A jogszabály mai napon ( 2024.10.05. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

Az Európai Unió joganyaga kizárólag az Európai Unió Hivatalos Lapjának elektronikus kiadásában megjelent változatban tekinthető hivatalosnak és hitelesnek. A Jogtár termékcsalád európai jogi dokumentumainak forrása az Európai Unió Kiadóhivatala, valamint a Hivatalos Lap magyar nyelvű változatának elektronikus kiadása. © Európai Unió, 1998-2022, https://eur-lex.europa.eu/

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2022. május 30-i (EU) 2022/868 RENDELETE

az európai adatkormányzásról és az (EU) 2018/1724 rendelet módosításáról (adatkormányzási rendelet) * 

(EGT-vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,

tekintettel az Európai Gazdasági és Szociális Bizottság véleményére * ,

a Régiók Bizottságával folytatott konzultációt követően,

rendes jogalkotási eljárás keretében * ,

mivel:

(1) Az Európai Unió működéséről szóló szerződés (EUMSZ) rendelkezik a belső piac létrehozásáról, valamint egy olyan rendszer bevezetéséről, amely biztosítja, hogy ne torzuljon a verseny a belső piacon. Az adatkormányzási keret kialakításához kapcsolódó közös tagállami szabályoknak és gyakorlatoknak - az alapvető jogok maradéktalan tiszteletben tartása mellett történő - létrehozása hozzá fog járulni e célok eléréséhez. Emellett garantálni fogja az Unió nyitott stratégiai autonómiájának megerősítését, előmozdítva az adatok szabad nemzetközi áramlását is.

(2) Az elmúlt évtizedben a digitális technológiák átalakították a gazdaságot és a társadalmat, hatást gyakorolva a tevékenységek minden ágazatára és a mindennapi életre. Ezen átalakulás középpontjában az adatok állnak: az adatvezérelt innováció óriási előnyökkel fog járni mind az uniós polgárok, mind a gazdaság számára, például az orvoslás fejlesztése és személyre szabása, újfajta mobilitás megvalósítása, valamint az európai zöld megállapodásról szóló, 2019. december 11-i bizottsági közlemény céljaihoz nyújtott hozzájárulás révén. Annak érdekében, hogy minden uniós polgár részt vehessen az adatvezérelt gazdaságban, különös figyelmet kell fordítani a digitális szakadék csökkentésére, a nők adatgazdaságban való részvételének fokozására, valamint a technológiai ágazatban a legkorszerűbb európai szakértelem előmozdítására. Az adatgazdaságot úgy kell kiépíteni, hogy lehetővé tegye, hogy a vállalkozások, különösen a 2003/361/EK bizottsági ajánlás *  mellékletében meghatározott mikro-, kis- és középvállalkozások (a továbbiakban: kkv-k) és az induló innovatív vállalkozások sikeresek legyenek, biztosítva egyúttal az adatokhoz való hozzáférés semlegességét, valamint az adathordozhatóságot és az adatok interopera-bilitását, továbbá elkerülve a bezáródási hatásokat. Az európai adatstratégiáról szóló, 2020. február 19-i közleményében (a továbbiakban: az európai adatstratégia) a Bizottság ismertette egy olyan közös európai adattérnek, azaz az adatok olyan belső piacának a koncepcióját, amelyben az adatokat - az alkalmazandó jogszabályokkal összhangban - az Unióban való fizikai tárolásuk helyétől függetlenül fel lehet használni, ami kulcsfontosságú lehet többek között a mesterséges intelligencián alapuló technológiák gyors fejlődése szempontjából.

A Bizottság felhívott továbbá az adatok harmadik országokkal történő szabad és biztonságos áramlásának biztosítására, amelyre - a nemzetközi, többek között az alapvető jogokra vonatkozó kötelezettségekkel összhangban - a közbiztonsággal, a közrenddel és az Unió egyéb jogszerű közpolitikai célkitűzéseivel kapcsolatos kivételek és korlátozások vonatkoznak. Annak érdekében, hogy ez a koncepció megvalósulhasson, a Bizottság adatmegosztásra és adatösszevonásra szolgáló területspecifikus közös európai adatterek létrehozását javasolta. Az európai adatstratégiában javasoltak szerint az ilyen közös európai adatterek olyan területeket fedhetnek le, mint az egészségügy, a mobilitás, a feldolgozóipar, a pénzügyi szolgáltatások, az energiaügy vagy a mezőgazdaság, vagy az ilyen területek - például az energiaügy és az éghajlatpolitika - kombinációját, valamint olyan tematikus területeket, mint az európai zöld megállapodás és a közigazgatás vagy a készségek. A közös európai adattereknek - a magas szintű kiberbiztonság garantálása mellett - az adatokat fellelhetővé, hozzáférhetővé, interoperábilissá és tovább felhasználhatóvá kell tenniük (a továbbiakban: a FAIR adatkezelési elvek). Ha az adatgazdaságban egyenlő versenyfeltételek érvényesülnek, a vállalkozások nem az ellenőrzésük alatt álló adatmennyiség, hanem a szolgáltatások minősége tekintetében versengenek. Az adatgazdaságban az egyenlő versenyfeltételek kialakítása, megteremtése és fenntartása érdekében olyan megbízható irányításra van szükség, amelyben a közös európai adattér érdekelt feleinek részt kell venniük és képviselettel kell rendelkezniük.

(3) Az adatcserére vonatkozó harmonizált keret létrehozásával, valamint az adatkormányzás bizonyos alapvető követelményeinek meghatározásával javítani kell a belső piacon az adatmegosztás feltételeit, különös figyelmet fordítva a tagállamok közötti együttműködés elősegítésére. E rendeletnek célul kell kitűznie a határok nélküli digitális belső piac, valamint az emberközpontú, megbízható és biztonságos adattársadalom és -gazdaság továbbfejlesztését. Az ágazatspecifikus uniós jog - például az európai egészségügyi adattérről, valamint a járműadatokhoz való hozzáférésről szóló tervezett uniós jog - keretében az érintett ágazat sajátosságaitól függően új és kiegészítő elemeket lehet kidolgozni, kiigazítani és javasolni. Ezenkívül bizonyos gazdasági ágazatokat már szabályoz olyan ágazatspecifikus uniós jog, amely magában foglalja az adatok határokon átnyúló vagy az egész Unióra kiterjedő megosztására vagy az azokhoz való, határokon átnyúló vagy az egész Unióra kiterjedő hozzáférésre vonatkozó szabályokat; ilyenek például az európai egészségügyi adattér vonatkozásában a 2011/24/EU európai parlamenti és tanácsi irányelv * , valamint az európai mobilitási adattér vonatkozásában a közlekedés területén releváns jogalkotási aktusok, mint az (EU) 2019/1239 *  és az (EU) 2020/1056 európai parlamenti és tanácsi rendelet * , továbbá a 2010/40/EU európai parlamenti és tanácsi irányelv * .

E rendelet ezért nem érintheti a 223/2009/EK * , az (EU) 2018/858 *  és az (EU) 2018/1807 *  európai parlamenti és tanácsi rendeletet, valamint a 2000/31/EK * , a 2001/29/EK * , a 2004/48/EK * , a 2007/2/EK * , a 2010/40/EU, az (EU) 2015/849 * , az (EU) 2016/943 * , az (EU) 2017/1132 * , az (EU) 2019/790 * , valamint az (EU) 2019/1024 európai parlamenti és tanácsi irányelvet * , továbbá semmilyen egyéb olyan ágazatspecifikus uniós jogot, amely az adatokhoz való hozzáférést és az adatok további felhasználását szabályozza. Ez a rendelet nem érintheti az adatokhoz bűncselekmények megelőzésének, nyomozásának, felderítésének, a vádeljárás lefolytatásának vagy a büntetőjogi szankciók végrehajtásának céljaira történő hozzáférésre és az adatok ilyen célú felhasználására vonatkozó uniós és nemzeti jogot, valamint az ennek keretében végzett nemzetközi együttműködést.

Ez a rendelet nem érintheti a tagállamok közbiztonsággal, védelemmel és nemzetbiztonsággal összefüggő tevékenységeivel kapcsolatos hatásköreit. A közszférabeli szervezetek birtokában lévő, ilyen okok miatt védett adatok - többek között a 2009/81/EK európai parlamenti és tanácsi irányelv *  hatálya alá tartozó közbeszerzési eljárásokból származó adatok - további felhasználását ki kell zárni e rendelet hatálya alól. Az Unióban egy horizontális rendszert kell létrehozni a közszférabeli szervezetek birtokában lévő védett adatok bizonyos kategóriáinak további felhasználására, valamint az adatközvetítő szolgáltatások és az adataltruizmuson alapuló szolgáltatások nyújtására vonatkozóan. A különféle ágazatok sajátosságai miatt szükség lehet adatalapú ágazati rendszerek - e rendelet követelményeire építve történő - kidolgozására. Az e rendeletben meghatározott követelményeknek megfelelő adatközvetítő szolgáltatók számára lehetővé kell tenni „az Unióban elismert adatközvetítő szolgáltató” cím használatát. Azon jogi személyek számára, amelyek arra törekednek, hogy közérdekű célokat támogassanak releváns adatok adataltruizmuson alapuló, széles körű rendelkezésre bocsátásával, és amelyek megfelelnek az e rendeletben megállapított követelményeknek, lehetővé kell tenni, hogy „az Unióban elismert adataltruista szervezet”-ként vegyék őket nyilvántartásba és e címet használják. Amennyiben az ágazatspecifikus uniós vagy nemzeti jog előírja a közszférabeli szervezetek, az ilyen adatközvetítő szolgáltatók vagy az ilyen jogi személyek (elismert adataltruista szervezetek) számára, hogy további speciális műszaki, adminisztratív vagy szervezeti követelményeknek feleljenek meg - többek között engedélyezési vagy tanúsítási rendszer révén -, az említett ágazatspecifikus uniós vagy nemzeti jog érintett rendelkezéseit is alkalmazni kell.

(4) Ez a rendelet nem érintheti az (EU) 2016/679 *  és az (EU) 2018/1725 *  európai parlamenti és tanácsi rendeletet, a 2002/58/EK *  és az (EU) 2016/680 *  európai parlamenti és tanácsi irányelvet, valamint a nemzeti jog megfelelő rendelkezéseit, ideértve azt az esetet is, ha egy adatkészletben elválaszthatatlanul kapcsolódnak egymáshoz személyes és nem személyes adatok. Ez a rendelet különösen nem értelmezhető úgy, hogy bármely szabályozott tevékenység tekintetében új jogalapot teremt a személyes adatok kezelésére, illetve hogy módosítja az (EU) 2016/679 rendeletben megállapított tájékoztatási követelményeket. E rendelet végrehajtása nem akadályozhatja, hogy az (EU) 2016/679 rendelet V. fejezetével összhangban határokon átnyúló adattovábbításra kerüljön sor. Amennyiben e rendelet ellentétes a személyes adatok védelmére vonatkozó uniós joggal vagy az ilyen uniós joggal összhangban elfogadott nemzeti joggal, a személyes adatok védelmére vonatkozó releváns uniós vagy nemzeti jognak kell irányadónak lennie. Lehetővé kell tenni, hogy az adatvédelmi hatóságokat az e rendelet szerinti illetékes hatóságoknak lehessen tekinteni. Amennyiben más hatóságok működnek e rendelet szerinti illetékes hatóságként, az adatvédelmi hatóságok (EU) 2016/679 rendelet szerinti felügyeleti hatásköreinek és jogosultságainak sérelme nélkül kell működniük.

(5) Uniós szintű intézkedésre van szükség egyrészt annak érdekében, hogy növelni lehessen az adatmegosztásba vetett bizalmat olyan megfelelő mechanizmusok létrehozása által, amelyek az érintettek és az adatbirtokosok általi, a rájuk vonatkozó adatok feletti rendelkezésre vonatkoznak, másrészt pedig azért, hogy fel lehessen lépni a jól működő és versenyképes adatvezérelt gazdaság előtt álló egyéb akadályok ellen. Ez az intézkedés nem érintheti az Unió által kötött nemzetközi kereskedelmi megállapodásokban foglalt kötelezettségeket és kötelezettségvállalásokat. Az egész Unióra kiterjedő irányítási keret céljául azt kell kitűzni, hogy erősödjön a bizalom az egyének és a vállalkozások körében egyrészt az adatokhoz való hozzáférés, valamint az adatok feletti rendelkezés, az adatok megosztása, felhasználása és további felhasználása tekintetében, különösen olyan megfelelő mechanizmusok létrehozása révén, amelyek segítségével az érintettek megismerhetik és érdemben gyakorolhatják jogaikat, másrészt a közszférabeli szervezetek birtokában lévő bizonyos típusú adatok további felhasználására, az adatközvetítő szolgáltatók által az érintettek, az adatbirtokosok és az adatfelhasználók részére nyújtott szolgáltatásokra, valamint a természetes és jogi személyek által altruisztikus célokra rendelkezésre bocsátott adatok gyűjtésére és kezelésére vonatkozóan. Különösen az adatfelhasználás céljának és a vállalkozások általi adattárolás feltételeinek nagyobb átláthatósága segíthet a bizalom növelésében.

(6) Az az elképzelés, hogy az állami költségvetések terhére közszférabeli vagy egyéb szervezetek által előállított vagy gyűjtött adatoknak a társadalom javát kell szolgálniuk, hosszú ideje része az uniós szakpolitikának. Az (EU) 2019/1024 irányelv és az ágazatspecifikus uniós jog biztosítják, hogy a közszférabeli szervezetek több általuk előállított adatot tegyenek könnyen hozzáférhetővé felhasználás és további felhasználás céljára. Mindazonáltal a nyilvános adatbázisokban tárolt adatok bizonyos kategóriái, például a bizalmas üzleti adatok, a statisztikai adatvédelem alá eső adatok és a harmadik felek szellemitulajdon-jogaival védett adatok - ideértve az üzleti titkokat és a személyes adatokat - gyakran még közérdekű kutatási vagy innovációs tevékenységek céljára sem hozzáférhetők, annak ellenére, hogy az alkalmazandó uniós jog - különösen az (EU) 2016/679 rendelet, a 2002/58/EK és az (EU) 2016/680 irányelv - lehetővé teszik az ilyen célra való hozzáférhetőségüket. Az ilyen adatok érzékenysége miatt még a rendelkezésre bocsátásukat megelőzően teljesülniük kell bizonyos technikai és jogi eljárási követelményeknek, nem utolsósorban azon jogok tiszteletben tartásának biztosítása érdekében, amelyekkel mások rendelkeznek az említett adatokkal kapcsolatban, illetve az alapvető jogokra, a megkülönböztetésmentesség elvére és az adatvédelemre gyakorolt negatív hatás csökkentése céljából. Az ilyen követelmények teljesítése általában időigényes és tudásintenzív. Ez ahhoz vezetett, hogy az ilyen adatokat nem elegendő mértékben használják fel. Jóllehet egyes tagállamok struktúrákat és eljárásokat hoznak létre vagy jogszabályokat alkotnak az ilyen típusú további felhasználás megkönnyítése érdekében, az Unióban nem mindenütt ez a helyzet. Annak érdekében, hogy a magán- és közintézmények könnyebben felhasználhassák az adatokat az európai kutatás és innováció céljára, az egész Unióban egyértelmű feltételekre van szükség az ilyen adatokhoz való hozzáférést és azok felhasználását illetően.

(7) Vannak olyan technikák, amelyek lehetővé teszik a személyes adatokat tartalmazó adatbázisok elemzéseinek elvégzését, például az anonimizálás, a differenciált adatvédelem, az általánosítás, az elrejtés és a randomizálás, a szintetikus adatok vagy hasonló módszerek, továbbá a magánélet védelmét biztosító egyéb legkorszerűbb módszerek, amelyek hozzájárulhatnak az adatoknak a magánélet fokozottabb védelmét biztosító kezeléséhez. A tagállamoknak támogatást kell nyújtaniuk a közszférabeli szervezetek számára ahhoz, hogy optimálisan felhasználhassák e technikákat, és ezáltal a lehető legtöbb adatot bocsáthassák rendelkezésre megosztás céljára. Az ilyen technikák alkalmazása az átfogó adatvédelmi hatásvizsgálatokkal és egyéb biztosítékokkal együtt hozzájárulhat a személyes adatok biztonságosabb felhasználásához és további felhasználásához, valamint biztosíthatja a bizalmas üzleti adatok kutatási, innovációs és statisztikai célokra történő biztonságos további felhasználását. Sok esetben az ilyen technikák, hatásvizsgálatok és egyéb biztosítékok alkalmazása azt jelenti, hogy az adatok felhasználása és további felhasználása csak a közszférabeli szervezet által biztosított vagy ellenőrzött biztonságos adatkezelési környezetben történhet. Uniós szinten van tapasztalat ilyen biztonságos adatkezelési környezetekről: az 557/2013/EU bizottsági rendelet *  alapján a statisztikai mikroadatokkal kapcsolatos kutatásokhoz használnak ilyeneket. Általánosságban, amennyiben személyes adatokról van szó, az adatkezelést az (EU) 2016/679 rendelet 6. és 9. cikkében meghatározott egy vagy több adatkezelési jogalap alapján kell végezni.

(8) Az (EU) 2016/679 rendelettel összhangban az adatvédelem elvei nem alkalmazhatók az anonim információkra, vagyis az olyan információkra, amelyek nem egy azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Meg kell tiltani az érintettek anonimizált adatkészletekből történő újbóli azonosítását. Ez nem érintheti az anonimizálási technikákra irányuló, különösen az információbiztonság garantálását, a jelenlegi anonimizálási technikák javítását és az anonimizálás általános megbízhatóságához történő hozzájárulást célzó kutatások (EU) 2016/679 rendelettel összhangban történő elvégzésének a lehetőségét.

(9) A személyes és a bizalmas adatok védelmének előmozdítása, valamint ezen adatoknak a további felhasználást célzó, e rendelet szerinti rendelkezésre bocsátásának felgyorsítása érdekében a tagállamoknak arra kell ösztönözniük a közszférabeli szervezeteket, hogy a „beépített és alapértelmezett módon nyílt adatok” (EU) 2019/1024 irányelv 5. cikke (2) bekezdésében említett elvével összhangban hozzanak létre és bocsássanak rendelkezésre adatokat, valamint hogy mozdítsák elő az adatok olyan formátumokban és struktúrákban történő előállítását és beszerzését, amelyek e tekintetben megkönnyítik az anonimizálást.

(10) A közszférabeli szervezetek birtokában lévő, e rendelet alapján további felhasználásra bocsátandó adatkategóriák nem tartoznak az (EU) 2019/1024 irányelv hatálya alá, mivel az kizárja a hatálya alól azokat az adatokat, amelyek kereskedelmi adatokra vonatkozó titoktartás és a statisztikai adatvédelem miatt nem hozzáférhetők, valamint a művekben vagy egyéb olyan anyagokban szereplő adatokat, amelyek tekintetében harmadik felek szellemitulajdonjogokkal rendelkeznek. A bizalmas üzleti adatok közé tartoznak az üzleti titok által védett adatok, a védett knowhow és bármely egyéb olyan információ, amelynek jogosulatlan hozzáférhetővé tétele hatással lenne a vállalkozás piaci helyzetére vagy pénzügyi stabilitására. E rendeletnek alkalmazandónak kell lennie azon személyes adatokra, amelyek nem tartoznak az (EU) 2019/1024 irányelv hatálya alá annyiban, amennyiben annak a hozzáférésre vonatkozó szabályai értelmében az említett adatokhoz való hozzáférés az adatvédelemmel, a magánélet védelmével és az egyének személyi sérthetetlenségével összefüggő indokok alapján és különösen az adatvédelmi szabályoknak megfelelően nem lehetséges vagy korlátozottan lehetséges. Az esetlegesen üzleti titkokat is tartalmazó adatok további felhasználásának az üzleti titkok jogszerű megszerzésének, hasznosításának vagy felfedésének kereteit meghatározó (EU) 2016/943 irányelv sérelme nélkül kell történnie.

(11) Ez a rendelet nem keletkeztethet kötelezettséget a közszférabeli szervezetek birtokában lévő adatok további felhasználásának engedélyezésére. Ezért különösen lehetővé kell tenni az egyes tagállamok számára annak eldöntését, hogy hozzáférhetővé tesznek-e adatokat további felhasználás céljaira, e hozzáférés céljainak és terjedelmének megválasztását is beleértve. E rendeletnek ki kell egészítenie a közszférabeli szervezetek ágazatspecifikus uniós vagy nemzeti jogban meghatározott, az adatok további felhasználásának engedélyezésére vonatkozó konkrétabb kötelezettségeit, és nem érintheti e kötelezettségeket. A hivatalos dokumentumokhoz való nyilvános hozzáférés közérdeknek tekinthető. Figyelembe véve a hivatalos dokumentumokhoz való nyilvános hozzáférés és az átláthatóság szerepét a demokratikus társadalmakban, e rendelet nem érintheti a hivatalos dokumentumokhoz való hozzáférésről, valamint az e dokumentumok hozzáférhetővé tételéről szóló uniós vagy nemzeti jogot sem. Különösen, a hivatalos dokumentumokhoz való hozzáférés megadható a nemzeti joggal összhangban, különleges feltételek előírása nélkül, vagy olyan különleges feltételek előírásával, amelyekről e rendelet nem rendelkezik.

(12) A további felhasználás e rendeletben előírt rendszerét olyan adatokra kell alkalmazni, amelyek közlése az érintett közszférabeli szervezeteknek az adott tagállam jogszabályai vagy más kötelező erejű szabályai által meghatározott közfeladatai körébe tartozik. Ilyen szabályok hiányában a közfeladatokat a tagállamok szokásos közigazgatási gyakorlatával összhangban kell meghatározni, feltéve, hogy a közfeladatok köre átlátható és felülvizsgálat tárgyát képezi. A közfeladatokat általánosságban, vagy az egyes közszférabeli szervezetek esetében eseti alapon lehet meghatározni. Mivel a közvállalkozások nem tartoznak bele a közszférabeli szervezet fogalmába, a közvállalkozások birtokában lévő adatokat ki kell zárni e rendelet hatálya alól. A kulturális intézmények, például könyvtárak, levéltárak és múzeumok, valamint zenekarok, operaházak, balett-társulatok és színházak, továbbá az oktatási intézmények birtokában lévő adatokat ki kell zárni e rendelet hatálya alól, mivel az e létesítmények birtokában lévő művekre és egyéb dokumentumokra túlnyomórészt harmadik felek szellemitulajdon-jogai vonatkoznak. A kutatást végző és a kutatást finanszírozó szervezetek lehetnek egyúttal közszférabeli szervezetek vagy közjogi intézmények is.

E rendelet az ilyen hibrid szervezetekre kizárólag a kutatást végző szervezeti minőségükben alkalmazandó. Ha egy ilyen, kutatást végző szervezet magánszektorbeli szervezetekkel vagy más közszférabeli szervezetekkel, közjogi intézményekkel vagy kutatást végző hibrid - azaz mind a közszféra szervezeteiként, mind magánvállalkozásokként létrehozott - szervezetekkel alkotott, a köz- és magánszféra közötti specifikus, elsődlegesen kutatási célú társulás keretében birtokol adatokat, ezen adatokat szintén ki kell zárni e rendelet hatálya alól. Adott esetben a tagállamok számára lehetővé kell tenni, hogy e rendeletet olyan köz- vagy magánvállalkozásokra alkalmazzák, amelyek közszférabeli feladatokat látnak el vagy közérdekű szolgáltatásokat nyújtanak. A Unió-beli közszférabeli szervezetek közötti, vagy az Unió-beli közszférabeli szervezetek és harmadik országokbeli közszférabeli szervezetek, illetve nemzetközi szervezetek közötti, kizárólag a közfeladataik ellátása keretében folytatott adatcserét, valamint a kutatók közötti, nem kereskedelmi jellegű, tudományos kutatási célú adatcserét ki kell zárni a közszférabeli szervezetek birtokában lévő védett adatok bizonyos kategóriáinak további felhasználására vonatkozó, e rendeletben foglalt rendelkezések hatálya alól.

(13) A közszférabeli szervezeteknek a birtokukban lévő adatok további felhasználására vonatkozó elvek meghatározásakor be kell tartaniuk a versenyjogot, kerülve az olyan megállapodások megkötését, amelyek célja vagy következménye lehet kizárólagos jogok létrejötte bizonyos adatok további felhasználása vonatkozásában. Ilyen megállapodások csak akkor megengedhetők, ha valamely közérdekű szolgáltatás nyújtása vagy termék szolgáltatása szempontjából indokoltak és ahhoz szükségesek. Ilyen eset lehet, ha az adatok kizárólagos felhasználása az egyetlen mód a szóban forgó adatok társadalmi előnyeinek maximalizálására, például ha csak egyetlen (egy adott adatkészlet kezelésére szakosodott) szervezet képes azon szolgáltatás nyújtására vagy termék szolgáltatására, amely lehetővé teszi a közszférabeli szervezet számára a közérdekű szolgáltatás nyújtását vagy termék szolgáltatását. Ezeket a megállapodásokat azonban az alkalmazandó uniós vagy nemzeti joggal összhangban kell megkötni, és piaci elemzés alapján rendszeresen felül kell vizsgálni annak megállapítása érdekében, hogy továbbra is szükség van-e kizárólagosságra. Ezenkívül az ilyen megállapodásoknak adott esetben meg kell felelniük a vonatkozó állami támogatási szabályoknak, és azokat korlátozott időtartamra kell megkötni, amely nem haladhatja meg a 12 hónapot. Az átláthatóság biztosítása érdekében az ilyen kizárólagos megállapodásokat online közzé kell tenni, a közbeszerzésekre vonatkozó releváns uniós joggal összhangban álló formában. Amennyiben az adatok további felhasználására vonatkozó kizárólagos jog nem felel e rendeletnek, e kizárólagos jognak érvénytelennek kell lennie.

(14) Lejáratukat követően nem hosszabbíthatók meg azon tiltott, e rendelet hatálybalépését megelőzően kötött vagy már érvényben lévő, a közszférabeli szervezetek birtokában lévő adatok további felhasználására vonatkozó kizárólagos megállapodások és egyéb gyakorlatok vagy megállapodások, amelyek kifejezetten nem biztosítanak kizárólagos jogokat, de amelyek esetében észszerűen feltételezhető, hogy korlátozzák az adatok további felhasználás céljából történő hozzáférhetőségét. A határozatlan idejű vagy hosszabb távú megállapodásokat az e rendelet hatálybalépésétől számított 30 hónapon belül meg kell szüntetni.

(15) E rendeletnek meg kell határoznia a védett adatok további felhasználásának feltételeit, amelyek a nemzeti jog szerint a további felhasználáshoz való hozzáférés engedélyezésére vagy megtagadására illetékesként kijelölt közszférabeli szervezetekre vonatkoznak és nem érintik az ilyen adatokhoz való hozzáféréssel kapcsolatos jogokat vagy kötelezettségeket. E feltételeknek megkülönböztetéstől mentesnek, átláthatónak, arányosnak és objektív módon indokoltnak kell lenniük, ugyanakkor nem szabad korlátozniuk a versenyt, és különleges hangsúlyt kell helyezniük a kkv-k és az induló innovatív vállalkozások ilyen adatokhoz való hozzáférésének előmozdítására. A további felhasználásra vonatkozó feltételeket a tudományos kutatást ösztönző módon kell kialakítani például akként, hogy a tudományos kutatás előnyben részesítését főszabályként megkülönböztetésmentesnek kell tekinteni. A további felhasználást engedélyező közszférabeli szervezeteknek rendelkezniük kell a harmadik felek jogainak és érdekeinek védelméhez szükséges technikai eszközökkel, és e szervezeteket fel kell hatalmazni arra, hogy a szükséges információkat bekérjék a továbbfelhasználótól. Az adatok további felhasználásához kapcsolódó feltételeknek arra kell korlátozódniuk, ami szükséges harmadik személyek adatokhoz fűződő jogainak és érdekeinek, valamint a közszférabeli szervezetek információtechnológiai és kommunikációs rendszerei integritásának a megőrzéséhez. A közszférabeli szervezeteknek olyan feltételeket kell alkalmazniuk, amelyek a legjobban szolgálják a továbbfelhasználó érdekeit, ugyanakkor nem rónak aránytalan terhet a közszférabeli szervezetekre. Az adatok további felhasználásához kapcsolódó feltételeket úgy kell kialakítani, hogy a személyes adatok védelme tekintetében hatékony biztosítékokkal szolgáljanak. A továbbítást megelőzően a személyes adatokat anonimizálni kell annak érdekében, hogy ne lehessen azonosítani az érintetteket, és a bizalmas üzleti információkat tartalmazó adatokat úgy kell módosítani, hogy bizalmas információk ne váljanak hozzáférhetővé. Ha az anonimizált vagy módosított adatok közlése nem felelne meg a továbbfelhasználó igényeinek, minden, az adatvédelmi hatásvizsgálat elvégzésére és a felügyeleti hatósággal való konzultációra vonatkozó, az (EU) 2016/679 rendelet 35. és 36. cikke szerinti követelmény teljesülése esetén, és amennyiben az érintettek jogai és érdekei tekintetében fennálló kockázatok minimálisnak minősülnek, engedélyezhető az adatok biztonságos adatkezelési környezetben, helyben vagy távol történő további felhasználása.

Ez megfelelő megoldás lehet az álnevesített adatok további felhasználására. Az ilyen biztonságos adatkezelési környezetben végrehajtott adatelemzéseket - harmadik személyek jogainak és érdekeinek védelme érdekében - a közszférabeli szervezetnek kell felügyelnie. Különösen, a személyes adatokat további felhasználás céljából csak akkor szabad harmadik félnek továbbítani, ha az adatvédelmi jog szerinti jogalap lehetővé teszi e továbbítást. A nem személyes adatokat csak akkor szabad továbbítani, ha nincs ok azt feltételezni, hogy a nem személyes adatok készleteinek kombinációja lehetővé teszi az érintettek azonosítását. Ez azon álnevesített adatok esetében is alkalmazandó, amelyek továbbra is személyes adatoknak minősülnek. Az érintettek újbóli azonosítása esetén az ilyen adatvédelmi incidensről a közszférabeli szervezet felé történő értesítésre vonatkozó kötelezettségen túlmenően az (EU) 2016/679 rendelettel összhangban a felügyeleti hatóság és az érintett felé történő értesítésre vonatkozó kötelezettség is fennáll. A közszférabeli szervezeteknek adott esetben megfelelő technikai eszközökkel meg kell könnyíteniük az adatok további felhasználását az érintettek hozzájárulása vagy az adatbirtokosoknak a velük kapcsolatos adatok további felhasználására vonatkozó engedélye alapján. E tekintetben a közszférabeli szervezetnek meg kell tennie a maximális erőfeszítéseket arra, hogy támogatást nyújtson a potenciális továbbfelhasználóknak az említett hozzájárulás vagy engedély megszerzéséhez, mégpedig olyan technikai mechanizmusok létrehozásával, amelyek lehetővé teszik a továbbfelhasználók hozzájárulás vagy engedély iránti kérelmeinek továbbítását, amennyiben ez a gyakorlatban megvalósítható. Nem adhatók meg olyan kapcsolattartási adatok, amelyek lehetővé teszik a továbbfelhasználók számára, hogy közvetlenül kapcsolatba lépjenek az érintettekkel vagy az adatbirtokosokkal. Amennyiben a közszférabeli szervezet hozzájárulás vagy engedély iránti kérelmet továbbít, biztosítania kell, hogy az érintett vagy az adatbirtokos egyértelmű tájékoztatást kapjon arról, hogy lehetősége van megtagadni a hozzájárulást vagy engedélyt.

(16) Annak érdekében, hogy elő lehessen segíteni és ösztönözni lehessen a közszférabeli szervezetek birtokában lévő adatoknak a tudományos kutatás céljaira történő felhasználását, a közszférabeli szervezeteknek célszerű összehangolt megközelítést és összehangolt eljárásokat kidolgozniuk a célból, hogy az említett adatok könnyen hozzáférhetőek legyenek a közérdekű tudományos kutatás céljaira. Ez jelentheti egyebek mellett egyszerűsített adminisztratív eljárások, szabványosított adatformátumok, a módszertani és az adatgyűjtési döntésekre vonatkozó informatív metaadatok, valamint szabványosított adatmezők kidolgozását, amelyek lehetővé teszik a különböző közszférabeli adatforrások adatkészleteinek könnyű összekapcsolását, ha ez elemzési okokból releváns. E gyakorlatok célkitűzésének arra kell irányulnia, hogy a szükséges zártság melletti lehető legnagyobb mértékű nyitottság elvének megfelelően előmozdítsák a közfinanszírozású és a közszféra által előállított adatoknak a tudományos kutatás céljaira történő felhasználását.

(17) E rendelet nem érintheti harmadik felek szellemitulajdon-jogait. E rendelet nem érintheti a közszférabeli szervezetek szellemitulajdon-jogainak fennállását vagy az azokon meglévő jogosultságot, és nem is korlátozhatja e jogok gyakorlását. Az e rendelettel összhangban bevezetett kötelezettségeket annyiban kell alkalmazni, amennyiben azok összeegyeztethetők a szellemitulajdon-jogok védelmére vonatkozó nemzetközi megállapodásokkal, különösen az irodalmi és művészeti művek védelméről szóló Berni Egyezménnyel (Berni Egyezmény), a szellemi tulajdonjogok kereskedelmi vonatkozásairól szóló megállapodással (TRIPS-megállapodás), a Szellemi Tulajdon Világszervezetének Szerzői Jogi Szerződésével (WCT), valamint a szellemi tulajdonra vonatkozó uniós vagy nemzeti joggal. A közszférabeli szervezeteknek ugyanakkor úgy kell gyakorolniuk szerzői jogaikat, hogy az megkönnyítse a további felhasználást.

(18) A szellemitulajdon-jogok hatálya alá tartozó adatok, valamint az üzleti titkok csak akkor továbbíthatók harmadik feleknek, ha a továbbítás az uniós vagy a nemzeti jog vagy a jogosult beleegyezése alapján jogszerűnek minősül. Ha az adatbázis előállítójának a 96/9/EK európai parlamenti és tanácsi irányelv *  7. cikkének (1) bekezdésében előírt joga a közszférabeli szervezeteket illeti meg, e szervezetek nem gyakorolhatják ezt a jogot abból a célból, hogy az adatok további felhasználását megakadályozzák, vagy hogy azok további felhasználását az e rendeletben előírt határokon túlmenően korlátozzák.

(19) Garantálni kell, hogy a vállalkozások és az érintettek biztosak lehessenek abban, hogy a közszférabeli szervezetek birtokában lévő védett adatok bizonyos kategóriáinak további felhasználása a jogaik és érdekeik tiszteletben tartásával történik. Ezért további biztosítékokat kell bevezetni azokra a helyzetekre vonatkozóan, amikor a közszféra ilyen adatainak további felhasználása az adatoknak a közszférán kívüli kezelésével történik, például azon követelményt, hogy a közszférabeli szervezeteknek biztosítaniuk kell a természetes és jogi személyek jogainak és érdekeinek teljes védelmét, különösen a személyes adatok, a bizalmas üzleti adatok és a szellemitulajdon-jogok tekintetében, minden esetben, így többek között akkor is, ha az említett adatokat harmadik országoknak továbbítják. A közszférabeli szervezetek nem engedélyezhetik a biztosítók vagy bármely más szolgáltatók számára, hogy - további felhasználás keretében - az árképzés során történő megkülönböztetés céljára használják fel az e-egészségügyi alkalmazásokban tárolt információkat, mivel ez ellentétes lenne az egészségügyi ellátás igénybevételéhez fűződő alapvető joggal.

(20) Emellett a tisztességes verseny és a nyitott piacgazdaság megőrzése érdekében rendkívül fontos védeni a nem személyes jellegű védett adatokat - különösen az üzleti titkokat, de az olyan nem személyes adatokat is, amelyek szellemitulajdon-jogok által védett tartalmat képeznek - a jogellenes hozzáféréssel szemben, mivel az szellemitulajdonjog-bitorláshoz vagy ipari kémkedéshez vezethet. Az adatbirtokosok jogainak vagy érdekeinek védelme érdekében lehetővé kell tenni, hogy a közszférabeli szervezetek birtokában lévő, az uniós vagy a nemzeti joggal összhangban jogellenes vagy jogosulatlan hozzáféréstől védendő nem személyes adatok harmadik országokba való továbbítására sor kerüljön, de kizárólag akkor, ha megfelelő biztosítékok állnak rendelkezésre az adatok felhasználását illetően. Az ilyen megfelelő biztosítékoknak magukban kell foglalniuk azon követelményt, hogy a közszférabeli szervezet csak akkor továbbíthat védett adatokat egy továbbfelhasználónak, ha e továbbfelhasználó szerződéses kötelezettséget vállal az adatok védelme érdekében. Azon továbbfelhasználónak, aki védett adatokat ilyen harmadik országba szándékozik továbbítani, vállalnia kell, hogy az e rendeletben megállapított kötelezettségeket az adatok harmadik országba történő továbbítása után is betartja. E kötelezettségek megfelelő végrehajtásának biztosítása érdekében a továbbfelhasználónak el kell fogadnia továbbá, hogy a jogviták bírósági rendezése során az azon közszférabeli szervezet szerinti tagállam rendelkezik joghatósággal, amely a további felhasználást engedélyezte.

(21) Abban az esetben is úgy kell tekinteni, hogy megfelelő biztosítékok végrehajtására kerül sor, ha azon harmadik országban, amelynek nem személyes adatokat továbbítanak, olyan egyenértékű intézkedések vannak érvényben, amelyek biztosítják, hogy az adatok az uniós jog alapján alkalmazandóhoz hasonló szintű védelemben részesülnek, különösen az üzleti titkok és a szellemitulajdon-jogok védelme tekintetében. E célból a Bizottság számára lehetővé kell tenni, hogy - amennyiben ezt a nem személyes adatok bizonyos harmadik országokban való további felhasználására vonatkozóan Unió-szerte benyújtott kérelmek jelentős száma indokolja - végrehajtási jogi aktusok révén megállapítsa, hogy az adott harmadik ország az uniós jog által nyújtott védelem szintjével lényegében egyenértékű szintű védelmet biztosít. A Bizottságnak a tagállamok által az Európai Adatinnovációs Testületen keresztül szolgáltatott információk alapján fel kell mérnie kell, hogy szükség van-e ilyen végrehajtási jogi aktusokra. Az ilyen végrehajtási jogi aktusok arról biztosítanák a közszférabeli szervezeteket, hogy a közszférabeli szervezetek birtokában lévő adatoknak az érintett harmadik országban történő további felhasználása nem veszélyezteti ezen adatok védett jellegét. Az érintett harmadik országban biztosított védelem szintjének értékelésénél figyelembe kell venni különösen a vonatkozó általános és ágazati jogot, ideértve azokat a közbiztonsággal, védelemmel, nemzetbiztonsággal és büntetőjoggal kapcsolatosakat is, amelyek a következőket szabályozzák: a nem személyes adatok védelme és az azokhoz való hozzáférés, a továbbított adatokhoz való, az adott harmadik ország közszférabeli szervezetei általi hozzáférés, a harmadik országban egy vagy több független, az ilyen adatokhoz való hozzáférést biztosító jogi szabályozás betartásának biztosításáért és érvényesítéséért felelős felügyeleti hatóság megléte és tényleges működése, vagy az érintett harmadik ország által tett, az adatvédelemmel kapcsolatos nemzetközi kötelezettségvállalások, vagy olyan egyéb kötelezettségek, amelyek kötelező erejű egyezményekből vagy eszközökből, valamint a harmadik ország multilaterális vagy regionális rendszerekben való részvételéből erednek.

Az, hogy az érintett harmadik országban hatékony jogorvoslati lehetőségek állnak-e az adatbirtokosok, a közszférabeli szervezetek vagy az adatközvetítő szolgáltatók rendelkezésére, különös jelentőséggel bír a nem személyes adatoknak az adott harmadik országba történő továbbításával összefüggésben. Az ilyen biztosítékoknak ezért magukban kell foglalniuk az érvényesíthető jogok és a hatékony jogorvoslati lehetőségek rendelkezésre állását. Az említett végrehajtási jogi aktusok nem érinthetik azokat a jogi kötelezettségeket vagy szerződéses megállapodásokat, amelyeket egy továbbfelhasználó a nem személyes adatok - különösen az ipari adatok - védelme érdekében már vállalt, sem pedig a közszférabeli szervezetek azon jogát, hogy e rendelettel összhangban kötelezzék a továbbfelhasználókat a további felhasználásra vonatkozó feltételek teljesítésére.

(22) Bizonyos harmadik országok olyan törvényeket, rendeleteket és más jogi aktusokat fogadnak el, amelyek olyan nem személyes adatok közvetlen továbbítására vagy az olyan nem személyes adatokhoz való kormányzati hozzáférés biztosítására irányulnak, amelyek felett az Unióban a tagállamok joghatósága alá tartozó természetes vagy jogi személyek rendelkeznek. A harmadik országok bíróságai által hozott olyan határozatokat és ítéleteket, valamint közigazgatási hatóságai által hozott olyan határozatokat, amelyek nem személyes adatok továbbítását vagy az ilyen adatokhoz való hozzáférést írják elő, akkor lehet végrehajtani, ha azok olyan hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyről szóló megállapodáson alapulnak, amely a megkereső harmadik ország és az Unió vagy annak egy tagállama között van hatályban. Bizonyos esetekben felmerülhetnek olyan helyzetek, amikor a nem személyes adatok továbbítására vagy az ilyen adatokhoz való hozzáférés biztosítására vonatkozó, egy harmadik ország jogából eredő kötelezettség ütközik az ilyen adatok uniós vagy nemzeti jog szerinti védelmére vonatkozó kötelezettséggel, különösen az egyén alapvető jogainak vagy valamely tagállam nemzetbiztonsággal vagy védelemmel összefüggő alapvető érdekeinek védelmét illetően, továbbá a bizalmas üzleti adatok védelmét és a szellemitulajdon-jogok védelmét illetően, ideértve a titoktartással kapcsolatos, az említett joggal összhangban lévő szerződéses kötelezettségeket is. Az említett kérdéseket szabályozó nemzetközi megállapodások hiányában a nem személyes adatok továbbítása vagy az azokhoz való hozzáférés csak akkor engedélyezhető, ha ellenőrzésre került különösen az, hogy a harmadik ország jogrendszere előírja a határozat vagy ítélet indokainak és arányosságának bemutatását; az, hogy a határozat vagy ítélet konkrét jellegű; valamint az, hogy a címzett indokolt kifogását a harmadik ország olyan illetékes bírósága vizsgálhatja felül, amelynek hatásköre van arra, hogy kellően figyelembe vegye az ilyen adatok szolgáltatójának az ügyben fennálló jogi érdekeit.

Ezenkívül a közszférabeli szervezeteknek, az adatok további felhasználására feljogosított természetes vagy jogi személyeknek, az adatközvetítő szolgáltatóknak és az elismert adataltruista szervezeteknek az egyéb magánfelekkel kötendő szerződéses megállapodások aláírásakor biztosítaniuk kell, hogy az Unióban tárolt nem személyes adatokhoz harmadik országokban csak az uniós joggal vagy az érintett tagállam nemzeti jogával összhangban lehessen hozzáférni, illetve ezen adatokat harmadik országokba csak az uniós joggal vagy az érintett tagállam nemzeti jogával összhangban lehessen továbbítani.

(23) Az uniós adatgazdaságba vetett bizalom fokozása érdekében alapvető fontosságú, hogy az uniós polgárok, a közszféra és a vállalkozások tekintetében olyan biztosítékok végrehajtására kerüljön sor, amelyek biztosítják az említettek stratégiai és érzékeny adatai feletti ellenőrzést, valamint hogy az uniós jog, értékek és normák garantálva legyenek többek között, de nem kizárólag a biztonság, az adatvédelem és a fogyasztóvédelem tekintetében. A nem személyes adatokhoz való jogosulatlan hozzáférés megakadályozása érdekében a közszférabeli szervezeteknek, az adatok további felhasználására feljogosított természetes vagy jogi személyeknek, az adatközvetítő szolgáltatóknak és az elismert adataltruista szervezeteknek minden észszerű intézkedést meg kell hozniuk a nem személyes adatokat tároló rendszerekhez való hozzáférés megakadályozása érdekében, ideértve az adatok titkosítását vagy szervezeti szabályzatok bevezetését is. Ennek érdekében biztosítani kell, hogy a közszférabeli szervezetek, az adatok további felhasználására feljogosított természetes vagy jogi személyek, az adatközvetítő szolgáltatók és az elismert adataltruista szervezetek minden vonatkozó uniós szintű technikai előírásnak, magatartási kódexnek és tanúsítványnak megfeleljenek.

(24) A további felhasználás mechanizmusaiba vetett bizalom kiépítése érdekében - a nemzetközi kötelezettségvállalásokkal összhangban - szükség lehet szigorúbb feltételek előírására a nem személyes adatok bizonyos olyan típusai vonatkozásában, amelyeket jövőbeni adott uniós jogalkotási aktusok különösen érzékenynek minősíthetnek a harmadik országokba történő továbbítás tekintetében, ha e továbbítás veszélyeztetheti az Unió közpolitikai célkitűzéseit. Így például előfordulhat, hogy az egészségügy területén a népegészségügyi rendszer szereplőinek, például a közkórházaknak a birtokában lévő egyes adatkészleteket rendkívül érzékeny egészségügyi adatnak fogják minősíteni. Egyéb érintett ágazat többek között a közlekedés, az energetika, a környezetvédelem és a pénzügy. Az Unión belüli harmonizált gyakorlatok biztosítása érdekében a rendkívül érzékeny, nem személyes közadatok ilyen típusait az uniós jogban kell meghatározni, például az európai egészségügyi adattérre vonatkozó vagy más ágazati jog keretében. Ezen, az ilyen adatok harmadik országokba történő továbbításához fűződő feltételeket felhatalmazáson alapuló jogi aktusokban kell meghatározni. A feltételeknek arányosnak, megkülönböztetéstől mentesnek és az Unió meghatározott jogszerű közpolitikai célkitűzéseinek védelméhez- például a közegészség védelme, a biztonság, a környezetvédelem, a közerkölcs, a fogyasztóvédelem, a magánélet és a személyes adatok védelme - szükségesnek kell lenniük. A feltételeknek meg kell felelniük az ilyen adatok érzékenységével kapcsolatban megállapított kockázatoknak, ideértve az egyének újbóli beazonosításának kockázatát is. Az ilyen feltételek magukban foglalhatnak továbbítási feltételeket vagy technikai intézkedéseket, például a biztonságos adatkezelési környezet alkalmazásának a követelményét, az adatok harmadik országokban történő további felhasználására vonatkozó korlátozásokat vagy azon személyek kategóriáit, akik jogosultak harmadik országokba továbbítani ilyen adatokat, vagy akik a harmadik országban hozzáférhetnek az adatokhoz. Kivételes esetekben, a közérdek védelme érdekében az ilyen feltételek az adatok harmadik országokba történő továbbítására vonatkozó korlátozásokat is tartalmazhatnak.

(25) Az állami támogatási szabályokkal összhangban lehetővé kell tenni, hogy a közszférabeli szervezetek díjat számítsanak fel az adatok további felhasználásáért, és azt is, hogy kedvezményes díjért vagy díjmentesen engedélyezzék a további felhasználást, például a további felhasználás bizonyos kategóriái - így a nem kereskedelmi jellegű további felhasználás, a tudományos kutatás céljaira történő további felhasználás vagy a kkv-k, az induló innovatív vállalkozások, a civil társadalom és az oktatási intézmények általi további felhasználás - esetében, mégpedig annak érdekében, hogy a kutatás és az innováció előmozdítása céljából ösztönzőket nyújtsanak az ilyen további felhasználásra, valamint hogy támogassák azokat a vállalkozásokat, amelyek fontos innovációs forrást jelentenek, ám jellemzően nehezebben tudják maguk összegyűjteni a releváns adatokat. E tekintetben úgy kell tekinteni, hogy a tudományos kutatási célok a kutatással összefüggő mindenféle célt magukban foglalnak, függetlenül a szóban forgó kutatóintézmény szervezeti és pénzügyi szerkezetétől, kivéve a vállalkozások által termékek vagy szolgáltatások fejlesztése, javítása vagy optimalizálása céljából végzett kutatást. E díjaknak a felmerült költségekkel arányosnak, átláthatónak és megkülönböztetéstől mentesnek kell lenniük, továbbá azok nem korlátozhatják a versenyt. Közzé kell tenni a továbbfelhasználók azon kategóriáinak listáját, amelyekre kedvezményes díj vagy díjmentesség vonatkozik, valamint az e lista összeállításához használt kritériumokat.

(26) A közszférabeli szervezetek birtokában lévő adatok meghatározott kategóriái további felhasználásának ösztönzése érdekében a tagállamoknak interfészként egyablakos információs pontot kell létrehozniuk azon továbbfelhasználók számára, akik az említett adatokat kívánják továbbfelhasználni. Ezen információs pontnak ágazatközinek kell lennie, és szükség esetén ki kell egészítenie az ágazati szintű intézkedéseket. Biztosítani kell, hogy az egyablakos információs pont a további felhasználásra irányuló érdeklődések vagy kérelmek továbbításakor automatizált eszközökre támaszkodhasson. A továbbítási folyamat során megfelelő emberi felügyeletről kell gondoskodni. E célra fel lehet használni a már meglévő gyakorlati megoldásokat, például a nyílt hozzáférésű adatok portáljait. Az egyablakos információs pontnak olyan eszközlistával kell rendelkeznie, amely felsorolja az összes rendelkezésre álló adatforrást - beleértve adott esetben az ágazati, regionális vagy helyi információs pontoknál elérhető adatforrásokat is -, és amely tartalmazza a rendelkezésre álló adatokat leíró releváns információkat. Ezenkívül a tagállamoknak illetékes szerveket kell kijelölniük vagy létrehozniuk - vagy meg kell könnyíteniük ezek létrehozását - a védett adatok bizonyos kategóriáinak további felhasználását engedélyező közszférabeli szervezetek tevékenységeinek támogatása érdekében. E szervek feladatai között szerepelhet az adatokhoz való hozzáférés megadása, amennyiben erre ágazati uniós vagy nemzeti jogban felhatalmazást kaptak. Ezen illetékes szerveknek a legkorszerűbb technikákkal kell segíteniük a közszférabeli szervezeteket, többek között abban, hogy miként lehet a legjobban úgy rendszerezni és tárolni az adatokat, hogy azok - mindenekelőtt alkalmazásprogramozási interfészekkel - könnyen hozzáférhetők legyenek, továbbá interoperábilisak, továbbíthatók és kereshetők legyenek, figyelembe véve az adatkezeléssel, a meglévő szabályozási és technikai standardokkal, továbbá az olyan biztonságos adatkezelési környezetekkel kapcsolatos legjobb gyakorlatokat, amelyek lehetővé teszik az adatok oly módon történő elemzését, amely segítségével meg lehet őrizni az információk titkosságát.

Az illetékes szerveknek a közszférabeli szervezettől kapott utasításoknak megfelelően kell eljárniuk. Az ilyen segítségnyújtási struktúra segítheti az érintetteket és az adatbirtokosokat hozzájárulás-kezeléssel vagy a további felhasználás engedélyezésével, ideértve a tudományos kutatás bizonyos területeit érintő hozzájárulást és engedélyt is, feltéve hogy az adott tudományos kutatás megfelel a vonatkozó elismert etikai normáknak. Az illetékes szervek nem végezhetnek felügyeleti feladatokat, mivel ezeket kizárólag az (EU) 2016/679 rendelet szerinti felügyeleti hatóságok láthatják el. Az adatvédelmi hatóságok felügyeleti hatásköreinek sérelme nélkül, az adatkezelést az adatokat tartalmazó nyilvántartásért felelős közszférabeli szervezet felelőssége mellett kell végezni, amely szervezet a személyes adatok tekintetében továbbra is az (EU) 2016/679 rendeletben meghatározott adatkezelő marad. A tagállamok számára lehetővé kell tenni, hogy egy vagy több illetékes szervvel is rendelkezzenek, amelyek más-más ágazatokban is eljárhatnak. A közszférabeli szervezeteken belüli szolgálatok eljárhatnak illetékes szervként. Az illetékes szerv lehet adott esetben olyan közszférabeli szervezet, amely más közszférabeli szervezeteket segít az adatok további felhasználásának engedélyezésében, illetve olyan közszférabeli szervezet, amely saját maga engedélyezi a további felhasználást. A más közszférabeli szervezeteknek nyújtott segítség részeként az illetékes szerveknek kérésre tájékoztatást kell nyújtaniuk e szervezetek számára azon legjobb gyakorlatokra - így például a biztonságos adatkezelési környezet megvalósításához szükséges technikai eszközökre vagy az e rendelet hatálya alá tartozó adatok további felhasználásához való hozzáférés biztosítása esetén a magánélet védelméhez és a titoktartás garantálásához szükséges technikai eszközökre - vonatkozóan, hogy hogyan teljesítendők az e rendeletben megállapított követelmények.

(27) Az adatközvetítő szolgáltatások várhatóan kulcsszerepet fognak betölteni az adatgazdaságban, különösen azáltal, hogy támogatják és előmozdítják a vállalkozások közötti önkéntes adatmegosztási gyakorlatokat, illetve megkönnyítik az adatmegosztást az uniós vagy nemzeti jog által meghatározott kötelezettségek keretében. Olyan eszközzé válhatnak, amely megkönnyíti jelentős mennyiségű releváns adat cseréjét. A különböző szereplőket összekötő szolgáltatásokat kínáló adatközvetítő szolgáltatók - amelyek magukban foglalhatják a közszférabeli szervezeteket is - képesek hozzájárulni az adatok hatékony összevonásához, valamint a kétoldalú adatmegosztás megkönnyítéséhez. Az érintettektől és az adatbirtokosoktól, valamint az adatfelhasználóktól egyaránt független, szakosodott adatközvetítő szolgáltatások elősegíthetik a jelentős piaci erővel rendelkező szereplőktől független, új adatvezérelt ökoszisztémák megjelenését, lehetővé téve ugyanakkor az adatgazdasághoz való, megkülönböztetéstől mentes hozzáférést a különböző méretű vállalkozások, különösen a korlátozott pénzügyi, jogi vagy adminisztratív eszközökkel rendelkező kkv-k és induló innovatív vállalkozások számára. Ez különösen fontos lesz a közös európai adatterek, nevezetesen olyan, meghatározott célokra vagy ágazatokra irányuló, illetve ágazatközi interoperábilis keretek létrehozásával összefüggésben, amelyek közös szabványokkal és gyakorlatokkal rendelkeznek többek között az új termékek és szolgáltatások kifejlesztését, a tudományos kutatást vagy a civil társadalmi kezdeményezéseket szolgáló adatok megosztása vagy közös kezelése céljából. Az adatközvetítő szolgáltatások magukban foglalhatják a két- vagy többoldalú adatmegosztást, vagy olyan platformok vagy adatbázisok létrehozását, amelyek lehetővé teszik az adatok megosztását vagy együttes használatát, valamint speciális infrastruktúra létrehozását az érintettek és az adatbirtokosok adatfelhasználókkal való összekapcsolására.

(28) E rendelet hatályának ki kell terjednie azokra a szolgáltatásokra, amelyek célja, hogy - technikai, jogi vagy egyéb eszközök révén - kereskedelmi kapcsolatokat hozzanak létre egyrészről a meghatározatlan számú érintett és adatbirtokos, másrészről pedig az adatfelhasználók közötti adatmegosztás - többek között az érintettek személyes adatokkal kapcsolatos jogainak gyakorlása - céljából. Amennyiben a vállalkozások vagy más szervezetek többféle adatokkal kapcsolatos szolgáltatást is kínálnak, e rendelet hatályának csak azokra a tevékenységekre kell kiterjednie, amelyek közvetlenül érintik az adatközvetítő szolgáltatások nyújtását. A felhőalapú tárolás, elemzési szolgáltatások, adatmegosztó szoftverek, webböngészők vagy böngésző kiegészítők, illetve e-mail-szolgáltatások nyújtása nem tekinthető az e rendelet értelmében vett adatközvetítő szolgáltatásnak, feltéve ha az említett szolgáltatások csak a technikai eszközöket nyújtják az érintettek vagy az adatbirtokosok számára az adatok másokkal való megosztásához, de az említett technikai eszközök nyújtása nem irányul az adatbirtokosok és az adatfelhasználók közötti kereskedelmi kapcsolat létrehozására, és azt sem teszi lehetővé, hogy az adatközvetítő szolgáltató adatmegosztás céljából információkat szerezzen a létrehozott kereskedelmi kapcsolatokról. Az adatközvetítő szolgáltatások közé tartozhatnak például azok az adatpiacterek, amelyeken a vállalkozások adatokat bocsáthatnak mások rendelkezésére, az összes érdekelt fél számára nyitott adatmegosztó ökoszisztémák meghatározó résztvevői, például a közös európai adatterek összefüggésében, valamint a több jogi vagy természetes személy által azzal a céllal közösen létrehozott adatkészletek, hogy az ilyen készletek használatára minden érdekelt fél engedélyt kapjon oly módon, hogy hozzájárulása fejében az adatkészlethez hozzájáruló minden résztvevő ellentételezésben részesül.

Ez kizárná az olyan szolgáltatásokat, amelyek abból a célból szereznek be adatokat az adatbirtokosoktól, és összesítik, gazdagítják vagy alakítják át az adatokat, hogy jelentősen növeljék azok értékét, és az így létrejött adatok felhasználását engedélyezzék az adatfelhasználóknak, anélkül, hogy az adatbirtokosok és az adatfelhasználók között kereskedelmi kapcsolatot hoznának létre. Ez kizárná továbbá az olyan szolgáltatásokat is, amelyeket kizárólag egyetlen adatbirtokos vesz igénybe az említett adatbirtokos birtokában lévő adatok felhasználásának lehetővé tétele érdekében, vagy amelyeket egy zárt csoporthoz tartozó több jogi személy vesz igénybe, ideértve a szolgáltatói vagy ügyfélkapcsolatokat, illetve a szerződéssel létrehozott együttműködéseket, különösen azokat, amelyek fő célja a tárgyak internetéhez csatlakoztatott tárgyak és eszközök funkcióinak biztosítása.

(29) Azon szolgáltatások, amelyek fő célja a szerzői jogi védelem alatt álló tartalmak közvetítése, így például az (EU) 2019/790 irányelv 2. cikkének 6. pontjában meghatározott online tartalommegosztó szolgáltatók, nem tartozhatnak e rendelet hatálya alá. A 600/2014/EU európai parlamenti és tanácsi rendelet *  2. cikke (1) bekezdésének 35. pontjában meghatározott összesítettadat-szolgáltatók és az (EU) 2015/2366 európai parlamenti és tanácsi irányelv *  4. cikkének 19. pontjában meghatározott számlainformációkat összesítő szolgáltatók e rendelet alkalmazásában nem tekintendők adatközvetítő szolgáltatóknak. Ez a rendelet nem alkalmazható azokra a szolgáltatásokra, amelyeket közszférabeli szervezetek kínálnak annak érdekében, hogy megkönnyítsék a különböző közszférabeli szervezetek birtokában lévő védett adatok e rendelettel összhangban történő további felhasználását, illetve bármely más adat felhasználását, amennyiben az említett szolgáltatások nem irányulnak kereskedelmi kapcsolatok létrehozására. Az e rendeletben szabályozott adataltruista szervezetek nem tekintendők adatközvetítő szolgáltatásokat nyújtó szervezeteknek, feltéve ha az említett szolgáltatások nem hoznak létre kereskedelmi kapcsolatot egyrészről a potenciális adatfelhasználók, másrészről pedig az adatokat altruisztikus célokra rendelkezésre bocsátó érintettek és adatbirtokosok között. E rendelet értelmében nem tekintendők adatközvetítő szolgáltatásoknak az egyéb olyan szolgáltatások sem, amelyek nem irányulnak kereskedelmi kapcsolatok létrehozására, így például az olyan adattárak, amelyek célja a tudományos kutatási adatok további felhasználásának lehetővé tétele a nyílt hozzáférés elveinek megfelelően.

(30) Az adatközvetítő szolgáltatások egyik meghatározott kategóriáját azok a szolgáltatók alkotják, amelyek szolgáltatásaikat az érintetteknek kínálják. Az említett adatközvetítő szolgáltatók igyekeznek fokozni az érintettek önrendelkezését és különösen az egyéneknek a rájuk vonatkozó adatok feletti rendelkezését. Az említett szolgáltatók segíthetik az egyéneket az (EU) 2016/679 rendelet szerinti jogaik - különösen az adatkezeléshez való hozzájárulásuk megadása és visszavonása -, a saját adataikhoz való hozzáférés joga, a pontatlan személyes adatok helyesbítéséhez, a törléshez vagy az elfeledtetéshez való jog, az adatkezelés korlátozásának joga, valamint az adathordozhatósághoz való jog gyakorlásában, amely utóbbi lehetővé teszi az érintettek számára, hogy személyes adataikat az egyik adatkezelőről a másikra ruházzák át. Ezzel összefüggésben fontos, hogy e szolgáltatók üzleti modellje biztosítsa, hogy ne legyenek olyan félrevezető ösztönzők, amelyek arra bátorítják az egyéneket, hogy az ilyen szolgáltatásokat a célból vegyék igénybe, hogy a saját érdekükben állónál több rájuk vonatkozó adatot bocsássanak rendelkezésre. Ez magában foglalhatja az egyéneknek történő tanácsadást arról, hogy adataik milyen felhasználását engedélyezhetik, valamint - a csalárd gyakorlatok elkerülése érdekében - az adatfelhasználók átvilágítását azt megelőzően, hogy lehetővé tennék számukra az érintettekkel való kapcsolatfelvételt. Bizonyos helyzetekben kívánatos lehet a valós adatoknak a személyes adat-téren belüli összesítése, hogy az adatkezelés - a személyes adatok és a magánélet védelmének maximalizálása érdekében - ezen a téren belül történhessen, a személyes adatok harmadik feleknek való továbbítása nélkül. Az ilyen személyesadat-terek statikus személyes adatokat, például a nevet, címet vagy születési időt, valamint olyan dinamikus adatokat tartalmazhatnak, amelyeket az egyén például egy online szolgáltatás igénybevétele vagy a dolgok internetéhez kapcsolódó tárgy használata révén generál. Az ilyen személyesadat-terek ellenőrzött személyazonosító adatok, mint például útlevélszám vagy szociális biztonságra vonatkozó információk, valamint más hitelesítő adatok, mint például vezetői engedélyek, oklevelek vagy bankszámla-adatok, tárolására is felhasználhatók.

(31) Az adatszövetkezeteknek több elérendő célkitűzésük is van, és különösen arra törekszenek, hogy megerősítsék az egyének helyzetét azáltal, hogy lehetővé teszik számukra a tájékozott döntések meghozatalát az adatfelhasználáshoz való hozzájárulást megelőzően, oly módon befolyásolva az adatfelhasználói szervezetek adatfelhasználáshoz kapcsolódó feltételeit, amely jobb egyéni választási lehetőségeket kínál a csoport tagjainak, vagy esetlegesen megoldással szolgálva a csoport egyes tagjai között az adatok felhasználásának módjával kapcsolatos ütköző álláspontokra, amennyiben az említett adatok az adott csoporton belül több érintettre is vonatkoznak. Ezzel összefüggésben fontos tudomásul venni, hogy az (EU) 2016/679 rendelet szerinti jogok az érintett személyiségi jogai, és hogy az érintettek ezekről a jogokról nem mondhatnak le. Az adatszövetkezetek emellett hasznos eszközöket nyújthatnak az egyszemélyes vállalkozások és a kkv-k számára is, amelyek az adatmegosztással kapcsolatos ismeretek szempontjából gyakran az egyénekhez hasonlíthatók.

(32) Az említett adatközvetítő szolgáltatások iránti bizalom növelése érdekében - különösen az adatok felhasználásával és az érintettek és az adatbirtokosok által előírt feltételek betartásával kapcsolatban -, létre kell hozni egy uniós szintű szabályozási keretet, amely nagy mértékben harmonizált követelményeket teremt az említett adatközvetítő szolgáltatások megbízható nyújtásához kapcsolódóan, és amelyet az illetékes hatóságok hajtanak végre. Ez a keret hozzá fog járulni annak biztosításához, hogy az érintettek és az adatbirtokosok, valamint az adatfelhasználók - az uniós joggal összhangban - jobban ellenőrizhessék az adataikhoz való hozzáférést és azok felhasználását. A Bizottság emellett ösztönözhetné és megkönnyíthetné uniós szintű magatartási kódexek kidolgozását is, bevonva az érdekelt feleket, különösen az interoperabilitás területén. Mind az olyan helyzetekben, amikor az adatmegosztás vállalkozások között történik, mind pedig az olyanokban, amikor arra a vállalkozások és a fogyasztók között kerül sor, az adatközvetítő szolgáltatóknak újszerű, „európai” módszert kell kínálniuk az adatkormányzásra, különválasztva az adatgazdaságon belül az adatszolgáltatást, a közvetítést és a felhasználást. Az adatközvetítő szolgáltatók speciális technikai infrastruktúrát is elérhetővé tehetnek az érintettek és az adatbirtokosok adatfelhasználókkal való összekapcsolására. E tekintetben különösen fontos ezt az infrastruktúrát oly módon kialakítani, hogy a kkv-k és az induló innovatív vállalkozások ne szembesüljenek technikai vagy egyéb akadályokkal az adatgazdaságban való részvételüket illetően.

Az adatközvetítő szolgáltatóknak lehetőséget kell biztosítani arra, hogy további olyan egyedi eszközöket és szolgáltatásokat - például ideiglenes tárolási, gondozási, átalakítási, anonimizálási vagy álnevesítési szolgáltatást - nyújtsanak az adatbirtokosok, illetve az érintettek számára, amelyek kifejezetten az adatcsere megkönnyítését célozzák. Ezek az eszközök és szolgáltatások csak az adatbirtokos vagy az érintett kifejezett kérésére vagy jóváhagyásával használhatók, és az ebben az összefüggésben kínált, harmadik felektől származó eszközök nem használhatják az adatokat más célokra. Ugyanakkor lehetővé kell tenni az adatközvetítő szolgáltatók számára, hogy a kicserélt adatokat kiigazítsák annak érdekében, hogy - amennyiben az adatfelhasználó ezt kéri - javítsák az adatok adatfelhasználó általi felhasználhatóságát, illetve hogy javítsák az interoperabilitást, például az adatok meghatározott formátumokra való átalakításával.

(33) Fontos, hogy az adatmegosztás számára egy versenyképes környezet jöjjön létre. Az adatbirtokosok, az érintettek és az adatfelhasználók adatközvetítő szolgáltatásokba vetett bizalma növelésének és az ilyen szolgáltatások feletti ellenőrzésük fokozásának kulcsfontosságú tényezője az adatközvetítő szolgáltatók semlegessége az adatbirtokosok vagy az érintettek és az adatfelhasználók között kicserélt adatok tekintetében. Ezért szükséges, hogy az adatközvetítő szolgáltatók csak közvetítőként járjanak el a tranzakciók során, és ne használják fel a kicserélt adatokat semmilyen más célra. Az adatközvetítő szolgáltatások nyújtásának kereskedelmi feltételei - ideértve az árazást - nem tehetők függővé attól, hogy a potenciális adatbirtokos vagy adatfelhasználó igénybe vesz-e más, ugyanazon adatközvetítő szolgáltató vagy egy hozzá kapcsolódó jogalany által nyújtott szolgáltatásokat - ideértve a tárolást, az elemzést, a mesterséges intelligenciát vagy más adatalapú alkalmazásokat -, és ha igen, akkor az adatbirtokos vagy az adatfelhasználó milyen mértékben veszi igénybe az említett más szolgáltatásokat. Ehhez az adatközvetítő szolgáltatás és az egyéb nyújtott szolgáltatások strukturális elkülönítésre is szükség lesz, hogy elkerülhető legyen bármilyen érdekellentét. Ez azt jelenti, hogy az adatközvetítő szolgáltatást olyan jogi személyen keresztül kell nyújtani, amelynek tevékenysége elkülönül az adott adatközvetítő szolgáltató egyéb tevékenységeitől. Ugyanakkor az adatközvetítő szolgáltatók számára lehetővé kell tenni, hogy adatközvetítő szolgáltatásaik javítása érdekében felhasználhassák az adatbirtokos által rendelkezésre bocsátott adatokat.

Az adatközvetítő szolgáltatók számára lehetővé kell tenni, hogy az adatcsere megkönnyítése céljából - kizárólag az érintett vagy az adatbirtokos kifejezett kérésére vagy jóváhagyásával - az adatbirtokosok, az érintettek vagy az adatfelhasználók rendelkezésére bocsássák saját eszközeiket vagy harmadik felek eszközeit, például az adatok átalakítására vagy gondozására szolgáló eszközöket. Az ebben az összefüggésben kínált, harmadik felektől származó eszközök nem használhatják fel az adatokat az adatközvetítő szolgáltatásokhoz kapcsolódó céloktól eltérő célokra. Emellett azon adatközvetítő szolgáltatóknak, amelyek a magánszemélyek mint érintettek, valamint a jogi személyek mint adatfelhasználók között az adatcserét közvetítik, bizalmi kötelezettséggel kell tartozniuk a magánszemélyekkel szemben annak biztosítása érdekében, hogy az érintettek mindenek felett álló érdekében járjanak el. Az adatközvetítő szolgáltató magatartásából eredő valamennyi vagyoni és nem vagyoni kárért, illetve hátrányért viselt felelősséggel kapcsolatos kérdések a vonatkozó szerződésben kezelhetők, a nemzeti felelősségi rendszerek alapján.

(34) Az adatközvetítő szolgáltatóknak - a belső piac megfelelő működésének biztosítása érdekében - észszerű intézkedéseket kell hozniuk az ágazaton belüli és a különböző ágazatok közötti interoperabilitás biztosítására. Az észszerű intézkedések közé tartozhat a meglévő, általánosan használt szabványok követése abban az ágazatban, amelyben az adatközvetítő szolgáltató működik. Az Európai Adatinnovációs Testületnek szükség esetén elő kell segítenie további ágazati szabványok kidolgozását. Az adatközvetítő szolgáltatóknak kellő időben végre kell hajtaniuk az Európai Adatinnovációs Testület által elfogadott, az adatközvetítő szolgáltatások közötti interopera-bilitásra irányuló intézkedéseket.

(35) Ez a rendelet nem érintheti az adatközvetítő szolgáltatóknak az (EU) 2016/679 rendeletnek való megfelelésre vonatkozó kötelezettségét, valamint a felügyeleti hatóságok azon felelősségét, hogy biztosítsák az említett rendeletnek való megfelelést. Amennyiben az adatközvetítő szolgáltatók személyes adatokat kezelnek, ez a rendelet nem érintheti a személyes adatok védelmét. Amennyiben az adatközvetítő szolgáltatók az (EU) 2016/679 rendeletben meghatározott adatkezelők vagy adatfeldolgozók, ezen adatközvetítő szolgáltatók az említett rendelet szabályainak hatálya alá is tartoznak.

(36) Az adatközvetítő szolgáltatóknak eljárásokkal és intézkedésekkel kell rendelkezniük az adatközvetítő szolgáltatásaikon keresztül hozzáférést kérő felek adatokhoz való hozzáférésével kapcsolatos csalárd vagy visszaélésszerű gyakorlatok tekintetében szankciók kiszabására, többek között olyan intézkedések révén, mint a szolgáltatási feltételeket vagy a hatályos jogot megsértő adatfelhasználók kizárása.

(37) Az adatközvetítő szolgáltatóknak továbbá intézkedéseket kell hozniuk a versenyjog betartásának biztosítása érdekében, és eljárásokkal kell rendelkezniük e célból. Ez különösen azokban a helyzetekben érvényes, amikor az adatmegosztás lehetővé teszi a vállalkozások számára, hogy megismerjék tényleges vagy potenciális versenytársaik piaci stratégiáit. A verseny szempontjából érzékeny információk körébe általában az ügyféladatokra, a jövőbeli árakra, a termelési költségekre, a mennyiségekre, az árbevételre, az értékesítésre vagy a kapacitásokra vonatkozó adatok tartoznak.

(38) Az adatközvetítő szolgáltatások tekintetében létre kell hozni egy bejelentési eljárást annak biztosítása érdekében, hogy az Unióban az adatkormányzás megbízható adatcserén alapuljon. A megbízható környezetből adódó előnyöket azzal lehetne leginkább elérni, ha az adatközvetítő szolgáltatások nyújtását több követelmény teljesítéséhez kötnék, anélkül azonban, hogy az említett szolgáltatások nyújtásához az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak kifejezett határozatot vagy igazgatási aktust kellene elfogadnia. A bejelentési eljárás nem állíthat indokolatlan akadályokat a kkv-k, az induló innovatív vállalkozások és a civil társadalmi szervezetek elé, és meg kell felelnie a megkülönböztetésmentesség elvének.

(39) A határokon átnyúló, eredményes szolgáltatásnyújtás támogatása érdekében arra kell kötelezni az adatközvetítő szolgáltatót, hogy a bejelentést csak azon tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságánál tegye meg, ahol tevékenységi központja vagy jogi képviselője található. Az említett bejelentés nem tartalmazhat egyebet, mint az említett szolgáltatások nyújtására vonatkozó szándéknyilatkozatot, és a bejelentést csak az e rendeletben meghatározott információk rendelkezésre bocsátásával lehet kiegészíteni. A vonatkozó belejelentést követően az adatközvetítő szolgáltató számára lehetővé kell tenni, hogy további bejelentési kötelezettség nélkül, bármely tagállamban megkezdhesse működését.

(40) Az e rendeletben megállapított bejelentési eljárás nem érintheti az adatközvetítő szolgáltatások nyújtására vonatkozó, ágazatspecifikus jog útján alkalmazandó különös kiegészítő szabályokat.

(41) Az adatközvetítő szolgáltató Unión belüli tevékenységi központjának abban a tagállamban kell lennie, ahol az Unión belüli központi ügyvezetésének helye található. Az adatközvetítő szolgáltató Unión belüli tevékenységi központját objektív kritériumokkal összhangban kell meghatározni, és annak az irányítási tevékenységek tényleges és valós gyakorlását kell magában foglalnia. Az adatközvetítő szolgáltató tevékenységeinek meg kell felelniük azon tagállam nemzeti jogának, amelyben az adatközvetítő szolgáltató tevékenységi központja található.

(42) Annak biztosítása érdekében, hogy az adatközvetítő szolgáltatók megfeleljenek e rendeletnek, a tevékenységi központjuknak az Unióban kell lennie. Ha az Unióban nem letelepedett adatközvetítő szolgáltató az Unión belül kínál szolgáltatásokat, jogi képviselőt kell kijelölnie. A jogi képviselő kijelölése ilyen esetekben szükségszerű, mivel az említett adatközvetítő szolgáltatók személyes adatokat, valamint bizalmas üzleti adatokat kezelnek, ez pedig szükségessé teszi, hogy az adatközvetítő szolgáltatók e rendeletnek való megfelelését szorosan ellenőrizzék. Annak megállapítása érdekében, hogy az említett adatközvetítő szolgáltató kínál-e szolgáltatásokat az Unión belül, meg kell bizonyosodni annak nyilvánvalóságáról, hogy az adatközvetítő szolgáltatónak szándékában áll-e személyek számára szolgáltatásokat nyújtani egy vagy több tagállamban. Pusztán az adatközvetítő szolgáltató weboldalának, e-mail-címének, illetve egyéb kapcsolattartási adatainak Unión belülről történő elérhetősége, vagy az adatközvetítő szolgáltató letelepedési helye szerinti harmadik országban általánosan használt nyelv használata nem tekinthető elegendőnek az említett szándék megállapításához. Ha viszont például az adatközvetítő szolgáltató olyan nyelvet vagy pénznemet használ, amely egy vagy több tagállamban is általánosan használatos, és lehetőséget biztosít arra, hogy a szolgáltatásokat e másik nyelven rendeljék meg, vagy ha unióbeli felhasználókat említ, úgy az egyértelműen jelezheti, hogy az adatközvetítő szolgáltató az Unión belül szándékozik szolgáltatásokat nyújtani.

A kijelölt jogi képviselőnek az adatközvetítő szolgáltató nevében kell eljárnia, és az adatközvetítő szolgáltatásokért felelős illetékes hatóságok számára lehetővé kell tenni, hogy - többek között jogsértések esetén - az adatközvetítő szolgáltató mellett a jogi képviselővel is kapcsolatban lépjenek, vagy valamely adatközvetítő szolgáltató helyett a jogi képviselővel lépjenek kapcsolatba az előírásoknak meg nem felelő, az Unióban nem letelepedett adatközvetítő szolgáltatóval szemben történő végrehajtási eljárás kezdeményezése céljából. A jogi képviselőt az adatközvetítő szolgáltató írásbeli meghatalmazásával kifejezetten ki kell jelölni arra, hogy az adatközvetítő szolgáltató nevében eljárjon annak e rendelet szerinti kötelezettségei tekintetében.

(43) Annak elősegítése érdekében, hogy az érintettek és az adatbirtokosok számára könnyen beazonosíthatók legyenek az Unióban elismert adatközvetítő szolgáltatók, és ezáltal növekedjen a beléjük vetett bizalmuk, „az Unióban elismert adatközvetítő szolgáltató” cím mellett létre kell hozni egy közös, Unió-szerte felismerhető logót.

(44) Az adatközvetítő szolgáltatók e rendelet követelményeinek való megfelelése ellenőrzésére kijelölt, adatközvetítő szolgáltatásokért felelős illetékes hatóságokat a horizontális vagy ágazati adatmegosztással kapcsolatos kapacitásuk és szakértelmük alapján kell kiválasztani. E hatóságoknak - feladataik ellátása során - bármely adatközvetítő szolgáltatótól függetlennek, valamint átláthatónak és pártatlannak kell lenniük. A tagállamoknak értesíteniük kell a Bizottságot az adatközvetítő szolgáltatásokért felelős illetékes hatóságok kilétéről. Az adatközvetítő szolgáltatásokért felelős illetékes hatóságok hatáskörei és jogosultságai nem érinthetik az adatvédelmi hatóságok hatásköreit. Különösen olyan kérdések esetében, amelyek szükségessé teszik az (EU) 2016/679 rendeletnek való megfelelés értékelését, az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak - adott esetben - kérnie kell az említett rendelet alapján létrehozott illetékes felügyeleti hatóság véleményét vagy határozatát.

(45) Jelentős potenciál rejlik az olyan adatok közérdekű célokra való felhasználásában, amelyeket az érintettek előzetes tájékoztatáson alapuló hozzájárulásuk alapján önként rendelkezésre bocsátanak, illetve amelyeket - amennyiben nem személyes adatokról van szó - az adatbirtokosok rendelkezésre bocsátanak. Ilyen célok lehetnek az egészségügy, az éghajlatváltozás elleni küzdelem, a mobilitás javítása, a hivatalos statisztikák fejlesztése, előállítása és közzététele, a közszolgáltatások nyújtásának javítása vagy a közpolitikai döntéshozatal. Közérdekű célnak tekintendő a tudományos kutatás támogatása is. E rendeletnek arra kell irányulnia, hogy hozzájáruljon az adataltruizmus alapján az adatelemzés és a gépi tanulás - többek között az Unión belül határokon átnyúló jelleggel történő - lehetővé tétele érdekében hozzáférhetővé tett, kellően nagy méretű adatkészletek létrejöttéhez. E cél érdekében a tagállamok számára lehetővé kell tenni, hogy olyan szervezeti és/vagy technikai intézkedésekkel rendelkezzenek, amelyek megkönnyítik az adataltruizmust. Az említett intézkedések magukban foglalhatják olyan könnyen használható eszközök elérhetővé tételét az érintettek vagy az adatbirtokosok számára, amelyek megkönnyítik az adataik altruista felhasználásához való hozzájárulás vagy engedély megadását, tájékoztató kampányok szervezését vagy az illetékes hatóságok közötti strukturált információcserét arról, hogy a közpolitikák - például a forgalom javítása, a népegészségügy és éghajlatváltozás elleni küzdelem - hogyan részesülnek az adataltruizmus előnyeiben. E célból a tagállamok számára lehetővé kell tenni, hogy nemzeti politikákat határozzanak meg az adataltruizmusra vonatkozóan. Az érintettek számára lehetővé kell tenni, hogy - kizárólag az adataik közérdekű célokra való rendelkezésre bocsátása során felmerült költségeikhez kapcsolódóan - ellentételezésben részesüljenek.

(46) Az elismert adataltruista szervezetek nyilvántartásba vétele és „az Unióban elismert adataltruista szervezet” cím használata várhatóan adattárak létrehozásához vezet. A valamely tagállamban történő nyilvántartásba vétel az egész Unióban érvényes lenne, és várhatóan elősegíti a határokon átnyúló adatfelhasználást az Unión belül, valamint a több tagállamra kiterjedő adatkészletek létrejöttét. Az adatbirtokosok nem személyes adataik kezelését olyan célokra is engedélyezhetik, amelyek az engedély megadásának időpontjában még nem kerültek megállapításra. Az, hogy az említett elismert adataltruista szervezetek megfelelnek az e rendeletben megállapított követelményeknek, meg fogja alapozni a bizalmat az iránt, hogy az altruisztikus célokra rendelkezésre bocsátott adatok közérdekű célokat szolgálnak. Az említett bizalomnak különösen az Unión belüli tevékenységi helyből vagy jogi képviselőből és az arra vonatkozó követelményből, hogy az elismert adataltruista szervezetek nonprofit szervezetek legyenek, az átláthatósági követelményekből, továbbá az érintettek és a vállalkozások jogainak és érdekeinek védelme érdekében alkalmazott konkrét biztosítékokból kell erednie.

A további biztosítékok közé kell tartoznia annak, hogy a releváns adatok kezelésére az elismert adataltruista szervezet által működtetett biztonságos adatkezelési környezetben kerülhet sor, hogy felügyeleti mechanizmusok, például etikai tanácsok vagy testületek - köztük a civil társadalom képviselői - révén biztosítják, hogy az adatkezelő magas szintű tudományos etikai normákat és alapjogi védelmet tartson fenn, hogy hathatós és egyértelműen kommunikált technikai eszközök állnak rendelkezésre a hozzájárulás bármikor történő visszavonásához vagy módosításához az adatfeldolgozók (EU) 2016/679 rendelet szerinti tájékoztatási kötelezettségei alapján, valamint hogy olyan eszközök is rendelkezésre állnak, amelyek segítéségével az érintettek folyamatosan tájékozódhatnak az általuk rendelkezésre bocsátott adatok felhasználásáról. Az elismert adataltruista szervezetként történő nyilvántartásba vétel nem lehet előfeltétele az adataltruista tevékenységek végzésének. A Bizottságnak felhatalmazáson alapuló jogi aktusok útján - az adataltruista szervezetekkel és az érdekelt felekkel szoros együttműködésben - szabálykönyvet kell kidolgoznia. Az e szabálykönyvnek való megfelelés az elismert adataltruista szervezetként való nyilvántartásba vétel egyik követelménye kell, hogy legyen.

(47) Annak elősegítése érdekében, hogy az érintettek és az adatbirtokosok számára könnyen beazonosíthatók legyenek az elismert adataltruista szervezetek, és ezáltal növekedjen a beléjük vetett bizalmuk, létre kell hozni egy közös, Unió-szerte felismerhető logót. A közös logót olyan QR-kódnak kell kísérnie, amely linket tartalmaz az elismert adataltruista szervezetek nyilvános uniós nyilvántartásához.

(48) Ez a rendelet nem érintheti azoknak a szervezeteknek a létrehozását, felépítését és működését, amelyek az adataltruizmusban a nemzeti jog szerint kívánnak részt venni, és e rendeletnek a valamely tagállamban nonprofit szervezetként történő jogszerű működés nemzeti jogi követelményeire támaszkodnak.

(49) Ez a rendelet nem érintheti a közszférabeli szervezetektől eltérő, olyan szervezetek létrehozását, felépítését és működését, amelyek nyílt felhasználási engedélyek alapján vesznek részt az adat- és tartalommegosztásban, és ezáltal hozzájárulnak a mindenki számára elérhető közös erőforrások létrehozásához. Ennek magában kell foglalnia az együttműködésen alapuló nyílt tudásmegosztó platformokat, a nyílt hozzáférésű tudományos és akadémiai adattárakat, a nyílt forráskódú szoftverfejlesztő platformokat és a nyílt hozzáférésű tartalom-összesítő platformokat.

(50) Az elismert adataltruista szervezetek számára lehetővé kell tenni, hogy a releváns adatokat közvetlenül természetes és jogi személyektől gyűjtsék össze vagy a mások által gyűjtött adatokat kezeljék. Az összegyűjtött adatok kezelését végezhetik adataltruista szervezetek a saját maguk által megállapított célokra, vagy ezek a szervezetek - adott esetben - a harmadik felek általi adatkezelést is engedélyezhetik az említett célok tekintetében. Amennyiben az elismert adataltruista szervezetek az (EU) 2016/679 rendeletben meghatározott adatkezelők vagy adatfeldolgozók, meg kell felelniük az említett rendeletnek. Az adataltruizmus alapja általában az érintettek (EU) 2016/679 rendelet 6. cikke (1) bekezdésének a) pontja és 9. cikke (2) bekezdésének a) pontja értelmében vett hozzájárulása, amelynek meg kell felelnie a törvényes hozzájárulásra vonatkozó, az említett rendelet 7. és 8. cikke szerinti követelményeknek. Összhangban az (EU) 2016/679 rendelettel, a tudományos kutatási célok, bizonyos kutatási területek, illetve kutatási projektek részei az adatok e célokra történő kezeléséhez való hozzájárulással támogathatók, amennyiben a tudományos kutatás elismert etikai normáit betartják. Az (EU) 2016/679 rendelet 5. cikke (1) bekezdésének b) pontja előírja, hogy a tudományos vagy történeti kutatási vagy statisztikai célú további adatkezelés az (EU) 2016/679 rendelet 89. cikkének (1) bekezdésével összhangban nem tekintendő az eredeti célokkal össze nem egyeztethetőnek. Nem személyes adatok esetében a felhasználásra vonatkozó korlátozásokat az adatbirtokos által adott engedélynek kell meghatároznia.

(51) Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok e rendelet követelményeinek való megfelelése ellenőrzésére kijelölt illetékes hatóságokat a kapacitásuk és szakértelmük alapján kell kiválasztani. E hatóságoknak - feladataik ellátása során - valamennyi adataltruista szervezettől függetlennek, valamint átláthatónak és pártatlannak kell lenniük. A tagállamoknak értesíteniük kell a Bizottságot az említett, adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok kilétéről. Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok hatáskörei és jogosultságai nem érinthetik az adatvédelmi hatóságok hatásköreit. Különösen olyan kérdések esetében, amelyek szükségessé teszik az (EU) 2016/679 rendeletnek való megfelelés értékelését, az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak - adott esetben - kérnie kell az említett rendelet alapján létrehozott illetékes felügyeleti hatóság véleményét vagy határozatát.

(52) A bizalom elősegítése, valamint a hozzájárulás megadására és visszavonására vonatkozó eljárás tekintetében a jogbiztonság és felhasználóbarátság fokozása érdekében - különösen a tudományos kutatás és a statisztikai felhasználás céljából altruista alapon rendelkezésre bocsátott adatokkal összefüggésében - ki kell dolgozni és az altruisztikus adatmegosztás keretében használni kell az adataltruizmushoz való hozzájárulás európai űrlapját. Az említett űrlapnak hozzá kell járulnia ahhoz, hogy az érintettek számára átláthatóbb legyen, hogy adataikhoz a hozzájárulásukkal összhangban és az adatvédelmi szabályok maradéktalan betartása mellett férnek hozzá, illetve így használják fel azokat. Emellett az űrlapnak meg kell könnyítenie a hozzájárulás megadását, illetve visszavonását, és azt használni kell a vállalkozások által végzett adataltruizmus egyszerűsítésére, valamint egy olyan mechanizmus biztosítására is, amely lehetővé teszi az említett vállalkozások számára, hogy az adatok felhasználására adott engedélyüket visszavonják. Az egyes ágazatok sajátosságainak figyelembevétele érdekében, ideértve az adatvédelmi szempontokat is, az adataltruizmushoz való hozzájárulás európai űrlapjának olyan moduláris megközelítésen kell alapulnia, amely lehetővé teszi a testreszabást meghatározott ágazatokban és különböző célokra.

(53) Az adatkormányzásra vonatkozó keretrendszer sikeres megvalósítása érdekében - szakértői csoport formájában - létre kell hozni az Európai Adatinnovációs Testületet. A Európai Adatinnovációs Testületnek az összes tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságainak és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságainak, az Európai Adatvédelmi Testületnek a képviselőiből, az európai adatvédelmi biztos, az ENISA és a Bizottság képviselőiből, az uniós kkv-követ vagy a kkv-követek hálózata által kinevezett képviselőből, valamint meghatározott ágazatokban működő érintett szervek képviselőiből és a különleges szakértelemmel rendelkező szervek képviselőiből kell állnia. Az Európai Adatinnovációs Testületnek több alcsoportból kell állnia, ideértve az érdekelt felek bevonását biztosító alcsoportot, amelyben az ipar, így például az egészségügy, a környezetvédelem, a mezőgazdaság, a közlekedés, az energiaügy, a feldolgozóipar, a média, a kulturális és kreatív ágazatok és a statisztika, valamint a kutatás, az akadémiai körök, a civil társadalom, a szabványügyi szervezetek és a releváns közös európai adatterek releváns képviselői, valamint az egyéb érdekelt felek és a harmadik felek - többek között a különleges szakértelemmel rendelkező szervek, például a nemzeti statisztikai hivatalok -képviselői vesznek részt.

(54) Az Európai Adatinnovációs Testületnek egyfelől segítenie kell a Bizottságot az e rendelet hatálya alá tartozó témákkal kapcsolatos nemzeti gyakorlatok és szakpolitikák összehangolásában, valamint a több ágazatra kiterjedő adatfelhasználás előmozdításában azzal, hogy betartja az európai interoperabilitási keret elveit, valamint használja az európai és nemzetközi szabványokat és előírásokat, többek között az IKT-szabványosítással foglalkozó, több érdekelt felet tömörítő európai platform, az alapszókészletek és a CEF építőelemei keretében, másfelől pedig figyelembe kell vennie az egyes ágazatokban vagy területeken folyó szabványosítási munkát. A műszaki szabványosítással kapcsolatos munka magában foglalhatja a szabványok kidolgozására vonatkozó prioritások meghatározását, valamint az adatok két adatkezelési környezet közötti továbbítására szolgáló olyan technikai és jogi szabványok létrehozását és fenntartását, amelyek lehetővé teszik az adatterek megszervezését, különösen annak tisztázása és megkülönböztetése során, hogy mely szabványok és gyakorlatok ágazatközi és melyek ágazati jellegűek. Az Európai Adatinnovációs Testületnek együtt kell működnie az ágazati szervezetekkel, hálózatokkal vagy szakértői csoportokkal, illetve az adatok további felhasználásával foglalkozó más ágazatközi szervezetekkel. Az adataltruizmust illetően az Európai Adatinnovációs Testületnek - az Európai Adatvédelmi Testülettel konzultálva - támogatnia kell a Bizottságot az adataltruizmushoz való hozzájárulás európai űrlapjának kidolgozásában. Az Európai Adatinnovációs Testületnek azáltal, hogy a közös európai adatterekkel kapcsolatos iránymutatásokat terjeszt elő, támogatnia kell az említett adattereken alapuló, működő európai adatgazdaság kialakítását, az európai adatstratégiában meghatározottak szerint.

(55) A tagállamoknak szabályokat kell megállapítaniuk az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozóan és minden intézkedést meg kell hozniuk e szankciók végrehajtásának biztosítására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. A szankciókra vonatkozó szabályok közötti jelentős eltérések a verseny torzulásához vezethetnek a digitális egységes piacon. E tekintetben tehát hasznos lehet az ilyen szabályok harmonizációja.

(56) E rendelet hatékony végrehajtásának biztosítása, valamint annak biztosítása érdekében, hogy az adatközvetítő szolgáltatók, valamint az elismert adataltruista szervezetként való nyilvántartásba vételt kérelmezni kívánó szervezetek teljes mértékben online és határokon átnyúló módon érhessék el és folytathassák le a bejelentési és nyilvántartásba vételi eljárást, ezeket az eljárásokat az (EU) 2018/1724 európai parlamenti és tanácsi rendelet *  alapján létrehozott egységes digitális kapun keresztül kell elérhetővé tenni. Ezeket az eljárásokat fel kell venni az (EU) 2018/1724 rendelet II. mellékletében szereplő eljárások jegyzékébe.

(57) Az (EU) 2018/1724 rendeletet ezért ennek megfelelően módosítani kell.

(58) E rendelet hatékonyságának biztosítása érdekében a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon el, amelyek ezt a rendeletet kiegészítik, egyrészt azáltal, hogy a nem személyes adatok bizonyos olyan kategóriáinak harmadik országokba történő továbbítására alkalmazandó különleges feltételeket határoznak meg, amelyeket jogalkotási eljárás keretében elfogadott, adott uniós jogalkotási aktusok különösen érzékenynek minősítettek, másrészt pedig azáltal, hogy az elismert adataltruista szervezetek számára olyan szabálykönyvet hoznak létre, amelynek e szervezeteknek meg kell felelniük, és amely tájékoztatási, műszaki és biztonsági követelményeket, valamint kommunikációs ütemterveket és interoperabilitási szabványokat ír elő. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban *  megállapított elvekkel összhangban kerüljön sor. Így különösen a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kap kézhez minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

(59) E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni a következők tekintetében: a nem személyes adatok valamely harmadik országnak további felhasználók általi továbbítására vonatkozóan szerződésekben rögzítendő mintaklauzulák kidolgozása révén a közszférabeli szervezetek és a továbbfelhasználók abban való támogatása, hogy megfeleljenek a további felhasználásra vonatkozó, e rendeletben meghatározott feltételeknek; annak megállapítása, hogy egy harmadik ország jogi, felügyeleti és végrehajtási kerete az uniós jog által biztosított védelemmel egyenértékű; az adatközvetítő szolgáltatók közös logójának és az elismert adataltruista szervezetek közös logójának kidolgozása, valamint az adataltruizmushoz való hozzájárulás európai űrlapjának kidolgozása és továbbfejlesztése. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek *  megfelelően kell gyakorolni.

(60) Ez a rendelet nem érintheti a versenyjogi szabályoknak és különösen az EUMSZ 101. és 102. cikkének az alkalmazását. Az ebben a rendeletben foglalt intézkedések nem alkalmazhatók a versenynek az EUMSZ-szel ellentétes korlátozására. Ez különösen érvényes a verseny szempontjából érzékeny információk tényleges vagy potenciális versenytársak közötti, adatközvetítő szolgáltatások útján történő cseréjére vonatkozó szabályokra.

(61) Az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel az (EU) 2018/1725 rendelet 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos és a testület 2021. március 10-én véleményt nyilvánított.

(62) E rendelet vezérelve az alapvető jogok és a különösen az Európai Unió Alapjogi Chartájában elismert alapelvek tiszteletben tartása, ideértve a magánélet tiszteletben tartásához való jogot, a személyes adatok védelmét, a vállalkozás szabadságát, a tulajdonhoz való jogot és a fogyatékkal élő személyek beilleszkedését is. Ez utóbbival összefüggésben az e rendelet szerinti közszférabeli szervezeteknek és szolgáltatásoknak adott esetben meg kell felelniük az (EU) 2016/2102 *  és az (EU) 2019/882 *  európai parlamenti és tanácsi irányelvnek. Az információs és kommunikációs technológia összefüggésében figyelembe kell venni továbbá az egyetemes tervezés megközelítést, amely az elvek, módszerek és eszközök proaktív alkalmazására irányuló tudatos és szisztematikus erőfeszítés a számítógépes technológiák, köztük az internetalapú technológiák egyetemes tervezésének előmozdítására, hogy ezáltal elkerülhetők legyenek az utólag szükségessé váló átalakítások, illetve a speciális tervezés.

(63) Mivel e rendelet céljait, nevezetesen a közszférabeli szervezetek birtokában lévő adatok bizonyos típusainak az Unión belüli további felhasználását, továbbá az adatközvetítő szolgáltatások nyújtására vonatkozó bejelentési és felügyeleti keretnek, az adatokat altruisztikus célokra rendelkezésre bocsátó szervezetek önkéntes nyilvántartásba vételi keretének és az Európai Adatinnovációs Testület létrehozása keretének a létrehozását a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban a rendelet terjedelme és hatásai miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket,

ELFOGADTA EZT A RENDELETET:

I. FEJEZET

Általános rendelkezések

1. cikk

Tárgy és hatály

(1) E rendelet meghatározza a következőket:

a) a közszférabeli szervezetek birtokában lévő adatok bizonyos kategóriáinak az Unión belüli további felhasználására vonatkozó feltételek;

b) az adatközvetítő szolgáltatások nyújtására vonatkozó bejelentési és felügyeleti keret;

c) azon szervezetek önkéntes nyilvántartásba vételére vonatkozó keret, amelyek altruisztikus célokra rendelkezésre bocsátott adatokat gyűjtenek és kezelnek; és

d) az Európai Adatinnovációs Testület létrehozására szolgáló keret.

(2) Ez a rendelet nem kötelezi a közszférabeli szervezeteket az adatok további felhasználásának engedélyezésére, és nem mentesíti a közszférabeli szervezeteket az uniós vagy nemzeti jog alapján fennálló titoktartási kötelezettségeik alól.

Ez a rendelet nem érinti:

a) az uniós vagy nemzeti jogban meglévő, bizonyos adatkategóriákhoz való hozzáférésre vagy azok további felhasználására vonatkozó egyedi rendelkezéseket, különös tekintettel a hivatalos dokumentumokhoz való hozzáférés engedélyezésére és azok közzétételére; és

b) a közszférabeli szervezetekre az uniós vagy a nemzeti jog alapján háruló azon kötelezettségeket, hogy engedélyezzék az adatok további felhasználását, illetve a nem személyes adatok kezelésével kapcsolatos követelményeket.

Amennyiben az ágazatspecifikus uniós vagy nemzeti jog előírja a közszférabeli szervezetek, adatközvetítő szolgáltatók vagy az elismert adataltruista szervezetek számára további konkrét műszaki, adminisztratív vagy szervezeti követelményeknek a teljesítését - többek között engedélyezési vagy tanúsítási rendszer révén -, az említett ágazatspecifikus uniós vagy nemzeti jog érintett rendelkezéseit is alkalmazni kell. Minden ilyen további specifikus követelménynek megkülönböztetéstől mentesnek, arányosnak és objektív módon indokoltnak kell lennie.

(3) Az e rendelettel összefüggésben kezelt minden személyes adatra alkalmazni kell a személyes adatok védelmére vonatkozó uniós és nemzeti jogot. Ez a rendelet különösen nem érinti az (EU) 2016/679 és az (EU) 2018/1725 rendeletet, valamint a 2002/58/EK és az (EU) 2016/680 irányelvet, többek között a felügyeleti hatóságok jogkörei és hatáskörei tekintetében sem. Amennyiben e rendelet ellentétes a személyes adatok védelmére vonatkozó uniós joggal, vagy az ilyen uniós joggal összhangban elfogadott nemzeti joggal, a személyes adatok védelmére vonatkozó releváns uniós vagy nemzeti jog az irányadó. Ez a rendelet nem teremt jogalapot a személyes adatok kezeléséhez, és nem érinti az (EU) 2016/679 vagy az (EU) 2018/1725 rendeletben vagy a 2002/58/EK vagy az (EU) 2016/680 irányelvben meghatározott jogok és kötelezettségek egyikét sem.

(4) Ez a rendelet nem érinti a versenyjog alkalmazását.

(5) Ez a rendelet nem érinti a tagállamok közbiztonsággal, védelemmel és nemzetbiztonsággal összefüggő tevékenységeivel kapcsolatos hatásköreit.

2. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

1. „adat”: aktusok, tények vagy információk bármilyen digitális megjelenítése, vagy az említett aktusok, tények és információk összeállításai, többek között hang-, kép- vagy audiovizuális felvétel formájában is;

2. „további felhasználás”: a közszférabeli szervezetek birtokában lévő adatok természetes vagy jogi személyek általi felhasználása olyan kereskedelmi vagy nem kereskedelmi célokra, amelyek kívül esnek azon a közfeladat ellátása keretén belüli eredeti célon, amelyre az adatokat előállították, a közszférabeli szervezetek közötti, kizárólag közfeladataik ellátása keretében történő adatcsere kivételével;

3. „személyes adat”: az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott személyes adat;

4. „nem személyes adat”: a személyes adatoktól eltérő adat;

5. „hozzájárulás”: az (EU) 2016/679 rendelet 4. cikkének 11. pontjában meghatározott hozzájárulás;

6. „engedély”: az adatfelhasználók feljogosítása arra, hogy nem személyes adatokat kezeljenek;

7. „érintett”: az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott érintett;

8. „adatbirtokos”: olyan jogi személy - ideértve a közszférabeli szervezeteket és a nemzetközi szervezeteket - vagy a szóban forgó konkrét adatok tekintetében nem érintett olyan természetes személy, amely vagy aki az alkalmazandó uniós vagy nemzeti joggal összhangban jogosult hozzáférést adni bizonyos személyes adatokhoz vagy nem személyes adatokhoz, vagy jogosult azokat megosztani;

9. „adatfelhasználó”: az a természetes vagy jogi személy, aki vagy amely jogszerű hozzáféréssel rendelkezik bizonyos személyes vagy nem személyes adatokhoz, és többek között az (EU) 2016/679 rendelet értelmében a személyes adatok vonatkozásában jogosult ezeket az adatokat kereskedelmi vagy nem kereskedelmi célokra felhasználni;

10. „adatmegosztás”: valamely érintett vagy adatbirtokos általi adatszolgáltatás egy adatfelhasználó számára az érintett adatok közös vagy egyéni felhasználása céljából, önkéntes megállapodások vagy az uniós vagy nemzeti jog alapján, közvetlenül vagy közvetítőn keresztül, például - kedvezményes díjért vagy díjmentesen - nyílt felhasználási vagy kereskedelmi engedélyek alapján;

11. „adatközvetítő szolgáltatás”: olyan szolgáltatás, amelynek célja kereskedelmi kapcsolatok létrehozása - technikai, jogi vagy egyéb eszközök révén - egyrészről meghatározatlan számú érintett és adatbirtokos, másrészről az adatfelhasználók közötti adatmegosztás - többek között az érintettek személyes adatokkal kapcsolatos jogainak gyakorlása - céljából; nem tartoznak e fogalommeghatározás körébe legalább a következők:

a) az olyan szolgáltatások, amelyek abból a célból szereznek be adatokat az adatbirtokosoktól és összesítik, gazdagítják vagy alakítják át az adatokat, hogy jelentősen növeljék azok értékét, és az így létrejött adatok felhasználását engedélyezzék az adatfelhasználóknak, anélkül, hogy az adatbirtokosok és az adatfelhasználók között kereskedelmi kapcsolatot hoznának létre;

b) az olyan szolgáltatások, amelyek fő célja a szerzői jog által védett tartalom közvetítése;

c) az olyan szolgáltatások, amelyeket kizárólag egyetlen adatbirtokos vesz igénybe az említett adatbirtokos birtokában lévő adatok felhasználásának lehetővé tétele érdekében, vagy amelyeket egy zárt csoporthoz tartozó több jogi személy vesz igénybe, ideértve a szolgáltatói vagy ügyfélkapcsolatokat, illetve a szerződéssel létrehozott együttműködéseket, különösen azokat, amelyek fő célja a dolgok internetéhez csatlakoztatott tárgyak és eszközök funkcióinak biztosítása;

d) a közszférabeli szervezetek által kínált olyan adatmegosztási szolgáltatások, amelyeknek nem célja kereskedelmi kapcsolatok létrehozása;

12. „adatkezelés”: a személyes adatok tekintetében az (EU) 2016/679 rendelet 4. cikke 2. pontjában meghatározott adatkezelés, a nem személyes adatok tekintetében az (EU) 2018/1807 rendelet 3. cikkének 2. pontjában meghatározott adatkezelés;

13. „hozzáférés”: az adatok felhasználása meghatározott műszaki, jogi vagy szervezeti követelményeknek megfelelően, anélkül, hogy ez szükségszerűen magában foglalná az adatok továbbítását vagy letöltését;

14. jogi személy „tevékenységi központja”: az Unión belüli központi ügyvitelének helye;

15. „adatszövetkezetek szolgáltatásai”: olyan adatközvetítő szolgáltatások, amelyeket érintettekből, egyszemélyes vállalkozásokból vagy kkv-kból álló olyan szervezeti struktúra kínál, amelynek az említettek a tagjai, és amelynek fő céljai, hogy támogassa a tagjait bizonyos adatokra vonatkozó jogaik gyakorlásában, például arra vonatkozóan, hogy megalapozott döntéseket hozzanak az adatkezeléshez való hozzájárulásuk előtt, hogy eszmecserét folytassanak arról, hogy a tagjainak az adataikhoz fűződő érdekeit az adatkezelés milyen céljai és feltételei szolgálják a legjobban, és hogy a tagjai nevében megtárgyalja az adatkezelésre vonatkozó feltételeket, mielőtt a tagok engedélyt adnának a nem személyes adatok kezeléséhez vagy hozzájárulásukat adnák személyes adataik kezeléséhez;

16. „adataltruizmus”: olyan önkéntes adatmegosztás, amely az érintetteknek a rájuk vonatkozó személyes adatok kezeléséhez való hozzájárulásán, vagy az adatbirtokosoknak a nem személyes adataik felhasználására vonatkozó engedélyén alapul anélkül, hogy ezért olyan díjat számítanának fel vagy kapnának, amely meghaladja az adataiknak adott esetben a nemzeti jogban előírt közérdekű célokra - mint például az egészségügy, az éghajlatváltozás elleni küzdelem, a mobilitás javítása, a hivatalos statisztikák fejlesztésének, előállításának és közzétételének megkönnyítése, a közszolgáltatások nyújtásának javítása, a közpolitikai döntéshozatal vagy a közérdeket szolgáló tudományos kutatás céljára - való rendelkezésre bocsátása esetén felmerült költségeik ellentételezését;

17. „közszférabeli szervezet”: az állam, a regionális vagy helyi önkormányzatok, a közjogi intézmények, vagy az olyan társulások, amelyeket egy vagy több ilyen hatóság, illetve közjogi intézmény hozott létre;

18. „közjogi intézmények”: olyan szervek, amelyre a következők jellemzők:

a) kifejezetten közérdekű célra jöttek létre, és nem ipari vagy kereskedelmi jellegűek;

b) jogi személyiséggel rendelkeznek;

c) többségi részben az állam, regionális vagy helyi önkormányzatok, vagy egyéb közjogi intézmények finanszírozzák, irányításuk e hatóságok vagy intézmények felügyelete alatt áll, vagy olyan ügyvezető, döntéshozó vagy felügyelő testületük van, amely tagjainak több mint felét az állam, regionális vagy helyi önkormányzatok, vagy egyéb közjogi intézmények nevezik ki;

19. „közvállalkozás”: olyan vállalkozás, amely felett a közszférabeli szervezetek közvetlenül vagy közvetett módon meghatározó befolyást gyakorolhatnak tulajdonjoguknál, pénzügyi részvételüknél vagy a vállalkozást szabályozó rendelkezéseknél fogva; e fogalommeghatározás alkalmazásában a közszférabeli szervezetek meghatározó befolyását vélelmezni kell minden olyan esetben, amikor az említett szervezetek közvetlenül vagy közvetve:

a) birtokolják a vállalkozás jegyzett tőkéjének többségét;

b) birtokolják a vállalkozás által kibocsátott részvényekhez kötődő szavazati jogok többségét; vagy

c) a vállalkozás ügyvezető, döntéshozó vagy felügyelő testülete tagjainak több mint a felét nevezhetik ki;

20. „biztonságos adatkezelési környezet”: olyan fizikai vagy virtuális környezet és szervezeti eljárásmód, amely az uniós jognak, mint például - különösen az érintettek jogai, a szellemitulajdon-jogok, a kereskedelmi adatokra vonatkozó titoktartás és a statisztikai adatvédelem, valamint az adatok sértetlensége és hozzáférhetősége tekintetében - az (EU) 2016/679 rendeletnek és az alkalmazandó nemzeti jognak való megfelelés biztosítását és annak lehetővé tételét célozza, hogy a biztonságos adatkezelési környezetet biztosító szervezet meghatározza és felügyelje az összes adatkezelési műveletet, beleértve az adatok megjelenítését, tárolását, letöltését és exportálását, továbbá a számítási algoritmusok segítségével származtatott adatok kiszámítását;

21. „jogi képviselő”: az Unióban letelepedett bármely olyan természetes vagy jogi személy, akit vagy amelyet kifejezetten kijelöltek valamely, az Unióban nem letelepedett adatközvetítő szolgáltató vagy az Unióban nem letelepedett olyan szervezet nevében történő eljárásra, amely közérdekű célokból természetes vagy jogi személyek által adataltruizmus alapján rendelkezésre bocsátott adatokat gyűjt, és akihez vagy amelyhez az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok fordulhatnak az adatközvetítő szolgáltató vagy a szervezet mellett vagy helyett az e rendelet szerinti kötelezettségek tekintetében, többek között az említett kötelezettségeket be nem tartó, az Unióban nem letelepedett adatközvetítő szolgáltatóval vagy a szervezettel szembeni végrehajtási eljárás kezdeményezése tekintetében is.

II. FEJEZET

A közszférabeli szervezetek birtokában lévő védett adatok bizonyos kategóriáinak további felhasználása

3. cikk

Adatkategóriák

(1) Ez a fejezet a közszférabeli szervezetek birtokában lévő olyan adatokra vonatkozik, amelyek a következő alapon védettek:

a) kereskedelmi adatokra vonatkozó titoktartás, ideértve az üzleti, a szakmai vagy a vállalati titkokat is;

b) statisztikai adatvédelem;

c) harmadik felek szellemitulajdon-jogainak védelme; vagy

d) személyes adatok védelme, amennyiben azok az (EU) 2019/1024 irányelv hatályán kívül esnek.

(2) Ez a fejezet nem alkalmazandó az alábbiakra:

a) a közvállalkozások birtokában lévő adatok;

b) közszolgálati műsorszolgáltatók és leányvállalataik, valamint más szervek és leányvállalataik birtokában lévő olyan adatok, amelyek a közszolgálati műsorszolgáltatási feladat teljesítéséhez szükségesek;

c) kulturális intézmények és oktatási intézmények birtokában lévő adatok;

d) közszférabeli szervezetek birtokában lévő, közbiztonsági, védelmi vagy nemzetbiztonsági okokból védett adatok; vagy

e) olyan adatok, amelyek rendelkezésre bocsátása kívül esik az érintett közszférabeli szervezeteknek a törvény vagy a tagállam más kötelező erejű rendelkezései által - vagy ilyen rendelkezések hiányában az érintett tagállam szokásos igazgatási gyakorlatával összhangban - meghatározott közfeladatainak hatályán, feltéve, hogy a közfeladatok köre átlátható és felülvizsgálat tárgyát képezi.

(3) Ez a fejezet nem érinti:

a) az uniós és nemzeti jogot és az (1) bekezdésben említett adatkategóriák védelméről szóló azon nemzetközi megállapodásokat, amelyeknek az Unió vagy a tagállamok részes felei; és

b) a dokumentumokhoz való hozzáférésre vonatkozó uniós és nemzeti jogot.

4. cikk

Kizárólagos megállapodások tilalma

(1) Tilos a közszférabeli szervezetek birtokában lévő, a 3. cikk (1) bekezdésében említett adatkategóriákat tartalmazó adatok további felhasználására vonatkozó olyan megállapodások megkötése vagy egyéb gyakorlatok folytatása, amelyek kizárólagos jogokat biztosítanak, vagy amelyeknek célja vagy következménye ilyen kizárólagos jogok megadása vagy az adatok további felhasználásra való rendelkezésre állásának korlátozása az említett megállapodásokban nem részes vagy az egyéb gyakorlatokban részt nem vevő szervezetek számára.

(2) Az (1) bekezdéstől eltérve, az abban a bekezdésben említett adatok további felhasználására vonatkozó kizárólagos jog a szükséges mértékben megadható közérdekű szolgáltatás nyújtásához, illetve termék szolgáltatásához, amennyiben az másképp nem lenne lehetséges.

(3) A (2) bekezdésben említett kizárólagos jogot az alkalmazandó uniós vagy nemzeti joggal összhangban álló igazgatási aktus vagy szerződéses megállapodás útján, az átláthatóság, az egyenlő bánásmód és a megkülönböztetés tilalma elvének megfelelően kell megadni.

(4) Az adatok további felhasználására vonatkozó kizárólagos jog időtartama nem haladhatja meg a 12 hónapot. Szerződéskötés esetén a szerződés időtartamának a kizárólagos jog időtartamával azonosnak kell lennie.

(5) A kizárólagos jog (2), (3) és (4) bekezdés szerinti megadásának - beleértve annak indokolását, hogy miért szükséges az említett jog megadása - átláthatónak és online nyilvánosan elérhetőnek kell lennie, a közbeszerzésre vonatkozó releváns uniós jognak megfelelő formában.

(6) Az (1) bekezdésben említett tilalom hatálya alá tartozó olyan megállapodásokat vagy egyéb gyakorlatokat, amelyek nem felelnek meg a (2) és (3) bekezdésben megállapított feltételeknek, és amelyeket 2022. június 23. előtt kötöttek, az alkalmazandó szerződés lejártával, de minden esetben 2024. december 24-ig meg kell szüntetni.

5. cikk

A további felhasználás feltételei

(1) Azoknak a közszférabeli szervezeteknek, amelyek a nemzeti jog szerint hatáskörrel rendelkeznek a 3. cikk (1) bekezdésében említett egy vagy több adatkategória további felhasználása céljából történő hozzáférés megadására vagy megtagadására, nyilvánosan hozzáférhetővé kell tenniük a további felhasználás engedélyezésének és a további felhasználás 8. cikkben említett egyablakos információs ponton keresztül történő kérelmezésére vonatkozó eljárásnak a feltételeit. A közszférabeli szervezeteket a további felhasználás céljából történő hozzáférés megadása vagy megtagadása érdekében való eljárásuk során a 7. cikk (1) bekezdésében említett illetékes szervek segíthetik.

A tagállamok biztosítják, hogy a közszférabeli szervezetek rendelkeznek az e cikknek való megfeleléshez szükséges erőforrásokkal.

(2) A további felhasználás feltételeinek megkülönböztetéstől menteseknek, átláthatóknak, arányosaknak és objektíven indokoltnak kell lenniük az adatkategóriák és a további felhasználás célja, valamint azon adatok jellege tekintetében, amelyek további felhasználása megengedett. Az említett feltételek nem használhatók fel a verseny korlátozására.

(3) A közszférabeli szervezeteknek az uniós és a nemzeti joggal összhangban biztosítaniuk kell az adatok védett jellegének megóvását. A közszférabeli szervezetek a következő követelményeket írhatják elő:

a) az adatok további felhasználásához való hozzáférés megadása kizárólag abban az esetben, ha a közszférabeli szervezet vagy az illetékes szerv - a további felhasználás iránti kérelmet követően - gondoskodott arról, hogy az adatokat:

i. anonimizálják személyes adatok esetében; és

ii. módosítsák, összesítsék vagy az adatfelfedés elleni védelmet szolgáló bármely más módszerrel kezeljék bizalmas üzleti információk - többek között üzleti titkok vagy szellemitulajdon-jogok által védett tartalmak - esetében;

b) az adatokhoz való hozzáférés és azok további felhasználása távoli eléréssel a közszférabeli szervezet által biztosított vagy ellenőrzött biztonságos adatkezelési környezetben;

c) az adatokhoz való hozzáférés és azok további felhasználása azon a fizikai létesítményen belül, amelyben magas szintű biztonsági előírásoknak megfelelően a biztonságos adatkezelési környezet található, feltéve hogy a távoli hozzáférés nem engedélyezhető harmadik felek jogainak és érdekeinek veszélyeztetése nélkül.

(4) A további felhasználásnak a (3) bekezdés b) és c) pontja szerinti engedélyezése esetén a közszférabeli szervezeteknek olyan feltételeket kell szabniuk, amelyek megőrzik az alkalmazott biztonságos adatkezelési környezet műszaki rendszerei működésének integritását. A közszférabeli szervezetnek fenn kell tartania a jogot arra, hogy ellenőrizze a továbbfelhasználó által végzett adatkezelés folyamatát, módszereit és eredményeit az adatvédelem sértetlenségének megóvása érdekében, továbbá fenn kell tartania a jogot arra, hogy megtiltsa az olyan eredmények felhasználását, amelyek harmadik felek jogait és érdekeit sértő információkat tartalmaznak. Az eredmények felhasználásának tilalmára vonatkozó döntésnek érthetőnek és átláthatónak kell lennie a továbbfelhasználó számára.

(5) Amennyiben a nemzeti jog nem ír elő konkrét biztosítékokat a 3. cikk (1) bekezdésében említett adatok további felhasználásával kapcsolatban alkalmazandó titoktartási kötelezettségekre vonatkozóan, a közszférabeli szervezetnek ahhoz a feltételhez kell kötnie az e cikk (3) bekezdésével összhangban nyújtott adatok további felhasználását, hogy a továbbfelhasználó betartja az azt előíró titoktartási kötelezettséget, hogy tilos a harmadik felek jogait és érdekeit sértő minden olyan információ közzététele, amelyhez a továbbfelhasználó az alkalmazott biztosítékok ellenére hozzájuthatott. A továbbfelhasználók számára tilos azon érintettek újbóli azonosítása, akikre az adatok vonatkoznak, és a továbbfelhasz-nálóknak technikai és működési intézkedéseket kell hozniuk az anonim jelleg megszüntetésének megelőzése, valamint a közszférabeli szervezet minden olyan adatvédelmi incidensről való értesítése érdekében, amely a szóban forgó érintettek újbóli azonosításához vezet. Nem személyes adatok jogosulatlan további felhasználásának esetében a továbbfelhasználónak késedelem nélkül - adott esetben a közszférabeli szervezet segítségével - tájékoztatnia kell azokat a jogi személyeket, amelyek jogait és érdekeit ez érintheti.

(6) Ha az adatok további felhasználása nem engedélyezhető az e cikk (3) és (4) bekezdésében megállapított kötelezettségeknek megfelelően, és az (EU) 2016/679 rendelet alapján nincs jogalap az adatok továbbítására, a közszférabeli szervezetnek minden tőle telhetőt meg kell tennie - az uniós és a nemzeti joggal összhangban - annak érdekében, hogy segítséget nyújtson a potenciális továbbfelhasználók részére abban, hogy azon érintettektől hozzájárulást, illetve azon adatbirtokosoktól engedélyt kérhessenek, akiknek a jogait és érdekeit az ilyen további felhasználás érintheti, amennyiben ez a közszférabeli szervezetre háruló aránytalan teher nélkül megvalósítható. A közszférabeli szervezetet az említett segítségnyújtás során a 7. cikk (1) bekezdésében említett illetékes szervek segíthetik.

(7) Az adatok további felhasználása csak a szellemitulajdon-jogokkal összhangban engedhető meg. A közszférabeli szervezetek nem gyakorolhatják az adatbázis előállítójának a 96/9/EK irányelv 7. cikke (1) bekezdésében előírt jogát a dokumentumok további felhasználásának megakadályozása vagy az e rendelet által megszabott korlátokon túlmenő korlátozása céljából.

(8) Amennyiben a kért adatok bizalmasnak minősülnek a kereskedelmi adatokra vonatkozó titoktartást vagy a statisztikai adatvédelmet szabályozó uniós vagy nemzeti joggal összhangban, a közszférabeli szervezeteknek biztosítaniuk kell, hogy a bizalmas adatok ne kerüljenek nyilvánosságra a további felhasználás engedélyezésének eredményeként, kivéve ha az ilyen további felhasználás a (6) bekezdésnek megfelelően *  engedélyezett.

(9) Amennyiben egy továbbfelhasználó a 3. cikk (1) bekezdésében meghatározott alapon védett nem személyes adatokat egy harmadik országnak szándékozik továbbítani, az ilyen adatok további felhasználása kérelmezésének időpontjában tájékoztatnia kell a közszférabeli szervezetet az ilyen adatok továbbítására irányuló szándékáról, valamint e továbbítás céljáról. Az e cikk (6) bekezdésének megfelelő további felhasználás esetében a továbbfelhasználónak - adott esetben a közszférabeli szervezet segítségével - tájékoztatnia kell ezen szándékról, célról és a megfelelő biztosítékokról azon jogi személyt, amelynek a jogait és érdekeit ez érintheti. A közszférabeli szervezet csak abban az esetben engedélyezheti a további felhasználást, ha a jogi személy engedélyt ad a továbbításra.

(10) A közszférabeli szervezetek kizárólag akkor továbbíthatnak nem személyes bizalmas adatokat vagy szellemitulajdon-jogokkal védett adatokat egy olyan továbbfelhasználónak, aki ezen adatokat a (12) bekezdés szerint kijelölt országoktól eltérő harmadik országba szándékozik továbbítani, ha a továbbfelhasználó szerződéses kötelezettséget vállal a következőkre:

a) a (7) és a (8) bekezdéssel összhangban előírt kötelezettségeknek való megfelelés, az adatok harmadik országba történő továbbítását követően is; valamint

b) a továbbító közszférabeli szervezet szerinti tagállam bíróságai joghatóságának elfogadása a (7) és a (8) bekezdésnek való megfeleléssel kapcsolatos bármely jogvita tekintetében.

(11) A közszférabeli szervezeteknek adott esetben és lehetőségeik mértékéig iránymutatást és segítséget kell nyújtaniuk a továbbfelhasználók számára ahhoz, hogy megfeleljenek az e cikk (10) bekezdésében említett kötelezettségeknek.

A közszférabeli szervezetek és a továbbfelhasználók segítése érdekében a Bizottság végrehajtási jogi aktusokat fogadhat el, amelyekben az e cikk (10) bekezdésében említett kötelezettségek teljesítésére vonatkozó, a szerződésekben rögzítendő mintaklauzulákat hoz létre. Ezeket a végrehajtási jogi aktusokat a 33. cikk (3) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(12) Amennyiben a nem személyes adatok bizonyos harmadik országokban való további felhasználására vonatkozóan Unió-szerte benyújtott kérelmek jelentős száma indokolja, a Bizottság végrehajtási jogi aktusokat fogadhat el, amelyekben megállapítja, hogy valamely harmadik ország jogi, felügyeleti és végrehajtási kerete:

a) a szellemi tulajdon és az üzleti titkok védelmét az uniós jog által biztosított oltalommal lényegében egyenértékű módon biztosítja;

b) ténylegesen alkalmazásra és végrehajtásra kerül; és

c) hatékony bírósági jogorvoslatot biztosít.

Ezeket a végrehajtási jogi aktusokat a 33. cikk (3) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(13) Adott uniós jogalkotási aktusok a közszférabeli szervezetek birtokában lévő, nem személyes adatok kategóriáit e cikk alkalmazásában rendkívül érzékenynek minősíthetik, amennyiben azok harmadik országokba történő továbbítása veszélyeztetheti az Unió közpolitikai célkitűzéseit - például a biztonságot és a népegészséget - vagy a nem személyes, anonimizált adatok anonim jellege megszüntetésének kockázatát idézheti elő. Amennyiben ilyen jogi aktus elfogadására kerül sor, a Bizottság a 32. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogad el, amelyek ezt a rendeletet az ilyen adatok harmadik országokba történő továbbítására alkalmazandó különleges feltételek megállapítása révén kiegészítik.

E különleges feltételeknek az adott uniós jogalkotási aktusban meghatározott nem személyes adatkategóriák jellegén és azokon az okokon kell alapulniuk, amelyekre tekintettel e kategóriákat a nem személyes, anonimizált adatok anonim jellege megszüntetésének kockázatára tekintettel érzékenynek minősítik. E különleges feltételeknek megkülönböztetésmentesnek kell lenniük, és az említett jogi aktusban meghatározott uniós közpolitikai célkitűzések eléréséhez szükséges mértékre kell korlátozódniuk, az Unió nemzetközi kötelezettségeivel összhangban.

Amennyiben az első albekezdésben említett adott uniós jogalkotási aktusok ezt előírják, e különleges feltételek között szerepelhetnek a továbbításra alkalmazandó feltételek vagy az ezzel kapcsolatos technikai intézkedések, az adatok harmadik országokban történő további felhasználására vonatkozó korlátozások vagy azon személyek kategóriái, akik jogosultak az említett adatok harmadik országokba történő továbbítására, vagy kivételes esetekben a harmadik országokba történő továbbításra vonatkozó korlátozások.

(14) Az a természetes vagy jogi személy, akinek vagy amelynek a nem személyes adatok további felhasználásának jogát megadták, az adatokat csak olyan harmadik országokba továbbíthatja, amelyek tekintetében teljesülnek a (10), a (12) és a (13) bekezdésben foglalt követelmények.

6. cikk

Díjak

(1) Azok a közszférabeli szervezetek, amelyek engedélyezik a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználását, díjat számíthatnak fel az említett adatok további felhasználásának engedélyezéséért.

(2) Az (1) bekezdés alapján felszámított díjaknak átláthatóknak, megkülönböztetésmenteseknek, arányosaknak és objektíven indokoltnak kell lenniük, és nem korlátozhatják a versenyt.

(3) A közszférabeli szervezeteknek biztosítaniuk kell, hogy a díjakat online, széles körben elterjedt, határokon átnyúló pénzforgalmi szolgáltatásokon keresztül is meg lehessen fizetni, aszerinti megkülönböztetés nélkül, hogy az Unióban hol van a pénzforgalmi szolgáltató letelepedési helye, a fizetési eszköz kibocsátási helye vagy a fizetési számla helye.

(4) Amennyiben a közszférabeli szervezetek díjat számítanak fel, intézkedéseket kell hozniuk, hogy ösztönzőket nyújtsanak a 3. cikk (1) bekezdésében említett adatkategóriák nem kereskedelmi célú, például tudományos kutatási célú, valamint kkv-k és induló innovatív vállalkozások általi további felhasználására, az állami támogatási szabályokkal összhangban. E tekintetben a közszférabeli szervezetek az adatokat kedvezményes díjért vagy díjmentesen is rendelkezésre bocsáthatják, különösen kkv-k, induló innovatív vállalkozások, a civil társadalom és oktatási intézmények számára. E célból a közszférabeli szervezetek összeállíthatják a továbbfelhasználók azon kategóriáinak listáját, akik számára az adatokat kedvezményes díj ellenében vagy díjmentesen bocsátják rendelkezésre. Ezt a listát - az összeállításához használt kritériumokkal együtt - nyilvánosságra kell hozni.

(5) A díjakat a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználása iránti kérelmekre vonatkozó eljárás lefolytatásához kapcsolódó költségek alapján kell kiszámítani; és azoknak a következőkkel kapcsolatban felmerülő, szükséges költségekre kell korlátozódniuk:

a) az adatok sokszorosítása, szolgáltatása és terjesztése;

b) szerzői jogi engedélyeztetés;

c) a személyes és a bizalmas üzleti adatoknak az 5. cikk (3) bekezdésében előírt anonimizálása vagy egyéb előkészítési módja;

d) a biztonságos adatkezelési környezet karbantartása;

e) az e fejezet szerinti további felhasználás engedélyezésére való jognak a közszférán kívüli harmadik felektől történő megszerzése; és

f) a továbbfelhasználók abban való segítése, hogy azon érintettektől hozzájárulást, illetve azon adatbirtokosoktól engedélyt kérjenek, akiknek a jogait és érdekeit az ilyen további felhasználás érintheti.

(6) A díjak kiszámítására vonatkozó kritériumokat és módszertant a tagállamok állapítják meg, és hozzák nyilvánosságra. A közszférabeli szervezetnek közzé kell tennie a költségek fő kategóriáinak a leírását és a költségek felosztására alkalmazott szabályokat.

7. cikk

Illetékes szervek

(1) Minden tagállam kijelöl az e cikkben említett feladatok elvégzésére egy vagy több illetékes szervet - amelyek meghatározott ágazatokért való illetékességgel rendelkezhetnek - azon közszférabeli szervezetek segítésére, amelyek hozzáférést adnak vagy tagadnak meg a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználása tekintetében. A tagállamok létrehozhatnak egy vagy több új illetékes szervet, vagy támaszkodhatnak olyan, már meglévő közszférabeli szervezetekre vagy közszférabeli szervezetek belső szolgálataira, amelyek teljesítik az e rendeletben megállapított feltételeket.

(2) Az illetékes szerveket meg lehet bízni azzal, hogy hozzáférést adjanak - az említett hozzáférés megadásáról rendelkező uniós vagy nemzeti jog alapján - a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználásához. Amikor a további felhasználás céljából történő hozzáférés megadása vagy megtagadása érdekében járnak el, ezen illetékes szervekre a 4., az 5., a 6. és a 9. cikk alkalmazandó.

(3) Az illetékes szerveknek megfelelő jogi, pénzügyi, technikai és humán erőforrásokkal kell rendelkezniük ahhoz, hogy a rájuk bízott feladatokat el tudják látni, ideértve az ahhoz szükséges technikai szakismereteket is, hogy a 3. cikk (1) bekezdésében említett adatkategóriákhoz való hozzáférésre vonatkozó szabályrendszereket tartalmazó uniós vagy nemzeti jognak meg tudjanak felelni.

(4) Az (1) bekezdésben előírt segítségnek szükség esetén a következőket kell magában foglalnia:

a) technikai támogatás nyújtása az adatok további felhasználásához való hozzáférést biztosító biztonságos adatkezelési környezet rendelkezésre bocsátásával;

b) iránymutatás és technikai támogatás nyújtása azzal kapcsolatban, hogy miként kell az adatokat úgy strukturálni és tárolni, hogy ezen adatok könnyen hozzáférhetők legyenek;

c) technikai támogatás nyújtása az álnevesítéshez és az adatkezelés oly módon történő biztosításához, amely ténylegesen megóvja az azon adatokban foglalt információk védelmét, bizalmas jellegét, sértetlenségét és hozzáférhetőségét, amelyek további felhasználása engedélyezett, beleértve a személyes adatok anonimizálását, általánosítását, elrejtését és randomizálását vagy a magánélet védelmét szolgáló egyéb korszerű módszereket, valamint a bizalmas üzleti információk, köztük az üzleti titkok vagy a szellemitulajdon-jogok által védett tartalmak törlését;

d) adott esetben a közszférabeli szervezetek segítése abban, hogy támogatást nyújtsanak a továbbfelhasználók számára ahhoz, hogy az érintettektől hozzájárulást, illetve az adatbirtokosoktól engedélyt kérjenek azok egyedi döntéseivel összhangban, többek között azon joghatóságra vonatkozóan, ahol az adatkezelést végezni kívánják, továbbá a közszférabeli szervezetek segítése abban, hogy - amennyiben ez a gyakorlatban megvalósítható - technikai mechanizmust alakítsanak ki a továbbfelhasználók hozzájárulás vagy engedély iránti kérelmeinek továbbítására;

e) segítségnyújtás a közszférabeli szervezetek számára a továbbfelhasználók által az 5. cikk (10) bekezdése szerinti szerződéses kötelezettségvállalások megfelelőségének értékelése tekintetében.

(5) Minden tagállam 2023. szeptember 24-ig értesíti a Bizottságot, hogy melyik illetékes szervet jelölte ki az (1) bekezdés alapján. Minden tagállam arról is értesíti a Bizottságot, ha az említett illetékes szerv kiléte a későbbiekben változik.

8. cikk

Egyablakos információs pontok

(1) A tagállamok biztosítják, hogy az 5. és 6. cikk alkalmazásával kapcsolatos minden lényeges információ elérhető és könnyen hozzáférhető legyen egy egyablakos információs ponton keresztül. A tagállamok létrehoznak egy új szervet vagy kijelölnek egy létező szervet vagy struktúrát egyablakos információs pontként. Az egyablakos információs pont hozzá lehet kapcsolva ágazati, regionális vagy helyi információs pontokhoz. Az egyablakos információs pont feladatai automatizálhatók, feltéve hogy a közszférabeli szervezet megfelelő támogatást biztosít.

(2) Az egyablakos információs pontnak hatáskörrel kell rendelkeznie a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználására vonatkozó érdeklődések vagy kérelmek fogadására, és - ha lehetséges és megfelelő, akkor automatikusan - továbbítania kell azokat az illetékes közszférabeli szervezeteknek vagy adott esetben a 7. cikk (1) bekezdésében említett illetékes szerveknek. Az egyablakos információs pontnak elektronikus úton elérhetővé kell tennie egy olyan kereshető eszközlistát, amely tartalmazza az összes rendelkezésre álló adatforrást, ideértve adott esetben az ágazati, regionális vagy helyi információs pontoknál elérhető adatforrásokat is, és amely tartalmazza a rendelkezésre álló adatokat leíró releváns információkat, többek között legalább az adatok formátumát és méretét, valamint azok további felhasználásának feltételeit.

(3) Az egyablakos információs pont létrehozhat egy olyan különálló, egyszerűsített és megfelelően dokumentált információs csatornát a kkv-k és az induló innovatív vállalkozások számára, amelyet azok igényeihez és képességeihez igazít a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználásának kérelmezését illetően.

(4) A Bizottság európai egyablakos hozzáférési pontot hoz létre, amelyen keresztül elérhető a nemzeti egyablakos információs pontoknál rendelkezésre álló adatok kereshető elektronikus nyilvántartása, valamint az említett nemzeti egyablakos információs pontokon keresztül történő adatigénylések módjára vonatkozó további információk.

9. cikk

A további felhasználás iránti kérelmekre vonatkozó eljárás

(1) Amennyiben a nemzeti jognak megfelelően nem kerültek megállapításra rövidebb határidők, az illetékes közszférabeli szervezeteknek vagy a 7. cikk (1) bekezdésében említett illetékes szerveknek a kérelem beérkezésének napjától számított két hónapon belül döntést kell hozniuk a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználása iránti kérelemről.

Kivételesen a további felhasználás iránti terjedelmes és összetett kérelmek esetében ezen kéthónapos határidő legfeljebb 30 nappal meghosszabbítható. Ilyen esetben az illetékes közszférabeli szervezeteknek vagy a 7. cikk (1) bekezdésében említett illetékes szerveknek a lehető leghamarabb értesíteniük kell a kérelmezőt arról, hogy az eljárás lefolytatása több időt igényel, valamint a határidő-hosszabbítás okairól.

(2) Minden olyan természetes vagy jogi személy számára, akit vagy amelyet közvetlenül érint az (1) bekezdésben említett döntés, tényleges jogot kell biztosítani arra, hogy a szóban forgó szervezet, illetve szerv helye szerinti tagállamban jogorvoslathoz folyamodhasson. Az említett, jogorvoslathoz való jogot a nemzeti jogban rögzíteni kell, és annak ki kell terjednie egy megfelelő szakértelemmel rendelkező pártatlan szerv, így például a nemzeti versenyhatóság, a dokumentumokhoz való hozzáférésért felelős megfelelő hatóság, az (EU) 2016/679 rendelettel összhangban létrehozott felügyeleti hatóság vagy valamely nemzeti igazságügyi hatóság általi felülvizsgálat lehetőségére, amely szervek mindegyikének döntései kötelező erejűek az érintett közszférabeli szervezetre vagy illetékes szervezetre.

III. FEJEZET

Az adatközvetítő szolgáltatásokra alkalmazandó követelmények

10. cikk

Adatközvetítő szolgáltatások

A következő adatközvetítő szolgáltatások nyújtásának meg kell felelnie a 12. cikknek, és bejelentési eljárás hatálya alá kell tartoznia:

a) közvetítő szolgáltatások adatbirtokosok és potenciális adatfelhasználók között, beleértve az említett szolgáltatások lehetővé tételéhez szükséges technikai vagy egyéb eszközök rendelkezésre bocsátását is; ezek a szolgáltatások magukban foglalhatják a két- vagy többoldalú adatcserét, vagy olyan platformok vagy adatbázisok létrehozását, amelyek lehetővé teszik az adatok cseréjét vagy közös felhasználását, valamint az adatbirtokosok adatfelhasználókkal való összekapcsolását szolgáló egyéb egyedi infrastruktúra létrehozását;

b) közvetítő szolgáltatások a potenciális adatfelhasználók és azon érintettek között, akik személyes adataikat rendelkezésre kívánják bocsátani, illetve azon természetes személyek között, akik nem személyes adatokat kívánnak rendelkezésre bocsátani, ideértve az említett szolgáltatások lehetővé tételéhez szükséges technikai vagy egyéb eszközök rendelkezésre bocsátását, különösen pedig az (EU) 2016/679 rendeletben az érintettek számára biztosított jogok gyakorlásának lehetővé tételét;

c) adatszövetkezetek szolgáltatásai.

11. cikk

Az adatközvetítő szolgáltatók által teendő bejelentés

(1) Minden olyan adatközvetítő szolgáltatónak, aki a 10. cikkben említett adatközvetítő szolgáltatások nyújtását tervezi, bejelentést kell tennie az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak.

(2) E rendelet alkalmazásában az olyan adatközvetítő szolgáltatót, amely egynél több tagállamban rendelkezik tevékenységi hellyel, annak a tagállamnak a joghatósága alá tartozónak kell tekinteni, amelyben a tevékenységi központja található, a határokon átnyúló kártérítési keresetekre és a kapcsolódó eljárásokra vonatkozó uniós jog sérelme nélkül.

(3) Az olyan adatközvetítő szolgáltatónak, amely az Unióban nincs letelepedve, de az Unión belül kínálja a 10. cikkben említett adatközvetítő szolgáltatásokat, jogi képviselőt kell kijelölnie az egyik olyan tagállamban, amelyben ezeket a szolgáltatásokat kínálja.

Az e rendeletnek való megfelelés biztosítása érdekében az adatközvetítő szolgáltatónak fel kell hatalmaznia a jogi képviselőt arra, hogy az adatközvetítő szolgáltatásokért felelős illetékes hatóságok, az érintettek és az adatbirtokosok a nyújtott adatközvetítő szolgáltatásokkal kapcsolatos valamennyi kérdésben hozzá fordulhassanak az adott adatközvetítő szolgáltató mellett vagy helyett. A jogi képviselőnek együtt kell működnie az adatközvetítő szolgáltatásokért felelős illetékes hatóságokkal, és kérésre teljes körűen be kell mutatnia az adatközvetítő szolgáltató által az e rendeletnek való megfelelés biztosítása érdekében hozott intézkedéseket és bevezetett rendelkezéseket.

Úgy kell tekinteni, hogy az adatközvetítő szolgáltató a jogi képviselő helye szerinti tagállam joghatósága alá tartozik. Az, hogy az adatközvetítő szolgáltató jogi képviselőt jelöl ki, nem érinti az adatközvetítő szolgáltatóval szemben indítható bármely jogi eljárást.

(4) Az (1) bekezdés szerinti bejelentés benyújtása után az adatközvetítő szolgáltató az e fejezetben meghatározott feltételekkel megkezdheti a tevékenységet.

(5) Az (1) bekezdésben említett bejelentés minden tagállamban feljogosítja az adatközvetítő szolgáltatót az adatközvetítő szolgáltatások nyújtására.

(6) Az (1) bekezdésben említett bejelentésnek a következő információkat kell tartalmaznia:

a) az adatközvetítő szolgáltató neve;

b) az adatközvetítő szolgáltató jogállása, cégformája, tulajdonosi szerkezete, releváns leányvállalatai és - amennyiben az adatközvetítő szolgáltató cégnyilvántartásban vagy egyéb hasonló nemzeti nyilvános nyilvántartásban szerepel - a cégjegyzékszáma;

c) az adatközvetítő szolgáltató tevékenységi központjának címe az Unióban, ha van ilyen, és adott esetben egy másik tagállamban található másodlagos fióktelepének vagy a jogi képviselőnek a címe;

d) egy olyan nyilvános weboldal, amelyen teljes és naprakész információk találhatók az adatközvetítő szolgáltatóval és a tevékenységekkel kapcsolatban, és amely tartalmazza legalább az a), b), c) és f) pontban említett információkat;

e) az adatközvetítő szolgáltató kapcsolattartói és elérhetőségei;

f) az adatközvetítő szolgáltató által nyújtani tervezett adatközvetítő szolgáltatás leírása, és a 10. cikkben felsorolt azon kategóriák megjelölése, amelyekbe ezen adatközvetítő szolgáltatás tartozik;

g) a tevékenység megkezdésének becsült időpontja, amennyiben eltér a bejelentés időpontjától.

(7) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak biztosítania kell, hogy a bejelentési eljárás megkülönböztetésmentes legyen és ne torzítsa a versenyt.

(8) Az adatközvetítő szolgáltató kérésére az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak a helyes és hiánytalan bejelentés benyújtásának napjától számított egy héten belül szabványosított nyilatkozatot kell kiállítania, amelyben megerősíti, hogy az adatközvetítő szolgáltató benyújtotta az (1) bekezdésben említett bejelentést, és hogy a bejelentés tartalmazza a (6) bekezdésben említett információkat.

(9) Az adatközvetítő szolgáltató kérésére az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak meg kell erősítenie, hogy az adatközvetítő szolgáltató megfelel ennek a cikknek és a 12. cikknek. Az ilyen megerősítés kézhezvételét követően az adatközvetítő szolgáltató használhatja „az Unióban elismert adatközvetítő szolgáltató” címet az írásbeli és szóbeli kommunikációjában, valamint egy közös logót.

Annak biztosítása érdekében, hogy az Unióban elismert adatközvetítő szolgáltatók könnyen azonosíthatók legyenek az Unió egész területén, a Bizottság végrehajtási jogi aktusok útján kidolgozza a közös logó rajzolatát. Az Unióban elismert adatközvetítő szolgáltatóknak egyértelműen fel kell tüntetniük a közös logót minden olyan online és offline kiadványon, amely adatközvetítői tevékenységeikre vonatkozik.

Ezeket a végrehajtási jogi aktusokat a 33. cikk (2) bekezdésében említett tanácsadó-bizottsági eljárás keretében kell elfogadni.

(10) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak minden újabb bejelentésről elektronikus úton haladéktalanul értesítenie kell a Bizottságot. A Bizottság nyilvános nyilvántartást vezet a szolgáltatásait az Unióban nyújtó minden adatközvetítő szolgáltatóról, amelyet rendszeresen aktualizál. A (6) bekezdés a), b), c), d), f) és g) pontjában említett információkat a nyilvános nyilvántartásban kell közzétenni.

(11) Az adatközvetítő szolgáltatásokért felelős illetékes hatóság a nemzeti joggal összhangban díjat számíthat fel a bejelentésért. Az említett díjaknak arányosaknak és objektíveknek kell lenniük, és azoknak az adatközvetítő szolgáltatások bejelentésével kapcsolatban az adatközvetítő szolgáltatásokért felelős illetékes hatóságok részéről felmerült, a megfelelés ellenőrzésével és egyéb piacfelügyeleti tevékenységekkel kapcsolatos adminisztratív költségeken kell alapulniuk. A kkv-k és az induló innovatív vállalkozások esetében az adatközvetítő szolgáltatásokért felelős illetékes hatóság kedvezményes díjat is felszámíthat, vagy eltekinthet a díj felszámításától.

(12) Az adatközvetítő szolgáltatónak (6) bekezdés alapján megadott információk bármely változását a változás bekövetkezésétől számított 14 napon belül be kell jelentenie az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak.

(13) Ha az adatközvetítő szolgáltató beszünteti a tevékenységét, 15 napon belül értesítenie kell az (1), a (2) és a (3) bekezdés szerint meghatározott, az adatközvetítő szolgáltatásokért felelős érintett illetékes hatóságot.

(14) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak minden, a (12) és a (13) bekezdésben említett bejelentésről haladéktalanul, elektronikus úton értesítenie kell a Bizottságot. A Bizottság ennek megfelelően aktualizálja az Unióban működő adatközvetítő szolgáltatók nyilvános nyilvántartását.

12. cikk

Az adatközvetítő szolgáltatások nyújtásának feltételei

A 10. cikkben említett adatközvetítő szolgáltatások nyújtására a következő feltételek alkalmazandók:

a) az adatközvetítő szolgáltató nem használhatja az adatfelhasználók rendelkezésére bocsátásától eltérő más célra azokat az adatokat, amelyekre vonatkozóan adatközvetítő szolgáltatásokat nyújt, és az adatközvetítő szolgáltatásokat külön jogi személyen keresztül kell nyújtania;

b) az adatközvetítő szolgáltatásoknak az adatbirtokos vagy adatfelhasználó részére történő nyújtására vonatkozó kereskedelmi feltételek, beleértve az árazást is, nem tehetők függővé attól, hogy az adatbirtokos vagy az adatfelhasználó igénybe vesz-e más, ugyanazon adatközvetítő szolgáltató vagy egy ahhoz kapcsolt jogalany által nyújtott szolgáltatásokat, és ha igen, akkor az adatbirtokos vagy az adatfelhasználó milyen mértékben veszi igénybe az említett más szolgáltatásokat;

c) az adatközvetítő szolgáltatás nyújtása céljából valamely természetes vagy jogi személy bármely tevékenységével kapcsolatban gyűjtött adatok - beleértve a dátumot, az időpontot és a földrajzi helymeghatározási adatokat, a tevékenység időtartamát és az adatközvetítő szolgáltatást igénybe vevő személy által más természetes vagy jogi személyekkel létrehozott kapcsolatokat - kizárólag az adott adatközvetítő szolgáltatás fejlesztésére használhatók fel, ami magában foglalhatja az adatok csalás felderítésére vagy kiberbiztonság céljára való felhasználását, és azokat kérésre az adatbirtokosok rendelkezésére kell bocsátani;

d) az adatközvetítő szolgáltatónak elő kell segítenie az adatok cseréjét abban a formátumban, amelyben azokat az érintettől vagy az adatbirtokostól megkapja, és az adatokat csak az ágazaton belüli és ágazatok közötti interoperabilitás javítása érdekében vagy az adatfelhasználó kérésére vagy az uniós jog vonatkozó rendelkezése alapján, vagy pedig a nemzetközi vagy európai adatszabványokkal való harmonizáció biztosítása céljából alakíthatja át meghatározott formátumokra és az ilyen átalakítás tekintetében kívülmaradási lehetőséget kell biztosítania az érintettek vagy adatbirtokosok számára, kivéve, ha az átalakítást az uniós jog írja elő;

e) az adatközvetítő szolgáltatások magukban foglalhatják olyan további egyedi eszközöknek és szolgáltatásoknak az adatbirtokosok vagy érintettek részére történő nyújtását, amelyek kifejezetten az adatcsere megkönnyítését célozzák, ideértve például az ideiglenes tárolást, a gondozást, az átalakítást, az anonimizálást vagy az álnevesítést; ezek az eszközök csak az adatbirtokos vagy az érintett kifejezett kérésére vagy jóváhagyásával használhatók, és az ebben az összefüggésben kínált, harmadik féltől származó eszközöket nem használhatják az adatokat eltérő célra;

f) az adatközvetítő szolgáltatónak biztosítania kell, hogy a szolgáltatásához való hozzáférés eljárása méltányos, átlátható és megkülönböztetésmentes legyen az érintettek, az adatbirtokosok és az adatfelhasználók számára egyaránt, az árakat és a szolgáltatási feltételeket illetően is;

g) az adatközvetítő szolgáltatónak rendelkeznie kell olyan eljárásokkal, amelyek megakadályozzák a adatközvetítő szolgáltatásain keresztül hozzáférést kérő felekkel kapcsolatos csalárd vagy visszaélésszerű gyakorlatokat;

h) az adatközvetítő szolgáltatónak fizetésképtelensége esetén biztosítania kell adatközvetítő szolgáltatásainak észszerű folytonosságát, és ha ezen adatközvetítő szolgáltatások adattárolást biztosítanak, olyan mechanizmusokkal kell rendelkeznie, amelyek lehetővé teszik az adatbirtokosok és az adatfelhasználók számára, hogy hozzáférjenek adataikhoz, hogy továbbítsák vagy visszanyerjék adataikat, valamint - ha ezen adatközvetítő szolgáltatások nyújtására az érintettek és az adatfelhasználók között kerül sor - az érintettek számára lehetővé teszik jogaik gyakorlását;

i) az adatközvetítő szolgáltatónak megfelelő intézkedésekkel kell biztosítania az egyéb adatközvetítő szolgáltatásokkal való interoperabilitást, többek között olyan nyílt szabványok révén, amelyeket általánosan alkalmaznak abban az ágazatban, amelyben az adatközvetítő szolgáltató működik;

j) az adatközvetítő szolgáltatónak megfelelő technikai, jogi és szervezeti intézkedéseket kell bevezetnie a nem személyes adatok olyan továbbításának vagy az azokhoz való olyan hozzáférésnek a megakadályozása érdekében, amely az uniós jog vagy az adott tagállam nemzeti joga értelmében jogellenesnek minősül;

k) az adatközvetítő szolgáltatónak indokolatlan késedelem nélkül tájékoztatnia kell az adatbirtokosokat az általa megosztott nem személyes adatokhoz való jogosulatlan hozzáférésről, valamint az ilyen adatok jogosulatlan továbbításáról vagy felhasználásáról;

l) az adatközvetítő szolgáltatónak intézkedéseket kell hoznia a nem személyes adatok tárolása, kezelése és továbbítása megfelelő szintű biztonságának szavatolása érdekében, valamint az adatközvetítő szolgáltatónak a legmagasabb szintű biztonságot kell biztosítania a verseny szempontjából érzékeny információk tárolása és továbbítása tekintetében;

m) az érintettek számára szolgáltatásokat kínáló adatközvetítő szolgáltatónak az érintettek mindenek felett álló érdeke szerint kell eljárnia jogaik gyakorlásának elősegítésekor, különösen azáltal, hogy az érintetteknek tömör, átlátható, könnyen érthető és könnyen hozzáférhető formában tájékoztatást, illetve adott esetben tanácsadást nyújt az adatfelhasználók általi tervezett adatfelhasználással, valamint az e felhasználásra vonatkozó általános szerződési feltételekkel kapcsolatban, még azelőtt, hogy az érintettek a hozzájárulásukat adnák;

n) ha az adatközvetítő szolgáltató eszközöket biztosít az érintettek hozzájárulásának megszerzéséhez, vagy az adatbirtokosok által rendelkezésre bocsátott adatok kezeléséhez szükséges engedélyek megszerzéséhez, adott esetben meg kell jelölnie azt a harmadik országbeli joghatóságot, ahol az adatokat felhasználni szándékoznak, és eszközöket kell biztosítania az érintettek számára hozzájárulásuk megadásához és visszavonásához, valamint az adatbirtokosok számára az adatkezelésre vonatkozó engedélyek megadásához és visszavonásához;

o) az adatközvetítő szolgáltatónak naplót kell vezetnie az adatközvetítői tevékenységről.

13. cikk

Az adatközvetítő szolgáltatásokért felelős illetékes hatóságok

(1) Minden tagállam kijelöl egy vagy több olyan illetékes hatóságot az adatközvetítő szolgáltatásokra vonatkozó bejelentési eljárással kapcsolatos feladatok végrehajtására, és 2023. szeptember 24-ig értesíti a Bizottságot ezen illetékes hatóságok kilétéről. Minden tagállam arról is értesíti a Bizottságot, ha az említett illetékes hatóságok kiléte a későbbiekben változik.

(2) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságoknak meg kell felelniük a 26. cikkben meghatározott követelményeknek.

(3) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságok hatáskörei nem érintik az adatvédelmi hatóságok, a nemzeti versenyhatóságok, a kiberbiztonságért felelős hatóságok és az egyéb érintett ágazati hatóságok hatásköreit. Az említett hatóságoknak - az uniós és nemzeti jog szerinti hatásköreiknek megfelelően - szoros együttműködést kell megvalósítaniuk, valamint meg kell osztaniuk egymással az adatközvetítő szolgáltatókkal kapcsolatos feladataik ellátásához szükséges információkat, valamint törekedniük kell az e rendelet alkalmazása keretében meghozott határozatok következetességének biztosítására.

14. cikk

A megfelelés ellenőrzése

(1) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságoknak ellenőrizniük és felügyelniük kell az adatközvetítő szolgáltatók e fejezet követelményeinek való megfelelését. Az adatközvetítő szolgáltatásokért felelős illetékes hatóságok természetes vagy jogi személyek kérelme alapján is ellenőrizhetik és felügyelhetik az adatközvetítő szolgáltatók megfelelőségét.

(2) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságoknak hatáskörrel kell rendelkezniük arra, hogy minden olyan információt bekérhessenek az adatközvetítő szolgáltatóktól vagy azok jogi képviselőitől, amely az e fejezetben megállapított követelményeknek való megfelelés ellenőrzéséhez szükséges. Az adatszolgáltatás-igényléseknek mindig arányban kell állniuk az elvégzendő feladat mértékével és azokat mindig indokolással kell ellátni.

(3) Ha az adatközvetítő szolgáltatásokért felelős illetékes hatóság megállapítja, hogy egy adatközvetítő szolgáltató nem felel meg az e fejezetben meghatározott követelmények közül egynek vagy többnek, értesítenie kell az adatközvetítő szolgáltatót ezekről a megállapításokról, és lehetővé kell tennie a szolgáltató számára, hogy az értesítés kézhezvételétől számított 30 napon belül kifejtse álláspontját.

(4) Az adatközvetítő szolgáltatásokért felelős illetékes hatóság hatáskörrel rendelkezik arra, hogy az érintett szolgáltatót kötelezze a (3) bekezdésben említett jogsértés észszerű határidőn belüli vagy - súlyos jogsértés esetén - azonnali hatállyal történő megszüntetésére, és megfelelő és arányos intézkedéseket hoz a megfelelés biztosítása céljából. E tekintetben az adatközvetítő szolgáltatásokért felelős illetékes hatóság hatáskörrel rendelkezik arra, hogy adott esetben:

a) közigazgatási eljárás keretében visszatartó erejű bírságot szabjon ki - amely kényszerítő bírság és visszamenőleges hatályú bírság is lehet -, és/vagy bírság kiszabására irányuló bírósági eljárást kezdeményezzen;

b) az adatközvetítő szolgáltatás nyújtása megkezdésének addig az időponting való elhalasztására vagy az adatközvetítő szolgáltatás nyújtásának addig az időpontig való felfüggesztésére kötelezzen, amikorra az adatközvetítő szolgáltatás feltételeinek az adatközvetítő szolgáltatásokért felelős illetékes hatóság kérésének megfelelően történő bármely módosítására sor kerül; vagy

c) az adatközvetítő szolgáltatás nyújtásának megszüntetésére kötelezzen abban az esetben, ha a súlyos vagy ismétlődő jogsértéseket a (3) bekezdés szerinti előzetes értesítés vagy figyelmeztetés ellenére sem orvosolták.

Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak a szolgáltatás nyújtásának az első albekezdés c) pontja szerinti megszüntetésére való kötelezést követően fel kell kérnie a Bizottságot, hogy törölje az adatközvetítő szolgáltatót az adatközvetítő szolgáltatók nyilvántartásából.

Ha az adatközvetítő szolgáltató orvosolja a jogsértéseket, ezen adatközvetítő szolgáltatónak új bejelentést kell tennie az adatközvetítő szolgáltatásokért felelős illetékes hatóság részére. Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak minden egyes új bejelentésről értesítenie kell a Bizottságot.

(5) Amennyiben az Unióban nem letelepedett adatközvetítő szolgáltató nem jelöl ki jogi képviselőt, vagy ha a jogi képviselő nem nyújtja be - miután arra felkérést kapott az adatközvetítő szolgáltatásokért felelős illetékes hatóságtól - az e rendeletnek való megfelelés teljes körű igazolásához szükséges információkat, az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak hatáskörrel kell rendelkeznie arra, hogy elhalassza az adatközvetítő szolgáltatás nyújtásának megkezdését vagy felfüggessze az adatközvetítő szolgáltatás nyújtását mindaddig, amíg a jogi képviselőt ki nem jelölik vagy a szükséges információkat be nem nyújtják.

(6) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságoknak haladéktalanul értesíteniük kell az érintett adatközvetítő szolgáltatót a (4) és az (5) bekezdés alapján hozott intézkedésekről és azok indokairól, valamint a szóban forgó hiányosságok orvoslásához szükséges lépésekről, és észszerű, legfeljebb 30 napos határidőt kell meghatározniuk az adatközvetítő szolgáltató számára az ezen intézkedéseknek való megfeleléshez.

(7) Ha az adatközvetítő szolgáltató tevékenységi központja vagy jogi képviselője valamely tagállamban van, de más tagállamokban nyújt szolgáltatásokat, a tevékenységi központ szerinti tagállamnak vagy a jogi képviselő illetősége szerinti tagállamnak az adatközvetítő szolgáltatásokért felelős illetékes hatósága és a többi érintett tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságai kötelesek együttműködni egymással és segíteni egymást. Ez a segítségnyújtás és együttműködés magában foglalhatja az érintett adatközvetítő szolgáltatásokért felelős illetékes hatóságok közötti, az e rendelet szerinti feladataik ellátása céljából végzett információcserét, valamint az e cikkben említett intézkedések megtételére irányuló, indokolással ellátott kérelmeket is.

Amennyiben valamely tagállamban az adatközvetítő szolgáltatásokért felelős illetékes hatóság segítséget kíván kérni egy másik tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságától, megfelelően indokolt kérelmet kell benyújtania. Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak e kérelemre indokolatlan késedelem nélkül, a kérelem sürgősségével arányos időkereten belül választ kell adnia.

Az e cikk szerint kért és nyújtott segítségnyújtás keretében átadott bármely információ kizárólag abban az ügyben használható fel, amellyel kapcsolatban kikérték.

15. cikk

Kivételek

Ez a fejezet nem vonatkozik az elismert adataltruista szervezetekre vagy az egyéb nonprofit szervezetekre annyiban, amennyiben a tevékenységük olyan adatok közérdekű célokból történő gyűjtéséből áll, amelyeket természetes vagy jogi személyek adataltruizmus alapján bocsátanak rendelkezésre, kivéve ha az említett szervezetek kereskedelmi kapcsolatokat szándékoznak létrehozni egyfelől meghatározatlan számú érintett és adatbirtokos, másfelől pedig adatfelhasználók között.

IV. FEJEZET

Adataltruizmus

16. cikk

Az adataltruizmusra vonatkozó nemzeti intézkedések

A tagállamok szervezeti és/vagy technikai intézkedésekkel rendelkezhetnek az adataltruizmus megkönnyítésére. E célból a tagállamok nemzeti politikákat határozhatnak meg az adataltruizmusra vonatkozóan. E nemzeti politikák többek között segíthetik az érintetteket abban, hogy a rájuk vonatkozó, közszférabeli szervezetek birtokában lévő személyes adatokat adataltruista megfontolásból önkéntesen rendelkezésre bocsássák, valamint meghatározhatják, hogy milyen információkat kell az érintettek rendelkezésére bocsátani adataik közérdekű további felhasználását illetően.

Ha egy tagállam ilyen nemzeti politikákat dolgoz ki, erről értesíti a Bizottságot.

17. cikk

Az elismert adataltruista szervezetek nyilvános nyilvántartásai

(1) Az elismert adataltruista szervezetek nyilvántartásáért felelős minden illetékes hatóságnak nyilvános nemzeti nyilvántartást kell vezetnie az elismert adataltruista szervezetekről, valamint rendszeresen aktualizálnia kell e nyilvántartást.

(2) A Bizottság tájékoztatási célból nyilvános uniós nyilvántartást vezet az elismert adataltruista szervezetekről. Amennyiben az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásába a 18. cikkel összhangban bejegyzett szervezetek, használhatják „az Unióban elismert adataltruista szervezet” címet írásbeli és szóbeli kommunikációjukban, továbbá a közös logót.

Annak biztosítása érdekében, hogy az elismert adataltruista szervezetek könnyen azonosíthatók legyenek az Unió egész területén, a Bizottság végrehajtási jogi aktusok útján meghatározza a közös logó rajzolatát. Az elismert adataltruista szervezeteknek egyértelműen fel kell tüntetniük a közös logót minden olyan online és offline kiadványon, amely adataltruista tevékenységeikre vonatkozik. A közös logót olyan QR-kódnak kell kísérnie, amely linket tartalmaz az elismert adataltruista szervezetek nyilvános uniós nyilvántartásához.

Ezeket a végrehajtási jogi aktusokat a 33. cikk (2) bekezdésében említett tanácsadó-bizottsági eljárás keretében kell elfogadni.

18. cikk

A nyilvántartásba vételre vonatkozó általános követelmények

Ahhoz, hogy valamely szervezetet bejegyezhessenek az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásába, e szervezetnek:

a) adataltruista tevékenységeket kell végeznie;

b) olyan jogi személynek kell lennie, amelyet a nemzeti jog alapján hoztak létre - adott esetben a nemzeti jogban előírt - közérdekű célok teljesítése céljából;

c) nonprofit alapon kell működnie és jogilag függetlennek kell lennie minden olyan szervezettől, amely profitorientáltan működik;

d) az adataltruista tevékenységeket egy olyan struktúrán keresztül kell végeznie, amely funkcionálisan elkülönül az általa végzett egyéb tevékenységektől;

e) meg kell felelnie a 22. cikk (1) bekezdésében említett szabálykönyvnek legkésőbb 18 hónappal az ugyanazon bekezdésben említett, felhatalmazáson alapuló jogi aktusok hatálybalépését követően.

19. cikk

Az elismert adataltruista szervezetek nyilvántartásba vétele

(1) A 18. cikk követelményeinek megfelelő szervezet kérelmet nyújthat be a letelepedési helye szerinti tagállamban az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásába való felvétele iránt.

(2) A 18. cikk követelményeinek megfelelő olyan szervezet, amely egynél több tagállamban rendelkezik tevékenységi hellyel, a tevékenységi központja szerinti tagállamban nyújthat be kérelmet az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásába való felvétele iránt.

(3) A 18. cikk követelményeinek megfelelő, de az Unióban nem letelepedett szervezeteknek jogi képviselőt kell kijelölniük az egyik olyan tagállamban, amelyben az adataltruista szolgáltatásaikat kínálják.

Az e rendeletnek való megfelelés biztosítása érdekében a szervezetnek fel kell hatalmaznia a jogi képviselőt arra, hogy az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok, az érintettek és az adatbirtokosok az adott szervezettel kapcsolatos valamennyi kérdésben - az adott szervezet mellett vagy helyett - a jogi képviselőhöz fordulhassanak. A jogi képviselőnek együtt kell működnie az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságokkal, és kérésre teljes körűen be kell mutatnia a szervezet által az e rendeletnek való megfelelés biztosítása érdekében hozott intézkedéseket és bevezetett rendelkezéseket.

A szervezetet azon tagállam joghatósága alá tartozónak kell tekinteni, amelyben a jogi képviselője található. Az ilyen szervezet kérelmet nyújthat be az elismert adataltruista szervezeteknek az adott tagállam által vezetett nyilvános nemzeti nyilvántartásába való felvétele iránt. Az, hogy a szervezet jogi képviselőt jelöl ki, nem érinti a szervezettel szembeni indítható bármely jogi eljárást.

(4) Az (1), (2) és (3) bekezdésben említett nyilvántartásba vétel iránti kérelemnek a következő információkat kell tartalmaznia:

a) a szervezet neve;

b) a szervezet jogállása, formája és nyilvántartási száma és - amennyiben a szervezet nyilvános nemzeti nyilvántartásban szerepel - a cégjegyzékszáma;

c) adott esetben a szervezet létesítő okirata;

d) a szervezet bevételi forrásai;

e) a szervezet tevékenységi központjának címe az Unióban, ha van ilyen, és adott esetben a szervezet egy másik tagállamban található másodlagos fióktelepének vagy a jogi képviselőnek a címe;

f) egy olyan nyilvános weboldal, amelyen teljeskörű és naprakész információk találhatók a szervezettel és a tevékenységekkel kapcsolatban, és amely tartalmazza legalább az a), b), d), e) és h) pontban említett információkat;

g) a szervezet kapcsolattartói és elérhetőségei;

h) azon közérdekű célok, amelyeket a szervezet az adatgyűjtés során elő kíván mozdítani;

i) azon adatok jellege, amelyek kezeléséről a szervezet rendelkezni kíván, illetve amelyeket a szervezet kezelni kíván, valamint személyes adatok esetében a személyes adatok kategóriáinak megjelölése;

j) minden olyan egyéb dokumentum, amely bizonyítja, hogy a 18. cikk követelményei teljesülnek.

(5) Ha a szervezet a (4) bekezdés alapján benyújtotta az összes szükséges információt, és az elismert adataltruista szervezetek nyilvántartásáért felelős illetékes hatóság értékelte a nyilvántartásba vétel iránti kérelmet és úgy ítélte meg, hogy a szervezet megfelel a 18. cikkben foglalt követelményeknek, az illetékes hatóságnak a nyilvántartásba vétel iránti kérelem benyújtását követő tizenkét héten belül be kell jegyeznie a szervezetet az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásába. A nyilvántartásba vétel minden tagállamban érvényes.

Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak minden nyilvántartásba vételről értesítenie kell a Bizottságot. A Bizottság felveszi az adott szervezetet az elismert adataltruista szervezetek nyilvános uniós nyilvántartásába.

(6) A (4) bekezdés a), b), f), g) és h) pontjában említett információkat közzé kell tenni az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásában.

(7) Az elismert adataltruista szervezetnek a szóban forgó változás bekövetkezésétől számított 14 napon belül értesítenie kell a vonatkozó, az elismert adataltruista szervezetek nyilvántartásáért felelős illetékes hatóságot a (4) bekezdés alapján megadott információk bármilyen változásáról.

Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak minden ilyen értesítésről haladéktalanul, elektronikus úton értesítenie kell a Bizottságot. Az ilyen értesítés alapján a Bizottság haladéktalanul aktualizálja az elismert adataltruista szervezetek nyilvános uniós nyilvántartását.

20. cikk

Átláthatósági követelmények

(1) Az elismert adataltruista szervezeteknek teljes és pontos nyilvántartást kell vezetniük a következőkről:

a) minden olyan természetes vagy jogi személy, aki vagy amely lehetőséget kapott az elismert adataltruista szervezet birtokában lévő adatok kezelésére, valamint e személyek elérhetőségi adatai;

b) a személyes adatok kezelésének vagy a nem személyes adatok felhasználásának az időpontja vagy időtartama;

c) az adatkezelés azon természetes vagy jogi személy által megjelölt célja, aki vagy amely lehetőséget kapott az adatkezelésre;

d) az adatokat kezelő természetes vagy jogi személyek által fizetett díjak, ha vannak ilyenek.

(2) Az elismert adataltruista szervezeteknek éves tevékenységi jelentést kell készíteniük, és azt továbbítaniuk kell az elismert adataltruista szervezetek nyilvántartásáért felelős illetékes hatóságnak, amely jelentésnek legalább a következőket kell tartalmaznia:

a) az elismert adataltruista szervezet tevékenységére vonatkozó információk;

b) annak leírása, hogy az adott pénzügyi évben hogyan mozdították elő az adatgyűjtés közérdekű céljait;

c) azoknak a természetes és jogi személyeknek a listája, amelyek számára engedélyezték a birtokukban lévő adatok kezelését, beleértve az ezen adatkezelés által szolgált közérdekű célok összefoglaló leírását és az adatkezeléshez használt technikai eszközök leírását, beleértve a magánélet védelmére és az adatvédelem szavatolására használt technikákat;

d) adott esetben az elismert adataltruista szervezet által megengedett adatkezelés eredményeinek összefoglalása;

e) információk az elismert adataltruista szervezet bevételi forrásairól, különös tekintettel az adatokhoz való hozzáférés lehetővé tételéből származó összes bevételre, valamint a kiadásokról.

21. cikk

Az érintettek és az adatbirtokosok adataikhoz fűződő jogainak és érdekeinek védelmét szolgáló egyedi követelmények

(1) Az elismert adataltruista szervezeteknek adataik bármilyen jellegű kezelése előtt világos és közérthető módon tájékoztatniuk kell az érintetteket vagy az adatbirtokosokat az alábbiakról:

a) azon közérdekű célok és - adott esetben - kifejezett, konkrét és jogszerű célok, amely utóbbi célokra a személyesadatkezelésnek irányulnia kell, és amely célok mindegyikére nézve a szervezet engedélyezi az adatbirtokosok vagy az érintettek adatainak az adatfelhasználók általi kezelését;

b) azon helyszín és azon közérdekű célok, amelyen, illetve amelyekre a valamely harmadik országban végzett adatkezelést engedélyezi, amennyiben az adatkezelést az elismert adataltruista szervezet végzi.

(2) Az elismert adataltruista szervezet az adatokat nem használhatja az azon közérdekű céloktól eltérő célra, amelyekre az érintett vagy az adatbirtokos az adatkezelést engedélyezi. Az elismert adataltruista szervezet nem alkalmazhat megtévesztő marketingtechnikákat az adatszolgáltatás ösztönzése céljából.

(3) Az elismert adataltruista szervezetnek eszközöket kell biztosítania az érintettek hozzájárulásának vagy az adatbirtokosok által rendelkezésre bocsátott adatok kezelésére vonatkozó engedélyeknek a beszerzéséhez. Az elismert adataltruista szervezetnek eszközöket kell biztosítania az ilyen hozzájárulás vagy engedély egyszerű visszavonásához is.

(4) Az elismert adataltruista szervezetnek intézkedéseket kell hoznia annak érdekében, hogy szavatolja az általa adataltruizmus alapján gyűjtött nem személyes adatok tárolásának és kezelésének megfelelő szintű biztonságát.

(5) Az elismert adataltruista szervezetnek indokolatlan késedelem nélkül tájékoztatnia kell az adatbirtokosokat az általa megosztott nem személyes adatokhoz való bármely jogosulatlan hozzáférésről, valamint az ilyen adatok bármely jogosulatlan továbbításáról vagy felhasználásáról.

(6) Ha az elismert adataltruista szervezet elősegíti a harmadik felek általi adatkezelést, például azáltal, hogy eszközöket biztosít az érintettek hozzájárulásának vagy az adatbirtokosok által rendelkezésre bocsátott adatok kezelésére vonatkozó engedélyeknek a beszerzéséhez, adott esetben meg kell határoznia azon harmadik ország joghatóságát, amelyben az adatokat felhasználni szándékoznak.

22. cikk

Szabálykönyv

(1) A Bizottság a 32. cikkel összhangban felhatalmazáson alapuló jogi aktusok útján kiegészíti e rendeletet egy olyan szabálykönyv kidolgozása révén, amely a következőket tartalmazza:

a) megfelelő tájékoztatási követelmények annak biztosítása érdekében, hogy az érintettek és az adatbirtokosok az adataltruizmushoz való hozzájárulás vagy engedély megadása előtt kellően részletes, egyértelmű és átlátható tájékoztatást kapjanak az adatok felhasználásáról, a hozzájárulás vagy engedély megadásának és visszavonásának eszközeiről, valamint az adataltruista szervezettel megosztott adatokkal való visszaélés elkerülése érdekében hozott intézkedésekről;

b) megfelelő technikai és biztonsági követelmények az adattárolás és az adatkezelés, valamint a hozzájárulás vagy az engedély megadásának és visszavonásának eszközei megfelelő szintű biztonságának szavatolása érdekében;

c) multidiszciplináris megközelítésen alapuló olyan kommunikációs ütemtervek, amelyek célja a figyelem felhívása az adataltruizmusra, az „Unióban elismert adataltruista szervezet” elnevezésre és a szabálykönyvre az érdekelt felek, különösen az adataikat potenciálisan megosztó adatbirtokosok és érintettek körében;

d) a releváns interoperabilitási szabványokra vonatkozó ajánlások.

(2) Az (1) bekezdésben említett szabálykönyvet az adataltruista szervezetekkel és az érdekelt felekkel szoros együttműködésben kell elkészíteni.

23. cikk

Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok

(1) Minden tagállam kijelöl egy vagy több olyan illetékes hatóságot, amely felelős az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásáért.

Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságoknak meg kell felelniük a 26. cikkben foglalt követelményeknek.

(2) Minden tagállam 2023. szeptember 24-ig értesíti a Bizottságot az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságai kilétéről. Minden tagállam arról is értesíti a Bizottságot, ha az említett illetékes hatóságok kiléte a későbbiekben változik.

(3) Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak a feladatait az érintett adatvédelmi hatósággal - amennyiben ezek a feladatok a személyes adatok kezeléséhez kapcsolódnak -, valamint az adott tagállam érintett ágazati hatóságaival együttműködve kell ellátnia.

24. cikk

A megfelelés ellenőrzése

(1) Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságoknak ellenőrizniük és felügyelniük kell az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásába felvett szervezetek e fejezetben meghatározott követelményeknek való megfelelését. Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok valamely természetes vagy jogi személy kérelme alapján is ellenőrizhetik és felügyelhetik az ilyen elismert adataltruista szervezetek megfelelését.

(2) Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok hatáskörrel rendelkeznek arra, hogy bekérjék az elismert adataltruista szervezetektől azokat az információkat, amelyek szükségesek az e fejezet követelményeinek való megfelelés ellenőrzéséhez. Az adatszolgáltatás-igényléseknek mindig arányban kell állniuk az elvégzendő feladat mértékével és azokat mindig indokolással kell ellátni.

(3) Ha az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság megállapítja, hogy valamely elismert adataltruista szervezet nem felel meg e fejezet egy vagy több követelményének, értesítenie kell az elismert adataltruista szervezetet ezekről a megállapításokról, és lehetőséget kell adnia arra, hogy a szervezet az értesítés kézhezvételétől számított 30 napon belül kifejtse álláspontját.

(4) Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak hatáskörrel kell rendelkeznie arra, hogy az érintett szervezetet kötelezze a (3) bekezdésben említett jogsértés azonnali hatállyal vagy észszerű határidőn belül történő megszüntetésére, és megfelelő és arányos intézkedéseket kell hoznia a megfelelés biztosítása céljából.

(5) Ha valamely elismert adataltruista szervezet még azután sem tesz eleget e fejezet egy vagy több követelményének, hogy az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság a (3) bekezdéssel összhangban értesítette, az említett elismert adataltruista szervezetet:

a) meg kell fosztani azon jogától, hogy bármilyen írásbeli és szóbeli kommunikáció során „az Unióban elismert adataltruista szervezet” címet használja;

b) törölni kell az elismert adataltruista szervezetek vonatkozó nyilvános nemzeti nyilvántartásából és az elismert adataltruista szervezetek nyilvános uniós nyilvántartásából.

Az első albekezdés a) pont szerinti, „az Unióban elismert adataltruista szervezet” cím használatának jogát visszavonó határozatot az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak nyilvánosságra kell hoznia.

(6) Ha valamely adataltruista szervezetek nyilvános nemzeti nyilvántartásába bejegyzett szervezet tevékenységi központja vagy jogi képviselője valamely tagállamban található, de más tagállamokban tevékenykedik, a tevékenységi központ szerinti tagállamnak vagy a jogi képviselő illetősége szerinti tagállamnak az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatósága és a többi érintett tagállam adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságai kötelesek együttműködni egymással és segíteni egymást. Ez a segítségnyújtás és együttműködés magában foglalhatja az érintett adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok közötti, az e rendelet szerinti feladataik ellátása céljából végzett információcserét, valamint az e cikkben említett intézkedések megtételére irányuló, indokolással ellátott kérelmeket is.

Amennyiben valamely tagállam adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatósága segítséget kér egy másik tagállam adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságától, indokolással ellátott kérelmet kell benyújtania. Az ilyen kérelemmel megkeresett, adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak indokolatlan késedelem nélkül, a kérelem sürgősségével arányos időkereten belül választ kell adnia.

Az e cikk szerint kért és nyújtott segítségnyújtás keretében átadott bármely információ kizárólag abban az ügyben használható fel, amellyel kapcsolatban kikérték.

25. cikk

Az adataltruizmushoz való hozzájárulás európai űrlapja

(1) Az adataltruizmuson alapuló adatgyűjtés megkönnyítése érdekében a Bizottság az Európai Adatvédelmi Testülettel folytatott konzultációt követően, az Európai Adatinnovációs Testület véleményének figyelembevételével és az érdekelt felek bevonásával, végrehajtási jogi aktusok útján kidolgozza és továbbfejleszti az adataltruizmushoz való európai hozzájárulás űrlapját. Az űrlapnak lehetővé kell tennie, hogy a tagállamok egységes formátumban gyűjtsék a hozzájárulásokat vagy engedélyeket. Ezeket a végrehajtási jogi aktusokat a 33. cikk (2) bekezdésében említett tanácsadó-bizottsági eljárás keretében kell elfogadni.

(2) Az adataltruizmushoz való európai hozzájárulás űrlapjának olyan moduláris megközelítésen kell alapulnia, amely lehetővé teszi a testreszabást meghatározott ágazatokban és különböző célokra.

(3) Személyes adatok megadása esetén az adataltruizmushoz való európai hozzájárulás űrlapjának biztosítania kell, hogy az érintettek az (EU) 2016/679 rendelet követelményeinek megfelelően hozzájárulást adhassanak egy adott adatkezelési művelethez és visszavonhassák azt.

(4) Az űrlapnak papíron kinyomtatható és könnyen érthető formában, valamint elektronikus, gépi olvasásra alkalmas formában kell rendelkezésre állnia.

V. FEJEZET

Illetékes hatóságok és eljárási rendelkezések

26. cikk

Az illetékes hatóságokra vonatkozó követelmények

(1) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságoknak és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságoknak jogilag el kell különülniük és funkcionálisan függetlennek kell lenniük az adatközvetítő szolgáltatóktól és az elismert adataltruista szervezetektől. Az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok feladatait ugyanaz a hatóság is elláthatja. A tagállamok az említett célokra vagy létrehoznak egy vagy több új hatóságot, vagy a már meglévőkre támaszkodnak.

(2) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságoknak és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságoknak a feladataikat pártatlanul, átláthatóan, következetesen, megbízhatóan és időben kell ellátniuk. Feladataik ellátása során óvniuk kell a tisztességes versenyt és a megkülönböztetésmentességet.

(3) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok felső szintű vezetése és az érintett feladatok ellátásáért felelős személyzete nem lehet az általuk értékelt szolgáltatások tervezője, gyártója, szállítója, telepítője, vásárlója, tulajdonosa, felhasználója vagy üzemeltetője, sem e felek bármelyikének meghatalmazott képviselője. Ez nem zárja ki sem az adatközvetítő szolgáltatásokért felelős illetékes hatóság és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság működéséhez szükséges értékelt szolgáltatások igénybevételét, sem pedig az említett szolgáltatások személyes célú igénybevételét.

(4) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok felső vezetése és személyzete nem folytathat olyan tevékenységet, amely összeférhetetlen lehet döntéshozói függetlenségükkel vagy feddhetetlenségükkel a rájuk bízott értékelési tevékenységek tekintetében.

(5) Az adatközvetítő szolgáltatásokért felelős illetékes hatóságoknak és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságoknak rendelkezniük kell a rájuk ruházott feladatok elvégzéséhez szükséges pénzügyi és emberi erőforrásokkal, beleértve a szükséges műszaki ismereteket és erőforrásokat is.

(6) Valamely tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságainak és adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságainak indokolt kérésre késedelem nélkül meg kell küldeniük a Bizottságnak és a többi tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságainak és adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságainak az e rendelet szerinti feladataik ellátásához szükséges információkat. Ha egy adatközvetítő szolgáltatásokért felelős illetékes hatóság vagy egy adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság a kért információt a kereskedelmi és szakmai titoktartásra vonatkozó uniós és nemzeti joggal összhangban bizalmasnak tartja, a Bizottságnak és minden más érintett adatközvetítő szolgáltatásokért felelős illetékes hatóságnak és adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak biztosítania kell ezt a titoktartást.

27. cikk

A panasztétel joga

(1) A természetes és jogi személyeknek jogukban áll az e rendelet hatálya alá tartozó bármely üggyel kapcsolatban egyénileg vagy - adott esetben - együttesen panaszt benyújtani az érintett adatközvetítő szolgáltatásokért felelős illetékes hatósághoz valamely adatközvetítő szolgáltatóval szemben vagy az érintett adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatósághoz valamely elismert adataltruista szervezettel szemben.

(2) Azon adatközvetítő szolgáltatásokért felelős illetékes hatóság vagy azon adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni a panaszost:

a) az eljárás előrehaladásáról és a meghozott döntésről; valamint

b) a 28. cikk szerinti bírósági jogorvoslati lehetőségekről.

28. cikk

A hatékony bírósági jogorvoslathoz való jog

(1) Bármely közigazgatási vagy egyéb nem bírósági jogorvoslat sérelme nélkül minden érintett természetes és jogi személynek joga van a hatékony bírósági jogorvoslathoz a 14. cikkben említett, az adatközvetítő szolgáltatásokért felelős illetékes hatóságok által az adatközvetítő szolgáltatókra vonatkozó bejelentési rendszer irányításával, ellenőrzésével és alkalmazásával kapcsolatban hozott kötelező erejű döntések, valamint a 19. és 24. cikkben említett, az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok által az elismert adataltruista szervezetek ellenőrzésével kapcsolatban hozott kötelező erejű döntések tekintetében.

(2) Az e cikk szerinti bírósági eljárást azon tagállam bíróságai előtt kell megindítani, amelyben azon adatközvetítő szolgáltatásokért felelős illetékes hatóság vagy azon adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság található, amellyel szemben a bírósági jogorvoslattal egyénileg, vagy - adott esetben - együttesen, egy vagy több természetes vagy jogi személy képviselői útján élni kívánnak.

(3) Amennyiben az adatközvetítő szolgáltatásokért felelős illetékes hatóság vagy az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság nem intézkedik valamely panasz nyomán, az érintett természetes és jogi személyeknek joguk van a nemzeti jog szerinti hatékony bírósági jogorvoslathoz vagy egy megfelelő szakértelemmel rendelkező, pártatlan szerv általi felülvizsgálathoz.

VI. FEJEZET

Az Európai Adatinnovációs Testület

29. cikk

Európai Adatinnovációs Testület

(1) A Bizottság szakértői csoport formájában Európai Adatinnovációs Testületet hoz létre, amelyben az összes tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságainak és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságainak, az Európai Adatvédelmi Testületnek a képviselői, az európai adatvédelmi biztos, az ENISA és a Bizottság képviselői, az uniós kkv-követ vagy a kkv-követek hálózata által kinevezett képviselő, valamint meghatározott ágazatokban működő érintett szervek képviselői és a különleges szakértelemmel rendelkező szervek képviselői vesznek részt. Az egyéni szakértők kinevezésekor a Bizottság törekszik arra, hogy a szakértői csoport tagjai körében megvalósuljon a nemek közötti és a földrajzi egyensúly.

(2) Az Európai Adatinnovációs Testületnek legalább a következő három alcsoportból kell állnia:

a) az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok képviselőiből álló alcsoportból, a 30. cikk a), c), j) és k) pontja szerinti feladatok ellátása céljából;

b) a 30. cikk f) és g) pontjával összhangban a szabványosításra, a hordozhatóságra és az interoperabilitásra vonatkozó, műszaki jellegű megbeszéléseket folytató alcsoportból; valamint

c) az érdekelt felek bevonását biztosító alcsoportból, amelyben az ipar, a kutatás, az akadémiai körök, a civil társadalom, a szabványügyi szervezetek és a releváns közös európai adatterek releváns képviselői, valamint azon egyéb érdekelt felek és harmadik felek képviselői vesznek részt, amelyek tanácsadást nyújtanak az Európai Adatinnovációs Testületnek a 30. cikk d), e), f), g) és h) pontja szerinti feladatok ellátásához.

(3) Az Európai Adatinnovációs Testület ülésein a Bizottság elnököl.

(4) Az Európai Adatinnovációs Testület munkáját a Bizottság által biztosított titkárság támogatja.

30. cikk

Az Európai Adatinnovációs Testület feladatai

Az Európai Adatinnovációs Testületnek a következő feladatokat kell ellátnia:

a) tanácsadás és segítségnyújtás a Bizottság részére a 7. cikk (1) bekezdésében említett közszférabeli szervezetek és illetékes szervek által a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználására irányuló kérelmek kezelése során következetesen követendő gyakorlat kialakítására vonatkozóan;

b) tanácsadás és segítségnyújtás a Bizottság részére az adataltruizmus Unió-szerte követendő következetes gyakorlatának kialakítására vonatkozóan;

c) tanácsadás és segítségnyújtás a Bizottság részére az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok által az adatközvetítő szolgáltatókra és az elismert adataltruista szervezetekre vonatkozó követelmények alkalmazása során következetesen követendő gyakorlat kialakítására vonatkozóan;

d) tanácsadás és segítségnyújtás a Bizottság részére az arra vonatkozó következetes iránymutatások kidolgozására vonatkozóan, hogy miként lehetne e rendelet keretében a legjobban megvédeni a jogosulatlan hozzáféréstől - amely a szellemitulajdon-lopás vagy az ipari kémkedés kockázatával jár - a nem személyes, bizalmas üzleti adatokat, különösen az üzleti titkokat, de az olyan nem személyes adatokat is, amelyek szellemitulajdon-jogok által védett tartalmat képeznek;

e) tanácsadás és segítségnyújtás a Bizottság részére az adatcserére és -tárolásra vonatkozó kiberbiztonsági követelményekkel kapcsolatos következetes iránymutatások kidolgozására vonatkozóan;

f) tanácsadás a Bizottság részére - különösen a szabványügyi szervezetek észrevételeinek a figyelembevételével - az adatfelhasználáshoz és az újonnan megjelenő közös európai adatterek közötti ágazatközi adatmegosztáshoz alkalmazandó és kialakítandó ágazatközi szabványok priorizálását, az ágazatközi összehasonlítást és a biztonságra vonatkozó ágazati követelményekkel és a hozzáférési eljárásokkal kapcsolatos legjobb gyakorlatok megosztását illetően - figyelembe véve az ágazatspecifikus szabványosítási tevékenységeket -, különösen annak tisztázása és megkülönböztetése tekintetében, hogy mely szabványok és gyakorlatok ágazatközi jellegűek, és melyek ágazati jellegűek;

g) segítségnyújtás a Bizottság részére - különösen a szabványügyi szervezetek észrevételeinek a figyelembevételével - a belső piac és a belső piaci adatgazdaság széttöredezettségének a kezelésében, amely az adatok nemzetközi és ágazatközi interoperabilitásának, valamint a különböző ágazatok és területek közötti adatmegosztási szolgáltatásoknak a javításával valósulhat meg, a meglévő európai, nemzetközi vagy nemzeti szabványokra építve, többek között a közös európai adatterek létrehozásának ösztönzése céljából;

h) iránymutatástervetek kidolgozása a közös európai adatterekre, nevezetesen közös szabványok és gyakorlatok olyan célvagy ágazatspecifikus, illetve ágazatközi interoperábilis kereteire, amelyek az új termékek és szolgáltatások kifejlesztését, a tudományos kutatást vagy civil társadalmi kezdeményezéseket szolgáló adatmegosztásra vagy közös adatkezelésre irányulnak; e közös szabványoknak és gyakorlatoknak figyelembe kell venniük a meglévő szabványokat, meg kell felelniük a versenyszabályoknak, továbbá megkülönböztetésmentes hozzáférést kell biztosítaniuk valamennyi résztvevő számára az Unión belüli adatmegosztás előmozdítása, valamint a meglévő és a jövőbeli adatterekben rejlő lehetőségek kiaknázása céljából; amely iránymutatástervezetek többek között az alábbiakra terjednek ki:

i. az adatfelhasználáshoz és az ágazatközi adatmegosztáshoz alkalmazandó és kialakítandó ágazatközi szabványok, az ágazatközi összehasonlítás, a biztonságra vonatkozó ágazati követelményekkel és a hozzáférési eljárásokkal kapcsolatos legjobb gyakorlatok megosztása - figyelembe véve az ágazatspecifikus szabványosítási tevékenységeket -, valamint különösen annak tisztázása és megkülönböztetése, hogy mely szabványok és gyakorlatok ágazatközi jellegűek, és melyek ágazati jellegűek;

ii. a piacra lépés akadályainak elhárítását és a bezáródási hatások elkerülését célzó követelmények, amelyek a tisztességes verseny és az interoperabilitás biztosításához szükségesek;

iii. megfelelő védelem a harmadik országokba irányuló jogszerű adattovábbítás tekintetében, ideértve az uniós jog által tiltott adattovábbítás elleni biztosítékokat is;

iv. az érdekelt felek megfelelő és megkülönböztetésmentes képviselete a közös európai adatterek irányításában;

v. a kiberbiztonsági követelmények betartása az uniós joggal összhangban;

i) a tagállamok közötti együttműködés elősegítése olyan harmonizált feltételek meghatározásával kapcsolatban, amelyek a közszférabeli szervezetek birtokában lévő, a 3. cikk (1) bekezdése szerinti adatkategóriáknak a belső piacon történő további felhasználására vonatkoznak;

j) az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok közötti együttműködés elősegítése kapacitásépítés és információcsere révén, különösen az adatközvetítő szolgáltatókra vonatkozó bejelentési eljárással, valamint az elismert adataltruista szervezetek nyilvántartásba vételével és ellenőrzésével kapcsolatos hatékony információcsere módszereinek a kidolgozása révén - beleértve a díjak és a szankciók meghatározása terén folytatott koordinációt is -, valamint az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok közötti együttműködés elősegítése a nemzetközi hozzáférés és adattovábbítás terén;

k) tanácsadás és segítségnyújtás a Bizottság részére annak értékeléséhez, hogy szükség van-e az 5. cikk (11) és (12) bekezdésében említett végrehajtási jogi aktusok elfogadására;

l) tanácsadás és segítségnyújtás a Bizottság részére az adataltruizmushoz való hozzájárulás európai űrlapjának a 25. cikk (1) bekezdésével összhangban történő kidolgozásához;

m) tanácsadás a Bizottság részére a nem személyes adatokra vonatkozó nemzetközi szabályozási környezet javításával - például a szabványosítással - kapcsolatban.

VII. FEJEZET

Nemzetközi hozzáférés és továbbítás

31. cikk

Nemzetközi hozzáférés és továbbítás

(1) A közszférabeli szervezetnek, a II. fejezet alapján az adatok további felhasználására feljogosított természetes vagy jogi személynek, az adatközvetítő szolgáltatónak vagy az elismert adataltruista szervezetnek minden észszerű technikai, jogi és szervezési intézkedést meg kell hoznia - ideértve a szerződéses megállapodások megkötését is - annak érdekében, hogy - a (2) vagy (3) bekezdés sérelme nélkül - megakadályozza az Unióban tárolt nem személyes adatok nemzetközi továbbítását vagy az azokhoz való nemzetközi kormányzati hozzáférést, amennyiben az említett továbbítás vagy hozzáférés ellentétes lenne az uniós joggal vagy az érintett tagállam nemzeti jogával.

(2) Valamely harmadik országok bíróságainak bármely olyan határozatát vagy ítéletét, valamint valamely harmadik ország közigazgatási hatóságainak bármely olyan határozatát, amely egy közszférabeli szervezet, a II. fejezet alapján az adatok további felhasználására feljogosított természetes vagy jogi személy, egy adatközvetítő szolgáltató vagy az elismert adataltruista szervezet számára előírja az Unióban tárolt, e rendelet hatálya alá tartozó nem személyes adatok továbbítását, vagy az azokhoz az Unióban való hozzáférés biztosítását, csak akkor lehet bármilyen módon elismerni vagy végrehajtani, ha az olyan hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyről szóló megállapodáson alapul, amely a megkereső harmadik ország és az Unió vagy a megkereső harmadik ország és egy tagállam között jött létre.

(3) Az e cikk (2) bekezdésében említett nemzetközi megállapodás hiányában, amennyiben egy harmadik ország bírósága vagy egy harmadik ország közigazgatási hatósága által hozott, az Unióban tárolt, az e rendelet hatálya alá tartozó nem személyes adatok továbbítására vagy az azokhoz való hozzáférés biztosítására irányuló határozat vagy ítélet címzettje egy közszférabeli szervezet, a II. fejezet alapján az adatok további felhasználására feljogosított természetes vagy jogi személy, egy adatközvetítő szolgáltató vagy az elismert adataltruista szervezet, és a címzett az említett határozatnak való megfeleléssel az uniós jog vagy az érintett tagállam nemzeti jogának megsértését kockáztatná, az említett adatoknak az adott harmadik országbeli hatósághoz történő továbbítására vagy az azokhoz való hozzáférés biztosítására csak akkor kerülhet sor, ha:

a) a harmadik országbeli rendszer előírja az ilyen határozat vagy ítélet indokainak és arányosságának bemutatását, valamint az ilyen határozat vagy ítélet konkrét jellegét, például azáltal, hogy az kellő hivatkozást tartalmaz bizonyos gyanúsított személyekre vagy jogsértésekre;

b) a címzett indokolt kifogását a harmadik ország illetékes bírósága vizsgálja felül; és

c) a határozatot vagy ítéletet kiadó vagy a közigazgatási hatóság határozatának felülvizsgálatát végző harmadik országbeli illetékes bíróságnak az adott harmadik ország joga szerint hatásköre van arra, hogy kellően figyelembe vegye az uniós jog vagy az érintett tagállam nemzeti joga által védett adatok szolgáltatójának vonatkozó jogi érdekeit.

(4) Ha a (2) vagy a (3) bekezdésben megállapított feltételek teljesülnek, a közszférabeli szervezetnek, a II. fejezet alapján az adatok további felhasználására feljogosított természetes vagy jogi személynek, az adatközvetítő szolgáltatónak vagy az elismert adataltruista szervezetnek - a kérelem észszerű értelmezése alapján - csak a kérelem alapján engedélyezhető minimális adatmennyiséget kell rendelkezésre bocsátania.

(5) A közszférabeli szervezetnek, a II. fejezet alapján az adatok további felhasználására feljogosított természetes vagy jogi személynek, az adatközvetítő szolgáltatónak és az elismert adataltruista szervezetnek - még a kérelem teljesítését megelőzően - tájékoztatnia kell az adatbirtokost a harmadik országbeli közigazgatási hatóság adatokhoz való hozzáférés iránti kérelmének a fennállásáról, kivéve azokat az eseteket, amikor a kérelem bűnüldözési célokat szolgál, és mindaddig, amíg ez a bűnüldözési tevékenység hatékonyságának megőrzése érdekében szükséges.

VIII. FEJEZET

Felhatalmazás és bizottsági eljárás

32. cikk

A felhatalmazás gyakorlása

(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.

(2) A Bizottságnak az 5. cikk (13) bekezdésében és a 22. cikk (1) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása határozatlan időre szól 2022. június 23-tól kezdődő hatállyal.

(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja az 5. cikk (13) bekezdésében és a 22. cikk (1) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban megállapított elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.

(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(6) Az 5. cikk (13) bekezdése vagy a 22. cikk (1) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő három hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam három hónappal meghosszabbodik.

33. cikk

A bizottsági eljárás

(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.

(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 4. cikkét kell alkalmazni.

(3) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

IX. FEJEZET

Záró és átmeneti rendelkezések

34. cikk

Szankciók

(1) A tagállamok megállapítják a nem személyes adatok harmadik országokba történő továbbítására vonatkozó, az 5. cikk (14) bekezdése és a 31. cikk szerinti kötelezettségeknek, az adatközvetítő szolgáltatók 11. cikk szerinti bejelentési kötelezettségének, az adatközvetítő szolgáltatások nyújtására vonatkozó, 12. cikk szerinti feltételeknek, valamint az elismert adataltruista szervezetként történő nyilvántartásba vételre vonatkozó, a 18., a 20., a 21. és a 22. cikk szerinti feltételeknek a megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. A tagállamok a szankciókra vonatkozó szabályaikban figyelembe veszik az Európai Adatinnovációs Testület ajánlásait. A tagállamok e szabályokról és intézkedésekről 2023. szeptember 24-ig tájékoztatják a Bizottságot, és haladéktalanul tájékoztatják a Bizottságot az e szabályokat és intézkedéseket érintő minden későbbi módosításról.

(2) A tagállamok az adatközvetítő szolgáltatók és az elismert adataltruista szervezetek e rendelet megsértése miatti szankcionálása során biztosítják adott estben a következő, nem kimerítő jellegű és indikatív kritériumok figyelembevételét:

a) a jogsértés jellege, súlyossága, mértéke és időtartama;

b) az adatközvetítő szolgáltató vagy az elismert adataltruista szervezet által a jogsértés okozta károk enyhítése vagy orvoslása érdekében tett bármely intézkedés;

c) az adatközvetítő szolgáltató vagy az elismert adataltruista szervezet által elkövetett bármely korábbi jogsértés;

d) az adatközvetítő szolgáltató vagy az elismert adataltruista szervezet által a jogsértés következményeként szerzett pénzügyi haszon vagy elkerült veszteség, amennyiben e haszon vagy veszteség megbízható módon megállapítható;

e) az eset körülményeire alkalmazható minden egyéb súlyosító vagy enyhítő tényező.

35. cikk

Értékelés és felülvizsgálat

A Bizottság 2025. szeptember 24-ig elvégzi e rendelet értékelését, és a főbb megállapításairól jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és az Európai Gazdasági és Szociális Bizottságnak. A jelentéshez szükség esetén jogalkotási javaslatokat kell csatolni.

A jelentésnek különösen a következők vizsgálatára kell kiterjednie:

a) a tagállamok által a 34. cikk alapján megállapított szankciókra vonatkozó szabályok alkalmazása és működése;

b) mennyiben felelnek meg az Unióban nem letelepedett adatközvetítő szolgáltatók és elismert adataltruista szervezetek jogi képviselői e rendeletnek, valamint mennyiben érvényesíthetők az e szolgáltatókra és szervezetekre kiszabott szankciók;

c) a IV. fejezet szerint nyilvántartásba vett adataltruista szervezetek típusa és az adatmegosztás alapjául szolgáló közérdekű célok áttekintése a kapcsolódó egyértelmű kritériumok megállapítása érdekében.

A tagállamok megküldik az e jelentés elkészítéséhez szükséges információkat a Bizottságnak.

36. cikk

Az (EU) 2018/1724 rendelet módosítása

Az (EU) 2018/1724 rendelet II. mellékletében található táblázatban a „Vállalkozás indítása, működtetése és megszüntetése” bejegyzés helyébe a következő szöveg lép:

Életesemények Eljárások Várt eredmény, a kérelemnek adott esetben az
illetékes hatóság által a nemzeti jog szerint való
elbírálása függvényében
Vállalkozás indítása, működtetése és megszüntetése Üzleti tevékenység bejegyzése, az annak gyakorlásához szükséges engedélyek, üzleti tevékenység módosítása és üzleti tevékenység megszüntetése csődeljárás vagy felszámolási eljárás nélkül, kivéve az üzleti tevékenység cégnyilvántartásba való kezdeti bejegyzését és az EUMSZ 54. cikkének második bekezdése szerinti társaságok alapítására vagy az ilyen társaságok bármilyen későbbi bejegyzési kérelmére vonatkozó eljárásokat Visszaigazolás az üzleti tevékenység bejegyzése, módosítása vagy az engedélyezésre irányuló kérelem kézhezvételéről
Munkáltató (természetes személy) kötelező nyugdíj- és biztosítási rendszereknél való nyilvántartásba vétele A nyilvántartásba vétel vagy a társadalombiztosítási nyilvántartási szám visszaigazolása
Munkavállaló kötelező nyugdíj- és biztosítási rendszereknél való bejelentése A bejelentés vagy a társadalombiztosítási nyilvántartási szám visszaigazolása
Társaságiadó-bevallás benyújtása Visszaigazolás a bevallás kézhezvételéről
A társadalombiztosítási rendszerek értesítése a munkavállalóval kötött szerződés megszűnéséről, ide nem értve a munkaszerződések csoportos megszüntetésére vonatkozó eljárásokat Az értesítés kézhezvételének igazolása
A munkavállalók társadalombiztosítási járulékainak befizetése A munkavállalók társadalombiztosítási járulékainak befizetéséről szóló elismervény vagy más igazolás
Adatközvetítő szolgáltatóként történő bejelentés Visszaigazolás a bejelentés kézhezvételéről
Az Unióban elismert adataltruista szervezetként történő nyilvántartásba vétel Visszaigazolás a nyilvántartásba vételről

37. cikk

Átmeneti rendelkezések

A 2022. június 23-án a 10. cikkben említett adatközvetítő szolgáltatásokat nyújtó szervezeteknek a III. fejezetben meghatározott kötelezettségeknek 2025. szeptember 24-ig eleget kell tenniük.

38. cikk

Hatálybalépés és alkalmazás

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ezt a rendeletet 2023. szeptember 24-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2022. május 30-án.

az Európai Parlament részéről
az elnök
R. METSOLA
a Tanács részéről
az elnök
B. LE MAIRE