32022R0868[1]

Az Európai Parlament és a Tanács (EU) 2022/868 rendelete (2022. május 30.) az európai adatkormányzásról és az (EU) 2018/1724 rendelet módosításáról (adatkormányzási rendelet) (EGT-vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/868 RENDELETE

(2022. május 30.)

az európai adatkormányzásról és az (EU) 2018/1724 rendelet módosításáról (adatkormányzási rendelet)

(EGT-vonatkozású szöveg)

I. FEJEZET

Általános rendelkezések

1. cikk

Tárgy és hatály

E rendelet meghatározza a következőket:

a) a közszférabeli szervezetek birtokában lévő adatok bizonyos kategóriáinak az Unión belüli további felhasználására vonatkozó feltételek;

b) az adatközvetítő szolgáltatások nyújtására vonatkozó bejelentési és felügyeleti keret;

c) azon szervezetek önkéntes nyilvántartásba vételére vonatkozó keret, amelyek altruisztikus célokra rendelkezésre bocsátott adatokat gyűjtenek és kezelnek; és

d) az Európai Adatinnovációs Testület létrehozására szolgáló keret.

Ez a rendelet nem érinti:

a) az uniós vagy nemzeti jogban meglévő, bizonyos adatkategóriákhoz való hozzáférésre vagy azok további felhasználására vonatkozó egyedi rendelkezéseket, különös tekintettel a hivatalos dokumentumokhoz való hozzáférés engedélyezésére és azok közzétételére; és

b) a közszférabeli szervezetekre az uniós vagy a nemzeti jog alapján háruló azon kötelezettségeket, hogy engedélyezzék az adatok további felhasználását, illetve a nem személyes adatok kezelésével kapcsolatos követelményeket.

Amennyiben az ágazatspecifikus uniós vagy nemzeti jog előírja a közszférabeli szervezetek, adatközvetítő szolgáltatók vagy az elismert adataltruista szervezetek számára további konkrét műszaki, adminisztratív vagy szervezeti követelményeknek a teljesítését - többek között engedélyezési vagy tanúsítási rendszer révén -, az említett ágazatspecifikus uniós vagy nemzeti jog érintett rendelkezéseit is alkalmazni kell. Minden ilyen további specifikus követelménynek megkülönböztetéstől mentesnek, arányosnak és objektív módon indokoltnak kell lennie.

2. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

1. "adat": aktusok, tények vagy információk bármilyen digitális megjelenítése, vagy az említett aktusok, tények és információk összeállításai, többek között hang-, kép- vagy audiovizuális felvétel formájában is;

2. "további felhasználás": a közszférabeli szervezetek birtokában lévő adatok természetes vagy jogi személyek általi felhasználása olyan kereskedelmi vagy nem kereskedelmi célokra, amelyek kívül esnek azon a közfeladat ellátása keretén belüli eredeti célon, amelyre az adatokat előállították, a közszférabeli szervezetek közötti, kizárólag közfeladataik ellátása keretében történő adatcsere kivételével;

3. "személyes adat": az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott személyes adat;

4. "nem személyes adat": a személyes adatoktól eltérő adat;

5. "hozzájárulás": az (EU) 2016/679 rendelet 4. cikkének 11. pontjában meghatározott hozzájárulás;

6. "engedély": az adatfelhasználók feljogosítása arra, hogy nem személyes adatokat kezeljenek;

7. "érintett": az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott érintett;

8. "adatbirtokos": olyan jogi személy - ideértve a közszférabeli szervezeteket és a nemzetközi szervezeteket - vagy a szóban forgó konkrét adatok tekintetében nem érintett olyan természetes személy, amely vagy aki az alkalmazandó uniós vagy nemzeti joggal összhangban jogosult hozzáférést adni bizonyos személyes adatokhoz vagy nem személyes adatokhoz, vagy jogosult azokat megosztani;

9. "adatfelhasználó": az a természetes vagy jogi személy, aki vagy amely jogszerű hozzáféréssel rendelkezik bizonyos személyes vagy nem személyes adatokhoz, és többek között az (EU) 2016/679 rendelet értelmében a személyes adatok vonatkozásában jogosult ezeket az adatokat kereskedelmi vagy nem kereskedelmi célokra felhasználni;

10. "adatmegosztás": valamely érintett vagy adatbirtokos általi adatszolgáltatás egy adatfelhasználó számára az érintett adatok közös vagy egyéni felhasználása céljából, önkéntes megállapodások vagy az uniós vagy nemzeti jog alapján, közvetlenül vagy közvetítőn keresztül, például - kedvezményes díjért vagy díjmentesen - nyílt felhasználási vagy kereskedelmi engedélyek alapján;

11. "adatközvetítő szolgáltatás": olyan szolgáltatás, amelynek célja kereskedelmi kapcsolatok létrehozása - technikai, jogi vagy egyéb eszközök révén - egyrészről meghatározatlan számú érintett és adatbirtokos, másrészről az adatfelhasználók közötti adatmegosztás - többek között az érintettek személyes adatokkal kapcsolatos jogainak gyakorlása - céljából; nem tartoznak e fogalommeghatározás körébe legalább a következők: a) az olyan szolgáltatások, amelyek abból a célból szereznek be adatokat az adatbirtokosoktól és összesítik, gazdagítják vagy alakítják át az adatokat, hogy jelentősen növeljék azok értékét, és az így létrejött adatok felhasználását engedélyezzék az adatfelhasználóknak, anélkül, hogy az adatbirtokosok és az adatfelhasználók között kereskedelmi kapcsolatot hoznának létre; b) az olyan szolgáltatások, amelyek fő célja a szerzői jog által védett tartalom közvetítése; c) az olyan szolgáltatások, amelyeket kizárólag egyetlen adatbirtokos vesz igénybe az említett adatbirtokos birtokában lévő adatok felhasználásának lehetővé tétele érdekében, vagy amelyeket egy zárt csoporthoz tartozó több jogi személy vesz igénybe, ideértve a szolgáltatói vagy ügyfélkapcsolatokat, illetve a szerződéssel létrehozott együttműködéseket, különösen azokat, amelyek fő célja a dolgok internetéhez csatlakoztatott tárgyak és eszközök funkcióinak biztosítása; d) a közszférabeli szervezetek által kínált olyan adatmegosztási szolgáltatások, amelyeknek nem célja kereskedelmi kapcsolatok létrehozása;

12. "adatkezelés": a személyes adatok tekintetében az (EU) 2016/679 rendelet 4. cikke 2. pontjában meghatározott adatkezelés, a nem személyes adatok tekintetében az (EU) 2018/1807 rendelet 3. cikkének 2. pontjában meghatározott adatkezelés;

13. "hozzáférés": az adatok felhasználása meghatározott műszaki, jogi vagy szervezeti követelményeknek megfelelően, anélkül, hogy ez szükségszerűen magában foglalná az adatok továbbítását vagy letöltését;

14. jogi személy "tevékenységi központja": az Unión belüli központi ügyvitelének helye;

15. "adatszövetkezetek szolgáltatásai": olyan adatközvetítő szolgáltatások, amelyeket érintettekből, egyszemélyes vállalkozásokból vagy kkv-kból álló olyan szervezeti struktúra kínál, amelynek az említettek a tagjai, és amelynek fő céljai, hogy támogassa a tagjait bizonyos adatokra vonatkozó jogaik gyakorlásában, például arra vonatkozóan, hogy megalapozott döntéseket hozzanak az adatkezeléshez való hozzájárulásuk előtt, hogy eszmecserét folytassanak arról, hogy a tagjainak az adataikhoz fűződő érdekeit az adatkezelés milyen céljai és feltételei szolgálják a legjobban, és hogy a tagjai nevében megtárgyalja az adatkezelésre vonatkozó feltételeket, mielőtt a tagok engedélyt adnának a nem személyes adatok kezeléséhez vagy hozzájárulásukat adnák személyes adataik kezeléséhez;

16. "adataltruizmus": olyan önkéntes adatmegosztás, amely az érintetteknek a rájuk vonatkozó személyes adatok kezeléséhez való hozzájárulásán, vagy az adatbirtokosoknak a nem személyes adataik felhasználására vonatkozó engedélyén alapul anélkül, hogy ezért olyan díjat számítanának fel vagy kapnának, amely meghaladja az adataiknak adott esetben a nemzeti jogban előírt közérdekű célokra - mint például az egészségügy, az éghajlatváltozás elleni küzdelem, a mobilitás javítása, a hivatalos statisztikák fejlesztésének, előállításának és közzétételének megkönnyítése, a közszolgáltatások nyújtásának javítása, a közpolitikai döntéshozatal vagy a közérdeket szolgáló tudományos kutatás céljára - való rendelkezésre bocsátása esetén felmerült költségeik ellentételezését;

17. "közszférabeli szervezet": az állam, a regionális vagy helyi önkormányzatok, a közjogi intézmények, vagy az olyan társulások, amelyeket egy vagy több ilyen hatóság, illetve közjogi intézmény hozott létre;

18. "közjogi intézmények": olyan szervek, amelyre a következők jellemzők: a) kifejezetten közérdekű célra jöttek létre, és nem ipari vagy kereskedelmi jellegűek; b) jogi személyiséggel rendelkeznek; c) többségi részben az állam, regionális vagy helyi önkormányzatok, vagy egyéb közjogi intézmények finanszírozzák, irányításuk e hatóságok vagy intézmények felügyelete alatt áll, vagy olyan ügyvezető, döntéshozó vagy felügyelő testületük van, amely tagjainak több mint felét az állam, regionális vagy helyi önkormányzatok, vagy egyéb közjogi intézmények nevezik ki;

19. "közvállalkozás": olyan vállalkozás, amely felett a közszférabeli szervezetek közvetlenül vagy közvetett módon meghatározó befolyást gyakorolhatnak tulajdonjoguknál, pénzügyi részvételüknél vagy a vállalkozást szabályozó rendelkezéseknél fogva; e fogalommeghatározás alkalmazásában a közszférabeli szervezetek meghatározó befolyását vélelmezni kell minden olyan esetben, amikor az említett szervezetek közvetlenül vagy közvetve: a) birtokolják a vállalkozás jegyzett tőkéjének többségét; b) birtokolják a vállalkozás által kibocsátott részvényekhez kötődő szavazati jogok többségét; vagy c) a vállalkozás ügyvezető, döntéshozó vagy felügyelő testülete tagjainak több mint a felét nevezhetik ki;

20. "biztonságos adatkezelési környezet": olyan fizikai vagy virtuális környezet és szervezeti eljárásmód, amely az uniós jognak, mint például - különösen az érintettek jogai, a szellemitulajdon-jogok, a kereskedelmi adatokra vonatkozó titoktartás és a statisztikai adatvédelem, valamint az adatok sértetlensége és hozzáférhetősége tekintetében - az (EU) 2016/679 rendeletnek és az alkalmazandó nemzeti jognak való megfelelés biztosítását és annak lehetővé tételét célozza, hogy a biztonságos adatkezelési környezetet biztosító szervezet meghatározza és felügyelje az összes adatkezelési műveletet, beleértve az adatok megjelenítését, tárolását, letöltését és exportálását, továbbá a számítási algoritmusok segítségével származtatott adatok kiszámítását;

21. "jogi képviselő": az Unióban letelepedett bármely olyan természetes vagy jogi személy, akit vagy amelyet kifejezetten kijelöltek valamely, az Unióban nem letelepedett adatközvetítő szolgáltató vagy az Unióban nem letelepedett olyan szervezet nevében történő eljárásra, amely közérdekű célokból természetes vagy jogi személyek által adataltruizmus alapján rendelkezésre bocsátott adatokat gyűjt, és akihez vagy amelyhez az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok fordulhatnak az adatközvetítő szolgáltató vagy a szervezet mellett vagy helyett az e rendelet szerinti kötelezettségek tekintetében, többek között az említett kötelezettségeket be nem tartó, az Unióban nem letelepedett adatközvetítő szolgáltatóval vagy a szervezettel szembeni végrehajtási eljárás kezdeményezése tekintetében is.

II. FEJEZET

A közszférabeli szervezetek birtokában lévő védett adatok bizonyos kategóriáinak további felhasználása

3. cikk

Adatkategóriák

Ez a fejezet a közszférabeli szervezetek birtokában lévő olyan adatokra vonatkozik, amelyek a következő alapon védettek:

a) kereskedelmi adatokra vonatkozó titoktartás, ideértve az üzleti, a szakmai vagy a vállalati titkokat is;

b) statisztikai adatvédelem;

c) harmadik felek szellemitulajdon-jogainak védelme; vagy

d) személyes adatok védelme, amennyiben azok az (EU) 2019/1024 irányelv hatályán kívül esnek.

Ez a fejezet nem alkalmazandó az alábbiakra:

a) a közvállalkozások birtokában lévő adatok;

b) közszolgálati műsorszolgáltatók és leányvállalataik, valamint más szervek és leányvállalataik birtokában lévő olyan adatok, amelyek a közszolgálati műsorszolgáltatási feladat teljesítéséhez szükségesek;

c) kulturális intézmények és oktatási intézmények birtokában lévő adatok;

d) közszférabeli szervezetek birtokában lévő, közbiztonsági, védelmi vagy nemzetbiztonsági okokból védett adatok; vagy

e) olyan adatok, amelyek rendelkezésre bocsátása kívül esik az érintett közszférabeli szervezeteknek a törvény vagy a tagállam más kötelező erejű rendelkezései által - vagy ilyen rendelkezések hiányában az érintett tagállam szokásos igazgatási gyakorlatával összhangban - meghatározott közfeladatainak hatályán, feltéve, hogy a közfeladatok köre átlátható és felülvizsgálat tárgyát képezi.

Ez a fejezet nem érinti:

a) az uniós és nemzeti jogot és az (1) bekezdésben említett adatkategóriák védelméről szóló azon nemzetközi megállapodásokat, amelyeknek az Unió vagy a tagállamok részes felei; és

b) a dokumentumokhoz való hozzáférésre vonatkozó uniós és nemzeti jogot.

4. cikk

Kizárólagos megállapodások tilalma

5. cikk

A további felhasználás feltételei

A tagállamok biztosítják, hogy a közszférabeli szervezetek rendelkeznek az e cikknek való megfeleléshez szükséges erőforrásokkal.

A közszférabeli szervezeteknek az uniós és a nemzeti joggal összhangban biztosítaniuk kell az adatok védett jellegének megóvását. A közszférabeli szervezetek a következő követelményeket írhatják elő:

a) az adatok további felhasználásához való hozzáférés megadása kizárólag abban az esetben, ha a közszférabeli szervezet vagy az illetékes szerv - a további felhasználás iránti kérelmet követően - gondoskodott arról, hogy az adatokat: i. anonimizálják személyes adatok esetében; és ii. módosítsák, összesítsék vagy az adatfelfedés elleni védelmet szolgáló bármely más módszerrel kezeljék bizalmas üzleti információk - többek között üzleti titkok vagy szellemitulajdon-jogok által védett tartalmak - esetében;

b) az adatokhoz való hozzáférés és azok további felhasználása távoli eléréssel a közszférabeli szervezet által biztosított vagy ellenőrzött biztonságos adatkezelési környezetben;

c) az adatokhoz való hozzáférés és azok további felhasználása azon a fizikai létesítményen belül, amelyben magas szintű biztonsági előírásoknak megfelelően a biztonságos adatkezelési környezet található, feltéve hogy a távoli hozzáférés nem engedélyezhető harmadik felek jogainak és érdekeinek veszélyeztetése nélkül.

A közszférabeli szervezetek kizárólag akkor továbbíthatnak nem személyes bizalmas adatokat vagy szellemitulajdon-jogokkal védett adatokat egy olyan továbbfelhasználónak, aki ezen adatokat a (12) bekezdés szerint kijelölt országoktól eltérő harmadik országba szándékozik továbbítani, ha a továbbfelhasználó szerződéses kötelezettséget vállal a következőkre:

a) a (7) és a (8) bekezdéssel összhangban előírt kötelezettségeknek való megfelelés, az adatok harmadik országba történő továbbítását követően is; valamint

b) a továbbító közszférabeli szervezet szerinti tagállam bíróságai joghatóságának elfogadása a (7) és a (8) bekezdésnek való megfeleléssel kapcsolatos bármely jogvita tekintetében.

A közszférabeli szervezetek és a továbbfelhasználók segítése érdekében a Bizottság végrehajtási jogi aktusokat fogadhat el, amelyekben az e cikk (10) bekezdésében említett kötelezettségek teljesítésére vonatkozó, a szerződésekben rögzítendő mintaklauzulákat hoz létre. Ezeket a végrehajtási jogi aktusokat a 33. cikk (3) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Amennyiben a nem személyes adatok bizonyos harmadik országokban való további felhasználására vonatkozóan Unió-szerte benyújtott kérelmek jelentős száma indokolja, a Bizottság végrehajtási jogi aktusokat fogadhat el, amelyekben megállapítja, hogy valamely harmadik ország jogi, felügyeleti és végrehajtási kerete:

a) a szellemi tulajdon és az üzleti titkok védelmét az uniós jog által biztosított oltalommal lényegében egyenértékű módon biztosítja;

b) ténylegesen alkalmazásra és végrehajtásra kerül; és

c) hatékony bírósági jogorvoslatot biztosít.

Ezeket a végrehajtási jogi aktusokat a 33. cikk (3) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

E különleges feltételeknek az adott uniós jogalkotási aktusban meghatározott nem személyes adatkategóriák jellegén és azokon az okokon kell alapulniuk, amelyekre tekintettel e kategóriákat a nem személyes, anonimizált adatok anonim jellege megszüntetésének kockázatára tekintettel érzékenynek minősítik. E különleges feltételeknek megkülönböztetésmentesnek kell lenniük, és az említett jogi aktusban meghatározott uniós közpolitikai célkitűzések eléréséhez szükséges mértékre kell korlátozódniuk, az Unió nemzetközi kötelezettségeivel összhangban.

Amennyiben az első albekezdésben említett adott uniós jogalkotási aktusok ezt előírják, e különleges feltételek között szerepelhetnek a továbbításra alkalmazandó feltételek vagy az ezzel kapcsolatos technikai intézkedések, az adatok harmadik országokban történő további felhasználására vonatkozó korlátozások vagy azon személyek kategóriái, akik jogosultak az említett adatok harmadik országokba történő továbbítására, vagy kivételes esetekben a harmadik országokba történő továbbításra vonatkozó korlátozások.

6. cikk

Díjak

A díjakat a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználása iránti kérelmekre vonatkozó eljárás lefolytatásához kapcsolódó költségek alapján kell kiszámítani; és azoknak a következőkkel kapcsolatban felmerülő, szükséges költségekre kell korlátozódniuk:

a) az adatok sokszorosítása, szolgáltatása és terjesztése;

b) szerzői jogi engedélyeztetés;

c) a személyes és a bizalmas üzleti adatoknak az 5. cikk (3) bekezdésében előírt anonimizálása vagy egyéb előkészítési módja;

d) a biztonságos adatkezelési környezet karbantartása;

e) az e fejezet szerinti további felhasználás engedélyezésére való jognak a közszférán kívüli harmadik felektől történő megszerzése; és

f) a továbbfelhasználók abban való segítése, hogy azon érintettektől hozzájárulást, illetve azon adatbirtokosoktól engedélyt kérjenek, akiknek a jogait és érdekeit az ilyen további felhasználás érintheti.

7. cikk

Illetékes szervek

Az (1) bekezdésben előírt segítségnek szükség esetén a következőket kell magában foglalnia:

a) technikai támogatás nyújtása az adatok további felhasználásához való hozzáférést biztosító biztonságos adatkezelési környezet rendelkezésre bocsátásával;

b) iránymutatás és technikai támogatás nyújtása azzal kapcsolatban, hogy miként kell az adatokat úgy strukturálni és tárolni, hogy ezen adatok könnyen hozzáférhetők legyenek;

c) technikai támogatás nyújtása az álnevesítéshez és az adatkezelés oly módon történő biztosításához, amely ténylegesen megóvja az azon adatokban foglalt információk védelmét, bizalmas jellegét, sértetlenségét és hozzáférhetőségét, amelyek további felhasználása engedélyezett, beleértve a személyes adatok anonimizálását, általánosítását, elrejtését és randomizálását vagy a magánélet védelmét szolgáló egyéb korszerű módszereket, valamint a bizalmas üzleti információk, köztük az üzleti titkok vagy a szellemitulajdon-jogok által védett tartalmak törlését;

d) adott esetben a közszférabeli szervezetek segítése abban, hogy támogatást nyújtsanak a továbbfelhasználók számára ahhoz, hogy az érintettektől hozzájárulást, illetve az adatbirtokosoktól engedélyt kérjenek azok egyedi döntéseivel összhangban, többek között azon joghatóságra vonatkozóan, ahol az adatkezelést végezni kívánják, továbbá a közszférabeli szervezetek segítése abban, hogy - amennyiben ez a gyakorlatban megvalósítható - technikai mechanizmust alakítsanak ki a továbbfelhasználók hozzájárulás vagy engedély iránti kérelmeinek továbbítására;

e) segítségnyújtás a közszférabeli szervezetek számára a továbbfelhasználók által az 5. cikk (10) bekezdése szerinti szerződéses kötelezettségvállalások megfelelőségének értékelése tekintetében.

8. cikk

Egyablakos információs pontok

9. cikk

A további felhasználás iránti kérelmekre vonatkozó eljárás

Kivételesen a további felhasználás iránti terjedelmes és összetett kérelmek esetében ezen kéthónapos határidő legfeljebb 30 nappal meghosszabbítható. Ilyen esetben az illetékes közszférabeli szervezeteknek vagy a 7. cikk (1) bekezdésében említett illetékes szerveknek a lehető leghamarabb értesíteniük kell a kérelmezőt arról, hogy az eljárás lefolytatása több időt igényel, valamint a határidő-hosszabbítás okairól.

III. FEJEZET

Az adatközvetítő szolgáltatásokra alkalmazandó követelmények

10. cikk

Adatközvetítő szolgáltatások

A következő adatközvetítő szolgáltatások nyújtásának meg kell felelnie a 12. cikknek, és bejelentési eljárás hatálya alá kell tartoznia:

a) közvetítő szolgáltatások adatbirtokosok és potenciális adatfelhasználók között, beleértve az említett szolgáltatások lehetővé tételéhez szükséges technikai vagy egyéb eszközök rendelkezésre bocsátását is; ezek a szolgáltatások magukban foglalhatják a két- vagy többoldalú adatcserét, vagy olyan platformok vagy adatbázisok létrehozását, amelyek lehetővé teszik az adatok cseréjét vagy közös felhasználását, valamint az adatbirtokosok adatfelhasználókkal való összekapcsolását szolgáló egyéb egyedi infrastruktúra létrehozását;

b) közvetítő szolgáltatások a potenciális adatfelhasználók és azon érintettek között, akik személyes adataikat rendelkezésre kívánják bocsátani, illetve azon természetes személyek között, akik nem személyes adatokat kívánnak rendelkezésre bocsátani, ideértve az említett szolgáltatások lehetővé tételéhez szükséges technikai vagy egyéb eszközök rendelkezésre bocsátását, különösen pedig az (EU) 2016/679 rendeletben az érintettek számára biztosított jogok gyakorlásának lehetővé tételét;

c) adatszövetkezetek szolgáltatásai.

11. cikk

Az adatközvetítő szolgáltatók által teendő bejelentés

Az e rendeletnek való megfelelés biztosítása érdekében az adatközvetítő szolgáltatónak fel kell hatalmaznia a jogi képviselőt arra, hogy az adatközvetítő szolgáltatásokért felelős illetékes hatóságok, az érintettek és az adatbirtokosok a nyújtott adatközvetítő szolgáltatásokkal kapcsolatos valamennyi kérdésben hozzá fordulhassanak az adott adatközvetítő szolgáltató mellett vagy helyett. A jogi képviselőnek együtt kell működnie az adatközvetítő szolgáltatásokért felelős illetékes hatóságokkal, és kérésre teljes körűen be kell mutatnia az adatközvetítő szolgáltató által az e rendeletnek való megfelelés biztosítása érdekében hozott intézkedéseket és bevezetett rendelkezéseket.

Úgy kell tekinteni, hogy az adatközvetítő szolgáltató a jogi képviselő helye szerinti tagállam joghatósága alá tartozik. Az, hogy az adatközvetítő szolgáltató jogi képviselőt jelöl ki, nem érinti az adatközvetítő szolgáltatóval szemben indítható bármely jogi eljárást.

Az (1) bekezdésben említett bejelentésnek a következő információkat kell tartalmaznia:

a) az adatközvetítő szolgáltató neve;

b) az adatközvetítő szolgáltató jogállása, cégformája, tulajdonosi szerkezete, releváns leányvállalatai és - amennyiben az adatközvetítő szolgáltató cégnyilvántartásban vagy egyéb hasonló nemzeti nyilvános nyilvántartásban szerepel - a cégjegyzékszáma;

c) az adatközvetítő szolgáltató tevékenységi központjának címe az Unióban, ha van ilyen, és adott esetben egy másik tagállamban található másodlagos fióktelepének vagy a jogi képviselőnek a címe;

d) egy olyan nyilvános weboldal, amelyen teljes és naprakész információk találhatók az adatközvetítő szolgáltatóval és a tevékenységekkel kapcsolatban, és amely tartalmazza legalább az a), b), c) és f) pontban említett információkat;

e) az adatközvetítő szolgáltató kapcsolattartói és elérhetőségei;

f) az adatközvetítő szolgáltató által nyújtani tervezett adatközvetítő szolgáltatás leírása, és a 10. cikkben felsorolt azon kategóriák megjelölése, amelyekbe ezen adatközvetítő szolgáltatás tartozik;

g) a tevékenység megkezdésének becsült időpontja, amennyiben eltér a bejelentés időpontjától.

Annak biztosítása érdekében, hogy az Unióban elismert adatközvetítő szolgáltatók könnyen azonosíthatók legyenek az Unió egész területén, a Bizottság végrehajtási jogi aktusok útján kidolgozza a közös logó rajzolatát. Az Unióban elismert adatközvetítő szolgáltatóknak egyértelműen fel kell tüntetniük a közös logót minden olyan online és offline kiadványon, amely adatközvetítői tevékenységeikre vonatkozik.

Ezeket a végrehajtási jogi aktusokat a 33. cikk (2) bekezdésében említett tanácsadó-bizottsági eljárás keretében kell elfogadni.

12. cikk

Az adatközvetítő szolgáltatások nyújtásának feltételei

A 10. cikkben említett adatközvetítő szolgáltatások nyújtására a következő feltételek alkalmazandók:

a) az adatközvetítő szolgáltató nem használhatja az adatfelhasználók rendelkezésére bocsátásától eltérő más célra azokat az adatokat, amelyekre vonatkozóan adatközvetítő szolgáltatásokat nyújt, és az adatközvetítő szolgáltatásokat külön jogi személyen keresztül kell nyújtania;

b) az adatközvetítő szolgáltatásoknak az adatbirtokos vagy adatfelhasználó részére történő nyújtására vonatkozó kereskedelmi feltételek, beleértve az árazást is, nem tehetők függővé attól, hogy az adatbirtokos vagy az adatfelhasználó igénybe vesz-e más, ugyanazon adatközvetítő szolgáltató vagy egy ahhoz kapcsolt jogalany által nyújtott szolgáltatásokat, és ha igen, akkor az adatbirtokos vagy az adatfelhasználó milyen mértékben veszi igénybe az említett más szolgáltatásokat;

c) az adatközvetítő szolgáltatás nyújtása céljából valamely természetes vagy jogi személy bármely tevékenységével kapcsolatban gyűjtött adatok - beleértve a dátumot, az időpontot és a földrajzi helymeghatározási adatokat, a tevékenység időtartamát és az adatközvetítő szolgáltatást igénybe vevő személy által más természetes vagy jogi személyekkel létrehozott kapcsolatokat - kizárólag az adott adatközvetítő szolgáltatás fejlesztésére használhatók fel, ami magában foglalhatja az adatok csalás felderítésére vagy kiberbiztonság céljára való felhasználását, és azokat kérésre az adatbirtokosok rendelkezésére kell bocsátani;

d) az adatközvetítő szolgáltatónak elő kell segítenie az adatok cseréjét abban a formátumban, amelyben azokat az érintettől vagy az adatbirtokostól megkapja, és az adatokat csak az ágazaton belüli és ágazatok közötti interoperabilitás javítása érdekében vagy az adatfelhasználó kérésére vagy az uniós jog vonatkozó rendelkezése alapján, vagy pedig a nemzetközi vagy európai adatszabványokkal való harmonizáció biztosítása céljából alakíthatja át meghatározott formátumokra és az ilyen átalakítás tekintetében kívülmaradási lehetőséget kell biztosítania az érintettek vagy adatbirtokosok számára, kivéve, ha az átalakítást az uniós jog írja elő;

e) az adatközvetítő szolgáltatások magukban foglalhatják olyan további egyedi eszközöknek és szolgáltatásoknak az adatbirtokosok vagy érintettek részére történő nyújtását, amelyek kifejezetten az adatcsere megkönnyítését célozzák, ideértve például az ideiglenes tárolást, a gondozást, az átalakítást, az anonimizálást vagy az álnevesítést; ezek az eszközök csak az adatbirtokos vagy az érintett kifejezett kérésére vagy jóváhagyásával használhatók, és az ebben az összefüggésben kínált, harmadik féltől származó eszközöket nem használhatják az adatokat eltérő célra;

f) az adatközvetítő szolgáltatónak biztosítania kell, hogy a szolgáltatásához való hozzáférés eljárása méltányos, átlátható és megkülönböztetésmentes legyen az érintettek, az adatbirtokosok és az adatfelhasználók számára egyaránt, az árakat és a szolgáltatási feltételeket illetően is;

g) az adatközvetítő szolgáltatónak rendelkeznie kell olyan eljárásokkal, amelyek megakadályozzák a adatközvetítő szolgáltatásain keresztül hozzáférést kérő felekkel kapcsolatos csalárd vagy visszaélésszerű gyakorlatokat;

h) az adatközvetítő szolgáltatónak fizetésképtelensége esetén biztosítania kell adatközvetítő szolgáltatásainak észszerű folytonosságát, és ha ezen adatközvetítő szolgáltatások adattárolást biztosítanak, olyan mechanizmusokkal kell rendelkeznie, amelyek lehetővé teszik az adatbirtokosok és az adatfelhasználók számára, hogy hozzáférjenek adataikhoz, hogy továbbítsák vagy visszanyerjék adataikat, valamint - ha ezen adatközvetítő szolgáltatások nyújtására az érintettek és az adatfelhasználók között kerül sor - az érintettek számára lehetővé teszik jogaik gyakorlását;

i) az adatközvetítő szolgáltatónak megfelelő intézkedésekkel kell biztosítania az egyéb adatközvetítő szolgáltatásokkal való interoperabilitást, többek között olyan nyílt szabványok révén, amelyeket általánosan alkalmaznak abban az ágazatban, amelyben az adatközvetítő szolgáltató működik;

j) az adatközvetítő szolgáltatónak megfelelő technikai, jogi és szervezeti intézkedéseket kell bevezetnie a nem személyes adatok olyan továbbításának vagy az azokhoz való olyan hozzáférésnek a megakadályozása érdekében, amely az uniós jog vagy az adott tagállam nemzeti joga értelmében jogellenesnek minősül;

k) az adatközvetítő szolgáltatónak indokolatlan késedelem nélkül tájékoztatnia kell az adatbirtokosokat az általa megosztott nem személyes adatokhoz való jogosulatlan hozzáférésről, valamint az ilyen adatok jogosulatlan továbbításáról vagy felhasználásáról;

l) az adatközvetítő szolgáltatónak intézkedéseket kell hoznia a nem személyes adatok tárolása, kezelése és továbbítása megfelelő szintű biztonságának szavatolása érdekében, valamint az adatközvetítő szolgáltatónak a legmagasabb szintű biztonságot kell biztosítania a verseny szempontjából érzékeny információk tárolása és továbbítása tekintetében;

m) az érintettek számára szolgáltatásokat kínáló adatközvetítő szolgáltatónak az érintettek mindenek felett álló érdeke szerint kell eljárnia jogaik gyakorlásának elősegítésekor, különösen azáltal, hogy az érintetteknek tömör, átlátható, könnyen érthető és könnyen hozzáférhető formában tájékoztatást, illetve adott esetben tanácsadást nyújt az adatfelhasználók általi tervezett adatfelhasználással, valamint az e felhasználásra vonatkozó általános szerződési feltételekkel kapcsolatban, még azelőtt, hogy az érintettek a hozzájárulásukat adnák;

n) ha az adatközvetítő szolgáltató eszközöket biztosít az érintettek hozzájárulásának megszerzéséhez, vagy az adatbirtokosok által rendelkezésre bocsátott adatok kezeléséhez szükséges engedélyek megszerzéséhez, adott esetben meg kell jelölnie azt a harmadik országbeli joghatóságot, ahol az adatokat felhasználni szándékoznak, és eszközöket kell biztosítania az érintettek számára hozzájárulásuk megadásához és visszavonásához, valamint az adatbirtokosok számára az adatkezelésre vonatkozó engedélyek megadásához és visszavonásához;

o) az adatközvetítő szolgáltatónak naplót kell vezetnie az adatközvetítői tevékenységről.

13. cikk

Az adatközvetítő szolgáltatásokért felelős illetékes hatóságok

14. cikk

A megfelelés ellenőrzése

Az adatközvetítő szolgáltatásokért felelős illetékes hatóság hatáskörrel rendelkezik arra, hogy az érintett szolgáltatót kötelezze a (3) bekezdésben említett jogsértés észszerű határidőn belüli vagy - súlyos jogsértés esetén - azonnali hatállyal történő megszüntetésére, és megfelelő és arányos intézkedéseket hoz a megfelelés biztosítása céljából. E tekintetben az adatközvetítő szolgáltatásokért felelős illetékes hatóság hatáskörrel rendelkezik arra, hogy adott esetben:

a) közigazgatási eljárás keretében visszatartó erejű bírságot szabjon ki - amely kényszerítő bírság és visszamenőleges hatályú bírság is lehet -, és/vagy bírság kiszabására irányuló bírósági eljárást kezdeményezzen;

b) az adatközvetítő szolgáltatás nyújtása megkezdésének addig az időponting való elhalasztására vagy az adatközvetítő szolgáltatás nyújtásának addig az időpontig való felfüggesztésére kötelezzen, amikorra az adatközvetítő szolgáltatás feltételeinek az adatközvetítő szolgáltatásokért felelős illetékes hatóság kérésének megfelelően történő bármely módosítására sor kerül; vagy

c) az adatközvetítő szolgáltatás nyújtásának megszüntetésére kötelezzen abban az esetben, ha a súlyos vagy ismétlődő jogsértéseket a (3) bekezdés szerinti előzetes értesítés vagy figyelmeztetés ellenére sem orvosolták.

Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak a szolgáltatás nyújtásának az első albekezdés c) pontja szerinti megszüntetésére való kötelezést követően fel kell kérnie a Bizottságot, hogy törölje az adatközvetítő szolgáltatót az adatközvetítő szolgáltatók nyilvántartásából.

Ha az adatközvetítő szolgáltató orvosolja a jogsértéseket, ezen adatközvetítő szolgáltatónak új bejelentést kell tennie az adatközvetítő szolgáltatásokért felelős illetékes hatóság részére. Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak minden egyes új bejelentésről értesítenie kell a Bizottságot.

Amennyiben valamely tagállamban az adatközvetítő szolgáltatásokért felelős illetékes hatóság segítséget kíván kérni egy másik tagállam adatközvetítő szolgáltatásokért felelős illetékes hatóságától, megfelelően indokolt kérelmet kell benyújtania. Az adatközvetítő szolgáltatásokért felelős illetékes hatóságnak e kérelemre indokolatlan késedelem nélkül, a kérelem sürgősségével arányos időkereten belül választ kell adnia.

Az e cikk szerint kért és nyújtott segítségnyújtás keretében átadott bármely információ kizárólag abban az ügyben használható fel, amellyel kapcsolatban kikérték.

15. cikk

Kivételek

Ez a fejezet nem vonatkozik az elismert adataltruista szervezetekre vagy az egyéb nonprofit szervezetekre annyiban, amennyiben a tevékenységük olyan adatok közérdekű célokból történő gyűjtéséből áll, amelyeket természetes vagy jogi személyek adataltruizmus alapján bocsátanak rendelkezésre, kivéve ha az említett szervezetek kereskedelmi kapcsolatokat szándékoznak létrehozni egyfelől meghatározatlan számú érintett és adatbirtokos, másfelől pedig adatfelhasználók között.

IV. FEJEZET

Adataltruizmus

16. cikk

Az adataltruizmusra vonatkozó nemzeti intézkedések

A tagállamok szervezeti és/vagy technikai intézkedésekkel rendelkezhetnek az adataltruizmus megkönnyítésére. E célból a tagállamok nemzeti politikákat határozhatnak meg az adataltruizmusra vonatkozóan. E nemzeti politikák többek között segíthetik az érintetteket abban, hogy a rájuk vonatkozó, közszférabeli szervezetek birtokában lévő személyes adatokat adataltruista megfontolásból önkéntesen rendelkezésre bocsássák, valamint meghatározhatják, hogy milyen információkat kell az érintettek rendelkezésére bocsátani adataik közérdekű további felhasználását illetően.

Ha egy tagállam ilyen nemzeti politikákat dolgoz ki, erről értesíti a Bizottságot.

17. cikk

Az elismert adataltruista szervezetek nyilvános nyilvántartásai

Annak biztosítása érdekében, hogy az elismert adataltruista szervezetek könnyen azonosíthatók legyenek az Unió egész területén, a Bizottság végrehajtási jogi aktusok útján meghatározza a közös logó rajzolatát. Az elismert adataltruista szervezeteknek egyértelműen fel kell tüntetniük a közös logót minden olyan online és offline kiadványon, amely adataltruista tevékenységeikre vonatkozik. A közös logót olyan QR-kódnak kell kísérnie, amely linket tartalmaz az elismert adataltruista szervezetek nyilvános uniós nyilvántartásához.

Ezeket a végrehajtási jogi aktusokat a 33. cikk (2) bekezdésében említett tanácsadó-bizottsági eljárás keretében kell elfogadni.

18. cikk

A nyilvántartásba vételre vonatkozó általános követelmények

Ahhoz, hogy valamely szervezetet bejegyezhessenek az elismert adataltruista szervezetek nyilvános nemzeti nyilvántartásába, e szervezetnek:

a) adataltruista tevékenységeket kell végeznie;

b) olyan jogi személynek kell lennie, amelyet a nemzeti jog alapján hoztak létre - adott esetben a nemzeti jogban előírt - közérdekű célok teljesítése céljából;

c) nonprofit alapon kell működnie és jogilag függetlennek kell lennie minden olyan szervezettől, amely profitorientáltan működik;

d) az adataltruista tevékenységeket egy olyan struktúrán keresztül kell végeznie, amely funkcionálisan elkülönül az általa végzett egyéb tevékenységektől;

e) meg kell felelnie a 22. cikk (1) bekezdésében említett szabálykönyvnek legkésőbb 18 hónappal az ugyanazon bekezdésben említett, felhatalmazáson alapuló jogi aktusok hatálybalépését követően.

19. cikk

Az elismert adataltruista szervezetek nyilvántartásba vétele

Az e rendeletnek való megfelelés biztosítása érdekében a szervezetnek fel kell hatalmaznia a jogi képviselőt arra, hogy az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok, az érintettek és az adatbirtokosok az adott szervezettel kapcsolatos valamennyi kérdésben - az adott szervezet mellett vagy helyett - a jogi képviselőhöz fordulhassanak. A jogi képviselőnek együtt kell működnie az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságokkal, és kérésre teljes körűen be kell mutatnia a szervezet által az e rendeletnek való megfelelés biztosítása érdekében hozott intézkedéseket és bevezetett rendelkezéseket.

A szervezetet azon tagállam joghatósága alá tartozónak kell tekinteni, amelyben a jogi képviselője található. Az ilyen szervezet kérelmet nyújthat be az elismert adataltruista szervezeteknek az adott tagállam által vezetett nyilvános nemzeti nyilvántartásába való felvétele iránt. Az, hogy a szervezet jogi képviselőt jelöl ki, nem érinti a szervezettel szembeni indítható bármely jogi eljárást.

Az (1), (2) és (3) bekezdésben említett nyilvántartásba vétel iránti kérelemnek a következő információkat kell tartalmaznia:

a) a szervezet neve;

b) a szervezet jogállása, formája és nyilvántartási száma és - amennyiben a szervezet nyilvános nemzeti nyilvántartásban szerepel - a cégjegyzékszáma;

c) adott esetben a szervezet létesítő okirata;

d) a szervezet bevételi forrásai;

e) a szervezet tevékenységi központjának címe az Unióban, ha van ilyen, és adott esetben a szervezet egy másik tagállamban található másodlagos fióktelepének vagy a jogi képviselőnek a címe;

f) egy olyan nyilvános weboldal, amelyen teljeskörű és naprakész információk találhatók a szervezettel és a tevékenységekkel kapcsolatban, és amely tartalmazza legalább az a), b), d), e) és h) pontban említett információkat;

g) a szervezet kapcsolattartói és elérhetőségei;

h) azon közérdekű célok, amelyeket a szervezet az adatgyűjtés során elő kíván mozdítani;

i) azon adatok jellege, amelyek kezeléséről a szervezet rendelkezni kíván, illetve amelyeket a szervezet kezelni kíván, valamint személyes adatok esetében a személyes adatok kategóriáinak megjelölése;

j) minden olyan egyéb dokumentum, amely bizonyítja, hogy a 18. cikk követelményei teljesülnek.

Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak minden nyilvántartásba vételről értesítenie kell a Bizottságot. A Bizottság felveszi az adott szervezetet az elismert adataltruista szervezetek nyilvános uniós nyilvántartásába.

Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak minden ilyen értesítésről haladéktalanul, elektronikus úton értesítenie kell a Bizottságot. Az ilyen értesítés alapján a Bizottság haladéktalanul aktualizálja az elismert adataltruista szervezetek nyilvános uniós nyilvántartását.

20. cikk

Átláthatósági követelmények

Az elismert adataltruista szervezeteknek teljes és pontos nyilvántartást kell vezetniük a következőkről:

a) minden olyan természetes vagy jogi személy, aki vagy amely lehetőséget kapott az elismert adataltruista szervezet birtokában lévő adatok kezelésére, valamint e személyek elérhetőségi adatai;

b) a személyes adatok kezelésének vagy a nem személyes adatok felhasználásának az időpontja vagy időtartama;

c) az adatkezelés azon természetes vagy jogi személy által megjelölt célja, aki vagy amely lehetőséget kapott az adatkezelésre;

d) az adatokat kezelő természetes vagy jogi személyek által fizetett díjak, ha vannak ilyenek.

Az elismert adataltruista szervezeteknek éves tevékenységi jelentést kell készíteniük, és azt továbbítaniuk kell az elismert adataltruista szervezetek nyilvántartásáért felelős illetékes hatóságnak, amely jelentésnek legalább a következőket kell tartalmaznia:

a) az elismert adataltruista szervezet tevékenységére vonatkozó információk;

b) annak leírása, hogy az adott pénzügyi évben hogyan mozdították elő az adatgyűjtés közérdekű céljait;

c) azoknak a természetes és jogi személyeknek a listája, amelyek számára engedélyezték a birtokukban lévő adatok kezelését, beleértve az ezen adatkezelés által szolgált közérdekű célok összefoglaló leírását és az adatkezeléshez használt technikai eszközök leírását, beleértve a magánélet védelmére és az adatvédelem szavatolására használt technikákat;

d) adott esetben az elismert adataltruista szervezet által megengedett adatkezelés eredményeinek összefoglalása;

e) információk az elismert adataltruista szervezet bevételi forrásairól, különös tekintettel az adatokhoz való hozzáférés lehetővé tételéből származó összes bevételre, valamint a kiadásokról.

21. cikk

Az érintettek és az adatbirtokosok adataikhoz fűződő jogainak és érdekeinek védelmét szolgáló egyedi követelmények

Az elismert adataltruista szervezeteknek adataik bármilyen jellegű kezelése előtt világos és közérthető módon tájékoztatniuk kell az érintetteket vagy az adatbirtokosokat az alábbiakról:

a) azon közérdekű célok és - adott esetben - kifejezett, konkrét és jogszerű célok, amely utóbbi célokra a személyesadat-kezelésnek irányulnia kell, és amely célok mindegyikére nézve a szervezet engedélyezi az adatbirtokosok vagy az érintettek adatainak az adatfelhasználók általi kezelését;

b) azon helyszín és azon közérdekű célok, amelyen, illetve amelyekre a valamely harmadik országban végzett adatkezelést engedélyezi, amennyiben az adatkezelést az elismert adataltruista szervezet végzi.

22. cikk

Szabálykönyv

A Bizottság a 32. cikkel összhangban felhatalmazáson alapuló jogi aktusok útján kiegészíti e rendeletet egy olyan szabálykönyv kidolgozása révén, amely a következőket tartalmazza:

a) megfelelő tájékoztatási követelmények annak biztosítása érdekében, hogy az érintettek és az adatbirtokosok az adataltruizmushoz való hozzájárulás vagy engedély megadása előtt kellően részletes, egyértelmű és átlátható tájékoztatást kapjanak az adatok felhasználásáról, a hozzájárulás vagy engedély megadásának és visszavonásának eszközeiről, valamint az adataltruista szervezettel megosztott adatokkal való visszaélés elkerülése érdekében hozott intézkedésekről;

b) megfelelő technikai és biztonsági követelmények az adattárolás és az adatkezelés, valamint a hozzájárulás vagy az engedély megadásának és visszavonásának eszközei megfelelő szintű biztonságának szavatolása érdekében;

c) multidiszciplináris megközelítésen alapuló olyan kommunikációs ütemtervek, amelyek célja a figyelem felhívása az adataltruizmusra, az "Unióban elismert adataltruista szervezet" elnevezésre és a szabálykönyvre az érdekelt felek, különösen az adataikat potenciálisan megosztó adatbirtokosok és érintettek körében;

d) a releváns interoperabilitási szabványokra vonatkozó ajánlások.

23. cikk

Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok

Az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságoknak meg kell felelniük a 26. cikkben foglalt követelményeknek.

24. cikk

A megfelelés ellenőrzése

Ha valamely elismert adataltruista szervezet még azután sem tesz eleget e fejezet egy vagy több követelményének, hogy az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság a (3) bekezdéssel összhangban értesítette, az említett elismert adataltruista szervezetet:

a) meg kell fosztani azon jogától, hogy bármilyen írásbeli és szóbeli kommunikáció során "az Unióban elismert adataltruista szervezet" címet használja;

b) törölni kell az elismert adataltruista szervezetek vonatkozó nyilvános nemzeti nyilvántartásából és az elismert adataltruista szervezetek nyilvános uniós nyilvántartásából.

Az első albekezdés a) pont szerinti, "az Unióban elismert adataltruista szervezet" cím használatának jogát visszavonó határozatot az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak nyilvánosságra kell hoznia.

Amennyiben valamely tagállam adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatósága segítséget kér egy másik tagállam adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságától, indokolással ellátott kérelmet kell benyújtania. Az ilyen kérelemmel megkeresett, adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságnak indokolatlan késedelem nélkül, a kérelem sürgősségével arányos időkereten belül választ kell adnia.

Az e cikk szerint kért és nyújtott segítségnyújtás keretében átadott bármely információ kizárólag abban az ügyben használható fel, amellyel kapcsolatban kikérték.

25. cikk

Az adataltruizmushoz való hozzájárulás európai űrlapja

V. FEJEZET

Illetékes hatóságok és eljárási rendelkezések

26. cikk

Az illetékes hatóságokra vonatkozó követelmények

27. cikk

A panasztétel joga

Azon adatközvetítő szolgáltatásokért felelős illetékes hatóság vagy azon adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni a panaszost:

a) az eljárás előrehaladásáról és a meghozott döntésről; valamint

b) a 28. cikk szerinti bírósági jogorvoslati lehetőségekről.

28. cikk

A hatékony bírósági jogorvoslathoz való jog

VI. FEJEZET

Az Európai Adatinnovációs Testület

29. cikk

Európai Adatinnovációs Testület

Az Európai Adatinnovációs Testületnek legalább a következő három alcsoportból kell állnia:

a) az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok képviselőiből álló alcsoportból, a 30. cikk a), c), j) és k) pontja szerinti feladatok ellátása céljából;

b) a 30. cikk f) és g) pontjával összhangban a szabványosításra, a hordozhatóságra és az interoperabilitásra vonatkozó, műszaki jellegű megbeszéléseket folytató alcsoportból; valamint

c) az érdekelt felek bevonását biztosító alcsoportból, amelyben az ipar, a kutatás, az akadémiai körök, a civil társadalom, a szabványügyi szervezetek és a releváns közös európai adatterek releváns képviselői, valamint azon egyéb érdekelt felek és harmadik felek képviselői vesznek részt, amelyek tanácsadást nyújtanak az Európai Adatinnovációs Testületnek a 30. cikk d), e), f), g) és h) pontja szerinti feladatok ellátásához.

30. cikk

Az Európai Adatinnovációs Testület feladatai

Az Európai Adatinnovációs Testületnek a következő feladatokat kell ellátnia:

a) tanácsadás és segítségnyújtás a Bizottság részére a 7. cikk (1) bekezdésében említett közszférabeli szervezetek és illetékes szervek által a 3. cikk (1) bekezdésében említett adatkategóriák további felhasználására irányuló kérelmek kezelése során következetesen követendő gyakorlat kialakítására vonatkozóan;

b) tanácsadás és segítségnyújtás a Bizottság részére az adataltruizmus Unió-szerte követendő következetes gyakorlatának kialakítására vonatkozóan;

c) tanácsadás és segítségnyújtás a Bizottság részére az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok által az adatközvetítő szolgáltatókra és az elismert adataltruista szervezetekre vonatkozó követelmények alkalmazása során következetesen követendő gyakorlat kialakítására vonatkozóan;

d) tanácsadás és segítségnyújtás a Bizottság részére az arra vonatkozó következetes iránymutatások kidolgozására vonatkozóan, hogy miként lehetne e rendelet keretében a legjobban megvédeni a jogosulatlan hozzáféréstől - amely a szellemitulajdon-lopás vagy az ipari kémkedés kockázatával jár - a nem személyes, bizalmas üzleti adatokat, különösen az üzleti titkokat, de az olyan nem személyes adatokat is, amelyek szellemitulajdon-jogok által védett tartalmat képeznek;

e) tanácsadás és segítségnyújtás a Bizottság részére az adatcserére és -tárolásra vonatkozó kiberbiztonsági követelményekkel kapcsolatos következetes iránymutatások kidolgozására vonatkozóan;

f) tanácsadás a Bizottság részére - különösen a szabványügyi szervezetek észrevételeinek a figyelembevételével - az adatfelhasználáshoz és az újonnan megjelenő közös európai adatterek közötti ágazatközi adatmegosztáshoz alkalmazandó és kialakítandó ágazatközi szabványok priorizálását, az ágazatközi összehasonlítást és a biztonságra vonatkozó ágazati követelményekkel és a hozzáférési eljárásokkal kapcsolatos legjobb gyakorlatok megosztását illetően - figyelembe véve az ágazatspecifikus szabványosítási tevékenységeket -, különösen annak tisztázása és megkülönböztetése tekintetében, hogy mely szabványok és gyakorlatok ágazatközi jellegűek, és melyek ágazati jellegűek;

g) segítségnyújtás a Bizottság részére - különösen a szabványügyi szervezetek észrevételeinek a figyelembevételével - a belső piac és a belső piaci adatgazdaság széttöredezettségének a kezelésében, amely az adatok nemzetközi és ágazatközi interoperabilitásának, valamint a különböző ágazatok és területek közötti adatmegosztási szolgáltatásoknak a javításával valósulhat meg, a meglévő európai, nemzetközi vagy nemzeti szabványokra építve, többek között a közös európai adatterek létrehozásának ösztönzése céljából;

h) iránymutatástervetek kidolgozása a közös európai adatterekre, nevezetesen közös szabványok és gyakorlatok olyan cél- vagy ágazatspecifikus, illetve ágazatközi interoperábilis kereteire, amelyek az új termékek és szolgáltatások kifejlesztését, a tudományos kutatást vagy civil társadalmi kezdeményezéseket szolgáló adatmegosztásra vagy közös adatkezelésre irányulnak; e közös szabványoknak és gyakorlatoknak figyelembe kell venniük a meglévő szabványokat, meg kell felelniük a versenyszabályoknak, továbbá megkülönböztetésmentes hozzáférést kell biztosítaniuk valamennyi résztvevő számára az Unión belüli adatmegosztás előmozdítása, valamint a meglévő és a jövőbeli adatterekben rejlő lehetőségek kiaknázása céljából; amely iránymutatástervezetek többek között az alábbiakra terjednek ki: i. az adatfelhasználáshoz és az ágazatközi adatmegosztáshoz alkalmazandó és kialakítandó ágazatközi szabványok, az ágazatközi összehasonlítás, a biztonságra vonatkozó ágazati követelményekkel és a hozzáférési eljárásokkal kapcsolatos legjobb gyakorlatok megosztása - figyelembe véve az ágazatspecifikus szabványosítási tevékenységeket -, valamint különösen annak tisztázása és megkülönböztetése, hogy mely szabványok és gyakorlatok ágazatközi jellegűek, és melyek ágazati jellegűek; ii. a piacra lépés akadályainak elhárítását és a bezáródási hatások elkerülését célzó követelmények, amelyek a tisztességes verseny és az interoperabilitás biztosításához szükségesek; iii. megfelelő védelem a harmadik országokba irányuló jogszerű adattovábbítás tekintetében, ideértve az uniós jog által tiltott adattovábbítás elleni biztosítékokat is; iv. az érdekelt felek megfelelő és megkülönböztetésmentes képviselete a közös európai adatterek irányításában; v. a kiberbiztonsági követelmények betartása az uniós joggal összhangban;

i) a tagállamok közötti együttműködés elősegítése olyan harmonizált feltételek meghatározásával kapcsolatban, amelyek a közszférabeli szervezetek birtokában lévő, a 3. cikk (1) bekezdése szerinti adatkategóriáknak a belső piacon történő további felhasználására vonatkoznak;

j) az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok közötti együttműködés elősegítése kapacitásépítés és információcsere révén, különösen az adatközvetítő szolgáltatókra vonatkozó bejelentési eljárással, valamint az elismert adataltruista szervezetek nyilvántartásba vételével és ellenőrzésével kapcsolatos hatékony információcsere módszereinek a kidolgozása révén - beleértve a díjak és a szankciók meghatározása terén folytatott koordinációt is -, valamint az adatközvetítő szolgáltatásokért felelős illetékes hatóságok és az adataltruista szervezetek nyilvántartásba vételéért felelős illetékes hatóságok közötti együttműködés elősegítése a nemzetközi hozzáférés és adattovábbítás terén;

k) tanácsadás és segítségnyújtás a Bizottság részére annak értékeléséhez, hogy szükség van-e az 5. cikk (11) és (12) bekezdésében említett végrehajtási jogi aktusok elfogadására;

l) tanácsadás és segítségnyújtás a Bizottság részére az adataltruizmushoz való hozzájárulás európai űrlapjának a 25. cikk (1) bekezdésével összhangban történő kidolgozásához;

m) tanácsadás a Bizottság részére a nem személyes adatokra vonatkozó nemzetközi szabályozási környezet javításával - például a szabványosítással - kapcsolatban.

VII. FEJEZET

Nemzetközi hozzáférés és továbbítás

31. cikk

Nemzetközi hozzáférés és továbbítás

Az e cikk (2) bekezdésében említett nemzetközi megállapodás hiányában, amennyiben egy harmadik ország bírósága vagy egy harmadik ország közigazgatási hatósága által hozott, az Unióban tárolt, az e rendelet hatálya alá tartozó nem személyes adatok továbbítására vagy az azokhoz való hozzáférés biztosítására irányuló határozat vagy ítélet címzettje egy közszférabeli szervezet, a II. fejezet alapján az adatok további felhasználására feljogosított természetes vagy jogi személy, egy adatközvetítő szolgáltató vagy az elismert adataltruista szervezet, és a címzett az említett határozatnak való megfeleléssel az uniós jog vagy az érintett tagállam nemzeti jogának megsértését kockáztatná, az említett adatoknak az adott harmadik országbeli hatósághoz történő továbbítására vagy az azokhoz való hozzáférés biztosítására csak akkor kerülhet sor, ha:

a) a harmadik országbeli rendszer előírja az ilyen határozat vagy ítélet indokainak és arányosságának bemutatását, valamint az ilyen határozat vagy ítélet konkrét jellegét, például azáltal, hogy az kellő hivatkozást tartalmaz bizonyos gyanúsított személyekre vagy jogsértésekre;

b) a címzett indokolt kifogását a harmadik ország illetékes bírósága vizsgálja felül; és

c) a határozatot vagy ítéletet kiadó vagy a közigazgatási hatóság határozatának felülvizsgálatát végző harmadik országbeli illetékes bíróságnak az adott harmadik ország joga szerint hatásköre van arra, hogy kellően figyelembe vegye az uniós jog vagy az érintett tagállam nemzeti joga által védett adatok szolgáltatójának vonatkozó jogi érdekeit.

VIII. FEJEZET

Felhatalmazás és bizottsági eljárás

32. cikk

A felhatalmazás gyakorlása

33. cikk

A bizottsági eljárás

IX. FEJEZET

Záró és átmeneti rendelkezések

34. cikk

Szankciók

A tagállamok az adatközvetítő szolgáltatók és az elismert adataltruista szervezetek e rendelet megsértése miatti szankcionálása során biztosítják adott estben a következő, nem kimerítő jellegű és indikatív kritériumok figyelembevételét:

a) a jogsértés jellege, súlyossága, mértéke és időtartama;

b) az adatközvetítő szolgáltató vagy az elismert adataltruista szervezet által a jogsértés okozta károk enyhítése vagy orvoslása érdekében tett bármely intézkedés;

c) az adatközvetítő szolgáltató vagy az elismert adataltruista szervezet által elkövetett bármely korábbi jogsértés;

d) az adatközvetítő szolgáltató vagy az elismert adataltruista szervezet által a jogsértés következményeként szerzett pénzügyi haszon vagy elkerült veszteség, amennyiben e haszon vagy veszteség megbízható módon megállapítható;

e) az eset körülményeire alkalmazható minden egyéb súlyosító vagy enyhítő tényező.

35. cikk

Értékelés és felülvizsgálat

A Bizottság 2025. szeptember 24-ig elvégzi e rendelet értékelését, és a főbb megállapításairól jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és az Európai Gazdasági és Szociális Bizottságnak. A jelentéshez szükség esetén jogalkotási javaslatokat kell csatolni.

A jelentésnek különösen a következők vizsgálatára kell kiterjednie:

a) a tagállamok által a 34. cikk alapján megállapított szankciókra vonatkozó szabályok alkalmazása és működése;

b) mennyiben felelnek meg az Unióban nem letelepedett adatközvetítő szolgáltatók és elismert adataltruista szervezetek jogi képviselői e rendeletnek, valamint mennyiben érvényesíthetők az e szolgáltatókra és szervezetekre kiszabott szankciók;

c) a IV. fejezet szerint nyilvántartásba vett adataltruista szervezetek típusa és az adatmegosztás alapjául szolgáló közérdekű célok áttekintése a kapcsolódó egyértelmű kritériumok megállapítása érdekében.

A tagállamok megküldik az e jelentés elkészítéséhez szükséges információkat a Bizottságnak.

36. cikk

Az (EU) 2018/1724 rendelet módosítása

Az (EU) 2018/1724 rendelet II. mellékletében található táblázatban a "Vállalkozás indítása, működtetése és megszüntetése" bejegyzés helyébe a következő szöveg lép:

37. cikk

Átmeneti rendelkezések

A 2022. június 23-án a 10. cikkben említett adatközvetítő szolgáltatásokat nyújtó szervezeteknek a III. fejezetben meghatározott kötelezettségeknek 2025. szeptember 24-ig eleget kell tenniük.

38. cikk

Hatálybalépés és alkalmazás

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ezt a rendeletet 2023. szeptember 24-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.