Artikelen bij COM(2022)68 - Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening) - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
dossier | COM(2022)68 - Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening). |
---|---|
document | COM(2022)68 |
datum | 13 december 2023 |
HOOFDSTUK 1
ALGEMENE BEPALINGEN
Artikel 1
Onderwerp en toepassingsgebied
1. Bij deze verordening worden geharmoniseerde regels vastgesteld voor het beschikbaar stellen van data die zijn gegenereerd door het gebruik van een product of een gerelateerde dienst door de gebruiker van dat product of die dienst, het beschikbaar stellen van data door datahouders aan data-ontvangers, en het beschikbaar stellen van data door datahouders aan overheidsinstanties of EU-instellingen, -agentschappen of -organen, indien er een uitzonderlijke noodzaak bestaat voor de uitvoering van een taak van algemeen belang.
2. Deze verordening is van toepassing op:
(a)fabrikanten van producten en leveranciers van gerelateerde diensten die in de EU in de handel worden gebracht en de gebruikers van dergelijke producten of diensten;
(b)datahouders die data ter beschikking stellen van data-ontvangers in de EU;
(c)data-ontvangers in de EU aan wie data ter beschikking worden gesteld;
(d)overheidsinstanties en EU-instellingen, -agentschappen of -organen die datahouders verzoeken om data beschikbaar te stellen wanneer er een uitzonderlijke noodzaak bestaat om die data te gebruiken voor de uitvoering van een taak in het algemeen belang en de datahouders die deze data in antwoord op een dergelijk verzoek verstrekken;
(e)aanbieders van dataverwerkingsdiensten die dergelijke diensten aan klanten in de EU aanbieden.
3. Het EU-recht inzake de bescherming van persoonsgegevens, de persoonlijke levenssfeer en de vertrouwelijkheid van communicatie en de integriteit van eindapparatuur is van toepassing op persoonsgegevens die worden verwerkt in verband met de in deze verordening vastgestelde rechten en verplichtingen. Deze richtlijn doet geen afbreuk aan het EU-recht betreffende de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 en Richtlijn 2002/58/EG, met inbegrip van de bevoegdheden van toezichthoudende autoriteiten. Wat de in hoofdstuk II van deze verordening vastgestelde rechten betreft, en wanneer gebruikers betrokkenen zijn van persoonsgegevens waarop de rechten en verplichtingen uit hoofde van dat hoofdstuk van toepassing zijn, vormen de bepalingen van deze verordening een aanvulling op het recht op overdraagbaarheid van data uit hoofde van artikel 20 van Verordening (EU) 2016/679.
4. Deze verordening doet geen afbreuk aan rechtshandelingen van de EU en haar lidstaten die voorzien in het delen van, de toegang tot en het gebruik van data met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van Verordening (EU) 2021/784 van het Europees Parlement en de Raad 72 en de [voorstellen inzake elektronisch bewijsmateriaal [COM (2018) 225 en 226] zodra deze zijn vastgesteld, en internationale samenwerking op dit gebied. Deze verordening doet geen afbreuk aan het verzamelen, delen, raadplegen en gebruiken van data uit hoofde van Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme en Verordening (EU) 2015/847 van het Europees Parlement en de Raad betreffende bij geldovermakingen te voegen informatie. Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten met betrekking tot activiteiten op het gebied van openbare veiligheid, defensie, nationale veiligheid, douane- en belastingadministratie en de gezondheid en veiligheid van de burgers overeenkomstig het EU-recht.
Artikel 2
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
(1) “data”: elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames;
(2) „product”: een tastbaar, roerend goed, ook wanneer dit deel uitmaakt van een onroerend goed, dat data over het gebruik of de omgeving ervan verkrijgt, genereert of verzamelt, en dat data kan doorgeven via een openbare elektronische-communicatiedienst en waarvan de hoofdfunctie niet het opslaan en verwerken van data is;
(3) „gerelateerde dienst”: een digitale dienst, met inbegrip van software, die zodanig in een product is geïntegreerd of daarmee verbonden is dat de afwezigheid ervan het product zou beletten een van zijn functies uit te voeren;
(4) „virtuele assistent”: software die opdrachten, taken of vragen kan verwerken, onder meer op basis van audio, schriftelijke input, gebaren of bewegingen, en die op basis van die opdrachten, taken of vragen toegang biedt tot eigen diensten en diensten van derde partijen of controle uitoefent op eigen apparatuur en apparaten van derde partijen;
(5) „gebruiker”: een natuurlijke of rechtspersoon die een product in eigendom heeft, huurt of leaset of een dienst ontvangt;
(6) „datahouder”: een rechtspersoon of natuurlijke persoon die overeenkomstig deze verordening, het toepasselijke EU-recht of de nationale wetgeving tot uitvoering van het EU-recht, of, in het geval van niet-persoonsgebonden data en door controle over het technische ontwerp van het product en de bijbehorende diensten, het recht of de verplichting heeft om bepaalde data beschikbaar te stellen;
(7) „ontvanger van data”: een rechtspersoon of natuurlijke persoon die handelt voor doeleinden die verband houden met zijn handels-, bedrijfs-, ambachts- of beroepsactiviteit, die niet de gebruiker van een product of gerelateerde dienst is en aan wie data beschikbaar worden gesteld door de datahouder, met inbegrip van een derde partij op verzoek van de gebruiker aan de datahouder of in overeenstemming met een wettelijke verplichting uit hoofde van EU-recht of nationale wetgeving tot omzetting van het EU-recht;
(8) 'bedrijf' (of 'onderneming'): iedere natuurlijke persoon of rechtspersoon die handelt volgens onder deze verordening vallende overeenkomsten en praktijken, voor doeleinden die gerelateerd zijn aan diens handels-, bedrijfs-, ambachts- of beroepsactiviteit;
(9) 'overheidsinstantie': nationale, regionale en lokale autoriteiten van de lidstaten, publiekrechtelijke instellingen van de lidstaten of samenwerkingsverbanden bestaande uit één of meer van deze autoriteiten of één of meer van deze instellingen;
(10) „algemene noodsituatie”: een uitzonderlijke situatie die negatieve gevolgen heeft voor de EU-bevolking, een lidstaat of een deel daarvan, met een risico op ernstige en blijvende gevolgen voor de levensomstandigheden of de economische stabiliteit, of een aanzienlijke verslechtering van de economische activa in de EU of in de betrokken lidstaat of lidstaten;
(11) „verwerking” : een bewerking of een geheel van bewerkingen die al dan niet op geautomatiseerde wijze op data of datasets in elektronische vorm worden uitgevoerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaken door middel van doorgeven, verspreiden of anderszins ter beschikking stellen, op een lijn brengen of combineren, afschermen, wissen of vernietigen van data;
(12) „dataverwerkingsdienst”: een andere digitale dienst dan een online-inhoudsdienst als gedefinieerd in artikel 2, lid 5, van Verordening (EU) 2017/1128, die aan een klant wordt aangeboden en die administratie op aanvraag en brede toegang op afstand tot een schaalbare en elastische pool van gedeelde computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard mogelijk maakt;
(13) „type dienst”: een reeks dataverwerkingsdiensten met dezelfde primaire doelstelling en hetzelfde basismodel voor dataverwerkingsdiensten;
(14) „functionele gelijkwaardigheid”: het handhaven van een minimumniveau van functionaliteit in de omgeving van een nieuwe dataverwerkingsdienst na het overstapproces, in die mate dat de dienst van bestemming, als reactie op een inputactie van de gebruiker op kernelementen van de dienst, dezelfde output zal leveren met dezelfde prestaties en met hetzelfde niveau van veiligheid, operationele veerkracht en kwaliteit van de dienst als de oorspronkelijke dienst op het moment van beëindiging van het contract;
(15) „open interoperabiliteitsspecificaties”: technische ICT-specificaties, zoals gedefinieerd in Verordening (EU) nr. 1025/2012, die wat betreft prestaties gericht zijn op het bereiken van interoperabiliteit tussen dataverwerkingsdiensten;
(16) „slim contract”: een computerprogramma dat is opgeslagen in een elektronisch-registersysteem waarin het resultaat van de uitvoering van het programma in het elektronische register wordt geregistreerd;
(17) „elektronisch register”: een elektronisch register in de zin van artikel 3, punt 53, van Verordening (EU) nr. 910/2014;
(18) “gemeenschappelijke specificaties”: een document dat geen norm is en dat technische oplossingen bevat om te voldoen aan bepaalde voorschriften en verplichtingen zoals vastgesteld in deze verordening;
(19) „interoperabiliteit”: het vermogen van twee of meer dataruimten of communicatienetwerken, -systemen, -producten, -toepassingen of -componenten om data uit te wisselen en te gebruiken teneinde hun functies te vervullen;
(20) “geharmoniseerde norm”: geharmoniseerde norm zoals gedefinieerd in artikel 2, lid 1, punt c), van Verordening (EU) nr. 1025/2012.
HOOFDSTUK II
DATA DELEN TUSSEN BEDRIJVEN EN CONSUMENTEN EN TUSSEN BEDRIJVEN ONDERLING
Artikel 3
Verplichting om door het gebruik van producten of gerelateerde diensten gegenereerde data toegankelijk te maken
1. Producten worden zodanig ontworpen en vervaardigd, en gerelateerde diensten worden zodanig verleend, dat de door het gebruik ervan gegenereerde data standaard gemakkelijk, veilig en, waar relevant en passend, rechtstreeks toegankelijk zijn voor de gebruiker.
2. Alvorens een contract te sluiten voor de aankoop, huur of leasing van een product of een gerelateerde dienst, krijgt de gebruiker op een duidelijke en begrijpelijke manier minstens de volgende informatie:
(a)de aard en het volume van de data die waarschijnlijk zullen worden gegenereerd door het gebruik van het product of de gerelateerde dienst;
(b)of de data waarschijnlijk continu en in realtime zullen worden gegenereerd;
(c)de manier waarop de gebruiker toegang kan krijgen tot die data;
(d)of de fabrikant van het product of de dienstverlener die de gerelateerde dienst verleent van plan is de data zelf te gebruiken of een derde partij toe te staan de data te gebruiken en, zo ja, voor welke doeleinden die data zullen worden gebruikt;
(e)of de verkoper, verhuurder of lease-aanbieder de datahouder is en, zo niet, de identiteit van de datahouder, zoals diens handelsnaam en het geografische adres van de datahouder;
(f)de communicatiemiddelen waarmee de gebruiker snel contact met de datahouder kan opnemen en efficiënt met hem of haar kan communiceren;
(g)hoe de gebruiker kan verzoeken om de data te delen met een derde;
(h)het recht van de gebruiker om bij de in artikel 31 bedoelde bevoegde autoriteit een klacht in te dienen over een schending van de bepalingen van dit hoofdstuk.
Artikel 4
Het recht van gebruikers op toegang tot en gebruik van de door het gebruik van producten of gerelateerde diensten gegenereerde data
1. Wanneer de gebruiker geen rechtstreekse toegang heeft tot de data via het product, stelt de datahouder de data die door het gebruik van een product of een gerelateerde dienst worden gegenereerd, onverwijld, kosteloos en, indien van toepassing, continu en in realtime ter beschikking van de gebruiker. Dit gebeurt op eenvoudig elektronisch verzoek, voor zover dit technisch haalbaar is.
2. De datahouder verlangt van de gebruiker geen informatie die verder gaat dan wat nodig is om de gebruiker als zodanig te verifiëren overeenkomstig lid 1. De datahouder bewaart geen informatie over de toegang van de gebruiker tot de gevraagde data die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de gebruiker en voor de beveiliging en het onderhoud van de data-infrastructuur.
3. Bedrijfsgeheimen worden alleen bekendgemaakt op voorwaarde dat alle specifieke noodzakelijke maatregelen worden genomen om de vertrouwelijkheid van bedrijfsgeheimen te waarborgen, met name ten aanzien van derden. De datahouder en de gebruiker kunnen maatregelen overeenkomen om de vertrouwelijkheid van de gedeelde data te waarborgen, met name ten aanzien van derden.
4. De gebruiker gebruikt de data die zijn verkregen naar aanleiding van een in lid 1 bedoeld verzoek niet om een product te ontwikkelen dat concurreert met het product waaruit de data afkomstig zijn.
5. Wanneer de gebruiker geen betrokkene is, worden persoonsgegevens die door het gebruik van een product of een gerelateerde dienst zijn gegenereerd, door de datahouder alleen ter beschikking gesteld van de gebruiker indien er een geldige rechtsgrondslag bestaat uit hoofde van artikel 6, lid 1, van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van Verordening (EU) 2016/679 is voldaan.
6. De datahouder gebruikt uitsluitend niet-persoonsgebonden data die zijn gegenereerd door het gebruik van een product of gerelateerde dienst op basis van een contractuele overeenkomst met de gebruiker. De datahouder gebruikt geen door het gebruik van het product of de gerelateerde dienst gegenereerde data om inzicht te verkrijgen in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker die de commerciële positie van de gebruiker op de markten waarop hij of zij actief is, zou kunnen ondermijnen.
Artikel 5
Het recht om data te delen met derden
1. Op verzoek van een gebruiker of van een namens een gebruiker optredende partij stelt de datahouder de door het gebruik van een product of gerelateerde dienst gegenereerde data onverwijld en zonder kosten voor de gebruiker ter beschikking aan een derde partij, met dezelfde kwaliteit als die waarover de datahouder beschikt en, indien van toepassing, continu en in realtime.
2. Een onderneming die kernplatformdiensten aanbiedt en die voor een of meer van dergelijke diensten als poortwachter is aangewezen overeenkomstig artikel [...] van [Verordening XXX inzake betwistbare en eerlijke markten in de digitale sector (wet inzake digitale markten) 73 ], is geen in aanmerking komende derde partij op grond van dit artikel en mag derhalve niet:
(a)een gebruiker op enigerlei wijze vragen of commercieel stimuleren, onder meer door financiële of andere vergoedingen te bieden, om data die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1, beschikbaar te stellen voor een van zijn diensten;
(b)een gebruiker verzoeken of commercieel stimuleren om de datahouder te verzoeken data beschikbaar te stellen aan een van zijn diensten overeenkomstig lid 1 van dit artikel;
(c)van een gebruiker data ontvangen die de gebruiker heeft verkregen naar aanleiding van een verzoek uit hoofde van artikel 4, lid 1.
3. Van de gebruiker of derde partij wordt geen informatie verlangd die verder gaat dan wat nodig is om de gebruiker of derde partij als zodanig te verifiëren overeenkomstig lid 1. De datahouder bewaart geen informatie over de toegang van de derde partij tot de gevraagde data die verder gaat dan nodig is voor de goede uitvoering van het toegangsverzoek van de derde partij en voor de beveiliging en het onderhoud van de data-infrastructuur.
4. De derde partij mag geen dwangmiddelen inzetten of misbruik maken van kennelijke leemten in de technische infrastructuur van de datahouder die bedoeld is om de data te beschermen, teneinde toegang tot data te verkrijgen.
5. De datahouder gebruikt geen niet-persoonsgebonden data die zijn gegenereerd door het gebruik van het product of de gerelateerde dienst om inzicht te verkrijgen in de economische situatie, activa en productiemethoden van of gebruik door de derde partij die de commerciële positie van de derde partij op de markten waarop de derde actief is, zouden kunnen ondermijnen, tenzij de derde partij met dat gebruik heeft ingestemd en de technische mogelijkheid heeft om die toestemming te allen tijde in te trekken.
6. Wanneer de gebruiker geen betrokkene is, worden persoonsgegevens die door het gebruik van een product of een gerelateerde dienst zijn gegenereerd, door de datahouder alleen ter beschikking gesteld indien er een geldige rechtsgrondslag bestaat uit hoofde van artikel 6, lid 1, van Verordening (EU) 2016/679 en, in voorkomend geval, indien aan de voorwaarden van artikel 9 van Verordening (EU) 2016/679 is voldaan.
7. Het verzuim van de datahouder en de derde partij om regelingen voor het doorgeven van de data overeen te komen, mag de uitoefening van de rechten van de betrokkene uit hoofde van Verordening (EU) 2016/679 en met name het recht op overdraagbaarheid van data uit hoofde van artikel 20 van die verordening, niet belemmeren, beletten of verstoren.
8. Bedrijfsgeheimen worden alleen bekendgemaakt aan derde partijen voor zover deze strikt noodzakelijk zijn om het tussen de gebruiker en de derde partij overeengekomen doel te verwezenlijken en voor zover alle tussen de datahouder en de derde partij overeengekomen specifieke noodzakelijke maatregelen door de derde partij worden genomen om de vertrouwelijkheid van het bedrijfsgeheim te waarborgen. In dat geval worden de aard van de data als bedrijfsgeheimen en de maatregelen ter bescherming van de vertrouwelijkheid gespecificeerd in de overeenkomst tussen de datahouder en de derde partij.
9. Het in lid 1 bedoelde recht doet geen afbreuk aan het recht op gegevensbescherming van anderen.
Artikel 6
Verplichtingen van derde partijen die op verzoek van de gebruiker data ontvangen
1. Een derde partij verwerkt de hem overeenkomstig artikel 5 ter beschikking gestelde data uitsluitend voor de doeleinden en onder de voorwaarden die met de gebruiker zijn overeengekomen, en met inachtneming van de rechten van de betrokkene wat persoonsgegevens betreft, en wist de data wanneer zij niet langer noodzakelijk zijn voor het overeengekomen doel.
2. De derde partij mag niet:
(a)de gebruiker op enigerlei wijze dwingen, misleiden of manipuleren door de autonomie, besluitvorming of keuzes van de gebruiker te ondermijnen of te beperken, onder meer door middel van een digitale interface met de gebruiker;
(b)de ontvangen data gebruiken voor de profilering van natuurlijke personen in de zin van artikel 4, lid 4, van Verordening (EU) 2016/679, tenzij dit noodzakelijk is om de door de gebruiker gevraagde dienst te verlenen;
(c)de ontvangen data in ruwe, geaggregeerde of afgeleide vorm ter beschikking stellen van een andere derde partij, tenzij dit noodzakelijk is om de door de gebruiker gevraagde dienst te verlenen;
(d)de ontvangen data beschikbaar stellen aan een onderneming die kernplatformdiensten aanbiedt en die voor een of meer van dergelijke diensten als poortwachter is aangewezen overeenkomstig artikel [...] van [verordening inzake betwistbare en eerlijke markten in de digitale sector (wet inzake digitale markten)];
(e)de ontvangen data gebruiken om een product te ontwikkelen dat concurreert met het product waaruit de ontvangen data afkomstig zijn, of de data voor dat doel met een andere derde partij delen;
(f)beletten dat de gebruiker, onder meer door middel van contractuele verbintenissen, de door hem ontvangen data ter beschikking stelt van andere partijen.
Artikel 7
Reikwijdte van de verplichtingen tot het delen van data tussen bedrijven en consumenten en tussen bedrijven onderling
1. De verplichtingen van dit hoofdstuk zijn niet van toepassing op data die zijn gegenereerd door het gebruik van producten die zijn vervaardigd of gerelateerde diensten die worden verleend door ondernemingen die micro- of kleine ondernemingen zijn in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG, mits die ondernemingen geen partnerondernemingen of verbonden ondernemingen in de zin van artikel 3 van de bijlage bij Aanbeveling 2003/361/EG hebben die niet als micro- of kleine onderneming worden aangemerkt.
2. Wanneer in deze verordening wordt verwezen naar producten of gerelateerde diensten, wordt die verwijzing ook geacht virtuele assistenten te omvatten, voor zover deze worden gebruikt om toegang te krijgen tot of controle uit te oefenen op een product of gerelateerde dienst.
HOOFDSTUK III
VERPLICHTINGEN VOOR DATAHOUDERS DIE WETTELIJK VERPLICHT ZIJN OM DATA BESCHIKBAAR TE STELLEN
Artikel 8
Voorwaarden waaronder datahouders data ter beschikking stellen aan ontvangers van data
1. Wanneer een datahouder verplicht is data aan een ontvanger van data beschikbaar te stellen op grond van artikel 5 of krachtens andere EU-wetgeving of nationale wetgeving tot uitvoering van het EU-recht, doet hij dit onder eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze overeenkomstig de bepalingen van dit hoofdstuk en hoofdstuk IV.
2. Een datahouder komt met een ontvanger van data de voorwaarden voor het beschikbaar stellen van de data overeen. Een contractuele bepaling betreffende de toegang tot en het gebruik van de data of de aansprakelijkheid en rechtsmiddelen voor de inbreuk op of de beëindiging van datagerelateerde verplichtingen is niet bindend indien zij voldoet aan de voorwaarden van artikel 13 of indien zij de toepassing uitsluit van, afwijkt van of de gevolgen wijzigt van de rechten van de gebruiker uit hoofde van hoofdstuk II.
3. Een datahouder mag bij het beschikbaar stellen van data geen onderscheid maken tussen vergelijkbare categorieën ontvangers van data, met inbegrip van partnerondernemingen of verbonden ondernemingen, zoals gedefinieerd in artikel 3 van de bijlage bij Aanbeveling 2003/361/EG, van de datahouder. Wanneer een ontvanger van data van mening is dat de voorwaarden voor het beschikbaar stellen van de data discriminerend zijn, dient de datahouder aan te tonen dat er geen sprake is van discriminatie.
4. Een datahouder stelt de data niet op exclusieve basis ter beschikking aan een ontvanger van data, tenzij de gebruiker daarom uit hoofde van hoofdstuk II verzoekt.
5. Van houders en ontvangers van data wordt niet verlangd dat zij informatie verstrekken die verder gaat dan wat nodig is om na te gaan of wordt voldaan aan de contractuele voorwaarden die zijn overeengekomen voor het beschikbaar stellen van data, of aan hun verplichtingen uit hoofde van deze verordening of andere toepasselijke EU-wetgeving of nationale wetgeving tot uitvoering van het EU-recht.
6. Tenzij anders bepaald in het EU-recht, met inbegrip van artikel 6 van deze verordening, of in nationale wetgeving tot omzetting van het EU-recht, leidt een verplichting om data ter beschikking te stellen aan een ontvanger van data niet tot een verplichting tot de openbaarmaking van bedrijfsgeheimen in de zin van Richtlijn (EU) 2016/943.
Artikel 9
Vergoeding voor het beschikbaar stellen van data
1. Elke vergoeding die tussen een houder en een ontvanger van data is overeengekomen voor het beschikbaar stellen van data, dient redelijk te zijn.
2. Wanneer de ontvanger van de data een micro-, kleine of middelgrote onderneming is in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG, mag de overeengekomen vergoeding niet hoger zijn dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de data aan de ontvanger van de data en die aan het verzoek zijn toe te schrijven. Artikel 8, lid 3, is van overeenkomstige toepassing.
3. Dit artikel belet niet dat andere EU-wetgeving of nationale wetgeving tot uitvoering van het EU-recht een vergoeding voor het beschikbaar stellen van data uitsluit of voorziet in een lagere vergoeding.
4. De datahouder verstrekt de ontvanger van data voldoende gedetailleerde informatie over de grondslag voor de berekening van de vergoeding, zodat de ontvanger van de data kan nagaan of aan de vereisten van lid 1 en, indien van toepassing, lid 2 is voldaan.
Artikel 10
Geschillenbeslechting
1. Houders en ontvangers van data hebben toegang tot overeenkomstig lid 2 van dit artikel gecertificeerde geschillenbeslechtingsorganen om geschillen te beslechten met betrekking tot het vaststellen van eerlijke, redelijke en niet-discriminerende voorwaarden voor en transparante wijze van het beschikbaar stellen van data overeenkomstig de artikelen 8 en 9.
2. De lidstaat waar het geschillenbeslechtingsorgaan is gevestigd, certificeert dat orgaan op verzoek van dat orgaan, indien het heeft aangetoond dat het aan alle volgende voorwaarden voldoet:
(a)het is onpartijdig en onafhankelijk en neemt zijn besluiten volgens een duidelijk en eerlijk reglement van orde;
(b)het beschikt over de nodige deskundigheid met betrekking tot het vaststellen van eerlijke, redelijke en niet-discriminerende voorwaarden voor en transparante wijze van het beschikbaar stellen van data, zodat het die voorwaarden doeltreffend kan bepalen;
(c)het is gemakkelijk toegankelijk via elektronische communicatietechnologie;
(d)het kan snel, doeltreffend en kosteneffectief en in ten minste een van de officiële EU-talen een besluit uitvaardigen.
Indien uiterlijk op [datum van toepassing van de verordening] geen geschillenbeslechtingsorgaan in een lidstaat is gecertificeerd, richt die lidstaat een geschillenbeslechtingsorgaan op dat voldoet aan de voorwaarden van de punten a) tot en met d) van dit lid en certificeert dat orgaan.
3. De lidstaten stellen de Commissie in kennis van de overeenkomstig lid 2 gecertificeerde geschillenbeslechtingsorganen. De Commissie publiceert een lijst van deze organen op een speciale website en houdt deze actueel.
4. De geschillenbeslechtingsorganen stellen de betrokken partijen in kennis van de vergoedingen of van de mechanismen om de vergoedingen vast te stellen, voordat die partijen om een besluit verzoeken.
5. Geschillenbeslechtingsorganen weigeren een verzoek om beslechting van een geschil dat al voor een ander geschillenbeslechtingsorgaan of voor een rechterlijke instantie van een lidstaat is gebracht.
6. De geschillenbeslechtingsorganen bieden de partijen de mogelijkheid om binnen een redelijke termijn hun standpunt over aangelegenheden die zij bij die instanties aanhangig hebben gemaakt, kenbaar te maken. In dat verband verstrekken de geschillenbeslechtingsorganen deze partijen de opmerkingen van de andere partij en eventuele deskundigenverklaringen. De organen bieden de partijen de mogelijkheid op deze opmerkingen en verklaringen te reageren.
7. De geschillenbeslechtingsorganen nemen hun besluit uiterlijk 90 dagen nadat het verzoek om een besluit is ingediend. Deze besluiten worden schriftelijk of op een duurzame drager opgesteld en worden met een motivering gestaafd.
8. Het besluit van het geschillenbeslechtingsorgaan is alleen bindend voor de partijen indien de partijen vóór aanvang van de geschillenbeslechtingsprocedure uitdrukkelijk hebben ingestemd met het bindende karakter ervan.
9. Dit artikel doet geen afbreuk aan het recht van de partijen om een doeltreffende voorziening in rechte in te stellen bij een rechterlijke instantie van een lidstaat.
Artikel 11
Technische beschermingsmaatregelen en bepalingen inzake ongeoorloofd gebruik of ongeoorloofde openbaarmaking van data
1. De datahouder kan passende technische beschermingsmaatregelen treffen, zoals slimme contracten, om ongeoorloofde toegang tot de data te voorkomen en de naleving van de artikelen 5, 6, 9 en 10 en van de overeengekomen contractuele voorwaarden voor het beschikbaar stellen van data te waarborgen. Dergelijke technische beschermingsmaatregelen mogen niet worden gebruikt als middel om het recht van de gebruiker te belemmeren om op doeltreffende wijze data aan derde partijen te verstrekken overeenkomstig artikel 5 of enig recht van een derde partij uit hoofde van het EU-recht of nationale wetgeving tot uitvoering van het EU-recht als bedoeld in artikel 8, lid 1.
2. Een ontvanger van data die met het oog op het verkrijgen van data onjuiste of valse informatie aan de datahouder heeft verstrekt, bedrieglijke of dwingende middelen heeft ingezet of kennelijke leemten in de technische infrastructuur van de datahouder ter bescherming van de data heeft misbruikt, de data die ter beschikking zijn gesteld voor ongeoorloofde doeleinden heeft gebruikt of deze data zonder toestemming van de datahouder aan een andere partij heeft verstrekt, doet onverwijld het volgende, tenzij de datahouder of de gebruiker anderszins instructies geeft:
(a)de door de datahouder beschikbaar gestelde data en kopieën daarvan vernietigen;
(b)een einde maken aan het produceren, aanbieden, in de handel brengen of gebruiken van goederen, afgeleide data of diensten die zijn geproduceerd op basis van de via die data verkregen kennis, of aan het invoeren, uitvoeren of opslaan van inbreukmakende goederen voor die doeleinden, en inbreukmakende goederen vernietigen.
3. Lid 2, punt b), is niet van toepassing in de volgende gevallen:
(a)het gebruik van de data heeft de datahouder geen ernstige schade berokkend;
(b)het zou onevenredig zijn, gezien de belangen van de datahouder.
Artikel 12
Reikwijdte van de verplichtingen voor datahouders die wettelijk verplicht zijn om data beschikbaar te stellen
1. Dit hoofdstuk is van toepassing wanneer een datahouder krachtens artikel 5 of krachtens het EU-recht of krachtens nationale wetgeving tot uitvoering van het EU-recht verplicht is data ter beschikking te stellen aan een ontvanger van data.
2. Contractuele voorwaarden in een overeenkomst inzake het delen van data die, ten nadele van een partij of, in voorkomend geval, ten nadele van de gebruiker, de toepassing van dit hoofdstuk uitsluiten, daarvan afwijken of de gevolgen ervan wijzigen, zijn voor die partij niet bindend.
3. Dit hoofdstuk is alleen van toepassing op verplichtingen om data beschikbaar te stellen uit hoofde van het EU-recht of van nationale wetgeving tot omzetting van het EU-recht, die in werking treden na [datum van toepassing van de verordening].
HOOFDSTUK IV
ONEERLIJKE BEDINGEN MET BETREKKING TOT DE TOEGANG TOT EN HET GEBRUIK VAN DATA TUSSEN ONDERNEMINGEN
Artikel 13
Oneerlijke contractuele bedingen die eenzijdig worden opgelegd aan een micro-, kleine of middelgrote onderneming
1. Een contractueel beding betreffende de toegang tot en het gebruik van data of de aansprakelijkheid en rechtsmiddelen in geval van schending of beëindiging van datagerelateerde verplichtingen die eenzijdig door een onderneming zijn opgelegd aan een micro-, kleine of middelgrote onderneming in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG, is niet bindend voor laatstgenoemde onderneming indien deze oneerlijk is.
2. Een contractueel beding is oneerlijk wanneer het beding van dien aard is dat het gebruik ervan sterk afwijkt van de goede handelspraktijken bij de toegang tot en het gebruik van data, en indruist tegen de beginselen van goede trouw en billijke handel.
3. Een contractueel beding is oneerlijk in de zin van dit artikel indien dat beding het volgende tot doel of gevolg heeft:
(a)de partij die het beding eenzijdig heeft opgelegd, draagt geen of beperkte aansprakelijkheid voor opzettelijke handelingen of grove nalatigheid;
(b)de partij aan wie het beding eenzijdig is opgelegd, wordt uitgesloten van de rechtsmiddelen waarover deze beschikt in geval van niet-nakoming van contractuele verplichtingen of de partij die het beding eenzijdig heeft opgelegd, draagt geen aansprakelijkheid in geval van niet-nakoming van die verplichtingen;
(c)de partij die het beding eenzijdig heeft opgelegd beschikt over het exclusieve recht om te bepalen of de verstrekte data in overeenstemming zijn met de overeenkomst of om een bepaling van de overeenkomst uit te leggen.
4. Een contractueel beding wordt geacht oneerlijk te zijn in de zin van dit artikel indien het ertoe strekt of tot gevolg heeft dat:
(a)de rechtsmiddelen in geval van niet-nakoming van contractuele verplichtingen of de aansprakelijkheid in geval van niet-nakoming van die verplichtingen op ongepaste wijze worden beperkt;
(b)de partij die het beding eenzijdig heeft opgelegd, toegang kan krijgen tot en gebruik kan maken van data van de andere overeenkomstsluitende partij op een wijze die de rechtmatige belangen van de andere overeenkomstsluitende partij aanzienlijk schaadt;
(c)de partij aan wie het beding eenzijdig is opgelegd, wordt verhinderd de door die partij tijdens de looptijd van de overeenkomst aangeleverde of gegenereerde data te gebruiken, of het gebruik van dergelijke data in die mate wordt beperkt dat die partij niet het recht heeft deze data te gebruiken, te verzamelen, er toegang toe te geven of de waarde van die data op evenredige wijze te exploiteren;
(d)de partij aan wie het beding eenzijdig is opgelegd, wordt verhinderd tijdens de looptijd van de overeenkomst of binnen een redelijke termijn na de beëindiging van de overeenkomst een kopie van de door die partij aangeleverde of gegenereerde data te verkrijgen;
(e)de partij die de termijn eenzijdig heeft opgelegd, de overeenkomst met een onredelijk korte termijn kan opzeggen, rekening houdend met de redelijke mogelijkheden van de andere overeenkomstsluitende partij om over te schakelen op een alternatieve en vergelijkbare dienst en met de financiële schade die door deze beëindiging wordt berokkend, tenzij er gewichtige redenen zijn om dit te doen.
5. Een beding in een overeenkomst wordt geacht eenzijdig te zijn opgelegd in de zin van dit artikel indien het door een van de overeenkomstsluitende partijen is gesteld en de andere partij ondanks een poging om daarover te onderhandelen geen invloed op de inhoud ervan heeft kunnen uitoefenen. De overeenkomstsluitende partij die een contractueel beding heeft gesteld, moet bewijzen dat dit beding niet eenzijdig is opgelegd.
6. Wanneer het oneerlijke beding van de overeenkomst kan worden gescheiden van de overige bedingen van de overeenkomst, blijven die resterende bedingen bindend.
7. Dit artikel is niet van toepassing op contractuele bedingen waarin het eigenlijke onderwerp van de overeenkomst wordt omschreven, noch op contractuele voorwaarden die de te betalen prijs bepalen.
8. De partijen bij een overeenkomst als bedoeld in lid 1 mogen de toepassing van dit artikel niet uitsluiten, daarvan afwijken of de gevolgen ervan wijzigen.
HOOFDSTUK V
DATA BESCHIKBAAR STELLEN AAN OVERHEIDSINSTANTIES EN EU-INSTELLINGEN, -AGENTSCHAPPEN OF -ORGANEN OP GROND VAN UITZONDERLIJKE NOODZAAK
Artikel 14
Verplichting om data beschikbaar te stellen op grond van uitzonderlijke noodzaak
1. Een datahouder stelt op verzoek data ter beschikking aan een overheidsinstantie of een EU-instelling, -agentschap of -orgaan wanneer is aangetoond dat er een uitzonderlijke noodzaak bestaat om de gevraagde data te gebruiken.
2. Dit hoofdstuk is niet van toepassing op kleine en micro-ondernemingen in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG.
Artikel 15
Uitzonderlijke noodzaak om data te gebruiken
Een uitzonderlijke noodzaak om data te gebruiken in de zin van dit hoofdstuk wordt geacht te bestaan wanneer er sprake is van een van de volgende omstandigheden:
(a)wanneer de gevraagde data noodzakelijk zijn om te reageren op een algemene noodsituatie;
(b)wanneer het verzoek om data beperkt is in tijd en reikwijdte en noodzakelijk is om een algemene noodsituatie te voorkomen of om het herstel na een algemene noodsituatie te ondersteunen;
(c)wanneer het gebrek aan beschikbare data de overheidsinstantie of de EU-instelling, het EU-agentschap of het EU-orgaan belet een specifieke taak van algemeen belang te vervullen waarin de wet uitdrukkelijk voorziet; en
(1) de overheidsinstantie of de EU-instelling, het EU-agentschap of het EU-orgaan niet in staat is geweest dergelijke data met alternatieve middelen te verkrijgen, onder meer door de data op de markt tegen markttarieven aan te kopen of door gebruik te maken van bestaande verplichtingen om data beschikbaar te stellen, en de vaststelling van nieuwe wetgevingsmaatregelen de tijdige beschikbaarheid van de data niet kan waarborgen; of
(2) het verkrijgen van de data volgens de procedure van dit hoofdstuk de administratieve lasten voor datahouders of andere ondernemingen aanzienlijk zou verminderen.
Artikel 16
Verband met andere verplichtingen om data beschikbaar te stellen aan overheidsinstanties en EU-instellingen, -agentschappen en -organen
1. Dit hoofdstuk doet geen afbreuk aan de in het EU-recht of het nationale recht vastgestelde verplichtingen met betrekking tot rapportage, het voldoen aan informatieverzoeken of het aantonen of verifiëren van de naleving van wettelijke verplichtingen.
2. De rechten uit hoofde van dit hoofdstuk worden niet uitgeoefend door overheidsinstanties en EU-instellingen, -agentschappen en -organen om activiteiten uit te voeren met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafrechtelijke of administratieve inbreuken of de tenuitvoerlegging van straffen, of ten behoeve van de douane- of belastingadministratie. Dit hoofdstuk doet geen afbreuk aan het toepasselijke EU-recht en het toepasselijke nationale recht inzake het voorkomen, onderzoeken, opsporen en vervolgen van strafrechtelijke of administratieve inbreuken of de tenuitvoerlegging van strafrechtelijke of administratieve sancties, of inzake de douane- of belastingadministratie.
Artikel 17
Verzoeken om data beschikbaar te stellen
1. Wanneer overheidsinstanties of EU-instellingen, -agentschappen of -organen om data overeenkomstig artikel 14, lid 1, verzoeken:
(a)specificeren zij welke data vereist zijn;
(b)tonen zij aan dat het verzoek om data gebeurt op grond van een uitzonderlijke noodzaak;
(c)lichten zij het doel van het verzoek, het beoogde gebruik van de gevraagde data en de duur van dat gebruik toe;
(d)vermelden zij de rechtsgrondslag voor het opvragen van de data;
(e)specificeren zij binnen welke termijn de data beschikbaar moeten worden gesteld of binnen welke termijn de datahouder de overheidsinstantie, de EU-instelling, het EU-agentschap of -orgaan kan verzoeken het verzoek te wijzigen of in te trekken.
2. Een verzoek om data op grond van lid 1 van dit artikel:
(a)wordt uitgedrukt in duidelijke, beknopte en eenvoudige taal die voor de datahouder begrijpelijk is;
(b)staat in verhouding tot de uitzonderlijke noodzaak, wat betreft de mate van detail en het volume van de gevraagde data en de frequentie van de toegang tot de gevraagde data;
(c)eerbiedigt de legitieme doelstellingen van de datahouder, rekening houdend met de bescherming van bedrijfsgeheimen en de kosten en inspanningen die nodig zijn om de data beschikbaar te stellen;
(d)heeft voor zover mogelijk betrekking op niet-persoonsgebonden data;
(e)stelt de datahouder in kennis van de sancties die overeenkomstig artikel 33 door een in artikel 31 bedoelde bevoegde autoriteit worden opgelegd in geval van niet-naleving van het verzoek;
(f)wordt onverwijld online beschikbaar gesteld voor het publiek.
3. Een overheidsinstantie of een EU-instelling, -agentschap of -orgaan stelt de op grond van dit hoofdstuk verkregen data niet beschikbaar voor hergebruik in de zin van Richtlijn (EU) 2019/1024. Richtlijn (EU) 2019/1024 is niet van toepassing op de data die overheidsinstanties op grond van dit hoofdstuk in handen hebben gekregen.
4. Lid 3 belet een overheidsinstantie of een EU-instelling, -agentschap of -orgaan niet om op grond van dit hoofdstuk verkregen data uit te wisselen met een andere overheidsinstantie of een EU-instelling, -agentschap of -orgaan, met het oog op de vervulling van de taken in artikel 15, of om de data beschikbaar te stellen aan een derde partij in gevallen waarin het door middel van een openbaar beschikbare overeenkomst technische inspecties of andere taken aan die derde partij heeft uitbesteed. De verplichtingen van overheidsinstanties, EU-instellingen, -agentschappen of -organen uit hoofde van artikel 19 zijn van toepassing.
Wanneer overheidsinstanties of EU-instellingen, -agentschappen of -organen data uit hoofde van dit lid doorgeeft of beschikbaar stelt, stellen zijde datahouder van wie de data zijn ontvangen daarvan in kennis.
Artikel 18
Naleving van verzoeken om data
1. Een datahouder die een verzoek om toegang tot data uit hoofde van dit hoofdstuk ontvangt, stelt de data onverwijld ter beschikking van de verzoekende overheidsinstantie of EU-instelling, -agentschap of -orgaan.
2. Onverminderd specifieke noodzaak in verband met de beschikbaarheid van data als omschreven in sectorale wetgeving, kan de datahouder het verzoek afwijzen of verzoeken om wijziging van het verzoek, en dit binnen vijf werkdagen na ontvangst van een verzoek om de data die noodzakelijk zijn om te reageren op een algemene noodsituatie, en binnen 15 werkdagen in andere gevallen van uitzonderlijke noodzaak, om een van de volgende redenen:
(a)de data zijn niet beschikbaar;
(b)het verzoek voldoet niet aan de voorwaarden van artikel 17, lid 1 en 2.
3. In geval van een verzoek om data die nodig zijn om te reageren op een algemene noodsituatie, kan de datahouder het verzoek ook afwijzen of vragen om wijziging ervan, indien de datahouder de gevraagde data reeds heeft verstrekt in antwoord op een eerder ingediend verzoek met hetzelfde doel door een andere overheidsinstantie of een andere EU-instelling, -agentschap of -orgaan en de datahouder niet in kennis is gesteld van de vernietiging van de data overeenkomstig artikel 19, lid 1, punt c).
4. Indien de datahouder besluit het verzoek af te wijzen of te verzoeken het te wijzigen overeenkomstig lid 3, vermeldt hij de identiteit van de overheidsinstantie of de EU-instelling, het EU-agentschap of EU-orgaan dat of die eerder een verzoek met hetzelfde doel heeft ingediend.
5. Indien persoonsgegevens moeten worden verstrekt om het verzoek om data van een overheidsinstantie of een EU-instelling, -agentschap of -orgaan in te willigen, levert de datahouder redelijke inspanningen om de data te pseudonimiseren, voor zover aan het verzoek kan worden voldaan met gepseudonimiseerde data.
6. Indien de overheidsinstantie of de EU-instelling, het EU-agentschap of -orgaan de weigering van een datahouder om de gevraagde data te verstrekken of diens verzoek tot wijziging van het verzoek wil aanvechten, of indien de datahouder het verzoek wenst aan te vechten, wordt de zaak voorgelegd aan de in artikel 31 bedoelde bevoegde autoriteit.
Artikel 19
Verplichtingen van overheidsinstanties en EU-instellingen, -agentschappen en -organen
1. Overheidsinstanties of EU-instellingen, -agentschappen of -organen die op grond van een verzoek uit hoofde van artikel 14 data hebben ontvangen:
(a)gebruiken de data niet op een wijze die onverenigbaar is met het doel waarvoor zij zijn gevraagd;
(b)treffen, voor zover de verwerking van persoonsgegevens noodzakelijk is, technische en organisatorische maatregelen die de rechten en vrijheden van de betrokkenen waarborgen;
(c)vernietigen de data zodra zij niet langer nodig zijn voor het aangegeven doel en stellen de datahouder ervan in kennis stellen dat de data zijn vernietigd.
2. De openbaarmaking van bedrijfsgeheimen of vermeende bedrijfsgeheimen aan een overheidsinstantie of een EU-instelling, -agentschap of -orgaan is alleen vereist voor zover dit strikt noodzakelijk is om het doel van het verzoek te verwezenlijken. In dat geval neemt de overheidsinstantie of de EU-instelling, het EU-agentschap of -orgaan passende maatregelen om de vertrouwelijkheid van die bedrijfsgeheimen te waarborgen.
Artikel 20
Compensatie in geval van uitzonderlijke noodzaak
1. Data die beschikbaar worden gesteld met als doel te reageren op een algemene noodsituatie overeenkomstig artikel 15, punt a), worden kosteloos verstrekt.
2. Indien de datahouder een vergoeding eist voor het beschikbaar stellen van data naar aanleiding van een verzoek overeenkomstig artikel 15, punt b) of c), mag die vergoeding niet hoger zijn dan de technische en organisatorische kosten die zijn gemaakt om aan het verzoek te voldoen, met inbegrip van, indien nodig, de kosten van anonimisering en technische aanpassing, vermeerderd met een redelijke marge. Op verzoek van de overheidsinstantie of de EU-instelling, het EU-agentschap of -orgaan die of dat om de data verzoekt, verstrekt de datahouder informatie over de grondslag voor de berekening van de kosten en de redelijke marge.
Artikel 21
Bijdrage van onderzoeksorganisaties of bureaus voor de statistiek in de context van een uitzonderlijke noodzaak
1. Een overheidsinstantie of een EU-instelling, -agentschap of -orgaan heeft het recht uit hoofde van dit hoofdstuk ontvangen data te delen met personen of organisaties met het oog op het uitvoeren van wetenschappelijk onderzoek of analyses die verenigbaar zijn met het doel waarvoor de data werden gevraagd, of aan nationale bureaus voor de statistiek en Eurostat voor het opstellen van officiële statistieken.
2. Personen of organisaties die de data overeenkomstig lid 1 ontvangen, handelen zonder winstoogmerk of in het kader van een in het EU-recht of het nationale recht van een lidstaat erkende taak van algemeen belang. Hieronder vallen niet organisaties waarop commerciële ondernemingen een beslissende invloed uitoefenen of die kunnen leiden tot preferentiële toegang tot de resultaten van het onderzoek.
3. Personen of organisaties die de data overeenkomstig lid 1 ontvangen, voldoen aan de bepalingen van artikel 17, lid 3, en artikel 19.
4. Wanneer een overheidsinstantie of een EU-instelling, -agentschap of -orgaan data uit hoofde van lid 1 doorgeeft of beschikbaar stelt, stelt deze de datahouder van wie de data zijn ontvangen daarvan in kennis.
Artikel 22
Wederzijdse bijstand en grensoverschrijdende samenwerking
1. Overheidsinstanties of EU-instellingen, -agentschappen of -organen werken samen en staan elkaar bij om dit hoofdstuk op consistente wijze uit te voeren.
2. Alle data die in het kader van de verzochte bijstand worden uitgewisseld en verstrekt overeenkomstig lid 1, worden uitsluitend gebruikt voor het doel waarvoor zij zijn aangevraagd.
3. Wanneer een overheidsinstantie voornemens is data op te vragen van een datahouder die in een andere lidstaat is gevestigd, stelt deze eerst de in artikel 31 bedoelde bevoegde autoriteit van die lidstaat van dat voornemen in kennis. Dit vereiste geldt ook voor verzoeken van EU-instellingen, -agentschappen en -organen.
4. Nadat de relevante bevoegde autoriteit overeenkomstig lid 3 in kennis is gesteld, adviseert deze de verzoekende overheidsinstantie over de eventuele noodzaak om samen te werken met overheidsinstanties van de lidstaat waar de datahouder is gevestigd, teneinde de administratieve lasten voor de datahouder bij de uitvoering van het verzoek te verlichten. De verzoekende overheidsinstantie houdt rekening met het advies van de relevante bevoegde autoriteit.
HOOFDSTUK VI
OVERSTAPPEN NAAR ANDERE DATAVERWERKINGSDIENSTEN
Artikel 23
Belemmeringen voor een doeltreffende overstap naar andere aanbieders van dataverwerkingsdiensten wegnemen
1. Aanbieders van dataverwerkingsdiensten nemen de in de artikelen 24, 25 en 26 bedoelde maatregelen om ervoor te zorgen dat de klanten van hun dienst kunnen overstappen naar een andere dataverwerkingsdienst van hetzelfde type die door een andere dienstverlener wordt verleend. Aanbieders van dataverwerkingsdiensten dienen met name commerciële, technische, contractuele en organisatorische belemmeringen weg te nemen die klanten beletten:
(a)na een opzegtermijn van maximaal 30 kalenderdagen de contractuele overeenkomst van de dienst op te zeggen;
(b)nieuwe contractuele overeenkomsten met een andere aanbieder van dataverwerkingsdiensten voor hetzelfde soort diensten te sluiten;
(c)zijn of haar data, toepassingen en andere digitale activa aan een andere aanbieder van dataverwerkingsdiensten over te dragen;
(d)de functionele gelijkwaardigheid van de dienst in de IT-omgeving van de verschillende aanbieders van dataverwerkingsdiensten voor hetzelfde type dienst te handhaven, overeenkomstig artikel 26.
2. Lid 1 is alleen van toepassing op belemmeringen die verband houden met de diensten, contractuele overeenkomsten of handelspraktijken van de oorspronkelijke aanbieder.
Artikel 24
Contractvoorwaarden betreffende een overstap naar andere aanbieders van dataverwerkingsdiensten
1. De rechten van de klant en de verplichtingen van de aanbieder van een dataverwerkingsdienst met betrekking tot het overstappen naar andere aanbieders van dergelijke diensten worden duidelijk vastgelegd in een schriftelijk contract. Onverminderd Richtlijn (EU) 2019/770 omvat dit contract ten minste het volgende:
(a)bepalingen op grond waarvan de klant, op verzoek, kan overstappen naar een dataverwerkingsdienst die wordt aangeboden door een andere aanbieder van dataverwerkingsdiensten of op grond waarvan de klant alle data, toepassingen en digitale activa die direct of indirect door de klant worden gegenereerd, kan overdragen naar een on-premise-systeem, met name de vaststelling van een verplichte maximale overgangsperiode van 30 kalenderdagen, waarbinnen de aanbieder van dataverwerkingsdiensten:
(1) het overstapproces ondersteunt en, indien technisch haalbaar, voltooit;
(2) zorgt voor volledige continuïteit bij de verlening van de respectieve functies of diensten;
(b)een volledige specificatie van alle data- en toepassingscategorieën die tijdens het overstapproces exporteerbaar zijn, waaronder ten minste alle data die door de klant bij het aangaan van de dienstenovereenkomst zijn ingevoerd en alle data en metadata die in de periode waarin de dienst werd verleend door de klant en door het gebruik van de dienst zijn gecreëerd, waaronder, maar niet beperkt tot, configuratieparameters, beveiligingsinstellingen, toegangsrechten en toegangslogs voor de dienst;
(c)een minimumtermijn voor het opvragen van data van ten minste 30 kalenderdagen, beginnend na de beëindiging van de overgangsperiode die is overeengekomen tussen de klant en de dienstverlener, overeenkomstig lid 1, punt a), en lid 2.
2. Wanneer de verplichte overgangsperiode als gedefinieerd in lid 1, punten a) en c), van dit artikel technisch niet haalbaar is, stelt de aanbieder van dataverwerkingsdiensten de klant daarvan in kennis binnen 7 werkdagen na het overstapverzoek , met een gedetailleerde motivering van de technische onhaalbaarheid en met vermelding van een alternatieve overgangsperiode, die niet langer mag zijn dan 6 maanden. Overeenkomstig lid 1 van dit artikel wordt de volledige continuïteit van de dienstverlening gewaarborgd gedurende de gehele alternatieve overgangsperiode tegen verlaagde tarieven, als bedoeld in artikel 25, lid 2.
Artikel 25
Geleidelijke afschaffing van de overstapkosten
1. Vanaf [datum X + 3 jaar] brengen aanbieders van dataverwerkingsdiensten de klant geen kosten in rekening voor het overstapproces.
2. Vanaf [datum X, de datum van inwerkingtreding van de dataverordening] tot en met [datum X + 3 jaar] kunnen aanbieders van dataverwerkingsdiensten de klant lagere kosten voor het overstapproces opleggen.
3. De in lid 2 bedoelde kosten mogen niet hoger zijn dan de kosten van de aanbieder van dataverwerkingsdiensten die rechtstreeks verband houden met het betrokken overstapproces.
4. De Commissie is bevoegd overeenkomstig artikel 38 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met het oog op de invoering van een toezichtmechanisme waarmee de Commissie toezicht kan houden op de door aanbieders van dataverwerkingsdiensten op de markt opgelegde overstaptarieven om ervoor te zorgen dat de in lid 1 van dit artikel beschreven afschaffing van de overstaptarieven binnen de in hetzelfde lid vastgestelde termijn wordt verwezenlijkt.
Artikel 26
Technische aspecten van een overstap
1. Aanbieders van dataverwerkingsdiensten die betrekking hebben op schaalbare en elastische computermiddelen die beperkt zijn tot infrastructurele elementen zoals servers, netwerken en de virtuele hulpbronnen die nodig zijn voor de exploitatie van de infrastructuur, maar die geen toegang bieden tot de operationele diensten, software en toepassingen die worden opgeslagen, anderszins verwerkt of op die infrastructurele elementen worden ingezet, zorgen ervoor dat de klant, nadat hij of zij overschakelt op een dienst van hetzelfde type die door een andere aanbieder van dataverwerkingsdiensten wordt aangeboden, functionele gelijkwaardigheid geniet bij het gebruik van de nieuwe dienst.
2. Voor dataverwerkingsdiensten die niet onder lid 1 vallen, stellen aanbieders van dataverwerkingsdiensten open interfaces kosteloos ter beschikking.
3. Voor andere dataverwerkingsdiensten dan die welke onder lid 1 vallen, zorgen aanbieders van dataverwerkingsdiensten voor compatibiliteit met open interoperabiliteitsspecificaties of Europese interoperabiliteitsnormen die zijn vastgesteld overeenkomstig artikel 29, lid 5, van deze verordening.
4. Wanneer de in lid 3 bedoelde open interoperabiliteitsspecificaties of Europese normen voor het betrokken type dienst niet bestaan, exporteert de aanbieder van dataverwerkingsdiensten op verzoek van de klant alle gegenereerde of medegegenereerde data, met inbegrip van de relevante dataformaten en datastructuren, in een gestructureerd, algemeen gebruikt en machineleesbaar formaat.
HOOFDSTUK VII
INTERNATIONALE CONTEXTEN MET BETREKKING TOT NIET-PERSOONSGEBONDEN DATA
Artikel 27
Internationale toegang en overdracht
1. Aanbieders van dataverwerkingsdiensten nemen alle redelijke technische, juridische en organisatorische maatregelen, waaronder contractuele regelingen, om internationale overdracht of toegang van de overheid tot niet-persoonsgebonden data die in de EU zijn opgeslagen, te voorkomen wanneer die doorgifte of toegang in strijd zou zijn met het EU-recht of het nationale recht van de betrokken lidstaat, onverminderd lid 2 of lid 3.
2. Elk besluit of elke rechterlijke uitspraak en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een verlener van dataverwerkingsdiensten niet-persoonsgebonden data die binnen het toepassingsgebied van deze verordening vallen en in de EU zijn opgeslagen, moet overdragen of er toegang toe moet verlenen, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien het besluit, de uitspraak of de beslissing gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, die van kracht is tussen het verzoekende derde land en de EU of op een dergelijke overeenkomst tussen het verzoekende derde land en een lidstaat.
3. Indien een dergelijke internationale overeenkomst ontbreekt en een aanbieder van dataverwerkingsdiensten de geadresseerde is van een besluit van een rechterlijke instantie of een administratieve autoriteit van een derde land om niet-persoonsgebonden data die binnen het toepassingsgebied van deze verordening vallen en in de EU worden bewaard, over te dragen of er toegang toe te geven en de naleving van een dergelijk besluit de geadresseerde in strijd zou kunnen brengen met het EU-recht of het nationale recht van de betrokken lidstaat, mag de overdracht van die data aan of de toegang tot die data door die autoriteit van het derde land alleen plaatsvinden:
(a)wanneer het systeem van het derde land voorschrijft dat de redenen voor en de evenredigheid van het besluit worden toegelicht, en dat het vonnis of besluit van de rechtbank, al naargelang het geval, een specifiek karakter heeft, bijvoorbeeld door een voldoende verband te leggen met bepaalde verdachten of inbreuken;
(b)wanneer het met redenen omklede bezwaar van de geadresseerde wordt getoetst door een bevoegde rechterlijke instantie in het derde land; en
(c)wanneer in die context de bevoegde rechterlijke instantie die het besluit of vonnis velt of het besluit van een administratieve autoriteit toetst, uit hoofde van het recht van dat land gemachtigd is om rekening te houden met de relevante juridische belangen van de verstrekker van de data die door het EU-recht of het toepasselijke recht van de lidstaat worden beschermd.
De geadresseerde van het besluit kan de relevante bevoegde instanties of autoriteiten uit hoofde van deze verordening om advies vragen om te bepalen of aan deze voorwaarden is voldaan, met name wanneer hij of zij van mening is dat het besluit betrekking kan hebben op commercieel gevoelige data of afbreuk kan doen aan de nationale veiligheids- of defensiebelangen van de EU of haar lidstaten.
De bij Verordening [xxx — DGA] opgerichte Europese raad voor gegevensinnovatie adviseert en assisteert de Commissie bij het opstellen van richtsnoeren voor de beoordeling van de vraag of aan deze voorwaarden is voldaan.
4. Indien aan de voorwaarden van lid 2 of lid 3 is voldaan, verstrekt de aanbieder van dataverwerkingsdiensten de minimaal toegestane hoeveelheid data in antwoord op een verzoek, op basis van een redelijke interpretatie daarvan.
5. De aanbieder van dataverwerkingsdiensten stelt de datahouder in kennis van het bestaan van een verzoek van een administratieve autoriteit in een derde land om toegang tot zijn of haar data te krijgen, alvorens aan dit verzoek te voldoen, behalve in gevallen waarin het verzoek rechtshandhavingsdoeleinden dient en zolang dit noodzakelijk is om de doeltreffendheid van de rechtshandhavingsactiviteiten te waarborgen.
HOOFDSTUK VIII
INTEROPERABILITEIT
Artikel 28
Essentiële eisen inzake interoperabiliteit
1. Exploitanten van dataruimten voldoen aan de volgende essentiële eisen om de interoperabiliteit van data, mechanismen en diensten voor data-uitwisseling te vergemakkelijken:
(a)de inhoud van de dataset, gebruiksbeperkingen, licenties, dataverzamelingsmethoden, datakwaliteit en onzekerheid worden voldoende beschreven om de ontvanger in staat te stellen de data te vinden, te raadplegen en te gebruiken;
(b)de datastructuren, dataformaten, vocabularia, classificatieschema’s, taxonomieën en codelijsten worden op een voor het publiek toegankelijke en consistente wijze beschreven;
(c)de technische middelen om toegang te krijgen tot de data, zoals applicatieprogramma-interfaces, en de gebruiksvoorwaarden en de kwaliteit van de dienstverlening worden voldoende beschreven om automatische toegang tot en overdracht van data tussen partijen mogelijk te maken, ook continu of in realtime in een machineleesbaar formaat;
(d)er wordt voorzien in de middelen om de interoperabiliteit van slimme contracten binnen hun diensten en activiteiten mogelijk te maken.
Deze eisen kunnen een generiek karakter hebben of betrekking hebben op specifieke sectoren, waarbij ten volle rekening wordt gehouden met de samenhang met eisen die voortvloeien uit andere sectorale wetgeving van de EU of de lidstaten.
2. De Commissie is bevoegd overeenkomstig artikel 38 gedelegeerde handelingen tot aanvulling van deze richtlijn vast te stellen door de essentiële eisen in lid 1 van dit artikel verder te specificeren.
3. Exploitanten van dataruimten die voldoen aan de geharmoniseerde normen of delen daarvan die onder verwijzing in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de in lid 1 van dit artikel bedoelde essentiële eisen, voor zover die normen deze eisen dekken.
4. De Commissie kan overeenkomstig artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzoeken geharmoniseerde normen op te stellen die voldoen aan de essentiële eisen in lid 1 van dit artikel.
5. De Commissie stelt door middel van uitvoeringshandelingen gemeenschappelijke specificaties vast wanneer er geen geharmoniseerde normen als bedoeld in lid 4 van dit artikel bestaan of indien zij van oordeel is dat de relevante geharmoniseerde normen ontoereikend zijn om de conformiteit met de essentiële eisen in lid 1 van dit artikel te waarborgen, indien nodig met betrekking tot een of meer van de in lid 1 van dit artikel vastgestelde eisen. Die uitvoeringshandelingen worden volgens de in artikel 39, lid 2, bedoelde onderzoeksprocedure vastgesteld.
6. De Commissie kan richtsnoeren aannemen waarin interoperabiliteitsspecificaties voor de werking van gemeenschappelijke Europese dataruimten worden vastgesteld, zoals architectuurmodellen en technische normen tot uitvoering van wettelijke voorschriften en regelingen tussen partijen die de uitwisseling van data bevorderen, bijvoorbeeld met betrekking tot het recht op toegang en technische vertaling van instemming of toestemming.
Artikel 29
Interoperabiliteit voor dataverwerkingsdiensten
1. Open interoperabiliteitsspecificaties en Europese normen voor de interoperabiliteit van dataverwerkingsdiensten voldoen aan het volgende:
(a)zij zijn wat betreft prestaties gericht op het bereiken van interoperabiliteit tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst bestrijken;
(b)zij verbeteren de overdraagbaarheid van digitale activa tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst bestrijken;
(c)zij garanderen voor zover technisch haalbaar, de functionele gelijkwaardigheid tussen verschillende dataverwerkingsdiensten die hetzelfde type dienst bestrijken.
2. Open interoperabiliteitsspecificaties en Europese normen voor de interoperabiliteit van dataverwerkingsdiensten hebben betrekking op:
(a)de aspecten van cloudinteroperabiliteit in het vervoer, syntactische interoperabiliteit, semantische data-interoperabiliteit, gedragsinteroperabiliteit en beleidsinteroperabiliteit;
(b)de overdraagbaarheidsaspecten van clouddata inzake syntactische overdraagbaarheid, semantische overdraagbaarheid van data en overdraagbaarheid van het databeleid;
(c)de cloudtoepassingsaspecten van applicatiesyntactische overdraagbaarheid, applicatie-instructieportabiliteit, overdraagbaarheid van applicatiemetadata, overdraagbaarheid van applicatiegedrag en overdraagbaarheid van het applicatiebeleid.
3. Open interoperabiliteitsspecificaties voldoen aan de punten 3 en 4 van bijlage II bij Verordening (EU) nr. 1025/2012.
4. De Commissie kan overeenkomstig artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzoeken om Europese normen op te stellen die van toepassing zijn op specifieke diensttypes van dataverwerkingsdiensten.
5. Voor de toepassing van artikel 26, lid 3, van deze verordening is de Commissie bevoegd overeenkomstig artikel 38 gedelegeerde handelingen vast te stellen om de referentie bekend te maken van open interoperabiliteitsspecificaties en Europese normen voor de interoperabiliteit van dataverwerkingsdiensten in een centrale register voor EU-normen voor de interoperabiliteit van dataverwerkingsdiensten, indien deze voldoen aan de criteria van de leden 1 en 2 van dit artikel.
Artikel 30
Essentiële eisen met betrekking tot slimme contracten voor het delen van data
1. De verkoper van een applicatie die gebruik maakt van slimme contracten of, bij het ontbreken daarvan, de persoon wiens handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van een overeenkomst voor het beschikbaar stellen van data inhoudt, voldoet aan de volgende essentiële eisen:
(a)robuustheid: ervoor zorgen dat het slimme contract zo is ontworpen dat het een zeer hoge mate van robuustheid biedt om functionele fouten te voorkomen en manipulatie door derden te weerstaan;
(b)veilige beëindiging en onderbreking: ervoor zorgen dat er een mechanisme bestaat om de doorlopende uitvoering van transacties te beëindigen: het slimme contract omvat interne functies die het contract kunnen resetten of de opdracht kunnen geven de verrichting stop te zetten of te onderbreken om toekomstige (accidentele) uitvoering ervan te voorkomen;
(c)archivering en continuïteit van data: indien een slim contract moet worden beëindigd of gedeactiveerd, de mogelijkheid bieden om transactiedata, de slimme-contractlogica en -code te archiveren om de verrichtingen die in het verleden met betrekking tot de data zijn uitgevoerd, te registreren (controleerbaarheid); en
(d)toegangscontrole: een slim contract wordt beschermd door middel van strikte toegangscontrolemechanismen in de beheers- en slimme-contractlagen.
2. De verkoper van een slim contract of, bij het ontbreken daarvan, de persoon wiens handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van een overeenkomst voor het beschikbaar stellen van data inhoudt, voert een conformiteitsbeoordeling uit om aan de essentiële eisen van lid 1 te voldoen en geeft, wanneer aan de eisen is voldaan, een EU-conformiteitsverklaring af.
3. Door een EU-conformiteitsverklaring af te geven is de verkoper van een applicatie die gebruik maakt van slimme contracten of, bij het ontbreken daarvan, de persoon wiens handels-, bedrijfs- of beroepsactiviteit de invoering van slimme contracten voor anderen in het kader van een overeenkomst voor het beschikbaar stellen van data inhoudt, verantwoordelijk voor de conformiteit met de eisen in lid 1.
4. Een slim contract dat voldoet aan de geharmoniseerde normen of de relevante delen daarvan die in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de essentiële eisen in lid 1 van dit artikel, voor zover die normen deze eisen dekken.
5. De Commissie kan overeenkomstig artikel 10 van Verordening (EU) nr. 1025/2012 een of meer Europese normalisatieorganisaties verzoeken geharmoniseerde normen op te stellen die voldoen aan de essentiële eisen in lid 1 van dit artikel.
6. Wanneer er geen geharmoniseerde normen als bedoeld in lid 4 van dit artikel bestaan of wanneer de Commissie van oordeel is dat de desbetreffende geharmoniseerde normen niet volstaan om de conformiteit met de essentiële eisen in lid 1 van dit artikel in een grensoverschrijdende context te waarborgen, kan de Commissie door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen met betrekking tot de in lid 1 van dit artikel bedoelde essentiële eisen. Die uitvoeringshandelingen worden volgens de in artikel 39, lid 2, bedoelde onderzoeksprocedure vastgesteld.
HOOFDSTUK IX
UITVOERING EN HANDHAVING
Artikel 31
Bevoegde autoriteiten
1. Elke lidstaat wijst een of meer voor de uitvoering en handhaving van deze verordening bevoegde autoriteiten aan. De lidstaten kunnen een of meer nieuwe autoriteiten oprichten of een beroep doen op bestaande autoriteiten.
2. Onverminderd lid 1 van dit artikel:
(a)zijn de onafhankelijke toezichthoudende autoriteiten die belast zijn met het toezicht op de toepassing van Verordening (EU) 2016/679 verantwoordelijk voor het toezicht op de toepassing van deze verordening wat de bescherming van persoonsgegevens betreft. De hoofdstukken VI en VII van Verordening (EG) 2016/679 zijn mutatis mutandis van toepassing. De taken en bevoegdheden van de toezichthoudende autoriteiten worden uitgeoefend met betrekking tot de verwerking van persoonsgegevens;
(b)wordt de bevoegdheid van de sectorale autoriteiten voor specifieke sectorale data-uitwisselingskwesties in verband met de uitvoering van deze verordening geëerbiedigd;
(c)heeft de nationale bevoegde autoriteit die verantwoordelijk is voor de toepassing en handhaving van hoofdstuk VI van deze verordening ervaring op het gebied van data en elektronische-communicatiediensten.
3. De lidstaten zorgen ervoor dat de respectieve taken en bevoegdheden van de overeenkomstig lid 1 van dit artikel aangewezen bevoegde autoriteiten duidelijk omschreven zijn en het volgende omvatten:
(a)de bewustmaking over de rechten en verplichtingen uit hoofde van deze verordening bevorderen bij gebruikers en entiteiten die binnen het toepassingsgebied van deze verordening vallen;
(b)klachten over vermeende inbreuken op deze verordening behandelen, de inhoud van de klacht onderzoeken in de mate waarin dat gepast is en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere bevoegde autoriteit noodzakelijk is;
(c)onderzoek verrichten naar zaken die betrekking hebben op de toepassing van deze verordening, onder meer op basis van informatie die van een andere bevoegde autoriteit of een andere overheidsinstantie is ontvangen;
(d)afschrikwekkende financiële sancties opleggen door middel van administratieve procedures, waaronder dwangsommen en sancties met terugwerkende kracht, of het inleiden van een gerechtelijke procedure voor het opleggen van geldboetes;
(e)toezicht houden op technologische ontwikkelingen die relevant zijn voor het beschikbaar stellen en gebruiken van data;
(f)samenwerken met de bevoegde autoriteiten van andere lidstaten om de consistente toepassing van deze verordening te waarborgen, waaronder het elektronisch uitwisselen van alle relevante informatie, zonder onnodige vertraging;
(g)waarborgen dat verzoeken om toegang tot data van overheidsinstanties in het geval van algemene noodsituaties uit hoofde van hoofdstuk V beschikbaar zijn voor het publiek;
(h)samenwerken met alle relevante bevoegde autoriteiten om ervoor te zorgen dat de verplichtingen van hoofdstuk VI worden gehandhaafd in overeenstemming met andere EU-wetgeving en zelfregulering die van toepassing zijn op aanbieders van dataverwerkingsdiensten;
(i)ervoor zorgen dat de kosten voor het overstappen naar andere aanbieders van dataverwerkingsdiensten overeenkomstig artikel 25 worden ingetrokken.
4. Wanneer een lidstaat meer dan één bevoegde autoriteit aanwijst, werken de bevoegde autoriteiten bij de uitoefening van de hun krachtens lid 3 van dit artikel toegewezen taken en bevoegdheden met elkaar samen, onder meer, in voorkomend geval, met de toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de toepassing van Verordening (EU) 2016/679, teneinde de consistente toepassing van deze verordening te waarborgen. In dergelijke gevallen wijzen de betrokken lidstaten een coördinerende bevoegde autoriteit aan.
5. De lidstaten delen de naam van de aangewezen bevoegde autoriteiten en hun respectieve taken en bevoegdheden en, indien van toepassing, de naam van de coördinerende bevoegde autoriteit mee aan de Commissie. De Commissie houdt een openbaar register van deze autoriteiten bij.
6. Bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze verordening blijven de bevoegde autoriteiten vrij van enige invloed van buitenaf, direct of indirect, en vragen noch aanvaarden zij instructies van andere overheidsinstanties of particuliere partijen.
7. De lidstaten zorgen ervoor dat de aangewezen bevoegde autoriteiten over de nodige middelen beschikken om hun taken overeenkomstig deze verordening naar behoren uit te voeren.
Artikel 32
Recht om klacht in te dienen bij een bevoegde autoriteit
1. Onverminderd andere mogelijkheden van administratief beroep of beroep in rechte hebben natuurlijke en rechtspersonen het recht om individueel of, in voorkomend geval, collectief een klacht in te dienen bij de relevante bevoegde autoriteit in de lidstaat waar zij hun gewone verblijfplaats, werkplek of vestiging hebben, indien zij van mening zijn dat hun rechten uit hoofde van deze verordening zijn geschonden.
2. De bevoegde autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van het verloop van de procedure en van het genomen besluit.
3. De bevoegde autoriteiten werken samen om klachten zonder onnodige vertraging te behandelen en op te lossen, onder meer door alle relevante informatie elektronisch uit te wisselen. Deze samenwerking doet geen afbreuk aan het specifieke samenwerkingsmechanisme waarin de hoofdstukken VI en VII van Verordening (EU) 2016/679 voorzien.
Artikel 33
Sancties
1. De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikwekkend zijn.
2. De lidstaten stellen de Commissie uiterlijk op [toepassingsdatum van deze verordening] in kennis van die voorschriften en maatregelen en delen haar onverwijld alle latere wijzigingen daarvan mee.
3. Voor inbreuken op de verplichtingen in hoofdstuk II, III en V van deze verordening kunnen de in artikel 51 van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteiten binnen hun bevoegdheidssfeer administratieve geldboetes opleggen overeenkomstig artikel 83 van Verordening (EU) 2016/679, welke kunnen oplopen tot het in artikel 83, lid 5, van die verordening bedoelde bedrag.
4. Voor inbreuken op de verplichtingen in hoofdstuk V kan de in artikel 52 van Verordening (EU) 2018/1725 bedoelde toezichthoudende autoriteit binnen haar bevoegdheidssfeer administratieve geldboetes opleggen overeenkomstig artikel 66 van Verordening (EU) 2018/1725, die kunnen oplopen tot het in artikel 66, lid 3, van die verordening bedoelde bedrag.
Artikel 34
Modelcontractvoorwaarden
De Commissie ontwikkelt niet-bindende modelcontractvoorwaarden inzake de toegang tot en het gebruik van data en beveelt deze aan teneinde partijen bij te staan bij het opstellen van en onderhandelen over contracten met evenwichtige contractuele rechten en verplichtingen.
HOOFDSTUK X
RECHT SUI GENERIS KRACHTENS RICHTLIJN 1996/9/EG
Artikel 35
Databanken die bepaalde data bevatten
Het in artikel 7 van Richtlijn 96/9/EG bedoelde recht sui generis is niet van toepassing op databanken die data bevatten die zijn verkregen uit of gegenereerd door het gebruik van een product of een gerelateerde dienst, om de uitoefening van het recht van gebruikers op toegang tot en gebruik van dergelijke data overeenkomstig artikel 4 van deze verordening of van het recht op het delen van dergelijke data met derden overeenkomstig artikel 5 van deze verordening, niet te belemmeren.
HOOFDSTUK XI
SLOTBEPALINGEN
Artikel 36
Wijziging van Verordening (EU) nr. 2017/2394
Aan de bijlage bij Verordening (EU) nr. 2017/2394 wordt het volgende punt toegevoegd:
"29. [Verordening (EU) XXX van het Europees Parlement en de Raad [Dataverordening]]."
Artikel 37
Wijziging van Richtlijn (EU) 2020/1828
In de bijlage bij Richtlijn (EU) 2020/1828 wordt het volgende punt toegevoegd:
"67. [Verordening (EU) XXX van het Europees Parlement en de Raad [Dataverordening]]"
Artikel 38
Uitoefening van de bevoegdheidsdelegatie
1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2. De in artikel 25, lid 4, artikel 28, lid 2 en artikel 29, lid 5 bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van [...].
3. Het Europees Parlement of de Raad kan de in artikel 25, lid 4, artikel 28, lid 2, en artikel 29, lid 5 bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord over beter wetgeven van 13 april 2016.
5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
6. Een op grond van artikel 25, lid 4, artikel 28, lid 2, en artikel 29, lid 5 vastgestelde gedelegeerde handeling treedt alleen in werking indien noch het Europees Parlement, noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en aan de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie heeft medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.
Artikel 39
Comitéprocedure
1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
Artikel 40
Andere EU-rechtshandelingen betreffende rechten en verplichtingen inzake de toegang tot en het gebruik van data
1. De specifieke verplichtingen voor het beschikbaar stellen van data tussen bedrijven, tussen bedrijven en consumenten, en bij wijze van uitzondering tussen bedrijven en overheidsinstanties, in EU-rechtshandelingen die op of vóór [xx XXX xxx] in werking zijn getreden, en de daarop gebaseerde gedelegeerde of uitvoeringshandelingen, blijven onverlet.
2. Deze verordening doet geen afbreuk aan EU-wetgeving waarin, gezien de behoeften van een sector, een gemeenschappelijke Europese dataruimte of een gebied van algemeen belang, verdere vereisten worden vastgesteld, met name met betrekking tot:
(a)technische aspecten van de toegang tot data;
(b)beperkingen van het recht van datahouders op toegang tot of gebruik van bepaalde door gebruikers verstrekte data;
(c)aspecten die verder gaan dan de toegang tot en het gebruik van data.
Artikel 41
Evaluatie en herziening
Uiterlijk op [twee jaar na de datum van toepassing van deze verordening] voert de Commissie een evaluatie van deze verordening uit en brengt zij over de belangrijkste bevindingen verslag uit aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité. In het kader van deze evaluatie wordt met name het volgende beoordeeld:
(a)andere categorieën of soorten data die toegankelijk moeten worden gemaakt;
(b)de uitsluiting van bepaalde categorieën ondernemingen als begunstigden op grond van artikel 5;
(c)andere situaties die voor de toepassing van artikel 15 als uitzonderlijke noodzaak moeten worden beschouwd;
(d)veranderingen in de contractuele praktijken van aanbieders van dataverwerkingsdiensten en of dit leidt tot voldoende naleving van artikel 24;
(e)verlaging van de kosten die aanbieders van dataverwerkingsdiensten voor het overstapproces opleggen, in overeenstemming met de geleidelijke afschaffing van de overstaptarieven overeenkomstig artikel 25.
Artikel 42
Inwerkingtreding en toepassing
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Zij is van toepassing met ingang van [12 maanden na de inwerkingtreding van deze verordening].