Data Act 2023/2854 LT

1. Susietieji gaminiai projektuojami ir gaminami, o susijusios paslaugos rengiamos ir teikiamos taip, kad gaminio duomenys ir susijusios paslaugos duomenys, įskaitant atitinkamus metaduomenis, būtinus tuos duomenims aiškinti ir naudoti, būtų automatiškai, lengvai, saugiai, nemokamai išsamiu, struktūrintu, įprastai naudojamu ir kompiuteriu skaitomu formatu ir, kai aktualu ir techniškai įmanoma, tiesiogiai prieinami naudotojui.

2. Prieš sudarant susietojo gaminio pirkimo, nuomos ar išperkamosios nuomos sutartį, pardavėjas, nuomotojas ar nuomotojas išsipirktinai, kurie gali būti gamintoju, naudotojui aiškiai ir suprantamai pateikia bent šią informaciją:

a)	gaminio duomenų, kuriuos gali generuoti susietasis gaminys, rūšį, formatą ir numatomą kiekį;

b)	ar susietasis gaminys gali generuoti duomenis nuolat ir tikruoju laiku;

c)	ar susietasis gaminys gali saugoti duomenis pačiame įrenginyje arba nuotoliniame serveryje, įskaitant, kai taikoma, numatomą saugojimo trukmę;

d)	kaip naudotojas gali prieiti prie duomenų, juos išrinkti arba, kai aktualu, ištrinti, įskaitant technines priemones tai padaryti, taip pat jų naudojimo sąlygas ir informaciją apie paslaugos kokybę.

3. Prieš sudarant sutartį dėl susijusios paslaugos teikimo, tokios susijusios paslaugos teikėjas naudotojui aiškiai ir suprantamai pateikia bent šią informaciją:

a)	gaminio duomenų, kuriuos, kaip tikimasi, numatomas duomenų turėtojas turi gauti, pobūdis, numatomas kiekis ir rinkimo dažnumas, taip pat, kai aktualu, naudotojo prieigos prie tokių duomenų arba jų išrinkimo tvarka, įskaitant numatomo duomenų turėtojo duomenų kaupimo ir saugojimo trukmės politiką;

b)	susijusios paslaugos duomenų, kurie bus generuojami, pobūdis ir numatomas kiekis, taip pat naudotojo prieigos prie tokių duomenų arba jų išrinkimo tvarka, įskaitant numatomo duomenų turėtojo duomenų kaupimo ir saugojimo trukmės politiką;

c)	ar numatomas duomenų turėtojas mano, jog pats naudos lengvai prieinamus duomenis, ir kokiais tikslais tie duomenys bus naudojami, taip pat ar naudotojas ketina leisti vienai ar daugiau trečiųjų šalių naudoti duomenis su juo sutartais tikslais;

d)	numatomo duomenų turėtojo tapatybė, pavyzdžiui, jo prekybinis pavadinimas ir geografinis adresas, kuriuo jis yra įsisteigęs, taip pat, kai taikytina, kitos duomenis tvarkančios šalys;

e)	ryšio priemonės, kuriomis galima greitai susisiekti su numatomu duomenų turėtoju ir veiksmingai su juo bendrauti;

f)	kaip naudotojas gali prašyti dalytis duomenimis su trečiąja šalimi ir, kai taikytina, nutraukti dalijimąsi duomenimis;

g)	naudotojo teisė pagal 37 straipsnį paskirtai kompetentingai institucijai pateikti skundą dėl įtariamo bet kurių šio skyriaus nuostatų pažeidimo;

ar numatomas duomenų turėtojas yra komercinių paslapčių, esančių duomenyse, prie kurių galima prieiti per susietąjį gaminį arba kurie bus sugeneruoti teikiant susijusią paslaugą, turėtojas ir, jei numatomas duomenų turėtojas nėra komercinės paslapties turėtojas, komercinės paslapties turėtojo tapatybė;

i)	naudotojo ir numatomo duomenų turėtojo sutarties trukmė ir tokios sutarties nutraukimo tvarka.

5 straipsnis

Naudotojo teisė dalytis duomenimis su trečiosiomis šalimis

1. Naudotojo arba naudotojo vardu veikiančios šalies prašymu duomenų turėtojas nepagrįstai nedelsdamas suteikia trečiajai šaliai galimybę, naudotojui nemokant jokių mokesčių, lengvai, saugiai ir išsamiu, struktūrintu, įprastai naudojamu ir kompiuteriu skaitomu formatu ir, kai aktualu ir techniškai įmanoma, nepertraukiamai ir tikruoju laiku gauti lengvai prieinamus duomenis, kurie yra tos pačios kokybės, kokios jie prieinami duomenų turėtojui, taip pat atitinkamus metaduomenis, kurie yra būtini tiems duomenims aiškinti ir naudoti. Duomenų turėtojas galimybę gauti duomenis trečiajai šaliai suteikia laikydamasis 8 ir 9 straipsnių.

2. 1 dalis netaikoma naujų susietų gaminių, medžiagų ar procesų, kurie dar nėra pateikti rinkai, lengvai prieinamiems duomenims bandymų kontekste, nebent trečiajai šaliai juos naudoti leidžiama pagal sutartį.

3. Bet kuri įmonė, kuriai pagal Reglamento (ES) 2022/1925 3 straipsnį suteiktas prieigos valdytojo statusas, pagal šį straipsnį nėra reikalavimus atitinkanti trečioji šalis, todėl ji negali:

a)	kokiu nors būdu raginti arba komercinėmis priemonėmis skatinti naudotojo, be kita ko, teikdama piniginę ar bet kokią kitą kompensaciją, suteikti galimybę gauti duomenis, kuriuos naudotojas gavo pateikęs prašymą pagal 4 straipsnio 1 dalį, kad šie būtų panaudoti vienai iš jos paslaugų;

b)	raginti arba komercinėmis priemonėmis skatinti naudotojo pagal šio straipsnio 1 dalį prašyti duomenų turėtojo suteikti galimybę gauti duomenis, kad šie būtų panaudoti vienai iš jos paslaugų;

c)	iš naudotojo gauti duomenų, kuriuos jis gavo pateikęs prašymą pagal 4 straipsnio 1 dalį.

4. Norint patikrinti, ar fizinis arba juridinis asmuo yra naudotojas arba trečioji šalis 1 dalies tikslais, nereikalaujama, kad naudotojas ar trečioji šalis pateiktų daugiau informacijos, nei būtina. Duomenų turėtojai nesaugo jokios informacijos apie trečiosios šalies prieigą prie prašomų duomenų, kuri nėra būtina trečiosios šalies prieigos prašymui patikimai įvykdyti ir duomenų infrastruktūros saugumui bei techninei priežiūrai užtikrinti.

5. Trečioji šalis nenaudoja prievartos priemonių ir nepiktnaudžiauja duomenų turėtojo techninės infrastruktūros, skirtos duomenims apsaugoti, trūkumais, kad gautų prieigą prie duomenų.

6. Duomenų turėtojas nenaudoja jokių lengvai prieinamų duomenų siekdamas gauti įžvalgų apie trečiosios šalies ekonominę padėtį, turtą ir gamybos metodus arba duomenų naudojimą, kurios galėtų bet kokiu kitu būdu pakenkti trečiosios šalies komercinei padėčiai rinkose, kuriose ji veikia, nebent trečioji šalis davė leidimą juos taip naudoti ir turi techninę galimybę bet kuriuo metu lengvai tą leidimą atšaukti.

7. Jeigu naudotojas nėra duomenų subjektas, kurio asmens duomenų yra prašoma, galimybė gauti asmens duomenis, sugeneruotus naudojantis susietuoju gaminiu ar susijusia paslauga, duomenų turėtojo suteikiama trečiajai šaliai tik jei yra galiojantis teisinis pagrindas duomenų tvarkymui pagal Reglamento (ES) 2016/679 6 straipsnį ir, kai aktualu, tenkinamos to reglamento 6 straipsnyje ir Direktyvos 2002/58/EB 5 straipsnio 3 dalyje nustatytos sąlygos.

8. Jei duomenų turėtojas ir trečioji šalis nesusitaria dėl duomenų perdavimo tvarkos, tai nesudaro kliūčių, neužkerta kelio ar netrukdo naudotis duomenų subjekto teisėmis pagal Reglamentą (ES) 2016/679, visų pirma teise į duomenų perkeliamumą pagal to reglamento 20 straipsnį.

9. Komercinės paslaptys saugomos ir trečiosioms šalims atskleidžiamos tik tiek, kiek toks atskleidimas tikrai būtinas tikslui, dėl kurio susitarė naudotojas ir trečioji šalis, pasiekti. Duomenų turėtojas arba, kai tai nėra tas pats asmuo, komercinės paslapties turėtojas, nustato, kurie duomenys yra saugomi kaip komercinės paslaptys, įskaitant atitinkamus metaduomenis, ir susitaria su trečiąja šalimi dėl visų proporcingu techninių ir organizacinių priemonių, kurios yra būtinos duomenų, kuriais dalijamasi, konfidencialumui išlaikyti, pavyzdžiui, dėl pavyzdinių sutarties sąlygų, konfidencialumo susitarimų, griežtų prieigos protokolų, techninių standartų ir elgesio kodeksų taikymo.

10. Kai nėra susitarimo dėl šio straipsnio 9 dalyje nurodytų būtinų priemonių arba jei trečioji šalis neįgyvendina priemonių, dėl kurių susitarta pagal šio straipsnio 9 dalį, arba pakenkia komercinių paslapčių konfidencialumui, duomenų turėtojas gali nesidalyti duomenimis, kurie identifikuoti kaip komercinės paslaptys, arba, atsižvelgiant į konkretų atvejį, sustabdyti tokį dalijimąsi. Duomenų turėtojo sprendimas tinkamai pagrindžiamas ir nepagrįstai nedelsiant raštu pateikiamas trečiajai šaliai. Tokiais atvejais duomenų turėtojas praneša pagal 37 straipsnį paskirtai kompetentingai institucijai, kad jis nesidalijo duomenimis arba sustabdė tokį dalijimąsi, ir nurodo, dėl kurių priemonių nebuvo susitarta arba kurios priemonės nebuvo įgyvendintos ir, kai aktualu, kurių komercinių paslapčių konfidencialumas buvo pažeistas.

11. Išimtinėmis aplinkybėmis, kai duomenų turėtojas, kuris yra komercinės paslapties turėtojas, gali įrodyti, jog, nepaisant techninių ir organizacinių priemonių, kurių trečioji šalis ėmėsi pagal šio straipsnio 9 dalį, labai tikėtina, kad atskleidus komercines paslaptis jis patirs didelę ekonominę žalą, tas duomenų turėtojas, atsižvelgdamas į kiekvieną konkretų atvejį, gali atsisakyti patenkinti prašymą suteikti prieigą prie atitinkamų konkrečių duomenų. Tas įrodymas pateikiamas trečiajai šaliai raštu nepagrįstai nedelsiant ir tinkamai pagrindžiamas remiantis objektyviais elementais, visų pirma ar komercinių paslapčių apsaugą įmanoma užtikrinti trečiosiose valstybėse, duomenų, kurių prašoma, pobūdžiu ir konfidencialumo lygiu, taip pat susietojo gaminio unikalumu ir naujumu. Kai duomenų turėtojas pagal šią dalį atsisako dalytis duomenimis, jis apie tai praneša pagal 37 straipsnį paskirtai kompetentingai institucijai.

12. Nedarant poveikio teisei bet kuriame etape kreiptis į valstybės narės teismą dėl žalos atlyginimo, trečioji šalis, norinti užginčyti duomenų turėtojo sprendimą atsisakyti dalytis duomenimis, jais nesidalyti arba sustabdyti tokį dalijimąsi jais pagal 10 ir 11 dalis, gali:

a)	pagal 37 straipsnio 5 dalies b punktą pateikti skundą kompetentingai institucijai, kuri nepagrįstai nedelsdama nusprendžia, ar ir kokiomis sąlygomis turi būti pradedama dalytis duomenimis arba atnaujinamas dalijimasis jais, arba

b)	susitarti su duomenų turėtoju pagal 10 straipsnio 1 dalį perduoti klausimą ginčų sprendimo įstaigai.

13. 1 dalyje nurodyta teisė nedaro neigiamo poveikio kitų duomenų subjektų teisėms pagal taikytiną Sąjungos ir nacionalinę teisę dėl asmens duomenų apsaugos.

17 straipsnis

Prašymai suteikti galimybę gauti duomenis

1. Prašydama duomenų pagal 14 straipsnį, viešojo sektoriaus įstaiga, Komisija, Europos Centrinis Bankas ar Sąjungos įstaiga:

a)	nurodo reikalingus duomenis, įskaitant atitinkamus metaduomenis, būtinus tiems duomenims aiškinti ir naudoti;

b)	įrodo, kad tenkinamos sąlygos, būtinos išimtiniam poreikiui, dėl kurio prašoma duomenų, nustatyti, kaip nurodyta 15 straipsnyje;

c)	paaiškina prašymo tikslą, numatomą prašomų duomenų naudojimą, įskaitant, kai taikytina, tai, kad juos naudos trečioji šalis pagal šio straipsnio 4 dalį, to naudojimo trukmę ir, kai aktualu, kaip tvarkant asmens duomenis numatoma patenkinti išimtinį poreikį;

d)	jei įmanoma, nurodo, kada tikimasi, kad duomenis ištrins visos prieigą prie jų turinčios šalys;

e)	pagrindžia, kodėl pasirinktas tas duomenų turėtojas, kuriam skirtas prašymas;

f)	nurodo visas kitas viešojo sektoriaus institucijas arba Komisiją, Europos Centrinį Banką arba Sąjungos įstaigas bei trečiąsias šalis, su kuriomis, kaip tikimasi, bus dalijamasi prašomais duomenimis;

g)	kai prašoma asmens duomenų, nurodo visas technines ir organizacines priemones, būtinas ir proporcingas duomenų apsaugos principams ir būtinoms priemonėms įgyvendinti, pavyzdžiui, pseudonimų suteikimo lygį ir ar duomenų turėtojas gali taikyti nuasmeninimą prieš suteikdamas prieigą prie duomenų;

h)	nurodo teisinę nuostatą, pagal kurią prašančiajai viešojo sektoriaus įstaigai, Komisijai, Europos Centriniam Bankui ar Sąjungos įstaigai pavedama konkreti viešojo intereso užduotis, susijusi su prašymu pateikti duomenis;

i)	nurodo terminą, iki kurio turi būti suteikta galimybė gauti duomenis, ir 18 straipsnio 2 dalyje nurodytą terminą, iki kurio duomenų turėtojas gali atsisakyti ar siekti pakeisti prašymą;

j)	deda visas pastangas, kad išvengtų duomenų prašymo vykdymo, dėl kurio duomenų turėtojai būtų atsakingi už Sąjungos ar nacionalinės teisės pažeidimą.

2. Pagal šio straipsnio 1 dalį teikiamas duomenų prašymas turi:

a)	būti pateiktas raštu ir išdėstytas aiškia, glausta ir paprasta, duomenų turėtojui suprantama kalba;

b)	būti konkrečiai susijęs su prašomų duomenų rūšimi ir atitikti duomenis, kuriuos duomenų turėtojas valdo prašymo pateikimo metu;

c)	būti proporcingas išimtinio poreikio atžvilgiu ir, pagal prašomų duomenų detalumą bei kiekį ir prieigos prie prašomų duomenų dažnumą, tinkamai pagrįstas;

d)	būti parengtas paisant teisėtų duomenų turėtojo, kuris įsipareigoja užtikrinti komercinių paslapčių apsaugą pagal 19 straipsnio 3 dalį, tikslų ir atsižvelgiant į sąnaudas bei pastangas, reikalingas norint suteikti galimybę gauti duomenis;

būti susijęs su ne asmens duomenimis ir tik tuo atveju, jei įrodoma, kad to nepakanka, kad būtų patenkintas išimtinis poreikis naudoti duomenis, pagal 15 straipsnio 1 dalies a punktą, reikėtų prašyti pateikti pseudoniminius asmens duomenis ir nustatyti technines ir organizacines priemones, kurių turi būti imtasi duomenims apsaugoti;

f)	apimti informaciją duomenų turėtojui apie sankcijas, kurias prašymo nevykdymo atveju pagal 40 straipsnį skiria pagal 37 straipsnį paskirta kompetentinga institucija;

kai prašymą teikia viešojo sektoriaus įstaiga, būti perduodamas valstybės narės, kurioje yra įsteigta prašymą turinti pateikti viešojo sektoriaus įstaiga, duomenų koordinatoriui, nurodytam 37 straipsnyje, ir, nepagrįstai nedelsiant, būti viešai paskelbiamas internete, išskyrus atvejus, kai duomenų koordinatorius mano, kad toks paskelbimas keltų pavojų visuomenės saugumui;

h)	kai prašymą teikia Komisija, Europos Centrinis Bankas ar Sąjungos įstaiga, būti nepagrįstai nedelsiant paskelbiamas internete;

i)	kai prašoma asmens duomenų, nepagrįstai nedelsiant būti pranešamas priežiūros institucijai, atsakingai už Reglamento (ES) 2016/679 taikymo stebėseną, valstybėje narėje, kurioje įsisteigusi viešojo sektoriaus įstaiga.

Europos Centrinis Bankas ar Sąjungos įstaigos informuoja Komisiją apie savo prašymus.

3. Viešojo sektoriaus įstaiga, Komisija, Europos Centrinis Bankas ar Sąjungos įstaiga nesuteikia galimybės pagal šį skyrių gautų duomenų naudoti pakartotinai, kaip apibrėžta Reglamento (ES) 2022/868 2 straipsnio 2 dalyje arba Direktyvos (ES) 2019/1024 2 straipsnio 11 dalyje. Reglamentas (ES) 2022/868 ir Direktyva (ES) 2019/1024 netaikomi viešojo sektoriaus įstaigų turimiems pagal šį skyrių gautiems duomenims.

4. Šio straipsnio 3 dalimi viešojo sektoriaus institucijai, Komisijai, Europos Centriniam Bankui ar Sąjungos įstaigai neužkertamas kelias pagal šį skyrių gautais duomenimis keistis su kita viešojo sektoriaus institucija arba Komisija, Europos Centriniu Banku ar Sąjungos įstaiga siekiant atlikti 15 straipsnyje nurodytas užduotis, kaip nurodyta prašyme pagal šio straipsnio 1 dalies f punktą, arba suteikti galimybę gauti duomenis trečiajai šaliai tais atvejais, kai ji pagal viešai paskelbtą susitarimą tai trečiajai šaliai yra delegavusi techninių patikrinimų ar kitas funkcijas. Viešojo sektoriaus įstaigų pareigos pagal 19 straipsnį, visų pirma apsaugos priemonės, skirtos komercinių paslapčių konfidencialumui išsaugoti, taip pat taikomos tokioms trečiosioms šalims. Kai viešojo sektoriaus įstaiga, Komisija, Europos Centrinis Bankas arba Sąjungos įstaiga perduoda duomenis arba suteikia galimybę juos gauti pagal šią dalį, jie nepagrįstai nedelsdami apie tai praneša duomenų turėtojui, iš kurio buvo gauti duomenys.

5. Jeigu duomenų turėtojas mano, kad perduodant duomenis arba suteikiant galimybę juos gauti buvo pažeistos jo teisės pagal šį skyrių, jis gali pateikti skundą valstybės narės, kurioje įsisteigęs duomenų turėtojas, kompetentingai institucijai, paskirtai pagal 37 straipsnį.

6. Komisija parengia pavyzdinį prašymų pagal šį straipsnį šabloną.

18 straipsnis

Duomenų prašymų vykdymas

1. Duomenų turėtojas, gavęs prašymą suteikti galimybę gauti duomenis pagal šį skyrių, galimybę gauti duomenis prašymą pateikusiai viešojo sektoriaus įstaigai, Komisijai, Europos Centriniam Bankui ar Sąjungos įstaigai suteikia nepagrįstai nedelsdamas ir atsižvelgdamas į būtinas technines, organizacines bei teisines priemones.

2. Nedarant poveikio konkretiems poreikiams, susijusiems su galimybe gauti duomenis, apibrėžtus Sąjungos arba nacionalinėje teisėje, duomenų turėtojas, gavęs prašymą suteikti galimybę gauti duomenis pagal šį skyrių, gali atsisakyti jį patenkinti arba prašyti jį pakeisti nepagrįstai nedelsdamas ir bet kuriuo atveju ne vėliau kaip per penkias darbo dienas po prašymo dėl duomenų, būtinų reaguojant į ekstremaliąją situaciją, gavimo, o kitais išimtinio poreikio atvejais – nepagrįstai nedelsdamas ir bet kuriuo atveju ne vėliau kaip per 30 darbo dienų po tokio prašymo gavimo, dėl bet kurios iš šių priežasčių:

a)	duomenų turėtojas prašomų duomenų nevaldo;

b)	panašų prašymą tuo pačiu tikslu anksčiau yra pateikusi kita viešojo sektoriaus institucija arba Komisija, Europos Centrinis Bankas arba Sąjungos įstaiga ir duomenų turėtojas nebuvo informuotas apie duomenų ištrynimą pagal 19 straipsnio 1 dalies c punktą;

c)	prašymas neatitinka 17 straipsnio 1 ir 2 dalyse nustatytų sąlygų.

3. Jeigu duomenų turėtojas nusprendžia pagal 2 dalies b punktą atsisakyti prašymą patenkinti arba prašyti jį pakeisti, jis nurodo viešojo sektoriaus įstaigos arba Komisijos, Europos Centrinio Banko ar Sąjungos įstaigos, anksčiau pateikusių prašymą tuo pačiu tikslu, tapatybę.

4. Jeigu prašomas duomenų rinkinys apima asmens duomenis, duomenų turėtojas tuos duomenis tinkamai nuasmenina, išskyrus atvejus, kai vykdant prašymą suteikti galimybę gauti duomenis viešojo sektoriaus įstaigai, Komisijai, Europos Centriniam Bankui ar Sąjungos įstaigai gauti duomenis reikia atskleisti asmens duomenis. Tokiais atvejais duomenų turėtojas duomenis pseudonimina.

5. Jeigu viešojo sektoriaus institucija, Komisija, Europos Centrinis Bankas ar Sąjungos įstaiga nori užginčyti duomenų turėtojo atsisakymą pateikti prašomus duomenis arba kai duomenų turėtojas nori užginčyti prašymą ir klausimo neįmanoma išspręsti atitinkamai pakeitus prašymą, klausimas perduodamas valstybės narės, kurioje įsisteigęs duomenų turėtojas, kompetentingai institucijai, paskirtai pagal 37 straipsnį.

22 straipsnis

Savitarpio pagalba ir tarpvalstybinis bendradarbiavimas

1. Viešojo sektoriaus institucijos, Komisija, Europos Centrinis Bankas ir Sąjungos įstaigos bendradarbiauja ir padeda vieni kitiems nuosekliai įgyvendinti šį skyrių.

2. Duomenys, kuriais keičiamasi pagal pagalbos prašymą ir kurie teikiami pagal 1 dalį, nenaudojami su tikslu, dėl kurio jų buvo paprašyta, nesuderinamu būdu.

3. Jei viešojo sektoriaus įstaiga ketina prašyti duomenų iš kitoje valstybėje narėje įsisteigusio duomenų turėtojo, ji apie tokį ketinimą pirmiausia praneša tos valstybės narės kompetentingai institucijai, paskirtai pagal 37 straipsnį. Šis reikalavimas taip pat taikomas Komisijos, Europos Centrinio Banko ir Sąjungos įstaigų prašymams. Prašymą išnagrinėja valstybės narės, kurioje įsisteigęs duomenų turėtojas, kompetentinga institucija.

4. Išnagrinėjusi prašymą atsižvelgiant į 17 straipsnyje nustatytus reikalavimus, atitinkama kompetentinga institucija nepagrįstai nedelsdama imasi vieno iš šių veiksmų:

perduoda prašymą duomenų turėtojui ir, jei taikytina, konsultuoja prašančiąją viešojo sektoriaus įstaigą, Komisiją, Europos Centrinį Banką ar Sąjungos įstaigą dėl poreikio, jei toks yra, bendradarbiauti su valstybės narės, kurioje įsisteigęs duomenų turėtojas, viešojo sektoriaus įstaigomis, siekiant sumažinti administracinę naštą, tenkančią duomenų turėtojui vykdant prašymą;

b)	dėl tinkamai pagrįstų priežasčių atmeta prašymą pagal šį skyrių.

Prašančioji viešojo sektoriaus įstaiga, Komisija, Europos Centrinis Bankas ar Sąjungos įstaiga atsižvelgia į atitinkamos kompetentingos institucijos pagal pirmą pastraipą pateiktas rekomendacijas ir priežastis prieš imantis tolimesnių veiksmų, tokių kaip prašymo pateikimas iš naujo, jei taikytina.

VI SKYRIUS

DUOMENŲ TVARKYMO PASLAUGŲ KEITIMAS

32 straipsnis

Tarptautinė valdžios subjektų prieiga prie duomenų ir jų perdavimas

1. Nedarant poveikio 2 arba 3 daliai, duomenų tvarkymo paslaugų teikėjai imasi visų tinkamų techninių, organizacinių ir teisinių priemonių, įskaitant sutartis, kad užkirstų kelią tarptautinei ir trečiųjų valstybių valdžios subjektų prieigai prie Sąjungoje laikomų ne asmens duomenų ir ne asmens duomenų perdavimui, jei dėl tokio perdavimo arba prieigos įvyktų kolizija su Sąjungos teise arba atitinkamos valstybės narės nacionaline teise.

2. Bet koks trečiosios valstybės teismo ir trečiosios valstybės administracinės institucijos sprendimas, kuriuo reikalaujama, kad duomenų tvarkymo paslaugų teikėjas perduotų Sąjungoje laikomus ne asmens duomenis, kuriems taikomas šis reglamentas, arba suteiktų prieigą prie jų, pripažįstamas arba vykdytinas bet kokiu būdu, tik jei jis grindžiamas galiojančiu prašančiosios trečiosios valstybės ir Sąjungos tarptautiniu susitarimu, pavyzdžiui, savitarpio teisinės pagalbos sutartimi, arba bet kokiu tokiu prašančiosios trečiosios valstybės ir valstybės narės susitarimu.

3. Jei nėra 2 dalyje nurodyto tarptautinio susitarimo, kai trečiosios valstybės teismo arba trečiosios valstybės administracinės institucijos sprendimas perduoti Sąjungoje laikomus ne asmens duomenis, kuriems taikomas šis reglamentas, arba suteikti prieigą prie jų skirtas duomenų tvarkymo paslaugų teikėjui, o tokio sprendimo laikymasis keltų pavojų, kad adresatui kiltų kolizija su Sąjungos teise arba atitinkamos valstybės narės nacionaline teise, tokia trečiosios valstybės institucija perduoda tokius duomenis arba suteikia prieigą prie jų tik tais atvejais, kai:

a)	pagal trečiosios valstybės sistemą reikalaujama išdėstyti tokio sprendimo motyvus bei proporcingumą ir reikalaujama, kad toks sprendimas būtų konkretus, pavyzdžiui, jame nustatant pakankamą ryšį su tam tikrais įtariamais asmenimis ar pažeidimais;

b)	adresato motyvuotą prieštaravimą gali peržiūrėti kompetentingas trečiosios valstybės teismas ir

sprendimą priimantis arba administracinės institucijos sprendimą peržiūrintis trečiosios valstybės kompetentingas teismas pagal tos trečiosios valstybės teisę yra įgaliotas deramai atsižvelgti į atitinkamus teisinius duomenų, kurie yra apsaugoti pagal Sąjungos teisę ar atitinkamos valstybės narės nacionalinę teisę, teikėjo interesus.

Teismo sprendimo arba administracinės institucijos sprendimo adresatas, siekdamas nustatyti, ar pirmoje pastraipoje nustatytos sąlygos įvykdytos, visų pirma, kai jis mano, kad sprendimas gali būti susijęs su komercinėmis paslaptimis ir kitais neskelbtinais komerciniais duomenimis, taip pat su intelektinės nuosavybės teisėmis saugomu turiniu arba dėl perdavimo gali būti reikalingas reidentifikavimas, gali prašyti atitinkamos nacionalinės įstaigos ar institucijos, kompetentingos tarptautinio teisminio bendradarbiavimo srityje, pateikti nuomonę. Atitinkama nacionalinė įstaiga ar institucija gali konsultuotis su Komisija. Jei adresatas mano, kad sprendimas gali pakenkti Sąjungos ar jos valstybių narių nacionalinio saugumo ar gynybos interesams, jis paprašo atitinkamos įstaigos ar institucijos pateikti nuomonę, kad nustatytų, ar prašomi duomenys yra susiję su Sąjungos ar jos valstybių narių nacionalinio saugumo ar gynybos interesais. Jei adresatas negauna atsakymo per vieną mėnesį arba jei tokios įstaigos ar institucijos nuomonėje daroma išvada, kad pirmoje pastraipoje nustatytos sąlygos neįvykdytos, adresatas dėl tų priežasčių gali atmesti prašymą perduoti ne asmeninius duomenis arba suteikti prieigą prie jų.

Komisijai rengiant vertinimo, ar šios dalies pirmoje pastraipoje nustatytos sąlygos įvykdytos, gaires pataria ir padeda 42 straipsnyje nurodyta EDIV.

4. Jei 2 arba 3 dalyje nustatytos sąlygos tenkinamos, duomenų tvarkymo paslaugų teikėjas, atsakydamas į prašymą ir remdamasis paslaugų teikėjo, 3 dalies antroje pastraipoje nurodytos atitinkamos nacionalinės įstaigos arba institucijos pagrįstu prašymo aiškinimu, pateikia mažiausią leidžiamą duomenų kiekį.

5. Duomenų tvarkymo paslaugų teikėjas, prieš vykdydamas trečiosios valstybės institucijos prašymą leisti prieiti prie kliento duomenų, informuoja jį apie tokį prašymą, išskyrus atvejus, kai prašymas pateiktas teisėsaugos tikslais ir tiek, kiek tai būtina teisėsaugos veiksmų veiksmingumui išsaugoti.

VIII SKYRIUS

SĄVEIKUMAS

35 straipsnis

Duomenų tvarkymo paslaugų sąveikumas

1. Atvirosiomis duomenų tvarkymo paslaugų sąveikumo specifikacijomis ir duomenų tvarkymo paslaugų sąveikumo darniaisiais standartais turi:

a)	būti pasiektas, kai techniškai įmanoma, skirtingų duomenų tvarkymo paslaugų, apimančių tos pačios rūšies paslaugas, sąveikumas;

b)	būti padidintas skirtingų duomenų tvarkymo paslaugų, apimančių tos pačios rūšies paslaugas, skaitmeninio turto perkeliamumas;

c)	sudarytos palankesnės sąlygos, kai techniškai įmanoma, užtikrinti 30 straipsnio 1 dalyje nurodytų skirtingų duomenų tvarkymo paslaugų, apimančių tos pačios rūšies paslaugas, funkcinį lygiavertiškumą;

d)	nebūti daromas neigiamas poveikis duomenų tvarkymo paslaugų ir duomenų saugumui ir vientisumui;

e)	šios specifikacijos ir standartai turi būti parengti tokiu būdu, kad būtų sudarytos sąlygos techninei pažangai ir naujų funkcijų bei inovacijų įtraukimui į duomenų tvarkymo paslaugas.

2. Atvirosios duomenų tvarkymo paslaugų sąveikumo specifikacijos ir duomenų tvarkymo paslaugų sąveikumo darnieji standartai turi tinkamai apimti:

a)	su debesijos sąveikumu susijusius perdavimo sąveikumo, sintaksinio sąveikumo, semantinio duomenų sąveikumo, elgsenos sąveikumo ir politikos sąveikumo aspektus;

b)	su debesijos duomenų perkeliamumu susijusius duomenų sintaksinio perkeliamumo, duomenų semantinio perkeliamumo ir duomenų politikos perkeliamumo aspektus;

c)	su debesijos taikomosiomis programomis susijusius taikomųjų programų sintaksinio perkeliamumo, taikomųjų programų nurodymų perkeliamumo, taikomųjų programų metaduomenų perkeliamumo, taikomųjų programų elgsenos perkeliamumo ir taikomųjų programų politikos perkeliamumo aspektus.

3. Atvirosios sąveikumo specifikacijos turi atitikti Reglamento (ES) Nr. 1025/2012 II priedą.

4. Atsižvelgusi į atitinkamus tarptautinius ir Europos standartus ir savireguliavimo iniciatyvas, Komisija gali pagal Reglamento (ES) Nr. 1025/2012 10 straipsnio 1 dalį paprašyti vienos ar daugiau Europos standartizacijos organizacijų parengti darniųjų standartų, atitinkančių šio straipsnio 1 ir 2 dalyje nustatytus esminius reikalavimus, projektus.

5. Komisija gali priimti įgyvendinimo aktus, kuriais priimamos atvirosiomis sąveikumo specifikacijomis grindžiamos bendrosios specifikacijos, apimančios visus 1 ir 2 dalyse nustatytus esminius reikalavimus.

6. Rengdama šio straipsnio 5 dalyje nurodyto įgyvendinimo akto projektą Komisija atsižvelgia į atitinkamų kompetentingų institucijų, nurodytų 37 straipsnio 5 dalies h punkte, ir kitų atitinkamų įstaigų ar ekspertų grupių nuomones ir tinkamai konsultuojasi su visais atitinkamais suinteresuotaisiais subjektais.

7. Kai valstybė narė mano, kad bendroji specifikacija nevisiškai atitinka 1 ir 2 dalyje nustatytus esminius reikalavimus, ji apie tai praneša Komisijai, pateikdama išsamų paaiškinimą. Komisija įvertina tą išsamų paaiškinimą ir gali, jei tinkama, iš dalies pakeisti įgyvendinimo aktą, kuriuo nustatoma atitinkama bendroji specifikacija.

8. 30 straipsnio 3 dalies tikslu Komisija priima įgyvendinimo aktus, kuriais paskelbia duomenų tvarkymo paslaugų sąveikumo darniųjų standartų ir bendrųjų specifikacijų nuorodas centrinėje Sąjungos duomenų tvarkymo paslaugų sąveikumo standartų saugykloje.

9. Šiame straipsnyje nurodyti įgyvendinimo aktai priimami laikantis 46 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

37 straipsnis

Kompetentingos institucijos ir duomenų koordinatoriai

1. Kiekviena valstybė narė paskiria vieną ar daugiau už šio reglamento taikymą ir vykdymo užtikrinimą atsakingas kompetentingas institucijas (toliau – kompetentingos institucijos). Valstybės narės gali įsteigti vieną ar daugiau naujų institucijų arba pasikliauti esamomis institucijomis.

2. Jei valstybė narė paskiria daugiau nei vieną kompetentingą instituciją, ji vieną iš jų paskiria duomenų koordinatoriumi, kad palengvintų kompetentingų institucijų tarpusavio bendradarbiavimą ir padėtų subjektams, patenkantiems į šio reglamento taikymo sritį, visais su jo taikymo ir vykdymo užtikrinimu susijusiais klausimais. Kompetentingos institucijos, vykdydamos pagal 5 dalį joms pavestas užduotis ir įgaliojimus, bendradarbiauja tarpusavyje.

3. Už šio reglamento taikymo, kiek tai susiję su asmens duomenų apsauga, stebėseną yra atsakingos priežiūros institucijos, kurios yra atsakingos už Reglamento (ES) 2016/679 taikymo stebėseną. Reglamento (ES) 2016/679 VI ir VII skyriai taikomi mutatis mutandis.

Europos duomenų apsaugos priežiūros pareigūnas atsako už šio reglamento taikymo, kiek tai susiję su Komisija, Europos Centriniu Banku ar Sąjungos įstaigomis, stebėseną. Kai aktualu, Reglamento (ES) 2018/1725 62 straipsnis taikomas mutatis mutandis.

Šioje dalyje nurodytų priežiūros institucijų vykdomos užduotys ir įgaliojimai apima asmens duomenų tvarkymo klausimus.

4. Nedarant poveikio šio straipsnio 1 daliai:

a)	sprendžiant konkrečius prieigos prie sektorių duomenų ir jų naudojimo klausimus, susijusius su šio reglamento įgyvendinimu, atsižvelgiama į sektorių institucijų kompetenciją;

b)	kompetentinga institucija, atsakinga už 23–31 straipsnių, 34 ir 35 straipsnių taikymą ir vykdymo užtikrinimą, turi turėti patirties duomenų srityje ir elektroninių ryšių paslaugų srityje.

5. Valstybės narės užtikrina, kad kompetentingų institucijų užduotys ir įgaliojimai būtų aiškiai apibrėžti ir apimtų:

a)	naudotojų ir subjektų, patenkančių į šio reglamento taikymo sritį, duomenų raštingumo ir informuotumo apie šiame reglamente nustatytas teises ir pareigas skatinimą;

skundų, teikiamų dėl tariamų šio reglamento pažeidimų, įskaitant susijusių su komercinėmis paslaptimis, nagrinėjimą ir skundų dalyko tyrimą tinkamu mastu, taip pat reguliarų skundų pateikėjų informavimą, kai aktualu pagal nacionalinę teisę, per pagrįstą laikotarpį apie skundo tyrimo pažangą ir rezultatus, visų pirma, tais atvejais, kai būtina tęsti tyrimą arba derinti veiksmus su kita kompetentinga institucija;

c)	dalykų, susijusių su šio reglamento taikymu, tyrimą, be kita ko, remiantis iš kitos kompetentingos institucijos arba kitos valdžios institucijos gauta informacija;

d)	veiksmingų, proporcingų ir atgrasomų finansinių sankcijų, kurios gali apimti periodines ir atgaline data taikomas sankcijas, skyrimą arba teisinių procedūrų dėl baudų skyrimo inicijavimą;

e)	technologinės ir atitinkamos komercinės plėtros, svarbios suteikiant galimybę gauti duomenis ir juos naudojant, stebėseną;

bendradarbiavimą su kitų valstybių narių kompetentingomis institucijomis ir, kai aktualu, su Komisija ar EDIV, kad būtų užtikrintas nuoseklus ir veiksmingas šio reglamento taikymas, įskaitant keitimąsi visa svarbia informacija elektroninėmis priemonėmis nepagrįstai nedelsiant, be kita ko, kiek tai susiję su šio straipsnio 10 dalimi;

bendradarbiavimą su atitinkamomis kompetentingomis institucijomis, atsakingomis už kitų Sąjungos teisės aktų ar nacionalinės teisės aktų įgyvendinimą, be kita ko, kompetentingomis institucijomis, atsakingomis už duomenų sritį ir elektroninių ryšių paslaugų sritį, priežiūros institucija, atsakinga už Reglamento (ES) 2016/679 taikymo stebėseną, arba su sektorių institucijomis, siekiant užtikrinti, kad šio reglamento vykdymo užtikrinimas būtų suderinamas su kitais Sąjungos teisės aktais ir nacionalinės teisės aktais;

h)	bendradarbiavimą su atitinkamomis kompetentingomis institucijomis siekiant užtikrinti, kad 23–31 straipsniai, 34 ir 35 straipsniai būtų įgyvendinami laikantis kitų Sąjungos teisės aktų ir savireguliavimo priemonių, taikomų duomenų tvarkymo paslaugų teikėjams;

i)	užtikrinimą, kad pagal 29 straipsnį būtų panaikinti mokesčiai už duomenų tvarkymo paslaugų teikėjo keitimą;

j)	prašymų dėl duomenų, pateiktų pagal V skyrių, nagrinėjimą.

Jei yra paskirtas duomenų koordinatorius, jis palengvina pirmos pastraipos f, g ir h punktuose nurodytą bendradarbiavimą ir padeda kompetentingoms institucijoms jų prašymu.

6. Duomenų koordinatorius, jei tokia kompetentinga institucija yra paskirta:

a)	veikia kaip vienas bendras informacinis punktas visais su šio reglamento taikymu susijusiais klausimais;

b)	užtikrina galimybę visuomenei internetu susipažinti su prašymais dėl galimybės gauti duomenis suteikimo, kuriuos išimtinio poreikio atveju pateikė viešojo sektoriaus įstaigos pagal V skyrių, ir propaguoja viešojo sektoriaus įstaigų ir duomenų turėtojų savanoriškus dalijimosi duomenimis susitarimus;

c)	kasmet informuoja Komisiją apie atsisakymus, apie kuriuos pranešta pagal 4 straipsnio 2 ir 8 dalis ir 5 straipsnio 11 dalį.

7. Valstybės narės praneša Komisijai kompetentingų institucijų pavadinimus ir apie jų užduotis ir įgaliojimus, taip pat, kai taikytina, duomenų koordinatoriaus pavadinimą. Komisija tvarko viešą tų institucijų registrą.

8. Kompetentingos institucijos, vykdydamos savo užduotis ir naudodamosi savo įgaliojimais pagal šį reglamentą, išlieka nešališkos, joms nedaroma jokios tiesioginės ar netiesioginės išorės įtakos ir jos neprašo ir nepriima jokios kitos valdžios institucijos arba privataus subjekto nurodymų dėl konkrečių atvejų.

9. Valstybės narės užtikrina, kad kompetentingoms institucijoms būtų suteikta pakankamai žmogiškųjų ir techninių išteklių ir atitinkamų ekspertinių žinių, kad jos galėtų veiksmingai vykdyti savo užduotis pagal šį reglamentą.

10. Subjektai, patenkantys į šio reglamento taikymo sritį, priklauso valstybės narės, kurioje subjektas yra įsisteigęs, kompetencijai. Jeigu subjektas yra įsisteigęs daugiau nei vienoje valstybėje narėje, laikoma, kad jis priklauso valstybės narės, kurioje yra jo pagrindinė verslo vieta, t. y. kurioje yra subjekto pagrindinė buveinė arba registruota buveinė, iš kurios vykdomos pagrindinės finansinės funkcijos ir veiklos kontrolė, kompetencijai.

11. Bet kuris subjektas, patenkantis į šio reglamento taikymo sritį, kuris teikia susietuosius gaminius ar siūlo susijusias paslaugas Sąjungoje ir nėra įsisteigęs Sąjungoje, vienoje iš valstybių narių paskiria teisinį atstovą.

12. Siekiant užtikrinti šio reglamento laikymąsi, subjektas, patenkantis į šio reglamento taikymo sritį, kuris Sąjungoje teikia susietuosius gaminius ar siūlo susijusias paslaugas, įgalioja teisinį atstovą, kad kompetentingos institucijos galėtų į jį kreiptis visais su tuo subjektu susijusiais klausimais papildomai arba vietoj subjekto. Tas teisinis atstovas bendradarbiauja su kompetentingomis institucijomis ir, gavęs prašymą, išsamiai joms parodo veiksmus, kurių ėmėsi subjektas, patenkantis į šio reglamento taikymo sritį, kuris teikia susietuosius gaminius ar siūlo susijusias paslaugas Sąjungoje, ir nuostatas, kurias šis subjektas nustatė, kad būtų užtikrintas šio reglamento laikymasis.

13. Laikoma, kad subjektas, patenkantis į šio reglamento taikymo sritį, kuris teikia susietuosius gaminius ar siūlo susijusias paslaugas Sąjungoje, priklauso valstybės narės, kurioje yra jo teisinis atstovas, kompetencijai. Tai, kad toks subjektas paskiria teisinį atstovą, nedaro poveikio atsakomybei ir teisiniams veiksmams, kurių galėtų būti imtasi tokio subjekto atžvilgiu. Kol subjektas paskirs teisinį atstovą pagal šį straipsnį, jis priklauso visų valstybių narių kompetencijai, kai taikytina, šio reglamento taikymo ir vykdymo užtikrinimo tikslais. Bet kuri kompetentinga institucija gali naudotis savo kompetencija, be kita ko, nustatydama veiksmingas, proporcingas ir atgrasomas sankcijas, su sąlyga, kad kita kompetentinga institucija dėl tų pačių faktų subjektui netaiko vykdymo užtikrinimo procedūrų pagal šį reglamentą.

14. Kompetentingos institucijos turi įgaliojimus prašyti, kad naudotojai, duomenų turėtojai ar duomenų gavėjai arba jų teisiniai atstovai, priklausantys jų valstybės narės kompetencijai, pateiktų visą informaciją, būtiną patikrinti, ar laikomasi šio reglamento. Prašymas pateikti informaciją turi būti proporcingas vykdomai pagrindinei užduočiai ir turi būti pagrįstas.

15. Jei kompetentinga institucija vienoje valstybėje narėje prašo kompetentingos institucijos kitoje valstybėje narėje suteikti pagalbą arba imtis vykdymo užtikrinimo priemonių, ji pateikia motyvuotą prašymą. Kompetentinga institucija, gavusi tokį prašymą, nepagrįstai nedelsdama pateikia atsakymą, kuriame išsamiai nurodo veiksmus, kurių buvo imtasi arba kurių ketinama imtis.

16. Kompetentingos institucijos laikosi konfidencialumo ir profesinės bei komercinės paslapties principų ir saugo asmens duomenis pagal Sąjungos arba nacionalinę teisę. Visa informacija, kuria apsikeista prašymo dėl pagalbos kontekste ir kuri pateikta pagal šį straipsnį, gali būti naudojama tik tuo klausimu, kuriuo jos buvo paprašyta.

39 straipsnis

Teisė į veiksmingas teismines teisių gynimo priemones

1. Nepaisant administracinių ar kitų neteisminių teisių gynimo priemonių, nukentėjęs fizinis ir juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, kiek tai susiję su kompetentingų institucijų priimtais teisiškai privalomais sprendimais.

2. Jeigu kompetentinga institucija nesiima veiksmų dėl skundo, nukentėję fiziniai ir juridiniai asmenys pagal nacionalinę teisę turi teisę imtis veiksmingų teisminių teisių gynimo priemonių arba teisę prašyti atitinkamų ekspertinių žinių turinčios nešališkos įstaigos atlikti peržiūrą.

3. Teisminiai procesai pagal šį straipsnį individualiai arba, kai aktualu, kolektyviai per vieno ar daugiau fizinių ar juridinių asmenų atstovus pradedami valstybės narės, kurioje yra kompetentinga institucija, kurios atžvilgiu siekiama pasinaudoti teisminėmis teisių gynimo priemonėmis, teismuose.

42 straipsnis

EDIV vaidmuo

EDIV, kurią Komisija įsteigė pagal Reglamento (ES) 2022/868 29 straipsnį kaip ekspertų grupę ir kurioje atstovaujama kompetentingoms institucijoms, padeda nuosekliai taikyti šį reglamentą:

a)	teikdama patarimus ir padėdama Komisijai, kiek tai susiję su nuoseklios kompetentingų institucijų praktikos užtikrinant II, III, V ir VII skyrių vykdymą plėtojimu;

palengvindama kompetentingų institucijų bendradarbiavimą – stiprinant gebėjimus ir keičiantis informacija, visų pirma nustatant veiksmingo keitimosi informacija, susijusia su teisių ir pareigų pagal II, III ir V skyrius vykdymo užtikrinimu tarpvalstybinėse bylose, įskaitant sankcijų nustatymo koordinavimą, būdus;

teikdama patarimus ir padėdama Komisiją, kiek tai susiję su:

i)	tuo, ar prašyti parengti darniuosius standartus, nurodytus 33 straipsnio 4 dalyje, 35 straipsnio 4 dalyje ir 36 straipsnio 5 dalyje;

ii)	33 straipsnio 5 dalyje, 35 straipsnio 5 ir 8 dalyse ir 36 straipsnio 6 dalyje nurodytų įgyvendinimo aktų rengimu;

iii)	29 straipsnio 7 dalyje ir 33 straipsnio 2 dalyje nurodytų deleguotųjų aktų rengimu ir

iv)	33 straipsnio 11 dalyje nurodytų gairių, kuriose nustatomos bendrų Europos duomenų erdvių veikimo sąveikumo bendrų standartų ir praktikos sistema, priėmimu.

X SKYRIUS

SUI GENERIS TEISĖ PAGAL DIREKTYVĄ 96/9/EB

whereas

keyboard_tab Data Act 2023/2854 LT

Data Act 2023/2854 LT