keyboard_tab Data Act 2023/2854 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 1 Onderwerp en toepassingsgebied
- 2 Artikel 2 Definities
- 3 Artikel 4 De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst
- 2 Artikel 5 Het recht van de gebruiker om gegevens te delen met derden
- 1 Artikel 6 Verplichtingen van derden die op verzoek van de gebruiker gegevens ontvangen
- 1 Artikel 19 Verplichtingen van overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
DELEN VAN GEGEVENS TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING
HOOFDSTUK III
VERPLICHTINGEN VOOR GEGEVENSHOUDERS DIE KRACHTENS HET UNIERECHT VERPLICHT ZIJN OM GEGEVENS BESCHIKBAAR TE STELLEN
HOOFDSTUK IV
ONEERLIJKE CONTRACTUELE BEDINGEN MET BETREKKING TOT DE TOEGANG TOT EN HET GEBRUIK VAN GEGEVENS TUSSEN ONDERNEMINGEN
HOOFDSTUK V
GEGEVENS BESCHIKBAAR STELLEN AAN OVERHEIDSINSTANTIES, DE COMMISSIE, DE EUROPESE CENTRALE BANK EN ORGANEN VAN DE UNIE OP GROND VAN UITZONDERLIJKE NOODZAAK
HOOFDSTUK VI
OVERSTAPPEN NAAR EEN ANDERE DATAVERWERKINGSDIENST
HOOFDSTUK VII
INTERNATIONALE OVERHEIDSTOEGANG EN OVERDRACHT VAN NIET-PERSOONSGEBONDEN GEGEVENS
HOOFDSTUK VIII
INTEROPERABILITEIT
HOOFDSTUK IX
UITVOERING EN HANDHAVING
HOOFDSTUK X
SUI-GENERIS-RECHT KRACHTENS RICHTLIJN 96/9/EG
HOOFDSTUK XI
SLOTBEPALINGEN
- gegevens 121
- voor 58
- gebruiker 53
- gegevenshouder 50
- artikel 44
- door 43
- niet 40
- zijn 39
- verordening 38
- derde 37
- verbonden 33
- worden 32
- product 29
- overeenkomstig 23
- gerelateerde 22
- dienst 22
- andere 21
- eu / 21
- deze 21
- gebruiken 20
- delen 20
- geen 20
- toepassing 19
- gebruik 19
- unie 19
- wordt 19
- zoals 17
- grond 17
- technische 15
- dataverwerkingsdiensten 15
- maatregelen 15
- persoonsgegevens 15
- heeft 15
- hoofde 14
- beschikking 14
- vertrouwelijkheid 14
- stellen 14
- recht 14
- toegang 14
- bedrijfsgeheimen 14
- indien 14
- bedrijfsgeheim 13
- rechten 13
- geval 13
- onder 13
- meer 13
- naar 13
- nationale 12
- lid 12
- verzoek 12
Artikel 1
Onderwerp en toepassingsgebied
1. Deze verordening voorziet in geharmoniseerde regels voor onder meer:
| a) | het beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst aan de gebruiker van het verbonden product of gerelateerde dienst; |
| b) | het beschikbaar stellen van gegevens door gegevenshouders aan gegevensontvangers; |
| c) | het beschikbaar stellen van gegevens door gegevenshouders aan overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie, indien er sprake is van een uitzonderlijke noodzaak aan die gegevens voor de uitvoering van een specifieke taak in het algemeen belang; |
| d) | het vergemakkelijken van het overstappen tussen dataverwerkingsdiensten; |
| e) | het invoeren van waarborgen tegen ongeoorloofde toegang van derden tot niet-persoonsgebonden gegevens; en |
| f) | de ontwikkeling van interoperabiliteitsnormen voor te raadplegen, door te geven en te gebruiken gegevens. |
2. Deze verordening heeft betrekking op persoonsgegevens en niet-persoonsgebonden gegevens, waaronder de volgende soorten gegevens, in de volgende contexten:
| a) | hoofdstuk II is van toepassing op gegevens, met uitzondering van inhoud, betreffende de prestaties, het gebruik en de omgeving van verbonden producten en gerelateerde diensten; |
| b) | hoofdstuk III is van toepassing op alle gegevens van de particuliere sector waarvoor wettelijke gegevensdelingsverplichtingen gelden; |
| c) | hoofdstuk IV is van toepassing op alle gegevens van de particuliere sector die worden geraadpleegd en gebruikt op basis van overeenkomsten tussen ondernemingen; |
| d) | hoofdstuk V is van toepassing op alle gegevens van de particuliere sector, met de nadruk op niet-persoonsgebonden gegevens; |
| e) | hoofdstuk VI is van toepassing op alle gegevens en diensten die door aanbieders van dataverwerkingsdiensten worden verwerkt; |
| f) | hoofdstuk VII is van toepassing op alle niet-persoonsgebonden gegevens die in de Unie in handen zijn van aanbieders van dataverwerkingsdiensten. |
3. Deze verordening is van toepassing op:
| a) | fabrikanten van verbonden producten die in de Unie in de handel worden gebracht en aanbieders van gerelateerde diensten, ongeacht de vestigingsplaats van die fabrikanten en aanbieders; |
| b) | gebruikers in de Unie van verbonden producten of gerelateerde diensten zoals bedoeld in punt a); |
| c) | gegevenshouders, ongeacht hun vestigingsplaats, die gegevens ter beschikking stellen van gegevensontvangers in de Unie; |
| d) | gegevensontvangers in de Unie aan wie gegevens ter beschikking worden gesteld; |
| e) | overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie die gegevenshouders verzoeken gegevens beschikbaar te stellen indien er sprake is van een uitzonderlijke noodzaak om die gegevens te gebruiken voor de uitvoering van een specifieke taak in het algemeen belang, en de gegevenshouders die die gegevens in antwoord op een dergelijk verzoek verstrekken; |
| f) | aanbieders van dataverwerkingsdiensten, ongeacht hun vestigingsplaats, die dergelijke diensten aan klanten in de Unie aanbieden; |
| g) | deelnemers aan dataruimten en verkopers van toepassingen die gebruikmaken van slimme contracten en personen wier handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van de uitvoering van een overeenkomst behelst. |
4. Waar in deze verordening wordt verwezen naar verbonden producten of gerelateerde diensten, worden die verwijzingen ook geacht virtuele assistenten te omvatten, voor zover deze interageren met een verbonden product of gerelateerde dienst.
5. Deze verordening doet geen afbreuk aan het Unierecht en het nationale recht inzake de bescherming van persoonsgegevens, de persoonlijke levenssfeer en de vertrouwelijkheid van communicatie en de integriteit van eindapparatuur, die van toepassing zijn op persoonsgegevens die worden verwerkt in verband met de hierin vastgelegde rechten en verplichtingen, in het bijzonder Verordeningen (EU) 2016/679 en (EU) 2018/1725 en Richtlijn 2002/58/EG, met inbegrip van de bevoegdheden van toezichthoudende autoriteiten en de rechten van datasubjecten. Voor zover gebruikers datasubjecten zijn, vormen de in hoofdstuk II van deze verordening vastgelegde rechten een aanvulling op de rechten van toegang door datasubjecten en de rechten van overdraagbaarheid van gegevens uit hoofde van de artikelen 15 en 20 van Verordening (EU) 2016/679. Indien deze verordening en het Unierecht inzake de bescherming van persoonsgegevens of de persoonlijke levenssfeer, of het overeenkomstig dat Unierecht vastgestelde nationale wetgeving tegenstrijdig zijn, prevaleert het relevante Unie- of nationale recht inzake de bescherming van persoonsgegevens of de persoonlijke levenssfeer.
6. Deze verordening is niet van toepassing op en loopt niet vooruit op vrijwillige regelingen voor het uitwisselen van gegevens tussen particuliere entiteiten en overheidsinstanties, met name vrijwillige regelingen voor het delen van gegevens.
Deze verordening heeft geen gevolgen voor Unie- of nationale rechtshandelingen die voorzien in het delen van, de toegang tot en het gebruik van gegevens met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of de tenuitvoerlegging van straffen, of voor douane- en belastingdoeleinden, met name de Verordeningen (EU) 2021/784, (EU) 2022/2065 en (EU) 2023/1543, Richtlijn (EU) 2023/1544, of internationale samenwerking op dit gebied. Deze verordening is niet van toepassing op het verzamelen of delen van, de toegang tot of het gebruik van gegevens uit hoofde van Verordening (EU) 2015/847 en Richtlijn (EU) 2015/849. Deze verordening is niet van toepassing op buiten het toepassingsgebied van het Unierecht vallende gebieden en doet in geen geval afbreuk aan de bevoegdheden van de lidstaten inzake openbare veiligheid, defensie of nationale veiligheid, ongeacht het soort entiteit dat door de lidstaten is belast met de uitvoering van taken in verband met die bevoegdheden, noch aan hun bevoegdheid om andere essentiële staatsfuncties te waarborgen, waaronder het waarborgen van de territoriale integriteit van de staat en de handhaving van de openbare orde. Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten op het gebied van douane- en belastingadministratie of de gezondheid en veiligheid van de burgers.
7. Deze verordening vormt een aanvulling op de zelfregulerende aanpak in Verordening (EU) 2018/1807 door algemeen toepasselijke verplichtingen toe te voegen voor het overstappen naar andere clouddiensten.
8. Deze verordening doet geen afbreuk aan Unie- of nationale rechtshandelingen die voorzien in de bescherming van intellectuele eigendomsrechten, met name de Richtlijnen 2001/29/EG, 2004/48/EG en (EU) 2019/790.
9. Deze verordening vormt een aanvulling op en doet geen afbreuk aan het Unierecht dat erop gericht is de belangen van consumenten te behartigen en een hoog niveau van consumentenbescherming te waarborgen en hun gezondheid, veiligheid en economische belangen te beschermen, met name de Richtlijnen 93/13/EEG, 2005/29/EG en 2011/83/EU.
10. Deze verordening vormt geen beletsel voor de sluiting van vrijwillige rechtmatige gegevensdelingsovereenkomsten, waaronder wederkerige overeenkomsten, die voldoen aan de in deze verordening vastgestelde vereisten.
Artikel 2
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
| 1) | “gegevens”: elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluids-, visuele of audiovisuele opnames; |
| 2) | “metagegevens”: een gestructureerde beschrijving van de inhoud of het gebruik van gegevens die het vinden en gebruiken van die gegevens vergemakkelijkt; |
| 3) | “persoonsgegevens”: persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679; |
| 4) | “niet-persoonsgebonden gegevens”: andere gegevens dan persoonsgegevens; |
| 5) | “verbonden product”: een goed dat gegevens over het gebruik of de omgeving ervan verkrijgt, genereert of verzamelt, en dat productgegevens kan doorgeven via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang, en waarvan de hoofdfunctie niet het opslaan, verwerken of doorgeven van gegevens namens anderen dan de gebruiker is; |
| 6) | “gerelateerde dienst”: een andere digitale dienst dan een elektronische-communicatiedienst, waaronder software, die op het moment van aankoop, huur of lease zodanig met het product verbonden is dat de afwezigheid ervan het verbonden product zou beletten een of meer van zijn functies uit te voeren, of die vervolgens door de fabrikant of een derde met het product wordt verbonden om functies aan het product toe te voegen, of de functies van het verbonden product te updaten of aan te passen; |
| 7) | “verwerking”: een bewerking of een geheel van bewerkingen die al dan niet op geautomatiseerde wijze op gegevens of datasets worden uitgevoerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaken door middel van doorgeven, verspreiden of anderszins ter beschikking stellen, op een lijn brengen of combineren, afschermen, wissen of vernietigen van gegevens; |
| 8) | “dataverwerkingsdienst”: een digitale aan een klant aangeboden dienst die alomtegenwoordige en on-demand netwerktoegang mogelijk maakt tot een gedeelde pool van configureerbare, schaalbare en elastische computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard, die snel ter beschikking kan worden gesteld en worden vrijgegeven met minimale beheersinspanningen of tussenkomst van een dienstverlener; |
| 9) | “dienst van hetzelfde type”: een reeks dataverwerkingsdiensten met dezelfde primaire doelstelling, hetzelfde dataverwerkingsdienstenmodel en dezelfde voornaamste functionaliteiten; |
| 10) | “databemiddelingsdienst”: databemiddelingsdienst zoals gedefinieerd in artikel 2, punt 11, van Verordening (EU) 2022/868; |
| 11) | “datasubject”: betrokkene zoals bedoeld in artikel 4, punt 1, van Verordening (EU) 2016/679; |
| 12) | “gebruiker”: een natuurlijke of rechtspersoon die een verbonden product in eigendom heeft, of aan wie contractueel tijdelijke rechten zijn overgedragen om dat verbonden product te gebruiken, of die gerelateerde diensten ontvangt; |
| 13) | “gegevenshouder”: een natuurlijke of rechtspersoon die overeenkomstig deze verordening, het toepasselijke Unierecht of het overeenkomstig het Unierecht vastgestelde nationale recht, het recht of de verplichting heeft gegevens te gebruiken en ter beschikking te stellen, waaronder — in gevallen waar dat contractueel is overeengekomen — productgegevens of gegevens van een gerelateerde dienst die deze natuurlijke of rechtspersoon heeft opgevraagd of gegenereerd tijdens de verlening van een gerelateerde dienst; |
| 14) | “gegevensontvanger”: een natuurlijke of rechtspersoon die handelt voor doeleinden die verband houden met diens handels-, bedrijfs-, ambachts- of beroepsactiviteit, die niet de gebruiker van een verbonden product of gerelateerde dienst is en aan wie gegevens beschikbaar worden gesteld door de gegevenshouder, met inbegrip van een derde op verzoek van de gebruiker aan de gegevenshouder of in overeenstemming met een wettelijke verplichting uit hoofde van Unierecht of overeenkomstig het Unierecht vastgestelde nationale wetgeving; |
| 15) | “productgegevens”: door het gebruik van een verbonden product gegenereerde gegevens die door de fabrikant zo ontworpen zijn dat ze kunnen worden opgevraagd via een elektronische-communicatiedienst, fysieke verbinding of apparaattoegang, door een gebruiker, gegevenshouder of derde, waaronder waar nodig, de fabrikant; |
| 16) | “gegevens van een gerelateerde dienst”: gegevens die de digitalisering vertegenwoordigen van handelingen van de gebruiker of van gebeurtenissen die gerelateerd zijn aan het verbonden product, die intentioneel door de gebruiker zijn geregistreerd of als een bijproduct van de handeling van de gebruiker zijn gegenereerd tijdens het verlenen van een gerelateerde dienst door de aanbieder; |
| 17) | “eenvoudig beschikbare gegevens”: productgegevens en gegevens van een gerelateerde dienst die een gegevenshouder rechtmatig verkrijgt of rechtmatig kan verkrijgen van het verbonden product of de gerelateerde dienst, zonder daarvoor een onevenredig grote inspanning te moeten leveren die verder zou gaan dan een eenvoudige handeling; |
| 18) | “bedrijfsgeheim”: bedrijfsgeheim zoals gedefinieerd in artikel 2, punt 1, van Richtlijn (EU) 2016/943; |
| 19) | “houder van het bedrijfsgeheim”: houder van het bedrijfsgeheim zoals gedefinieerd in artikel 2, punt 2, van Richtlijn (EU) 2016/943; |
| 20) | “profilering”: profilering zoals gedefinieerd in artikel 4, punt 4, van Verordening (EU) 2016/679; |
| 21) | “op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een verbonden product met het oog op distributie, consumptie of gebruik op de markt van de Unie; |
| 22) | “in de handel brengen”: het voor het eerst in de Unie op de markt aanbieden van een verbonden product; |
| 23) | “consument”: een natuurlijke persoon die handelt met doeleinden die geen verband houden met de handels-, bedrijfs-, ambachts- of beroepsactiviteit van die persoon; |
| 24) | “onderneming”: een natuurlijke of rechtspersoon die handelt volgens onder deze verordening vallende overeenkomsten en praktijken, met doeleinden die gerelateerd zijn aan diens handels-, bedrijfs-, ambachts- of beroepsactiviteit; |
| 25) | “kleine onderneming”: een kleine onderneming zoals gedefinieerd in artikel 2, lid 2, van de bijlage bij Aanbeveling 2003/361/EG; |
| 26) | “micro-onderneming”: een micro-onderneming zoals gedefinieerd in artikel 2, lid 3, van de bijlage bij Aanbeveling 2003/361/EG; |
| 27) | “organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van handelingen die zijn vastgesteld op basis van het Verdrag betreffende de Europese Unie, het VWEU of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie; |
| 28) | “overheidsinstantie”: nationale, regionale en lokale autoriteiten van de lidstaten, publiekrechtelijke instellingen van de lidstaten of samenwerkingsverbanden bestaande uit één of meer van dergelijke autoriteiten of één of meer van dergelijke instellingen; |
| 29) | “algemene noodsituatie”: een in de tijd beperkte uitzonderlijke situatie, zoals een noodsituatie op het gebied van de volksgezondheid, een noodsituatie die voortvloeit uit natuurrampen, of een door de mens veroorzaakte grote ramp, met inbegrip van een groot cyberveiligheidsincident, dat negatieve gevolgen heeft voor de bevolking van de Unie, van een lidstaat of van een deel daarvan, met een risico op ernstige en blijvende gevolgen voor de levensomstandigheden of de economische stabiliteit, de financiële stabiliteit of een aanzienlijke en onmiddellijke verslechtering van de economische activa in de Unie of in de betrokken lidstaat, en die wordt vastgesteld of officieel wordt afgekondigd overeenkomstig de relevante Unie- of nationaalrechtelijke procedures; |
| 30) | “klant”: een natuurlijke of rechtspersoon die een contractuele relatie is aangegaan met een aanbieder van dataverwerkingsdiensten, met als doel gebruik te maken van een of meer dataverwerkingsdiensten; |
| 31) | “virtuele assistenten”: software die opdrachten, taken of vragen kan verwerken, onder meer op basis van audio, schriftelijke input, gebaren of bewegingen, en die, op basis van die opdrachten, taken of vragen toegang biedt tot andere diensten of de functies van verbonden producten bestuurt; |
| 32) | “digitale activa”: elementen in digitale vorm, inclusief toepassingen, waarvoor de klant het gebruiksrecht heeft, onafhankelijk van de contractuele relatie met de dataverwerkingsdienst die hij voornemens is te verlaten om over te stappen; |
| 33) | “on-premises ICT-infrastructuur”: ICT-infrastructuur en computermiddelen die eigendom zijn van of worden gehuurd of geleased door de klant en zich in het datacentrum van de klant zelf bevinden en door de klant of een derde worden geëxploiteerd; |
| 34) | “overstappen”: het proces waarbij een oorspronkelijke aanbieder van dataverwerkingsdiensten, een klant van een dataverwerkingsdienst en, waar van toepassing, een bestemmingsaanbieder van dataverwerkingsdiensten zijn betrokken, waarbij de klant van een dataverwerkingsdienst van dataverwerkingsdienst verandert en een andere dataverwerkingsdienst van hetzelfde type of een andere dienst begint te gebruiken, die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten, of een on-premises ICT-infrastructuur begint te gebruiken, onder meer door het extraheren, transformeren en uploaden van de gegevens; |
| 35) | “gegevensextractiekosten”: gegevensoverdrachttarieven die in rekening worden gebracht aan klanten om via het netwerk hun gegevens uit de ICT-infrastructuur van een aanbieder van dataverwerkingsdiensten te extraheren naar de systemen van een andere aanbieder of naar een on-premises ICT-infrastructuur; |
| 36) | “overstapkosten”: andere kosten dan de standaardvergoedingen voor dienstverlening of boetes voor voortijdige beëindiging, opgelegd door een aanbieder van dataverwerkingsdiensten aan een klant voor de bij deze verordening voorgeschreven acties betreffende het overstappen naar het systeem van een andere aanbieder of naar een on-premises ICT-infrastructuur, met inbegrip van gegevensextractiekosten; |
| 37) | “functionele gelijkwaardigheid”: op basis van de exporteerbare data en digitale activa van de klant een minimumniveau van functionaliteit herstellen in de omgeving van een nieuwe dataverwerkingsdienst van hetzelfde type na het overstapproces, waarbij de nieuwe dataverwerkingsdienst een materieel vergelijkbaar resultaat oplevert met gebruikmaking van dezelfde input voor gedeelde kenmerken die in het kader van de overeenkomst aan de klant wordt geleverd; |
| 38) | “exporteerbare data”, voor de toepassing van de artikelen 23 tot en met 31 en artikel 35: de input- en outputgegevens, met inbegrip van metagegevens, die direct of indirect worden gegenereerd, of worden medegegenereerd, door het gebruik door de klant van de dataverwerkingsdienst, met uitzondering van activa of gegevens die beschermd zijn door intellectuele-eigendomsrechten of die een bedrijfsgeheim vormen, van aanbieders van dataverwerkingsdiensten of derden; |
| 39) | “slim contract”: een computerprogramma dat wordt gebruikt voor de geautomatiseerde uitvoering van een overeenkomst of een deel daarvan, waarbij gebruik wordt gemaakt van een opeenvolging van elektronische databestanden en waarbij de integriteit daarvan en de nauwkeurigheid van hun chronologische volgorde worden gewaarborgd; |
| 40) | “interoperabiliteit”: het vermogen van twee of meer dataruimten of communicatienetwerken, systemen, verbonden producten, toepassingen, dataverwerkingsdiensten of componenten om gegevens uit te wisselen en te gebruiken teneinde hun functies te vervullen; |
| 41) | “open interoperabiliteitsspecificatie”: een technische specificatie op het gebied van informatie- en communicatietechnologie, die prestatiegericht is op het bereiken van interoperabiliteit tussen dataverwerkingsdiensten; |
| 42) | “gemeenschappelijke specificaties”: een document dat geen norm is en dat technische oplossingen bevat om te voldoen aan bepaalde voorschriften en verplichtingen zoals vastgelegd uit hoofde van deze verordening; |
| 43) | “geharmoniseerde norm”: geharmoniseerde norm zoals gedefinieerd in artikel 2, punt 1, c), van Verordening (EU) nr. 1025/2012. |
HOOFDSTUK II
DELEN VAN GEGEVENS TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING
Artikel 4
De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst
1. Indien de gebruiker geen rechtstreekse toegang heeft tot de gegevens via het verbonden product of de gerelateerde dienst, stellen gegevenshouders de eenvoudig beschikbare gegevens, alsook de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van de gebruiker, voor zover dat relevant en technisch haalbaar is, en gebeurt deze terbeschikkingstelling continu en in realtime. Voor zover technisch haalbaar, gebeurt dit op eenvoudig elektronisch verzoek.
2. Gebruikers en gegevenshouders kunnen de toegang tot gegevens of het gebruik of verder delen daarvan contractueel beperken of verbieden indien een dergelijke verwerking de beveiligingsvereisten van het verbonden product, zoals vastgesteld in het Unie- of nationaal recht, zou kunnen ondermijnen, met ernstige negatieve gevolgen voor de gezondheid, veiligheid of beveiliging van natuurlijke personen. De sectorale autoriteiten kunnen in dat verband gebruikers en houders van gegevens technische expertise verstrekken. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit artikel, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
3. Onverminderd het recht van de gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan de gebruiker met betrekking tot elk geschil met de gegevenshouder over de in lid 2 bedoelde contractuele beperkingen of verboden:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht indienen bij de bevoegde autoriteit, of |
| b) | met de gegevenshouder overeenkomen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
4. Gegevenshouders maken het maken van keuzes of de uitoefening van de rechten op grond van dit artikel van gebruikers niet onnodig moeilijk door bijvoorbeeld de keuzemogelijkheden voor de gebruiker op een niet-neutrale manier te presenteren of door de autonomie, besluitvorming of vrije keuze van de gebruikers te ondermijnen of te belemmeren via de structuur, het ontwerp, de functie of de gebruikswijze van een digitale gebruikersinterface of een deel daarvan.
5. Om na te gaan of een natuurlijke of rechtspersoon als gebruiker op grond van lid 1 kan worden aangemerkt, mag een gegevenshouder van die persoon niet verlangen dat die persoon informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie, met name loggegevens, over de toegang van de gebruiker tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de gebruiker en voor de beveiliging en het onderhoud van de data-infrastructuur.
6. Bedrijfsgeheimen worden bewaard en worden alleen bekendgemaakt op voorwaarde dat de gegevenshouder en de gebruiker voorafgaand aan de bekendmaking alle noodzakelijke maatregelen nemen om de vertrouwelijkheid ervan te waarborgen, met name ten aanzien van derden. De gegevenshouder, of de houder van het bedrijfsgeheim wanneer deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de gebruiker evenredige technische en organisatorische maatregelen overeen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes, die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, met name ten aanzien van derden.
7. Indien er geen overeenstemming wordt bereikt over de in lid 6 bedoelde noodzakelijke maatregelen, of indien de gebruiker de op grond van lid 6 overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de gebruiker meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.
8. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de gebruiker op grond van lid 6 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de gebruiker verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
9. Onverminderd het recht van een gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een gebruiker het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 7 en 8 te weigeren, tegen te houden of op te schorten aanvechten door:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of |
| b) | met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
10. De gebruiker mag gegevens die zijn verkregen naar aanleiding van een in lid 1 bedoeld verzoek niet gebruiken om een verbonden product te ontwikkelen dat concurreert met het verbonden product waaruit de gegevens afkomstig zijn, noch met datzelfde oogmerk gegevens delen met een derde, en mag die gegevens evenmin gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van de fabrikant of, in voorkomend geval, de gegevenshouder.
11. De gebruiker mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.
12. Indien de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd, door de gegevenshouder alleen ter beschikking gesteld van de gebruiker indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG wordt voldaan.
13. Een gegevenshouder gebruikt alleen eenvoudig beschikbare gegevens die niet-persoonsgebonden gegevens zijn op basis van een overeenkomst met de gebruiker. Een gegevenshouder gebruikt dergelijke gegevens niet om inzichten in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker te verwerven, op enige andere wijze die de commerciële positie van die gebruiker op de markten waarop deze actief is, zouden kunnen ondermijnen.
14. Gegevenshouders stellen niet-persoonsgebonden productgegevens niet beschikbaar aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun overeenkomst met de gebruiker. In voorkomend geval verplichten gegevenshouders derden er contractueel toe de van hen ontvangen gegevens niet verder te delen.
Artikel 5
Het recht van de gebruiker om gegevens te delen met derden
1. Op verzoek van een gebruiker of van een namens een gebruiker optredende partij stelt de gegevenshouder eenvoudig beschikbare gegevens, alsmede de desbetreffende metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos voor de gebruiker, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van een derde partij, en gebeurt deze terbeschikkingstelling voor zover dat relevant en technisch haalbaar is continu en in realtime. De gegevens worden door de gegevenshouder beschikbaar gesteld aan de derde overeenkomstig de artikelen 8 en 9.
2. Lid 1 is niet van toepassing op eenvoudig beschikbare gegevens in het kader van het testen van nieuwe verbonden producten, stoffen of processen die nog niet in de handel zijn gebracht, tenzij hun gebruik door een derde contractueel is toegestaan.
3. Een onderneming die overeenkomstig artikel 3 van Verordening (EU) 2022/1925 als poortwachter is aangewezen, is geen in aanmerking komende derde uit hoofde van dit artikel en mag derhalve niet:
| a) | een gebruiker op enigerlei wijze vragen of commercieel stimuleren, onder meer door financiële of andere vergoedingen te bieden, om gegevens die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1, beschikbaar te stellen voor een van zijn diensten; |
| b) | een gebruiker verzoeken of commercieel stimuleren om de gegevenshouder te verzoeken gegevens beschikbaar te stellen voor een van zijn diensten overeenkomstig lid 1 van dit artikel; |
| c) | van een gebruiker gegevens ontvangen die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1. |
4. Om na te gaan of een natuurlijke of rechtspersoon voor de toepassing van lid 1 kan worden aangemerkt als gebruiker of als derde, mag van de gebruiker of de derde niet worden verlangd dat hij informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie over de toegang van de derde tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de derde en voor de beveiliging en het onderhoud van de data-infrastructuur.
5. De derde mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.
6. Een gegevenshouder mag geen eenvoudig beschikbare gegevens gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van of het gebruik door de derde op enige andere wijze die de commerciële positie van de derde op de markten waarop de derde actief is, zou kunnen ondermijnen, tenzij de derde voor dat gebruik toestemming heeft verleend en de technische mogelijkheid heeft om die toestemming te allen tijde gemakkelijk in te trekken.
7. Wanneer de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd alleen door de gegevenshouder ter beschikking gesteld van de derde indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG is voldaan.
8. Het verzuim van de gegevenshouder en de derde om regelingen voor het doorgeven van de gegevens overeen te komen, mag de uitoefening van de rechten van het datasubject uit hoofde van Verordening (EU) 2016/679 en met name het recht op overdraagbaarheid van gegevens uit hoofde van artikel 20 van die verordening, niet belemmeren, beletten of verstoren.
9. Bedrijfsgeheimen worden alleen bewaard en bekendgemaakt aan derden voor zover deze openbaarmaking strikt noodzakelijk is om het tussen de gebruiker en de derde overeengekomen doel te verwezenlijken. De gegevenshouder, of de houder van het bedrijfsgeheim indien deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de derde alle evenredige technische en organisatorische maatregelen overeen die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes.
10. Indien er geen overeenstemming is over de in lid 9 van dit artikel bedoelde noodzakelijke maatregelen of als de derde de op grond van lid 9 van dit artikel overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de derde meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.
11. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de derde op grond van lid 9 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de derde verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
12. Onverminderd het recht van derden om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een derde het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 10 en 11 te weigeren, tegen te houden of op te schorten aanvechten door:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of |
| b) | met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
13. Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten van andere datasubjecten krachtens het toepasselijke Unie- en nationale recht inzake de bescherming van persoonsgegevens.
Artikel 6
Verplichtingen van derden die op verzoek van de gebruiker gegevens ontvangen
1. Een derde verwerkt de hem overeenkomstig artikel 5 ter beschikking gestelde gegevens uitsluitend voor de doeleinden en onder de voorwaarden die met de gebruiker zijn overeengekomen, en met inachtneming van het Unierecht en het nationale recht inzake de bescherming van persoonsgegevens, met inbegrip van de rechten van het datasubject wat persoonsgegevens betreft. De derde wist de gegevens wanneer zij niet langer noodzakelijk zijn voor het overeengekomen doel, tenzij in verband met niet-persoonsgebonden gegevens anders met de gebruiker is overeengekomen.
2. De derde:
| a) | maakt de uitoefening van het maken van keuzes of rechten uit hoofde van artikel 5 en dit artikel door gebruikers niet onnodig moeilijk door onder meer keuzemogelijkheden op niet-neutrale wijze aan de gebruiker te presenteren, hen te dwingen, te misleiden of te manipuleren, of door de autonomie, besluitvorming of keuzes van de gebruiker te ondermijnen, onder meer met behulp van een digitale gebruikersinterface met de gebruikers of een deel daarvan; |
| b) | gebruikt, niettegenstaande artikel 22, lid 2, punten a) en c), van Verordening (EU) 2016/679, de ontvangen gegevens niet voor de profilering, tenzij dit noodzakelijk is om de door de gebruiker gevraagde dienst te verlenen; |
| c) | stelt de ontvangen gegevens niet ter beschikking van een andere derde, tenzij de gegevens beschikbaar worden gesteld op grond van een overeenkomst met de gebruiker en op voorwaarde dat de andere derde alle tussen de gegevenshouder en de derde overeengekomen noodzakelijke maatregelen neemt om de vertrouwelijkheid van bedrijfsgeheimen te waarborgen; |
| d) | stelt de ontvangen gegevens niet ter beschikking van een onderneming die als poortwachter is aangewezen overeenkomstig artikel 3 van Verordening (EU) 2022/1925; |
| e) | gebruikt de ontvangen gegevens niet om een product te ontwikkelen dat concurreert met het verbonden product waaruit de ontvangen gegevens afkomstig zijn, of deelt de gegevens niet voor dat doel met een andere derde partij; derden gebruiken ook geen niet-persoonsgebonden productgegevens of gegevens van een gerelateerde dienst die hun ter beschikking zijn gesteld om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van, of het gebruik door, de gegevenshouder; |
| f) | gebruikt de ontvangen gegevens niet op een wijze die negatieve gevolgen heeft voor de veiligheid van het verbonden product of de gerelateerde dienst; |
| g) | neemt de specifieke maatregelen die overeenkomstig artikel 5, lid 9, met de gegevenshouder of de houder van bedrijfsgeheimen zijn overeengekomen in acht en ondermijnt de vertrouwelijkheid van bedrijfsgeheimen niet; |
| h) | belet gebruikers die consumenten zijn niet, onder meer op grond van een overeenkomst, om de gegevens die zij ontvangen ter beschikking te stellen van andere partijen. |
Artikel 19
Verplichtingen van overheidsinstanties, de Commissie, de Europese Centrale Bank en organen van de Unie
1. Een overheidsinstantie, de Commissie, de Europese Centrale Bank of organen van de Unie die op grond van een verzoek uit hoofde van artikel 14 gegevens ontvangen:
| a) | mogen de gegevens niet gebruiken op een wijze die onverenigbaar is met het doel waarvoor zij zijn gevraagd; |
| b) | moeten technische en organisatorische maatregelen hebben genomen om de vertrouwelijkheid en integriteit van de gevraagde gegevens en de beveiliging van de gegevens-overdrachten, met name die van persoonsgegevens, te waarborgen en de rechten en vrijheden van de datasubjecten te waarborgen; |
| c) | wissen de gegevens zodra zij niet langer nodig zijn voor het aangegeven doel en stellen de gegevenshouder en personen of organisaties die de gegevens hebben ontvangen overeenkomstig artikel 21, lid 1, onverwijld ervan in kennis dat de gegevens zijn gewist, tenzij archivering van de gegevens vereist is overeenkomstig het Unie- of nationale recht inzake de toegang van het publiek tot documenten in het kader van transparantieverplichtingen. |
2. Het is een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie of een derde die gegevens uit hoofde van dit hoofdstuk ontvangt, niet toegestaan om:
| a) | de gegevens of inzichten over de economische situatie, activa en productie- of exploitatiemethoden van de gegevenshouder te gebruiken om een verbonden product of dienst te ontwikkelen of te verbeteren dat met het verbonden product of de gerelateerde dienst van de gegevenshouder concurreert; |
| b) | de gegevens met een andere derde te delen voor een van de doeleinden zoals bedoeld in punt a). |
3. De openbaarmaking van bedrijfsgeheimen aan een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie is alleen vereist voor zover dit strikt noodzakelijk is om het doel van een verzoek overeenkomstig artikel 15 te verwezenlijken. In dat geval identificeert de gegevenshouder of de houder van het bedrijfsgeheim, indien hij niet dezelfde persoon is, de gegevens die als bedrijfsgeheim worden beschermd, met inbegrip van de relevante metagegevens. De overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie neemt vóór de openbaarmaking van bedrijfsgeheimen alle nodige en passende technische en organisatorische maatregelen om de vertrouwelijkheid van de bedrijfsgeheimen te waarborgen, met inbegrip van, in voorkomend geval, het gebruik van modelcontractvoorwaarden, technische normen en de toepassing van gedragscodes.
4. Een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie is verantwoordelijk voor de beveiliging van de gegevens die zij/het ontvangt.
whereas