Digital Governance Act 2022/0868 SV

2. Denna förordning medför inte någon skyldighet för offentliga myndigheter att tillåta vidareutnyttjande av data och befriar inte heller offentliga myndigheter från deras skyldigheter i fråga om konfidentiell behandling enligt unionsrätten eller nationell rätt.

Denna förordning ska inte påverka

a)	tillämpningen av särskilda bestämmelser i unionsrätten eller nationell rätt om tillgång till eller vidareutnyttjande av vissa kategorier av data, särskilt när det gäller beviljandet av tillgång till och utlämnandet av officiella handlingar, och

b)	offentliga myndigheters skyldigheter enligt unionsrätten eller nationell rätt att tillåta vidareutnyttjande av data eller krav som rör behandling av icke-personuppgifter.

I de fall då en sektorsspecifik unionsrätt eller nationell rätt föreskriver att offentliga myndigheter, leverantörer av dataförmedlingstjänster eller erkända dataaltruismorganisationer ska uppfylla särskilda ytterligare tekniska, administrativa eller organisatoriska krav, däribland genom ett auktorisations- eller certifieringssystem, ska de bestämmelserna i den sektorsspecifika unionsrätten eller den nationella rätten också tillämpas. Eventuella sådana särskilda ytterligare krav ska vara icke-diskriminerande, proportionella och objektivt motiverade.

3. Unionsrätt och nationell rätt om skydd av personuppgifter ska tillämpas på alla personuppgifter som behandlas i samband med denna förordning. Denna förordning påverkar i synnerhet inte tillämpningen av förordningarna (EU) 2016/679 och (EU) 2018/1725 och direktiven 2002/58/EG och (EU) 2016/680, inklusive vad gäller tillsynsmyndigheternas befogenheter och behörighet. Om den här förordningen står i strid med unionsrätten om skydd av personuppgifter eller nationell rätt som antagits i enlighet med sådan unionsrätt, bör den relevanta unionsrätten eller nationella rätten om skydd av personuppgifter ha företräde. Den här förordningen skapar inte någon rättslig grund för behandling av personuppgifter och påverkar inte heller några av de skyldigheter och rättigheter som anges i förordningarna (EU) 2016/679 eller (EU) 2018/1725 eller direktiven 2002/58/EG eller (EU) 2016/680.

4. Denna förordning påverkar inte tillämpningen av konkurrensrätten.

5. Denna förordning påverkar inte medlemsstaternas befogenheter när det gäller deras verksamhet som rör allmän säkerhet, försvar och nationell säkerhet.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

1.	data: varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, sådana fakta eller sådan information, däribland i form av ljudinspelningar, bildinspelningar eller audiovisuella inspelningar).

vidareutnyttjande: fysiska eller juridiska personers användning av data som innehas av offentliga myndigheter för andra kommersiella eller icke-kommersiella ändamål än det ursprungliga ändamål inom den offentliga verksamheten för vilket de framställdes, med undantag för utbyte av data mellan offentliga myndigheter som enbart sker i samband med deras offentliga verksamhet.

3.	personuppgifter: personuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679.

4.	icke-personuppgifter: andra data än personuppgifter.

5.	samtycke: samtycke enligt definitionen i artikel 4.11 i förordning (EU) 2016/679.

6.	tillstånd: att ge dataanvändare rätt att behandla icke-personuppgifter.

7.	registrerad: registrerad som avses i artikel 4.1 i förordning (EU) 2016/679.

datainnehavare: en juridisk person, inklusive en offentlig myndighet och internationella organisationer, eller en fysisk person som inte är en registrerad i förhållande till de specifika uppgifterna i fråga, som i enlighet med tillämplig unionsrätt eller nationell rätt har rätt att bevilja tillgång till eller dela vissa personuppgifter eller icke-personuppgifter.

9.	dataanvändare: fysisk eller juridisk person som har laglig tillgång till vissa personuppgifter eller icke-personuppgifter och som har rätt att, även enligt förordning (EU) 2016/679 när det gäller personuppgifter, använda dessa data för kommersiella eller icke-kommersiella ändamål.

10.

datadelning: en registrerads eller datainnehavares tillhandahållande av data till en dataanvändare för gemensam eller individuell användning av dessa delade data, baserat på frivilliga avtal, unionsrätt eller nationell rätt, direkt eller via en förmedlare, till exempel inom ramen för öppna eller kommersiella licenser mot en avgift eller kostnadsfritt.

11.

dataförmedlingstjänst: en tjänst som syftar till att med tekniska, rättsliga eller andra medel upprätta affärsförbindelser för datadelning mellan ett obestämt antal registrerade och datainnehavare, å ena sidan, och dataanvändare, å andra sidan, inbegripet för att utöva de registrerades rättigheter avseende personuppgifter, med uteslutande av åtminstone följande:

a)	Tjänster som erhåller data från datainnehavare och aggregerar, berikar eller omvandlar data i syfte att avsevärt öka deras värde och licensierar användningen av resulterande data till dataanvändare, utan att upprätta en affärsförbindelse mellan datainnehavare och dataanvändare.

b)	Tjänster som är inriktade på förmedling av upphovsrättsligt skyddat innehåll.

Tjänster som uteslutande används av en datainnehavare för att möjliggöra användning av de data som den datainnehavaren innehar, eller som används av flera juridiska personer en sluten grupp, inbegripet leverantörs- eller kundrelationer eller samarbeten som grundar sig på avtal, särskilt sådana som har som huvudsakligt syfte att säkerställa funktionerna för föremål och enheter som är anslutna till sakernas internet.

d)	Datadelningstjänster som erbjuds av offentliga myndigheter som inte syftar till att upprätta affärsförbindelser.

12.	behandling: behandling enligt definitionen i artikel 4.2 i förordning (EU) 2016/679 när det gäller personuppgifter eller artikel 3.2 i förordning (EU) 2018/1807 när det gäller icke-personuppgifter.

13.	tillgång: dataanvändning i enlighet med särskilda tekniska, rättsliga eller organisatoriska krav, utan att det nödvändigtvis innefattar överföring eller nedladdning av data.

14.	huvudsakligt verksamhetsställe för en juridisk person: platsen för dess centrala förvaltning i unionen.

15.

datakooperativs tjänster: dataförmedlingstjänster som tillhandahålls av en organisationsstruktur i vilken registrerade, enmansföretag eller små och medelstora företag är medlemmar, och vars huvudsakliga syften är att hjälpa medlemmarna att utöva sina rättigheter avseende vissa data, så att de bland annat kan fatta välgrundade beslut innan de samtycker till databehandling, att utbyta synpunkter om de ändamål och villkor för databehandling som bäst företräder sina medlemmars intressen när det gäller deras data och att förhandla om villkoren för databehandling för sina medlemmar innan de ger tillstånd till behandling av icke-personuppgifter eller lämnar sitt samtycke till behandling av personuppgifter.

16.

dataaltruism: den frivilliga delningen av data på grundval av de registrerades samtycke till behandling av personuppgifter som rör dem, eller tillstånd från datainnehavare att tillåta användning av deras icke-personuppgifter utan något krav på eller mottagande av ersättning utöver ersättning för de kostnader som de ådragit sig när de gör uppgifterna tillgängliga för mål av allmänintresse, som det föreskrivs i nationell rätt i förekommande fall, såsom hälso- och sjukvård, bekämpande av klimatförändringar, förbättring av mobiliteten, främjande av utveckling, framställning och spridning av officiell statistik, förbättrat tillhandahållande av offentliga tjänster, politiskt beslutsfattande eller vetenskaplig forskning av allmänt intresse.

17.	offentliga myndigheter: statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller sammanslutningar av en eller flera sådana myndigheter eller av ett eller flera sådana offentligrättsliga organ.

18.

offentligrättsliga organ: organ som har följande egenskaper:

a)	De har särskilt inrättats för att tillgodose behov av allmänt intresse, och är inte av industriell eller kommersiell art.

b)	De är juridiska personer.

De finansieras till största delen av statliga, regionala eller lokala myndigheter, eller andra offentligrättsliga organ, står under administrativ tillsyn av sådana myndigheter eller organ, eller har ett förvaltnings-, lednings- eller kontrollorgan där mer än hälften av ledamöterna utses av staten, av regionala eller lokala myndigheter eller av andra offentligrättsliga organ.

19.

offentligt företag: varje företag över vilket de offentliga myndigheterna har ett direkt eller indirekt bestämmande inflytande till följd av ägarförhållande, finansiellt deltagande eller gällande regler; inom ramen för denna definition ska offentliga myndigheter anses utöva bestämmande inflytande när dessa myndigheter, direkt eller indirekt,

a)	äger större delen av det tecknade kapitalet i företaget,

b)	kontrollerar majoriteten av de rösträtter som är knutna till företagets emitterade aktier,

c)	kan utse fler än hälften av ledamöterna i företagets förvaltningsorgan, styrelseorgan eller övervakande organ.

20.

säker behandlingsmiljö: fysisk eller virtuell miljö och organisatoriska metoder för att säkerställa överensstämmelse med unionsrätten, såsom förordning (EU) 2016/679, särskilt vad gäller de registrerades rättigheter, immateriella rättigheter samt insynsskydd, integritet och tillgänglighet för kommersiella och statistiska uppgifter, samt med tillämplig nationell rätt, och göra det möjligt för den enhet som tillhandahåller den säkra behandlingsmiljön att fastställa och övervaka alla databehandlingsåtgärder, inbegripet förevisandet, lagringen, nedladdningen och exporten av data och beräkningen av härledda data med hjälp av dataalgoritmer.

21.

rättslig företrädare: en fysisk eller juridisk person etablerad i unionen som uttryckligen utsetts för att agera på uppdrag av en i unionen ej etablerad leverantör av dataförmedlingstjänster eller i unionen ej etablerad enhet som för syften av allmänt intresse samlar in data som tillhandahålls av fysiska eller juridiska personer baserat på dataaltruism, till vilken de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer kan vända sig till utöver eller i stället för leverantören av dataförmedlingstjänster eller enheten när det gäller skyldigheterna enligt denna förordning, inklusive när det gäller att inleda verkställighetsförfaranden mot en leverantör av dataförmedlingstjänster eller enhet som inte uppfyller kraven och som inte är etablerad i unionen.

KAPITEL II

Vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter

Artikel 4

Förbud mot exklusiva avtal

1. Det ska vara förbjudet med avtal eller annan praxis som rör vidareutnyttjande av data som innehas av offentliga myndigheter och som omfattar kategorier av data som avses i artikel 3.1, vilka omfattar beviljande av exklusiva rättigheter eller vars syfte eller verkan omfattar beviljande av sådana exklusiva rättigheter eller begränsning av tillgången till data för vidareutnyttjande av andra enheter än parterna i sådana avtal eller sådan annan praxis.

2. Med avvikelse från punkt 1 får en exklusiv rättighet beviljas för vidareutnyttjande av data som avses i den punkten i den mån som det är nödvändigt för tillhandahållande av en tjänst eller tillhandahållande av en produkt av allmänt intresse som annars inte skulle vara möjligt.

3. En exklusiv rättighet som avses i punkt 2 ska beviljas genom en administrativ åtgärd eller ett kontraktsmässigt arrangemang i enlighet med tillämplig unionsrätt eller nationell rätt och i enlighet med principerna om transparens, likabehandling och icke-diskriminering.

4. Perioden för en exklusiv rättighet till vidareutnyttjande av data får inte överstiga tolv månader. När ett avtal har ingåtts ska avtalets löptid vara samma som perioden för den exklusiva rättigheten.

5. Beviljandet av en exklusiv rättighet i enlighet med punkterna 2, 3 och 4, inklusive skälen till varför detta beviljande är nödvändigt, ska vara transparenta och göras allmänt tillgängliga online i en form som är förenlig med relevant unionslagsrätt om offentlig upphandling.

6. Avtal eller andra metoder som omfattas av tillämpningsområdet för det förbud som avses i punkt 1, som inte uppfyller de villkor som fastställs i punkterna 2 och 3 och som ingicks före den 23 juni 2022 ska upphöra att gälla när det tillämpliga avtalet löper ut och i vilket fall senast den 24 december 2024.

Artikel 7

Behöriga organ

1. För utförandet av de uppgifter som avses i denna artikel ska varje medlemsstat utse ett eller flera behöriga organ, som får vara behöriga för särskilda sektorer, för att bistå de offentliga myndigheter som beviljar eller vägrar tillgång för vidareutnyttjande av de kategorier av data som avses i artikel 3.1. Medlemsstaterna får antingen inrätta ett eller flera nya behöriga organ eller förlita sig på befintliga offentliga myndigheter eller interna avdelningar inom offentliga myndigheter som uppfyller de villkor som fastställs i denna förordning.

2. De behöriga organen får ges befogenhet att bevilja tillgång till vidareutnyttjande av de kategorier av data som avses i artikel 3.1, i enlighet med unionsrätten eller nationell rätt som medger att sådan tillgång beviljas. När de beviljar eller vägrar tillgång för vidareutnyttjande ska artiklarna 4, 5, 6 och 9 tillämpas på dessa behöriga organ.

3. Behöriga organ ska ha tillräckliga juridiska, ekonomiska och tekniska resurser och personalresurser för att utföra de uppgifter som de anförtrotts, inbegripet de nödvändiga tekniska kunskaperna för att kunna följa relevant unionsrätt eller nationell rätt om systemen för tillgång till de kategorier av data som avses i artikel 3.1.

4. Det bistånd som föreskrivs i punkt 1 ska, när så är nödvändigt, innefatta följande:

a)	Tekniskt stöd för att tillhandahålla en säker behandlingsmiljö för att ge tillgång till vidareutnyttjande av data.

b)	Vägledning och tekniskt stöd om hur data bäst kan struktureras och lagras så att dessa data är lättillgängliga.

Tekniskt stöd för pseudonymisering och för att säkerställa databehandling på ett sätt som effektivt bevarar integriteten, konfidentialiteten, dataintegriteten och tillgängligheten för den information som finns i de data för vilka vidareutnyttjande tillåts, däribland teknik för anonymisering, generalisering, undertryckande och randomisering av personuppgifter eller andra toppmoderna integritetsbevarande metoder och radering av kommersiellt känslig information, däribland affärshemligheter eller innehåll som är skyddat av immateriella rättigheter.

Bistånd till offentliga myndigheter, i förekommande fall, för att stödja vidareutnyttjare när de begär registrerades samtycke till vidareutnyttjande eller datainnehavares tillstånd i linje med deras särskilda beslut, däribland om den jurisdiktion där databehandlingen är avsedd att utföras, och bistånd till offentliga myndigheter när de behöver inrätta tekniska mekanismer som gör det möjligt att vidarebefordra begäranden om samtycke eller tillstånd från vidareutnyttjare, när detta är praktiskt genomförbart.

e)	Bistånd till offentliga myndigheter vid bedömningen av tillräckligheten i de avtalsmässiga åtaganden som görs av en vidareutnyttjare i enlighet med artikel 5.10.

5. Varje medlemsstat ska senast den 24 september 2023 meddela kommissionen vilka behöriga organ som utsetts i enlighet med punkt 1. Varje medlemsstat ska också meddela kommissionen alla senare ändringar av dessa behöriga organs identitet.

Artikel 12

Villkor för tillhandahållande av dataförmedlingstjänster

Tillhandahållandet av de dataförmedlingstjänster som avses i artikel 10 ska omfattas av följande villkor:

a)	Leverantören av dataförmedlingstjänster får inte använda de data för vilka dataförmedlingstjänsterna tillhandahålls för andra ändamål än att ställa dem till dataanvändarnas förfogande och ska tillhandahålla dataförmedlingstjänsterna via en separat juridisk person.

De kommersiella villkoren, inklusive prissättningen, för tillhandahållandet av dataförmedlingstjänster till en datainnehavare eller dataanvändare får inte knytas till huruvida datainnehavaren eller dataanvändaren använder andra tjänster från samma leverantör av dataförmedlingstjänster eller en närstående enhet, och i så fall i vilken utsträckning datainnehavaren eller dataanvändaren använder sådana andra tjänster.

De data som samlas in om en fysisk eller juridisk persons aktivitet för tillhandahållandet av dataförmedlingstjänsten, däribland datum, tid, geolokaliseringsdata, aktivitetens varaktighet och kopplingar till andra fysiska eller juridiska personer som har inrättats av den person som använder dataförmedlingstjänsten får endast användas för utvecklingen av denna dataförmedlingstjänst, vilket kan innebära användning av data för att upptäcka bedrägerier eller för cybersäkerhet, och ska på begäran göras tillgängliga för datainnehavare.

Leverantören av dataförmedlingstjänster ska främja ett utbyte av data i det format som den erhåller dessa data från en registrerad eller en datainnehavare, ska endast konvertera data till särskilda format för att öka interoperabiliteten inom och mellan sektorer, eller om datainnehavaren så begär eller detta föreskrivs i unionsrätten, eller för att säkerställa harmonisering med internationella eller europeiska datastandarder och ska erbjuda registrerade och datainnehavare en möjlighet till undantag avseende dessa konverteringar, såvida inte konverteringen föreskrivs i unionsrätten.

Dataförmedlingstjänster får omfatta erbjudande av ytterligare särskilda verktyg och tjänster till datainnehavare eller de registrerade för det särskilda syftet att underlätta utbytet av data, exempelvis i form av tillfällig lagring, kuratering, konvertering, anonymisering och pseudonymisering, varvid sådana verktyg endast får användas på uttrycklig begäran eller efter uttryckligt godkännande av datainnehavaren eller den registrerade, och tredjepartsverktyg som erbjuds i sammanhanget inte får användas för andra ändamål.

f)	Leverantören av dataförmedlingstjänster ska säkerställa att förfarandet för tillgång till dess tjänster är rättvist, transparent och icke-diskriminerande för både registrerade och datainnehavare samt för dataanvändare, även när det gäller prissättning och villkor för tjänsten.

g)	Leverantören av dataförmedlingstjänster ska ha infört förfaranden för att förhindra bedrägerier eller otillbörliga metoder i samband med parter som önskar sådan tillgång via dess dataförmedlingstjänster.

Leverantören av dataförmedlingstjänster ska, vid sin insolvens, säkerställa en rimlig kontinuitet i tillhandahållandet av sina dataförmedlingstjänster och, när sådana dataförmedlingstjänster säkerställer lagring av data, ha mekanismer på plats för att möjliggöra att datainnehavarna och dataanvändarna kan få tillgång till, överföra eller hämta sina data, och om sådana dataförmedlingstjänster tillhandahålls mellan registrerade och dataanvändare, göra det möjligt för registrerade att utöva sina rättigheter.

i)	Leverantören av dataförmedlingstjänster ska vidta lämpliga åtgärder för att säkerställa interoperabiliteten med andra dataförmedlingstjänster genom bland annat allmänt använda öppna standarder inom den sektor i vilken leverantören av dataförmedlingstjänster är verksam.

j)	Leverantören av dataförmedlingstjänster ska vidta tillräckliga tekniska, rättsliga och organisatoriska åtgärder för att förhindra sådan överföring av eller tillgång till icke-personuppgifter som strider mot unionsrätten eller den nationella rätten i den berörda medlemsstaten.

k)	Leverantören av dataförmedlingstjänster ska utan dröjsmål informera datainnehavarna vid otillåten överföring av, tillgång till eller användning av icke-personuppgifter som den har delat.

Leverantören av dataförmedlingstjänster ska vidta nödvändiga åtgärder för att säkerställa en lämplig säkerhetsnivå för lagringen, behandlingen och överföringen av icke-personuppgifter, och leverantören av dataförmedlingstjänster ska vidare säkerställa högsta säkerhet för lagringen och överföringen av information som är känslig i konkurrenshänseende.

Leverantören av dataförmedlingstjänster som erbjuder tjänster åt de registrerade ska handla i deras bästa intresse när den främjar deras utövande av sina rättigheter, i synnerhet genom att informera och, i lämpliga fall, ge de registrerade råd på ett koncist, transparent, begripligt och lättåtkomligt sätt om dataanvändarnas avsedda dataanvändningar och de standardvillkor som är förbundna med sådan användning, innan de registrerade ger sitt samtycke.

Om en leverantör av dataförmedlingstjänster tillhandahåller verktyg för att erhålla de registrerades samtycke eller erhålla tillstånd att behandla data som tillhandhålls av datainnehavare, ska den i relevanta fall ange inom vilken tredjelandsjurisdiktion som dataanvändningen är avsedd att äga rum och förse de registrerade med verktyg för att både ge och återkalla sitt samtycke och datainnehavarna med verktyg för att både ge och återkalla tillstånd för behandling av data.

o)	Leverantören av dataförmedlingstjänster ska föra ett loggregister över dataförmedlingsverksamheten.

Artikel 13

Behöriga myndigheter för dataförmedlingstjänster

1. Varje medlemsstat ska utse en eller flera behöriga myndigheter för att utföra uppgifter i samband med anmälningsförfarandet för dataförmedlingstjänster och ska meddela kommissionen dessa behöriga myndigheters identitet senast den 24 september 2023. Varje medlemsstat ska även meddela kommissionen alla eventuella senare ändringar av dessa behöriga myndigheters identitet.

2. De behöriga myndigheterna för dataförmedlingstjänster ska uppfylla de krav som anges i artikel 26.

3. Befogenheterna för de utsedda behöriga myndigheterna för dataförmedlingstjänsters ska inte påverka befogenheterna för dataskyddsmyndigheterna, de nationella konkurrensmyndigheterna, de myndigheter som ansvarar för cybersäkerhet och andra relevanta sektorsmyndigheter. Dessa myndigheter ska i enlighet med sina respektive befogenheter enligt unionsrätten och nationell rätt etablera ett starkt samarbete och utbyta den information som behövs för att de ska kunna utföra sina uppgifter i förhållande till leverantörerna av dataförmedlingstjänster, och ska eftersträva att de beslut som fattas vid tillämpningen av denna förordning är konsekventa.

Artikel 14

Övervakning av efterlevnaden

1. De behöriga myndigheterna för dataförmedlingstjänster ska övervaka och utöva tillsyn över leverantörer av dataförmedlingstjänsters efterlevnad av kraven i detta kapitel. De behöriga myndigheterna för dataförmedlingstjänster får även övervaka och utöva tillsyn över leverantörer av dataförmedlingstjänsters efterlevnad på grundval av en begäran från en fysisk eller juridisk person.

2. De behöriga myndigheterna för dataförmedlingstjänster ska ha befogenhet att från leverantörer av dataförmedlingstjänster eller deras rättsliga företrädare begära all information som är nödvändig för att kontrollera uppfyllandet av kraven i detta kapitel. Varje begäran om information ska stå i proportion till uppgiftens utförande och innehålla en motivering.

3. I de fall då den behöriga myndigheten för dataförmedlingstjänster finner att en leverantör av dataförmedlingstjänster inte uppfyller ett eller flera av kraven i detta kapitel ska den meddela leverantören av dataförmedlingstjänster dessa iakttagelser och ge den möjlighet att yttra sig, inom 30 dagar från mottagandet av meddelandet.

4. Den behöriga myndigheten för dataförmedlingstjänster ska ha befogenhet att kräva att den överträdelse som avses i punkt 3 upphör, inom en rimlig tidsperiod eller omedelbart vid allvarlig överträdelse, och ska vidta ändamålsenliga och proportionella åtgärder för att säkerställa efterlevnaden. I det hänseendet ska den behöriga myndigheten för dataförmedlingstjänster, när så är lämpligt, ha befogenhet att

a)	genom administrativa förfaranden ålägga avskräckande ekonomiska sanktioner, som får inbegripa löpande viten och sanktioner med retroaktiv verkan, inleda rättsliga förfaranden för åläggande av sanktionsavgifter, eller bådadera,

b)	kräva att inledandet eller avbrytandet av tillhandahållandet av dataförmedlingstjänsten skjuts upp tills villkoren, enligt den behöriga myndigheten för dataförmedlingstjänsters begäran, har ändrats, eller

c)	kräva att tillhandahållandet av dataförmedlingstjänsten upphör om allvarliga eller upprepade överträdelser inte har åtgärdats trots utfärdat meddelande enligt punkt 3.

Den behöriga myndigheten för dataförmedlingstjänster ska begära att kommissionen avlägsnar leverantören av dataförmedlingstjänster från registret över leverantörer av dataförmedlingstjänster när den har utfärdat föreläggande om att tillhandahållandet av dataförmedlingstjänsten ska upphöra i enlighet med första stycket c.

Om en leverantör av dataförmedlingstjänster åtgärdar överträdelserna, ska den leverantören av dataförmedlingstjänster på nytt anmäla detta till den behöriga myndigheten för dataförmedlingstjänster. Den behöriga myndigheten för dataförmedlingstjänster ska underrätta kommissionen om varje förnyad anmälan.

5. Om en leverantör av dataförmedlingstjänster som inte är etablerad i unionen inte utser en rättslig företrädare, eller om den rättsliga företrädaren inte på begäran av den behöriga myndigheten för dataförmedlingstjänster lämnar de nödvändiga upplysningar som på ett övergripande sätt visar efterlevnad av denna förordning, ska den behöriga myndigheten för dataförmedlingstjänster ha befogenhet att skjuta upp inledandet av eller att avbryta tillhandahållandet av dataförmedlingstjänsten tills en rättslig företrädare utses eller nödvändig information lämnas.

6. De behöriga myndigheterna för dataförmedlingstjänster ska utan dröjsmål underrätta den berörda leverantören av dataförmedlingstjänster om de åtgärder som vidtas i enlighet med punkterna 4 och 5, och de skäl som de baseras på samt de nödvändiga åtgärder som ska vidtas för att åtgärda bristerna i fråga, och ska fastställa en rimlig tidsperiod, vilken ska vara högst 30 dagar, för leverantören av dataförmedlingstjänsters uppfyllande av dessa krav.

7. Om en leverantör av dataförmedlingstjänster har sitt huvudsakliga verksamhetsställe eller sin rättsliga företrädare i en medlemsstat, men tillhandahåller tjänster i andra medlemsstater, ska den behöriga myndigheten för dataförmedlingstjänster i den medlemsstat där det huvudsakliga verksamhetsstället är belägen eller där den rättsliga företrädaren är lokaliserad och de behöriga myndigheterna för dataförmedlingstjänster i dessa andra medlemsstater samarbeta och bistå varandra. Detta bistånd och samarbete får omfatta informationsutbyte mellan de berörda behöriga myndigheterna för dataförmedlingstjänster för utförande av deras uppgifter inom ramen för denna förordning och motiverade begäranden om att de tillsynsåtgärder som avses i denna artikel ska vidtas.

Om en behörig myndighet för dataförmedlingstjänster i en medlemsstat begär bistånd från en myndighet för dataförmedlingstjänster i annan medlemsstat ska den lämna en motiverad begäran. Den behöriga myndigheten för dataförmedlingstjänster ska, i fall av en sådan begäran, lämna ett svar utan dröjsmål och inom en tidsram som står i proportion till hur brådskande begäran är.

All information som utbyts inom ramen för assistans som begärs och tillhandahålls enligt denna punkt får användas endast med avseende på det ärende för vilket den har begärts.

Artikel 15

Undantag

Detta kapitel ska inte tillämpas på erkända dataaltruismorganisationer eller andra icke-vinstdrivande enheter i den mån som deras verksamhet består i att samla in data för ändamål av allmänt intresse som tillhandahålls av fysiska eller juridiska personer baserat på dataaltruism, såvida inte dessa organisationer och enheter syftar till att upprätta affärsförbindelser mellan, å ena sidan, ett obestämt antal registrerade och datainnehavare och, å andra sidan, dataanvändare.

KAPITEL IV

Dataaltruism

Artikel 17

Offentliga register över erkända dataaltruismorganisationer

1. Varje behörig myndighet för registrering av dataaltruismorganisationer ska föra och regelbundet uppdatera ett offentligt nationellt register över erkända dataaltruismorganisationer.

2. Kommissionen ska i informationssyfte hålla ett offentligt unionsregister över erkända dataaltruismorganisationer. Förutsatt att en enhet är registrerad i det offentliga nationella registret över erkända dataaltruismorganisationer i enlighet med artikel 18 får den använda beteckningen ”dataaltruismorganisation som är erkänd i unionen” i sin skriftliga och muntliga kommunikation samt en gemensam logotyp.

För att säkerställa att erkända dataaltruismorganisationer lätt kan identifieras i hela unionen ska kommissionen genom genomförandeakter fastställa utformningen för den gemensamma logotypen. Erkända dataaltruismorganisationer ska tydligt visa den gemensamma logotypen på alla publikationer online och offline som anknyter till deras dataaltruismverksamhet. Den gemensamma logotypen ska åtföljas av en QR-kod med en länk till det offentliga unionsregistret över erkända dataaltruismorganisationer.

Dessa genomförandeakter ska antas i enlighet med det rådgivande förfarande som avses i artikel 33.2.

Artikel 18

Allmänna krav för registrering

För att kvalificera sig för registrering i ett offentligt nationellt register över erkända dataaltruismorganisationer ska en enhet

a)	utföra dataaltruismåtgärder,

b)	vara en juridisk person som bildats i enlighet med nationell rätt för att uppfylla mål av allmänt intresse, som det föreskrivs i nationell rätt i förekommande fall,

c)	bedriva verksamhet på icke-vinstdrivande grund och vara rättsligt fristående från alla enheter som bedriver verksamhet på vinstdrivande grund,

d)	utföra sina dataaltruismåtgärder via en struktur som är funktionellt fristående från dess övriga åtgärder.

e)	följa den regelbok som avses i artikel 22.1 senast 18 månader efter dagen för ikraftträdandet av de delegerade akter som avses i den punkten.

Artikel 19

Registrering av erkända dataaltruismorganisationer

1. En enhet som uppfyller kraven i artikel 18 får lämna in en ansökan om registrering i det offentliga nationella registret över erkända dataaltruismorganisationer i den medlemsstat där den är etablerad.

2. En enhet som uppfyller kraven i artikel 18 och har verksamhetsställen i fler än en medlemsstat får inlämna en ansökan om registrering i det offentliga nationella registret över erkända dataaltruismorganisationer i den medlemsstat där den har sitt huvudsakliga verksamhetsställe.

3. En enhet som uppfyller kraven i artikel 18 men som inte är etablerad i unionen ska utse en rättslig företrädare i en av de medlemsstater i vilka dataaltruismtjänsterna erbjuds.

För att säkerställa efterlevnaden av denna förordning ska enheten ge den rättslige företrädaren uppdraget att utöver eller i stället för denna kunna kontaktas av behöriga myndigheter för registrering av dataaltruismorganisationer eller registrerade och datainnehavare i alla frågor som rör den enheten. Den rättslige företrädaren ska samarbeta med de behöriga myndigheterna för registrering av dataaltruismorganisationer och, på begäran, för dessa på ett övergripande sätt påvisa de åtgärder som vidtagits och bestämmelser som införts av enheten för att säkerställa överensstämmelse med denna förordning.

enheten ska anses omfattas av jurisdiktionen i den medlemsstat där den rättsliga företrädaren finns. En sådan enhet får lämna in en ansökan om r registrering i det offentliga nationella registret över erkända dataaltruismorganisationer i den medlemsstaten. Att enheten utser en rättslig företrädare ska inte påverka rättsliga åtgärder som kan vidtas mot enheten.

4. De ansökningar om registrering som avses i punkterna 1, 2 och 3 ska innehålla följande uppgifter:

a)	enhetens namn.

b)	enhetens rättsliga status, form och, om enheten är registrerad i ett offentligt nationellt register, registreringsnummer.

c)	enhetens stadgar, i förekommande fall.

d)	enhetens inkomstkällor.

e)	Adressen till enhetens huvudsakliga verksamhetsställe i unionen, i förekommande fall, och, om tillämpligt, eventuella underordnade filialer i en annan medlemsstat, eller till den rättsliga företrädaren.

f)	En offentlig webbplats med fullständig och uppdaterad information om enheten och verksamheten, inbegripet åtminstone den information som avses i leden a, b, d, e och h.

g)	enhetens kontaktpersoner och kontaktuppgifter.

h)	De mål av allmänt intresse som enheten avser att främja när den samlar in data.

i)	Den typ av data som enheten avser att kontrollera eller behandla och, när det gäller personuppgifter, en angivelse av kategorierna av personuppgifter.

j)	Alla andra handlingar som visar att kraven i artikel 18 uppfylls.

5. När enheten har lämnat all nödvändig information i enlighet med punkt 4, och efter det att den behöriga myndigheten för registrering av dataaltruismorganisationer har utvärderat ansökan om registrering och konstaterat att enheten uppfyller kraven i artikel 18, ska den registrera enheten i det offentliga nationella registret över erkända dataaltruismorganisationer inom tolv veckor efter mottagandet av ansökan om registrering. Registreringen ska gälla i alla medlemsstater.

Den behöriga myndigheten för registrering av dataaltruismorganisationer ska underrätta kommissionen om alla registreringar. Kommissionen ska föra in registreringarna i det offentliga unionsregistret över erkända dataaltruismorganisationer.

6. De uppgifter som avses i punkt 4 a, b, f, g och h ska offentliggöras i det relevanta offentliga nationella registret över erkända dataaltruismorganisationer.

7. En erkänd dataaltruismorganisation ska underrätta den relevanta behöriga myndigheten för registrering av dataaltruismorganisationer om alla ändringar av de uppgifter som tillhandahållits i enlighet med punkt 4 inom 14 dagar från dagen för ändringen.

Den behöriga myndigheten för registrering av dataaltruismorganisationer ska utan dröjsmål underrätta kommissionen om varje sådan underrättelse på elektronisk väg. På grundval av en sådan underrättelse ska kommissionen utan dröjsmål uppdatera det offentliga unionsregistret över erkända dataaltruismorganisationer.

Artikel 20

Transparenskrav

1. En erkänd dataaltruismorganisation ska föra fullständiga och noggranna register över

a)	alla fysiska eller juridiska personer som getts möjlighet att behandla data som innehas av den erkända dataaltruismorganisationen, och deras kontaktuppgifter,

b)	datum eller varaktighet för behandlingen av personuppgifter eller användning av icke-personuppgifter,

c)	behandlingens ändamål som det angetts av den fysiska eller juridiska person som getts möjlighet till behandling,

d)	avgifter som betalas av fysiska eller juridiska personer som behandlar data, i förekommande fall.

2. En erkänd dataaltruismorganisation ska utarbeta och till den relevanta behöriga myndigheten för registrering av dataaltruismorganisationer sända en årlig verksamhetsrapport som ska innehålla minst följande:

a)	Information om den erkända dataaltruismorganisationens verksamhet.

b)	En beskrivning av hur de mål av allmänt intresse som föranledde insamlingen av data har främjats under det aktuella budgetåret.

En förteckning över alla fysiska och juridiska personer som tillåtits att behandla de data som enheten innehar, inbegripet en sammanfattande beskrivning av de mål av allmänt intresse som är tänkta att uppnås genom sådan databehandling och en beskrivning av de tekniska metoder som använts, inbegripet en beskrivning av de tekniker som använts för skyddet av personlig integritet och dataskydd.

d)	En sammanfattning av resultaten av de databehandlingar som tillåtits av den erkända dataaltruismorganisationen, i förekommande fall.

e)	Information om den erkända dataaltruismorganisationens inkomstkällor, i synnerhet alla intäkter från beviljandet av tillgång till data, och om utgifter.

Artikel 22

Regelbok

1. Kommissionen ska anta delegerade akter i enlighet med artikel 32 med avseende på att komplettera denna förordning genom skapandet av en regelbok som fastställer

lämpliga informationskrav som säkerställer att registrerade och datainnehavare, innan ett samtycke eller tillstånd för dataaltruism ges, tillhandahålls tillräckligt utförlig, tydlig och transparent information om användningen av data, verktygen för givande och återkallande av samtycke eller tillstånd och de åtgärder som vidtagits för att undvika missbruk av de data som delas med dataaltruismorganisationen,

b)	lämpliga tekniska och säkerhetsmässiga krav för att säkerställa en lämplig nivå av säkerhet för lagringen och behandlingen av data samt för verktygen för givande och återkallande av samtycke eller tillstånd,

c)	kommunikationsfärdplaner med multidisciplinär ansats för att öka medvetenheten om dataaltruism, om erhållen status som ”dataaltruismorganisation som är erkänd i unionen” och om regelboken bland berörda parter, särskilt datainnehavare och registrerade som kan tänka sig att dela med sig av sina data,

d)	rekommendationer om relevanta interoperabilitetsstandarder.

2. Den regelbok som avses i punkt 1 ska utarbetas i nära samarbete med dataaltruismorganisationer och berörda parter.

Artikel 24

Övervakning av efterlevnaden

1. De behöriga myndigheterna för registrering av dataaltruismorganisationer ska övervaka och utöva tillsyn över att erkända dataaltruismorganisationer uppfyller de krav som fastställs i detta kapitel. Den behöriga myndigheten för registrering av dataaltruismorganisationer får även övervaka och utöva tillsyn över sådana erkända dataaltruismorganisationers efterlevnad på grundval av en begäran från en fysisk eller juridisk person.

2. De behöriga myndigheterna för registrering av dataaltruismorganisationer ska ha befogenhet att från erkända dataaltruismorganisationer begära sådan information som är nödvändig för att kontrollera att kraven i detta kapitel följs. Varje begäran om information ska stå i proportion till uppgiftens utförande och innehålla en motivering.

3. I de fall då den behöriga myndigheten för registrering av dataaltruismorganisationer finner att en erkänd dataaltruismorganisation inte uppfyller ett eller flera av kraven i detta kapitel ska den meddela den erkända dataaltruismorganisationen dessa iakttagelser och ge den möjlighet att yttra sig, inom 30 dagar efter mottagandet av meddelandet.

4. Den behöriga myndigheten för registrering av dataaltruismorganisationer ska ha befogenhet att kräva att den överträdelse som avses i punkt 3 upphör, antingen omedelbart eller inom en rimlig tidsperiod, och ska vidta ändamålsenliga och proportionella åtgärder för att säkerställa efterlevnaden.

5. Om en erkänd dataaltruismorganisation inte uppfyller ett eller flera krav i detta kapitel ens efter att den i enlighet med punkt 3 har underrättats av den behöriga myndigheten för registrering av dataaltruismorganisationer, ska den erkända dataaltruismorganisationen

a)	förlora sin rätt att använda beteckningen ”dataaltruismorganisation som är erkänd i unionen” i sin skriftliga och muntliga kommunikation,

b)	avlägsnas från det relevanta offentliga nationella registret över erkända dataaltruismorganisationer och det offentliga unionsregistret över erkända dataaltruismorganisationer.

Ett beslut om att återkalla rätten att använda beteckningen ”dataaltruismorganisation om är erkänd i unionen” enligt första stycket led a ska offentliggöras av den behöriga myndigheten för registrering av dataaltruismorganisationer.

6. Om en enhet som registreras i det offentliga nationella registret över erkända dataaltruismorganisationer har sitt huvudsakliga verksamhetsställe eller sin rättsliga företrädare i en medlemsstat, men är aktiv i andra medlemsstater, ska den behöriga myndigheten för registrering av dataaltruismorganisationer i den medlemsstat där det huvudsakliga verksamhetsstället är beläget eller där den rättsliga företrädaren är lokaliserad och de behöriga myndigheterna för registrering av dataaltruismorganisationer i dessa andra medlemsstater samarbeta och bistå varandra. Detta bistånd och samarbete får omfatta informationsutbyte mellan de berörda behöriga myndigheterna för registrering av dataaltruismorganisationer för utförande av deras uppgifter inom ramen för denna förordning och motiverade begäranden om att de åtgärder som avses denna artikel ska vidtas.

Om en behörig myndighet för registrering av dataaltruismorganisationer i en medlemsstat begär bistånd från en behörig myndighet för registrering av dataaltruismorganisationer i en annan medlemsstat ska den lämna en motiverad begäran. Den behöriga myndigheten för registrering av dataaltruismorganisationer ska i fall av en sådan begäran svara på denna utan dröjsmål och inom en tidsram som står i proportion till hur brådskande begäran är.

All information som utbyts inom ramen för assistans som begärs och tillhandahålls enligt denna punkt får användas endast med avseende på det ärende för vilket den har begärts.

Artikel 25

Europeiskt formulär för samtycke till dataaltruism

1. För att främja insamling av data baserat på dataaltruism ska kommissionen anta genomförandeakter om upprättande och utarbetande av ett europeiskt formulär för samtycke till dataaltruism, efter samråd med Europeiska dataskyddsstyrelsen och med beaktande av rådgivning från Europeiska datainnovationsstyrelsen samt med vederbörligt deltagande av berörda parter. Detta formulär ska göra det möjligt att erhålla samtycke eller tillstånd i alla medlemsstater och i ett enhetligt format. Dessa genomförandeakter ska antas i enlighet med det rådgivande förfarande som avses i artikel 33.2.

2. Det europeiska formuläret för samtycke till dataaltruism ska baseras på moduler, så att det kan anpassas till enskilda sektorer och olika syften.

3. När personuppgifter tillhandahålls ska det europeiska formuläret för samtycke till dataaltruism säkerställa att de registrerade kan ge och dra tillbaka sitt samtycke till en specifik databehandlingsoperation i enlighet med kraven i förordning (EU) 2016/679.

4. Formuläret ska tillhandahållas på ett sådant sätt att det kan tryckas på papper, är lättförståeligt och även finns i elektronisk, maskinläsbar form.

KAPITEL V

Behöriga myndigheter och förfarandebestämmelser

Artikel 30

Europeiska datainnovationsstyrelsens uppgifter

Europeiska datainnovationsstyrelsen ska ha följande uppgifter:

a)	Att rådge och bistå kommissionen när det gäller utarbetandet av en konsekvent praxis för offentliga myndigheter och behöriga organ enligt 7.1 vid behandlingen av ansökningar om vidareutnyttjande av de kategorier av data som avses i artikel 3.1.

b)	Att rådge och bistå kommissionen när det gäller utvecklingen av en enhetlig praxis för dataaltruism i hela unionen.

Att rådge och bistå kommissionen när det gäller utarbetandet av en konsekvent praxis för de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registreringen av dataaltruismorganisationer vad gäller tillämpningen av krav för leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer.

Att rådge och bistå kommissionen när det gäller utarbetandet av konsekventa riktlinjer för hur man inom ramen för denna förordning bäst ska skydda kommersiellt känsliga data som inte är personuppgifter, särskilt företagshemligheter, men även icke-personuppgifter med immaterialrättsligt skyddat innehåll, mot olaglig åtkomst med risker för stöld av immateriella rättigheter eller industrispionage.

e)	Att rådge och bistå kommissionen när det gäller utarbetandet av konsekventa riktlinjer för cybersäkerhetskrav vid utbyte och lagring av data.

Att rådge kommissionen, särskilt med hänsyn till bidrag från standardiseringsorganisationer, om prioriteringsordningen för sektorsövergripande standarder som ska användas och utvecklas för dataanvändning och sektorsöverskridande datadelning mellan framväxande gemensamma europeiska dataområden, sektorsöverskridande jämförelse och utbyte av bästa praxis när det gäller sektorskrav avseende säkerhet samt förfaranden för tillgång, med beaktande av sektorsspecifik standardiseringsverksamhet, framför allt för att klarlägga och särskilja vilka standarder och praxisformer som är sektorsöverskridande och vilka som är sektorsspecifika.

Att bistå kommissionen, särskilt med hänsyn till bidrag från standardiseringsorganisationer, med att ta itu med fragmenteringen av den inre marknaden och av dataekonomin på den inre marknaden genom att förbättra den gränsöverskridande, sektorsövergripande interoperabiliteten för data och datadelningstjänster mellan olika sektorer och områden, baserat på befintliga europeiska, internationella eller nationella standarder, bland annat med syftet att uppmuntra inrättandet av gemensamma europeiska dataområden.

Att föreslå riktlinjer för gemensamma europeiska dataområden, nämligen ändamåls- eller sektorsspecifika eller sektoröverskridande interoperabla ramar med allmänna standarder och praxisformer för delning eller gemensam behandling av data bl.a. för utveckling av nya produkter och tjänster, vetenskaplig forskning eller civilsamhällsinitiativ, sådana allmänna standarder och praxisformer tar hänsyn till befintliga standarder, följer konkurrensreglerna och säkerställer icke-diskriminerande tillgång för alla deltagare, för att underlätta datadelning i unionen och utnyttja potentialen i befintliga och framtida dataområden, som bland annat tar upp

sektorsövergripande standarder som ska användas och utvecklas för dataanvändning och sektorsöverskridande datadelning, sektorsöverskridande jämförelse och utbyte av bästa praxis när det gäller sektorskrav avseende säkerhet samt förfaranden för tillgång, med beaktande av sektorsspecifik standardiseringsverksamhet, framför allt för att klarlägga och särskilja vilka standarder och praxisformer som är sektorsöverskridande och vilka som är sektorsspecifika,

ii)	krav för att motverka hinder för marknadstillträde och för att undvika inlåsningseffekter, i syfte att säkerställa rättvis konkurrens och interoperabilitet,

iii)	tillräckligt skydd för lagliga dataöverföringar till tredjeländer, däribland skyddsåtgärder mot överföringar som är förbjudna enligt unionsrätten,

iv)	tillräcklig och icke-diskriminerande representation av berörda parter i förvaltningen av gemensamma europeiska dataområden,

v)	efterlevnad av cybersäkerhetskrav i enlighet med unionsrätten.

i)	Att underlätta samarbetet mellan medlemsstaterna om fastställandet av harmoniserade villkor som möjliggör vidareutnyttjande av de kategorier av data som avses i artikel 3.1 och som innehas av offentliga myndigheter överallt på den inre marknaden.

Att underlätta samarbetet mellan behöriga myndigheter för dataförmedlingstjänster och behöriga myndigheter för registrering av dataaltruismorganisationer, genom kapacitetsuppbyggnad och informationsutbyte, i synnerhet genom att fastställa metoder för ett effektivt utbyte av information som rör förfarandet för anmälan av leverantörer av dataförmedlingstjänster och registreringen och övervakningen av erkända dataaltruismorganisationer, inbegripet samordning avseende fastställande av avgifter eller sanktioner, samt underlätta samarbetet mellan behöriga myndigheter för dataförmedlingstjänster och behöriga myndigheter för registrering av dataaltruismorganisationer avseende internationell tillgång till och överföring av data.

k)	Att rådge och bistå kommissionen när det gäller utvärderingen av huruvida de genomförandeakter som avses i artikel 5.11 och 5.12 ska antas.

l)	Att rådge och bistå kommissionen när det gäller utarbetande av det europeiska formuläret för samtycke till dataaltruism i enlighet med artikel 25.1.

m)	Att rådge kommissionen om förbättring av det internationella regelverket för icke-personuppgifter, inbegripet standardisering.

KAPITEL VII

internationell tillgång och överföring

Artikel 31

Internationell tillgång och överföring

1. Den offentliga myndighet, den fysiska eller juridiska person som beviljats rätt att vidareutnyttja data i enlighet med kapitel II, leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen ska vidta alla rimliga tekniska, rättsliga och organisatoriska åtgärder, inbegripet kontraktsmässiga arrangemang, för att förhindra internationell överföring av eller statlig tillgång till icke-personuppgifter som innehas i unionen, om en sådan överföring eller tillgång skulle strida mot unionsrätten eller den nationella rätten i den berörda medlemsstaten, utan att detta påverkar punkt 2 eller 3.

2. Beslut eller domar från en domstol i ett tredje land och beslut från förvaltningsmyndigheter i ett tredjeland där det krävs att en offentlig myndighet, en fysisk eller juridisk person som beviljas rätten att vidareutnyttja data i enlighet med kapitel II, en leverantör av dataförmedlingstjänster eller en erkänd dataaltruismorganisation överför icke-personuppgifter som omfattas av tillämpningsområdet för denna förordning från unionen eller ger tillgång till sådana icke-personuppgifter som innehas i unionen får endast erkännas eller genomföras på något som helst sätt om det grundar sig på en internationell överenskommelse, såsom ett fördrag om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen, eller ett sådant avtal mellan det begärande tredjelandet och en medlemsstat.

3. I de fall då, i avsaknad av en internationell överenskommelse som avses i punkt 2 i denna artikel, en offentlig myndighet, en fysisk eller juridisk person som i enlighet med kapitel II beviljats rättigheten att vidareutnyttja data, en leverantör av dataförmedlingstjänster eller en erkänd dataaltruismorganisation är adressat för ett beslut eller en dom från en domstol i ett tredje land eller ett beslut från en förvaltningsmyndighet i ett tredjeland om att överföra icke-personuppgifter som omfattas av tillämpningsområdet för denna förordning från unionen eller ge tillgång till sådana icke-personuppgifter som innehas i unionen, och efterlevnaden av ett sådant beslut skulle riskera att medföra att adressaten bryter mot unionsrätten eller den nationella rätten i den berörda medlemsstaten, ska tredjelandsmyndighetens överföring av eller tillgång till sådana data endast äga rum om:

tredjelandets system kräver att skälen till och proportionaliteten hos sådana beslut eller domar ska fastställas, och föreskriver att sådana beslut eller domar är av specifik art, exempelvis genom att det fastställs en tillräckligt stark koppling till vissa misstänkta personer eller till överträdelser,

b)	adressatens motiverade invändning är föremål för en granskning av en behörig domstol i tredjelandet, och

den behöriga domstol i tredjelandet som utfärdar beslutet eller domen eller granskar en förvaltningsmyndighets beslut enligt det tredjelandets rätt har befogenhet att ta vederbörlig hänsyn till de relevanta rättsliga intressena för leverantören av de data som skyddas av unionsrätten eller den nationella rätten i den berörda medlemsstaten.

4. Om de villkor som fastställs i punkterna 2 och 3 är uppfyllda ska den offentliga myndigheten, den fysiska eller juridiska person som beviljats rätt att vidareutnyttja data i enlighet med kapitel II, leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen tillhandahålla den minimimängd data som är tillåten till följd av en begäran, baserat på en rimlig tolkning av denna begäran.

5. Den offentliga myndigheten, den fysiska eller juridiska person som i enlighet med kapitel II beviljats rättigheten att vidareutnyttja data, leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen ska underrätta datainnehavaren om förekomsten av en begäran från en förvaltningsmyndighet i ett tredjeland om att få tillgång till dess data, innan den tillmötesgår den begäran, förutom då denna begäran avser brottsbekämpande ändamål och så länge som detta är nödvändigt för att skydda brottsbekämpningens effektivitet.

KAPITEL VIII

Delegering och kommittéförfarande

Artikel 32

Utövande av delegeringen

1. Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2. Den befogenhet att anta delegerade akter som avses i artiklarna 5.13 och 22.1 ges till kommissionen tills vidare från och med den 23 juni 2022.

3. Den delegering av befogenhet som avses i artiklarna 5.13 och 22.1 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4. Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5. Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

6. En delegerad akt som antas enligt artikel 5.13 eller 22.1 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

Artikel 37

Övergångsbestämmelser

enheter som tillhandahåller de dataförmedlingstjänster som avses i artikel 10 den 23 juni 2022 ska fullgöra de skyldigheter som fastställs i kapitel III senast den 24 september 2025.

Artikel 38

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 24 september 2023.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 30 maj 2022.

På Europaparlamentets vägnar

R. METSOLA

Ordförande

På rådets vägnar

B. LE MAIRE

Ordförande

(1) EUT C 286, 16.7.2021, s. 38.

(2) Europaparlamentets ståndpunkt av den 6 april 2022 (ännu inte offentliggjord i EUT) och rådets beslut av den 16 maj 2022.

(3) Kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36).

(4) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

(5) Europaparlamentets och rådets förordning (EU) 2019/1239 av den 20 juni 2019 om inrättande av en europeisk kontaktpunkt för sjöfart och om upphävande av direktiv 2010/65/EU (EUT L 198, 25.7.2019, s. 64).

(6) Europaparlamentets och rådets förordning (EU) 2020/1056 av den 15 juli 2020 om elektronisk godstransportinformation (EUT L 249, 31.7.2020, s. 33).

(7) Europaparlamentets och rådets direktiv 2010/40/EU av den 7 juli 2010 om ett ramverk för införande av intelligenta transportsystem på vägtransportområdet och för gränssnitt mot andra transportslag (EUT L 207, 6.8.2010, s. 1).

(8) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).

(9) Europaparlamentets och rådets förordning (EU) 2018/858 av den 30 maj 2018 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG (EUT L 151, 14.6.2018, s. 1).

(10) Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (EUT L 303, 28.11.2018, s. 59).

(11) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

(12) Europaparlamentets och rådets direktiv 2001/29/EG av den 22 maj 2001 om harmonisering av vissa aspekter av upphovsrätt och närstående rättigheter i informationssamhället (EGT L 167, 22.6.2001, s. 10).

(13) Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter (EUT L 157, 30.4.2004, s. 45).

(14) Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire) (EUT L 108, 25.4.2007, s. 1).

(15) Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 5.6.2015, s. 73).

(16) Europaparlamentets och rådets direktiv (EU) 2016/943 av den 8 juni 2016 om skydd mot att icke röjd know-how och företagsinformation (företagshemligheter) olagligen anskaffas, utnyttjas och röjs (EUT L 157, 15.6.2016, s. 1).

(17) Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt (EUT L 169, 30.6.2017, s. 46).

(18) Europaparlamentets och rådets direktiv (EU) 2019/790 av den 17 april 2019 om upphovsrätt och närstående rättigheter på den digitala inre marknaden och om ändring av direktiven 96/9/EG och 2001/29/EG (EUT L 130, 17.5.2019, s. 92).

(19) Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (EUT L 172, 26.6.2019, s. 56).

(20) Europaparlamentets och rådets direktiv 2009/81/EG av den 13 juli 2009 om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet och om ändring av direktiven 2004/17/EG och 2004/18/EG (EUT L 216, 20.8.2009, s. 76).

(21) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(22) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(23) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(24) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(25) Kommissionens förordning (EU) nr 557/2013 av den 17 juni 2013 om tillämpning av Europaparlamentets och rådets förordning (EG) nr 223/2009 om europeisk statistik vad gäller tillgång till konfidentiella uppgifter för vetenskapliga syften och om upphävande av kommissionens förordning (EG) nr 831/2002 (EUT L 164, 18.6.2013, s. 16).

(26) Europaparlamentets och rådets direktiv 96/9/EG av den 11 mars 1996 om rättsligt skydd för databaser (EGT L 77, 27.3.1996, s. 20).

(27) Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84).

(28) Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

(29) Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (EUT L 295, 21.11.2018, s. 1).

(30) EUT L 123, 12.5.2016, s. 1.

(31) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(32) Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer (EUT L 327, 2.12.2016, s. 1).

(33) Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (EUT L 151, 7.6.2019, s. 70).

whereas

keyboard_tab Digital Governance Act 2022/0868 SV

Digital Governance Act 2022/0868 SV