Prop. 54 LS (2025–2026)

Lov om datadeling og dataforvaltning (dataforvaltningsloven) og samtykke til godkjenning av EØS-komiteens beslutninger om innlemmelse i EØS-avtalen av direktiv (EU) 2019/1024 (åpne data-direktivet) og forordning (EU) 2022/868 (dataforvaltningsforordningen) og deltakelse i EØS-komiteens beslutning om delegert kommisjonsforordning (EU) 2023/138 (HVD-forordningen)

Til innholdsfortegnelse

Digitaliserings- og forvaltningsdepartementet

Neste kapittel

Forrige kapittel

2 Europaparlaments- og rådsforordning (EU) 2022/868 av 30. mai 2022 om europeisk dataforvaltning og om endring av forordning (EU) 2018/1724 (dataforvaltningsforordningen)

EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR

under henvisning til traktaten om Den europeiske unions virkemåte, særlig artikkel 114,

under henvisning til forslag fra Europakommisjonen,

etter oversending av utkast til regelverksakt til de nasjonale parlamentene,

under henvisning til uttalelse fra Den europeiske økonomiske og sosiale komité1,

etter samråd med Regionkomiteen,

etter den ordinære regelverksprosedyren2 og

ut fra følgende betraktninger:

1) I traktaten om Den europeiske unions virkemåte (TEUV) er det fastsatt at det skal opprettes et indre marked og innføres en ordning som sikrer at konkurransen på det indre marked ikke vris. Fastsettelsen av felles regler og praksis i medlemsstatene for utarbeiding av en ramme for dataforvaltning bør bidra til at disse formålene nås, og til at de grunnleggende rettighetene overholdes fullt ut. Det bør også sikre at Unionens åpne, strategiske uavhengighet styrkes, og at fri flyt av data internasjonalt fremmes.
2) Det siste tiåret har den digitale teknologien forandret økonomien og samfunnet og påvirket alle virksomhetssektorer og dagliglivet. Kjernen i denne omstillingen er data: Datadrevet innovasjon vil medføre enorme fordeler for både unionsborgerne og økonomien, for eksempel gjennom bedre og persontilpasset medisin, ny mobilitet og bidrag til kommisjonsmeldingen av 11. desember 2019 om den europeiske grønne given. For at alle unionsborgere kan bli en del av den datadrevne økonomien, må det legges særlig vekt på å redusere den digitale kløften, styrke kvinners deltakelse i dataøkonomien og fremme avansert europeisk sakkunnskap i teknologisektoren. Dataøkonomien må bygges på en måte som gjør det mulig å blomstre for foretak, særlig svært små, små og mellomstore bedrifter (SMB) som definert i vedlegget til kommisjonsrekommandasjon 2003/361/EF3, og nyetablerte foretak, der nøytral datatilgang, dataportabilitet og interoperabilitet sikres og fastlåsingseffekter unngås. I sin melding av 19. februar 2020 om en europeisk strategi for data (den «europeiske datastrategien») har Kommisjonen beskrevet visjonen om et felles europeisk dataområde, det vil si et indre marked for data der data kan brukes i samsvar med gjeldende lovgivning uansett hvor i Unionen de lagres fysisk, noe som blant annet kan være avgjørende for den raske utviklingen av teknologi for kunstig intelligens.

Kommisjonen har også oppfordret til fri og sikker dataflyt med tredjeland, med unntak og begrensninger som gjelder offentlig sikkerhet, offentlig orden og andre legitime formål for Unionens politikk, i samsvar med internasjonale forpliktelser, herunder grunnleggende rettigheter. For å virkeliggjøre denne visjonen foreslo Kommisjonen å opprette domenespesifikke felles europeiske dataområder for datadeling og datasamling. I den europeiske datastrategien foreslås det at slike felles europeiske dataområder kan omfatte områder som helse, mobilitet, produksjon, finansielle tjenester, energi eller landbruk, eller en kombinasjon av slike områder, for eksempel energi og klima, samt tematiske områder som den europeiske grønne given eller europeiske dataområder for offentlig forvaltning eller kompetanse. Felles europeiske dataområder bør gjøre data søkbare, tilgjengelige, interoperable og mulige å viderebruke («FAIR-dataprinsippene») og samtidig sikre et høyt cybersikkerhetsnivå. Når det er like konkurransevilkår i dataøkonomien, konkurrerer foretakene om tjenestenes kvalitet, ikke om mengden data som de kontrollerer. For å utforme, skape og opprettholde like konkurransevilkår i dataøkonomien trengs det en forsvarlig forvaltning der relevante berørte parter i et felles europeisk dataområde må delta og være representert.
3) Det er nødvendig å bedre vilkårene for datadeling på det indre marked ved å skape en harmonisert ramme for utveksling av data og fastsette visse grunnleggende krav til dataforvaltning, med særlig vekt på å lette samarbeidet mellom medlemsstatene. Denne forordningen bør ha som mål å videreutvikle det grenseløse digitale indre marked og et datasamfunn og en dataøkonomi som setter mennesket i sentrum, og som er pålitelig og sikkert. Med sektorspesifikk unionsrett kan det avhengig av sektorens særlige forhold utvikles, tilpasses og foreslås nye og supplerende deler, for eksempel den planlagte unionsretten om det europeiske helsedataområdet og om tilgang til kjøretøydata. Dessuten er visse sektorer av økonomien allerede regulert av sektorspesifikk unionsrett som omfatter regler for deling av eller tilgang til data over landegrensene og i Unionen, for eksempel europaparlaments- og rådsdirektiv 2011/24/EU4 i forbindelse med det europeiske helsedataområdet og relevante regelverksakter på transportområdet, for eksempel europaparlaments- og rådsforordning (EU) 2019/12395 og (EU) 2020/10566 og europaparlaments- og rådsdirektiv 2010/40/EU7 i forbindelse med det europeiske mobilitetsdataområdet.

Denne forordningen bør derfor ikke berøre europaparlaments- og rådsforordning (EF) nr. 223/20098, (EU) 2018/8589og (EU) 2018/180710 samt direktiv 2000/31/EF11, 2001/29/EF12, 2004/48/EF13, 2007/2/EF14, 2010/40/EU, (EU) 2015/84915, (EU) 2016/94316, (EU) 2017/113217, (EU) 2019/79018 og (EU) 2019/102419 og annen sektorspesifikk unionsrett som regulerer tilgang til og viderebruk av data. Denne forordningen bør ikke berøre unionsretten og nasjonal rett om tilgang til og bruk av data for å forebygge, etterforske, oppdage eller rettsforfølge straffbare forhold eller iverksette strafferettslige sanksjoner samt det internasjonale samarbeidet i denne forbindelse.

Denne forordningen bør ikke berøre medlemsstatenes myndighetsområder med hensyn til den virksomheten som gjelder offentlig sikkerhet, forsvar og nasjonal sikkerhet. Viderebruk av data som er beskyttet av slike grunner og innehas av offentlige organer, herunder data fra anskaffelsesprosedyrer som er omfattet av europaparlaments- og rådsdirektiv 2009/81/EF20, bør ikke være omfattet av denne forordningen. Det bør innføres en horisontal ordning for viderebruk av visse kategorier av beskyttede data som innehas av offentlige organer, og levering av dataformidlingstjenester og tjenester basert på dataaltruisme i Unionen. De forskjellige sektorenes særlige kjennetegn kan kreve at det utvikles sektorspesifikke databaserte systemer, og at de samtidig bygger på kravene i denne forordningen. Tilbydere av dataformidlingstjenester som oppfyller kravene i denne forordningen, bør kunne bruke betegnelsen «tilbyder av dataformidlingstjenester som er anerkjent i Unionen». Juridiske personer som ønsker å støtte formål av allmenn interesse ved å stille til rådighet relevante data basert på dataaltruisme i stor skala, og som oppfyller kravene i denne forordningen, bør kunne registrere seg som og bruke betegnelsen «dataaltruismeorganisasjon som er anerkjent i Unionen». Dersom det i sektorspesifikk unionsrett eller nasjonal rett kreves at offentlige organer, slike tilbydere av dataformidlingstjenester eller slike juridiske personer (anerkjente dataaltruismeorganisasjoner) oppfyller andre særlige tekniske, administrative eller organisatoriske krav, herunder gjennom en godkjenningseller sertifiseringsordning, bør bestemmelsene i den sektorspesifikke unionsretten eller nasjonale retten også gjelde.
4) Denne forordningen bør ikke berøre europaparlaments- og rådsforordning (EU) 2016/67921 og (EU) 2018/172522 og europaparlaments- og rådsdirektiv 2002/58/EF23 og (EU) 2016/68024 og tilsvarende bestemmelser i nasjonal rett, herunder dersom personopplysninger og andre opplysninger enn personopplysninger i et datasett er uløselig forbundet. Denne forordningen bør særlig ikke tolkes slik at den skaper et nytt rettslig grunnlag for behandling av personopplysninger for noen av de regulerte virksomhetene, eller at den endrer informasjonskravene som er fastsatt i forordning (EU) 2016/679. Gjennomføringen av denne forordningen bør ikke hindre overføring av data over landegrensene i samsvar med kapittel V i forordning (EU) 2016/679. Dersom det er konflikt mellom denne forordningen og unionsretten om vern av personopplysninger eller nasjonal rett som er vedtatt i samsvar med slik unionsrett, bør relevant unionsrett eller nasjonal rett om vern av personopplysninger ha forrang. Det bør være mulig å vurdere personvernmyndigheter som vedkommende myndigheter i henhold til denne forordningen. Dersom andre myndigheter fungerer som vedkommende myndigheter i henhold til denne forordningen, bør de gjøre det uten at det berører personvernmyndighetenes tilsynsmyndighet og myndighetsområder i henhold til forordning (EU) 2016/679.
5) Det er nødvendig med tiltak på unionsplan for å øke tilliten til datadeling ved å opprette egnede ordninger for registrertes og datainnehaveres kontroll over data som gjelder dem, og for å fjerne andre hindringer for en velfungerende og konkurransedyktig datadrevet økonomi. Disse tiltakene bør ikke berøre forpliktelser og tilsagn i internasjonale handelsavtaler som inngås av Unionen. En forvaltningsramme for Unionen bør ha som mål å bygge opp enkeltpersoners og foretaks tillit når det gjelder tilgang til samt kontroll, deling, bruk og viderebruk av data, særlig ved å fastsette egnede ordninger slik at de registrerte kjenner til sine rettigheter og utøver dem på en meningsfull måte, og når det gjelder viderebruk av visse typer data som innehas av offentlige organer, levering av tjenester fra tilbydere av dataformidlingstjenester til registrerte, datainnehavere og databrukere samt innsamling og behandling av data som fysiske og juridiske personer gjør tilgjengelige for altruistiske formål. Særlig kan større åpenhet om hva formålet med databruken er, og på hvilke vilkår foretak lagrer data, bidra til å øke tilliten.
6) Tanken om at data som er utviklet eller innsamlet av offentlige organer eller andre enheter på offentlige budsjetters bekostning, bør komme samfunnet til gode, har lenge vært en del av Unionens politikk. Ved direktiv (EU) 2019/1024 og sektorspesifikk unionsrett sikres det at de offentlige organene gjør en større del av de dataene de produserer, lett tilgjengelige for bruk og viderebruk. Visse kategorier av data, for eksempel kommersielt fortrolige data, fortrolige statistiske data og data beskyttet av tredjeparters immaterialrettigheter, herunder forretningshemmeligheter og personopplysninger, i offentlige databaser gjøres ofte ikke tilgjengelige, ikke engang til forskning eller innovativ virksomhet i allmennhetens interesse, selv om slik tilgjengelighet er mulig i samsvar med gjeldende unionsrett, særlig forordning (EU) 2016/679 og direktiv 2002/58/EF og (EU) 2016/680. På grunn av slike datas sensitivitet må visse tekniske og juridiske saksbehandlingskrav være oppfylt før de gjøres tilgjengelige, ikke minst for å sikre at andres rettigheter til slike data ivaretas, eller for å begrense den negative innvirkningen på de grunnleggende rettighetene, prinsippet om ikke-diskriminering og vern av personopplysninger. Det er vanligvis både tidog kunnskapskrevende å oppfylle slike krav. Det har ført til en utilstrekkelig bruk av slike data. Noen medlemsstater er i ferd med å innføre strukturer, prosesser eller lovgivning for å fremme denne typen viderebruk, men det er ikke tilfellet i hele Unionen. For å gjøre det lettere for private og offentlige enheter å bruke data til europeisk forskning og innovasjon er det nødvendig med klare vilkår for tilgang til og bruk av slike data i hele Unionen.
7) Det finnes teknikker som gjør det mulig å analysere databaser som inneholder personopplysninger, for eksempel anonymisering, differensiert personvern, generalisering, undertrykking og randomisering, bruk av syntetiske data eller lignende metoder og andre avanserte teknikker for å ivareta personvernet som kan bidra til en mer personvernvennlig databehandling. Medlemsstatene bør yte støtte til at offentlige organer kan bruke slike teknikker på en optimal måte og dermed stille så store datamengder som mulig til rådighet for deling. Bruken av slike teknikker sammen med omfattende vurderinger av personvernkonsekvenser og andre beskyttelsestiltak kan bidra til økt sikkerhet ved bruk og viderebruk av personopplysninger og bør sørge for en sikker viderebruk av kommersielt fortrolige forretningsdata for forsknings-, innovasjons og statistikkformål. I mange tilfeller innebærer bruken av slike teknikker, konsekvensanalyser og andre beskyttelsestiltak at data kan brukes og viderebrukes bare i et sikkert behandlingsmiljø som det offentlige organet stiller til rådighet eller kontrollerer. På unionsplan foreligger det erfaringer med slike sikre behandlingsmiljøer som brukes til forskning på statistiske mikrodata på grunnlag av kommisjonsforordning (EU) nr. 557/201325. Når det gjelder personopplysninger, bør behandlingen av dem generelt sett være basert på én eller flere av de rettslige grunnene til at de behandles som fastsatt i artikkel 6 og 9 i forordning (EU) 2016/679.
8) I samsvar med forordning (EU) 2016/679 bør prinsippene om vern av personopplysninger ikke gjelde for anonym informasjon, nærmere bestemt informasjon som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Gjenidentifisering av registrerte fra anonymiserte datasett bør forbys. Dette bør ikke berøre muligheten til å forske på anonymiseringsteknikker, særlig med sikte på å ivareta informasjonssikkerhet, forbedre eksisterende anonymiseringsteknikker og bidra til den generelle robustheten i den anonymiseringen som foretas i samsvar med forordning (EU) 2016/679.
9) For å fremme vernet av personopplysninger og fortrolige data og framskynde prosessen med å stille slike data til rådighet for viderebruk i henhold til denne forordningen bør medlemsstatene oppmuntre offentlige organer til å opprette og stille data til rådighet i samsvar med prinsippet om «innebygd åpenhet og åpenhet som standardinnstilling» nevnt i artikkel 5 nr. 2 i direktiv (EU) 2019/1024, og fremme opprettelse og innsamling av data i formater og strukturer som letter anonymisering i denne forbindelse.
10) De kategoriene av data som innehas av offentlige organer, og som bør kunne viderebrukes i henhold til denne forordningen, er ikke omfattet av direktiv (EU) 2019/1024, som utelukker data som ikke er tilgjengelige på grunn av fortrolighet behandling av kommersielle og statistiske opplysninger, og data som inngår i verker eller annet innhold som tredjeparter har immaterialrettigheter til. Kommersielt fortrolige data omfatter data som er beskyttet av forretningshemmeligheter, beskyttet fagkunnskap og all annen informasjon der urettmessig utlevering vil påvirke foretakets markedsstilling eller økonomiske soliditet. Denne forordningen bør gjelde personopplysninger som ikke er omfattet av direktiv (EU) 2019/1024 i den grad innsynsordningen utelukker eller begrenser tilgangen til slike data av hensyn til vern av personopplysninger, personvern og den enkeltes integritet, særlig i samsvar med reglene for vern av personvernopplysninger. Viderebruk av data som kan inneholde forretningshemmeligheter, bør skje uten at det berører direktiv (EU) 2016/943, der det fastsettes en ramme for lovlig tilegnelse, bruk eller utlevering av forretningshemmeligheter.
11) Denne forordningen bør ikke innebære en forpliktelse til å tillate viderebruk av data som innehas av offentlige organer. Hver medlemsstat bør derfor særlig kunne beslutte om data skal stilles til rådighet for viderebruk, også når det gjelder formålet med og omfanget av slik tilgang. Denne forordningen bør utfylle og ikke berøre de mer særskilte forpliktelsene som offentlige organer har til å tillate viderebruk av data, og som er fastsatt i sektorspesifikk unionsrett eller nasjonal rett. Offentlig tilgang til offentlige dokumenter kan anses for å være i allmennhetens interesse. Med hensyn til den rollen som offentlig tilgang til offisielle dokumenter og åpenhet spiller i et demokratisk samfunn, bør denne forordningen heller ikke berøre unionsretten eller nasjonal rett om tilgang til og utlevering av offisielle dokumenter. Tilgang til offisielle dokumenter kan særlig gis i samsvar med nasjonal rett uten at det fastsettes særlige vilkår, eller ved at det fastsettes særlige vilkår som ikke framgår av denne forordningen.
12) Ordningen for viderebruk fastsatt i denne forordningen bør gjelde for data som stilles til rådighet som ledd i de berørte offentlige organenes offentlige oppgaver som fastsatt ved lov eller andre bindende regler i medlemsstatene. Dersom det ikke finnes slike regler, bør de offentlige oppgavene defineres i samsvar med vanlig administrativ praksis i medlemsstatene, forutsatt at de offentlige oppgavenes virkeområde er gjennomsiktig og kan revurderes. De offentlige oppgavene kan defineres generelt eller fra sak til sak for hvert enkelt offentlig organ. Ettersom offentlige foretak ikke er omfattet av definisjonen av offentlig organ, bør de dataene som innehas av offentlige foretak, ikke være omfattet av denne forordningen. Data som innehas av kulturinstitusjoner som biblioteker, arkiver og museer samt orkestre, operaer, balletter, teatre og utdanningsinstitusjoner, bør ikke være omfattet av denne forordningen, ettersom de verkene og andre dokumenter som de innehar, hovedsakelig er omfattet av tredjeparters immaterialrettigheter. Organisasjoner som driver med forskning, og organisasjoner som finansierer forskning, kan også være organisert som offentlige organer eller offentligrettslige organer.

Denne forordningen bør få anvendelse på slike hybridorganisasjoner bare i deres egenskap av organisasjoner som driver med forskning. Dersom en organisasjon som driver med forskning, innehar data som en del av en særskilt offentlig- privat sammenslutning med organisasjoner i privat sektor eller andre offentlige organer, offentligrettslige organer eller hybridorganisasjoner som driver med forskning, det vil si som er organisert enten som offentlige organer eller offentlige foretak, med det hovedformål å drive forskning, bør disse dataene heller ikke være omfattet av denne forordningen. Dersom det er relevant, bør medlemsstatene kunne anvende denne forordningen på offentlige foretak eller private foretak som utfører offentlige oppgaver eller yter tjenester av allmenn interesse. Utveksling av data mellom offentlige organer i Unionen eller mellom offentlige organer i Unionen og offentlige organer i tredjeland eller internasjonale organisasjoner, utelukkende som ledd i utførelsen av deres offentlige oppgaver, samt utveksling av data mellom forskere for ikkekommersielle vitenskapelige forskningsformål, bør ikke være omfattet av bestemmelsene i denne forordningen om viderebruk av visse kategorier av beskyttede data som innehas av offentlige organer.
13) Offentlige organer bør overholde konkurranseretten når de fastsetter prinsippene for viderebruk av data som de innehar, og unngå å inngå avtaler som kan ha som formål eller konsekvens at det gis enerett til viderebruk av visse data. Slike avtaler bør være mulig bare dersom det er begrunnet og nødvendig for å levere en tjeneste eller et produkt av allmenn interesse. Dette kan være tilfellet dersom en eksklusiv bruk av dataene er den eneste måten å maksimere de aktuelle dataenes samfunnsmessige fordeler på, for eksempel dersom det er bare én enhet (som har spesialisert seg på behandling av et særskilt datasett) som er i stand til å levere den tjenesten eller det produktet som gjør det mulig for det offentlige organet å stille til rådighet en tjeneste eller et produkt av allmenn interesse. Slike avtaler bør imidlertid inngås i samsvar med gjeldende unionsrett eller nasjonal rett og regelmessig gjennomgås på grunnlag av en markedsanalyse for å fastslå om en slik eksklusivitet fortsatt er nødvendig. Dessuten bør slike avtaler overholde de relevante reglene for statsstøtte, dersom det er relevant, og inngås med en begrenset varighet som ikke bør overstige tolv måneder. For å sikre åpenhet bør slike avtaler om enerett offentliggjøres på nettet i en form som overholder den relevante unionsretten om offentlige innkjøp. Dersom en enerett til viderebruk av data ikke overholder denne forordningen, bør denne eneretten være ugyldig.
14) Forbudte avtaler om enerett og annen praksis eller andre ordninger som gjelder viderebruk av data som innehas av offentlige organer som ikke uttrykkelig gir enerett, men som med rimelighet kan forventes å begrense tilgjengeligheten av data til viderebruk, og som er inngått eller allerede var trådt i kraft før datoen for ikrafttredelse av denne forordningen, bør ikke fornyes etter at gyldighetstiden er utløpt. Når det gjelder tidsubegrensede eller langsiktige avtaler, bør de bringes til opphør senest 30 måneder etter datoen for ikrafttredelse av denne forordningen.
15) I denne forordningen bør det fastsettes vilkår for viderebruk av beskyttede data for offentlige organer som i henhold til nasjonal rett har myndighet til å gi eller nekte tilgang til viderebruk, og som ikke berører rettigheter eller forpliktelser som gjelder tilgang til slike data. Disse vilkårene bør være ikke-diskriminerende, gjennomsiktige, forholdsmessige og objektivt begrunnet, uten at de begrenser konkurransen, med særlig fokus på å fremme tilgang til slike data for SMB-er og nyetablerte foretak. Vilkårene for viderebruk bør utformes på en måte som fremmer vitenskapelig forskning, slik at for eksempel prioritering av vitenskapelig forskning som regel bør anses som ikke-diskriminerende. Offentlige organer som tillater viderebruk, bør ha de tekniske midlene som er nødvendige for å sikre vern av tredjeparters rettigheter og interesser, og bør ha myndighet til å kreve nødvendige opplysninger fra viderebrukeren. Vilkårene for viderebruk av data bør begrenses til det som er nødvendig for å verne tredjeparters rettigheter til og interesser i dataene samt integriteten til de offentlige organenes IT- og kommunikasjonssystemer. Offentlige organer bør anvende vilkår som på best mulig måte ivaretar viderebrukerens interesser, uten at det fører til en uforholdsmessig stor byrde for de offentlige organene. Vilkårene for viderebruk av data bør utformes slik at de sikrer effektive beskyttelsestiltak med hensyn til vern av personopplysninger. Personopplysninger bør være anonymiserte før de overføres, slik at det ikke er mulig å identifisere de registrerte, og data som inneholder kommersielt fortrolig informasjon, bør være endret på en slik måte at ingen fortrolig informasjon utleveres. Dersom utleveringen av anonymiserte eller endrede data ikke oppfyller viderebrukerens behov, og dersom eventuelle krav om å gjennomføre en vurdering av personvernkonsekvenser og samråd med tilsynsmyndigheten i henhold til artikkel 35 og 36 i forordning (EU) 2016/679 er oppfylt, og dersom risikoen for de registrertes rettigheter og interesser har vist seg å være minimal, kan det gis tillatelse til viderebruk av dataene på stedet eller fjernviderebruk av dataene i et sikkert behandlingsmiljø.

Dette kan være en hensiktsmessig ordning for viderebruk av pseudonymiserte data. Det offentlige organet bør overvåke dataanalyser i slike sikre behandlingsmiljøer for å beskytte tredjeparters rettigheter og interesser. Personopplysninger bør overføres til en tredjepart med sikte på viderebruk bare dersom et rettslig grunnlag i personvernlovgivning tillater en slik overføring. Andre opplysninger enn personopplysninger bør overføres bare dersom det ikke er noen grunn til å tro at kombinasjonen av andre opplysninger enn personopplysninger i et datasett vil føre til identifisering av de registrerte. Dette bør også gjelde for pseudonymiserte data som beholder sin status som personopplysninger. Dersom registrerte gjenidentifiseres, bør plikten til å melde et slikt brudd på personopplysningssikkerheten til det offentlige organet gjelde i tillegg til en plikt til å melde et slikt brudd på personopplysningssikkerheten til en tilsynsmyndighet og den registrerte i samsvar med forordning (EU) 2016/679. Dersom det er relevant, bør offentlige organer ved hjelp av egnede tekniske midler lette viderebruken av data på grunnlag av de registrertes samtykke eller datainnehavernes tillatelse til viderebruk av data som gjelder dem. I denne forbindelse bør det offentlige organet gjøre sitt beste for å bistå potensielle viderebrukere som ønsker slikt samtykke eller slik tillatelse ved å innføre tekniske ordninger som gjør det mulig å videresende anmodninger om samtykke eller tillatelse fra viderebrukere når det er praktisk mulig. Det bør ikke gis kontaktopplysninger som gjør det mulig for viderebrukere å kontakte registrerte eller datainnehavere direkte. Dersom det offentlige organet oversender en anmodning om samtykke eller tillatelse, bør det sikre at den registrerte eller datainnehaveren underrettes tydelig om muligheten til å nekte samtykke eller tillatelse.
16) For å lette og fremme bruk av data som innehas av offentlige organer til vitenskapelig forskning, oppfordres offentlige organer til å utarbeide en harmonisert metode og harmoniserte prosesser, slik at disse dataene er lett tilgjengelige for vitenskapelig forskning i allmennhetens interesse. Dette kan blant annet bety at det utarbeides forenklede administrative prosedyrer, standardisert dataformatering, informative metadata om valg av metodologi og datainnsamling samt standardiserte datafelt, slik at datasett fra forskjellige datakilder i offentlig sektor, dersom det er relevant, lett kan sammenkoples for analyseformål. Målet med denne praksisen bør være å fremme offentlig finansierte og produserte data med sikte på vitenskapelig forskning i samsvar med prinsippet om «så åpent som mulig, så lukket som nødvendig».
17) Tredjeparters immaterialrettigheter bør ikke berøres av denne forordningen. Denne forordningen bør verken berøre forekomsten av eller eiendomsretten til offentlige organers immaterialrettigheter eller begrense utøvelsen av disse rettighetene på noen måte. De forpliktelsene som pålegges i henhold til denne forordningen, bør få anvendelse bare i den grad de er forenlige med internasjonale avtaler om vern av immaterialrettigheter, særlig Bernkonvensjonen om vern av litterære og kunstneriske verk (Bernkonvensjonen), avtalen om handelsrelaterte sider ved immaterielle rettigheter (TRIPSavtalen), WIPO-traktaten om opphavsrett (WCT) og unionsretten eller nasjonal rett om immaterialrettigheter. Offentlige organer bør imidlertid utøve sin opphavsrett på en måte som letter viderebruk.
18) Data som er omfattet av immaterialrettigheter og forretningshemmeligheter, bør overføres til en tredjepart bare dersom en slik overføring er lovlig i henhold til unionsretten eller nasjonal rett, eller dersom rettighetshaveren samtykker til det. Dersom offentlige organer innehar en databaseprodusents rettighet som fastsatt i artikkel 7 nr. 1 i europaparlaments- og rådsdirektiv 96/9/EF26, bør de ikke utøve denne rettigheten for å hindre viderebruk av data eller begrense viderebruk utover grensene fastsatt i denne forordningen.
19) Foretak og registrerte bør kunne stole på at viderebruk av visse kategorier av beskyttede data som innehas av de offentlige organene, vil skje på en måte som tar hensyn til deres rettigheter og interesser. Det bør derfor innføres ytterligere beskyttelsestiltak for situasjoner der viderebruk av slike data fra offentlig sektor finner sted på grunnlag av en behandling av dataene utenfor offentlig sektor, for eksempel et krav om at offentlige organer i alle tilfeller sikrer at fysiske og juridiske personers rettigheter og interesser fullt ut beskyttes, særlig når det gjelder personopplysninger, kommersielt sensitive data og immaterialrettigheter, herunder når slike data overføres til tredjeland. Offentlige organer bør ikke tillate at forsikringsforetak eller andre tjenesteytere viderebruker informasjon lagret i e-helseprogrammer for å forskjellsbehandle med hensyn til prisfastsettelse, ettersom det ville være i strid med den grunnleggende retten til tilgang til helsetjenester.
20) For å sikre rettferdig konkurranse og en åpen markedsøkonomi er det dessuten av største viktighet å verne beskyttede data av ikke-personlig art, særlig forretningshemmeligheter, men også andre opplysninger enn personopplysninger som utgjør innhold som er beskyttet av immaterialrettigheter, mot ulovlig tilgang som kan føre til tyveri av immaterialrettigheter eller industrispionasje. For å sikre vern av datainnehaveres rettigheter eller interesser bør det være mulig å overføre til tredjeland andre opplysninger enn personopplysninger som skal vernes mot ulovlig eller uautorisert tilgang i henhold til unionsretten eller nasjonal rett, men bare dersom bruken av dataene omfattes av egnede beskyttelsestiltak. Slike egnede beskyttelsestiltak bør omfatte et krav om at det offentlige organet overfører beskyttede data til en viderebruker bare dersom denne viderebrukeren avtalemessig forplikter seg til å sikre fortsatt vern av dataene. En viderebruker som har til hensikt å overføre de beskyttede dataene til et tredjeland, bør overholde kravene fastsatt i denne forordningen, også etter at dataene er blitt overført til tredjelandet. For å sikre at slike forpliktelser oppfylles på riktig måte, bør viderebrukeren også godta at rettslig tvisteløsning skal skje i den medlemsstaten der det offentlige organet befinner seg, og som har tillatt viderebruken.
21) Egnede beskyttelsestiltak bør også anses å være iverksatt når det i det tredjelandet som andre opplysninger enn personopplysninger overføres til, er innført tilsvarende tiltak som sikrer at dataene er omfattet av et beskyttelsesnivå som svarer til det som gjelder i henhold til unionsretten eller nasjonal rett, særlig når det gjelder vern av forretningshemmeligheter og immaterialrettigheter. For dette formålet bør Kommisjonen, ved hjelp av gjennomføringsrettsakter når det kan begrunnes ut fra et betydelig antall anmodninger fra hele Unionen om viderebruk av andre opplysninger enn personopplysninger i bestemte tredjeland, kunne erklære at et tredjeland har et beskyttelsesnivå som i all hovedsak svarer til det som er fastsatt i unionsretten. Kommisjonen bør vurdere behovet for slike gjennomføringsrettsakter på grunnlag av informasjon framlagt av medlemsstatene gjennom Det europeiske datainnovasjonsråd. Slike gjennomføringsrettsakter vil forsikre offentlige organer om at viderebruk av data som innehas av offentlige organer i det berørte tredjelandet, ikke vil utgjøre en fare for det fortsatte vernet av disse dataene. Når beskyttelsesnivået i det berørte tredjelandet vurderes, bør det særlig tas hensyn til relevant generell og sektorspesifikk rett, blant annet om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett, om tilgang til og vern av andre opplysninger enn personopplysninger, eventuell tilgang for offentlige organer i det aktuelle tredjelandet til de dataene som overføres, hvorvidt det i tredjelandet finnes én eller flere effektivt fungerende uavhengige tilsynsmyndigheter med ansvar for å sikre og håndheve overholdelsen av den rettslige ordningen som sikrer tilgang til slike data, tredjelandets internasjonale forpliktelser med hensyn til vern av data, eller andre forpliktelser som følge av rettslig bindende konvensjoner eller instrumenter eller deltakelse i multilaterale eller regionale systemer.

Det er særlig viktig at det i det berørte tredjelandet finnes effektive rettsmidler for datainnehavere, offentlige organer eller tilbydere av dataformidlingstjenester i forbindelse med overføring av andre opplysninger enn personopplysninger til dette tredjelandet. Slike beskyttelsestiltak bør derfor omfatte tilgang til håndhevbare rettigheter og effektive rettsmidler. Slike gjennomføringsrettsakter bør ikke berøre juridiske forpliktelser eller kontraktsmessige ordninger som en viderebruker allerede har inngått for å beskytte andre opplysninger enn personopplysninger, særlig industridata, og offentlige organers rett til å pålegge viderebrukere å overholde vilkårene for viderebruk i samsvar med denne forordningen.
22) Visse tredjeland vedtar lover, forskrifter og andre rettsakter med sikte på direkte overføring av eller statlig tilgang til andre opplysninger enn personopplysninger i Unionen som fysiske eller juridiske personer under medlemsstatenes jurisdiksjon har kontroll over. Beslutninger og dommer fra en domstol i tredjeland eller beslutninger fra forvaltningsmyndigheter i tredjeland som inneholder krav om slik overføring av eller tilgang til andre opplysninger enn personopplysninger, bør gjelde når de bygger på en internasjonal avtale, for eksempel en traktat om gjensidig juridisk bistand, mellom det anmodende tredjelandet og Unionen eller en medlemsstat. I noen tilfeller kan det oppstå situasjoner der krav om å overføre eller gi tilgang til andre opplysninger enn personopplysninger som følger av et tredjelands lovgivning, er i strid med en forpliktelse til å verne slike data i henhold til unionsretten eller nasjonal rett, særlig når det gjelder vern av den enkeltes grunnleggende rettigheter eller en medlemsstats grunnleggende interesser i forbindelse med nasjonal sikkerhet eller forsvar samt vern av kommersielt sensitive data og immaterialrettigheter, herunder avtalefestede forpliktelser med hensyn til fortrolig behandling i samsvar med slik lovgivning. Dersom det ikke foreligger internasjonale avtaler om slike forhold, bør overføring av eller tilgang til andre opplysninger enn personopplysninger tillates bare dersom det særlig er bekreftet at tredjelandets rettssystem krever at beslutningens eller dommens årsaker og forholdsmessighet fastsettes, at beslutningen eller dommen er av en særskilt art, og at en begrunnet innsigelse fra adressaten kan prøves ved en vedkommende domstol i tredjelandet som har myndighet til å ta behørig hensyn til de relevante rettslige interessene til den som stiller slike data til rådighet.

Offentlige organer, fysiske eller juridiske personer som har fått rett til å viderebruke data, tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner bør dessuten, dersom de undertegner avtaler med andre private parter, sikre at andre opplysninger enn personopplysninger som innehas i Unionen, gjøres tilgjengelige i eller overføres til tredjeland bare i samsvar med unionsretten eller den relevante medlemsstatens nasjonale rett.
23) For å styrke tilliten til Unionens dataøkonomi ytterligere er det avgjørende at beskyttelsestiltakene overfor unionsborgere, offentlig sektor og foretak som sikrer at kontrollen over deres strategiske og sensitive data gjennomføres, og at unionsretten samt Unionens verdier og standarder opprettholdes med hensyn til, men ikke begrenset til, sikkerhet, vern av personopplysninger og forbrukervern. For å hindre ulovlig tilgang til andre opplysninger enn personopplysninger bør offentlige organer, fysiske eller juridiske personer som har fått rett til å viderebruke data, tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner treffe alle rimelige tiltak for å hindre tilgang til de systemene der andre opplysninger enn personopplysninger er lagret, blant annet kryptering av data eller bedriftsinterne retningslinjer. For dette formålet bør det sikres at offentlige organer, fysiske eller juridiske personer som har fått rett til å viderebruke data, tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner overholder alle relevante tekniske standarder, atferdsregler og sertifiseringer på unionsplan.
24) For å bygge opp tillit til ordningene for viderebruk kan det være nødvendig å innføre strengere vilkår for visse typer andre opplysninger enn personopplysninger som kan være kategorisert som svært sensitive i framtidige særlige unionsrettsakter, når det gjelder overføring til tredjeland, dersom en slik overføring kan sette Unionens offentlige politiske mål i fare, i tråd med internasjonale forpliktelser. På helseområdet kan for eksempel visse datasett som innehas av aktører i den offentlige helsesektoren, for eksempel offentlige sykehus, kategoriseres som svært sensitive helsedata. Andre relevante sektorer er blant annet transport, energi, miljø og finans. For å sikre en harmonisert praksis i hele Unionen bør slike typer av andre opplysninger enn personopplysninger som er offentlige og svært sensitive, defineres i unionsretten, for eksempel innenfor rammen av det europeiske helsedataområdet eller annen sektorspesifikk rett. Vilkårene for overføring av slike data til tredjeland bør fastsettes i delegerte rettsakter. Vilkårene bør være forholdsmessige, ikke-diskriminerende og nødvendige for å verne Unionens rettmessige offentlige politiske mål, for eksempel vern av folkehelsen, sikkerheten, miljøet, den offentlige moral, forbrukervern, personvern og vern av personopplysninger. Vilkårene bør stå i forhold til de risikoene som er identifisert med hensyn til slike datas sensitivitet, herunder risikoen for gjenidentifisering av enkeltpersoner. Slike vilkår kan omfatte vilkår for overføringen eller tekniske ordninger, for eksempel krav om bruk av et sikkert behandlingsmiljø, begrensninger med hensyn til viderebruk av data i tredjeland eller kategorier av personer som har rett til å overføre slike data til tredjeland, eller som kan få tilgang til dataene i tredjelandet. I særlige tilfeller kan slike vilkår også omfatte begrensninger på overføring av data til tredjeland for å verne allmennhetens interesse.
25) Offentlige organer bør kunne kreve gebyrer for viderebruk av data, men bør også i tråd med reglene for statsstøtte kunne tillate viderebruk til et nedsatt gebyr eller vederlagsfritt, for eksempel for visse kategorier av viderebruk som ikkekommersiell viderebruk til vitenskapelige forskningsformål eller viderebruk for SMB-er og nyetablerte foretak, det sivile samfunn og utdanningsinstitusjoner, for å stimulere til slik viderebruk og dermed forskning og innovasjon, og støtte foretak som er en viktig kilde til innovasjon, og som ofte kan oppleve det som vanskelig å samle inn relevante data selv. I denne særlige sammenhengen bør vitenskapelige forskningsformål anses for å omfatte alle typer forskningsrelaterte formål, uavhengig av den berørte forskningsinstitusjonens organisatoriske eller finansielle struktur, med unntak av forskning som utføres av et foretak og har som mål å utvikle, forbedre eller optimalisere produkter eller tjenester. Slike gebyrer bør være gjennomsiktige, ikke-diskriminerende og begrenset til de påløpte nødvendige kostnadene og bør ikke begrense konkurransen. En liste over kategorier av viderebrukere som betaler et nedsatt gebyr eller intet gebyr, og kriteriene for opprettelse av denne listen, bør offentliggjøres.
26) For å stimulere til viderebruk av særlige kategoriene av data som innehas av offentlige organer, bør medlemsstatene opprette et sentralt informasjonspunkt som skal fungere som et grensesnitt for viderebrukere som ønsker å viderebruke disse dataene. Informasjonspunktet bør ha et tverrsektorielt mandat og bør ved behov supplere ordninger på sektorplan. Det sentrale informasjonspunktet bør automatisk kunne overføre forespørsler eller anmodninger om viderebruk. Det bør sikres tilstrekkelig menneskelig tilsyn i overføringsprosessen. For dette formålet kan det brukes eksisterende praktiske ordninger som åpne dataportaler. Det enkelte informasjonspunktet bør ha en liste over ressurser som inneholder en oversikt over alle tilgjengelige dataressurser, herunder eventuelt de dataressursene som er tilgjengelige ved sektorspesifikke, regionale og lokale informasjonspunkter, sammen med relevant informasjon som beskriver de tilgjengelige dataene. Dessuten bør medlemsstatene utpeke, opprette eller lette opprettelsen av vedkommende organer for å støtte virksomheten til offentlige organer som tillater viderebruk av visse kategorier av beskyttede data. Oppgavene deres kan omfatte å gi tilgang til data dersom sektorspesifikk unionsrett eller nasjonal rett krever det. Disse vedkommende organene bør bistå offentlige organer med avanserte teknikker, herunder hvordan data best kan struktureres og lagres for å gjøre dem lett tilgjengelige, særlig gjennom programmeringsgrensesnitt, og gjøre dem interoperable, overførbare og søkbare, samtidig som det tas hensyn til beste praksis for databehandling samt alle eksisterende reguleringsstandarder og tekniske standarder og sikre databehandlingsmiljøer, som gjør det mulig å analysere data på en måte som ivaretar personvernet.

Vedkommende organer bør handle i samsvar med instruksene fra det offentlige organet. En slik bistandsstruktur kan bistå de registrerte og datainnehaverne med håndtering av samtykke eller tillatelse til viderebruk, herunder samtykke og tillatelse til visse områder av vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. Vedkommende organer bør ikke ha noen tilsynsfunksjon, ettersom den er forbeholdt tilsynsmyndighetene i henhold til forordning (EU) 2016/679. Uten at det berører personvernmyndighetenes tilsynsmyndighet, bør databehandlingen utføres under ansvaret til det offentlige organet med ansvar for registeret som inneholder dataene, og som er behandlingsansvarlig som definert i forordning (EU) 2016/679 når det gjelder personopplysninger. Medlemsstatene bør kunne ha ett eller flere vedkommende organer som kan være virksomme i forskjellige sektorer. Offentlige organers interne tjenester kan også fungere som vedkommende organer. Et vedkommende organ kan være et offentlig organ som bistår andre offentlige organer når det gjelder å tillate viderebruk av data, dersom det er relevant, eller et offentlig organ som selv tillater viderebruk. Bistand til andre offentlige organer bør innebære at de på anmodning underrettes om beste praksis for hvordan kravene i denne forordningen kan oppfylles, for eksempel de tekniske midlene for å stille et sikkert behandlingsmiljø til rådighet eller de tekniske midler for å sikre personvern og fortrolig behandling når det gis tilgang til viderebruk av data som er omfattet av denne forordningen.
27) Det forventes at dataformidlingstjenester vil spille en viktig rolle i dataøkonomien, særlig når det gjelder å støtte og fremme praksis for frivillig datadeling mellom foretak eller lette datadeling i forbindelse med forpliktelsene fastsatt i unionsretten eller nasjonal rett. De kan bli et verktøy for å lette utvekslingen av store mengder relevante data. Tilbydere av dataformidlingstjenester, som også kan omfatte offentlige organer, som tilbyr tjenester som kopler sammen de forskjellige aktørene, kan bidra til at data sammenstilles på en effektiv måte, og til at bilateral datadeling fremmes. Spesialiserte dataformidlingstjenester som er uavhengige av registrerte, datainnehavere og databrukere, kan lette framveksten av nye datadrevne økosystemer som er uavhengige av aktører med betydelig markedsmakt, samtidig som de muliggjør ikke-diskriminerende tilgang til dataøkonomien for aktører av alle størrelser, særlig SMB-er og nyetablerte foretak med begrensede økonomiske, rettslige eller administrative midler. Dette vil være særlig viktig i forbindelse med opprettelsen av felles europeiske dataområder, det vil si formåls- eller sektorspesifikke eller tverrsektorielle interoperable rammer for felles standarder og praksis for deling eller felles behandling av data, blant annet for utvikling av nye produkter og tjenester, vitenskapelig forskning eller initiativer i det sivile samfunn. Dataformidlingstjenester kan omfatte bilateral eller multilateral deling av data eller opprettelse av plattformer eller databaser som muliggjør deling eller felles bruk av data samt opprettelse av særlig infrastruktur for å kople sammen registrerte og datainnehavere med databrukere.
28) Denne forordningen bør omfatte tjenester som har som mål å opprette handelsforbindelser med sikte på datadeling mellom på den ene side et ubestemt antall registrerte og datainnehavere og på den annen side databrukere gjennom tekniske, rettslige eller andre midler, blant annet for å utøve registrertes rettigheter i forbindelse med personopplysninger. Når foretak eller andre enheter tilbyr flere datarelaterte tjenester, bør denne forordningen omfatte bare den virksomheten som direkte berører leveringen av dataformidlingstjenester. Levering av skylagring, analyse, programvare for datadeling, nettlesere, programtillegg til nettlesere eller e-posttjenester bør ikke anses som dataformidlingstjenester som definert i denne forordningen, forutsatt at slike tjenester bare gir registrerte eller datainnehavere tekniske verktøy for å dele data med andre, men leveringen av slike verktøy har som mål verken å opprette en handelsforbindelse mellom datainnehavere og databrukere eller å gi tilbyderen av dataformidlingstjenester mulighet til å innhente informasjon om opprettelsen av handelsforbindelser med sikte på datadeling. Eksempler på dataformidlingstjenester omfatter blant annet datamarkeder der foretak kan stille data til rådighet for andre, organisatorer av økosystemer for datadeling som er åpne for alle berørte parter, for eksempel i forbindelse med felles europeiske dataområder og datasamlinger som er opprettet i fellesskap av flere juridiske eller fysiske personer for å lisensiere bruk av slike datasamlinger til alle berørte parter på en slik måte at alle deltakere som bidrar til datasamlingene, belønnes for sitt bidrag.

Dette ville utelukke tjenester som samler inn data fra datainnehavere, og aggregerer, beriker eller omdanner dataene med sikte på å tilføre dem en betydelig verdi, og utsteder lisenser for bruk av de resulterende dataene til databrukere, uten å opprette en handelsforbindelse mellom datainnehaverne og databrukerne. Dette vil dessuten utelukke tjenester som brukes av bare én datainnehaver for å gjøre det mulig å bruke data som innehas av denne datainnehaveren, eller som brukes av flere juridiske personer i en lukket gruppe, herunder leverandør- eller kundeforhold eller avtalefestet samarbeid, særlig slike som har som hovedformål å sikre at gjenstander og innretninger knyttet til tingenes internett fungerer slik de skal.
29) Tjenester som fokuserer på formidling av opphavsrettsbeskyttet innhold, for eksempel tilbydere av nettbaserte innholdsdelingstjenester som definert i artikkel 2 nr. 6 i direktiv (EU) 2019/790, bør ikke være omfattet av denne forordningen. Leverandører av konsolidert offentliggjøringssystem som definert i artikkel 2 nr. 1 punkt 35 i europaparlaments- og rådsforordning nr. 600/2014/EU27 og ytere av kontoopplysningstjenester som definert i artikkel 4 nr. 19 i europaparlaments- og rådsdirektiv (EU) 2015/236628 bør ikke anses som tilbydere av dataformidlingstjenester i henhold til denne forordningen. Denne forordningen bør ikke få anvendelse på tjenester som tilbys av offentlige organer for å gjøre det lettere enten å viderebruke beskyttede data som innehas av offentlige organer i samsvar med denne forordningen, eller å bruke andre data, forutsatt at disse tjenestene ikke har som mål å opprette handelsforbindelser. Dataaltruismeorganisasjoner som er regulert av denne forordningen, bør ikke anses å tilby dataformidlingstjenester, forutsatt at disse tjenestene ikke oppretter en handelsforbindelse mellom på den ene side potensielle databrukere og på den annen side registrerte og datainnehavere som stiller data til rådighet for altruistiske formål. Andre tjenester som ikke har som mål å opprette handelsforbindelser, for eksempel sentrale datalagre som har som mål å viderebruke vitenskapelige forskningsdata i samsvar med prinsippene om åpen tilgang, bør ikke anses som dataformidlingstjenester i henhold til denne forordningen.
30) En særlig kategori av dataformidlingstjenester omfatter tilbydere av tjenester som tilbyr sine tjenester til registrerte. Slike tilbydere av dataformidlingstjenester ønsker å styrke registrertes handlefrihet og særlig enkeltpersoners kontroll med data som gjelder dem selv. Slike tilbydere bistår enkeltpersoner med å utøve sine rettigheter i henhold til forordning (EU) 2016/679, særlig med å gi og trekke tilbake samtykke til behandling av personopplysninger, retten til å få innsyn i egne personopplysninger, retten til å få rettet uriktige personopplysninger, retten til å bli slettet eller «retten til å bli glemt», retten til å begrense behandlingen og retten til dataportabilitet, som innebærer at de registrerte kan flytte sine personopplysninger fra en behandlingsansvarlig til en annen. I denne forbindelse er det viktig at slike tilbyderes forretningsmodell sikrer at det ikke finnes noe som kan oppmuntre enkeltpersoner til å bruke slike tjenester for å stille større datamengder knyttet til dem til rådighet for behandling enn det som er i deres interesse. Dette kan omfatte rådgivning til enkeltpersoner om hvilken bruk av deres data som er mulig, og hvordan de foretar tilstrekkelig kontroll av databrukere før de får tillatelse til å kontakte registrerte, slik at bedrageri unngås. For å sikre maksimalt vern av personopplysninger og personvern kan det i visse situasjoner være ønskelig å samle faktiske data i et personopplysningsområde, slik at behandlingen kan skje i det området uten at personopplysninger overføres til tredjeparter. Slike personopplysningsområder kan omfatte statiske personopplysninger som navn, adresse eller fødselsdato samt dynamiske data som en person genererer, for eksempel ved bruk av en nettbasert tjeneste eller en gjenstand knyttet til tingenes internett. De kan også brukes til å lagre informasjon om bekreftet identitet, for eksempel passnumre eller trygdeinformasjon samt opplysninger som førerkort, diplomer eller bankkontoinformasjon.
31) Datasamvirker ønsker å nå en rekke mål, særlig å styrke enkeltpersoners stilling når det gjelder å foreta velbegrunnede valg før de gir sitt samtykke til bruk av data, påvirke databrukerorganisasjoners vilkår knyttet til bruk av data på en måte som gir de enkelte medlemmene av gruppen bedre valgmuligheter, eller eventuelt finne løsninger på konflikter mellom enkeltmedlemmer av en gruppe om hvordan data kan brukes dersom de gjelder flere registrerte i den aktuelle gruppen. I denne forbindelse er det viktig å ta hensyn til at rettighetene i henhold til forordning (EU) 2016/679 er den registrertes personlige rettigheter, og at registrerte ikke kan frasi seg slike rettigheter. Datasamvirker kan også være nyttige for enkeltpersonforetak og SMB-er som ofte kan sammenlignes med enkeltpersoner når det gjelder kunnskap om datadeling.
32) For å øke tilliten til slike dataformidlingstjenester, særlig når det gjelder bruken av data og overholdelsen av vilkårene som registrerte og datainnehavere pålegger, er det nødvendig å fastsette rammeregler på unionsplan som fastsetter sterkt harmoniserte krav til pålitelig levering av slike dataformidlingstjenester, og som gjennomføres av vedkommende myndigheter. Denne rammen vil bidra til å sikre at registrerte og datainnehavere samt databrukere får bedre kontroll over tilgangen til og bruken av deres data i henhold til unionsretten. Kommisjonen kan også oppmuntre til og legge til rette for utarbeiding av atferdsregler på unionsplan, som involverer relevante berørte parter, særlig når det gjelder interoperabilitet. Både i situasjoner der datadeling skjer mellom foretak og mellom foretak og forbrukere, bør tilbydere av dataformidlingstjenester tilby en ny «europeisk» form for dataforvaltning ved at det i dataøkonomien skilles mellom levering, formidling og bruk av data. Tilbydere av dataformidlingstjenester kan også stille særskilt teknisk infrastruktur til rådighet for å kople sammen registrerte og datainnehavere med databrukere. I denne forbindelse er det særlig viktig å utforme denne infrastrukturen på en slik måte at SMB-er og nyetablerte foretak ikke møter tekniske eller andre hindringer for å kunne delta i dataøkonomien.

Tilbydere av dataformidlingstjenester bør kunne tilby datainnehavere eller registrerte flere særskilte verktøy og tjenester, særlig for å lette utvekslingen av data, for eksempel midlertidig lagring, organisering, konvertering, anonymisering og pseudonymisering. Disse verktøyene og tjenestene bør brukes bare etter uttrykkelig anmodning eller godkjenning fra datainnehaveren eller den registrerte, og tredjepartsverktøy som tilbys i denne forbindelse, bør ikke bruke data til andre formål. Tilbydere av dataformidlingstjenester bør imidlertid samtidig kunne tilpasse de dataene som utveksles, slik at de blir mer anvendelige for databrukeren dersom databrukeren ønsker det, eller forbedre interoperabiliteten for eksempel ved å konvertere dataene til bestemte formater.
33) Det er viktig å skape et konkurransemiljø for datadeling. En viktig faktor for å styrke datainnehaveres, registrertes og databrukeres tillit til og kontroll med dataformidlingstjenester er at tilbyderne av dataformidlingstjenester er nøytrale når det gjelder de dataene som utveksles mellom datainnehavere eller registrerte og databrukere. Det er derfor nødvendig at tilbydere av dataformidlingstjenester fungerer bare som formidlere i transaksjonene og ikke bruker de dataene som utveksles, til andre formål. De kommersielle vilkårene, herunder prisfastsettelse, for levering av dataformidlingstjenester bør ikke avhenge av om en potensiell datainnehaver eller databruker bruker andre tjenester, herunder lagring, analyse, kunstig intelligens eller andre databaserte anvendelser, som leveres av samme tilbyder av dataformidlingstjenester eller av en tilknyttet enhet, og i så fall i hvilken grad datainnehaveren eller databrukeren bruker slike andre tjenester. Dette vil også kreve et strukturelt skille mellom dataformidlingstjenesten og andre tjenester som tilbys, slik at interessekonflikter unngås. Det betyr at dataformidlingstjenesten bør leveres via en juridisk person som er atskilt fra all annen virksomhet som den aktuelle tilbyderen av datadelingstjenester driver med. Tilbyderne av dataformidlingstjenester bør imidlertid kunne bruke de dataene som datainnehaveren leverer for å forbedre sine dataformidlingstjenester.

Tilbydere av dataformidlingstjenester bør kunne stille sine egne eller tredjeparts verktøy til rådighet for datainnehavere, registrerte eller databrukere for å lette utvekslingen av data, for eksempel verktøy for konvertering eller organisering av data, bare etter uttrykkelig anmodning eller godkjenning fra den registrerte eller datainnehaveren. De tredjepartsverktøyene som tilbys i denne forbindelse, bør ikke bruke dataene til andre formål enn de formålene som er knyttet til dataformidlingstjenester. Tilbydere av dataformidlingstjenester som formidler utveksling av data mellom enkeltpersoner som registrerte, og juridiske personer som databrukere, bør i tillegg til å ha en forvaltningsmessig forpliktelse overfor enkeltpersonene sikre at de handler i de registrertes interesse. Spørsmål om ansvar for alle materielle og immaterielle skader og tap som følge av tilbyderen av dataformidlingstjenesters atferd bør kunne tas opp i den relevante avtalen på grunnlag av de nasjonale ordningene for erstatningsansvar.
34) Tilbydere av dataformidlingstjenester bør treffe rimelige tiltak for å sikre interoperabilitet innenfor en sektor og mellom forskjellige sektorer for å sikre et velfungerende indre marked. Rimelige tiltak kan omfatte overholdelse av eksisterende standarder som ofte brukes i den sektoren der tilbyderne av dataformidlingstjenester har sin virksomhet. Det europeiske datainnovasjonsråd bør ved behov legge til rette for at det utarbeides ytterligere industristandarder. Tilbydere av dataformidlingstjenester bør i god tid gjennomføre de tiltakene for interoperabilitet mellom dataformidlingstjenestene som er iverksatt av Det europeiske datainnovasjonsråd.
35) Denne forordningen bør ikke berøre den plikten tilbydere av dataformidlingstjenester har til å overholde forordning (EU) 2016/679, og tilsynsmyndighetenes ansvar for å sikre at nevnte forordning overholdes. Når tilbyderen av dataformidlingstjenester behandler personopplysninger, bør ikke denne forordningen påvirke vernet av personopplysninger. Dersom tilbyderne av dataformidlingstjenester er behandlingsansvarlige eller databehandlere som definert i forordning (EU) 2016/679, er de bundet av reglene i nevnte forordning.
36) Tilbydere av dataformidlingstjenester forventes å ha innført prosedyrer og tiltak for å ilegge sanksjoner for bedrageri eller ulovlig praksis i forbindelse med parter som ønsker tilgang via deres dataformidlingstjenester, blant annet gjennom tiltak som utelukkelse av databrukere som bryter tjenestevilkårene eller overtrer eksisterende regelverk.
37) Tilbydere av dataformidlingstjenester bør også treffe tiltak for å sikre at konkurranseretten overholdes, og innføre prosedyrer for dette formålet. Dette gjelder særlig i situasjoner der datadeling gjør det mulig for foretak å få kjennskap til eksisterende eller potensielle konkurrenters markedsstrategier. Konkurransemessig sensitiv informasjon er for eksempel informasjon om kundedata, framtidige priser, produksjonskostnader, mengder, omsetning, salg eller kapasitet.
38) Det bør fastsettes en framgangsmåte for melding av dataformidlingstjenester for å sikre at dataforvaltning i Unionen er basert på en pålitelig utveksling av data. Fordelene ved et pålitelig miljø kan best oppnås ved at det fastsettes en rekke krav til levering av dataformidlingstjenester, men uten at det kreves uttrykkelige beslutninger eller administrative tiltak fra vedkommende myndighet for dataformidlingstjenester for dette formålet. Framgangsmåten for melding bør ikke pålegge urimelige hindringer for SMB-er, nyetablerte foretak og organisasjoner i det sivile samfunn og bør overholde prinsippet om ikke-diskriminering.
39) For å støtte en effektiv tjenesteyting over landegrensene bør tilbyderen av datadelingstjenester pålegges å sende en melding bare til vedkommende myndighet for dataformidlingstjenester i den medlemsstaten der tilbyderen har sin hovedvirksomhet, eller der dennes juridiske representant befinner seg. En slik melding bør ikke omfatte mer enn en erklæring om at tilbyderen har til hensikt å tilby slike tjenester, og bør suppleres bare med informasjonen angitt i denne forordningen. Etter den relevante meldingen bør tilbyderen av dataformidlingstjenester kunne innlede virksomhet i andre medlemsstater uten ytterligere meldeplikt.
40) Framgangsmåten for melding fastsatt i denne forordningen bør ikke berøre særlige ytterligere regler for levering av dataformidlingstjenester som får anvendelse gjennom sektorspesifikk rett.
41) Hovedvirksomheten til en tilbyder av dataformidlingstjenester i Unionen bør være der tilbyderen har sin hovedadministrasjon i Unionen. Hovedvirksomheten til en tilbyder av dataformidlingstjenester i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesvirksomhet. Virksomheten til en tilbyder av dataformidlingstjenester bør overholde nasjonal rett i den medlemsstaten der tilbyderen har sin hovedvirksomhet.
42) For å sikre at tilbydere av dataformidlingstjenester overholder denne forordningen, bør de ha sin hovedvirksomhet i Unionen. En tilbyder av dataformidlingstjenester som ikke er etablert i Unionen, og som tilbyr tjenester i Unionen, bør utpeke en juridisk representant. Det er nødvendig å utpeke en juridisk representant i slike tilfeller, ettersom slike tilbydere av dataformidlingstjenester håndterer både personopplysninger og kommersielt fortrolige data, noe som krever nøye overvåking av om tilbyderne av dataformidlingstjenester overholder denne forordningen. For å avgjøre om en slik tilbyder av dataformidlingstjenester tilbyr tjenester i Unionen, bør det fastslås om det er åpenbart at tilbyderen av dataformidlingstjenester planlegger å tilby tjenester til personer i én eller flere medlemsstater. Bare det forhold at et nettsted eller en e-postadresse og andre kontaktopplysninger tilhørende tilbyderen av dataformidlingstjenester er tilgjengelig i Unionen, eller at det brukes et språk som vanligvis brukes i det tredjelandet der tilbyderen av dataformidlingstjenester er etablert, bør ikke være tilstrekkelig til å fastslå en slik hensikt. Imidlertid kan slike forhold som bruk av et språk eller en valuta som vanligvis brukes i én eller flere medlemsstater, og mulighet til å bestille tjenester på dette språket, eller omtale av brukere i Unionen, gjøre det åpenbart at tilbyderen av dataformidlingstjenester planlegger å tilby tjenester i Unionen.

En utpekt juridisk representant bør handle på vegne av tilbyderen av dataformidlingstjenester, og vedkommende myndigheter for dataformidlingstjenester bør kunne henvende seg til den juridiske representanten i tillegg til eller i stedet for en tilbyder av dataformidlingstjenester, herunder ved overtredelse, for å innlede håndhevingstiltak mot en tilbyder av dataformidlingstjenester som ikke oppfyller kravene, og som ikke er etablert i Unionen. Den juridiske representanten bør utpekes gjennom en skriftlig fullmakt fra tilbyderen av dataformidlingstjenester til å opptre på dennes vegne med hensyn til dennes forpliktelser i henhold til denne forordningen.
43) For å bistå registrerte og datainnehavere med lett å identifisere og dermed øke tilliten til tilbydere av dataformidlingstjenester som er anerkjent i Unionen, bør det i tillegg til betegnelsen «tilbyder av dataformidlingstjenester som er anerkjent i Unionen» opprettes en felles logo som kan gjenkjennes i hele Unionen.
44) Vedkommende myndigheter for dataformidlingstjenester som utpekes for å kontrollere at tilbyderne av dataformidlingstjenestene oppfyller kravene i denne forordningen, bør velges på bakgrunn av sin kapasitet og ekspertise innen horisontal eller sektorspesifikk datadeling. De bør være uavhengige av enhver tilbyder av dataformidlingstjenester og utføre sine oppgaver på en gjennomsiktig og upartisk måte. Medlemsstatene bør underrette Kommisjonen om identiteten til disse vedkommende myndighetene for dataformidlingstjenester. Vedkommende myndigheter for dataformidlingstjenesters myndighet og myndighetsområder bør ikke berøre personvernmyndighetenes myndighet. Særlig når det gjelder eventuelle spørsmål som krever en vurdering av om forordning (EU) 2016/679 er overholdt, skal vedkommende myndighet for dataformidlingstjenester, dersom det er relevant, be om en uttalelse eller beslutning fra vedkommende tilsynsmyndighet som er etablert i henhold til nevnte forordning.
45) Det finnes et stort potensial for formål av allmenn interesse ved bruk av data som registrerte frivillig stiller til rådighet via informert samtykke eller, når det gjelder andre opplysninger enn personopplysninger, som datainnehavere stiller til rådighet. Slike formål kan omfatte blant annet helsetjenester, bekjempelse av klimaendringer, forbedring av mobiliteten, fremming av utvikling, utarbeiding og formidling av offisiell statistikk, forbedring av offentlige tjenester eller utforming av offentlig politikk. Støtte til vitenskapelig forskning bør også anses som et formål av allmenn interesse. Denne forordningen bør ha som mål å bidra til at det opprettes tilstrekkelig store datasamlinger som stilles til rådighet på grunnlag av dataaltruisme, slik at dataanalyse og maskinlæring er mulig, i hele Unionen. For å nå dette målet bør medlemsstatene kunne innføre organisatoriske eller tekniske ordninger, eller begge deler, som fremmer dataaltruisme. Slike ordninger kan innebære tilgang for registrerte eller datainnehavere til verktøy som er enkle å bruke for å gi samtykke eller tillatelse til altruistisk bruk av deres data, gjennomføring av holdningskampanjer eller en strukturert utveksling mellom vedkommende myndigheter om hvordan dataaltruisme kan gagne offentlig politikk, for eksempel forbedring av trafikk og folkehelse og bekjempelse av klimaendringer. For dette formålet bør medlemsstatene kunne fastsette nasjonale retningslinjer for dataaltruisme. Registrerte bør kunne motta godtgjørelse bare knyttet til de kostnadene de pådrar seg når de stiller sine data til rådighet for formål av allmenn interesse.
46) Det forventes at registreringen av anerkjente dataaltruismeorganisasjoner og bruken av betegnelsen «dataaltruismeorganisasjon som er anerkjent i Unionen» fører til at det opprettes sentrale datalagre. Registrering i en medlemsstat vil være gyldig i hele Unionen og forventes å fremme bruk av data over landegrensene i Unionen og framvekst av datasamlinger som omfatter flere medlemsstater. Datainnehavere kan gi tillatelse til behandling av deres andre opplysninger enn personopplysninger for en rekke formål som ikke er fastsatt på det tidspunktet tillatelsen gis. Anerkjente dataaltruismeorganisasjoners oppfyllelse av et sett krav som fastsatt i denne forordningen bør skape tillit til at de dataene som stilles til rådighet for altruistiske formål, tjener et formål av allmenn interesse. Tilliten bør særlig være en følge av at de anerkjente dataaltruismeorganisasjonene er etablert i eller har en juridisk representant i Unionen, og av kravet om at de er ideelle organisasjoner, av krav om åpenhet og av særlige beskyttelsestiltak for å verne registrertes og foretaks rettigheter og interesser.

Andre beskyttelsestiltak bør blant annet være å gjøre det mulig å behandle relevante data i et sikkert behandlingsmiljø som driftes av de anerkjente dataaltruismeorganisasjonene, tilsynsordninger som etiske råd eller utvalg, herunder representanter fra det sivile samfunn for å sikre at den behandlingsansvarlige opprettholder høye standarder for vitenskapelig etikk og vern av grunnleggende rettigheter, effektive og tydelig kommuniserte tekniske midler for å trekke tilbake eller endre et samtykke når som helst basert på databehandleres opplysningsplikt i henhold til forordning (EU) 2016/679 samt midler som gjør at registrerte kan holde seg informert om bruken av de dataene som de har stilt til rådighet. Registrering som en anerkjent dataaltruismeorganisasjon bør ikke være en forutsetning for å drive dataaltruismevirksomhet. Kommisjonen bør ved hjelp av delegerte rettsakter utarbeide et regelverk i tett samarbeid med dataaltruismeorganisasjoner og relevante berørte parter. Overholdelse av dette regelverket bør være et krav for registrering som anerkjent dataaltruismeorganisasjon.
47) For å hjelpe registrerte og datainnehavere med enkelt å identifisere og dermed øke tilliten til anerkjente dataaltruismeorganisasjoner bør det innføres en felles logo som kan gjenkjennes i hele Unionen. Den felles logoen bør ledsages av en QR-kode med en lenke til det offentlige unionsregisteret over anerkjente dataaltruismeorganisasjoner.
48) Denne forordningen bør ikke berøre opprettelse, organisering og drift av enheter som ønsker å drive med dataaltruisme i henhold til nasjonal rett og bygger på krav i nasjonal rett til å drive lovlig virksomhet i en medlemsstat som ideell organisasjon.
49) Denne forordningen bør ikke berøre opprettelsen, organiseringen og driften av andre enheter enn offentlige organer som arbeider med deling av data og innhold på grunnlag av åpne lisenser, og som dermed bidrar til opprettelsen av felles ressurser som er tilgjengelige for alle. Dette bør omfatte åpne samarbeidsplattformer for kunnskapsdeling, vitenskapelige og akademiske sentrale databaser med åpen tilgang, utviklingsplattformer for programvare med åpen kildekode og plattformer for innholdsaggregering med åpen tilgang.
50) Anerkjente dataaltruismeorganisasjoner bør kunne samle inn relevante data direkte fra fysiske og juridiske personer eller behandle data som er samlet inn av andre. Dataaltruismeorganisasjoner kan samle inn data for formål som de selv fastsetter, eller de kan eventuelt la tredjeparter behandle dem for disse formål. Dersom anerkjente dataaltruismeorganisasjoner er behandlingsansvarlige eller databehandlere som definert i forordning (EU) 2016/679, bør de overholde nevnte forordning. Dataaltruisme vil vanligvis være basert på de registrertes samtykke i henhold til artikkel 6 nr. 1 bokstav a) og artikkel 9 nr. 2 bokstav a) i forordning (EU) 2016/679, som bør være i samsvar med kravene om lovlig samtykke i artikkel 7 og 8 i nevnte forordning. I samsvar med forordning (EU) 2016/679 kan vitenskapelige forskningsformål støttes av samtykke til visse vitenskapelige forskningsområder dersom de er i samsvar med anerkjente etiske standarder for vitenskapelig forskning, eller bare til visse forskningsområder eller deler av forskningsprosjekter. I artikkel 5 nr. 1 bokstav b) i forordning (EU) 2016/679 fastsettes det at viderebehandling for vitenskapelige eller historiske forskningsformål eller for statistiske formål i samsvar med artikkel 89 nr. 1 i forordning (EU) 2016/679 ikke anses som uforenlig med de opprinnelige formålene. Bruksbegrensningene for andre opplysninger enn personopplysninger bør framgå av den tillatelsen som datainnehaveren har gitt.
51) Vedkommende myndigheter for registrering av dataaltruismeorganisasjoner som utpekes til å overvåke at anerkjente dataaltruismeorganisasjoner oppfyller kravene i denne forordningen, bør velges på grunnlag av deres kapasitet og ekspertise. De bør være uavhengige av enhver dataaltruismeorganisasjon og utføre sine oppgaver på en gjennomsiktig og upartisk måte. Medlemsstatene bør underrette Kommisjonen om identiteten til disse vedkommende myndighetene for registrering av dataaltruismeorganisasjoner. Vedkommende myndigheters myndighet og myndighetsområder for registrering av dataaltruismeorganisasjoner bør ikke berøre personvernmyndighetenes myndighet. Særlig når det gjelder spørsmål som krever en vurdering av om forordning (EU) 2016/679 er overholdt, skal vedkommende myndighet for registrering av dataaltruismeorganisasjoner, dersom det er relevant, be om en uttalelse eller beslutning fra vedkommende tilsynsmyndighet som er etablert i henhold til nevnte forordning.
52) For å styrke tilliten og øke rettssikkerheten og brukervennligheten i prosessen med å gi og trekke tilbake samtykke, særlig i forbindelse med vitenskapelig forskning og statistisk bruk av data som er stilt til rådighet på et altruistisk grunnlag, bør det utarbeides og brukes et europeisk skjema for samtykke til dataaltruisme i forbindelse med altruistisk datadeling. Et slikt skjema bør bidra til å tydeliggjøre for registrerte at tilgangen til og bruken av deres data vil skje i samsvar med deres samtykke og dessuten i fullt samsvar med reglene for vern av personopplysninger. Det bør også gjøre det lettere å tildele og trekke tilbake samtykke og kunne brukes til å effektivisere foretaks dataaltruisme og skape en ordning som gjør det mulig for slike foretak å trekke tilbake sin tillatelse til å bruke dataene. For å ta hensyn til særlige forhold i de enkelte sektorene, herunder ut fra et personvernperspektiv, bør det europeiske skjemaet for samtykke til dataaltruisme være basert på moduler, slik at det kan tilpasses bestemte sektorer og forskjellige formål.
53) For å sikre en vellykket gjennomføring av rammen for dataforvaltning bør det opprettes et europeisk datainnovasjonsråd i form av en ekspertgruppe. Det europeiske datainnovasjonsråd bør bestå av representanter for vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner i alle medlemsstatene, Det europeiske personvernråd, EUs datatilsyn, Den europeiske unions kontor for cybersikkerhet (ENISA), Kommisjonen, EUs SMB-representant eller en representant utpekt av nettverket av SMB-representanter og andre representanter for relevante organer i særskilte sektorer samt organer med særlig ekspertise. Det europeiske datainnovasjonsråd bør bestå av en rekke undergrupper, herunder en undergruppe for deltakelse fra berørte parter bestående av relevante representanter for næringslivet, for eksempel helse, miljø, landbruk, transport, energi, industriproduksjon, medier, kulturelle og kreative sektorer og statistikk samt for forskning, akademia, det sivile samfunn, standardiseringsorganisasjoner, relevante felles europeiske dataområder og andre relevante berørte parter og tredjeparter, blant annet organer med særlig ekspertise som nasjonale statistikkontorer.
54) Det europeiske datainnovasjonsråd bør bistå Kommisjonen med å samordne nasjonal praksis og nasjonale retningslinjer på de områdene som er omfattet av denne forordningen, og støtte tverrsektoriell bruk av data ved å følge prinsippene i den europeiske rammen for interoperabilitet (EIF) og ved bruk av europeiske og internasjonale standarder og spesifikasjoner, herunder gjennom EUs flerpartsforum om IKT-standardisering, basisvokabularene og byggesteinene i ordningen for et sammenkoplet Europa (CEF), og bør ta hensyn til det standardiseringsarbeidet som finner sted i særskilte sektorer eller på særskilte områder. Arbeidet med teknisk standardisering kan omfatte fastsettelse av prioriteringer for utvikling av standarder og fastsettelse og opprettholdelse av et sett med tekniske og rettslige standarder for overføring av data mellom to behandlingsmiljøer som gjør det mulig å organisere dataområder, særlig for å klargjøre og skille mellom hvilke standarder og typer praksis som er tverrsektorielle, og hvilke som er sektorspesifikke. Det europeiske datainnovasjonsråd bør samarbeide med sektorspesifikke organer, nettverk eller ekspertgrupper eller andre tverrsektorielle organisasjoner som driver med viderebruk av data. Når det gjelder dataaltruisme, bør Det europeiske datainnovasjonsråd bistå Kommisjonen med å utarbeide skjemaet for samtykke til dataaltruisme etter samråd med Det europeiske personvernråd. Ved å foreslå retningslinjer for felles europeiske dataområder bør Det europeiske datainnovasjonsråd støtte utviklingen av en fungerende europeisk dataøkonomi basert på disse dataområdene, som fastsatt i den europeiske datastrategien.
55) Medlemsstatene bør fastsette regler for sanksjoner som får anvendelse ved overtredelse av denne forordningen, og treffe alle nødvendige tiltak for å sikre at sanksjonene gjennomføres. De fastsatte sanksjonene bør være virkningsfulle, stå i forhold til overtredelsen og virke avskrekkende. Store avvik mellom reglene for sanksjoner kan føre til konkurransevridning i det digitale indre marked. Harmonisering av slike regler kan være fordelaktig i så måte.
56) For å sikre en effektiv håndheving av denne forordningen og sikre at tilbydere av dataformidlingstjenester og enheter som ønsker å registrere seg som anerkjente dataaltruismeorganisasjoner, kan få tilgang til og gjennomføre framgangsmåtene for melding og registrering i sin helhet på nettet og over landegrensene, bør slike prosedyrer tilbys gjennom den felles digitale portalen som er opprettet i samsvar med europaparlaments- og rådsforordning (EU) 2018/172429. Disse prosedyrene bør tilføyes til listen over prosedyrer i vedlegg II til forordning (EU) 2018/1724.
57) Forordning (EU) 2018/1724 bør derfor endres.
58) For å sikre at denne forordningen er formålstjenlig, bør myndigheten til å vedta rettsakter i henhold til artikkel 290 i TEUV delegeres til Kommisjonen for å utfylle denne forordningen, slik at det i særlige unionsrettsakter kan fastsettes særlige vilkår for overføring til tredjeland av bestemte kategorier av andre opplysninger enn personopplysninger som anses som svært sensitive, og ved å opprette et regelverk for anerkjente dataaltruismeorganisasjoner som inneholder informasjonskrav, tekniske krav og sikkerhetskrav samt kommunikasjonskjøreplaner og standarder for interoperabilitet som disse organisasjonene skal oppfylle. Det er særlig viktig at Kommisjonen holder hensiktsmessige samråd under sitt forberedende arbeid, herunder på ekspertnivå, og at disse samrådene gjennomføres i samsvar med prinsippene i den tverrinstitusjonelle avtalen av 13. april 2016 om bedre regelverksutforming30. For å sikre lik deltakelse i utarbeidingen av delegerte rettsakter skal Europaparlamentet og Rådet motta alle dokumenter samtidig som medlemsstatenes eksperter, og deres eksperter skal ha systematisk adgang til møter i Kommisjonens ekspertgrupper som utarbeider delegerte rettsakter.
59) For å sikre ensartede vilkår for gjennomføring av denne forordningen bør Kommisjonen gis gjennomføringsmyndighet til å bistå offentlige organer og viderebrukere med å overholde vilkårene for viderebruk i denne forordningen ved å fastsette standardavtalevilkår for viderebrukeres overføring av andre opplysninger enn personopplysninger til et tredjeland, erklære at et tredjelands rettslige, tilsynsmessige og håndhevingsmessige ordninger svarer til det vernet som sikres i henhold til unionsretten, utforme den felles logoen for tilbydere av dataformidlingstjenester og den felles logoen for anerkjente dataaltruismeorganisasjoner samt opprette og utarbeide det europeiske skjemaet for samtykke til dataaltruisme. Denne myndigheten bør utøves i samsvar med europaparlaments- og rådsforordning (EU) nr. 182/201131.
60) Denne forordningen bør ikke berøre anvendelsen av konkurransereglene, særlig ikke artikkel 101 og 102 i TEUV. Tiltakene i denne forordningen bør ikke brukes til å begrense konkurransen på en måte som er i strid med TEUV. Dette gjelder særlig reglene for utveksling av konkurransemessig sensitiv informasjon mellom faktiske eller potensielle konkurrenter gjennom dataformidlingstjenester.
61) EUs datatilsyn og Det europeiske personvernråd har blitt rådspurt i samsvar med artikkel 42 nr. 1 i forordning (EU) 2018/1725 og avga sin uttalelse 10. mars 2021.
62) De veiledende prinsippene for denne forordningen er overholdelse av de grunnleggende rettighetene og prinsippene som er anerkjent særlig i Den europeiske unions pakt om grunnleggende rettigheter, herunder retten til privatliv, vern av personopplysninger, friheten til å drive næringsvirksomhet, eiendomsretten og integreringen av personer med nedsatt funksjonsevne. I denne forbindelse bør de offentlige organene og tjenestene i henhold til denne forordningen, dersom det er relevant, overholde europaparlaments- og rådsdirektiv (EU) 2016/210232 og (EU) 2019/88233. Det bør også tas hensyn til universell utforming i forbindelse med informasjons- og kommunikasjonsteknologi, som er en bevisst og systematisk innsats for proaktiv bruk av prinsippene, metodene og verktøyene for å fremme universell utforming innen datarelatert teknologi, herunder internettbasert teknologi, slik at det ikke er nødvendig å måtte foreta tilpasninger eller spesialisert utforming i ettertid.
63) Ettersom formålene for denne forordningen, det vil si viderebruk i Unionen av visse kategorier av data som innehas av offentlige organer, samt opprettelse av en meldings- og tilsynsramme for levering av dataformidlingstjenester, en ramme for frivillig registrering av enheter som stiller data til rådighet for altruistiske formål, og en ramme for opprettelse av et europeisk datainnovasjonsråd ikke i tilstrekkelig grad kan nås av medlemsstatene, men snarere på grunn av formålenes omfang og virkninger bedre kan nås på unionsplan, kan Unionen treffe tiltak i samsvar med nærhetsprinsippet i artikkel 5 i traktaten om Den europeiske union. I samsvar med forholdsmessighetsprinsippet fastsatt i nevnte artikkel går denne forordningen ikke lenger enn det som er nødvendig for å nå disse formålene.

VEDTATT DENNE FORORDNINGEN:

Kapittel I

Alminnelige bestemmelser

Artikkel 1

Formål og virkeområde

1. I denne forordningen fastsettes
- a) vilkår for viderebruk i Unionen av visse kategorier av data som innehas av offentlige organer,
- b) en meldings- og tilsynsramme for levering av dataformidlingstjenester,
- c) en ramme for frivillig registrering av enheter som samler inn og behandler data som stilles til rådighet for altruistiske formål, og
- d) en ramme for opprettelse av et europeisk datainnovasjonsråd.
2. Denne forordningen medfører ikke at offentlige organer plikter å tillate viderebruk av data, og den fritar heller ikke offentlige organer fra de fortrolighetspliktene de har i henhold til unionsretten eller nasjonal rett.

Denne forordningen berører ikke
- a) særlige bestemmelser i unionsretten eller nasjonal rett om tilgang til eller viderebruk av visse kategorier av data, særlig når det gjelder tilgang til og offentliggjøring av offisielle dokumenter, og
- b) offentlige organers forpliktelser i henhold til unionsretten eller nasjonal rett til å tillate viderebruk av data eller krav knyttet til behandling av andre opplysninger enn personopplysninger.
Dersom det i sektorspesifikk unionsrett eller nasjonal rett kreves at offentlige organer, tilbydere av dataformidlingstjenester eller anerkjente dataaltruismeorganisasjoner oppfyller andre særlige tekniske, administrative eller organisatoriske krav, herunder gjennom en godkjennings- eller sertifiseringsordning, får disse bestemmelsene i den aktuelle sektorspesifikke unionsretten eller nasjonal rett også anvendelse. Slike særlige tilleggskrav skal være ikke-diskriminerende, forholdsmessige og objektivt begrunnet.
3. Unionsretten og nasjonal rett om vern av personopplysninger får anvendelse på alle personopplysninger som behandles i forbindelse med denne forordningen. Særlig berører denne forordningen ikke forordning (EU) 2016/679 og (EU) 2018/1725 og direktiv 2002/58/EF og (EU) 2016/680, herunder tilsynsmyndighetenes myndighet og myndighetsområder. Dersom det er konflikt mellom denne forordningen og unionsretten om vern av personopplysninger eller nasjonal rett som er vedtatt i samsvar med slik unionsrett, skal relevant unionsrett eller nasjonal rett om vern av personopplysninger ha forrang. Denne forordningen danner ikke et rettslig grunnlag for behandling av personopplysninger og påvirker ikke noen av rettighetene og forpliktelsene fastsatt i forordning (EU) 2016/679 eller (EU) 2018/1725 eller direktiv 2002/58/EF eller (EU) 2016/680.
4. Denne forordningen berører ikke anvendelsen av konkurranseretten.
5. Denne forordningen berører ikke medlemsstatenes myndighetsområder med hensyn til deres virksomhet som gjelder offentlig sikkerhet, forsvar og nasjonal sikkerhet.

Artikkel 2

Definisjoner

I denne forordningen menes med

1) «data» enhver digital framstilling av handlinger, fakta eller informasjon og enhver sammenstilling av slike handlinger, fakta eller informasjon, herunder i form av lyd- eller bildeopptak eller audiovisuelle opptak,
2) «viderebruk» fysiske eller juridiske personers bruk av data som innehas av offentlige organer, for andre kommersielle eller ikke-kommersielle formål enn det opprinnelige formålet i forbindelse med den offentlige oppgaven som dataene ble produsert for, bortsett fra utveksling av data mellom offentlige organer som utelukkende skjer i forbindelse med deres offentlige oppgaver,
3) «personopplysninger» personopplysninger som definert i artikkel 4 nr. 1 i forordning (EU) 2016/679,
4) «andre opplysninger enn personopplysninger» opplysninger som ikke er personopplysninger,
5) «samtykke» samtykke som definert i artikkel 4 nr. 11 i forordning (EU) 2016/679,
6) «tillatelse» å gi databrukere rett til å behandle andre opplysninger enn personopplysninger,
7) «registrert» en registrert person som nevnt i artikkel 4 nr. 1 i forordning (EU) 2016/679,
8) «datainnehaver» en juridisk person, herunder offentlige organer og internasjonale organisasjoner eller en fysisk person som ikke er en registrert med hensyn til de aktuelle særlige dataene, som i samsvar med gjeldende unionsrett eller nasjonal rett har rett til å gi tilgang til eller dele visse personopplysninger eller andre opplysninger enn personopplysninger,
9) «databruker» en fysisk eller juridisk person som har lovlig tilgang til visse personopplysninger eller andre opplysninger enn personopplysninger, og som har rett, herunder i henhold til forordning (EU) 2016/679 når det gjelder personopplysninger, til å bruke disse dataene til kommersielle eller ikke-kommersielle formål,
10) «datadeling» en registrerts eller datainnehavers levering av data til en databruker med sikte på felles eller individuell bruk av slike data, på grunnlag av frivillige avtaler, unionsretten eller nasjonal rett, direkte eller via en formidler, for eksempel i henhold til åpne eller kommersielle lisenser, mot et gebyr eller vederlagsfritt,
11) «dataformidlingstjeneste» en tjeneste som har som mål å opprette handelsforbindelser med sikte på datadeling mellom på den ene side et ubestemt antall registrerte og datainnehavere og på den annen side databrukere gjennom tekniske, rettslige eller andre midler, blant annet for utøvelse av registrertes rettigheter i forbindelse med personopplysninger, med unntak av minst følgende:
- a) Tjenester som samler inn data fra datainnehavere, og aggregerer, beriker eller omdanner dataene for å tilføre dem en betydelig verdi og utsteder lisenser for bruk av de resulterende dataene til databrukere, uten å opprette en handelsforbindelse mellom datainnehavere og databrukere.
- b) Tjenester som fokuserer på formidling av opphavsrettsbeskyttet innhold.
- c) Tjenester som utelukkende brukes av én datainnehaver for å gjøre det mulig å bruke de dataene som innehas av denne datainnehaveren, eller som brukes av flere juridiske personer i en lukket gruppe, herunder leverandør- eller kundeforhold eller avtalefestet samarbeid, særlig slike som har som hovedformål å sikre at gjenstander og innretninger knyttet til tingenes internett fungerer slik de skal.
- d) Datadelingstjenester som tilbys av offentlige organer som ikke har som mål å opprette handelsforbindelser.
12) «behandling» behandling som definert i artikkel 4 nr. 2 i forordning (EU) 2016/679 med hensyn til personopplysninger eller artikkel 3 nr. 2 i forordning (EU) 2018/1807 med hensyn til andre opplysninger enn personopplysninger,
13) «tilgang» databruk i samsvar med særlige tekniske, juridiske eller organisatoriske krav, uten at dette nødvendigvis innebærer overføring eller nedlasting av data,
14) «hovedvirksomhet» for en juridisk person stedet for dennes hovedadministrasjon i Unionen,
15) «tjenester fra datasamvirker» dataformidlingstjenester som tilbys via en organisasjonsstruktur som er opprettet av registrerte, enkeltpersonforetak eller SMB-er som er medlemmer av denne strukturen og har som hovedformål å støtte medlemmene når de vil utøve sine rettigheter med hensyn til visse data, slik at de blant annet kan treffe velbegrunnede valg før de samtykker til databehandling, utveksle synspunkter om formålene og vilkårene for databehandling som best ivaretar medlemmenes interesser når det gjelder deres data, og forhandle om vilkår for databehandling på vegne av sine medlemmer før de gir tillatelse til behandling av andre opplysninger enn personopplysninger, eller før de gir sitt samtykke til behandling av personopplysninger,
16) «dataaltruisme» frivillig deling av data på grunnlag av samtykke fra registrerte til å behandle personopplysninger som gjelder dem, eller tillatelser fra datainnehavere til å tillate bruk av deres andre opplysninger enn personopplysninger uten å kreve eller motta en belønning som overstiger en godtgjørelse for de kostnadene de pådrar seg ved å stille sine data til rådighet for formål av allmenn interesse som definert i nasjonal rett dersom det er relevant, for eksempel helsetjenester, bekjempelse av klimaendringer, forbedring av mobiliteten, tilrettelegging for utvikling, utarbeiding og formidling av offisiell statistikk, forbedret levering av offentlige tjenester, utforming av offentlig politikk eller vitenskapelige forskningsformål av allmenn interesse,
17) «offentlig organ» statlige, regionale eller lokale myndigheter, offentligrettslige organer eller sammenslutninger av én eller flere slike myndigheter eller ett eller flere slike offentligrettslige organer,
18) «offentligrettslige organer» organer som kjennetegnes av følgende:
- a) De er opprettet særskilt for å oppfylle behov av allmenn interesse og er ikke av industriell eller kommersiell art.
- b) De er rettssubjekter.
- c) De er i hovedsak finansiert av de statlige, regionale eller lokale myndigheter, eller andre offentligrettslige organer, står under administrativt tilsyn av slike myndigheter eller organer; eller har et administrasjons-, ledelses- eller kontrollorgan der over halvparten av medlemmene er utpekt av de statlige, regionale eller lokale myndighetene eller andre offentligrettslige organer.
19) «offentlig foretak» ethvert foretak som offentlige organer direkte eller indirekte kan utøve en dominerende innflytelse på som følge av eierforhold, finansiell deltakelse eller reglene som gjelder for det; i denne definisjonen skal de offentlige organene anses for å utøve dominerende innflytelse når disse organene direkte eller indirekte
- a) eier størstedelen av foretakets tegnede kapital,
- b) kontrollerer flertallet av de stemmene som er knyttet til aksjer foretaket har utstedt,
- c) kan utnevne mer enn halvparten av medlemmene i foretakets administrasjons-, ledelses- eller kontrollorgan,
20) «sikkert behandlingsmiljø» et fysisk eller virtuelt miljø samt organisatoriske midler for å sikre overholdelse av unionsretten, for eksempel forordning (EU) 2016/679, særlig når det gjelder registrertes rettigheter, immaterialrettigheter og fortrolig behandling av kommersielle og statistiske opplysninger, integritet og tilgjengelighet samt gjeldende unionsrett og nasjonal rett, og å gjøre det mulig for den enheten som sørger for et sikkert databehandlingsmiljø, å fastsette og føre tilsyn med alle databehandlingstiltak, herunder visning, lagring, nedlasting og eksport av data og beregning av avledede data ved hjelp av dataalgoritmer,
21) «juridisk representant» en fysisk eller juridisk person som er etablert i Unionen, og som er uttrykkelig utpekt til å handle på vegne av en tilbyder av dataformidlingstjenester eller en enhet som samler inn data for formål av allmenn interesse som fysiske eller juridiske personer har stilt til rådighet på grunnlag av dataaltruisme, og som ikke er etablert i Unionen, som vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner kan henvende seg til i tillegg til eller i stedet for tilbyderen av dataformidlingstjenester eller enheten med hensyn til forpliktelsene i henhold til denne forordningen, herunder når det gjelder å innlede en håndhevingsprosedyre mot en tilbyder av dataformidlingstjenester eller enhet som ikke oppfyller kravene, eller som ikke er etablert i Unionen.

Kapittel II

Viderebruk av visse kategorier av beskyttede data som innehas offentlige organer

Artikkel 3

Kategorier av data

1. Dette kapittelet får anvendelse på data som innehas av offentlige organer, og som er beskyttet på grunnlag av
- a) fortrolig behandling av forretningsopplysninger, herunder forretningshemmeligheter, yrkeshemmeligheter og selskapshemmeligheter,
- b) fortrolig behandling av statistiske opplysninger,
- c) vern av tredjeparters immaterialrettigheter eller
- d) vern av personopplysninger, i den grad slike data ikke er omfattet av direktiv (EU) 2019/1024.
2. Dette kapittelet får ikke anvendelse på
- a) data som innehas av offentlige foretak,
- b) data som innehas av allmennkringkastere og deres datterforetak og av andre organer eller deres datterforetak i forbindelse med utførelsen av en allmennkringkastingsoppgave,
- c) data som innehas av kultur- og utdanningsinstitusjoner,
- d) data som innehas av offentlige organer som er beskyttet av hensyn til offentlig sikkerhet, forsvar eller nasjonal sikkerhet, eller
- e) data som stilles til rådighet uten at dette omfattes av de berørte offentlige organenes offentlige oppgaver i henhold til lov eller andre bindende regler i den berørte medlemsstaten, eller, i mangel av slike regler, som fastsatt i samsvar med vanlig forvaltningspraksis i den aktuelle medlemsstaten, forutsatt at de offentlige oppgavenes virkeområde er åpent for innsyn og kan revurderes.
3. Dette kapittelet berører ikke
- a) unionsretten og nasjonal rett og internasjonale avtaler som Unionen eller medlemsstatene er part i, og som gjelder vern av de kategoriene av data som er nevnt i nr. 1, og
- b) unionsretten og nasjonal rett om tilgang til dokumenter.

Artikkel 4

Forbud mot avtaler om enerett

1. Avtaler eller annen praksis forbundet med viderebruk av data som innehas av offentlige organer, og som inneholder de kategoriene av data som er nevnt i artikkel 3 nr. 1, og som gir enerett eller har som mål eller virkning å gi enerett eller begrense tilgjengeligheten av data for viderebruk for andre enheter enn partene i slike avtaler eller annen praksis, skal være forbudt.
2. Som unntak fra nr. 1 kan det gis enerett til å viderebruke data omhandlet i nevnte nummer i den grad det er nødvendig for å levere en tjeneste eller et produkt av allmenn interesse som ellers ikke ville være mulig.
3. En enerett som nevnt i nr. 2 skal tildeles gjennom et administrativt tiltak eller en avtalemessig ordning i samsvar med gjeldende unionsrett eller nasjonal rett og i samsvar med prinsippene om åpenhet, likebehandling og ikke-diskriminering.
4. Eneretten til viderebruk av data skal ikke vare lenger enn tolv måneder. Dersom det inngås en kontrakt, skal kontrakten vare like lenge som eneretten.
5. Tildelingen av en enerett i henhold til nr. 2, 3 og 4, herunder begrunnelsen for at det er nødvendig å tildele en slik rett, skal være gjennomsiktig og offentliggjøres på nettet i en form som er i samsvar med relevant unionsrett om offentlige innkjøp.
6. Avtaler eller annen praksis som er omfattet av forbudet i nr. 1, som ikke oppfyller vilkårene i nr. 2 og 3, og som ble inngått før 23. juni 2022, skal opphøre ved utløpet av den gjeldende avtalen og under alle omstendigheter senest 24. desember 2024.

Artikkel 5

Vilkår for viderebruk

1. Offentlige organer som i henhold til nasjonal rett har myndighet til å gi eller nekte tilgang til viderebruk av én eller flere av de kategoriene av data som er nevnt i artikkel 3 nr. 1, skal offentliggjøre vilkårene for slik viderebruk og prosedyren for å anmode om viderebruk via det sentrale informasjonspunktet nevnt i artikkel 8. Når de gir eller nekter tilgang til viderebruk, kan de bistås av vedkommende organer nevnt i artikkel 7 nr. 1.

Medlemsstatene skal sikre at offentlige organer har nødvendige ressurser for å overholde denne artikkelen.
2. Vilkårene for viderebruk skal være ikke-diskriminerende, gjennomsiktige, forholdsmessige og objektivt begrunnet med hensyn til de kategoriene av data, de formålene for viderebruk og den arten av data som det er tillatt å viderebruke. Disse vilkårene skal ikke brukes til å begrense konkurransen.
3. Offentlige organer skal i samsvar med unionsretten og nasjonal rett sikre at dataenes beskyttede art ivaretas. De kan fastsette følgende krav:
- a) At tilgang til viderebruk av data gis bare dersom det offentlige organet eller vedkommende organ har sikret at dataene etter anmodningen om viderebruk er blitt
  - i) anonymisert når det gjelder personopplysninger, og
  - ii) endret, samlet eller behandlet med en annen metode for kontroll med offentliggjøring når det gjelder kommersielt fortrolig informasjon, herunder forretningshemmeligheter eller innhold som er beskyttet av immaterialrettigheter.
- b) At data er tilgjengelige og viderebrukes via fjerntilgang i et sikkert behandlingsmiljø som det offentlige organet stiller til rådighet eller kontrollerer.
- c) At data er tilgjengelige og viderebrukes i samsvar med høye sikkerhetsstandarder i de fysiske lokalene der det sikre behandlingsmiljøet befinner seg, forutsatt at fjerntilgang ikke kan tillates uten at tredjeparters rettigheter og interesser settes i fare.
4. Dersom viderebruk er tillatt i samsvar med nr. 3 bokstav b) og c), skal de offentlige organene fastsette vilkår som ivaretar integriteten til de tekniske systemenes funksjon i det sikre behandlingsmiljøet som brukes. Det offentlige organet skal ha rett til å kontrollere prosessen, metodene og eventuelle resultater av viderebrukerens behandling av data for å bevare integriteten i vernet av dataene og ha rett til å forby bruk av resultater som inneholder informasjon som setter tredjeparters rettigheter og interesser i fare. Beslutningen om å forby bruk av resultatene skal være forståelig og tydelig for viderebrukeren.
5. Med mindre det i nasjonal rett ikke er fastsatt særlige beskyttelsestiltak for gjeldende fortrolighetsplikt i forbindelse med viderebruk av data nevnt i artikkel 3 nr. 1, skal det offentlige organet gjøre viderebruken av de leverte dataene i samsvar med nr. 3 i denne artikkelen betinget av at viderebrukeren retter seg etter en fortrolighetsplikt som forbyr utlevering av informasjon som setter tredjeparters rettigheter og interesser i fare, og som viderebrukeren kan ha fått i sin besittelse tross de beskyttelsestiltakene som er innført. Det skal være forbudt for viderebrukere å gjenidentifisere de registrerte som dataene gjelder, og de skal treffe tekniske og operative tiltak for å hindre gjenidentifisering og underrette det offentlige organet om brudd på personopplysningssikkerheten som kan føre til gjenidentifisering av de berørte registrerte. Ved uautorisert viderebruk av andre opplysninger enn personopplysninger skal viderebrukeren uten opphold, eventuelt med bistand fra det offentlige organet, underrette de juridiske personene som opplever at deres rettigheter og interesser kan bli berørt.
6. Dersom viderebruk av data ikke kan tillates i samsvar med forpliktelsene fastsatt i nr. 3 og 4 og det ikke foreligger noe rettslig grunnlag for overføring av dataene i henhold til forordning (EU) 2016/679, skal det offentlige organet i samsvar med unionsretten og nasjonal rett gjøre sitt ytterste for å bistå potensielle viderebrukere med å innhente samtykke fra de registrerte eller tillatelse fra de datainnehaverne som opplever at deres rettigheter og interesser kan bli påvirket av slik viderebruk, dersom det er mulig uten uforholdsmessig store byrder for det offentlige organet. Når det offentlige organet yter slik bistand, kan det bistås av vedkommende organer nevnt i artikkel 7 nr. 1.
7. Viderebruk av data skal bare være tillatt i samsvar med immaterialrettigheter. En databaseprodusents rettighet som fastsatt i artikkel 7 nr. 1 i direktiv 96/9/EF skal ikke utøves av offentlige organer for å hindre viderebruk av data eller begrense viderebruk utover de grensene som er fastsatt i denne forordningen.
8. Dersom anmodede data anses som fortrolige i samsvar med unionsretten eller nasjonal rett om fortrolig behandling av kommersielle eller statistiske opplysninger, skal de offentlige organene sikre at de fortrolige dataene ikke utleveres som følge av at viderebruk tillates, med mindre slik viderebruk er tillatt i samsvar med nr. 6.
9. Når en viderebruker har til hensikt å overføre til et tredjeland andre opplysninger enn personopplysninger som er beskyttet på grunnlag av artikkel 3 nr. 1, skal vedkommende underrette det offentlige organet om intensjonen om å overføre slike data og om formålet med slik overføring på tidspunktet for anmodning om viderebruk av slike data. Ved viderebruk i samsvar med nr. 6 i denne artikkelen skal viderebrukeren, eventuelt med bistand fra det offentlige organet, underrette den juridiske personen som opplever at deres rettigheter og interesser kan bli berørt, om denne hensikten, dette formålet og de egnede beskyttelsestiltakene. Det offentlige organet skal ikke tillate viderebruk, med mindre den juridiske personen gir tillatelse til overføringen.
10. Offentlige organer skal overføre andre fortrolige opplysninger enn personopplysninger eller data som er beskyttet av immaterialrettigheter, til en viderebruker som har til hensikt å overføre disse dataene til et annet tredjeland enn et land som er utpekt i samsvar med nr. 12, bare dersom viderebrukeren avtalemessig forplikter seg til å
- a) overholde de forpliktelsene som er pålagt i henhold til nr. 7–8, også etter at dataene er overført til tredjelandet, og
- b) anerkjenne jurisdiksjonen til domstolene i det overførende offentlige organets medlemsstat med hensyn til eventuelle tvister om overholdelse av nr. 7 og 8.
11. Offentlige organer skal, dersom det er relevant og i den grad de kan, gi veiledning og bistand til viderebrukere i forbindelse med oppfyllelse av forpliktelsene nevnt i nr. 10 i denne artikkelen.

For å støtte offentlige organer og viderebrukere kan Kommisjonen vedta gjennomføringsrettsakter som fastsetter standardavtalevilkår for å overholde forpliktelsene nevnt i nr. 10 i denne artikkelen. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren omhandlet i artikkel 33 nr. 3.
12. Dersom det kan begrunnes ut fra et betydelig antall anmodninger i hele Unionen om viderebruk av andre opplysninger enn personopplysninger i bestemte tredjeland, kan Kommisjonen vedta gjennomføringsrettsakter der det fastsettes at et tredjelands rettslige, tilsynsmessige og håndhevingsmessige ordninger
- a) sikrer vern av immaterialrettigheter og forretningshemmeligheter på en måte som i all hovedsak svarer til det vernet som sikres i henhold til unionsretten,
- b) anvendes og håndheves på en effektiv måte og
- c) omfatter effektive rettsmidler.
Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren omhandlet i artikkel 33 nr. 3.
13. I henhold til særlige unionsrettsakter kan visse kategorier av andre opplysninger enn personopplysninger som innehas av offentlige organer, anses for å være svært sensitive ved anvendelse av denne artikkelen, når overføring av dem til tredjeland kan sette i fare Unionens offentlige politiske mål, for eksempel sikkerhet og folkehelse, eller føre til risiko for gjenidentifisering av andre anonymiserte opplysninger enn personopplysninger. Dersom en slik rettsakt vedtas, skal Kommisjonen i samsvar med artikkel 32 vedta delegerte rettsakter som utfyller denne forordningen ved å fastsette særlige vilkår for overføring av slike data til tredjeland.

Disse særlige vilkårene skal bygge på arten av de kategoriene av andre opplysninger enn personopplysninger som er fastsatt i den særlige unionsrettsakten, og på grunnene til at disse kategoriene anses som svært sensitive, idet det tas hensyn til risikoen for gjenidentifisering av anonymiserte andre opplysninger enn personopplysninger. De skal være ikke-diskriminerende og begrenset til det som er nødvendig for å nå Unionens offentlige politiske mål som er fastsatt i nevnte rettsakt, i samsvar med Unionens internasjonale forpliktelser.

Dersom bestemte unionsrettsakter i henhold til første ledd krever det, kan slike særlige vilkår omfatte vilkår for overføring eller tekniske ordninger i denne forbindelse, begrensninger med hensyn til viderebruk av data i tredjeland eller kategorier av personer som har rett til å overføre slike data til tredjeland, eller, i særlige tilfeller, begrensninger med hensyn til overføringer til tredjeland.
14. Den fysiske eller juridiske personen som har fått rett til å viderebruke andre opplysninger enn personopplysninger, kan bare overføre dataene til de tredjelandene som oppfyller kravene i nr. 10, 12 og 13.

Artikkel 6

Gebyrer

1. Offentlige organer som tillater viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1, kan kreve gebyrer for å tillate viderebruk av slike data.
2. Gebyrer som skal betales i henhold til nr. 1, skal være gjennomsiktige, ikke-diskriminerende, forholdsmessige og objektivt begrunnet og skal ikke begrense konkurransen.
3. Offentlige organer skal sikre at eventuelle gebyrer også kan betales på nettet via allment tilgjengelige betalingstjenester over landegrensene, uten forskjellsbehandling basert på hvor betalingstjenesteyteren er etablert, hvor betalingsinstrumentet er utstedt, eller hvor betalingskontoen befinner seg i Unionen.
4. Dersom offentlige organer krever gebyrer, skal de treffe tiltak for å stimulere til viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1 for ikke-kommersielle formål, for eksempel vitenskapelig forskning, og av SMB-er og nyetablerte foretak i samsvar med reglene for statsstøtte. I denne forbindelse kan offentlige organer også stille dataene til rådighet til nedsatt gebyr eller vederlagsfritt, særlig for SMB-er og nyetablerte foretak, det sivile samfunn og utdanningsinstitusjoner. Offentlige organer kan for dette formålet opprette en liste over kategorier av viderebrukere som data for viderebruk kan stilles til rådighet for til et nedsatt gebyr eller vederlagsfritt. Denne listen og kriteriene for opprettelse av den skal offentliggjøres.
5. Gebyrene skal beregnes på grunnlag av kostnadene ved å gjennomføre prosedyren for anmodninger om viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1, og være begrenset til nødvendige kostnader i forbindelse med
- a) reproduksjon, levering og formidling av data,
- b) klarering av rettigheter,
- c) anonymisering eller andre former for forberedelse av personopplysninger og kommersielt fortrolige data som fastsatt i artikkel 5 nr. 3,
- d) opprettholdelse av et sikkert behandlingsmiljø,
- e) oppnåelse av retten til å tillate viderebruk for tredjeparter i samsvar med dette kapittelet utenfor offentlig sektor og
- f) bistand til viderebrukere som innhenter samtykke fra registrerte og tillatelse fra datainnehavere som kan oppleve av deres rettigheter og interesser blir berørt av slik viderebruk.
6. Kriteriene og metoden for beregning av gebyrer skal fastsettes av medlemsstatene og offentliggjøres. Det offentlige organet skal offentliggjøre en beskrivelse av de viktigste kostnadskategoriene og reglene som brukes til fordeling av kostnadene.

Artikkel 7

Vedkommende organer

1. For å utføre oppgavene nevnt i denne artikkelen skal hver medlemsstat utpeke ett eller flere vedkommende organer, som kan ha myndighet for bestemte sektorer, og som skal bistå de offentlige organene som gir eller nekter tilgang til viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1. Medlemsstatene kan enten opprette ett eller flere nye vedkommende organer eller benytte eksisterende offentlige organer eller interne tjenester hos offentlige organer som oppfyller vilkårene i denne forordningen.
2. Vedkommende organer kan gis myndighet til å gi tilgang til viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1 i henhold til unionsretten eller nasjonal rett om slik tilgang. Når de gir eller nekter tilgang til viderebruk, får artikkel 4, 5, 6 og 9 anvendelse på disse vedkommende organene.
3. Vedkommende organer skal ha tilstrekkelig juridiske, økonomiske, tekniske og menneskelige ressurser til å utføre de oppgavene de har fått tildelt, herunder den nødvendige tekniske kunnskapen til å kunne overholde relevant unionsrett eller nasjonal rett om ordningene for tilgang til de kategoriene av data som er nevnt i artikkel 3 nr. 1.
4. Bistanden nevnt i nr. 1 skal ved behov omfatte
- a) teknisk støtte ved å stille til rådighet et sikkert behandlingsmiljø for tilgang til viderebruk av data,
- b) veiledning og teknisk støtte til hvordan data best kan organiseres og lagres, slik at de blir lett tilgjengelige,
- c) teknisk støtte til pseudonymisering og til å sikre at databehandling skjer på en måte som effektivt ivaretar personvernet, fortroligheten, integriteten og tilgjengeligheten til informasjonen i de dataene som det er tillatt å viderebruke, herunder teknikker for anonymisering, generalisering, undertrykking og randomisering av personopplysninger eller andre avanserte teknikker for å ivareta personvernet, og sletting av kommersielt fortrolig informasjon, herunder forretningshemmeligheter eller innhold som er beskyttet av immaterialrettigheter,
- d) dersom det er relevant, bistand til offentlige organer, slik at de kan støtte viderebrukere når de innhenter samtykke til viderebruk fra registrerte eller tillatelse fra datainnehavere i tråd med deres særlige beslutninger, herunder om den jurisdiksjonen der databehandlingen er planlagt å finne sted, og bistand til offentlige organer når de innfører tekniske ordninger som gjør det mulig å videresende anmodninger om samtykke eller tillatelse fra viderebrukere når det er praktisk mulig,
- e) bistand til offentlige organer med sikte på å vurdere om de avtaleforpliktelsene en viderebruker har påtatt seg, er tilstrekkelige i henhold til artikkel 5 nr. 10.
5. Hver medlemsstat skal senest 24. september 2023 underrette Kommisjonen om identiteten til de vedkommende organene som er utpekt i henhold til nr. 1. Hver medlemsstat skal også underrette Kommisjonen om eventuelle senere endringer av disse vedkommende organenes identitet.

Artikkel 8

Sentrale informasjonspunkter

1. Medlemsstatene skal sikre at all relevant informasjon om anvendelsen av artikkel 5 og 6 er tilgjengelig og lett å få tilgang til via et sentralt informasjonspunkt. Medlemsstatene skal opprette et nytt organ eller utpeke et eksisterende organ eller en eksisterende struktur som det sentrale informasjonspunktet. Det sentrale informasjonspunktet kan være forbundet med sektorspesifikke, regionale eller lokale informasjonspunkter. Det sentrale informasjonspunktets funksjoner kan automatiseres, forutsatt at det offentlige organet sikrer tilstrekkelig støtte.
2. Det sentrale informasjonspunktet skal ha kompetanse til å motta forespørsler eller anmodninger om viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1, og skal, dersom det er mulig og hensiktsmessig, automatisk overføre dem til vedkommende offentlige organer eller vedkommende organer som nevnt i artikkel 7 nr. 1, dersom det er relevant. Det sentrale informasjonspunktet skal elektronisk stille til rådighet en søkbar liste over ressurser som skal inneholde en oversikt over alle tilgjengelige dataressurser, herunder eventuelt de dataressursene som er tilgjengelige ved sektorspesifikke, regionale og lokale informasjonspunkter, med relevant informasjon som beskriver de tilgjengelige dataene, herunder minst dataformatet og – størrelsen samt vilkårene for viderebruk av dem.
3. Det sentrale informasjonspunktet kan opprette en separat, forenklet og godt dokumentert informasjonskanal for SMB-er og nyetablerte foretak som ivaretar deres behov og kapasitet i forbindelse med anmodning om viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1.
4. Kommisjonen skal opprette et europeisk enkelt tilknytningspunkt som tilbyr et søkbart elektronisk dataregister som er tilgjengelig i de nasjonale sentrale informasjonspunktene, og ytterligere informasjon om hvordan det er mulig å anmode om data via disse nasjonale sentrale informasjonspunktene.

Artikkel 9

Prosedyre for anmodninger om viderebruk

1. Med mindre det er fastsatt kortere frister i samsvar med nasjonal rett, skal vedkommende offentlige organer eller vedkommende organer som nevnt i artikkel 7 nr. 1 vedta en beslutning om anmodningen om viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1, senest to måneder etter datoen for mottak av anmodningen.

Ved usedvanlig omfattende og komplekse anmodninger om viderebruk kan denne tomånedersperioden forlenges med høyst 30 dager. I slike tilfeller skal vedkommende offentlige organer eller vedkommende organer nevnt i artikkel 7 nr. 1 snarest mulig underrette søkeren om at det er nødvendig med mer tid til å gjennomføre prosedyren, og om hvorfor forsinkelsen har oppstått.
2. Enhver fysisk eller juridisk person som påvirkes direkte av en beslutning som nevnt i nr. 1, skal ha en effektiv klageadgang i den medlemsstaten der det relevante organet befinner seg. En slik klageadgang skal være fastsatt i nasjonal rett og omfatte muligheten til prøving via et upartisk organ med nødvendig ekspertise, for eksempel den nasjonale konkurransemyndigheten, den relevante myndigheten for dokumenttilgang, tilsynsmyndigheten opprettet i samsvar med forordning (EU) 2016/679 eller en nasjonal rettsmyndighet, som tar beslutninger som er bindende for det berørte offentlige eller vedkommende organet.

Kapittel III

Krav til dataformidlingstjenester

Artikkel 10

Dataformidlingstjenester

Levering av følgende dataformidlingstjenester skal være i samsvar med artikkel 12 og være underlagt en framgangsmåte for melding:

a) Formidlingstjenester mellom datainnehavere og potensielle databrukere, herunder at det stilles til rådighet tekniske eller andre midler som muliggjør slike tjenester; disse tjenestene kan omfatte bilateral eller multilateral utveksling av data eller opprettelse av plattformer eller databaser som muliggjør utveksling eller felles bruk av data, og opprettelse av annen særlig infrastruktur for å kople sammen datainnehavere og databrukere.
b) Formidlingstjenester mellom registrerte som ønsker å stille sine personopplysninger til rådighet, eller fysiske personer som ønsker å stille andre opplysninger enn personopplysninger til rådighet, og potensielle databrukere, herunder stille til rådighet tekniske eller andre midler som muliggjør slike tjenester, og særlig som gjør det mulig å utøve de registrertes rettigheter som fastsatt i forordning (EU) 2016/679.
c) Tjenester fra datasamvirker.

Artikkel 11

Melding fra tilbydere av dataformidlingstjenester

1. Enhver tilbyder av dataformidlingstjenester som har til hensikt å tilby dataformidlingstjenestene nevnt i artikkel 10, skal inngi en melding til vedkommende myndighet for dataformidlingstjenester.
2. I denne forordningen skal en tilbyder av dataformidlingstjenester som er etablert i mer enn én medlemsstat, anses å være underlagt jurisdiksjonen i den medlemsstaten der tilbyderen har sin hovedvirksomhet, uten at det berører unionsretten som regulerer erstatningssøksmål over landegrensene og relaterte saker.
3. En tilbyder av dataformidlingstjenester som ikke er etablert i Unionen, men som tilbyr dataformidlingstjenestene nevnt i artikkel 10 i Unionen, skal utpeke en juridisk representant i en av de medlemsstatene der disse tjenestene tilbys.

For å sikre at denne forordningen overholdes, skal tilbyderen av dataformidlingstjenester gi den juridiske representanten fullmakt til å være den som vedkommende myndigheter for dataformidlingstjenester eller registrerte og datainnehavere kan henvende seg til i tillegg til eller i stedet for tilbyderen når det gjelder alle spørsmål knyttet til de dataformidlingstjenestene som leveres. Den juridiske representanten skal samarbeide med og på anmodning detaljert dokumentere overfor vedkommende myndigheter for dataformidlingstjenester hvilke tiltak som er truffet, og hvilke bestemmelser tilbyderen av dataformidlingstjenester har innført for å sikre at denne forordningen overholdes.

Tilbyderen av dataaltruismetjenester skal anses for å være underlagt jurisdiksjonen i den medlemsstaten der den juridiske representanten befinner seg. Når tilbyderen av dataformidlingstjenester utpeker en juridisk representant, skal dette ikke berøre eventuelle rettslige skritt mot tilbyderen av dataformidlingstjenester.
4. Etter å ha inngitt en melding i samsvar med nr. 1 kan tilbyderen av dataformidlingstjenester innlede virksomheten på vilkårene fastsatt i dette kapittelet.
5. Meldingen nevnt i nr. 1 skal gi tilbyderen av dataformidlingstjenester rett til å tilby dataformidlingstjenester i alle medlemsstater.
6. Meldingen nevnt i nr. 1 skal inneholde følgende informasjon:
- a) Navnet på tilbyderen av dataformidlingstjenester.
- b) Tilbyderen av dataformidlingstjenesters rettslige status, rettslige form, eierstruktur, relevante datterforetak og, dersom tilbyderen av dataformidlingstjenester er registrert i et handelsregister eller et annet lignende offentlig nasjonalt register, registreringsnummer.
- c) Adressen til tilbyderen av dataformidlingstjenesters eventuelle hovedvirksomhet i Unionen og, dersom det er relevant, eventuelle filialer i en annen medlemsstat, eller til den juridiske representanten.
- d) Et offentlig nettsted med fullstendig og oppdatert informasjon om tilbyderen av dataformidlingstjenester og virksomheten, herunder minst informasjonen nevnt i bokstav a), b), c) og f).
- e) Tilbyderen av dataformidlingstjenesters kontaktpersoner og kontaktopplysninger.
- f) En beskrivelse av den dataformidlingstjenesten som tilbyderen av dataformidlingstjenester har til hensikt å yte, og en angivelse av de kategoriene som er angitt i artikkel 10, og som slike dataformidlingstjenester er omfattet av.
- g) Anslått dato for oppstart av virksomheten, dersom den skiller seg fra datoen for meldingen.
7. Vedkommende myndighet for dataformidlingstjenester skal sikre at framgangsmåten for melding er ikke-diskriminerende og ikke vrir konkurransen.
8. På anmodning fra tilbyderen av dataformidlingstjenester skal vedkommende myndighet for dataformidlingstjenester, senest en uke etter at meldingen er behørig og fullstendig gjennomført, utstede en standardisert erklæring som bekrefter at tilbyderen av dataformidlingstjenester har inngitt meldingen nevnt i nr. 1, og at meldingen inneholder informasjonen nevnt i nr. 6.
9. På anmodning fra tilbyderen av dataformidlingstjenester skal vedkommende myndighet for dataformidlingstjenester bekrefte at tilbyderen av dataformidlingstjenester overholder denne artikkelen og artikkel 12. Når en slik bekreftelse mottas, kan tilbyderen av dataformidlingstjenester bruke betegnelsen «tilbyder av dataformidlingstjenester som er anerkjent i Unionen» i sin skriftlige og muntlige kommunikasjon samt en felles logo.

For å sikre at tilbydere av dataformidlingstjenester som er anerkjent i Unionen, lett kan identifiseres i hele Unionen, skal Kommisjonen ved hjelp av gjennomføringsrettsakter fastsette en utforming av den felles logoen. Tilbydere av dataformidlingstjenester som er anerkjent i Unionen, skal tydelig vise den felles logoen på alle nettbaserte og ikke-nettbaserte publikasjoner som er tilknyttet deres dataformidlingsvirksomhet.

Disse gjennomføringsrettsaktene skal vedtas i samsvar med rådgivningsprosedyren nevnt i artikkel 33 nr. 2.
10. Vedkommende myndighet for dataformidlingstjenester skal uten opphold underrette Kommisjonen elektronisk om enhver ny melding. Kommisjonen skal føre og regelmessig ajourføre et offentlig register over alle tilbydere av dataformidlingstjenester som tilbyr sine tjenester i Unionen. Informasjonen nevnt i nr. 6 bokstav a), b), c), d), f) og g) skal offentliggjøres i det offentlige registeret.
11. Vedkommende myndighet for dataformidlingstjenester kan kreve gebyrer for meldingen i henhold til nasjonal rett. Slike gebyrer skal være forholdsmessige og objektivt begrunnet og skal være basert på administrasjonskostnadene knyttet til vedkommende myndighets overvåking av at kravene oppfylles, og annen markedskontrollvirksomhet for dataformidlingstjenester i forbindelse med meldinger av tilbydere av dataformidlingstjenester. Når det gjelder SMB-er og nyetablerte foretak, kan vedkommende myndighet for dataformidlingstjenester kreve et nedsatt gebyr eller frasi seg gebyret.
12.Tilbydere av dataformidlingstjenester skal underrette vedkommende myndighet for dataformidlingstjenester om eventuelle endringer av den informasjonen som er gitt i henhold til nr. 6, senest 14 dager etter datoen for endringen.
13. Dersom en tilbyder av dataformidlingstjenester innstiller sin virksomhet, skal den innen 15 dager underrette berørte vedkommende myndighet for dataformidlingstjenester som fastsatt i henhold til nr. 1, 2 og 3.
14. Vedkommende myndighet for dataformidlingstjenester skal uten opphold underrette Kommisjonen elektronisk om enhver melding nevnt i nr. 12 og 13. Kommisjonen skal ajourføre det offentlige registeret over tilbydere av dataformidlingstjenester i Unionen i samsvar med dette.

Artikkel 12

Vilkår for å tilby dataformidlingstjenester

Levering av dataformidlingstjenester som nevnt i artikkel 10 skal være underlagt følgende vilkår:

a) Tilbyderen av dataformidlingstjenester skal ikke bruke dataene som den tilbyr dataformidlingstjenester for, til andre formål enn å stille dem til rådighet for databrukere, og skal levere dataformidlingstjenestene gjennom en separat juridisk person.
b) De kommersielle vilkårene, herunder prisfastsettelse, for levering av dataformidlingstjenester til en datainnehaver eller databruker skal ikke være avhengige av om datainnehaveren eller databrukeren benytter andre tjenester fra samme tilbyder av dataformidlingstjenester eller en tilknyttet enhet, og i så fall i hvilken grad datainnehaveren eller databrukeren benytter slike andre tjenester.
c) De dataene som er samlet inn om en fysisk eller juridisk persons virksomhet for levering av en dataformidlingstjeneste, herunder dato, klokkeslett, geolokaliseringsdata, virksomhetens varighet og tilknytninger til andre fysiske eller juridiske personer som er opprettet av den personen som bruker dataformidlingstjenesten, skal brukes bare til å utvikle denne dataformidlingstjenesten, og det kan innebære bruk av data til å oppdage bedrageri eller brudd på cybersikkerheten, og skal på anmodning stilles til rådighet for datainnehaverne.
d) Tilbyderen av dataformidlingstjenester skal lette utvekslingen av data i det formatet de mottas fra en registrert eller datainnehaver, skal bare konvertere dataene til særlige formater for å øke interoperabiliteten i og mellom sektorer eller dersom databrukeren ber om det eller det er påkrevd i henhold til unionsretten eller for å sikre harmonisering med internasjonale eller europeiske datastandarder, og skal tilby en reservasjonsmulighet med hensyn til disse konverteringene for registrerte eller datainnehavere, med mindre konverteringen er påkrevd i henhold til unionsretten.
e) Dataformidlingstjenester kan omfatte å tilby flere særlige verktøy og tjenester til datainnehavere eller registrerte for det særlige formål å lette utvekslingen av data, for eksempel midlertidig lagring, organisering, konvertering, anonymisering, pseudonymisering, idet slike verktøy skal brukes bare etter uttrykkelig anmodning eller godkjenning fra datainnehaveren eller den registrerte, og tredjepartsverktøy som tilbys i denne forbindelse, ikke skal brukes til andre formål.
f) Tilbyderen av dataformidlingstjenester skal sikre at prosedyren for tilgang til vedkommendes tjeneste er rettferdig, gjennomsiktig og ikke-diskriminerende for både registrerte og datainnehavere samt for databrukere, også når det gjelder priser og tjenestevilkår.
g) Tilbyderen av dataformidlingstjenester skal ha innført prosedyrer for å hindre bedrageri eller ulovlig praksis i forbindelse med parter som ønsker tilgang via tilbyderens dataformidlingstjenester.
h) Tilbyderen av dataformidlingstjenester skal ved insolvens sikre rimelig kontinuitet i leveringen av sine dataformidlingstjenester og skal, dersom slike dataformidlingstjenester sikrer datalagring, ha ordninger som gjør det mulig for datainnehavere og databrukere å få tilgang til, overføre eller hente sine data og, dersom slike dataformidlingstjenester ytes mellom registrerte og databrukere, gjøre det mulig for registrerte å utøve sine rettigheter.
i) Tilbyderen av dataformidlingstjenester skal treffe egnede tiltak for å sikre interoperabilitet med andre dataformidlingstjenester, blant annet ved hjelp av ofte brukte åpne standarder i den sektoren der tilbyderen av dataformidlingstjenester har virksomhet.
j) Tilbyderen av dataformidlingstjenester skal treffe egnede tekniske, rettslige og organisatoriske tiltak for å hindre overføring av eller tilgang til andre opplysninger enn personopplysninger som er ulovlig i henhold til unionsretten eller nasjonal rett i den aktuelle medlemsstaten.
k) Tilbyderen av dataformidlingstjenester skal omgående underrette datainnehaverne ved ulovlig overføring av, tilgang til eller bruk av andre opplysninger enn personopplysninger som den har utvekslet.
l) Tilbyderen av dataformidlingstjenester skal treffe nødvendige tiltak for å sikre et hensiktsmessig sikkerhetsnivå for lagring, behandling og overføring av andre opplysninger enn personopplysninger, og tilbyderen av dataformidlingstjenester skal dessuten sørge for høyeste mulige sikkerhetsnivå for lagring og overføring av konkurransemessig sensitiv informasjon.
m) En tilbyder av dataformidlingstjenester som tilbyr tjenester til registrerte, skal handle i de registrertes beste interesse når den fremmer utøvelsen av deres rettigheter, særlig ved å underrette og eventuelt gi dem råd på en kortfattet, gjennomsiktig, forståelig og lett tilgjengelig måte om databrukernes tiltenkte bruk av dataene og om standardvilkårene for slik bruk før registrerte gir sitt samtykke.
n) Dersom en tilbyder av dataformidlingstjenester stiller verktøy til rådighet for å innhente samtykke fra registrerte eller tillatelse til å behandle data som stilles til rådighet av datainnehavere, skal tilbyderen, dersom det er relevant, angi i hvilken jurisdiksjon det er planlagt at dataene skal brukes, og gi registrerte verktøy både for å gi og trekke tilbake samtykke, og datainnehavere verktøy både for å gi og trekke tilbake tillatelser til å behandle data.
o) Tilbyderen av dataformidlingstjenester skal føre et register over dataformidlingsvirksomheten.

Artikkel 13

Vedkommende myndigheter for dataformidlingstjenester

1. Hver medlemsstat skal utpeke én eller flere vedkommende myndigheter til å utføre oppgavene knyttet til framgangsmåten for melding av dataformidlingstjenester og underrette Kommisjonen om identiteten til disse vedkommende myndighetene senest 24. september 2023. Hver medlemsstat skal også underrette Kommisjonen om eventuelle senere endringer av disse vedkommende myndighetenes identitet.
2. Vedkommende myndigheter for dataformidlingstjenester skal oppfylle kravene i artikkel 26.
3. Myndigheten til vedkommende myndigheter for dataformidlingstjenester berører ikke myndigheten til personvernmyndighetene, de nasjonale konkurransemyndighetene, myndighetene med ansvar for cybersikkerhet og andre relevante sektormyndigheter. Disse myndighetene skal i samsvar med sine respektive myndighetsområder i henhold til unionsretten og nasjonal rett bygge opp et sterkt samarbeid og utveksle den informasjonen som er nødvendig for at de skal kunne utføre sine oppgaver i forbindelse med tilbydere av dataformidlingstjenester, og skal ha som mål at de beslutningene som tas ved anvendelse av denne forordningen, er konsekvente.

Artikkel 14

Overvåking av om kravene oppfylles

1. Vedkommende myndigheter for dataformidlingstjenester skal overvåke og føre tilsyn med at tilbyderne av dataformidlingstjenester oppfyller kravene i dette kapittelet. Vedkommende myndigheter for dataformidlingstjenester kan også på grunnlag av en anmodning fra en fysisk eller juridisk person overvåke og føre tilsyn med at tilbydere av dataformidlingstjenester oppfyller kravene.
2. Vedkommende myndigheter for dataformidlingstjenester skal ha myndighet til å anmode tilbyderne av dataformidlingstjenester eller deres juridiske representanter om all informasjon som er nødvendig for å kontrollere at kravene i dette kapittelet er oppfylt. Enhver anmodning om informasjon skal stå i et rimelig forhold til hva oppgaven krever, og være begrunnet.
3. Dersom vedkommende myndighet for dataformidlingstjenester konstaterer at en tilbyder av dataformidlingstjenester ikke oppfyller ett eller flere av kravene i dette kapittelet, skal den underrette tilbyderen av dataformidlingstjenester om disse resultatene og gi den mulighet til å framsette sine synspunkter senest 30 dager etter at den har mottatt meldingen.
4. Vedkommende myndighet for dataformidlingstjenester skal ha myndighet til å kreve at overtredelsen nevnt i nr. 3 opphører enten innen en rimelig frist eller umiddelbart ved en alvorlig overtredelse, og skal treffe egnede og forholdsmessige tiltak for å sikre at kravene oppfylles. I denne forbindelse skal vedkommende myndighet for dataformidlingstjenester, dersom det er relevant, ha myndighet til
- a) gjennom administrative prosedyrer å ilegge avskrekkende økonomiske sanksjoner som kan omfatte tvangsmulkter og sanksjoner med tilbakevirkende kraft, eller å innlede rettsforfølgning for ilegging av bøter, eller begge deler,
- b) å kreve at igangsetting eller avbrytelse av leveringen av dataformidlingstjenesten utsettes til det er foretatt eventuelle endringer av vilkårene som vedkommende myndighet for dataformidlingstjenester har krevd, eller
- c) å kreve at leveringen av dataformidlingstjenesten opphører dersom alvorlige eller gjentatte overtredelser ikke er blitt avhjulpet tross forhåndsmelding i henhold til nr. 3.
Vedkommende myndighet for dataformidlingstjenester skal anmode Kommisjonen om å slette tilbyderen av dataformidlingstjenester fra registeret over tilbydere av dataformidlingstjenester når den har beordret at leveringen av dataformidlingstjenesten skal opphøre i samsvar med første ledd bokstav c).

Dersom en tilbyder av dataformidlingstjenester avhjelper overtredelsene, skal denne tilbyderen av dataformidlingstjenester på nytt underrette vedkommende myndighet for dataformidlingstjenester. Vedkommende myndighet for dataformidlingstjenester skal underrette Kommisjonen om hver ny melding.
5. Dersom en tilbyder av dataformidlingstjenester som ikke er etablert i Unionen, unnlater å utpeke en juridisk representant, eller den juridiske representanten på anmodning fra vedkommende myndighet for dataformidlingstjenester unnlater å gi nødvendig informasjon som detaljert dokumenterer at denne forordningen er overholdt, skal vedkommende myndighet for dataformidlingstjenester ha myndighet til å utsette eller innstille leveringen av dataformidlingstjenesten til den juridiske representanten er blitt utpekt eller den nødvendige informasjonen er gitt.
6. Vedkommende myndigheter for dataformidlingstjenester skal umiddelbart underrette den berørte tilbyderen av dataformidlingstjenester om tiltakene truffet i henhold til nr. 4 og 5, og den begrunnelsen de er basert på, og de nødvendige tiltakene som skal treffes for å avhjelpe de relevante manglene, og skal fastsette en rimelig frist, som skal være høyst 30 dager, for tilbyderen av dataformidlingstjenesters overholdelse av disse tiltakene.
7. Dersom en tilbyder av dataformidlingstjenester har sin hovedvirksomhet eller juridiske representant i en medlemsstat, men tilbyr tjenester i en annen medlemsstat, skal vedkommende myndighet for dataformidlingstjenester i den medlemsstaten der hovedvirksomheten eller den juridiske representanten befinner seg, og vedkommende myndigheter for dataformidlingstjenester i de andre medlemsstatene samarbeide og bistå hverandre. En slik bistand og et slikt samarbeid kan omfatte utveksling av informasjon mellom berørte vedkommende myndigheter for dataformidlingstjenester med hensyn til deres oppgaver i henhold til denne forordningen, og begrunnede anmodninger om å treffe tiltakene nevnt i denne artikkelen.

Dersom en vedkommende myndighet for dataformidlingstjenester i en medlemsstat ber om bistand fra en vedkommende myndighet for dataformidlingstjenester i annen medlemsstat, skal den framlegge en begrunnet anmodning. Vedkommende myndighet for dataformidlingstjenester skal etter en slik anmodning gi et svar uten opphold og innen en frist som står i forhold til hvor mye anmodningen haster.

All informasjon som utveksles i forbindelse med bistand som det anmodes om, og som gis i henhold til dette nummeret, skal brukes bare i forbindelse med den saken som lå til grunn for anmodningen.

Artikkel 15

Unntak

Dette kapittelet får ikke anvendelse på anerkjente dataaltruismeorganisasjoner eller andre ideelle enheter, i den grad deres virksomhet består av å samle inn data for formål av allmenn interesse som stilles til rådighet av fysiske eller juridiske personer på grunnlag av dataaltruisme, med mindre disse organisasjonene og enhetene har som mål å opprette handelsforbindelser mellom på den ene side et ubestemt antall registrerte og datainnehavere og på den annen side databrukere.

Kapittel IV

Dataaltruisme

Artikkel 16

Nasjonale ordninger for dataaltruisme

Medlemsstatene kan ha organisatoriske eller tekniske ordninger, eller begge deler, for å fremme dataaltruisme. For dette formålet kan medlemsstatene fastsette nasjonale retningslinjer for dataaltruisme. Disse nasjonale retningslinjene kan særlig bistå registrerte med å stille personopplysninger som gjelder dem, og som innehas av offentlige organer, frivillig til rådighet for dataaltruisme, og fastsette den nødvendige informasjonen som skal gis til registrerte om viderebruk av deres data i allmennhetens interesse.

Dersom en medlemsstat utarbeider slike nasjonale retningslinjer, skal den underrette Kommisjonen om det.

Artikkel 17

Offentlige registre over anerkjente dataaltruismeorganisasjoner

1. Hver vedkommende myndighet for registrering av dataaltruismeorganisasjoner skal føre og regelmessig ajourføre et offentlig nasjonalt register over anerkjente dataaltruismeorganisasjoner.
2. Kommisjonen skal føre et offentlig unionsregister over anerkjente dataaltruismeorganisasjoner for informasjonsformål. Forutsatt at en enhet er registrert i det offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner i samsvar med artikkel 18, kan den bruke betegnelsen «dataaltruismeorganisasjon som er anerkjent i Unionen» i sin skriftlige og muntlige kommunikasjon samt en felles logo.

For å sikre at anerkjente dataaltruismeorganisasjoner lett kan identifiseres i hele Unionen, skal Kommisjonen ved hjelp av gjennomføringsrettsakter fastsette en utforming av den felles logoen. Anerkjente dataaltruismeorganisasjoner skal tydelig vise den felles logoen på alle nettbaserte og ikke-nettbaserte publikasjoner som er tilknyttet deres dataaltruismevirksomhet. Den felles logoen skal ledsages av en QR-kode med en lenke til det offentlige unionsregisteret over anerkjente dataaltruismeorganisasjoner.

Disse gjennomføringsrettsaktene skal vedtas i samsvar med rådgivningsprosedyren nevnt i artikkel 33 nr. 2.

Artikkel 18

Alminnelige krav til registrering

For å kunne bli registrert i et offentlig nasjonalt register over anerkjente dataaltruismeorganisasjoner skal en enhet

a) drive dataaltruismevirksomhet,
b) være en juridisk person som er etablert i henhold til nasjonal rett for å oppfylle formål av allmenn interesse som fastsatt i nasjonal rett dersom det er relevant,
c) drives på ideelt grunnlag og være juridisk uavhengig av enheter som drives på kommersielt grunnlag,
d) drive dataaltruismevirksomhet gjennom en struktur som er funksjonelt atskilt fra annen virksomhet,
e) overholde regelverket nevnt i artikkel 22 nr. 1 senest 18 måneder etter datoen for ikrafttredelse av de delegerte rettsaktene som er omhandlet i nevnte nummer.

Artikkel 19

Registrering av anerkjente dataaltruismeorganisasjoner

1. En enhet som oppfyller kravene i artikkel 18, kan søke om å bli registrert i det offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner i den medlemsstaten der den er etablert.
2. En enhet som oppfyller kravene i artikkel 18 og har virksomheter i mer enn én medlemsstat, kan søke om å bli registrert i det offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner i den medlemsstaten der den har sin hovedvirksomhet.
3. En enhet som oppfyller kravene i artikkel 18, men som ikke er etablert i Unionen, skal utpeke en juridisk representant i en av de medlemsstatene der dataaltruismetjenestene tilbys.

For å sikre at denne forordningen overholdes, skal enheten gi den juridiske representanten fullmakt til å være den som i tillegg til eller i stedet for enheten kan være den vedkommende myndigheter for registrering av dataaltruismeorganisasjoner eller registrerte eller datainnehavere kan henvende seg til når det gjelder alle spørsmål som gjelder denne enheten. Den juridiske representanten skal samarbeide med og på anmodning dokumentere overfor vedkommende myndigheter for registrering av dataaltruismeorganisasjoner hvilke tiltak som er truffet, og hvilke bestemmelser enheten har innført for å sikre at denne forordningen overholdes.

Enheten skal anses for å være underlagt jurisdiksjonen i den medlemsstaten der den juridiske representanten befinner seg. En slik enhet kan søke om å bli registrert i det nasjonale registeret over anerkjente dataaltruismeorganisasjoner i den aktuelle medlemsstaten. Enhetens utpeking av en juridisk representant skal ikke berøre eventuelle rettslige skritt mot enheten.
4. Søknader om registrering i henhold til nr. 1, 2 og 3 skal inneholde følgende informasjon:
- a) Enhetens navn.
- b) Enhetens rettslige status, rettslige form og, dersom enheten er registrert i et offentlig nasjonalt register, registreringsnummer.
- c) Enhetens vedtekter, dersom det er relevant.
- d) Enhetens inntektskilder.
- e) Adressen til enhetens hovedvirksomhet i Unionen, dersom dette finnes, og, dersom det er relevant, til eventuelle filialer i en annen medlemsstat eller til den juridiske representanten.
- f) Et offentlig nettsted der det finnes fullstendig og ajourført informasjon om enheten og virksomheten, herunder minst informasjonen nevnt i bokstav a), b), d), e) og h).
- g) Enhetens kontaktpersoner og kontaktopplysninger.
- h) De formålene av allmenn interesse som enheten har til hensikt å fremme når den samler inn data.
- i) Arten av de dataene som enheten har til hensikt å kontrollere eller behandle, og, når det gjelder personopplysninger, en angivelse av kategoriene av personopplysninger.
- j) Alle andre dokumenter som viser at kravene i artikkel 18 er oppfylt.
5. Dersom enheten har framlagt all nødvendig informasjon i henhold til nr. 4, og etter at vedkommende myndighet for registrering av dataaltruismeorganisasjoner har vurdert søknaden om registrering og konstatert at enheten oppfyller kravene i artikkel 18, skal den registrere enheten i det offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner senest tolv uker etter at søknaden om registrering er mottatt. Registreringen skal være gyldig i alle medlemsstater.

Vedkommende myndigheter for registrering av dataaltruismeorganisasjoner skal underrette Kommisjonen om enhver registrering. Kommisjonen skal ta med denne registreringen i det offentlige unionsregisteret over anerkjente dataaltruismeorganisasjoner.
6. Informasjonen nevnt i nr. 4 bokstav a), b), f), g) og h) skal offentliggjøres i det relevante offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner.
7. En anerkjent dataaltruismeorganisasjon skal underrette berørte vedkommende myndighet for registrering av dataaltruismeorganisasjoner om eventuelle endringer av den informasjonen som er framlagt i henhold til nr. 4, senest 14 dager etter endringsdatoen.

Vedkommende myndighet for registrering av altruismeorganisasjoner skal straks underrette Kommisjonen elektronisk om enhver slik underretning. På grunnlag av en slik melding skal Kommisjonen omgående ajourføre det offentlige unionsregisteret over anerkjente dataaltruismeorganisasjoner.

Artikkel 20

Krav om åpenhet

1. En anerkjent altruismeorganisasjon skal føre fullstendige og nøyaktige registre over
- a) alle fysiske eller juridiske personer som har fått mulighet til å behandle data som innehas av den anerkjente dataaltruismeorganisasjonen, og deres kontaktopplysninger,
- b) datoen for eller varigheten av behandlingen av personopplysninger eller bruken av andre opplysninger enn personopplysninger,
- c) formålet med behandlingen som angitt av den fysiske eller juridiske personen som fikk mulighet til å foreta behandlingen,
- d) eventuelle gebyrer som er betalt av de fysiske eller juridiske personene som behandler dataene.
2. En anerkjent dataaltruismeorganisasjon skal utarbeide og oversende til berørte vedkommende myndighet for registrering av dataaltruismeorganisasjoner en årlig virksomhetsrapport som minst skal inneholde følgende:
- a) Informasjon om den anerkjente altruismeorganisasjonens virksomhet.
- b) En beskrivelse av hvordan de formålene av allmenn interesse som dataene er blitt samlet inn for, er blitt fremmet i det aktuelle regnskapsåret.
- c) En liste over alle fysiske og juridiske personer som har fått tillatelse til å behandle de dataene som enheten innehar, herunder en kortfattet beskrivelse av de formålene av allmenn interesse som en slik databehandling er ment å oppfylle, og en beskrivelse av de tekniske midlene som er brukt, blant annet en beskrivelse av de teknikkene som brukes til å ivareta personvernet og sikre vern av personopplysninger.
- d) Et sammendrag av resultatene av den databehandlingen som den anerkjente dataaltruismeorganisasjonen har gitt tillatelse til, dersom det er relevant.
- e) Informasjon om den anerkjente dataaltruismeorganisasjonens inntektskilder, særlig all inntekt som genereres ved at det gis tilgang til dataene, og om organisasjonens utgifter.

Artikkel 21

Særlige krav for å verne registrertes og datainnehaveres rettigheter og interesser når det gjelder deres data

1. En anerkjent altruismeorganisasjon skal underrette registrerte og datainnehavere på en klar og lett forståelig måte før enhver behandling av deres data om
- a) Formålene av allmenn interesse og, dersom det er relevant, det angitte, uttrykkelige og berettigede formålet som personopplysninger behandles for, og som den tillater at en databruker behandler deres data for,
- b) beliggenheten og formålene av allmenn interesse som den tillater enhver behandling foretatt i et tredjeland for, dersom den anerkjente altruismeorganisasjonen utfører behandlingen.
2. Den anerkjente dataaltruismeorganisasjonen skal ikke bruke dataene til andre formål enn dem som er av allmenn interesse, og som den registrerte eller datainnehaveren tillater behandling av. Den anerkjente dataaltruismeorganisasjonen skal ikke bruke villedende markedsføringspraksis til å oppfordre til utlevering av data.
3. Den anerkjente dataaltruismeorganisasjonen skal stille til rådighet verktøy for innhenting av samtykke fra registrerte eller tillatelse til å behandle data som stilles til rådighet av datainnehavere. Den anerkjente dataaltruismeorganisasjonen skal også stille til rådighet verktøy som gjør det lett å trekke tilbake dette samtykket eller denne tillatelsen.
4. Den anerkjente dataaltruismeorganisasjonen skal treffe tiltak for å sikre et egnet sikkerhetsnivå for lagring og behandling av andre opplysninger enn personopplysninger som er blitt samlet inn basert på dataaltruisme.
5. Den anerkjente dataaltruismeorganisasjonen skal omgående underrette datainnehaverne ved ulovlig overføring av, tilgang til eller bruk av andre opplysninger enn personopplysninger som den har utvekslet.
6. Dersom den anerkjente dataaltruismeorganisasjonen legger til rette for tredjeparters databehandling, blant annet ved å stille verktøy til rådighet for å innhente samtykke fra registrerte eller tillatelse til å behandle data som datainnehavere har stilt til rådighet, skal den, dersom det er relevant, angi i hvilken tredjelandsjurisdiksjon det er planlagt at dataene skal brukes.

Artikkel 22

Regelverk

1. Kommisjonen skal vedta delegerte rettsakter i samsvar med artikkel 32 som utfyller denne forordningen, ved å utarbeide et regelverk som fastsetter
- a) hensiktsmessige informasjonskrav som sikrer at registrerte og datainnehavere, før det gis samtykke eller tillatelse til dataaltruisme, får tilstrekkelig detaljert, klar og gjennomsiktig informasjon om bruken av data, verktøy for å gi eller trekke tilbake samtykke eller tillatelse, og hvilke tiltak som er truffet for å unngå misbruk av de dataene som deles med dataaltruismeorganisasjonen,
- b) hensiktsmessige tekniske og sikkerhetsmessige krav for å sikre et egnet sikkerhetsnivå for lagring og behandling av data samt for de verktøyene som brukes til å innhente og trekke tilbake samtykke og tillatelse,
- c) kommunikasjonskjøreplaner med en tverrfaglig tilnærming for å øke bevisstheten om dataaltruisme, om utpeking av en dataaltruismeorganisasjon som er anerkjent i Unionen, og om regelverket for relevante berørte parter, særlig datainnehavere og registrerte som potensielt kan dele sine data,
- d) anbefalinger om relevante standarder for interoperabilitet.
2. Regelverket nevnt i nr. 1 skal utarbeides i tett samarbeid med dataaltruismeorganisasjoner og relevante berørte parter.

Artikkel 23

Vedkommende myndigheter for registrering av dataaltruismeorganisasjoner

1. Hver medlemsstat skal utpeke én eller flere vedkommende myndigheter som skal ha ansvar for det offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner.

Vedkommende myndigheter for registrering av dataaltruismeorganisasjoner skal oppfylle kravene i artikkel 26.
2. Hver medlemsstat skal underrette Kommisjonen om identiteten til vedkommende myndigheter for registrering av dataaltruismeorganisasjoner senest 24. september 2023. Hver medlemsstat skal også underrette Kommisjonen om eventuelle senere endringer av disse vedkommende myndighetenes identitet.
3. Vedkommende myndighet for registrering av dataaltruismeorganisasjoner i en medlemsstat skal utføre sine oppgaver i samarbeid med den relevante personvernmyndigheten når slike oppgaver er knyttet til behandling av personopplysninger, og med relevante sektormyndigheter i den aktuelle medlemsstaten.

Artikkel 24

Overvåking av om kravene oppfylles

1. Vedkommende myndigheter for registrering av dataaltruismeorganisasjoner skal overvåke og føre tilsyn med at anerkjente dataaltruismeorganisasjoner oppfyller kravene fastsatt i dette kapittelet. Vedkommende myndighet for registrering av dataaltruismeorganisasjoner kan også på anmodning fra fysiske eller juridiske personer overvåke og føre tilsyn med at slike anerkjente dataformidlingstjenester oppfyller kravene.
2. Vedkommende myndigheter for registrering av dataaltruismeorganisasjoner skal ha myndighet til å anmode anerkjente dataaltruismeorganisasjoner om informasjon som er nødvendig for å kontrollere at kravene i dette kapittelet er oppfylt. Enhver anmodning om informasjon skal stå i et rimelig forhold til hva oppgaven krever, og være begrunnet.
3. Dersom vedkommende myndighet for registrering av dataaltruismeorganisasjoner konstaterer at en anerkjent dataaltruismeorganisasjon ikke oppfyller ett eller flere av kravene i dette kapittelet, skal den underrette den anerkjente dataaltruismeorganisasjonen om disse resultatene og gi den mulighet til å framsette sine synspunkter senest 30 dager etter at den har mottatt meldingen.
4. Vedkommende myndighet for registrering av dataaltruismeorganisasjoner skal ha myndighet til å kreve at overtredelsen nevnt i nr. 3 opphører enten umiddelbart eller innen en rimelig frist, og skal treffe hensiktsmessige og rimelige tiltak for å sikre at kravet oppfylles.
5. Dersom en anerkjent dataaltruismeorganisasjon ikke oppfyller ett eller flere av kravene i dette kapittelet, selv etter at vedkommende myndighet for registrering av dataaltruismeorganisasjoner har underrettet den om dette i samsvar med nr. 3, skal denne anerkjente dataaltruismeorganisasjonen
- a) miste retten til å bruke betegnelsen «dataaltruismeorganisasjon som er anerkjent i Unionen» i all skriftlig og muntlig kommunikasjon,
- b) slettes fra det relevante offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner og fra det offentlige unionsregisteret over anerkjente dataaltruismeorganisasjoner.
Enhver beslutning om tilbakekalling av retten til å bruke betegnelsen «dataaltruismeorganisasjon som er anerkjent i Unionen» i henhold til første ledd bokstav a) skal offentliggjøres av vedkommende myndighet for registrering av dataaltruismeorganisasjoner.
6. Dersom en anerkjent dataaltruismeorganisasjon har sin hovedvirksomhet eller juridiske representant i en medlemsstat, men driver virksomhet i andre medlemsstater, skal vedkommende myndighet for registrering av dataaltruismeorganisasjoner i den medlemsstaten der hovedvirksomheten eller den juridiske representanten befinner seg, og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner i de andre medlemsstatene samarbeide og bistå hverandre. En slik bistand og et slikt samarbeid kan omfatte utveksling av informasjon mellom berørte vedkommende myndigheter for registrering av dataaltruismeorganisasjoner med hensyn til deres oppgaver i henhold til denne forordningen, og begrunnede anmodninger om å treffe tiltakene nevnt i denne artikkelen.

Dersom en vedkommende myndighet for registrering av dataaltruismeorganisasjoner i én medlemsstat anmoder om bistand fra en vedkommende myndighet for registrering av dataaltruismeorganisasjoner i en annen medlemsstat, skal den oversende en begrunnet anmodning. Vedkommende myndighet for registrering av dataaltruismeorganisasjoner skal etter en slik anmodning gi et svar uten opphold og innen en frist som står i forhold til hvor mye anmodningen haster.

All informasjon som utveksles i forbindelse med bistand som det anmodes om, og som gis i henhold til dette nummeret, skal brukes bare i forbindelse med den saken som lå til grunn for anmodningen.

Artikkel 25

Europeisk skjema for samtykke til dataaltruisme

1. For å lette innsamling av data basert på dataaltruisme skal Kommisjonen vedta gjennomføringsrettsakter om opprettelse og utarbeiding av et europeisk skjema for samtykke til dataaltruisme, etter samråd med Det europeiske personvernråd og på grunnlag av råd fra Det europeiske datainnovasjonsråd og med behørig deltakelse fra berørte parter. Skjemaet skal gjøre det mulig å innhente samtykke eller tillatelse i alle medlemsstater i et ensartet format. Disse gjennomføringsrettsaktene skal vedtas i samsvar med rådgivningsprosedyren nevnt i artikkel 33 nr. 2.
2. Det europeiske skjemaet for samtykke til dataaltruisme skal være basert på moduler, slik at det kan tilpasses særskilte sektorer og forskjellige formål.
3. Dersom det gis personopplysninger, skal det europeiske skjemaet for samtykke til dataaltruisme sikre at registrerte kan gi og trekke tilbake sitt samtykke til en særskilt databehandlingsprosess i samsvar med kravene i forordning (EU) 2016/679.
4. Skjemaet skal foreligge i et format som kan trykkes på papir og er lett forståelig, og i et elektronisk, maskinleselig format.

Kapittel V

Vedkommende myndigheter og saksbehandlingsbestemmelser

Artikkel 26

Krav til vedkommende myndigheter

1. Vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner skal være juridisk atskilt fra og funksjonelt uavhengige av enhver tilbyder av dataformidlingstjenester eller anerkjent dataaltruismeorganisasjon. Oppgavene til vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner kan utføres av samme myndighet. Medlemsstatene kan enten opprette én eller flere nye myndigheter for disse formålene eller benytte eksisterende myndigheter.
2. Vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruisme- organisasjoner skal utføre sine oppgaver upartisk, gjennomsiktig, konsekvent, pålitelig og rettidig. Når de utfører sine oppgaver, skal de sikre rettferdig konkurranse og ikke-diskriminering.
3. Den øverste ledelsen og det personalet som har ansvar for å utføre de relevante oppgavene hos vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner, skal ikke være personer som utformer, produserer, leverer, installerer, kjøper, eier, bruker eller vedlikeholder de tjenestene de evaluerer, eller være representant for noen av disse partene. Dette skal ikke utelukke bruk av evaluerte tjenester som er nødvendige for virksomheten til vedkommende myndighet for dataformidlingstjenester og vedkommende myndighet for registrering av dataaltruismeorganisasjoner, eller bruk av slike tjenester til personlige formål.
4. Den øverste ledelsen og personalet hos vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner skal ikke delta i virksomhet som kan være i strid med deres uavhengige dømmekraft eller integritet i forbindelse med den evalueringsvirksomheten de er tildelt.
5. Vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner skal ha tilstrekkelige økonomiske og menneskelige ressurser til å utføre de oppgavene de er tildelt, herunder den nødvendige tekniske kunnskapen og de nødvendige tekniske ressursene.
6. Vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner i en medlemsstat skal etter begrunnet anmodning og uten opphold gi Kommisjonen og vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner i andre medlemsstater den informasjonen som er nødvendig for at de kan utføre sine oppgaver i henhold til denne forordningen. Dersom en vedkommende myndighet for dataformidlingstjenester eller en vedkommende myndighet for registrering av dataaltruismeorganisasjoner anser den anmodede informasjonen som fortrolig i samsvar med unionsretten og nasjonal rett om forretningshemmeligheter og taushetsplikt, skal Kommisjonen og alle andre berørte vedkommende myndigheter for dataformidlingstjenester eller vedkommende myndigheter for registrering av dataaltruismeorganisasjoner sikre slik fortrolig behandling.

Artikkel 27

Rett til å klage

1. Fysiske og juridiske personer skal ha rett til individuelt eller eventuelt kollektivt å inngi klage i saker omfattet av denne forordningen til berørte vedkommende myndighet for dataformidlingstjenester mot en tilbyder av dataformidlingstjenester eller til berørte vedkommende myndighet for registrering av dataaltruismeorganisasjoner mot en anerkjent dataaltruismeorganisasjon.
2. Vedkommende myndighet for dataformidlingstjenester eller vedkommende myndighet for registrering av altruismeorganisasjoner som klagen er inngitt til, skal underrette klageren om
- a) hvordan saken forløper, og hvilken beslutning som er truffet, og
- b) rettsmidlene i artikkel 28.

Artikkel 28

Rett til effektive rettsmidler

1. Uten hensyn til administrative eller andre utenrettslige midler skal berørte fysiske og juridiske personer ha rett til effektive rettsmidler med hensyn til juridisk bindende beslutninger som nevnt i artikkel 14 truffet av vedkommende myndigheter for dataformidlingstjenester i forbindelse med forvaltning, kontroll og håndheving av meldingsordningen for tilbydere av dataprogrammeringstjenester og juridisk bindende beslutninger som nevnt i artikkel 19 og 24 truffet av vedkommende myndigheter for registrering av dataaltruismeorganisasjoner i forbindelse med overvåking av anerkjente dataaltruismeorganisasjoner.
2. Saker i henhold til denne artikkelen skal bringes inn for domstolene i den medlemsstaten der vedkommende myndighet for dataformidlingstjenester eller vedkommende myndighet for registrering av dataaltruismeorganisasjoner som rettsmiddelet gjelder, befinner seg, enten individuelt eller eventuelt kollektivt, av representantene for én eller flere fysiske eller juridiske personer.
3. Når en vedkommende myndighet for dataformidlingstjenester eller en vedkommende myndighet for registrering av dataaltruismeorganisasjoner unnlater å behandle en klage, skal enhver berørt fysisk eller juridisk person i samsvar med nasjonal rett enten ha rett til et effektivt rettsmiddel eller klageadgang via et upartisk organ med nødvendig ekspertise.

Kapittel VI

Det europeiske datainnovasjonsråd

Artikkel 29

Det europeiske datainnovasjonsråd

1. Kommisjonen skal opprette et europeisk datainnovasjonsråd i form av en ekspertgruppe bestående av representanter for vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner i alle medlemsstatene, Det europeiske personvernråd, EUs datatilsyn, Den europeiske unions kontor for cybersikkerhet (ENISA), Kommisjonen, EUs SMB-representant eller en representant utpekt av nettverket av SMB-representanter og andre representanter for relevante organer i særskilte sektorer samt organer med særlig ekspertise. Når Kommisjonen utpeker individuelle eksperter, skal den ha som mål å oppnå jevn kjønnsfordeling og geografisk fordeling blant ekspertgruppens medlemmer.
2. Det europeiske datainnovasjonsråd skal bestå av minst følgende tre undergrupper:
- a) En undergruppe bestående av vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner som skal utføre oppgavene i henhold til artikkel 30 bokstav a), c), j) og k).
- b) En undergruppe for tekniske drøftinger om standardisering, portabilitet og interoperabilitet i henhold til artikkel 30 bokstav f) og g).
- c) En undergruppe for involvering av berørte parter bestående av relevante representanter fra næringslivet, forskning, akademia, det sivile samfunn, standardiseringsorganisasjoner, relevante felles europeiske dataområder og andre relevante berørte parter og tredjeparter som gir råd til Det europeiske datainnovasjonsråd om oppgavene i henhold til artikkel 30 bokstav d), e), f), g) og h).
3. Kommisjonen skal lede Det europeiske datainnovasjonsråds møter.
4. Det europeiske datainnovasjonsråd skal bistås av et sekretariat som Kommisjonen stiller til rådighet.

Artikkel 30

Det europeiske datainnovasjonsråds oppgaver

Det europeiske datainnovasjonsråd skal ha følgende oppgaver:

a) Gi råd til og bistå Kommisjonen med å utarbeide en konsekvent praksis for offentlige organer og vedkommende organer nevnt i artikkel 7 nr. 1 ved behandling av anmodninger om viderebruk av de kategoriene av data som er nevnt i artikkel 3 nr. 1.
b) Gi råd til og bistå Kommisjonen med å utarbeide en konsekvent praksis for dataaltruisme i hele Unionen.
c) Gi råd til og bistå Kommisjonen med hensyn til utvikling av en fast praksis hos vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner ved anvendelse av krav for tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner.
d) Gi råd til og bistå Kommisjonen med å utarbeide konsekvente retningslinjer for hvordan det innenfor rammen av denne forordningen er mulig best å verne andre sensitive opplysninger enn personopplysninger, særlig forretningshemmeligheter, men også andre opplysninger enn personopplysninger som utgjør innhold som er beskyttet av immaterialrettigheter, mot ulovlig tilgang som kan føre til tyveri av immaterialrettigheter eller industrispionasje.
e) Gi råd til og bistå Kommisjonen med å utarbeide konsekvente retningslinjer for cybersikkerhetskrav til utveksling og lagring av data.
f) Gi råd til Kommisjonen, særlig med hensyn til innspill fra standardiseringsorganisasjoner, om prioriteringen av tverrsektorielle standarder som skal brukes og utvikles for databruk, og tverrsektoriell datadeling mellom nye felles europeiske dataområder, tverrsektoriell sammenligning og utveksling av beste praksis med hensyn til sektorspesifikke krav til sikkerhet og tilgangsprosedyrer, idet det tas hensyn til sektorspesifikk standardiseringsvirksomhet, særlig for å klargjøre og skille mellom hvilke standarder og typer praksis som er tverrsektorielle, og hvilke som er sektorspesifikke.
g) Bistå Kommisjonen, særlig med hensyn til innspill fra standardiseringsorganisasjoner, med å håndtere oppsplittingen av det indre marked og dataøkonomien i det indre marked ved å styrke datainteroperabiliteten over landegrenser og mellom sektorer samt datadelingstjenester mellom forskjellige sektorer og domener på grunnlag av eksisterende europeiske, internasjonale eller nasjonale standarder, blant annet for å oppmuntre til opprettelse av felles europeiske dataområder.
h) Foreslå retningslinjer for felles europeiske dataområder, dvs. formåls- eller sektorspesifikke eller tverrsektorielle interoperable rammer for felles standarder og praksis for deling eller felles behandling av data for blant annet utvikling av nye produkter og tjenester, vitenskapelig forskning eller initiativer i det sivile samfunn, idet slike felles standarder og typer praksis tar hensyn til eksisterende standarder, overholder konkurransereglene og sikrer ikke-diskriminerende tilgang for alle deltakere for å lette datautvekslingen i Unionen og utnytte potensialet ved eksisterende og framtidige dataområder, som blant annet omfatter
- i) tverrsektorielle standarder som skal brukes og utvikles for databruk og tverrsektoriell datadeling, og tverrsektoriell sammenligning og utveksling av beste praksis med hensyn til sektorspesifikke krav til sikkerhet og tilgangsprosedyrer, idet det tas hensyn til sektorspesifikk standardiseringsvirksomhet, særlig for å klargjøre og skille mellom hvilke standarder og typer praksis som er tverrsektorielle, og hvilke som er sektorspesifikke,
- ii) krav til å motvirke hindringer for markedsadgang og unngå fastlåsingseffekter for å sikre rettferdig konkurranse og interoperabilitet,
- iii) tilstrekkelig vern av lovlige dataoverføringer til tredjeland, herunder beskyttelsestiltak mot overføringer som er forbudt i henhold til unionsretten,
- iv) en hensiktsmessig og ikke-diskriminerende representasjon av relevante berørte parter i forvaltningen av felles europeiske dataområder,
- v) overholdelse av cybersikkerhetskrav i samsvar med unionsretten.
i) Fremme samarbeidet mellom medlemsstatene om fastsettelse av harmoniserte vilkår som gjør det mulig å viderebruke i hele det indre marked de kategoriene av data som er nevnt i artikkel 3 nr. 1, og som innehas av offentlige organer.
j) Fremme samarbeidet mellom vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner gjennom kapasitetsoppbygging og informasjonsutveksling, særlig ved å fastsette metoder for effektiv utveksling av informasjon knyttet til framgangsmåten for melding for tilbydere av dataformidlingstjenester og registrering og overvåking av anerkjente dataaltruismeorganisasjoner, herunder samordning med hensyn til fastsettelse av gebyrer eller sanksjoner, samt fremme samarbeidet mellom vedkommende myndigheter for dataformidlingstjenester og vedkommende myndigheter for registrering av dataaltruismeorganisasjoner om internasjonal tilgang til og overføring av data.
k) Gi råd til og bistå Kommisjonen med hensyn til å vurdere om gjennomføringsrettsaktene nevnt i artikkel 5 nr. 11 og 12 skal vedtas.
l) Gi råd til og bistå Kommisjonen med å utarbeide det europeiske skjemaet for samtykke til dataaltruisme i samsvar med artikkel 25 nr. 1.
m) Gi råd til Kommisjonen om forbedring av de internasjonale rammereglene for andre opplysninger enn personopplysninger, herunder standardisering.

Kapittel VII

Internasjonal tilgang og overføring

Artikkel 31

Internasjonal tilgang og overføring

1. Det offentlige organet, den fysiske eller juridiske personen som har fått rett til å viderebruke data i henhold til kapittel II, tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen skal treffe alle rimelige tekniske, rettslige og organisatoriske tiltak, herunder avtalemessige ordninger, for å hindre internasjonal overføring av eller statlig tilgang til andre opplysninger enn personopplysninger som er lagret i Unionen, dersom en slik overføring eller tilgang er i strid med unionsretten eller nasjonal rett i den relevante medlemsstaten, uten at dette berører nr. 2 eller 3.
2. Enhver beslutning eller dom fra en domstol i et tredjeland og enhver beslutning fra en forvaltningsmyndighet i et tredjeland der det kreves at et offentlig organ, en fysisk eller juridisk person som har fått rett til å viderebruke data i henhold til kapittel II, en tilbyder av dataformidlingstjenester eller en anerkjent dataaltruismeorganisasjon overfører eller gir tilgang til andre opplysninger enn personopplysninger som er omfattet av denne forordningen, og som er lagret i Unionen, skal anerkjennes eller håndheves bare dersom den bygger på en internasjonal avtale, for eksempel en traktat om gjensidig juridisk bistand mellom det anmodende tredjelandet og Unionen eller en avtale mellom det anmodende tredjelandet og en medlemsstat.
3. Når det ikke foreligger en internasjonal avtale som nevnt i nr. 2 i denne artikkelen, dersom et offentlig organ, en fysisk eller juridisk person som har fått rett til å viderebruke data i henhold til kapittel II, en tilbyder av dataformidlingstjenester eller en anerkjent dataaltruismeorganisasjon er adressat for en beslutning eller dom fra en domstol i et tredjeland eller en beslutning fra en forvaltningsmyndighet i et tredjeland om å overføre eller gi tilgang til andre opplysninger enn personopplysninger som er omfattet av denne forordningen, og som er lagret i Unionen, og dersom overholdelsen av en slik beslutning risikerer å medføre at adressaten handler i strid med unionsretten eller nasjonal rett i den relevante medlemsstaten, skal det aktuelle tredjelandets myndighets overføring av eller tilgang til slike dataene finne sted bare
- a) dersom tredjelandets system krever at en slik beslutnings eller doms årsaker og forholdsmessighet skal fastsettes, og det kreves at en slik beslutning eller dom er av en særskilt art, for eksempel ved å fastsette en tilstrekkelig sterk kopling til visse mistenkte personer eller overtredelser,
- b) dersom adressatens begrunnede innsigelse kan prøves ved en vedkommende domstol i tredjelandet, og
- c) dersom vedkommende domstol i tredjelandet som utsteder beslutningen eller dommen eller prøver en forvaltningsmyndighets beslutning i henhold til det aktuelle tredjelandets rett, har myndighet til å ta behørig hensyn til de relevante rettslige interessene til tilbyderen av de dataene som er beskyttet i henhold til unionsretten eller nasjonal rett i den relevante medlemsstaten.
4. Dersom vilkårene i nr. 2 eller 3 er oppfylt, skal det offentlige organet, den fysiske eller juridiske personen som har fått rett til å viderebruke data i henhold til kapittel II, tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen framlegge den minste mengden data som er tillatt som svar på en anmodning, på grunnlag av en rimelig tolkning av anmodningen.
5. Det offentlige organet, den fysiske eller juridiske personen som har fått rett til å viderebruke data i henhold til kapittel II, tilbyderen av dataformidlingstjenester og den anerkjente dataaltruismeorganisasjonen skal underrette datainnehaveren om at det foreligger en anmodning fra en forvaltningsmyndighet i et tredjeland om å få tilgang til vedkommendes data før denne anmodningen etterkommes, unntatt dersom anmodningen gjelder rettshåndhevingsformål og så lenge det er nødvendig for å sikre at rettshåndhevingsvirksomheten er effektiv.

Kapittel VIII

Delegering og komitéprosedyre

Artikkel 32

Utøvelse av delegert myndighet

1. Myndigheten til å vedta delegerte rettsakter gis Kommisjonen med forbehold for vilkårene fastsatt i denne artikkelen.
2. Myndigheten til å vedta de delegerte rettsaktene nevnt i artikkel 5 nr. 13 og artikkel 22 nr. 1 skal gis Kommisjonen på ubestemt tid fra 23. juni 2022.
3. Den delegerte myndigheten nevnt i artikkel 5 nr. 13 og artikkel 22 nr. 1 kan når som helst tilbakekalles av Europaparlamentet eller Rådet. Beslutningen om tilbakekalling innebærer at den delegerte myndigheten som angis i beslutningen, opphører å gjelde. Den får anvendelse dagen etter at beslutningen er kunngjort i Den europeiske unions tidende, eller på et senere tidspunkt angitt i beslutningen. Den berører ikke gyldigheten av delegerte rettsakter som allerede er trådt i kraft.
4. Før Kommisjonen vedtar en delegert rettsakt, skal den rådføre seg med eksperter utpekt av hver medlemsstat i samsvar med prinsippene i den tverrinstitusjonelle avtalen av 13. april 2016 om bedre regelverksutforming.
5. Så snart Kommisjonen vedtar en delegert rettsakt, skal den underrette Europaparlamentet og Rådet samtidig om dette.
6. En delegert rettsakt vedtatt i henhold til artikkel 5 nr. 13 eller artikkel 22 nr. 1 skal tre i kraft bare dersom verken Europaparlamentet eller Rådet har gjort innsigelse mot rettsakten innen en frist på tre måneder etter at rettsakten ble meddelt Europaparlamentet eller Rådet, eller dersom både Europaparlamentet og Rådet innen utløpet av denne fristen har underrettet Kommisjonen om at de ikke kommer til å gjøre innsigelse. På Europaparlamentets eller Rådets initiativ forlenges denne fristen med tre måneder.

Artikkel 33

Komitéprosedyre

1. Kommisjonen skal bistås av en komité. Nevnte komité skal være en komité i henhold til forordning (EU) nr. 182/2011.
2. Når det vises til dette nummeret, får artikkel 4 i forordning (EU) nr. 182/2011 anvendelse.
3. Når det vises til dette nummeret, får artikkel 5 i forordning (EU) nr. 182/2011 anvendelse.

Kapittel IX

Sluttbestemmelser og overgangsbestemmelser

Artikkel 34

Sanksjoner

1. Medlemsstatene skal fastsette regler for sanksjoner som får anvendelse på overtredelser av forpliktelsene om overføring av andre opplysninger enn personopplysninger til tredjeland i samsvar med artikkel 5 nr. 14 og artikkel 31, meldeplikten for tilbydere av dataformidlingstjenester i samsvar med artikkel 11, vilkårene for levering av dataformidlingstjenester i samsvar med artikkel 12 og vilkårene for registrering som anerkjent dataaltruismeorganisasjon i samsvar med artikkel 18, 20, 21 og 22, og skal treffe alle nødvendige tiltak for å sikre at de gjennomføres. De fastsatte sanksjonene skal være virkningsfulle, stå i forhold til overtredelsen og virke avskrekkende. Medlemsstatene skal i sine regler for sanksjoner ta hensyn til anbefalingene fra Det europeiske datainnovasjonsråd. Medlemsstatene skal senest 24. september 2023 underrette Kommisjonen om disse reglene og tiltakene og uten opphold underrette den om eventuelle senere endringer som berører dem.
2. Medlemsstatene skal, dersom det er relevant, ta hensyn til følgende ikke-uttømmende og veiledende kriterier for ilegging av sanksjoner mot tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner for overtredelser av denne forordningen:
- a) Overtredelsens art, alvorlighetsgrad, omfang og varighet.
- b) Eventuelle tiltak som tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen har truffet for å begrense eller avhjelpe den skaden som overtredelsen har forårsaket.
- c) Eventuelle tidligere overtredelser som tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen har begått.
- d) De økonomiske gevinstene som tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen har oppnådd, eller de tapene som de har unngått som følge av overtredelsen, i den grad slike gevinster eller tap kan fastsettes på en pålitelig måte.
- e) Eventuelle andre skjerpende eller formildende omstendigheter i saken.

Artikkel 35

Evaluering og gjennomgåelse

Kommisjonen skal senest 24. september 2025 foreta en evaluering av denne forordningen og framlegge en rapport om de viktigste resultatene av denne vurderingen for Europaparlamentet og Rådet og for Den europeiske økonomiske og sosiale komité. Rapporten skal om nødvendig ledsages av forslag til regelverk.

Rapporten skal særlig vurdere

a) anvendelsen av og virkemåten til reglene for sanksjoner fastsatt av medlemsstatene i henhold til artikkel 34,
b) i hvilken grad de juridiske representantene for tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner som ikke er etablert i Unionen, overholder denne forordningen, og i hvilken grad sanksjoner ilagt disse tilbyderne og organisasjonene håndheves,
c) den typen dataaltruismeorganisasjoner som er registrert i henhold til kapittel IV, og en oversikt over hvilke formål av allmenn interesse data deles for med sikte på å fastsette klare kriterier for dette.

Medlemsstatene skal framlegge for Kommisjonen den informasjonen som er nødvendig for å utarbeide denne rapporten.

Artikkel 36

Endring av forordning (EU) 2018/1724

Posten «Oppstart, drift og avvikling av en virksomhet» i tabellen i vedlegg II til forordning (EU) 2018/1724 skal lyde:

Livshendelser	Prosedyrer	Forventet resultat med forbehold om vedkommende myndighets vurdering av søknaden i samsvar med nasjonal rett, dersom det er relevant
Oppstart, drift og avvikling av en virksomhet	Melding av næringsvirksomhet, tillatelse til å drive næringsvirksomhet, endringer av næringsvirksomhet og opphør av næringsvirksomhet uten insolvens- eller konkursbehandling, men ikke den første registreringen av næringsvirksomhet i foretaksregisteret eller prosedyrer for stiftelse eller senere registrering av selskaper eller foretak som definert i artikkel 54 annet ledd i TEUV	Bekreftelse på mottak av melding eller endring eller av anmodning om tillatelse til å drive næringsvirksomhet
	Registrering av en arbeidsgiver (en fysisk person) i obligatoriske pensjons- og forsikringsordninger	Bekreftelse på registrering eller registreringsnummer i trygdeordning
	Registrering av ansatte i obligatoriske pensjons- og forsikringsordninger	Bekreftelse på registrering eller registreringsnummer i trygdeordning
	Inngivelse av selskapsskattemelding	Bekreftelse på mottak av meldingen
	Melding til trygdeordningene om at en ansettelseskontrakt opphører, med unntak av framgangsmåter for kollektiv oppsigelse av ansettelseskontrakter	Bekreftelse på mottak av meldingen
	Betaling av trygde- og pensjonspremier for ansatte	Kvittering eller annen form for bekreftelse på betaling av trygde- og pensjonspremier for ansatte
	Melding som tilbyder av dataformidlingstjenester	Bekreftelse på mottak av meldingen
	Registrering som dataaltruismeorganisasjon som er anerkjent i Unionen	Bekreftelse på registreringen

Artikkel 37

Overgangsordninger

Enheter som 23. juni 2022 tilbyr de dataformidlingstjenestene som er nevnt i artikkel 10, skal senest 24. september 2025 oppfylle de forpliktelsene som er fastsatt i kapittel III.

Artikkel 38

Ikrafttredelse og anvendelse

Denne forordningen trer i kraft den 20. dagen etter at den er kunngjort i Den europeiske unions tidende. Den får anvendelse fra 24. september 2023.

Denne forordningen er bindende i alle deler og kommer direkte til anvendelse i alle medlemsstater.

Utferdiget i Brussel 30. mai 2022.

For Europaparlamentet	For Rådet
R. METSOLA	B. LE MAIRE
President	Formann

Fotnoter

EUT C 286 av 16.7.2021, s. 38.

Europaparlamentets holdning av 6. april 2022 (ennå ikke offentliggjort i EUT) og rådsbeslutning av 16. mai 2022.

Kommisjonsrekommandasjon 2003/361/EF av 6. mai 2003 om definisjonen av svært små, små og mellomstore bedrifter (EUT L 124 av 20.5.2003, s. 36).

Europaparlaments- og rådsdirektiv 2011/24/EU av 9. mars 2011 om anvendelse av pasientrettigheter ved helsetjenester over landegrensene (EUT L 88 av 4.4.2011, s. 45).

Europaparlaments- og rådsforordning (EU) 2019/1239 av 20. juni 2019 om opprettelse av et europeisk miljø om rapportering fra skip og om oppheving av direktiv 2010/65/EU (EUT L 198 av 25.7.2019, s. 64).

Europaparlaments- og rådsforordning (EU) 2020/1056 av 15. juli 2020 om elektronisk godstransportinformasjon (EUT L 249 av 31.7.2020, s. 33).

Europaparlaments- og rådsdirektiv 2010/40/EU av 7. juli 2010 om en ramme for innføring av intelligente transportsystemer innen veitransport og for grensesnitt mot andre transportformer (EUT L 207 av 6.8.2010, s. 1).

Europaparlaments- og rådsforordning (EF) nr. 223/2009 av 11. mars 2009 om europeisk statistikk og om oppheving av europaparlaments- og rådsforordning (EF, Euratom) nr. 1101/2008 om oversending av fortrolige statistiske opplysninger til De europeiske fellesskaps statistikkontor, rådsforordning (EF) nr. 322/97 om fellesskapsstatistikker og rådsbeslutning 89/382/EØF, Euratom om nedsettelse av en komité for De europeiske fellesskaps statistiske program (EUT L 87 av 31.3.2009, s. 164).

Europaparlaments- og rådsforordning (EU) 2018/858 av 30. mai 2018 om godkjenning av og markedstilsyn med motorvogner og deres tilhengere samt systemer, komponenter og separate tekniske enheter til slike motorvogner, om endring av forordning (EF) nr. 715/2007 og (EF) nr. 595/2009 og om oppheving av direktiv 2007/46/EF (EUT L 151 av 14.6.2018, s. 1).

Europaparlaments- og rådsforordning (EU) 2018/1807 av 14. november 2018 om en ramme for fri flyt av andre opplysninger enn personopplysninger i Den europeiske union (EUT L 303 av 28.11.2018, s. 59).

Europaparlaments- og rådsdirektiv 2000/31/EF av 8. juni 2000 om visse juridiske aspekter ved informasjonssamfunnstjenester, særlig elektronisk handel, i det indre marked (Direktivet om elektronisk handel) (EFT L 178 av 17.7.2000, s. 1).

Europaparlaments- og rådsdirektiv 2001/29/EF av 22. mai 2001 om harmonisering av visse sider ved opphavsrett og beslektede rettigheter i informasjonssamfunnet (EFT L 167 av 22.6.2001, s. 10).

Europaparlaments- og rådsdirektiv 2004/48/EF av 29. april 2004 om håndheving av immaterialrettigheter (EUT L 157 av 30.4.2004, s. 45).

Europaparlaments- og rådsdirektiv 2007/2/EF av 14. mars 2007 om opprettelse av en infrastruktur for geografisk informasjon i Det europeiske fellesskap (INSPIRE) (EUT L 108 av 25.4.2007, s. 1).

Europaparlaments- og rådsdirektiv (EU) 2015/849 av 20. mai 2015 om tiltak for å hindre at finanssystemet brukes til hvitvasking av penger eller finansiering av terrorisme, om endring av europaparlaments- og rådsforordning (EU) nr. 648/2012 og om oppheving av europaparlaments- og rådsdirektiv 2005/60/EF og kommisjonsdirektiv 2006/70/EF (EUT L 141 av 5.6.2015, s. 73).

Europaparlaments- og rådsdirektiv (EU) 2016/943 av 8. juni 2016 om beskyttelse av fortrolig knowhow og fortrolige forretningsopplysninger (forretningshemmeligheter) mot ulovlig tilegnelse, bruk og formidling (EUT L 157 av 15.6.2016, s. 1).

Europaparlaments- og rådsdirektiv (EU) 2017/1132 av 14. juni 2017 om visse aspekter ved selskapsrett (EUT L 169 av 30.6.2017, s. 46).

Europaparlaments- og rådsdirektiv (EU) 2019/790 av 17. april 2019 om opphavsrett og nærstående rettigheter i det digitale indre marked, og om endring av direktiv 96/9/EF og 2001/29/EF (EUT L 130 av 17.5.2019, s. 92).

Europaparlaments- og rådsdirektiv (EU) 2019/1024 av 20. juni 2019 om åpne data og viderebruk av informasjon fra offentlig sektor (EUT L 172 av 26.6.2019, s. 56).

Europaparlaments- og rådsdirektiv 2009/81/EF av 13. juli 2009 om samordning av framgangsmåtene ved oppdragsgiveres eller offentlige oppdragsgiveres tildeling av visse bygge- og anleggskontrakter, varekontrakter og tjenestekontrakter på forsvars- og sikkerhetsområdet og om endring av direktiv 2004/17/EF og 2004/18/EF (EUT L 216 av 20.8.2009, s. 76).

Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) (EUT L 119 av 4.5.2016, s. 1).

Europaparlaments- og rådsforordning (EU) 2018/1725 av 23. oktober 2018 om vern av fysiske personer i forbindelse med behandling av personopplysninger i Unionens institusjoner, organer, kontorer og byråer og om fri utveksling av slike opplysninger samt om oppheving av forordning (EF) nr. 45/2001 og beslutning nr. 1247/2002/EF (EUT L 295 av 21.11.2018, s. 39).

Europaparlaments- og rådsdirektiv 2002/58/EF av 12. juli 2002 om behandling av personopplysninger og personvern i sektoren for elektronisk kommunikasjon (direktivet om personvern og elektronisk kommunikasjon) (EFT L 201 av 31.7.2002, s. 37).

Europaparlaments- og rådsdirektiv (EU) 2016/680 av 27. april 2016 om vern av fysiske personer i forbindelse med vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, oppdage eller rettsforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, om fri utveksling av slike opplysninger og om oppheving av rådsrammebeslutning 2008/977/JIS (EUT L 119 av 4.5.2016, s. 89).

Kommisjonsforordning (EU) nr. 557/2013 av 17. juni 2013 om gjennomføring av europaparlaments- og rådsforordning (EF) nr. 223/2009 om europeisk statistikk med hensyn til tilgang til fortrolige opplysninger for vitenskapelige formål og om oppheving av kommisjonsforordning (EF) nr. 831/2002 (EUT L 164 av 18.6.2013, s. 16).

Europaparlaments- og rådsdirektiv 96/9/EF av 11. mars 1996 om rettslig vern av databaser (EFT L 77 av 27.3.1996, s. 20).

Europaparlaments- og rådsforordning (EU) nr. 600/2014 av 15. mai 2014 om markeder for finansielle instrumenter og om endring av forordning (EU) nr. 648/2012 (EUT L 173 av 12.6.2014, s. 84).

Europaparlaments- og rådsdirektiv (EU) 2015/2366 av 25. november 2015 om betalingstjenester i det indre marked, om endring av direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om oppheving av direktiv 2007/64/EF (EUT L 337 av 23.12.2015, s. 35).

Europaparlaments- og rådsforordning (EU) 2018/1724 av 2. oktober 2018 om opprettelse av en felles digital portal for å gi tilgang til opplysninger, prosedyrer og støtte- og problemløsingstjenester, og om endring av forordning (EU) nr. 1024/2012 (EUT L 295 av 21.11.2018, s. 1).

EUT L 123 av 12.5.2016, s. 1.

Europaparlaments- og rådsforordning (EU) nr. 182/2011 av 16. februar 2011 om fastsettelse av allmenne regler og prinsipper for medlemsstatenes kontroll med Kommisjonens utøvelse av sin gjennomføringsmyndighet (EUT L 55 av 28.2.2011, s. 13).

Europaparlaments- og rådsdirektiv (EU) 2016/2102 av 26. oktober 2016 om tilgjengeligheten av offentlige organers nettsteder og mobilapplikasjoner (EUT L 327 av 2.12.2016, s. 1).

Europaparlaments- og rådsdirektiv 2019/882 av 17. april 2019 om tilgjengelighetskrav for produkter og tjenester (EUT L 151 av 7.6.2019, s. 70).

Neste kapittel

Forrige kapittel

Neste kapittel

Forrige kapittel

Til forsiden

Til toppen