keyboard_tab Data Act 2023/2854 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 3 Verplichting om productgegevens en gegevens van gerelateerde diensten toegankelijk te maken voor de gebruiker
- 5 Artikel 4 De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst
- 3 Artikel 5 Het recht van de gebruiker om gegevens te delen met derden
- 2 Artikel 17 Verzoeken om gegevens beschikbaar te stellen
- 1 Artikel 18 Naleving van verzoeken om gegevens
- 1 Artikel 20 Vergoeding in geval van uitzonderlijke noodzaak
- 1 Artikel 21 Delen van in de context van een uitzonderlijke noodzaak verkregen gegevens met onderzoeksorganisaties of statistische instanties
- 4 Artikel 22 Wederzijdse bijstand en grensoverschrijdende samenwerking
- 3 Artikel 32 Internationale overheidstoegang en overdracht
- 1 Artikel 35 Interoperabiliteit voor dataverwerkingsdiensten
- 23 Artikel 37 bevoegde autoriteiten en datacoördinatoren
- 4 Artikel 38 Recht om een klacht in te dienen
- 3 Artikel 39 Recht op een doeltreffende voorziening in rechte
- 3 Artikel 42 Rol van het Europees Comité voor gegevensinnovatie
- 2 Artikel 49 Evaluatie en herziening
- Artikel 50 Inwerkingtreding en toepassing
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
DELEN VAN GEGEVENS TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING
HOOFDSTUK III
VERPLICHTINGEN VOOR GEGEVENSHOUDERS DIE KRACHTENS HET UNIERECHT VERPLICHT ZIJN OM GEGEVENS BESCHIKBAAR TE STELLEN
HOOFDSTUK IV
ONEERLIJKE CONTRACTUELE BEDINGEN MET BETREKKING TOT DE TOEGANG TOT EN HET GEBRUIK VAN GEGEVENS TUSSEN ONDERNEMINGEN
HOOFDSTUK V
GEGEVENS BESCHIKBAAR STELLEN AAN OVERHEIDSINSTANTIES, DE COMMISSIE, DE EUROPESE CENTRALE BANK EN ORGANEN VAN DE UNIE OP GROND VAN UITZONDERLIJKE NOODZAAK
HOOFDSTUK VI
OVERSTAPPEN NAAR EEN ANDERE DATAVERWERKINGSDIENST
HOOFDSTUK VII
INTERNATIONALE OVERHEIDSTOEGANG EN OVERDRACHT VAN NIET-PERSOONSGEBONDEN GEGEVENS
HOOFDSTUK VIII
INTEROPERABILITEIT
HOOFDSTUK IX
UITVOERING EN HANDHAVING
HOOFDSTUK X
SUI-GENERIS-RECHT KRACHTENS RICHTLIJN 96/9/EG
HOOFDSTUK XI
SLOTBEPALINGEN
- gegevens 154
- voor 96
- artikel 93
- gegevenshouder 82
- zijn 62
- deze 58
- bevoegde 58
- verordening 58
- verzoek 54
- gebruiker 51
- door 48
- commissie 48
- autoriteit 46
- wordt 45
- overeenkomstig 42
- derde 42
- indien 41
- lid 40
- worden 38
- unie 38
- niet 37
- autoriteiten 33
- toepassing 32
- grond 31
- recht 30
- lidstaat 30
- europese 29
- stellen 29
- centrale 27
- andere 27
- bank 27
- geval 27
- beschikbaar 25
- hoofde 25
- nationale 23
- toegang 22
- heeft 21
- technische 21
- delen 20
- dataverwerkingsdiensten 20
- overheidsinstantie 20
- maatregelen 19
- relevante 19
- hoofdstuk 19
- kennis 19
- voorkomend 18
- naar 18
- verbonden 18
- stelt 18
- onverwijld 18
Artikel 3
Verplichting om productgegevens en gegevens van gerelateerde diensten toegankelijk te maken voor de gebruiker
1. Verbonden producten worden zodanig ontworpen en vervaardigd, en gerelateerde diensten worden zodanig ontworpen en verleend, dat de productgegevens en gegevens van een gerelateerde dienst, met inbegrip van de relevante metagegevens die nodig zijn om die gegevens te gebruiken en te interpreteren, standaard, gemakkelijk, veilig, kosteloos en in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat en, voor zover relevant en technisch haalbaar, rechtstreeks toegankelijk zijn voor de gebruiker.
2. Alvorens een overeenkomst te sluiten voor de aankoop, huur of leasing van een verbonden product, verstrekt de verkoper, verhuurder of leasegever, die tevens de fabrikant kan zijn, de gebruiker ten minste de volgende informatie op duidelijke en begrijpelijke wijze:
| a) | het type, formaat en geraamde volume productgegevens die het verbonden product kan genereren; |
| b) | of het verbonden product in staat is continu en in realtime gegevens te genereren; |
| c) | of het verbonden product in staat is gegevens op het apparaat of op een server op afstand op te slaan, indien van toepassing met inbegrip van de beoogde bewaringstermijn; |
| d) | hoe de gebruiker de gegevens kan raadplegen, opvragen of, in voorkomend geval, wissen, met inbegrip van de technische middelen om dit te doen, alsmede de gebruiksvoorwaarden en de kwaliteit van de dienstverlening daarvan. |
3. Alvorens een overeenkomst te sluiten voor de verlening van een gerelateerde dienst, verstrekt de leverancier van een dergelijke gerelateerde dienst de gebruiker minstens de volgende informatie op duidelijke en begrijpelijke wijze:
| a) | de aard, het geraamde volume en de frequentie van verzameling van productgegevens die de potentiële gegevenshouder geacht wordt te verkrijgen en, in voorkomend geval, de regelingen voor de gebruiker om toegang te krijgen tot die gegevens of deze op te vragen, met inbegrip van de regelingen van de potentiële gegevenshouder inzake gegevensopslag en de duur van de bewaring; |
| b) | de aard en het geraamde volume van de te genereren gegevens van een gerelateerde dienst, alsmede de regelingen voor de gebruiker om toegang te krijgen tot die gegevens of deze op te vragen, met inbegrip van de regelingen van de potentiële gegevenshouder inzake gegevensopslag en de duur van de bewaring; |
| c) | of de potentiële gegevenshouder verwacht eenvoudig beschikbare gegevens zelf te gebruiken en de doeleinden waarvoor die gegevens zullen worden gebruikt, en of hij al dan niet voornemens is een of meer derden toe te staan de gegevens te gebruiken voor met de gebruiker overeengekomen doeleinden; |
| d) | de identiteit van de potentiële gegevenshouder, zoals zijn handelsnaam en het geografische adres waar hij is gevestigd en, in voorkomend geval, van andere gegevensverwerkende partijen; |
| e) | de communicatiemiddelen die de gebruiker in staat stellen snel contact op te nemen met de potentiële gegevenshouder en efficiënt met hem te communiceren; |
| f) | de manier waarop de gebruiker kan verzoeken om de gegevens te delen met een derde en, in voorkomend geval, het delen van gegevens kan stopzetten; |
| g) | het recht van de gebruiker om bij de op grond van artikel 37 aangewezen bevoegde autoriteit klacht in te dienen over een vermeende inbreuk op de bepalingen van dit hoofdstuk; |
| h) | de vraag of een potentiële gegevenshouder de houder is van bedrijfsgeheimen die vervat zijn in de gegevens die toegankelijk zijn via het verbonden product of die worden gegenereerd tijdens de verlening van een gerelateerde dienst, en, wanneer de potentiële gegevenshouder niet de houder van de bedrijfsgeheimen is, de identiteit van de houder van het bedrijfsgeheim; |
| i) | de duur van de overeenkomst tussen de gebruiker en de potentiële gegevenshouder, alsmede de regelingen voor het beëindigen van deze overeenkomst. |
Artikel 4
De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst
1. Indien de gebruiker geen rechtstreekse toegang heeft tot de gegevens via het verbonden product of de gerelateerde dienst, stellen gegevenshouders de eenvoudig beschikbare gegevens, alsook de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van de gebruiker, voor zover dat relevant en technisch haalbaar is, en gebeurt deze terbeschikkingstelling continu en in realtime. Voor zover technisch haalbaar, gebeurt dit op eenvoudig elektronisch verzoek.
2. Gebruikers en gegevenshouders kunnen de toegang tot gegevens of het gebruik of verder delen daarvan contractueel beperken of verbieden indien een dergelijke verwerking de beveiligingsvereisten van het verbonden product, zoals vastgesteld in het Unie- of nationaal recht, zou kunnen ondermijnen, met ernstige negatieve gevolgen voor de gezondheid, veiligheid of beveiliging van natuurlijke personen. De sectorale autoriteiten kunnen in dat verband gebruikers en houders van gegevens technische expertise verstrekken. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit artikel, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
3. Onverminderd het recht van de gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan de gebruiker met betrekking tot elk geschil met de gegevenshouder over de in lid 2 bedoelde contractuele beperkingen of verboden:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht indienen bij de bevoegde autoriteit, of |
| b) | met de gegevenshouder overeenkomen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
4. Gegevenshouders maken het maken van keuzes of de uitoefening van de rechten op grond van dit artikel van gebruikers niet onnodig moeilijk door bijvoorbeeld de keuzemogelijkheden voor de gebruiker op een niet-neutrale manier te presenteren of door de autonomie, besluitvorming of vrije keuze van de gebruikers te ondermijnen of te belemmeren via de structuur, het ontwerp, de functie of de gebruikswijze van een digitale gebruikersinterface of een deel daarvan.
5. Om na te gaan of een natuurlijke of rechtspersoon als gebruiker op grond van lid 1 kan worden aangemerkt, mag een gegevenshouder van die persoon niet verlangen dat die persoon informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie, met name loggegevens, over de toegang van de gebruiker tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de gebruiker en voor de beveiliging en het onderhoud van de data-infrastructuur.
6. Bedrijfsgeheimen worden bewaard en worden alleen bekendgemaakt op voorwaarde dat de gegevenshouder en de gebruiker voorafgaand aan de bekendmaking alle noodzakelijke maatregelen nemen om de vertrouwelijkheid ervan te waarborgen, met name ten aanzien van derden. De gegevenshouder, of de houder van het bedrijfsgeheim wanneer deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de gebruiker evenredige technische en organisatorische maatregelen overeen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes, die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, met name ten aanzien van derden.
7. Indien er geen overeenstemming wordt bereikt over de in lid 6 bedoelde noodzakelijke maatregelen, of indien de gebruiker de op grond van lid 6 overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de gebruiker meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.
8. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de gebruiker op grond van lid 6 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de gebruiker verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
9. Onverminderd het recht van een gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een gebruiker het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 7 en 8 te weigeren, tegen te houden of op te schorten aanvechten door:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of |
| b) | met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
10. De gebruiker mag gegevens die zijn verkregen naar aanleiding van een in lid 1 bedoeld verzoek niet gebruiken om een verbonden product te ontwikkelen dat concurreert met het verbonden product waaruit de gegevens afkomstig zijn, noch met datzelfde oogmerk gegevens delen met een derde, en mag die gegevens evenmin gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van de fabrikant of, in voorkomend geval, de gegevenshouder.
11. De gebruiker mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.
12. Indien de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd, door de gegevenshouder alleen ter beschikking gesteld van de gebruiker indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG wordt voldaan.
13. Een gegevenshouder gebruikt alleen eenvoudig beschikbare gegevens die niet-persoonsgebonden gegevens zijn op basis van een overeenkomst met de gebruiker. Een gegevenshouder gebruikt dergelijke gegevens niet om inzichten in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker te verwerven, op enige andere wijze die de commerciële positie van die gebruiker op de markten waarop deze actief is, zouden kunnen ondermijnen.
14. Gegevenshouders stellen niet-persoonsgebonden productgegevens niet beschikbaar aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun overeenkomst met de gebruiker. In voorkomend geval verplichten gegevenshouders derden er contractueel toe de van hen ontvangen gegevens niet verder te delen.
Artikel 5
Het recht van de gebruiker om gegevens te delen met derden
1. Op verzoek van een gebruiker of van een namens een gebruiker optredende partij stelt de gegevenshouder eenvoudig beschikbare gegevens, alsmede de desbetreffende metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos voor de gebruiker, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van een derde partij, en gebeurt deze terbeschikkingstelling voor zover dat relevant en technisch haalbaar is continu en in realtime. De gegevens worden door de gegevenshouder beschikbaar gesteld aan de derde overeenkomstig de artikelen 8 en 9.
2. Lid 1 is niet van toepassing op eenvoudig beschikbare gegevens in het kader van het testen van nieuwe verbonden producten, stoffen of processen die nog niet in de handel zijn gebracht, tenzij hun gebruik door een derde contractueel is toegestaan.
3. Een onderneming die overeenkomstig artikel 3 van Verordening (EU) 2022/1925 als poortwachter is aangewezen, is geen in aanmerking komende derde uit hoofde van dit artikel en mag derhalve niet:
| a) | een gebruiker op enigerlei wijze vragen of commercieel stimuleren, onder meer door financiële of andere vergoedingen te bieden, om gegevens die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1, beschikbaar te stellen voor een van zijn diensten; |
| b) | een gebruiker verzoeken of commercieel stimuleren om de gegevenshouder te verzoeken gegevens beschikbaar te stellen voor een van zijn diensten overeenkomstig lid 1 van dit artikel; |
| c) | van een gebruiker gegevens ontvangen die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1. |
4. Om na te gaan of een natuurlijke of rechtspersoon voor de toepassing van lid 1 kan worden aangemerkt als gebruiker of als derde, mag van de gebruiker of de derde niet worden verlangd dat hij informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie over de toegang van de derde tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de derde en voor de beveiliging en het onderhoud van de data-infrastructuur.
5. De derde mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.
6. Een gegevenshouder mag geen eenvoudig beschikbare gegevens gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van of het gebruik door de derde op enige andere wijze die de commerciële positie van de derde op de markten waarop de derde actief is, zou kunnen ondermijnen, tenzij de derde voor dat gebruik toestemming heeft verleend en de technische mogelijkheid heeft om die toestemming te allen tijde gemakkelijk in te trekken.
7. Wanneer de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd alleen door de gegevenshouder ter beschikking gesteld van de derde indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG is voldaan.
8. Het verzuim van de gegevenshouder en de derde om regelingen voor het doorgeven van de gegevens overeen te komen, mag de uitoefening van de rechten van het datasubject uit hoofde van Verordening (EU) 2016/679 en met name het recht op overdraagbaarheid van gegevens uit hoofde van artikel 20 van die verordening, niet belemmeren, beletten of verstoren.
9. Bedrijfsgeheimen worden alleen bewaard en bekendgemaakt aan derden voor zover deze openbaarmaking strikt noodzakelijk is om het tussen de gebruiker en de derde overeengekomen doel te verwezenlijken. De gegevenshouder, of de houder van het bedrijfsgeheim indien deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de derde alle evenredige technische en organisatorische maatregelen overeen die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes.
10. Indien er geen overeenstemming is over de in lid 9 van dit artikel bedoelde noodzakelijke maatregelen of als de derde de op grond van lid 9 van dit artikel overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de derde meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.
11. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de derde op grond van lid 9 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de derde verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
12. Onverminderd het recht van derden om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een derde het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 10 en 11 te weigeren, tegen te houden of op te schorten aanvechten door:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of |
| b) | met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
13. Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten van andere datasubjecten krachtens het toepasselijke Unie- en nationale recht inzake de bescherming van persoonsgegevens.
Artikel 17
Verzoeken om gegevens beschikbaar te stellen
1. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of een orgaan van de Unie om gegevens overeenkomstig artikel 14, verzoeken:
| a) | specificeren zij de vereiste gegevens, met inbegrip van de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken; |
| b) | tonen zij aan dat wordt voldaan aan de noodzakelijke voorwaarden voor het bestaan van een uitzonderlijke noodzaak als bedoeld in artikel 15, op grond waarvan om de gegevens wordt verzocht; |
| c) | geven zij een toelichting op het doel van het verzoek, het beoogde gebruik van de gevraagde gegevens, ook indien een derde in voorkomend geval overeenkomstig lid 4 van dit artikel daarom heeft verzocht, de duur van dat gebruik en, in voorkomend geval, de wijze waarop de verwerking van persoonsgegevens tegemoetkomt aan de uitzonderlijke noodzaak; |
| d) | geven zij indien mogelijk aan wanneer de gegevens naar verwachting zullen worden gewist door alle partijen die er toegang toe hebben; |
| e) | onderbouwen zij de keuze van de gegevenshouder tot wie het verzoek zich richt; |
| f) | vermelden zij de andere overheidsinstanties of de Commissie, de Europese Centrale Bank of organen van de Unie en de derden waarmee de verkregen gegevens naar verwachting zullen worden gedeeld; |
| g) | indien om persoonsgegevens wordt verzocht, specificeren zij welke technische en organisatorische maatregelen nodig en evenredig zijn om de gegevensbeschermingsbeginselen en de nodige waarborgen toe te passen, zoals pseudonimisering, en of de gegevenshouder anonimisering kan toepassen voordat hij de gegevens beschikbaar stelt; |
| h) | vermelden zij de wettelijke bepaling waarbij aan de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de specifieke taak van algemeen belang wordt toegewezen waarvoor de gegevens wordt gevraagd; |
| i) | specificeren zij de termijn waarbinnen de gegevens beschikbaar moeten worden gesteld en de in artikel 18, lid 2, bedoelde termijn waarbinnen de gegevenshouder het verzoek kan afwijzen of om wijziging ervan kan verzoeken; |
| j) | stellen zij alles in het werk om te voorkomen dat een verzoek om gegevens wordt ingewilligd als dat zou leiden tot aansprakelijkheid van de gegevenshouders voor inbreuken op het Unierecht of nationale recht. |
2. Een verzoek om gegevens op grond van lid 1 van dit artikel:
| a) | wordt schriftelijk ingediend en uitgedrukt in duidelijke, beknopte en eenvoudige taal die voor de gegevenshouder begrijpelijk is; |
| b) | vermeldt specifiek om welk soort gegevens het gaat en komt overeen met de gegevens waarover de gegevenshouder ten tijde van het verzoek de controle heeft; |
| c) | staat in verhouding tot de uitzonderlijke noodzaak en is naar behoren gemotiveerd, wat betreft de mate van detail en het volume van de gevraagde gegevens en de frequentie van de toegang tot de gevraagde gegevens; |
| d) | eerbiedigt de legitieme doelstellingen van de gegevenshouder en zorgt voor de bescherming van bedrijfsgeheimen overeenkomstig artikel 19, lid 3, en de kosten en inspanningen die nodig zijn om de gegevens beschikbaar te stellen; |
| e) | heeft betrekking op niet-persoonsgebonden gegevens, en alleen als wordt aangetoond dat dit ontoereikend is om te voldoen aan de uitzonderlijke noodzaak om gegevens te gebruiken, overeenkomstig artikel 15, lid 1, punt a), behelst het persoonsgegevens in gepseudonimiseerde vorm en stelt het de technische en organisatorische maatregelen vast die moeten worden genomen om de gegevens te beschermen; |
| f) | stelt de gegevenshouder in kennis van de sancties die overeenkomstig artikel 40 door de in artikel 37 aangewezen bevoegde autoriteit moeten worden opgelegd in geval van niet-naleving van het verzoek; |
| g) | wordt, indien het verzoek door een overheidsinstantie wordt ingediend, toegezonden aan de in artikel 37 bedoelde gegevenscoördinator van de lidstaat waar de verzoekende overheidsinstantie is gevestigd, die het verzoek onverwijld online beschikbaar stelt, tenzij de datacoördinator van oordeel is dat een dergelijke publicatie een risico voor de openbare veiligheid zou opleveren; |
| h) | wordt, wanneer het verzoek door de Commissie, de Europese Centrale Bank of een orgaan van de Unie wordt gedaan, onverwijld online beschikbaar gesteld; |
| i) | wordt, indien om persoonsgegevens wordt verzocht, onverwijld gemeld bij de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 in de lidstaat waar de overheidsinstantie is gevestigd. |
De Europese Centrale Bank en de organen van de Unie stellen de Commissie in kennis van hun verzoeken.
3. Een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie stelt de op grond van dit hoofdstuk verkregen gegevens niet beschikbaar voor hergebruik zoals gedefinieerd in artikel 2, punt 2, van Verordening (EU) 2022/868 of artikel 2, punt 11, van Richtlijn (EU) 2019/1024. Verordening (EU) 2022/868 en Richtlijn (EU) 2019/1024 zijn niet van toepassing op de gegevens die overheidsinstanties op grond van dit hoofdstuk hebben verkregen.
4. Lid 3 van dit artikel belet een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie niet om op grond van dit hoofdstuk verkregen gegevens uit te wisselen met een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie met het oog op de vervulling van de taken zoals bedoeld in artikel 15, zoals vermeld in het verzoek overeenkomstig lid 1, punt f), van dit artikel, of om de gegevens beschikbaar te stellen aan een derde in gevallen waarin door middel van een openbaar beschikbare overeenkomst technische inspecties of andere taken aan die derde zijn gedelegeerd. De verplichtingen van overheidsinstanties overeenkomstig artikel 19, met name waarborgen ter bescherming van de vertrouwelijkheid van bedrijfsgeheimen, gelden ook voor dergelijke derden. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie gegevens uit hoofde van dit lid doorgeven of beschikbaar stellen, stellen zij de gegevenshouder van wie de gegevens zijn ontvangen onverwijld daarvan in kennis.
5. Indien de gegevenshouder van mening is dat zijn rechten uit hoofde van dit hoofdstuk zijn geschonden door het doorgeven of het beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.
6. De Commissie ontwikkelt een modelformulier voor verzoeken overeenkomstig dit artikel.
Artikel 18
Naleving van verzoeken om gegevens
1. Een gegevenshouder die een verzoek ontvangt om gegevens beschikbaar te stellen uit hoofde van dit hoofdstuk, stelt de gegevens onverwijld ter beschikking van de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, rekening houdend met de benodigde technische, organisatorische en juridische maatregelen.
2. Onverminderd specifieke behoeften in verband met de beschikbaarheid van gegevens zoals omschreven in het Unie- of nationale recht, kan een gegevenshouder het verzoek afwijzen of verzoeken om wijziging van een verzoek om gegevens beschikbaar te stellen uit hoofde van dit hoofdstuk, onverwijld en in elk geval binnen vijf werkdagen na ontvangst van een verzoek om de gegevens die noodzakelijk zijn om te reageren op een algemene noodsituatie en onverwijld en in elk geval binnen 30 werkdagen na ontvangst van een dergelijk verzoek in andere gevallen van uitzonderlijke noodzaak, om de volgende redenen:
| a) | de gegevenshouder heeft geen controle over de gevraagde gegevens; |
| b) | er is eerder een soortgelijk verzoek met hetzelfde doel ingediend door een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, en de gegevenshouder is niet in kennis gesteld van de wissing van de gegevens overeenkomstig artikel 19, lid 1, punt c); |
| c) | het verzoek voldoet niet aan de voorwaarden van artikel 17, leden 1 en 2. |
3. Indien de gegevenshouder besluit het verzoek af te wijzen of te verzoeken het te wijzigen overeenkomstig lid 2, punt b), vermeldt hij de identiteit van de overheidsinstantie of de Commissie, de Europese Centrale Bank of het orgaan van de Unie waardoor eerder een verzoek met hetzelfde doel is ingediend.
4. Indien de gegevens persoonsgegevens bevatten, anonimiseert de gegevenshouder de gegevens naar behoren, tenzij er persoonsgegevens moeten worden verstrekt om het verzoek om gegevens van een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie in te willigen. In dergelijke gevallen pseudonimiseert de gegevenshouder de gegevens.
5. Indien de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de weigering van een gegevenshouder om de gevraagde gegevens te verstrekken wenst aan te vechten, of indien de gegevenshouder het verzoek wenst aan te vechten en de zaak niet kan worden opgelost door een gepaste wijziging van het verzoek, wordt de zaak voorgelegd aan de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.
Artikel 20
Vergoeding in geval van uitzonderlijke noodzaak
1. Andere gegevenshouders dan micro-ondernemingen en kleine ondernemingen stellen de gegevens die nodig zijn om te reageren op een algemene noodsituatie overeenkomstig artikel 15, lid 1, punt a), kosteloos beschikbaar. De overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie die/dat gegevens heeft ontvangen, geeft een openbare bevestiging aan de gegevenshouder indien de gegevenshouder daarom verzoekt.
2. De gegevenshouder heeft recht op een eerlijke vergoeding voor het beschikbaar stellen van gegevens in naleving van een verzoek overeenkomstig artikel 15, lid 1, punt b). Die vergoeding dekt de technische en organisatorische kosten die zijn gemaakt om aan het verzoek te voldoen, met inbegrip van, in voorkomend geval, de kosten van anonimisering, pseudonimisering, aggregatie en technische aanpassing, en met een redelijke marge. Op verzoek van de overheidsinstantie of de Commissie, de Europese Centrale Bank of het orgaan van de Unie, verstrekt de gegevenshouder informatie over de grondslag voor de berekening van de kosten en de redelijke marge.
3. Lid 2 is ook van toepassing indien een micro-onderneming en een kleine onderneming zoals gedefinieerd een vergoeding eisen voor het beschikbaar stellen van gegevens.
4. Gegevenshouders hebben geen recht op vergoeding voor het beschikbaar stellen van gegevens in naleving van een verzoek uit hoofde van artikel 15, lid 1, punt b), indien de specifieke taak van algemeen belang bestaat in het opstellen van officiële statistieken en indien de aankoop van gegevens niet is toegestaan op grond van het nationale recht. De lidstaten stellen de Commissie ervan in kennis indien de aankoop van gegevens voor het opstellen van officiële statistieken op grond van het nationale recht niet is toegestaan.
5. Indien de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie het niet eens is met de hoogte van de door de gegevenshouder gevraagde vergoeding, kan zij/het klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.
Artikel 21
Delen van in de context van een uitzonderlijke noodzaak verkregen gegevens met onderzoeksorganisaties of statistische instanties
1. Overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie mogen uit hoofde van dit hoofdstuk ontvangen gegevens delen:
| a) | met personen of organisaties met het oog op het uitvoeren van wetenschappelijk onderzoek of analyses die verenigbaar zijn met het doel waarvoor de gegevens werden gevraagd; of |
| b) | met nationale bureaus voor de statistiek of Eurostat voor het opstellen van officiële statistieken. |
2. Personen of organisaties die de gegevens overeenkomstig lid 1 ontvangen, handelen zonder winstoogmerk of in het kader van een in het Unie- of nationale recht erkende taak van algemeen belang. Hieronder vallen niet organisaties waarop commerciële ondernemingen een aanzienlijke invloed uitoefenen die waarschijnlijk zal leiden tot preferentiële toegang tot de resultaten van het onderzoek.
3. Personen of organisaties die de gegevens overeenkomstig lid 1 van dit artikel ontvangen, voldoen aan dezelfde verplichtingen die van toepassing zijn op de overheidsinstanties, de Commissie, de Europese Centrale Bank of de organen van de Unie overeenkomstig artikel 17, lid 3, en artikel 19.
4. Niettegenstaande artikel 19, lid 1, punt c), mogen personen of organisaties die de gegevens overeenkomstig lid 1 van dit artikel ontvangen, de ontvangen gegevens voor het doel waarvoor de gegevens werden gevraagd, bewaren tot zes maanden na het wissen van de gegevens door de overheidsinstanties, de Commissie, de Europese Centrale Bank en de organen van de Unie.
5. Indien een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie voornemens is gegevens uit hoofde van lid 1 van dit artikel beschikbaar te stellen, stelt zij/het onverwijld de gegevenshouder van wie de gegevens zijn ontvangen daarvan in kennis met vermelding van de identiteit en contactgegevens van de organisatie of de persoon die de gegevens ontvangt, het doel van de doorgifte of beschikbaarstelling van de gegevens, de termijn gedurende welke de gegevens mogen worden gebruikt en de technische bescherming en organisatorische maatregelen die zijn genomen, ook indien het persoonsgegevens of bedrijfsgeheimen betreft. Indien de gegevenshouder het niet eens is met het doorgeven of beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar hij is gevestigd.
Artikel 22
Wederzijdse bijstand en grensoverschrijdende samenwerking
1. Overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie werken samen en staan elkaar bij om dit hoofdstuk op consistente wijze uit te voeren.
2. Alle gegevens die in het kader van de verzochte bijstand worden uitgewisseld en verstrekt overeenkomstig lid 1, mogen niet worden gebruikt op een wijze die onverenigbaar is met het doel waarvoor zij zijn gevraagd.
3. Indien een overheidsinstantie voornemens is om gegevens te verzoeken van een gegevenshouder die in een andere lidstaat is gevestigd, stelt zij eerst de op grond van artikel 37 aangewezen bevoegde autoriteit in die lidstaat van haar voornemen in kennis. Deze vereiste geldt ook voor verzoeken van de Commissie, de Europese Centrale Bank en organen van de Unie. Het verzoek wordt onderzocht door de bevoegde autoriteit van de lidstaat waar de gegevenshouder gevestigd is.
4. Nadat de relevante bevoegde autoriteit het verzoek heeft onderzocht in het licht van de in artikel 17 vastgestelde vereisten, neemt zij onverwijld een van de volgende maatregelen:
| a) | zij stuurt het verzoek door naar de gegevenshouder en adviseert, indien van toepassing, de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie over de eventuele noodzaak om samen te werken met overheidsinstanties van de lidstaat waar de gegevenshouder is gevestigd, teneinde de administratieve lasten voor de gegevenshouder bij het voldoen aan het verzoek te verminderen; |
| b) | zij wijst het verzoek om naar behoren gemotiveerde redenen af overeenkomstig dit hoofdstuk; |
De verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank en het orgaan van de Unie houden rekening met het advies en de redenen die de betrokken bevoegde autoriteit overeenkomstig de eerste alinea heeft verstrekt alvorens verdere maatregelen te nemen, zoals het opnieuw indienen van het verzoek, indien van toepassing.
HOOFDSTUK VI
OVERSTAPPEN NAAR EEN ANDERE DATAVERWERKINGSDIENST
Artikel 32
Internationale overheidstoegang en overdracht
1. Aanbieders van dataverwerkingsdiensten nemen alle adequate technische, organisatorische en juridische maatregelen, waaronder overeenkomsten, om internationale overheidstoegang en toegang van overheden van derde landen, alsook overdracht van niet-persoonsgebonden gegevens die in de Unie zijn opgeslagen, te voorkomen indien die overdracht of toegang in strijd zou zijn met het Unierecht of met het nationale recht van de betrokken lidstaat, onverminderd lid 2 of lid 3.
2. Elke beslissing of elke uitspraak van een rechterlijke instantie van een derde land en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een aanbieder van dataverwerkingsdiensten niet-persoonsgebonden gegevens die binnen het toepassingsgebied van deze verordening vallen en in de Unie zijn opgeslagen, moet overdragen of er toegang toe moet verlenen, wordt alleen op enigerlei wijze erkend of is alleen op enigerlei wijze afdwingbaar indien de beslissing, de uitspraak of het besluit gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, die van kracht is tussen het verzoekende derde land en de Unie, of op een dergelijke overeenkomst tussen het verzoekende derde land en een lidstaat.
3. Bij ontstentenis van een internationale overeenkomst als bedoeld in lid 2, vindt, indien een aanbieder van dataverwerkingsdiensten de geadresseerde is van een beslissing of uitspraak van een rechterlijke instantie van een derde land of een besluit van een administratieve autoriteit van een derde land om niet-persoonsgebonden gegevens die binnen het toepassingsgebied van deze verordening vallen en die in de Unie zijn opgeslagen, over te dragen of er toegang toe te verlenen, en de naleving van een dergelijke beslissing of uitspraak of een dergelijk besluit de geadresseerde in strijd zou kunnen brengen met het Unierecht of met het nationale recht van de betrokken lidstaat, de overdracht van of de toegang tot dergelijke gegevens door die autoriteit van het derde land alleen plaats indien:
| a) | het bestel van het derde land voorschrijft dat de redenen voor en de evenredigheid van een dergelijke rechterlijke beslissing of uitspraak of een dergelijk besluit worden toegelicht, en dat die rechterlijke beslissing of uitspraak of dat besluit een specifiek karakter heeft, bijvoorbeeld doordat daarin een toereikend verband wordt gelegd met bepaalde verdachten of inbreuken; |
| b) | het gemotiveerde bezwaar van de geadresseerde getoetst wordt door een bevoegde rechterlijke instantie van het derde land, en |
| c) | de bevoegde rechterlijke instantie van het derde land die de rechterlijke beslissing neemt of de rechterlijke uitspraak doet of het besluit van een administratieve autoriteit toetst, uit hoofde van het recht van dat derde land gemachtigd is terdege rekening te houden met de relevante juridische belangen van de verstrekker van de gegevens die uit hoofde van het Unierecht of van het nationale recht van de betrokken lidstaat worden beschermd. |
De geadresseerde van de beslissing of het besluit of de rechterlijke uitspraak kan het advies inwinnen van de nationale instantie of autoriteit die bevoegd is voor internationale samenwerking in juridische aangelegenheden, teneinde te bepalen of aan de in de eerste alinea vastgestelde voorwaarden wordt voldaan, met name wanneer hij van oordeel is dat de beslissing of het besluit betrekking kan hebben op bedrijfsgeheimen en andere commercieel gevoelige gegevens, alsook op door intellectuele-eigendomsrechten beschermde inhoud of dat de overdracht tot heridentificatie kan leiden. De bevoegde nationale instantie of autoriteit kan de Commissie raadplegen. Indien de geadresseerde van oordeel is dat de beslissing of het besluit of de rechterlijke uitspraak afbreuk kan doen aan de nationale veiligheids- of defensiebelangen van de Unie of haar lidstaten, wint hij het advies in van de betreffende nationale instantie of autoriteit om te bepalen of de gevraagde gegevens nationale veiligheids- of defensiebelangen van de Unie of haar lidstaten betreffen. Indien de geadresseerde binnen een maand geen antwoord heeft ontvangen of indien deze instanties of autoriteit in hun advies concluderen dat niet aan de in de eerste alinea vastgestelde voorwaarden wordt voldaan, kan de geadresseerde het verzoek om overdracht of toegang tot niet-persoonsgebonden gegevens op die gronden afwijzen.
Het Europees Comité voor gegevensinnovatie zoals bedoeld in artikel 42 adviseert en assisteert de Commissie bij het opstellen van richtsnoeren voor de beoordeling van de vraag of aan de voorwaarden van de eerste alinea wordt voldaan.
4. Indien aan de voorwaarden van lid 2 of lid 3 wordt voldaan, verstrekt de aanbieder van dataverwerkingsdiensten de minimaal toestaanbare hoeveelheid gegevens in antwoord op een verzoek, op basis van de redelijke interpretatie van dat verzoek door de aanbieder of de relevante nationale instantie of autoriteit als bedoeld in lid 3, tweede alinea.
5. De aanbieder van dataverwerkingsdiensten stelt de klant in kennis van het bestaan van een verzoek van een autoriteit van een derde land om toegang tot zijn gegevens te krijgen alvorens aan dit verzoek te voldoen, behalve indien het verzoek rechtshandhavingsdoeleinden dient en zolang dit noodzakelijk is om de doeltreffendheid van de rechtshandhavingsactiviteiten te waarborgen.
HOOFDSTUK VIII
INTEROPERABILITEIT
Artikel 35
Interoperabiliteit voor dataverwerkingsdiensten
1. Open interoperabiliteitsspecificaties en geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten voldoen aan het volgende:
| a) | zij bereiken, voor zover technisch haalbaar, interoperabiliteit tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst dekken; |
| b) | zij verbeteren de overdraagbaarheid van digitale activa tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst dekken; |
| c) | zij faciliteren, voor zover technisch haalbaar, de functionele gelijkwaardigheid tussen de in artikel 30, lid 1, bedoelde dataverwerkingsdiensten die hetzelfde type dienst dekken; |
| d) | zij hebben geen negatieve gevolgen voor de veiligheid en integriteit van dataverwerkingsdiensten; |
| e) | zij zijn zodanig ontworpen dat zij technische vooruitgang en de opneming van nieuwe functies en innovatie in dataverwerkingsdiensten mogelijk maken. |
2. Open interoperabiliteitsspecificaties en geharmoniseerde normen voor de interoperabiliteit van dataverwerkingsdiensten pakken de volgende aspecten naar behoren aan:
| a) | de aspecten van cloudinteroperabiliteit in het vervoer, syntactische interoperabiliteit, semantische data-interoperabiliteit, gedragsinteroperabiliteit en beleidsinteroperabiliteit; |
| b) | de overdraagbaarheidsaspecten van cloudgegevens inzake syntactische en semantische overdraagbaarheid van gegevens en overdraagbaarheid van het gegevensbeleid; |
| c) | de cloudtoepassingsaspecten van applicatiesyntactische overdraagbaarheid, applicatie-instructieportabiliteit, overdraagbaarheid van applicatiemetagegevens, overdraagbaarheid van applicatiegedrag en overdraagbaarheid van het applicatiebeleid. |
3. Open interoperabiliteitsspecificaties voldoen aan bijlage II bij Verordening (EU) nr. 1025/2012.
4. Na rekening te hebben gehouden met relevante internationale en Europese normen en initiatieven op het gebied van zelfregulering, kan de Commissie overeenkomstig artikel 10, lid 1, van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzoeken geharmoniseerde normen op te stellen die voldoen aan de in de leden 1 en 2 van dit artikel vastgelegde essentiële eisen.
5. De Commissie kan door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen op basis van open interoperabiliteitsspecificaties die alle in de leden 1 en 2 vastgelegde essentiële eisen dekken.
6. Bij de opstelling van de in lid 5 van dit artikel bedoelde ontwerpuitvoeringshandeling houdt de Commissie rekening met de standpunten van de in artikel 37, lid 5, punt h), bedoelde relevante bevoegde autoriteiten en andere relevante instanties of deskundigengroepen en raadpleegt zij naar behoren alle relevante belanghebbenden.
7. Wanneer een lidstaat van oordeel is dat een gemeenschappelijke specificatie niet volledig aan de in de leden 1 en 2 vastgelegde essentiële eisen voldoet, stelt deze lidstaat de Commissie daarvan in kennis door het indienen van een gedetailleerde toelichting. De Commissie beoordeelt die gedetailleerde informatie en kan in voorkomend geval de uitvoeringshandeling tot vaststelling van de betrokken gemeenschappelijke specificatie wijzigen.
8. Voor de toepassing van artikel 30, lid 3, maakt de Commissie door middel van uitvoeringshandelingen, in een centraal Unieregister voor normen voor de interoperabiliteit van dataverwerkingsdiensten, de referentie bekend van geharmoniseerde normen en gemeenschappelijke specificaties voor de interoperabiliteit van dataverwerkingsdiensten.
9. De in dit artikel bedoelde uitvoeringshandelingen worden vastgesteld volgens de in artikel 46, lid 2, bedoelde onderzoeksprocedure.
Artikel 37
bevoegde autoriteiten en datacoördinatoren
1. Elke lidstaat wijst een of meer autoriteiten aan die bevoegd zijn voor de uitvoering en handhaving van deze verordening (bevoegde autoriteiten). De lidstaten kunnen een of meer nieuwe autoriteiten oprichten of een beroep doen op bestaande autoriteiten.
2. Indien een lidstaat meer dan één bevoegde autoriteit aanwijst, wijst hij onder deze bevoegde autoriteiten een datacoördinator aan om de samenwerking tussen hen te vergemakkelijken en entiteiten binnen het toepassingsgebied van deze verordening bij te staan in alle aangelegenheden die verband houden met de toepassing en handhaving ervan. Bij de uitoefening van de hun krachtens lid 5 toegewezen taken en bevoegdheden werken de bevoegde autoriteiten met elkaar samen.
3. De toezichthoudende autoriteiten die verantwoordelijk zijn voor het toezicht op de toepassing van Verordening (EU) 2016/679, zijn verantwoordelijk voor het toezicht op de toepassing van deze verordening wat de bescherming van persoonsgegevens betreft. De hoofdstukken VI en VII van Verordening (EU) 2016/679 zijn van overeenkomstige toepassing.
De Europese Toezichthouder voor gegevensbescherming is verantwoordelijk voor het toezicht op de toepassing van deze verordening voor zover deze betrekking heeft op de Commissie, de Europese Centrale Bank of organen van de Unie. In voorkomend geval is artikel 62 van Verordening (EU) 2018/1725 van overeenkomstige toepassing.
De in dit lid bedoelde taken en bevoegdheden van de toezichthoudende autoriteiten worden uitgeoefend met betrekking tot de verwerking van persoonsgegevens.
4. Onverminderd lid 1 van dit artikel:
| a) | wordt de bevoegdheid van de sectorale autoriteiten voor specifieke sectorale toegang tot gegevens en specifiek sectoraal gegevensgebruik in verband met de toepassing van deze verordening geëerbiedigd; |
| b) | heeft de bevoegde autoriteit die verantwoordelijk is voor de toepassing en handhaving van de artikelen 23 tot en met 31 en de artikelen 34 en 35, ervaring op het gebied van gegevens en elektronische-communicatiediensten. |
5. De lidstaten zorgen ervoor dat de taken en bevoegdheden van de bevoegde autoriteiten duidelijk omschreven zijn en het volgende omvatten:
| a) | datageletterdheid en bewustmaking over de rechten en verplichtingen uit hoofde van deze verordening bevorderen bij gebruikers en entiteiten die binnen het toepassingsgebied van deze verordening vallen; |
| b) | klachten over vermeende overtredingen op deze verordening behandelen, ook met betrekking tot bedrijfsgeheimen, de inhoud van klachten onderzoeken in de mate waarin dat gepast is en klagers, indien relevant overeenkomstig het nationale recht, regelmatig en binnen een redelijke termijn in kennis stellen van de voortgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere bevoegde autoriteit noodzakelijk is; |
| c) | onderzoek verrichten naar zaken die betrekking hebben op de toepassing van deze verordening, onder meer op basis van informatie die van een andere bevoegde autoriteit of een andere overheidsinstantie is ontvangen; |
| d) | doeltreffende, evenredige en afschrikkende financiële sancties opleggen, waaronder dwangsommen en sancties met terugwerkende kracht, of gerechtelijke procedures voor het opleggen van geldboetes inleiden; |
| e) | toezicht houden op technologische en relevante commerciële ontwikkelingen die relevant zijn voor het beschikbaar stellen en gebruiken van gegevens; |
| f) | samenwerken met de bevoegde autoriteiten van andere lidstaten en indien relevant met de Commissie of het Europees Comité voor gegevensinnovatie, om de consistente en efficiënte toepassing van deze verordening te waarborgen, waaronder het onverwijld elektronisch uitwisselen van alle relevante informatie, ook met betrekking tot lid 10 van dit artikel; |
| g) | samenwerken met de relevante bevoegde autoriteiten die verantwoordelijk zijn voor de uitvoering van andere Unie- of nationale rechtshandelingen, onder meer met autoriteiten die bevoegd zijn op het gebied van gegevens en elektronische-communicatiediensten, met de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 of met sectorale autoriteiten om te waarborgen dat deze verordening in overeenstemming met andere Unie- en nationale wetgeving wordt gehandhaafd; |
| h) | samenwerken met de relevante bevoegde autoriteiten om ervoor te zorgen dat de verplichtingen van de artikelen 23 tot en met 31 en de artikelen 34 en 35 worden gehandhaafd in overeenstemming met ander Unierecht en zelfregulering die van toepassing zijn op aanbieders van dataverwerkingsdiensten; |
| i) | ervoor zorgen dat de overstapkosten overeenkomstig artikel 29 worden ingetrokken; |
| j) | de verzoeken om gegevens uit hoofde van hoofdstuk V onderzoeken. |
Indien er een datacoördinator is aangewezen, faciliteert deze de in de eerste alinea, punten f), g) en h), bedoelde samenwerking en staat hij de bevoegde autoriteiten op hun verzoek bij.
6. De datacoördinator, indien een dergelijke bevoegde autoriteit is aangewezen:
| a) | treedt op als centraal contactpunt voor alle kwesties in verband met de toepassing van deze verordening; |
| b) | waarborgt dat verzoeken van overheidsinstanties om gegevens beschikbaar te stellen in het geval van een uitzonderlijke noodzaak uit hoofde van hoofdstuk V online openbaar beschikbaar zijn, en bevordert vrijwillige gegevensdelingsovereenkomsten tussen overheidsinstanties en gegevenshouders; |
| c) | stelt de Commissie jaarlijks in kennis van de weigeringen waarvan overeenkomstig artikel 4, leden 2 en 8, en artikel 5, lid 11, kennis is gegeven. |
7. De lidstaten stellen de Commissie in kennis van de namen van de bevoegde autoriteiten en van hun taken en bevoegdheden en, indien van toepassing, de naam van de gegevenscoördinator. De Commissie houdt een openbaar register van deze autoriteiten bij.
8. Bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze verordening blijven de bevoegde autoriteiten onpartijdig en vrij van enige, directe of indirecte, invloed van buitenaf, en vragen noch aanvaarden zij voor individuele gevallen instructies van andere overheidsinstanties of particuliere partijen.
9. De lidstaten zorgen ervoor dat de bevoegde autoriteiten over voldoende personele en technische middelen beschikken alsook de relevante expertise om hun taken overeenkomstig deze verordening doeltreffend uit te voeren.
10. Entiteiten die binnen het toepassingsgebied van deze verordening vallen, vallen onder de bevoegdheid van de lidstaat waar de entiteit is gevestigd. Indien de entiteit in meer dan een lidstaat is gevestigd, wordt zij geacht onder de bevoegdheid te vallen van de lidstaat waar zij haar hoofdvestiging heeft, dat is waar het hoofdkantoor of de statutaire zetel van de entiteit zich bevindt, van waaruit de voornaamste financiële functies en de operationele controle worden uitgeoefend.
11. Elke binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt en niet in de Unie is gevestigd, wijst een wettelijke vertegenwoordiger aan in een van de lidstaten.
12. Met het oog op de naleving van deze verordening wordt een wettelijke vertegenwoordiger gemachtigd door een binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, zodat de bevoegde autoriteiten zich ook of in plaats van tot de entiteit, tot hem kunnen richten voor alle aangelegenheden die verband houden met die entiteit. Die wettelijke vertegenwoordiger werkt samen met de bevoegde autoriteiten en toont hun op verzoek de maatregelen en voorzieningen die zijn getroffen door de binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, teneinde de naleving van deze verordening te waarborgen.
13. Een binnen het toepassingsgebied van deze verordening vallende entiteit die in de Unie verbonden producten of diensten aanbiedt, wordt geacht te vallen onder de bevoegdheid van de lidstaat waar haar wettelijke vertegenwoordiger is gevestigd. De aanwijzing van een wettelijke vertegenwoordiger door een dergelijke entiteit doet geen afbreuk aan de aansprakelijkheid van een dergelijke entiteit en aan eventuele rechtsvorderingen die tegen haar kunnen worden ingesteld. Totdat een entiteit overeenkomstig dit artikel een wettelijke vertegenwoordiger aanwijst, valt zij, in voorkomend geval, onder de bevoegdheid van alle lidstaten teneinde de toepassing en handhaving van deze verordening te waarborgen. Elke bevoegde autoriteit kan haar bevoegdheid uitoefenen, onder meer door doeltreffende, evenredige en afschrikkende sancties op te leggen, mits de entiteit met betrekking tot dezelfde feiten niet door een andere bevoegde autoriteit onderworpen is aan een handhavingsprocedure uit hoofde van deze verordening.
14. bevoegde autoriteiten hebben de bevoegdheid om van gebruikers, gegevenshouders of gegevensontvangers, of hun wettelijke vertegenwoordigers, die onder de bevoegdheid van hun lidstaat vallen, alle informatie op te vragen die nodig is om na te gaan of aan deze verordening is voldaan. Een verzoek om informatie moet in verhouding staan tot de uitvoering van de onderliggende taak en moet worden gemotiveerd.
15. Indien een bevoegde autoriteit in een lidstaat om bijstand of handhavingsmaatregelen van een bevoegde autoriteit in een andere lidstaat verzoekt, dient zij een gemotiveerd verzoek in. Na ontvangst van een dergelijk verzoek geeft een bevoegde autoriteit onverwijld een antwoord met een gedetailleerde beschrijving van de maatregelen die zijn genomen of gepland.
16. bevoegde autoriteiten eerbiedigen het vertrouwelijkheidsbeginsel en het beroeps- en handelsgeheim, en beschermen persoonsgegevens overeenkomstig het Unie-of nationale recht. Alle informatie die naar aanleiding van een verzoek om bijstand wordt uitgewisseld en wordt verstrekt uit hoofde van dit artikel, wordt uitsluitend gebruikt in verband met de aangelegenheid waarvoor zij is gevraagd.
Artikel 38
Recht om een klacht in te dienen
1. Onverminderd andere mogelijkheden van administratief beroep of beroep in rechte hebben natuurlijke en rechtspersonen het recht om individueel of, in voorkomend geval, collectief een klacht in te dienen bij de relevante bevoegde autoriteit in de lidstaat waar zij hun gewone verblijfplaats, werkplek of vestiging hebben, indien zij van mening zijn dat hun rechten uit hoofde van deze verordening zijn geschonden. De datacoördinator verstrekt natuurlijke en rechtspersonen op verzoek alle benodigde informatie om hun klachten bij de juiste bevoegde autoriteit in te dienen.
2. De bevoegde autoriteit waarbij de klacht is ingediend, stelt de klager overeenkomstig het nationale recht in kennis van het verloop van de procedure en van het genomen besluit.
3. De bevoegde autoriteiten werken samen om klachten doeltreffend en tijdig te behandelen en op te lossen, onder meer door onverwijld alle relevante informatie elektronisch uit te wisselen. Deze samenwerking doet geen afbreuk aan de samenwerkingsmechanismes waarin de hoofdstukken VI en VII van Verordening (EU) 2016/679, alsook Verordening (EU) 2017/2394 voorzien.
Artikel 39
Recht op een doeltreffende voorziening in rechte
1. Niettegenstaande een administratief of ander buitengerechtelijk beroep, heeft elke betrokken natuurlijke of rechtspersoon recht op een doeltreffende voorziening in rechte tegen juridisch bindende besluiten die door bevoegde autoriteiten zijn genomen.
2. Indien een bevoegde autoriteit nalaat gevolg te geven aan een klacht, hebben betrokken natuurlijke en rechtspersonen, overeenkomstig het nationale recht, recht op een doeltreffende voorziening in rechte of op toetsing door een onpartijdige instantie met de nodige expertise.
3. Procedures op grond van dit artikel worden ingesteld bij een rechterlijke instantie van de lidstaat van de bevoegde autoriteit waartegen het rechtsmiddel wordt ingesteld, hetzij individueel, hetzij, in voorkomend geval, collectief door de vertegenwoordigers van een of meer natuurlijke of rechtspersonen.
Artikel 42
Rol van het Europees Comité voor gegevensinnovatie
Het Europees Comité voor gegevensinnovatie, dat door de Commissie is opgericht als een deskundigengroep op grond van artikel 29 van Verordening (EU) 2022/868 en waarin de bevoegde autoriteiten zijn vertegenwoordigd, ondersteunt de consistente toepassing van deze verordening door:
| a) | de Commissie te adviseren en bij te staan bij de ontwikkeling van een consistente praktijk van de bevoegde autoriteiten bij de handhaving van de hoofdstukken II, III, V en VII; |
| b) | samenwerking tussen de bevoegde autoriteiten te faciliteren door middel van capaciteitsopbouw en informatie-uitwisseling, met name door methoden vast te stellen voor efficiënte informatie-uitwisseling met betrekking tot de handhaving van de rechten en plichten uit hoofde van de hoofdstukken II, III en V in grensoverschrijdende zaken, met inbegrip van coördinatie met betrekking tot de vaststelling van sancties; |
| c) | de Commissie te adviseren en bij te staan met betrekking tot het volgende:
|
HOOFDSTUK X
SUI-GENERIS-RECHT KRACHTENS RICHTLIJN 96/9/EG
Artikel 49
Evaluatie en herziening
1. Uiterlijk op 12 september 2028 voert de Commissie een evaluatie van deze verordening uit en brengt zij over de belangrijkste bevindingen verslag uit aan het Europees Parlement en de Raad, en aan het Europees Economisch en Sociaal Comité. In het kader van deze evaluatie wordt met name het volgende beoordeeld:
| a) | situaties die moeten worden beschouwd als situaties van uitzonderlijke noodzaak voor de toepassing van artikel 15 van deze verordening en de toepassing in de praktijk van hoofdstuk V van deze verordening, met name de ervaring met de toepassing van hoofdstuk V van deze verordening door overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie; het aantal procedures dat op grond van artikel 18, lid 5, bij de bevoegde autoriteit is ingesteld met betrekking tot de toepassing van hoofdstuk V van deze verordening, zoals gerapporteerd door de bevoegde autoriteiten, en het resultaat van die procedures; het effect van andere verplichtingen die in het Unie- of nationale recht zijn vastgelegd met betrekking tot de inwilliging van verzoeken om toegang tot informatie; het effect van vrijwillige mechanismen voor het delen van gegevens, zoals die zijn opgezet uit hoofde van Verordening (EU) 2022/868 erkende organisaties voor data-altruïsme, op de verwezenlijking van de doelstellingen van hoofdstuk V van deze verordening, en de rol van persoonsgegevens in het kader van artikel 15 van deze verordening, met inbegrip van de ontwikkeling van privacybevorderende technologieën; |
| b) | het effect van deze verordening op het gebruik van gegevens in de economie, onder meer op gegevensinnovatie, praktijken in verband met het te gelde maken van gegevens, en databemiddelingsdiensten, alsook op het delen van data binnen de gemeenschappelijke Europese dataruimten; |
| c) | de toegankelijkheid en het gebruik van verschillende categorieën en soorten gegevens; |
| d) | de uitsluiting van bepaalde categorieën ondernemingen als begunstigden op grond van artikel 5; |
| e) | het uitblijven van gevolgen voor intellectuele-eigendomsrechten; |
| f) | de gevolgen voor bedrijfsgeheimen, met inbegrip van de bescherming tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken ervan, alsook de gevolgen van het mechanisme dat de gegevenshouder in staat stelt het verzoek van de gebruiker af te wijzen uit hoofde van artikel 4, lid 8, en artikel 5, lid 11., voort zoveel mogelijk rekening houdend met de herziening van Richtlijn (EU) 2016/943; |
| g) | of de in artikel 13 bedoelde lijst van oneerlijke contractuele bedingen actueel is in het licht van nieuwe bedrijfspraktijken en het snelle tempo van marktinnovatie; |
| h) | veranderingen in de contractuele praktijken van aanbieders van dataverwerkingsdiensten en of dit leidt tot toereikende naleving van artikel 25; |
| i) | de verlaging van de kosten die aanbieders van dataverwerkingsdiensten voor het overstapproces opleggen, in overeenstemming met de geleidelijke afschaffing van de overstapkosten overeenkomstig artikel 29; |
| j) | de wisselwerking tussen deze verordening en andere Unierechtshandelingen die relevant zijn voor de data-economie; |
| k) | het voorkomen van onrechtmatige overheidstoegang tot niet-persoonsgebonden gegevens; |
| l) | de doeltreffendheid van de krachtens artikel 37 vereiste handhavingsregeling; |
| m) | het effect van deze verordening op kmo’s met betrekking tot hun innovatiecapaciteit en tot de beschikbaarheid van dataverwerkingsdiensten voor gebruikers in de Unie en tot de lasten bij de nakoming van nieuwe verplichtingen. |
2. Uiterlijk op 12 september 2028 voert de Commissie een evaluatie van deze verordening uit en brengt zij een verslag uit over de belangrijkste bevindingen aan het Europees Parlement en de Raad, alsmede aan het Europees Economisch en Sociaal Comité. Bij die evaluatie wordt het effect van de artikelen 23 tot en met 31 en de artikelen 34 en 35 bedoelde bepalingen beoordeeld, met name wat betreft de prijsstelling en de diversiteit van de in de Unie aangeboden dataverwerkingsdiensten, met bijzondere aandacht voor aanbieders die kmo’s zijn.
3. De lidstaten verstrekken de Commissie de nodige informatie voor het opstellen van de in de leden 1 en 2 bedoelde verslagen.
4. Op basis van de in de leden 1 en 2 bedoelde verslagen kan de Commissie zo nodig bij het Europees Parlement en de Raad een wetgevingsvoorstel indienen om deze verordening te wijzigen.
whereas