keyboard_tab Data Act 2023/2854 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 4 De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst
- 1 Artikel 5 Het recht van de gebruiker om gegevens te delen met derden
- 2 Artikel 13 Oneerlijke contractuele bedingen die eenzijdig worden opgelegd aan een andere onderneming
- 4 Artikel 17 Verzoeken om gegevens beschikbaar te stellen
- 1 Artikel 18 Naleving van verzoeken om gegevens
- 1 Artikel 21 Delen van in de context van een uitzonderlijke noodzaak verkregen gegevens met onderzoeksorganisaties of statistische instanties
- 1 Artikel 25 Contractvoorwaarden betreffende een overstap
- 1 Artikel 28 Contractuele transparantieverplichtingen inzake internationale toegang en doorgifte
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
DELEN VAN GEGEVENS TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING
HOOFDSTUK III
VERPLICHTINGEN VOOR GEGEVENSHOUDERS DIE KRACHTENS HET UNIERECHT VERPLICHT ZIJN OM GEGEVENS BESCHIKBAAR TE STELLEN
HOOFDSTUK IV
ONEERLIJKE CONTRACTUELE BEDINGEN MET BETREKKING TOT DE TOEGANG TOT EN HET GEBRUIK VAN GEGEVENS TUSSEN ONDERNEMINGEN
HOOFDSTUK V
GEGEVENS BESCHIKBAAR STELLEN AAN OVERHEIDSINSTANTIES, DE COMMISSIE, DE EUROPESE CENTRALE BANK EN ORGANEN VAN DE UNIE OP GROND VAN UITZONDERLIJKE NOODZAAK
HOOFDSTUK VI
OVERSTAPPEN NAAR EEN ANDERE DATAVERWERKINGSDIENST
HOOFDSTUK VII
INTERNATIONALE OVERHEIDSTOEGANG EN OVERDRACHT VAN NIET-PERSOONSGEBONDEN GEGEVENS
HOOFDSTUK VIII
INTEROPERABILITEIT
HOOFDSTUK IX
UITVOERING EN HANDHAVING
HOOFDSTUK X
SUI-GENERIS-RECHT KRACHTENS RICHTLIJN 96/9/EG
HOOFDSTUK XI
SLOTBEPALINGEN
- gegevens 127
- gegevenshouder 61
- artikel 51
- voor 49
- wordt 43
- zijn 43
- niet 38
- gebruiker 38
- door 36
- verzoek 31
- worden 31
- overeenkomstig 29
- derde 28
- indien 28
- grond 26
- heeft 25
- geval 24
- beding 24
- lid 22
- overeenkomst 22
- stellen 21
- partij 20
- beschikbaar 20
- bank 19
- commissie 19
- centrale 19
- eenzijdig 18
- recht 18
- unie 18
- opgelegd 18
- naar 18
- technische 17
- klant 17
- andere 17
- europese 17
- geen 17
- toegang 17
- delen 16
- dergelijke 16
- maatregelen 16
- dataverwerkingsdiensten 15
- onverwijld 15
- gebruik 14
- bedoelde 14
- aanbieder 14
- stelt 14
- hoofde 13
- kennis 13
- overheidsinstantie 13
- bedrijfsgeheimen 13
Artikel 4
De rechten en plichten van gebruikers en gegevenshouders wat betreft het raadplegen, gebruiken en beschikbaar stellen van productgegevens en gegevens van een gerelateerde dienst
1. Indien de gebruiker geen rechtstreekse toegang heeft tot de gegevens via het verbonden product of de gerelateerde dienst, stellen gegevenshouders de eenvoudig beschikbare gegevens, alsook de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van de gebruiker, voor zover dat relevant en technisch haalbaar is, en gebeurt deze terbeschikkingstelling continu en in realtime. Voor zover technisch haalbaar, gebeurt dit op eenvoudig elektronisch verzoek.
2. Gebruikers en gegevenshouders kunnen de toegang tot gegevens of het gebruik of verder delen daarvan contractueel beperken of verbieden indien een dergelijke verwerking de beveiligingsvereisten van het verbonden product, zoals vastgesteld in het Unie- of nationaal recht, zou kunnen ondermijnen, met ernstige negatieve gevolgen voor de gezondheid, veiligheid of beveiliging van natuurlijke personen. De sectorale autoriteiten kunnen in dat verband gebruikers en houders van gegevens technische expertise verstrekken. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit artikel, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
3. Onverminderd het recht van de gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan de gebruiker met betrekking tot elk geschil met de gegevenshouder over de in lid 2 bedoelde contractuele beperkingen of verboden:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht indienen bij de bevoegde autoriteit, of |
| b) | met de gegevenshouder overeenkomen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
4. Gegevenshouders maken het maken van keuzes of de uitoefening van de rechten op grond van dit artikel van gebruikers niet onnodig moeilijk door bijvoorbeeld de keuzemogelijkheden voor de gebruiker op een niet-neutrale manier te presenteren of door de autonomie, besluitvorming of vrije keuze van de gebruikers te ondermijnen of te belemmeren via de structuur, het ontwerp, de functie of de gebruikswijze van een digitale gebruikersinterface of een deel daarvan.
5. Om na te gaan of een natuurlijke of rechtspersoon als gebruiker op grond van lid 1 kan worden aangemerkt, mag een gegevenshouder van die persoon niet verlangen dat die persoon informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie, met name loggegevens, over de toegang van de gebruiker tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de gebruiker en voor de beveiliging en het onderhoud van de data-infrastructuur.
6. Bedrijfsgeheimen worden bewaard en worden alleen bekendgemaakt op voorwaarde dat de gegevenshouder en de gebruiker voorafgaand aan de bekendmaking alle noodzakelijke maatregelen nemen om de vertrouwelijkheid ervan te waarborgen, met name ten aanzien van derden. De gegevenshouder, of de houder van het bedrijfsgeheim wanneer deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de gebruiker evenredige technische en organisatorische maatregelen overeen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes, die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, met name ten aanzien van derden.
7. Indien er geen overeenstemming wordt bereikt over de in lid 6 bedoelde noodzakelijke maatregelen, of indien de gebruiker de op grond van lid 6 overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de gebruiker meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.
8. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de gebruiker op grond van lid 6 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de gebruiker verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
9. Onverminderd het recht van een gebruiker om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een gebruiker het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 7 en 8 te weigeren, tegen te houden of op te schorten aanvechten door:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of |
| b) | met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
10. De gebruiker mag gegevens die zijn verkregen naar aanleiding van een in lid 1 bedoeld verzoek niet gebruiken om een verbonden product te ontwikkelen dat concurreert met het verbonden product waaruit de gegevens afkomstig zijn, noch met datzelfde oogmerk gegevens delen met een derde, en mag die gegevens evenmin gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van de fabrikant of, in voorkomend geval, de gegevenshouder.
11. De gebruiker mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.
12. Indien de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd, door de gegevenshouder alleen ter beschikking gesteld van de gebruiker indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG wordt voldaan.
13. Een gegevenshouder gebruikt alleen eenvoudig beschikbare gegevens die niet-persoonsgebonden gegevens zijn op basis van een overeenkomst met de gebruiker. Een gegevenshouder gebruikt dergelijke gegevens niet om inzichten in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker te verwerven, op enige andere wijze die de commerciële positie van die gebruiker op de markten waarop deze actief is, zouden kunnen ondermijnen.
14. Gegevenshouders stellen niet-persoonsgebonden productgegevens niet beschikbaar aan derden voor andere commerciële of niet-commerciële doeleinden dan de uitvoering van hun overeenkomst met de gebruiker. In voorkomend geval verplichten gegevenshouders derden er contractueel toe de van hen ontvangen gegevens niet verder te delen.
Artikel 5
Het recht van de gebruiker om gegevens te delen met derden
1. Op verzoek van een gebruiker of van een namens een gebruiker optredende partij stelt de gegevenshouder eenvoudig beschikbare gegevens, alsmede de desbetreffende metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken, onmiddellijk, met dezelfde kwaliteit als de voor de gegevenshouder beschikbare gegevens, gemakkelijk, veilig, kosteloos voor de gebruiker, in een alomvattend, gestructureerd, algemeen gebruikt en machineleesbaar formaat ter beschikking van een derde partij, en gebeurt deze terbeschikkingstelling voor zover dat relevant en technisch haalbaar is continu en in realtime. De gegevens worden door de gegevenshouder beschikbaar gesteld aan de derde overeenkomstig de artikelen 8 en 9.
2. Lid 1 is niet van toepassing op eenvoudig beschikbare gegevens in het kader van het testen van nieuwe verbonden producten, stoffen of processen die nog niet in de handel zijn gebracht, tenzij hun gebruik door een derde contractueel is toegestaan.
3. Een onderneming die overeenkomstig artikel 3 van Verordening (EU) 2022/1925 als poortwachter is aangewezen, is geen in aanmerking komende derde uit hoofde van dit artikel en mag derhalve niet:
| a) | een gebruiker op enigerlei wijze vragen of commercieel stimuleren, onder meer door financiële of andere vergoedingen te bieden, om gegevens die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1, beschikbaar te stellen voor een van zijn diensten; |
| b) | een gebruiker verzoeken of commercieel stimuleren om de gegevenshouder te verzoeken gegevens beschikbaar te stellen voor een van zijn diensten overeenkomstig lid 1 van dit artikel; |
| c) | van een gebruiker gegevens ontvangen die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1. |
4. Om na te gaan of een natuurlijke of rechtspersoon voor de toepassing van lid 1 kan worden aangemerkt als gebruiker of als derde, mag van de gebruiker of de derde niet worden verlangd dat hij informatie verstrekt die verder gaat dan nodig is. Gegevenshouders bewaren geen informatie over de toegang van de derde tot de gevraagde gegevens die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de derde en voor de beveiliging en het onderhoud van de data-infrastructuur.
5. De derde mag geen dwangmiddelen gebruiken of misbruik maken van leemten in de technische infrastructuur van een gegevenshouder die bedoeld is om de gegevens te beschermen, teneinde toegang tot gegevens te verkrijgen.
6. Een gegevenshouder mag geen eenvoudig beschikbare gegevens gebruiken om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van of het gebruik door de derde op enige andere wijze die de commerciële positie van de derde op de markten waarop de derde actief is, zou kunnen ondermijnen, tenzij de derde voor dat gebruik toestemming heeft verleend en de technische mogelijkheid heeft om die toestemming te allen tijde gemakkelijk in te trekken.
7. Wanneer de gebruiker niet het datasubject is van wie de persoonsgegevens worden opgevraagd, worden persoonsgegevens die door het gebruik van een verbonden product of een gerelateerde dienst zijn gegenereerd alleen door de gegevenshouder ter beschikking gesteld van de derde indien er een geldige rechtsgrond voor verwerking bestaat uit hoofde van artikel 6 van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van die verordening en van artikel 5, lid 3, van Richtlijn 2002/58/EG is voldaan.
8. Het verzuim van de gegevenshouder en de derde om regelingen voor het doorgeven van de gegevens overeen te komen, mag de uitoefening van de rechten van het datasubject uit hoofde van Verordening (EU) 2016/679 en met name het recht op overdraagbaarheid van gegevens uit hoofde van artikel 20 van die verordening, niet belemmeren, beletten of verstoren.
9. Bedrijfsgeheimen worden alleen bewaard en bekendgemaakt aan derden voor zover deze openbaarmaking strikt noodzakelijk is om het tussen de gebruiker en de derde overeengekomen doel te verwezenlijken. De gegevenshouder, of de houder van het bedrijfsgeheim indien deze niet de gegevenshouder is, identificeert de gegevens die als bedrijfsgeheim worden beschermd, onder meer in de relevante metagegevens, en komt met de derde alle evenredige technische en organisatorische maatregelen overeen die noodzakelijk zijn om de vertrouwelijkheid van de gedeelde gegevens te waarborgen, zoals modelcontractvoorwaarden, vertrouwelijkheidsovereenkomsten, strikte toegangsprotocollen, technische normen en de toepassing van gedragscodes.
10. Indien er geen overeenstemming is over de in lid 9 van dit artikel bedoelde noodzakelijke maatregelen of als de derde de op grond van lid 9 van dit artikel overeengekomen maatregelen niet uitvoert of de vertrouwelijkheid van de bedrijfsgeheimen ondermijnt, kan de gegevenshouder het delen van als bedrijfsgeheim aangemerkte gegevens tegenhouden of, naargelang van het geval, opschorten. Het besluit van de gegevenshouder wordt naar behoren gemotiveerd en onverwijld schriftelijk aan de derde meegedeeld. In dergelijke gevallen stelt de gegevenshouder de op grond van artikel 37 aangewezen bevoegde autoriteit in kennis van het feit dat hij het delen van gegevens heeft geweigerd of opgeschort, en vermeldt hij welke maatregelen niet zijn overeengekomen of uitgevoerd en, in voorkomend geval, van welke bedrijfsgeheimen de vertrouwelijkheid is ondermijnd.
11. In uitzonderlijke omstandigheden, wanneer de gegevenshouder die houder is van een bedrijfsgeheim kan aantonen dat hij door de bekendmaking van bedrijfsgeheimen, ondanks de door de derde op grond van lid 9 van dit artikel genomen technische en organisatorische maatregelen, zeer waarschijnlijk ernstige economische schade zal lijden, kan die gegevenshouder per geval een verzoek om toegang tot de specifieke gegevens in kwestie weigeren. Dat bewijs wordt naar behoren onderbouwd op basis van objectieve elementen, met name de afdwingbaarheid van de bescherming van bedrijfsgeheimen in derde landen, de aard en het niveau van vertrouwelijkheid van de gevraagde gegevens, en de mate waarin het om een uniek en nieuw verbonden product gaat, en wordt onverwijld schriftelijk aan de derde verstrekt. Indien de gegevenshouder weigert gegevens te delen overeenkomstig dit lid, stelt hij de op grond van artikel 37 aangewezen bevoegde autoriteit daarvan in kennis.
12. Onverminderd het recht van derden om in elk stadium verhaal te halen bij een rechterlijke instantie van een lidstaat, kan een derde het besluit van een gegevenshouder om het delen van gegevens op grond van de leden 10 en 11 te weigeren, tegen te houden of op te schorten aanvechten door:
| a) | overeenkomstig artikel 37, lid 5, punt b), een klacht in te dienen bij de bevoegde autoriteit, die onverwijld beslist of en onder welke voorwaarden het delen van gegevens aanvangt of wordt hervat, of |
| b) | met de gegevenshouder overeen te komen de zaak voor te leggen aan een geschillenbeslechtingsorgaan overeenkomstig artikel 10, lid 1. |
13. Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten van andere datasubjecten krachtens het toepasselijke Unie- en nationale recht inzake de bescherming van persoonsgegevens.
Artikel 13
Oneerlijke contractuele bedingen die eenzijdig worden opgelegd aan een andere onderneming
1. Een contractueel beding betreffende de toegang tot en het gebruik van gegevens of aansprakelijkheid en remedies in geval van schending of beëindiging van gegevensgerelateerde verplichtingen dat eenzijdig door een onderneming is opgelegd aan een andere onderneming, is niet bindend voor laatstgenoemde onderneming indien dit oneerlijk is.
2. Een contractueel beding dat dwingende bepalingen van het Unierecht weerspiegelt, of bepalingen van het Unierecht die van toepassing zouden zijn indien de contractuele bedingen de kwestie niet zouden regelen, wordt niet als oneerlijk beschouwd.
3. Een contractueel beding is oneerlijk indien het van dien aard is dat het gebruik ervan sterk afwijkt van goede handelspraktijken bij de toegang tot en het gebruik van gegevens, in strijd met de goede trouw en eerlijke behandeling.
4. Een contractueel beding is met name oneerlijk in de zin van lid 3 indien dat beding het volgende tot doel of gevolg heeft:
| a) | de partij die het beding eenzijdig heeft opgelegd, draagt geen of beperkte aansprakelijkheid voor opzettelijke handelingen of grove nalatigheid; |
| b) | de partij waaraan het beding eenzijdig is opgelegd, wordt uitgesloten van de remedies waarover deze beschikt in het geval van niet-nakoming van contractuele verplichtingen of de partij die het beding eenzijdig heeft opgelegd, draagt geen aansprakelijkheid in het geval van een niet-nakoming van die verplichtingen; |
| c) | de partij die het beding eenzijdig heeft opgelegd beschikt over het exclusieve recht om te bepalen of de verstrekte gegevens in overeenstemming zijn met de overeenkomst of om contractsbedingen uit te leggen. |
5. Een contractueel beding wordt geacht oneerlijk te zijn in de zin van lid 3 indien het ertoe strekt of tot gevolg heeft dat:
| a) | de remedies in het geval van niet-nakoming van contractuele verplichtingen of de aansprakelijkheid in het geval van een inbreuk op die verplichtingen op ongepaste wijze worden beperkt, of de aansprakelijkheid van de onderneming waaraan het beding eenzijdig is opgelegd, wordt uitgebreid; |
| b) | de partij die het beding eenzijdig heeft opgelegd, toegang kan krijgen tot en gebruik kan maken van de gegevens van de medecontractant op een wijze die de rechtmatige belangen van de medecontractant aanzienlijk schaadt, met name indien die gegevens commercieel gevoelige informatie bevatten of beschermd zijn door bedrijfsgeheimen of door intellectuele-eigendomsrechten; |
| c) | de partij waaraan het beding eenzijdig is opgelegd, wordt verhinderd de door die partij tijdens de looptijd van de overeenkomst verstrekte of gegenereerde gegevens te gebruiken, of het gebruik van dergelijke gegevens in die mate wordt beperkt dat die partij niet het recht heeft dergelijke gegevens te gebruiken, te verzamelen, te raadplegen of te controleren of de waarde ervan adequaat te exploiteren; |
| d) | de partij waaraan het beding eenzijdig is opgelegd, wordt belet om de overeenkomst binnen een redelijke termijn op te zeggen; |
| e) | de partij waaraan het beding eenzijdig is opgelegd, wordt verhinderd tijdens de looptijd van de overeenkomst of binnen een redelijke termijn na de beëindiging ervan een kopie van de door die partij verstrekte of gegenereerde gegevens te verkrijgen; |
| f) | de partij die de termijn eenzijdig heeft opgelegd de overeenkomst binnen een onredelijk korte termijn kan opzeggen, rekening houdend met een redelijke mogelijkheid van de medecontractant om over te stappen naar een alternatieve en vergelijkbare dienst en met de financiële schade die door een dergelijke beëindiging wordt berokkend, tenzij er gewichtige redenen zijn om dit te doen; |
| g) | de partij die het beding eenzijdig heeft opgelegd aanzienlijke wijzigingen kan aanbrengen in de in de overeenkomst gespecificeerde prijs of ten aanzien van een andere wezenlijke voorwaarde met betrekking tot de aard, het formaat, de kwaliteit of de kwantiteit van de gegevens die worden gedeeld, zonder dat in de overeenkomst een geldige reden of het recht van de wederpartij om de overeenkomst op te zeggen in geval van een dergelijke wijziging wordt vermeld. |
Punt g) van de eerste alinea doet geen afbreuk aan voorwaarden op basis waarvan de partij die het beding eenzijdig heeft opgelegd zich het recht voorbehoudt de voorwaarden van een overeenkomst voor onbepaalde tijd eenzijdig te wijzigen, mits in die overeenkomst een geldige reden is vermeld voor dergelijke eenzijdige wijzigingen, de partij die het beding eenzijdig heeft opgelegd, verplicht is de wederpartij van een dergelijke voorgenomen wijziging binnen een redelijke termijn op de hoogte te stellen en het de wederpartij vrijstaat de overeenkomst kosteloos op te zeggen in geval van een wijziging.
6. Een contractueel beding wordt geacht eenzijdig te zijn opgelegd in de zin van dit artikel indien het door een van de overeenkomstsluitende partijen is gesteld en de andere partij ondanks een poging om daarover te onderhandelen geen invloed op de inhoud ervan heeft kunnen uitoefenen. De overeenkomstsluitende partij die het beding in de overeenkomst heeft laten opnemen, moet bewijzen dat dit beding niet eenzijdig is opgelegd. De overeenkomstsluitende partij die het betwiste contractuele beding in de overeenkomst heeft laten opnemen, kan zich er niet op beroepen dat het contractuele beding oneerlijk is.
7. Indien het oneerlijke contractuele beding kan worden gescheiden van de overige contractuele bedingen, zijn die resterende bedingen bindend.
8. Dit artikel is niet van toepassing op contractuele bedingen waarin het eigenlijke onderwerp van de overeenkomst wordt omschreven, noch op de juistheid van de prijs voor de als tegenprestatie geleverde gegevens.
9. De partijen bij een overeenkomst als bedoeld in lid 1 mogen de toepassing van dit artikel niet uitsluiten, ervan afwijken of de gevolgen ervan wijzigen.
HOOFDSTUK V
GEGEVENS BESCHIKBAAR STELLEN AAN OVERHEIDSINSTANTIES, DE COMMISSIE, DE EUROPESE CENTRALE BANK EN ORGANEN VAN DE UNIE OP GROND VAN UITZONDERLIJKE NOODZAAK
Artikel 17
Verzoeken om gegevens beschikbaar te stellen
1. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of een orgaan van de Unie om gegevens overeenkomstig artikel 14, verzoeken:
| a) | specificeren zij de vereiste gegevens, met inbegrip van de relevante metagegevens die nodig zijn om die gegevens te interpreteren en te gebruiken; |
| b) | tonen zij aan dat wordt voldaan aan de noodzakelijke voorwaarden voor het bestaan van een uitzonderlijke noodzaak als bedoeld in artikel 15, op grond waarvan om de gegevens wordt verzocht; |
| c) | geven zij een toelichting op het doel van het verzoek, het beoogde gebruik van de gevraagde gegevens, ook indien een derde in voorkomend geval overeenkomstig lid 4 van dit artikel daarom heeft verzocht, de duur van dat gebruik en, in voorkomend geval, de wijze waarop de verwerking van persoonsgegevens tegemoetkomt aan de uitzonderlijke noodzaak; |
| d) | geven zij indien mogelijk aan wanneer de gegevens naar verwachting zullen worden gewist door alle partijen die er toegang toe hebben; |
| e) | onderbouwen zij de keuze van de gegevenshouder tot wie het verzoek zich richt; |
| f) | vermelden zij de andere overheidsinstanties of de Commissie, de Europese Centrale Bank of organen van de Unie en de derden waarmee de verkregen gegevens naar verwachting zullen worden gedeeld; |
| g) | indien om persoonsgegevens wordt verzocht, specificeren zij welke technische en organisatorische maatregelen nodig en evenredig zijn om de gegevensbeschermingsbeginselen en de nodige waarborgen toe te passen, zoals pseudonimisering, en of de gegevenshouder anonimisering kan toepassen voordat hij de gegevens beschikbaar stelt; |
| h) | vermelden zij de wettelijke bepaling waarbij aan de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de specifieke taak van algemeen belang wordt toegewezen waarvoor de gegevens wordt gevraagd; |
| i) | specificeren zij de termijn waarbinnen de gegevens beschikbaar moeten worden gesteld en de in artikel 18, lid 2, bedoelde termijn waarbinnen de gegevenshouder het verzoek kan afwijzen of om wijziging ervan kan verzoeken; |
| j) | stellen zij alles in het werk om te voorkomen dat een verzoek om gegevens wordt ingewilligd als dat zou leiden tot aansprakelijkheid van de gegevenshouders voor inbreuken op het Unierecht of nationale recht. |
2. Een verzoek om gegevens op grond van lid 1 van dit artikel:
| a) | wordt schriftelijk ingediend en uitgedrukt in duidelijke, beknopte en eenvoudige taal die voor de gegevenshouder begrijpelijk is; |
| b) | vermeldt specifiek om welk soort gegevens het gaat en komt overeen met de gegevens waarover de gegevenshouder ten tijde van het verzoek de controle heeft; |
| c) | staat in verhouding tot de uitzonderlijke noodzaak en is naar behoren gemotiveerd, wat betreft de mate van detail en het volume van de gevraagde gegevens en de frequentie van de toegang tot de gevraagde gegevens; |
| d) | eerbiedigt de legitieme doelstellingen van de gegevenshouder en zorgt voor de bescherming van bedrijfsgeheimen overeenkomstig artikel 19, lid 3, en de kosten en inspanningen die nodig zijn om de gegevens beschikbaar te stellen; |
| e) | heeft betrekking op niet-persoonsgebonden gegevens, en alleen als wordt aangetoond dat dit ontoereikend is om te voldoen aan de uitzonderlijke noodzaak om gegevens te gebruiken, overeenkomstig artikel 15, lid 1, punt a), behelst het persoonsgegevens in gepseudonimiseerde vorm en stelt het de technische en organisatorische maatregelen vast die moeten worden genomen om de gegevens te beschermen; |
| f) | stelt de gegevenshouder in kennis van de sancties die overeenkomstig artikel 40 door de in artikel 37 aangewezen bevoegde autoriteit moeten worden opgelegd in geval van niet-naleving van het verzoek; |
| g) | wordt, indien het verzoek door een overheidsinstantie wordt ingediend, toegezonden aan de in artikel 37 bedoelde gegevenscoördinator van de lidstaat waar de verzoekende overheidsinstantie is gevestigd, die het verzoek onverwijld online beschikbaar stelt, tenzij de datacoördinator van oordeel is dat een dergelijke publicatie een risico voor de openbare veiligheid zou opleveren; |
| h) | wordt, wanneer het verzoek door de Commissie, de Europese Centrale Bank of een orgaan van de Unie wordt gedaan, onverwijld online beschikbaar gesteld; |
| i) | wordt, indien om persoonsgegevens wordt verzocht, onverwijld gemeld bij de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679 in de lidstaat waar de overheidsinstantie is gevestigd. |
De Europese Centrale Bank en de organen van de Unie stellen de Commissie in kennis van hun verzoeken.
3. Een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie stelt de op grond van dit hoofdstuk verkregen gegevens niet beschikbaar voor hergebruik zoals gedefinieerd in artikel 2, punt 2, van Verordening (EU) 2022/868 of artikel 2, punt 11, van Richtlijn (EU) 2019/1024. Verordening (EU) 2022/868 en Richtlijn (EU) 2019/1024 zijn niet van toepassing op de gegevens die overheidsinstanties op grond van dit hoofdstuk hebben verkregen.
4. Lid 3 van dit artikel belet een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie niet om op grond van dit hoofdstuk verkregen gegevens uit te wisselen met een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie met het oog op de vervulling van de taken zoals bedoeld in artikel 15, zoals vermeld in het verzoek overeenkomstig lid 1, punt f), van dit artikel, of om de gegevens beschikbaar te stellen aan een derde in gevallen waarin door middel van een openbaar beschikbare overeenkomst technische inspecties of andere taken aan die derde zijn gedelegeerd. De verplichtingen van overheidsinstanties overeenkomstig artikel 19, met name waarborgen ter bescherming van de vertrouwelijkheid van bedrijfsgeheimen, gelden ook voor dergelijke derden. Wanneer overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie gegevens uit hoofde van dit lid doorgeven of beschikbaar stellen, stellen zij de gegevenshouder van wie de gegevens zijn ontvangen onverwijld daarvan in kennis.
5. Indien de gegevenshouder van mening is dat zijn rechten uit hoofde van dit hoofdstuk zijn geschonden door het doorgeven of het beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.
6. De Commissie ontwikkelt een modelformulier voor verzoeken overeenkomstig dit artikel.
Artikel 18
Naleving van verzoeken om gegevens
1. Een gegevenshouder die een verzoek ontvangt om gegevens beschikbaar te stellen uit hoofde van dit hoofdstuk, stelt de gegevens onverwijld ter beschikking van de verzoekende overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, rekening houdend met de benodigde technische, organisatorische en juridische maatregelen.
2. Onverminderd specifieke behoeften in verband met de beschikbaarheid van gegevens zoals omschreven in het Unie- of nationale recht, kan een gegevenshouder het verzoek afwijzen of verzoeken om wijziging van een verzoek om gegevens beschikbaar te stellen uit hoofde van dit hoofdstuk, onverwijld en in elk geval binnen vijf werkdagen na ontvangst van een verzoek om de gegevens die noodzakelijk zijn om te reageren op een algemene noodsituatie en onverwijld en in elk geval binnen 30 werkdagen na ontvangst van een dergelijk verzoek in andere gevallen van uitzonderlijke noodzaak, om de volgende redenen:
| a) | de gegevenshouder heeft geen controle over de gevraagde gegevens; |
| b) | er is eerder een soortgelijk verzoek met hetzelfde doel ingediend door een andere overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie, en de gegevenshouder is niet in kennis gesteld van de wissing van de gegevens overeenkomstig artikel 19, lid 1, punt c); |
| c) | het verzoek voldoet niet aan de voorwaarden van artikel 17, leden 1 en 2. |
3. Indien de gegevenshouder besluit het verzoek af te wijzen of te verzoeken het te wijzigen overeenkomstig lid 2, punt b), vermeldt hij de identiteit van de overheidsinstantie of de Commissie, de Europese Centrale Bank of het orgaan van de Unie waardoor eerder een verzoek met hetzelfde doel is ingediend.
4. Indien de gegevens persoonsgegevens bevatten, anonimiseert de gegevenshouder de gegevens naar behoren, tenzij er persoonsgegevens moeten worden verstrekt om het verzoek om gegevens van een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie in te willigen. In dergelijke gevallen pseudonimiseert de gegevenshouder de gegevens.
5. Indien de overheidsinstantie, de Commissie, de Europese Centrale Bank of het orgaan van de Unie de weigering van een gegevenshouder om de gevraagde gegevens te verstrekken wenst aan te vechten, of indien de gegevenshouder het verzoek wenst aan te vechten en de zaak niet kan worden opgelost door een gepaste wijziging van het verzoek, wordt de zaak voorgelegd aan de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar de gegevenshouder is gevestigd.
Artikel 21
Delen van in de context van een uitzonderlijke noodzaak verkregen gegevens met onderzoeksorganisaties of statistische instanties
1. Overheidsinstanties, de Commissie, de Europese Centrale Bank of organen van de Unie mogen uit hoofde van dit hoofdstuk ontvangen gegevens delen:
| a) | met personen of organisaties met het oog op het uitvoeren van wetenschappelijk onderzoek of analyses die verenigbaar zijn met het doel waarvoor de gegevens werden gevraagd; of |
| b) | met nationale bureaus voor de statistiek of Eurostat voor het opstellen van officiële statistieken. |
2. Personen of organisaties die de gegevens overeenkomstig lid 1 ontvangen, handelen zonder winstoogmerk of in het kader van een in het Unie- of nationale recht erkende taak van algemeen belang. Hieronder vallen niet organisaties waarop commerciële ondernemingen een aanzienlijke invloed uitoefenen die waarschijnlijk zal leiden tot preferentiële toegang tot de resultaten van het onderzoek.
3. Personen of organisaties die de gegevens overeenkomstig lid 1 van dit artikel ontvangen, voldoen aan dezelfde verplichtingen die van toepassing zijn op de overheidsinstanties, de Commissie, de Europese Centrale Bank of de organen van de Unie overeenkomstig artikel 17, lid 3, en artikel 19.
4. Niettegenstaande artikel 19, lid 1, punt c), mogen personen of organisaties die de gegevens overeenkomstig lid 1 van dit artikel ontvangen, de ontvangen gegevens voor het doel waarvoor de gegevens werden gevraagd, bewaren tot zes maanden na het wissen van de gegevens door de overheidsinstanties, de Commissie, de Europese Centrale Bank en de organen van de Unie.
5. Indien een overheidsinstantie, de Commissie, de Europese Centrale Bank of een orgaan van de Unie voornemens is gegevens uit hoofde van lid 1 van dit artikel beschikbaar te stellen, stelt zij/het onverwijld de gegevenshouder van wie de gegevens zijn ontvangen daarvan in kennis met vermelding van de identiteit en contactgegevens van de organisatie of de persoon die de gegevens ontvangt, het doel van de doorgifte of beschikbaarstelling van de gegevens, de termijn gedurende welke de gegevens mogen worden gebruikt en de technische bescherming en organisatorische maatregelen die zijn genomen, ook indien het persoonsgegevens of bedrijfsgeheimen betreft. Indien de gegevenshouder het niet eens is met het doorgeven of beschikbaar stellen van gegevens, kan hij een klacht indienen bij de op grond van artikel 37 aangewezen bevoegde autoriteit van de lidstaat waar hij is gevestigd.
Artikel 25
Contractvoorwaarden betreffende een overstap
1. De rechten van de klant en de verplichtingen van de aanbieder van dataverwerkingsdiensten met betrekking tot het overstappen naar andere aanbieders van dergelijke diensten of, indien van toepassing, naar een on-premises-ICT-infrastructuur worden duidelijk vastgelegd in een schriftelijk contract. De aanbieder van dataverwerkingsdiensten stelt die overeenkomst vóór de ondertekening daarvan ter beschikking van de klant op een manier waardoor deze de overeenkomst kan opslaan en reproduceren.
2. Onverminderd Richtlijn (EU) 2019/770 bevat het in lid 1 van dit artikel bedoelde contract ten minste het volgende:
| a) | bepalingen op grond waarvan de klant, op verzoek, kan overstappen naar een dataverwerkingsdienst die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten of op grond waarvan de klant alle exporteerbare data, en digitale activa kan overdragen naar een on-premises-ICT-infrastructuur, onverwijld en in geen geval na de verplichte overgangsperiode van maximaal 30 dagen, die aanvangt na de maximale opzegtermijn bedoeld in punt d), waarbinnen de dienstverleningsovereenkomst van toepassing blijft en waarbinnen de aanbieder van dataverwerkingsdiensten:
|
| b) | een verplichting voor de aanbieder van dataverwerkingsdiensten om ondersteuning te bieden voor de exitstrategie van de klant in het kader van de gecontracteerde diensten, onder meer door alle relevante informatie te verstrekken; |
| c) | een clausule waarin wordt bepaald dat de overeenkomst wordt geacht te zijn beëindigd en dat de klant in kennis wordt gesteld van de beëindiging, in een van de volgende gevallen:
|
| d) | een maximale opzegtermijn voor het initiëren van het overstapproces, die niet meer dan twee maanden bedraagt; |
| e) | een volledige specificatie van alle categorieën gegevens en digitale activa die tijdens het overstapproces kunnen worden overgedragen, waaronder ten minste alle exporteerbare data; |
| f) | een exhaustieve specificatie van de categorieën gegevens die specifiek zijn voor de interne werking van de dataverwerkingsdiensten van de aanbieder en die geen deel mogen uitmaken van de in punt e) van dit lid bedoelde exporteerbare data wanneer er een risico op schending van bedrijfsgeheimen van de aanbieder bestaat, op voorwaarde dat dergelijke uitzonderingen het in artikel 23 bedoelde overstapproces niet belemmeren of vertragen; |
| g) | een minimumtermijn voor het opvragen van gegevens van ten minste 30 kalenderdagen, beginnend na de beëindiging van de overgangsperiode die is overeengekomen tussen de klant en de aanbieder van dataverwerkingsdiensten, overeenkomstig punt a), van dit lid en lid 4; |
| h) | een clausule die garandeert dat alle exporteerbare data en digitale activa die rechtstreeks door de klant worden gegenereerd of die rechtstreeks betrekking hebben op de klant, volledig worden gewist na het verstrijken van de in punt g) bedoelde opvragingstermijn of na het verstrijken van een alternatieve overeengekomen termijn na de datum waarop de in punt g) bedoelde opvragingstermijn verstrijkt, op voorwaarde dat het overstapproces met succes is voltooid; |
| i) | overstapkosten die door aanbieders van dataverwerkingsdiensten in rekening kunnen worden gebracht overeenkomstig artikel 29. |
3. Het in lid 1 bedoelde contract bevat bedingen op grond waarvan de klant de aanbieder van dataverwerkingsdiensten bij de beëindiging van de in lid 2, punt d), bedoelde maximale kennisgevingsperiode in kennis kan stellen van zijn besluit om een of meer van de volgende handelingen te verrichten:
| a) | overstappen naar een andere aanbieder van dataverwerkingsdiensten, in welk geval de klant de nodige gegevens over die aanbieder verstrekt; |
| b) | overschakelen op een on-premises-ICT-infrastructuur; |
| c) | zijn exporteerbare data en digitale activa wissen. |
4. Wanneer de verplichte maximale overgangsperiode als bedoeld in lid 2, punt a), technisch niet haalbaar is, stelt de aanbieder van dataverwerkingsdiensten de klant daarvan in kennis binnen 14 werkdagen na het overstapverzoek, rechtvaardigt hij de technische onhaalbaarheid naar behoren en vermeldt hij een alternatieve overgangsperiode, die niet langer mag zijn dan zeven maanden. Overeenkomstig lid 1 wordt de continuïteit van de dienstverlening gewaarborgd gedurende de gehele alternatieve overgangsperiode.
5. Onverminderd lid 4 bevat het in lid 1 bedoelde contract bedingen die de klant het recht verlenen de overgangsperiode eenmaal te verlengen met een periode die de klant voor zijn eigen doeleinden geschikter acht.
Artikel 28
Contractuele transparantieverplichtingen inzake internationale toegang en doorgifte
1. Aanbieders van dataverwerkingsdiensten stellen de volgende informatie op hun websites beschikbaar en houden die actueel:
| a) | het rechtsgebied waaronder de voor de dataverwerking van hun individuele diensten opgezette ICT-infrastructuur valt; |
| b) | een algemene beschrijving van de technische, organisatorische en contractuele maatregelen die de aanbieder van dataverwerkingsdiensten heeft genomen om toegang van de internationale overheid tot of de doorgifte van niet-persoonsgebonden gegevens die in de Unie zijn opgeslagen, te voorkomen indien een dergelijke toegang of doorgifte in strijd zou zijn met het Unie- of nationale recht van de betrokken lidstaat. |
2. De in lid 1 bedoelde websites worden vermeld in overeenkomsten van alle dataverwerkingsdiensten die aanbieders van dataverwerkingsdiensten aanbieden.
whereas