/679 rendelet szerinti jogainak – és különösen az említett rendelet 20. cikke szerinti adathordozhatósághoz való jognak – a gyakorlását.

(9) Az üzleti titkokat meg kell őrizni, és csak annyiban fedhetők fel harmadik feleknek, amennyiben az ilyen felfedés feltétlenül szükséges a felhasználó és a harmadik fél által megállapodott cél eléréséhez. Az adatbirtokosnak – vagy az üzleti_titok jogosultjának, amennyiben ez nem ugyanaz a személy – azonosítania kell az üzleti_titokként védett adatokat, a releváns meta adatokban is, és meg kell állapodnia a harmadik féllel a megosztott adatok bizalmas jellegének megőrzéséhez szükséges valamennyi arányos technikai és szervezési intézkedésről, így például minta szerződési feltételekről, titoktartási megállapodásokról, szigorú hozzáférési protokollokról, technikai szabványokról és magatartási kódexek alkalmazásáról.

(10) Amennyiben nem jön létre megállapodás az e cikk (9) bekezdésében említett szükséges intézkedésekről, vagy ha a harmadik fél elmulasztja végrehajtani az e cikk (9) bekezdése szerint megállapodott intézkedéseket, vagy aláássa az üzleti titkok bizalmas jellegét, az adatbirtokos visszatarthatja vagy esettől függően felfüggesztheti az üzleti_titokként azonosított adatok megosztását. Az adatbirtokos döntését megfelelően meg kell indokolni, és indokolatlan késedelem nélkül írásban közölni kell a harmadik féllel. Ilyen esetekben az adatbirtokosnak értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot arról, hogy visszatartotta vagy felfüggesztette az adatmegosztást, és adott esetben azonosítania kell azon intézkedéseket, amelyekről nem jött létre megállapodás, vagy amelyeket nem hajtottak végre, és adott esetben azon üzleti titkokat, amelyek bizalmas jellegét aláásták.

(11) Rendkívüli körülmények között, amennyiben az üzleti_titok jogosultjának minősülő adatbirtokos bizonyítani tudja, hogy a harmadik fél által e cikk (9) bekezdése alapján hozott technikai és szervezési intézkedések ellenére nagy valószínűséggel súlyos gazdasági kárt szenved az üzleti titkok felfedése miatt, az adatbirtokos eseti alapon elutasíthatja a szóban forgó konkrét adatokhoz való hozzáférés iránti kérelmet. Az említett bizonyítást objektív elemek – különösen az üzleti titkok védelmének harmadik országokban való érvényesíthetősége, a kért adatok jellege és bizalmas jellegének szintje, valamint az összekapcsolt_termék egyedisége és újszerűsége – alapján megfelelően alá kell támasztani, és indokolatlan késedelem nélkül írásban közölni kell a harmadik féllel. Amennyiben az adatbirtokos e bekezdés alapján megtagadja az adatmegosztást, értesítenie kell a 37. cikk alapján kijelölt illetékes hatóságot.

(12) A harmadik fél azon jogának sérelme nélkül, hogy bármely szakaszban jogorvoslatért forduljon valamely tagállam bíróságához vagy igazságszolgáltatási fórumához, az adatbirtokosnak az adatmegosztás megtagadására vagy visszatartására vagy felfüggesztésére vonatkozó, a (10) és a (11) bekezdés alapján hozott döntését megtámadni kívánó harmadik fél:

a)	a 37. cikk (5) bekezdése b) pontjának megfelelően panaszt nyújthat be az illetékes hatósághoz, amelynek indokolatlan késedelem nélkül döntenie kell arról, hogy az adatmegosztást meg kell-e kezdeni, vagy folytatni kell-e, és ha igen, milyen feltételek mellett; vagy

b)	megállapodhat az adatbirtokossal abban, hogy az ügyet a 10. cikk (1) bekezdésének megfelelően valamely vitarendezési testület elé terjesztik.

(13) Az (1) bekezdésben említett jog nem érintheti hátrányosan a személyes adatok védelmére vonatkozó, alkalmazandó uniós és nemzeti jog alapján az érintetteket megillető jogokat.

6. cikk

Harmadik felek kötelezettségei, akik a felhasználó kérésére adatokat kapnak

(1) A harmadik fél az 5. cikk alapján rendelkezésére bocsátott adatokat csak a felhasználóval megállapodott célokra és feltételek mellett, valamint a személyes adatok védelmére – ideértve az érintettek a személyes adatok vonatkozásában megillető jogokat is – vonatkozó uniós és nemzeti jogra figyelemmel kezelheti. A harmadik fél törli az adatokat, amennyiben azok már nem szükségesek a megállapodott célhoz, kivéve, ha a nem személyes adatok tekintetében a felhasználóval másként állapodtak meg.

(2) A harmadik fél:

nem nehezítheti meg indokolatlanul az 5. cikk szerinti választási lehetőségeknek vagy jogoknak a felhasználó általi gyakorlását, ideértve azt is, hogy nem semleges módon kínál választási lehetőségeket a felhasználónak, vagy kényszeríti, félrevezeti vagy manipulálja a felhasználót, vagy aláássa vagy gyengíti a felhasználó autonómiáját, döntéshozatalát vagy választási lehetőségeit, többek között egy felhasználói digitális interfész vagy annak egy része révén;

b)	tekintet nélkül az (EU) 2016/679 rendelet 22. cikke (2) bekezdésének a) és c) pontjára, nem használhatja fel a kapott adatokat profilalkotásra, kivéve, ha ez a felhasználó által kért szolgáltatás nyújtásához szükséges,

a kapott adatokat nem bocsáthatja egy másik harmadik fél rendelkezésére, kivéve, ha az adatokat a felhasználóval kötött szerződés alapján bocsátják rendelkezésre, és feltéve, hogy a másik harmadik fél meghoz minden olyan, az üzleti titkok bizalmas jellegének megőrzéséhez szükséges intézkedést, amelyről az adatbirtokos és a harmadik fél megállapodott;

d)	a kapott adatokat nem bocsáthatja az (EU) 2022/1925 rendelet 3. cikke értelmében kapuőrnek minősített vállalkozás rendelkezésére;

a kapott adatokat nem használhatja fel olyan termék kifejlesztése céljából, amely verseng azon összekapcsolt_termékkel, amelyből az elért adatok származnak, és az említett célból nem oszthatja meg az adatokat egy másik harmadik féllel; harmadik felek továbbá nem használhatják fel a rendelkezésre bocsátott, nem személyes termék adatokat vagy kapcsolódószolgáltatás- adatokat arra, hogy betekintést nyerjenek az adatbirtokos gazdasági helyzetére, eszközeire és termelési módszereire, vagy az adatbirtokos általi felhasználásukra vonatkozóan;

f)	a kapott adatokat nem használhatja fel oly módon, amely hátrányos hatással bír az összekapcsolt_termék vagy a kapcsolódó_szolgáltatás biztonságára;

g)	nem hagyhatja figyelmen kívül azon konkrét intézkedéseket, amelyekről az adatbirtokossal vagy az üzleti_titok jogosultjával az 5. cikk (9) bekezdése alapján megállapodott, és nem áshatja alá az üzleti titkok bizalmi jellegét;

h)	nem akadályozhatja meg, hogy a felhasználó, aki fogyasztó is egyben – többek között szerződés alapján – az általa kapott adatokat más felek rendelkezésére bocsássa.

8. cikk

Feltételek, amelyek mellett az adatbirtokosok adatokat bocsátanak az adatátvevők rendelkezésére

(1) Amennyiben a vállalkozások közötti kapcsolatok keretében az adatbirtokos az 5. cikk vagy más alkalmazandó uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabály alapján köteles adatokat valamely adatátvevő rendelkezésére bocsátani, az adatok rendelkezésre bocsátására vonatkozó intézkedésekről meg kell állapodnia az adatátvevővel, továbbá ezt méltányos, észszerű és megkülönböztetésmentes feltételek mellett és átlátható módon, e fejezettel és a IV. fejezettel összhangban kell megtennie.

(2) Az adathozzáférésre és -felhasználásra, vagy az adatokkal kapcsolatos kötelezettségek megsértése vagy felmondása esetén fennálló felelősségre és jogorvoslatokra vonatkozó szerződési feltétel nem kötelező erejű, ha a 13. cikk értelmében tisztességtelen szerződési feltételnek minősül, vagy ha – a felhasználó kárára – kizárja a II. fejezet szerinti felhasználói jogok alkalmazását, eltér azoktól, vagy megváltoztatja azok hatását.

(3) Az adatbirtokos az adatok rendelkezésre bocsátásakor az adatok rendelkezésre bocsátására vonatkozó intézkedésekkel kapcsolatban nem tehet különbséget az adatátvevők összehasonlítható kategóriái – köztük az adatbirtokos partner vállalkozásai vagy kapcsolt vállalkozásai – között. Ha az adatátvevő úgy ítéli meg, hogy azok a feltételek, amelyek mellett az adatokat rendelkezésére bocsátották diszkriminatívak, az adatbirtokos köteles indokolatlan késedelem nélkül az adatátvevő rendelkezésére bocsátani – annak indokolással ellátott kérelmére – azon információkat, amelyek bizonyítják, hogy nem történt hátrányos megkülönböztetés.

(4) Az adatbirtokos – kizárólagos alapon sem – bocsáthat adatokat az adatátvevő rendelkezésére, kivéve, ha azt a felhasználó a II. fejezet alapján kéri.

(5) Az adatbirtokosok és az adatátvevők nem kötelezhetők arra, hogy az adatok rendelkezésre bocsátására vonatkozóan megállapodott szerződési feltételeknek, vagy az e rendelet vagy egyéb alkalmazandó uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabály szerinti kötelezettségeiknek való megfelelés ellenőrzéséhez szükséges információkon túl, bármely információt szolgáltassanak.

(6) Ha az uniós jog – többek között e rendelet 4. cikkének (6) bekezdése és 5. cikkének (9) bekezdése – vagy az uniós joggal összhangban elfogadott nemzeti jogszabályok másként nem rendelkeznek, azon kötelezettség, hogy adatokat kell az adatátvevő rendelkezésére bocsátani, nem kötelez az üzleti titkok felfedésére.

9. cikk

Az adatok rendelkezésre bocsátásáért járó kompenzáció

(1) Az adatbirtokos és az adatátvevő által megállapodott, az adatok vállalkozások közötti kapcsolatok keretében történő rendelkezésre bocsátásáért járó bármely kompenzációnak megkülönböztetésmentesnek és észszerűnek kell lennie, és árrést is magában foglalhat.

(2) Bármely kompenzációról történő megállapodás során az adatbirtokosnak és az adatátvevőnek figyelembe kell vennie különösen a következőket:

a)	az adatok rendelkezésre bocsátása során felmerülő költségek, ideértve különösen az adatok formázásához, az elektronikus úton történő terjesztéshez, valamint a tároláshoz szükséges költségeket;

b)	az adatok gyűjtésébe és előállításába történő beruházások, adott esetben annak figyelembevételével, hogy más felek hozzájárultak-e a szóban forgó adatok megszerzéséhez, generálásához vagy gyűjtéséhez.

(3) Az (1) bekezdésben említett kompenzáció függhet az adatok mennyiségétől, formátumától és jellegétől is.

(4) Amennyiben az adatátvevő kkv vagy nonprofit kutatószervezet, és amennyiben az ilyen adatátvevő nem rendelkezik olyan partner vállalkozásokkal vagy kapcsolt vállalkozásokkal, amelyek nem minősülnek kkv-nak, semmilyen megállapodott kompenzáció nem haladhatja meg a (2) bekezdés a) pontjában említett költségeket.

(5) A Bizottság – a 42. cikkben említett Európai Adatinnovációs Testület (a továbbiakban: EDIB) véleményének figyelembevételével – iránymutatásokat fogad el az észszerű kompenzáció kiszámítására vonatkozóan.

(6) E cikk nem akadályozhatja meg, hogy egyéb uniós jog vagy az uniós joggal összhangban elfogadott nemzeti jogszabályok kizárják az adatok rendelkezésre bocsátásáért a kompenzációt, vagy alacsonyabb kompenzációt írjanak elő.

(7) Az adatbirtokosnak az adatátvevőt a kompenzáció kiszámításának alapját kellő részletességgel meghatározva kell tájékoztatnia annak érdekében, hogy az adatátvevő fel tudja mérni, hogy teljesülnek-e az (1)–(4) bekezdésben foglalt követelmények.

10. cikk

Vitarendezés

(1) A felhasználók, az adatbirtokosok és az adatátvevők hozzá kell, hogy férjenek az e cikk (5) bekezdésével összhangban tanúsított vitarendezési testülethez, hogy rendezzék a 4. cikk (3) és (9) bekezdése, és az 5. cikk (12) bekezdése szerinti vitákat, valamint az adatoknak az e fejezetnek és a IV. fejezetnek megfelelő rendelkezésre bocsátására vonatkozó méltányos, észszerű és megkülönböztetésmentes feltételekkel és átlátható móddal kapcsolatos vitákat.

(2) A vitarendezési testületeknek tájékoztatniuk kell az érintett feleket a díjakról vagy a díjak meghatározásához használt mechanizmusokról, mielőtt az említett felek döntést kérnek.

(3) A 4. cikk (3) és (9) bekezdése, és az 5. cikk (12) bekezdése alapján vitarendezési testület elé utalt vitákat illetően, amennyiben a vitarendezési testület a vitát a felhasználó vagy az adatátvevő javára dönti el, a vitarendezési testület által felszámított valamennyi díjat az adatbirtokosnak kell viselnie, továbbá meg kell térítenie az említett felhasználónak vagy az említett adatátvevőnek minden más olyan észszerű költséget, amely annál a vitarendezéssel kapcsolatban felmerült. Ha a vitarendezési testület az adatbirtokos javára dönti el a vitát, a felhasználó vagy az adatátvevő nem kötelezhető semmilyen olyan díj vagy egyéb költség megtérítésére, amelyet az adatbirtokos a vitarendezéssel kapcsolatban fizetett vagy amelyet annak fizetnie kell, kivéve, ha a vitarendezési testület megállapítja, hogy a felhasználó vagy az adatátvevő nyilvánvalóan rosszhiszeműen járt el.

(4) Az ügyfelek és az adatkezelési szolgáltatók hozzá kell, hogy férjenek az e cikk (5) bekezdésével összhangban tanúsított vitarendezési testülethez, hogy rendezzék az ügyfelek jogainak és az adatkezelési szolgáltatók kötelezettségeinek megsértésével kapcsolatos vitákat, a 23–31. cikkel összhangban.

(5) A vitarendezési testület székhelye szerinti tagállam e testület kérelme nyomán tanúsítja e testületet, amennyiben a testület bizonyította, hogy megfelel a következő feltételek mindegyikének:

a)	pártatlan és független, és a határozatait világos, megkülönböztetésmentes és tisztességes eljárási szabályokkal összhangban köteles meghozni;

rendelkezik a szükséges szakértelemmel, különösen a méltányos, észszerű és megkülönböztetésmentes feltételekkel kapcsolatban – ideértve a kompenzációt is – és az adatok átlátható módon történő rendelkezésre bocsátása tekintetében, ami lehetővé teszi a testület számára, hogy hatékonyan állapítsa meg az említett feltételeket;

c)	elektronikus kommunikációs technológián keresztül könnyen hozzáférhető;

d)	határozatait képes gyorsan, hatékonyan és költséghatékonyan meghozni, az Unió legalább egy hivatalos nyelvén.

(6) A tagállamok értesítik a Bizottságot az (5) bekezdéssel összhangban tanúsított vitarendezési testületekről. A Bizottság az említett testületek jegyzékét egy erre a célra létrehozott weboldalon közzéteszi és folyamatosan frissíti.

(7) A vitarendezési testületnek el kell utasítania az olyan vitarendezési kérelem elbírálását, amelyet már egy másik vitarendezési testület vagy valamely tagállam bírósága vagy igazságszolgáltatási fóruma elé terjesztettek.

(8) A vitarendezési testületnek észszerű határidőn belül lehetőséget kell adnia a feleknek, hogy kifejtsék álláspontjukat az e felek által az említett testület elé terjesztett ügyekről. Ebben az összefüggésben a vitarendezési testületnek a vitában részes minden egyes fél rendelkezésére kell bocsátania a vitájában érintett másik fél beadványait és a szakértők által tett bármely nyilatkozatot. A feleknek lehetőséget kell biztosítani, hogy az említett beadványokra és szakértői nyilatkozatokra észrevételt tegyenek.

(9) A vitarendezési testületnek az (1) és (4) bekezdés szerinti kérelem kézhezvételétől számított 90 napon belül meg kell hoznia határozatát a hozzá utalt ügyben. Az említett határozatot írásban vagy tartós adathordozón kell rögzíteni, és indokolással kell alátámasztani.

(10) A vitarendezési testületeknek éves tevékenységi jelentéseket kell összeállítaniuk és nyilvánosan hozzáférhetővé tenniük. Az ilyen éves jelentéseknek különösen a következő általános információkat kell tartalmazniuk:

a)	a viták kimenetelének összesítése;

b)	a viták rendezéséhez igénybe vett átlagos időtartam;

c)	a viták leggyakoribb okai.

(11) Az információk és a bevált gyakorlatok cseréjének megkönnyítése érdekében a vitarendezési testület dönthet úgy, hogy a (10) bekezdésben említett jelentésbe ajánlásokat foglal arra vonatkozóan, hogyan lehet a problémákat elkerülni vagy megoldani.

(12) A vitarendezési testület határozata csak akkor kötelező erejű a felekre nézve, ha a felek a vitarendezési eljárás megkezdése előtt kifejezetten hozzájárultak annak kötelező erejű jellegéhez.

(13) Ez a cikk nem érinti a felek azon jogát, hogy valamely tagállam bíróságához vagy igazságszolgáltatási fórumához forduljanak hatékony jogorvoslatért.

14. cikk

Kötelezettség az adatok rendelkezésre bocsátására rendkívüli igény alapján

Amennyiben egy közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv a 15. cikkben foglaltaknak megfelelően bizonyítja, hogy rendkívüli igény áll fenn a jogszabályban előírt fel adatainak közérdekből történő ellátásához bizonyos adatok felhasználására, ideértve az említett adatok értelmezéséhez és felhasználásához szükséges releváns meta adatokat is, azon jogi személyiséggel rendelkező adatbirtokosok – a közszférabeli_szervezetek kivételével –, amelyek az említett adatokkal rendelkeznek, kellően indokolt kérésre kötelesek azokat rendelkezésre bocsátani.

17. cikk

Az adatok rendelkezésre bocsátása iránti kérelmek

(1) A 14. cikk szerinti adatigénylés esetén a közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv:

a)	meghatározza a kért adatokat, ideértve az említett adatok értelmezéséhez és felhasználásához szükséges releváns meta adatokat is;

b)	bizonyítja, hogy teljesülnek egy olyan rendkívüli igény fennállásához szükséges, a 15. cikkben említett feltételek, amelynek céljára az adatokat igénylik;

ismerteti a kérelem célját, a kért adatok tervezett felhasználását, beleértve adott esetben azoknak egy harmadik fél általi felhasználását az e cikk (4) bekezdésével összhangban, az említett felhasználás időtartamát, továbbá adott esetben azt, hogy a személyes adatok kezelése hogyan szolgálja a rendkívüli igény kielégítését;

d)	lehetőség szerint meghatározza, hogy mikorra várható az adatoknak az azokhoz hozzáféréssel rendelkező valamennyi fél általi törlése;

e)	megindokolja azon adatbirtokos kiválasztását, amelyhez a kérelmet intézték;

f)	meghatározza azon egyéb közszférabeli_szervezeteket, a Bizottságot, az Európai Központi Bankot vagy azon uniós_szerveket és harmadik feleket, amelyekkel a kért adatokat várhatóan megosztják;

személyes adatok igénylése esetén meghatározza az adatvédelmi elvek érvényesítéséhez szükséges és azzal arányos technikai és szervezési intézkedéseket, valamint a szükséges biztosítékokat, így például álnevesítést, továbbá azt, hogy az adatbirtokos az adatok rendelkezésre bocsátása előtt alkalmazhat-e anonimizálást;

h)	megnevezi azon jogi rendelkezést, amely a kérelmező közszférabeli_szervezetre, a Bizottságra, az Európai Központi Bankra vagy az uniós szervre bízza az adatigénylés szempontjából releváns, közérdekből végzett konkrét fel adatot;

i)	meghatározza azon határidőt, ameddig az adatokat rendelkezésre kell bocsátani, valamint a 18. cikk (2) bekezdésében említett azon határidőt, ameddig az adatbirtokos elutasíthatja a kérelmet, vagy kérheti annak módosítását;

j)	mindent megtesz annak elkerülése érdekében, hogy az adatigénylés teljesítése az adatbirtokosnak az uniós vagy a nemzeti jog megsértéséért fennálló felelősségét eredményezze.

(2) Az e cikk (1) bekezdése alapján benyújtott adatigénylés(t):

a)	írásban, világos, tömör, egyszerű és az adatbirtokos számára érthető megfogalmazásban kell benyújtani;

b)	konkrét a kért adatok típusát illetően, és olyan adatokra vonatkozik, amelyek felett az adatbirtokos az igénylés időpontjában rendelkezik;

c)	a rendkívüli igénnyel arányos, továbbá kellően indokolt a kért adatok részletezettségét és mennyiségét, valamint a kért adatokhoz való hozzáférés gyakoriságát illetően;

d)	tiszteletben tartja az adatbirtokos jogos céljait – aki vállalja az üzleti titkok védelmének biztosítását a 19. cikk (3) bekezdésével összhangban –, valamint az adatok rendelkezésre bocsátásához megkövetelt költségeket és erőfeszítéseket;

nem személyes adatokra vonatkozik, és – csak akkor, ha ez bizonyítottan elégtelen az adatok felhasználása iránti rendkívüli igény kielégítéséhez a 15. cikk (1) bekezdésének a) pontjával összhangban – álnevesített formában lévő személyes adatokra irányul, és az adatok védelme érdekében hozandó technikai és szervezési intézkedéseket állapít meg;

f)	tájékoztatja az adatbirtokost az igénylésnek való meg nem felelés esetén a 37. cikk alapján kijelölt illetékes hatóság által a 40. cikk alapján kiszabandó szankciókról;

amennyiben a kérelmet egy közszférabeli_szervezet nyújtja be, továbbítani kell a kérelmező közszférabeli_szervezet székhelye szerinti tagállam 37. cikkben említett adatkoordinátorának, aki indokolatlan késedelem nélkül online elérhetővé teszi a kérelmet, kivéve, ha az adatkoordinátor úgy ítéli meg, hogy az ilyen közzététel kockázatot jelentene a közbiztonságra nézve;

h)	amennyiben a kérelmet a Bizottság, az Európai Központi Bank vagy egy uniós szerv nyújtja be, indokolatlan késedelem nélkül online elérhetővé kell tenni;

i)	amennyiben személyes adatokat igényelnek, indokolatlan késedelem nélkül értesíteni kell arról az adatbirtokos letelepedése szerinti tagállamban az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért felelős felügyeleti hatóságot.

Az Európai Központi Bank és az uniós_szervek kérelmeikről tájékoztatják a Bizottságot.

(3) A közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv nem bocsáthatja rendelkezésre az e fejezet alapján megszerzett adatokat az (EU) 2022/868 rendelet 2. cikkének 2. pontjában vagy az (EU) 2019/1024 irányelv 2. cikkének 11. pontjában meghatározott további felhasználás céljára. Az (EU) 2022/868 rendelet és az (EU) 2019/1024 irányelv nem alkalmazandó a közszférabeli_szervezetek által birtokolt, e fejezet alapján megszerzett adatokra.

(4) E cikk (3) bekezdése nem zárja ki, hogy egy közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv az e fejezet alapján megszerzett adatokat kicserélje egy másik közszférabeli_szervezettel, vagy a Bizottsággal, az Európai Központi Bankkal vagy egy uniós szervvel a 15. cikkben említett fel adatok ellátása céljából, a kérelemben az e cikk (1) bekezdésének f) pontjával összhangban meghatározottak szerint, vagy hogy harmadik fél rendelkezésére bocsássa az adatokat, amennyiben nyilvánosan elérhető megállapodás útján technikai ellenőrzéseket vagy egyéb fel adatokat delegált az említett harmadik félre. A közszférabeli_szervezetek 19. cikk szerinti kötelezettségei – különösen az üzleti titkok bizalmas jellegének megőrzését szolgáló biztosítékok – az ilyen harmadik felekre is alkalmazandók. Amennyiben egy közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv e bekezdés alapján adatokat továbbít vagy bocsát rendelkezésre, indokolatlan késedelem nélkül értesíti az adatbirtokost, akitől vagy amelytől az adatokat kapta.

(5) Amennyiben az adatbirtokos úgy ítéli meg, hogy az adatok továbbítása vagy rendelkezésre bocsátása révén sérültek az e fejezet szerinti jogai, panaszt nyújthat be az adatbirtokos letelepedése szerinti tagállamnak a 37. cikk alapján kijelölt illetékes hatóságához.

(6) A Bizottság kidolgozza az e cikk szerinti kérelmek vonatkozó formanyomtatvány-mintát.

18. cikk

Az adatigénylési kérelmek teljesítése

(1) Az adatbirtokos, amely e fejezet alapján adatok rendelkezésre bocsátása iránti kérelmet kap, indokolatlan késedelem nélkül a kérelmező közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv rendelkezésére bocsátja az adatokat, figyelembe véve a szükséges technikai, szervezési és jogi intézkedéseket.

(2) Az uniós vagy a nemzeti jogban meghatározott, az adatok rendelkezésre állásával kapcsolatos meghatározott szükségletek sérelme nélkül az adatbirtokos a szükséghelyzetre való reagáláshoz szükséges adatok esetében – indokolatlan késedelem nélkül, de mindenképpen a kérelem kézhezvételétől számított legfeljebb öt munkanapon belül, valamint a rendkívüli igény egyéb eseteiben indokolatlan késedelem nélkül, az ilyen kérelem kézhezvételétől számított legfeljebb 30 munkanapon belül – elutasíthatja az e fejezet szerinti, adatok rendelkezésre bocsátása iránti kérelmet, vagy kérheti annak módosítását a következő indokok bármelyike alapján:

a)	az adatbirtokos nem rendelkezik a kért adatok felett;

b)	egy másik közszférabeli_szervezet, vagy a Bizottság, az Európai Központi Bank vagy egy uniós szerv korábban ugyanazon célból nyújtott be hasonló kérelmet, és az adatbirtokost nem értesítették az adatok törléséről a 19. cikk (1) bekezdésének c) pontja szerint;

c)	a kérelem nem felel meg a 17. cikk (1) és (2) bekezdésében meghatározott feltételeknek.

(3) Ha az adatbirtokos úgy dönt, hogy a (2) bekezdés b) pontjával összhangban elutasítja a kérelmet vagy kéri annak módosítását, meg kell jelölnie azon közszférabeli_szervezetet, vagy a Bizottságot, az Európai Központi Bankot vagy azon uniós szervet, amely korábban ugyanazon célból nyújtott be kérelmet.

(4) Amennyiben a kért adatok személyes adatokat tartalmaznak, az adatbirtokosnak megfelelően anonimizálnia kell az adatokat, kivéve, ha az adatoknak egy közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv számára történő rendelkezésre bocsátása iránti kérelem teljesítéséhez személyes adatok közlésére van szükség. Ilyen esetekben az adatbirtokosnak álnevesítenie kell az adatokat.

(5) Amennyiben a közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv meg kívánja támadni az adatbirtokos azon döntését, hogy megtagadja a kért adatok szolgáltatását, vagy amennyiben az adatbirtokos meg kívánja támadni a kérelmet, és az ügy nem rendezhető a kérelem megfelelő módosításával, az ügyet az adatbirtokos letelepedése szerinti tagállamnak a 37. cikk alapján kijelölt illetékes hatósága elé kell utalni.

19. cikk

A közszférabeli_szervezetek, a Bizottság, az Európai Központi Bank és az uniós_szervek kötelezettségei

(1) Amennyiben egy közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv a 14. cikk szerint benyújtott kérelem alapján adatokat kap:

a)	nem használhatja fel az adatokat az igénylés céljával összeegyeztethetetlen módon;

b)	olyan technikai és szervezési intézkedéseket vezet be, amelyek megőrzik a kért adatok bizalmas jellegét és integritását és az adattovábbítások biztonságosságát, különös tekintettel a személyes adatokra, továbbá biztosítják az érintettek jogait és szabadságait;

törli az adatokat, amint azok már nem szükségesek a megadott célra, és indokolatlan késedelem nélkül tájékoztatja az adatok törléséről az adatbirtokost, valamint azon egyéneket vagy szervezeteket, amelyek a 21. cikk (1) bekezdése alapján megkapták az adatokat, kivéve, ha a dokumentumokhoz való nyilvános hozzáférésről szóló uniós vagy nemzeti jog az átláthatósági kötelezettségekkel összefüggésben az adatok archiválását írja elő.

(2) Amennyiben egy közszférabeli_szervezet, a Bizottság, az Európai Központi Bank, egy uniós szerv vagy egy harmadik fél e fejezet alapján adatokat kap, nem teheti meg, hogy:

felhasználja az adatbirtokos gazdasági helyzetére, eszközeire, termelési vagy működési eljárásaira vonatkozó adatokat vagy az ezekbe való betekintést az adatbirtokos összekapcsolt_termékével vagy kapcsolódó_szolgáltatásával versengő összekapcsolt_termék vagy kapcsolódó_szolgáltatás kifejlesztésére vagy továbbfejlesztésére;

b)	megosztja az adatokat az a) pontban említett bármelyik cél érdekében egy másik harmadik féllel.

(3) Az üzleti titkoknak egy közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv számára történő felfedése csak a 15. cikk szerinti kérelem céljának eléréséhez feltétlenül szükséges mértékben követelhető meg. Ilyen esetben az adatbirtokosnak vagy – amennyiben nem ugyanazon személyekről van szó – az üzleti_titok jogosultjának azonosítania kell, hogy a kapcsolódó meta adatokkal együtt mely adatok védettek üzleti_titokként. A közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv az üzleti_titok felfedése előtt minden szükséges és megfelelő technikai és szervezési intézkedést megtesz, hogy megőrizze az üzleti titkok bizalmas jellegét, ideértve adott esetben minta-szerződésifeltételek és technikai szabványok használatát, valamint magatartási kódexek alkalmazását.

(4) A közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy egy uniós szerv felel az általa kapott adatok biztonságáért.

20. cikk

Kompenzáció rendkívüli igény esetén

(1) A mikro- és kis vállalkozásokon kívüli adatbirtokosok díjmentesen bocsátják rendelkezésre a 15. cikk (1) bekezdésének a) pontja alapján a szükséghelyzetre való reagáláshoz szükséges adatokat. Amennyiben a közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv adatokat kapott, az adatbirtokosnak nyilvános elismerést biztosít, ha az adatbirtokos ezt kéri.

(2) Az adatbirtokos méltányos kompenzációra jogosult, amiért a 15. cikk (1) bekezdésének b) pontja alapján benyújtott kérelemnek eleget téve adatokat bocsát rendelkezésre. Az ilyen kompenzációnak fedeznie kell a kérelem teljesítésével felmerült technikai és szervezési költségeket, ideértve adott esetben az anonimizálás, az álnevesítés, az összesítés és a technikai kiigazítás költségeit és egy észszerű árrést. A közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv kérésére az adatbirtokosnak tájékoztatást kell nyújtania a költségek és az észszerű árrés kiszámítására szolgáló alapról.

(3) A (2) bekezdés alkalmazandó akkor is, ha mikrovállakozás és kis vállalkozás igényel kompenzációt az adatok rendelkezésre bocsátásáért.

(4) Az adatbirtokosok nem jogosultak kompenzációra adatoknak a 15. cikk (1) bekezdésének b) pontja alapján benyújtott kérelemnek eleget téve történő rendelkezésre bocsátásáért, amennyiben a közérdekből végzett konkrét fel adat hivatalos statisztikák előállítása, és amennyiben a nemzeti jog nem teszi lehetővé az adatok megvásárlását. A tagállamok értesítik a Bizottságot, amennyiben a nemzeti jog nem teszi lehetővé adatok megvásárlását a hivatalos statisztikák előállítása céljából.

(5) Amennyiben a közszférabeli_szervezet, a Bizottság, az Európai Központi Bank vagy az uniós szerv nem ért egyet az adatbirtokos által kért kompenzáció mértékével, panaszt nyújthat be az adatbirtokos letelepedése szerinti tagállamnak a 37. cikk alapján kijelölt illetékes hatóságához.

25. cikk

A szolgáltatóváltásra vonatkozó szerződési feltételek

(1) A szolgáltatók közötti vagy adott esetben egy helyszíni IKT-infrastruktúrára történő váltással kapcsolatban az ügyfél jogait és az adatkezelési_szolgáltatások szolgáltatójának kötelezettségeit írásbeli szerződésben kell egyértelműen rögzíteni. Az adatkezelési_szolgáltatások szolgáltatójának az említett szerződést aláírása előtt az ügyfél rendelkezésére kell bocsátania olyan módon, amely lehetővé teszi az ügyfél számára a szerződés megőrzését és másolat készítését.

(2) Az (EU) 2019/770 irányelv sérelme nélkül az e cikk (1) bekezdésében említett szerződésnek legalább a következőket kell tartalmaznia:

olyan kikötések, amelyek lehetővé teszik az ügyfél számára, hogy kérésre egy eltérő adatkezelési szolgáltató által kínált adatkezelési szolgáltatásra váltson, vagy valamennyi exportálható adatot és digitális eszközt egy helyszíni IKT-infrastruktúrába vigyen át indokolatlan késedelem nélkül, és mindenképpen a d) pontban említett maximális felmondási időt követően indítandó, legfeljebb 30 naptári napos kötelező maximális átmeneti időszakon belül, amely alatt a szolgáltatási szerződés továbbra is alkalmazandó, és amely alatt az adatkezelési szolgáltató köteles:

i.	észszerű segítséget nyújtani az ügyfélnek és az ügyfél által felhatalmazott harmadik feleknek a szolgáltatóváltási folyamat során;

ii.	kellő gondossággal eljárni az üzletmenet-folytonosság fenntartása érdekében, és folytatni a szerződés szerinti funkciók vagy szolgáltatások nyújtását;

iii.	egyértelmű tájékoztatást nyújtani a funkciók vagy szolgáltatások nyújtása során a forrás adatkezelési szolgáltató oldalán a folyamatosság tekintetében fennálló ismert kockázatokról;

iv.

biztosítani, hogy a szolgáltatóváltási folyamat alatt végig fennmaradjon a magas szintű biztonság, különös tekintettel az adatoknak az átvitelük alatti biztonságára és az adatoknak a g) pontban meghatározott visszanyerési időszak alatti folyamatos biztonságára, az alkalmazandó uniós vagy nemzeti jognak megfelelően;

b)	az adatkezelési szolgáltató azon kötelezettsége, hogy támogassa az ügyfélnek a szerződéses szolgáltatásokból történő kilépési stratégiáját, többek között valamennyi releváns információ rendelkezésre bocsátásával;

olyan kikötés, amely rögzíti, hogy a szerződést a következő esetek valamelyikében megszűntnek kell tekinteni, és az ügyfelet értesíteni kell a megszűnésről:

i.	adott esetben a szolgáltatóváltási folyamat sikeres befejezésekor;

ii.	a d) pontban említett maximális felmondási idő végén, amennyiben az ügyfél nem kíván váltani, hanem a szolgáltatás megszűnésekor törölni kívánja az exportálható adatait és digitális eszközeit;

d)	a szolgáltatóváltási folyamat megindításához szükséges maximális felmondási idő, amely nem haladhatja meg a két hónapot;

e)	a szolgáltatóváltási folyamat során átvihető valamennyi adatkategória és digitális eszköz teljes körű leírása, beleértve legalább az összes exportálható adatot;

a szolgáltató adatkezelési szolgáltatásának belső működése szempontjából sajátos azon adatkategóriák teljes körű meghatározása, amelyeket ki kell venni az e bekezdés e) pontja szerinti exportálható adatok közül, amennyiben fennáll a szolgáltató üzleti titkai megsértésének kockázata, feltéve, hogy az ilyen kivételek nem gátolják vagy késleltetik a 23. cikkben előírt szolgáltatóváltási folyamatot;

g)	az átmeneti időszaknak az ügyfél és az adatkezelési szolgáltató közötti megállapodás szerinti lezárása után kezdődő, legalább 30 naptári napos minimális adatvisszanyerési időszak, az e bekezdés a) pontjával és a (4) bekezdéssel összhangban;

olyan kikötés, amely garantálja a közvetlenül az ügyfél által generált vagy közvetlenül az ügyfélhez kapcsolódó valamennyi exportálható adat és digitális eszköz teljes körű törlését a g) pontban említett visszanyerési időszak lejártát követően, vagy egy megállapodott alternatív időszaknak a g) pontban említett visszanyerési időszak lejártánál későbbi napon történő lejártát követően, feltéve, hogy a szolgáltatóváltási folyamatot sikeresen befejezték;

i)	az adatkezelési szolgáltatók által a 29. cikkel összhangban kiróható szolgáltatóváltási díjak.

(3) Az (1) bekezdésben említett szerződésnek olyan kikötéseket kell tartalmaznia, amelyek úgy rendelkeznek, hogy az ügyfél értesítheti az adatkezelési szolgáltatót azon döntéséről, amely szerint a (2) bekezdés d) pontjában említett maximális felmondási időszak lezárását követően megteszi a következő egy vagy több lépést:

a)	vált egy eltérő adatkezelési szolgáltatóra, amely esetben az ügyfélnek meg kell adnia az említett szolgáltató szükséges adatait;

b)	vált egy helyszíni IKT-infrastruktúrára;

c)	törli az exportálható adatait és digitális eszközeit.

(4) Amennyiben a (2) bekezdés a) pontjában előírt kötelező maximális átmeneti időszak technikailag kivitelezhetetlen, az adatkezelési szolgáltató a szolgáltatóváltás iránti kérelem benyújtását követő 14 munkanapon belül értesíti az ügyfelet, és megfelelően megindokolja a technikai kivitelezhetetlenséget, valamint megjelöl egy alternatív, hét hónapot meg nem haladó átmeneti időszakot. Az (1) bekezdéssel összhangban az alternatív átmeneti időszak alatt végig biztosítani kell a szolgáltatás folytonosságát.

(5) A (4) bekezdés sérelme nélkül, az (1) bekezdésben említett szerződésnek olyan kikötéseket kell tartalmaznia, amelyek biztosítják az ügyfélnek a jogot, hogy meghosszabbítsa az átmeneti időszakot egyszer, az ügyfél saját céljainak jobban megfelelő időtartamra.

30. cikk

A szolgáltatóváltás technikai vonatkozásai

(1) Az infrastruktúra működtetéséhez szükséges infrastrukturális elemekre, például szerverekre, hálózatokra és a virtuális erőforrásokra korlátozott, méretezhető és rugalmas számítástechnikai erőforrásokat érintő adatkezelési_szolgáltatásokat nyújtó szolgáltatók, amelyek azonban nem biztosítanak hozzáférést az ezen infrastrukturális elemeken tárolt, más módon kezelt vagy telepített operációs szolgáltatásokhoz, szoftverekhez és alkalmazásokhoz, a 27. cikkel összhangban kötelesek meghozni minden módjukban álló észszerű intézkedést annak megkönnyítése érdekében, hogy az ügyfél, miután egy azonos_szolgáltatástípusú szolgáltatásra váltott, a cél adatkezelési szolgáltatás igénybevétele során funkcionális_egyenértékűséget érjen el. A forrás adatkezelési szolgáltatónak képességek, megfelelő információk, dokumentáció, technikai támogatás és adott esetben a szükséges eszközök biztosításával kell megkönnyítenie a szolgáltatóváltási folyamatot.

(2) Az (1) bekezdésben említett adatkezelési szolgáltatóktól eltérő adatkezelési szolgáltatóknak nyílt interfészeket kell költségmentesen, egyenlő mértékben elérhetővé tenniük valamennyi ügyfelük és az érintett cél adatkezelési szolgáltatók számára azért, hogy megkönnyítsék a szolgáltatóváltási folyamatot. Az említett interfészeknek elegendő információt kell tartalmazniuk az érintett szolgáltatásokról ahhoz, hogy az adathordozhatóság és interoperabilitás céljából lehetővé váljék a szolgáltatásokkal való kommunikációra szolgáló szoftver kifejlesztése.

(3) Az adatkezelési szolgáltatóknak az e cikk (1) bekezdésében említett adatkezelési_szolgáltatásoktól eltérő adatkezelési_szolgáltatások tekintetében biztosítaniuk kell a nyílt interoperabilitási előírásokon vagy harmonizált interoperabilitási szabványokon alapuló közös_előírásokkal való kompatibilitást legalább 12 hónappal azt követően, hogy az említett közös_előírásokra vagy az adatkezelési_szolgáltatások harmonizált interoperabilitási szabványaira való hivatkozásokat közzétették az adatkezelési_szolgáltatások interoperabilitására vonatkozó központi uniós szabványtárban, miután az alapul szolgáló végrehajtási jogi aktusokat kihirdették az Európai Unió Hivatalos Lapjában a 35. cikk (8) bekezdésével összhangban.

(4) Az e cikk (1) bekezdésében említett adatkezelési szolgáltatóktól eltérő adatkezelési szolgáltatóknak – az e cikk (3) bekezdése szerinti kötelezettségeikkel összhangban – napra késszé kell tenniük a 26. cikk b) pontjában említett online nyilvántartást.

(5) Az azonos_szolgáltatástípusú szolgáltatások közötti szolgáltatóváltás esetén, amelyek tekintetében a 35. cikk (8) bekezdésével összhangban nem tették közzé az e cikk (3) bekezdésében említett közös_előírásokat vagy harmonizált interoperabilitási szabványokat az adatkezelési_szolgáltatások interoperabilitására vonatkozó központi uniós szabványtárban, az adatkezelési szolgáltatónak az ügyfél kérésére strukturált, általánosan használt és géppel olvasható formátumban exportálnia kell valamennyi exportálható adatot.

(6) Az adatkezelési szolgáltatók nem kötelezhetők új technológiák vagy szolgáltatások kifejlesztésére, szellemitulajdon-jogok által védett vagy üzleti_titoknak minősülő digitális_eszközök egy ügyfél vagy egy eltérő adatkezelési szolgáltató részére történő felfedésére vagy továbbítására, vagy arra, hogy az ügyfél vagy a szolgáltató biztonságát és a szolgáltatásintegritást veszélyeztesse.

32. cikk

Nemzetközi kormányzati hozzáférés és továbbítás

(1) Az adatkezelési szolgáltatóknak – a (2) vagy a (3) bekezdés sérelme nélkül – meg kell hozniuk valamennyi megfelelő technikai, szervezési és jogi intézkedést, ideértve szerződéseket is, annak érdekében, hogy megakadályozzák az Unióban tárolt nem személyes adatok tekintetében a nemzetközi és harmadik ország általi kormányzati hozzáférést és továbbítást, amennyiben az ilyen továbbítás vagy hozzáférés az uniós joggal vagy a releváns tagállam nemzeti jogával való ütközésre vezetne.

(2) Valamely harmadik ország bíróságának vagy igazságszolgáltatási fórumának bármely olyan határozata vagy ítélete, vagy harmadik ország közigazgatási hatóságának bármely olyan határozata, amely egy adatkezelési szolgáltatót az e rendelet hatálya alá tartozó, az Unióban tárolt nem személyes adatok továbbítására vagy az azokhoz való hozzáférés biztosítására kötelezi, csak akkor ismerhető el vagy hajtható végre bármely módon, ha az a kérelmező harmadik ország és az Unió, vagy a kérelmező harmadik ország és valamely tagállam között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul.

(3) A (2) bekezdésben említett nemzetközi megállapodás hiányában, amennyiben egy adatkezelési szolgáltató a címzettje valamely harmadik ország bírósága vagy igazságszolgáltatási fóruma által hozott olyan határozatnak vagy ítéletnek, vagy egy harmadik országbeli közigazgatási hatóság olyan határozatának, amely az e rendelet hatálya alá tartozó, az Unióban tárolt nem személyes adatok továbbítását vagy az azokhoz való hozzáférés biztosítását írja elő, és az ilyen határozatnak való megfelelés azzal a kockázattal járna, hogy a határozat címzettje konfliktusba kerülhet az uniós joggal vagy a releváns tagállam nemzeti jogával, az ilyen adatok csak akkor továbbíthatók az említett harmadik országbeli hatóság részére, vagy azokhoz számára hozzáférés csak akkor biztosítható, ha:

a harmadik országbeli rendszer előírja az ilyen határozat vagy ítélet megindokolását és arányosságának bizonyítását, továbbá megköveteli, hogy az ilyen határozat vagy ítélet konkrét legyen, például azáltal, hogy bizonyos gyanúsított személyekkel vagy jogsértésekkel elégséges kapcsolatot állapít meg;

b)	a címzett indokolt kifogását a harmadik ország illetékes bírósága vagy igazságszolgáltatási fóruma felülvizsgálhatja; és

a határozatot vagy ítéletet hozó, vagy a közigazgatási hatóság határozatát felülvizsgáló illetékes harmadik országbeli bíróságnak vagy igazságszolgáltatási fórumnak az adott harmadik ország joga szerint hatásköre van arra, hogy kellően vegye figyelembe az adat szolgáltatójának az uniós jog vagy a releváns tagállam nemzeti joga által védett vonatkozó jogi érdekeit.

A határozat vagy ítélet címzettje kérheti a jogi ügyekben folytatott nemzetközi együttműködésért felelős releváns nemzeti szerv vagy hatóság véleményét annak megállapítása érdekében, hogy az első albekezdésben megállapított feltételek teljesülnek-e, különösen akkor, ha megítélése szerint a határozat üzleti titkokra és egyéb üzleti szempontból érzékeny adatokra, valamint szellemitulajdon-jogok által védett tartalomra vonatkozhat, vagy a továbbítás újbóli azonosítást eredményezhet. A releváns nemzeti szerv vagy hatóság konzultálhat a Bizottsággal. Ha a címzett úgy ítéli meg, hogy a határozat vagy az ítélet sértheti az Unió vagy tagállamai nemzetbiztonsági vagy védelmi érdekeit, ki kell kérnie a releváns nemzeti szerv vagy hatóság véleményét annak megállapítása érdekében, hogy a kért adatok érintik-e az Unió vagy tagállamai nemzetbiztonsági vagy védelmi érdekeit. Ha a címzett egy hónapon belül nem kap választ, vagy ha az ilyen szerv vagy hatóság véleménye megállapítja, hogy az első albekezdésben említett feltételek nem teljesülnek, a címzett az említett indokok alapján elutasíthatja a nem személyes adatok továbbítása vagy az azokhoz való hozzáférés iránti kérelmet.

A 42. cikkben említett Európai Adatinnovációs Testület tanácsot ad és segítséget nyújt a Bizottságnak azon értékelésre vonatkozó iránymutatások kidolgozásához, hogy teljesülnek-e az e bekezdés első albekezdésében megállapított feltételek.

(4) Ha a (2) vagy a (3) bekezdésben megállapított feltételek teljesülnek, az adatkezelési szolgáltató biztosítja a kérelemre válaszul megengedhető minimális adatmennyiséget, az említett kérelemnek a szolgáltató vagy a (3) bekezdés második albekezdésében említett releváns nemzeti szerv vagy hatóság általi észszerű értelmezése alapján.

(5) Az adatkezelési szolgáltatónak a kérelem teljesítése előtt tájékoztatnia kell az ügyfelet arról, hogy egy harmadik ország hatósága az adataihoz való hozzáférés iránti kérelmet nyújtott be, kivéve, ha a kérelem bűnüldözési célokat szolgál, és mindaddig, amíg ez a bűnüldözési tevékenység eredményességének megőrzéséhez szükséges.

VIII. FEJEZET

INTEROPERABILITÁS

37. cikk

Illetékes hatóságok és adatkoordinátorok

(1) Minden egyes tagállam kijelöl egy vagy több illetékes hatóságot, amely felelős e rendelet alkalmazásáért és érvényesítéséért (a továbbiakban: illetékes hatóságok). A tagállamok létrehozhatnak egy vagy több új hatóságot, vagy támaszkodhatnak a meglévő hatóságokra.

(2) Amennyiben egy tagállam egynél több illetékes hatóságot jelöl ki, közülük kijelöl egy adatkoordinátort az illetékes hatóságok közötti együttműködés megkönnyítése, valamint az e rendelet hatálya alá tartozó szervezeteknek a rendelet alkalmazásával és érvényesítésével kapcsolatos valamennyi kérdésben történő támogatása érdekében. Az illetékes hatóságoknak az (5) bekezdés alapján rájuk ruházott fel adatok elvégzése és hatáskörök gyakorlása során együtt kell működniük egymással.

(3) Az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért felelős felügyeleti hatóságok felelősek e rendelet alkalmazásának a személyes adatok védelme tekintetében történő nyomon követéséért. Az (EU) 2016/679 rendelet VI. és VII. fejezete értelemszerűen alkalmazandó.

Az európai adatvédelmi biztos felelős e rendelet alkalmazásának nyomon követéséért a Bizottság, az Európai Központi Bank vagy az uniós_szervek tekintetében. Adott esetben az (EU) 2018/1725 rendelet 62. cikke értelemszerűen alkalmazandó.

A felügyelő hatóságok e bekezdésben említett fel adatait, illetve hatásköreit a személyes adatok kezelésére tekintettel kell elvégezni, illetve gyakorolni.

(4) E cikk (1) bekezdésének sérelme nélkül:

a)	az e rendelet alkalmazásához kapcsolódó sajátos ágazati adathozzáférési és -felhasználási kérdések tekintetében tiszteletben kell tartani az ágazati hatóságok hatáskörét;

b)	a 23–31. cikk, valamint a 34. és a 35. cikk alkalmazásáért és érvényesítéséért felelős illetékes hatóságnak tapasztalattal kell rendelkeznie az adatszolgáltatások és az elektronikus hírközlési szolgáltatások területén.

(5) A tagállamok biztosítják, hogy az illetékes hatóságok fel adatait és hatásköreit egyértelműen meghatározzák, és azok magukban foglalják a következőket:

a)	az e rendelet hatálya alá tartozó felhasználók és szervezetek körében az adatműveltség, valamint az e rendelet szerinti jogokkal és kötelezettségekkel kapcsolatos tudatosság előmozdítása;

az e rendelet állítólagos megsértése nyomán benyújtott panaszok kezelése, beleértve az üzleti titkokkal kapcsolatos panaszokat is, a panaszok tárgyának szükséges mértékű kivizsgálása, továbbá a panaszosok észszerű határidőn belül történő rendszeres tájékoztatása – adott esetben a nemzeti joggal összhangban – a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik illetékes hatósággal való koordináció válik szükségessé;

c)	vizsgálatok lefolytatása az e rendelet alkalmazásával kapcsolatos ügyekben, többek között egy másik illetékes hatóságtól vagy más hatóságtól kapott információ alapján;

d)	hatékony, arányos és visszatartó erejű pénzügyi szankciók kiszabása, beleértve a kényszerítő bírságokat és a visszamenőleges hatályú szankciókat is, vagy pénzbírság kiszabására irányuló bírósági eljárás kezdeményezése;

e)	az adatok rendelkezésre bocsátása és felhasználása szempontjából releváns technológiai és kereskedelmi fejlemények nyomon követése;

együttműködés más tagállamok illetékes hatóságaival és adott esetben a Bizottsággal vagy az Európai Adatinnovációs Testülettel e rendelet következetes és hatékony alkalmazásának biztosítása érdekében, ideértve valamennyi releváns információ indokolatlan késedelem nélküli, elektronikus úton történő cseréjét is, többek között e cikk (10) bekezdése vonatkozásában.

együttműködés az egyéb uniós vagy nemzeti jogi aktusok végrehajtásáért felelős releváns illetékes hatóságokkal, többek között az adatok és az elektronikus hírközlési szolgáltatások területén illetékes hatóságokkal, az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért felelős felügyeleti hatósággal vagy az ágazati hatóságokkal annak biztosítása érdekében, hogy e rendeletet az egyéb uniós és nemzeti joggal összhangban érvényesítsék.

h)	együttműködés a releváns illetékes hatóságokkal annak biztosítása érdekében, hogy a 23–31. cikket, valamint a 34. és a 35. cikket az adatkezelési_szolgáltatásokat nyújtó szolgáltatókra alkalmazandó egyéb uniós joggal és önszabályozással összhangban érvényesítsék.

i)	annak biztosítása, hogy a szolgáltatóváltási díjakat a 29. cikkel összhangban visszavonják;

j)	az V. fejezet alapján benyújtott adatigénylések vizsgálata.

Amennyiben kijelöltek adatkoordinátort, annak elő kell segítenie az első albekezdés f), g) és h) pontjában említett együttműködést, és – azok kérésére – segítséget kell nyújtania az illetékes hatóságok számára;

(6) Az adatkoordinátor, amennyiben kijelöltek ilyen illetékes hatóságot:

a)	egyedüli kapcsolattartó pontként jár el az e rendelet alkalmazásával kapcsolatos valamennyi kérdésben;

biztosítja a közszférabeli_szervezetek által az V. fejezet szerinti rendkívüli igények fennállása esetén benyújtott, az adatok rendelkezésre bocsátása iránti kérelmek online nyilvános elérhetőségét, továbbá előmozdítja a közszférabeli_szervezetek és az adatbirtokosok közötti önkéntes adatmegosztási megállapodásokat;

c)	évente tájékoztatja a Bizottságot a 4. cikk (2) és (8) bekezdése és az 5. cikk (11) bekezdése alapján bejelentett elutasításokról.

(7) A tagállamok értesítik a Bizottságot az illetékes hatóságok nevéről, azok fel adatairól és hatásköreiről, valamint adott esetben az adatkoordinátor nevéről. A Bizottság nyilvános regisztert vezet az említett hatóságokról.

(8) Fel adataik, illetve hatásköreik e rendelettel összhangban történő ellátása, illetve gyakorlása során az illetékes hatóságoknak pártatlanul és mindenféle – akár közvetlen, akár közvetett – külső befolyástól mentesen kell eljárniuk, és egyedi esetek tekintetében semmilyen más hatóságtól vagy magánféltől nem kérhetnek és nem fogadhatnak el utasítást.

(9) A tagállamok biztosítják, hogy az illetékes hatóságok elegendő emberi és technikai erőforrással, valamint releváns szakértelemmel rendelkezzenek ahhoz, hogy e rendelettel összhangban eredményesen lássák el fel adataikat.

(10) Az e rendelet hatálya alá tartozó szervezetek a szervezet letelepedése szerinti tagállam illetékessége alá tartoznak. Amennyiben a szervezet egynél több tagállamban telepedett le, úgy kell tekinteni, hogy azon tagállam illetékessége alá tartozik, amelyben a szervezet székhelye található, azaz, ahol a szervezet központi ügyintézésének helye vagy létesítő okirat szerinti székhelye található, ahonnan fő pénzügyi fel adatait ellátja, és operatív ellenőrzést gyakorol.

(11) Az e rendelet hatálya alá tartozó minden olyan szervezetnek, amely összekapcsolt_termékeket tesz elérhetővé vagy kapcsolódó_szolgáltatásokat kínál az Unióban, és amely nem az Unióban telepedett le, jogi képviselőt kell kijelölnie a tagállamok egyikében.

(12) Az e rendeletnek való megfelelés biztosítása céljából az e rendelet hatálya alá tartozó, az Unióban összekapcsolt_termékeket elérhetővé tevő vagy kapcsolódó_szolgáltatásokat kínáló szervezeteknek jogi képviselőt kell megbízniuk, hogy az illetékes hatóságok minden, az adott szervezetet érintő kérdésben – a szervezet mellett vagy helyett – a jogi képviselővel vegyék fel a kapcsolatot. Az említett jogi képviselőnek együtt kell működnie az illetékes hatóságokkal, és kérésre átfogóan be kell mutatnia az illetékes hatóságoknak az e rendelet hatálya alá tartozó, az Unióban összekapcsolt_termékeket elérhetővé tevő vagy kapcsolódó_szolgáltatásokat kínáló szervezet által az e rendeletnek való megfelelés biztosításáért tett intézkedéseket és hozott rendelkezéseket.

(13) Az e rendelet hatálya alá tartozó, az Unióban összekapcsolt_termékeket elérhetővé tevő vagy kapcsolódó_szolgáltatásokat kínáló szervezetet úgy kell tekinteni, hogy azon tagállam illetékessége alá tartozik, amelyben a jogi képviselője található. Az, hogy egy ilyen szervezet jogi képviselőt jelöl ki, nem érinti az ilyen szervezet felelősségét és a vele szemben indítható jogi eljárásokat. Mindaddig, amíg egy szervezet e cikkel összhangban nem jelöl ki jogi képviselőt, a szervezet e rendelet alkalmazásának és érvényesítésének biztosítása céljából adott esetben valamennyi tagállam illetékes eljárni. Bármely illetékes hatóság gyakorolhatja hatáskörét, többek között hatékony, arányos és visszatartó erejű szankciók kiszabásával, feltéve, hogy a szervezet ellen egy másik illetékes hatóság nem folytat e rendelet alapján ugyanazon tények tekintetében végrehajtási eljárást.

(14) Az illetékes hatóságoknak hatáskörük van bekérni az illetékes tagállambeli felhasználóktól, adatbirtokosoktól vagy adatátvevőktől, vagy azok jogi képviselőitől minden olyan információt, amely az e rendeletnek való megfelelés ellenőrzéséhez szükséges. Az információk iránti bármely kérelemnek arányosnak kell lennie az alapul fekvő fel adat teljesítésével, és azokat indokolással kell ellátni.

(15) Amennyiben egy tagállam illetékes hatósága egy másik tagállam illetékes hatóságától segítség nyújtását vagy végrehajtási intézkedések elvégzését kéri, indokolással ellátott megkeresést kell benyújtania. Az illetékes hatóságnak az ilyen megkeresés kézhezvételét követően indokolatlan késedelem nélkül választ kell adnia, részletezve a már megtett vagy megtenni szándékozott intézkedéseket.

(16) Az illetékes hatóságoknak tiszteletben kell tartaniuk a titoktartás, valamint a szakmai és üzleti_titoktartás elvét, és védeniük kell a személyes adatokat az uniós vagy a nemzeti joggal összhangban. Egy segítségnyújtás iránti kérelemmel összefüggésben kicserélt és e cikk alapján biztosított bármely információ kizárólag abban az ügyben használható fel, amellyel kapcsolatban azt kérték.

38. cikk

Panasztételi jog

(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult arra, hogy egyénileg vagy adott esetben kollektíven panaszt nyújtson be a szokásos tartózkodási helye, a munkahelye vagy a letelepedési helye szerinti tagállam releváns illetékes hatóságához, ha megítélése szerint az e rendelet szerinti jogait megsértették. Az adatkoordinátornak kérésre meg kell adnia valamennyi szükséges információt a természetes és jogi személyek számára ahhoz, hogy panaszaikat a megfelelő illetékes hatósághoz benyújthassák.

(2) Azon illetékes hatóság, amelyhez a panaszt benyújtották, a nemzeti joggal összhangban köteles tájékoztatni a panaszost az eljárás fejleményeiről és a meghozott határozatról.

(3) Az illetékes hatóságoknak együtt kell működniük a panaszok hatékony és időben történő kezelése és megoldása érdekében, ideértve az összes releváns információ indokolatlan késedelem nélküli, elektronikus úton történő cseréjét is. Ezen együttműködés nem érintheti az (EU) 2016/679 rendelet VI. és VII. fejezete, valamint az (EU) 2017/2394 rendelet által előírt együttműködési mechanizmusokat.

40. cikk

Szankciók

(1) A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtásának biztosítására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük.

(2) A tagállamok 2025. szeptember 12-ig értesítik a Bizottságot az említett szabályokról és intézkedésekről, és haladéktalanul értesítik az azokat érintő későbbi módosításokról. A Bizottság az említett intézkedésekről könnyen hozzáférhető és nyilvános nyilvántartást vezet, és rendszeresen frissíti azt.

(3) A tagállamok figyelembe veszik az Európai Adatinnovációs Testület ajánlásait és a következő, nem kimerítő jellegű kritériumokat az e rendelet megsértése esetén alkalmazandó szankciók kiszabásakor:

a)	a jogsértés jellege, súlyossága, mértéke és időtartama;

b)	a jogsértő fél által a jogsértéssel okozott kár enyhítésére vagy orvoslására tett bármilyen intézkedés;

c)	a jogsértő fél által korábban elkövetett jogsértések;

d)	a jogsértő fél által a jogsértés következtében szerzett pénzügyi előnyök vagy elkerült veszteség, amennyiben az ilyen előnyök vagy veszteség megbízható módon megállapítható;

e)	az eset körülményeire alkalmazható minden egyéb súlyosbító vagy enyhítő tényező;

f)	a jogsértő fél által az előző pénzügyi évben az Unióban elért éves árbevétel.

(4) Az e rendelet II., III. és V. fejezetében megállapított kötelezettségek megsértése esetén az (EU) 2016/679 rendelet 51. cikkében említett felügyeleti hatóságok hatáskörükön belül az (EU) 2016/679 rendelet 83. cikkével összhangban és az említett rendelet 83. cikkének (5) bekezdésében említett összeghatárig közigazgatási bírságot szabhatnak ki.

(5) Az e rendelet V. fejezetében foglalt kötelezettségek megsértése esetén az európai adatvédelmi biztos saját hatáskörén belül az (EU) 2018/1725 rendelet 66. cikkével összhangban és az említett rendelet 66. cikkének (3) bekezdésében említett összeghatárig közigazgatási bírságot szabhat ki.

42. cikk

Az Európai Adatinnovációs Testület szerepe

Az (EU) 2022/868 rendelet 29. cikke alapján a Bizottság által szakértői csoportként létrehozott Európai Adatinnovációs Testület, amelyben az illetékes hatóságok képviseltetik magukat, a következők révén támogatja e rendelet következetes alkalmazását:

a)	tanácsadás és segítségnyújtás a Bizottság számára az illetékes hatóságok következetes gyakorlatának kialakítása tekintetében a II., III., V. és VII. fejezet érvényesítése során;

az illetékes hatóságok közötti együttműködés megkönnyítése kapacitásépítés és információcsere révén, különösen a II., a III. és az V. fejezet szerinti jogok és kötelezettségek határokon átnyúló ügyekben történő érvényesítéséről folytatott hatékony információcsere módszereinek a kidolgozása révén, ideértve a szankciók megállapításával kapcsolatos koordinációt is;

tanácsadás és segítségnyújtás a Bizottság számára a következők tekintetében:

i.	kérje-e a 33. cikk (4) bekezdésében, a 35. cikk (4) bekezdésében és a 36. cikk (5) bekezdésében említett harmonizált_szabványok kidolgozását;

ii.	a 33. cikk (5) bekezdésében, a 35. cikk (5) és (8) bekezdésében és a 36. cikk (6) bekezdésében említett végrehajtási jogi aktusok kidolgozása;

iii.	a 29. cikk (7) bekezdésében és a 33. cikk (2) bekezdésében említett, felhatalmazáson alapuló jogi aktusok kidolgozása; és

iv.	a közös európai adatterek működéséhez szükséges, a 33. cikk (11) bekezdésében említett egységes szabványokra és gyakorlatokra vonatkozó interoperabilitási kereteket megállapító iránymutatások elfogadása.

X. FEJEZET

A 96/9/EK IRÁNYELV SZERINTI SUI GENERIS JOG

49. cikk

Értékelés és felülvizsgálat

(1) A Bizottság 2028. szeptember 12-ig elvégzi e rendelet értékelését, és a főbb megállapításairól jelentést nyújt be az Európai Parlamentnek és a Tanácsnak, valamint az Európai Gazdasági és Szociális Bizottságnak. Az értékelés különösen a következőkre terjed ki:

az e rendelet 15. cikkének alkalmazásában rendkívüli igényt támasztó helyzeteknek tekintendő helyzetek és e rendelet V. fejezetének alkalmazása, különösen e rendelet V. fejezetének a közszférabeli_szervezetek, a Bizottság, az Európai Központi Bank és az uniós_szervek általi alkalmazása során szerzett tapasztalatok; e rendelet V. fejezetének alkalmazásával kapcsolatban a 18. cikk (5) bekezdése alapján az illetékes hatóság elé vitt eljárások száma és eredménye, az illetékes hatóságok jelentése szerint; az információhoz való hozzáférés iránti kérelmek teljesítése céljából az uniós vagy nemzeti jogban megállapított egyéb kötelezettségek hatása; az önkéntes adatmegosztási mechanizmusok – így például az (EU) 2022/868 rendelet alapján elismert adataltruista szervezetek által bevezetett mechanizmusok – hatása e rendelet V. fejezete célkitűzéseinek elérésére, valamint a személyes adatok szerepe e rendelet 15. cikkével összefüggésben, ideértve a magánélet védelmét erősítő technológiák fejlődését is;

b)	e rendelet hatása a gazdaságban történő adatfelhasználásra, többek között az adatinnovációra, az adatmonetizálási gyakorlatokra és az adatközvetítő szolgáltatásokra, valamint a közös európai adattereken belüli adatmegosztásra;

c)	a különböző adatkategóriák és -típusok hozzáférhetősége és felhasználása;

d)	a vállalkozások bizonyos kategóriáinak mint kedvezményezetteknek az 5. cikk szerinti kizárása;

e)	a szellemi tulajdonjogokra gyakorolt bármely hatás hiánya;

az üzleti titkokra, többek között azok jogosulatlan megszerzésével, felhasználásával és felfedésével szembeni védelemre gyakorolt hatás, valamint azon mechanizmus hatása, amely lehetővé teszi az adatbirtokos számára, hogy a 4. cikk (8) bekezdése és az 5. cikk (11) bekezdése alapján elutasítsa a felhasználó kérelmét, figyelembe véve, amennyire lehetséges, az (EU) 2016/943 irányelv bármely felülvizsgálatát;

g)	vajon a tisztességtelen szerződési feltételek 13. cikkben említett listája naprakész-e az új üzleti gyakorlatok és a piaci innováció gyors üteme fényében;

h)	az adatkezelési szolgáltatók szerződéses gyakorlatában bekövetkezett változások, és hogy vajon ez a 24. cikknek való kellő megfelelést eredményez-e;

i)	az adatkezelési szolgáltatók által a szolgáltatóváltási folyamatért kirótt díjak csökkenése, a szolgáltatóváltási díjak 29. cikk szerinti fokozatos visszavonásával összhangban;

j)	e rendeletnek az adatgazdaság szempontjából releváns egyéb uniós jogi aktusokkal való kölcsönhatása;

k)	a nem személyes adatokhoz való jogellenes kormányzati hozzáférés megelőzése;

l)	a 37. cikk szerint előírt végrehajtási rendszer hatékonysága;

m)	e rendeletnek a kkv-kra gyakorolt hatása azok innovációs képessége, valamint az adatkezelési_szolgáltatásoknak az unióbeli felhasználók számára való elérhetősége és az új kötelezettségeknek való megfeleléssel járó terhek tekintetében.

(2) A Bizottság 2028. szeptember 12-ig elvégzi e rendelet értékelését, és a főbb megállapításairól jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és az Európai Gazdasági és Szociális Bizottságnak. Az említett értékelés során fel kell mérni a 23–31. cikk, valamint a 34. cikk és a 35. cikk hatásait, különös tekintettel az árképzésre és az Unión belül kínált adatkezelési_szolgáltatások sokféleségére, külön hangsúlyt helyezve a kkv-szolgáltatókra.

(3) A tagállamok megküldik a Bizottságnak az (1) és (2) bekezdésben említett jelentések elkészítéséhez szükséges információkat.

(4) Az (1) és (2) bekezdésben említett jelentések alapján a Bizottság adott esetben jogalkotási javaslatot nyújthat be az Európai Parlamentnek és a Tanácsnak e rendelet módosítása céljából.

whereas

keyboard_tab Data Act 2023/2854 HU

Data Act 2023/2854 HU