(Europa-Parlamentets og Rådets forordning (EU) 2018/1807 af 14. november 2018 om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union (EØS-relevant tekst.))
Formålet med denne forordning er at sikre fri udveksling af andre data end personoplysninger inden for Unionen ved at fastsætte bestemmelser om dataplaceringskrav, kompetente myndigheders adgang til data og dataportering for professionelle brugere.
1. Denne forordning finder anvendelse på behandling i Unionen af elektroniske andre data end personoplysninger, når denne behandling:
| a) | leveres som en tjeneste til brugere, der er bosiddende eller etableret i Unionen, uanset om tjenesteleverandøren er etableret i Unionen eller ej, eller |
|---|
| b) | foretages af en fysisk eller juridisk person, der er bosiddende eller etableret i Unionen, til eget behov. |
|---|
2. I tilfælde af datasæt bestående af både personoplysninger og andre data end personoplysninger finder denne forordning anvendelse på den del af sættet, der omfatter andre data end personoplysninger. Når personoplysninger og andre data end personoplysninger i et datasæt er knyttet uløseligt sammen, berører nærværende forordning ikke anvendelsen af forordning (EU) 2016/679.
3. Nærværende forordning finder ikke anvendelse på aktiviteter, der falder uden for EU-rettens anvendelsesområde.
Denne forordning berører ikke love og administrative bestemmelser, som vedrører medlemsstaternes interne organisation, og som fordeler beføjelser og ansvar med hensyn til databehandling blandt offentlige myndigheder og offentligretlige organer, som defineret i artikel 2, stk. 1, nr. 4), i direktiv 2014/24/EU, uden kontraktmæssig betaling til private parter, og berører heller ikke medlemsstaternes love og administrative bestemmelser vedrørende gennemførelsen af disse beføjelser og ansvar.
I denne forordning forstås ved:
»data«: andre data end personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679
»behandling«: enhver aktivitet eller række af aktiviteter, med eller uden brug af automatisk behandling, som data eller datasæt i elektronisk format gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse
»udkast til retsakt«: en tekst, der er udarbejdet med henblik på vedtagelse som en lov eller administrativ bestemmelse af generel karakter, og som befinder sig på det forberedende stadium, hvor det stadig er muligt at foretage væsentlige ændringer
»tjenesteleverandør«: en fysisk eller juridisk person, der leverer databehandlingstjenester
»dataplaceringskrav«: enhver forpligtelse, betingelse og begrænsning og ethvert forbud eller andet krav, der er fastsat i en medlemsstats love og administrative bestemmelser, eller som følger af almen og fast administrativ praksis i en medlemsstat og i offentligretlige organer, herunder inden for offentlige udbud, uden at dette berører direktiv 2014/24/EU, og som indebærer, at databehandling skal finde sted i en bestemt medlemsstat, eller forhindrer databehandling i enhver anden medlemsstat
»kompetent myndighed«: en myndighed i en medlemsstat eller enhver anden enhed, der i henhold til national ret er bemyndiget til at udføre en offentlig funktion eller udøve offentlig myndighed, der med henblik på varetagelse af sine officielle opgaver har beføjelse til at få adgang til data, der behandles af en fysisk eller juridisk person i henhold til EU-retten eller national ret
»bruger«: en fysisk eller juridisk person, herunder en offentlig myndighed eller et offentligretligt organ, der benytter eller anmoder om en databehandlingstjeneste
»professionel bruger«: en fysisk eller juridisk person, herunder en offentlig myndighed eller et offentligretligt organ, der benytter eller anmoder om en databehandlingstjeneste i forbindelse med sit erhverv, sin forretning, sit håndværk, sin profession eller sine opgaver.
1. Dataplaceringskrav er forbudt, medmindre de er begrundet i hensynet til den offentlige sikkerhed og i overensstemmelse med proportionalitetsprincippet.
Dette stykkes første afsnit berører ikke stk. 3 eller dataplaceringskrav, som er fastsat på grundlag af eksisterende EU-ret.
2. Medlemsstaterne underretter straks Kommissionen om ethvert udkast til retsakt, der indebærer nye dataplaceringskrav eller ændringer af eksisterende dataplaceringskrav, i overensstemmelse med de procedurer, der er fastsat i artikel 5, 6 og 7 i direktiv (EU) 2015/1535.
3. Senest den 30. maj 2021 sikrer medlemsstaterne, at ethvert eksisterende dataplaceringskrav, som er fastsat i en lov eller administrativ bestemmelse af generel karakter, og som ikke er i overensstemmelse med nærværende artikels stk. 1, ophæves.
Senest den 30. maj 2021 skal en medlemsstat, der finder, at en eksisterende foranstaltning, som indeholder et dataplaceringskrav, er i overensstemmelse med nærværende artikels stk. 1 og derfor kan forblive i kraft, underrette Kommissionen om den pågældende foranstaltning, idet den giver en begrundelse for at opretholde foranstaltningen. Uden at det berører artikel 258 i TEUF, undersøger Kommissionen inden for en frist på seks måneder fra datoen for modtagelsen af en sådan underretning, om den pågældende foranstaltning er i overensstemmelse med nærværende artikels stk. 1, og den fremsætter, hvis det er relevant, bemærkninger over for den pågældende medlemsstat, herunder om nødvendigt en anbefaling om, at foranstaltningen ændres eller ophæves.
4. Medlemsstaterne gør de nærmere oplysninger om eventuelle dataplaceringskrav, som er fastsat i en lov eller administrativ bestemmelse af generel karakter, og som er gældende på deres område, offentligt tilgængelige via et nationalt centralt onlineinformationssted, som de ajourfører, eller indgiver ajourførte oplysninger om sådanne dataplaceringskrav til et centralt informationssted, som er oprettet i henhold til en anden EU-retsakt.
5. Medlemsstaterne meddeler Kommissionen adressen på deres centrale onlineinformationssted som omhandlet i stk. 4. Kommissionen offentliggør linkene til disse informationssteder på sit websted sammen med en regelmæssigt ajourført konsolideret liste over alle dataplaceringskrav som omhandlet i stk. 4, herunder opsummerede oplysninger om disse krav.
1. Denne forordning berører ikke de kompetente myndigheders beføjelser til at anmode om eller få adgang til data med henblik på udførelse af deres officielle opgaver i overensstemmelse med EU-retten eller national ret. De kompetente myndigheder kan ikke nægtes adgang til data med den begrundelse, at dataene behandles i en anden medlemsstat.
2. Hvis en kompetent myndighed efter at have anmodet om adgang til en brugers data ikke får adgang, og hvis der ikke findes nogen specifikke samarbejdsmekanismer i henhold til EU-retten eller internationale aftaler med henblik på udveksling af data mellem kompetente myndigheder i forskellige medlemsstater, kan den pågældende kompetente myndighed anmode om bistand fra en kompetent myndighed i en anden medlemsstat i overensstemmelse med proceduren fastlagt i artikel 7.
3. Hvis en anmodning om bistand indebærer, at den adspurgte myndighed skal have adgang til en fysisk eller juridisk persons lokaler, herunder til udstyr og midler til databehandling, skal en sådan adgang være i overensstemmelse med EU-retten eller national procesret.
4. Medlemsstaterne kan pålægge effektive, forholdsmæssige og afskrækkende sanktioner i overensstemmelse med EU-retten og national ret for manglende opfyldelse af en forpligtelse til at indberette data.
I tilfælde af misbrug af rettigheder fra en brugers side kan en medlemsstat, når det er berettiget på grund af et hastende behov for at få adgang til de pågældende data og under hensyntagen til de berørte parters interesser, pålægge den pågældende bruger strengt forholdsmæssige foreløbige foranstaltninger. Når foreløbige foranstaltninger kræver relokalisering af data i længere tid end 180 dage efter relokaliseringen, underrettes Kommissionen inden for dette tidsrum af 180 dage. Kommissionen foretager hurtigst muligt en kontrol af foranstaltningen og dens forenelighed med EU-retten og træffer, hvis det er relevant, de nødvendige foranstaltninger. Kommissionen udveksler oplysninger med medlemsstaternes centrale kontaktpunkter som omhandlet i artikel 7 om de erfaringer, der er opnået i den forbindelse.
1. Kommissionen tilskynder til og fremmer udvikling af adfærdskodekser for selvregulering på EU-plan (»adfærdskodekser«) med henblik på at bidrage til en konkurrencedygtig dataøkonomi baseret på principperne om gennemsigtighed og interoperabilitet og under behørig hensyntagen til åbne standarder, herunder bl.a. følgende aspekter:
| a) | bedste praksis i forbindelse med tjenesteleverandørskift og dataportering i et struktureret, almindeligt anvendt og maskinlæsbart format, herunder åbne standardiserede formater, hvis det er nødvendigt, eller hvis den tjenesteleverandør, der modtager dataene, anmoder derom |
|---|
| b) | minimumsoplysningskrav for at sikre, at professionelle brugere, inden der indgås kontrakt om databehandling, får tilstrækkeligt detaljerede, klare og gennemskuelige oplysninger om de procedurer, tekniske krav, tidsfrister og gebyrer, der gælder, når en professionel bruger vil skifte tjenesteleverandør eller føre data tilbage til sine egne IT-systemer |
|---|
| c) | strategier med hensyn til certificeringsordninger, som gør det lettere at sammenligne databehandlingsprodukter og -tjenester til professionelle brugere under hensyntagen til fastsatte nationale eller internationale standarder, med henblik på at forbedre sammenligneligheden af disse produkter og tjenesteydelser. Sådanne strategier kan bl.a. omfatte kvalitetsstyring, forvaltning af informationssikkerhed, forvaltning af driftskontinuitet og miljøforvaltning |
|---|
| d) | kommunikationskøreplaner med en tværfaglig tilgang for at skabe større bevidsthed om adfærdskodekserne blandt de relevante interessenter. |
|---|
2. Kommissionen sikrer, at adfærdskodekserne udvikles i tæt samarbejde med alle relevante interessenter, herunder sammenslutninger af SMV'er og nystartede virksomheder, brugere og cloudtjenesteleverandører.
3. Kommissionen tilskynder tjenesteleverandørerne til at afslutte udarbejdelsen af adfærdskodekserne senest den 29. november 2019 og til at gennemføre dem i praksis senest den 29. maj 2020.
1. Hver medlemsstat udpeger et centralt kontaktpunkt, som skal varetage forbindelserne med de centrale kontaktpunkter i andre medlemsstater og Kommissionen, for så vidt angår anvendelsen af denne forordning. Medlemsstaterne underretter Kommissionen om de udpegede kontaktpunkter og om eventuelle senere ændringer af de meddelte oplysninger.
2. Når en kompetent myndighed i en medlemsstat ønsker bistand fra en anden medlemsstat i henhold til artikel 5, stk. 2, med henblik på at få adgang til data, indgiver den en behørigt begrundet anmodning til sidstnævntes centrale kontaktpunkt. Denne anmodning skal omfatte en skriftlig redegørelse for begrundelsen og retsgrundlaget for at søge adgang til dataene.
3. Det centrale kontaktpunkt identificerer den relevante kompetente myndighed i sin medlemsstat og sender den anmodning, der er modtaget i medfør af stk. 2, til den pågældende myndighed.
4. Den relevante kompetente myndighed skal uden unødigt ophold og inden for en tidsramme, som står i forhold til, hvor meget anmodningen haster, give et svar med de ønskede data eller underrette den anmodende kompetente myndighed om, at den ikke finder, at betingelserne for at anmode om bistand i henhold til denne forordning er opfyldt.
5. Alle oplysninger, der udveksles i forbindelse med bistand, som der anmodes om og ydes i henhold til artikel 5, stk. 2, må kun anvendes i forbindelse med den sag, hvortil der blev anmodet om oplysningerne.
6. De centrale kontaktpunkter giver brugerne generel information om denne forordning, herunder om adfærdskodekser.
1. Senest den 29. november 2022 forelægger Kommissionen Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg en rapport med en evaluering af gennemførelsen af denne forordning, navnlig med hensyn til:
| a) | anvendelsen af denne forordning, navnlig anvendelsen heraf på datasæt bestående af både personoplysninger og andre data end personoplysninger, i lyset af udviklingen på markedet og den teknologiske udvikling, som kan udvide mulighederne for at fjerne anonymisering af data |
|---|
| b) | medlemsstaternes gennemførelse af artikel 4, stk. 1, og navnlig undtagelsen vedrørende den offentlige sikkerhed og |
|---|
| c) | udviklingen og den praktiske gennemførelse af adfærdskodekserne samt tjenesteleverandørernes formidling af oplysninger. |
|---|
2. Medlemsstaterne forelægger Kommissionen de oplysninger, der er nødvendige for udarbejdelsen af den rapport, der er omhandlet i stk. 1.
3. Senest den 29. maj 2019 offentliggør Kommissionen retningslinjer om samspillet mellem denne forordning og forordning (EU) 2016/679 med hensyn til datasæt bestående af både personoplysninger og andre data end personoplysninger.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning finder anvendelse seks måneder efter offentliggørelsen.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Strasbourg, den 14. november 2018.
EUT C 227 af 28.6.2018, s. 78.
Europa-Parlamentets holdning af 4.10.2018 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 6.11.2018.
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatlivets fred og elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).
Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).
Europa-Parlamentets og Rådets forordning (EF) nr. 593/2008 af 17. juni 2008 om lovvalgsregler for kontraktlige forpligtelser (Rom I) (EUT L 177 af 4.7.2008, s. 6).
Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).
Rådets rammeafgørelse 2006/960/RIA af 18. december 2006 om forenkling af udvekslingen af oplysninger og efterretninger mellem medlemsstaternes retshåndhævende myndigheder (EUT L 386 af 29.12.2006, s. 89).
Europa-Parlamentets og Rådets direktiv 2014/41/EU af 3. april 2014 om den europæiske efterforskningskendelse i straffesager (EUT L 130 af 1.5.2014, s. 1).
Europarådets konvention om IT-kriminalitet, CETS nr. 185.
Rådets forordning (EF) nr. 1206/2001 af 28. maj 2001 om samarbejde mellem medlemsstaternes retter om bevisoptagelse på det civil- og handelsretlige område (EFT L 174 af 27.6.2001, s. 1).
Rådets direktiv 2006/112/EF af 28. november 2006 om det fælles merværdiafgiftssystem (EUT L 347 af 11.12.2006, s. 1).
Rådets forordning (EU) nr. 904/2010 af 7. oktober 2010 om administrativt samarbejde og bekæmpelse af svig vedrørende merværdiafgift (EUT L 268 af 12.10.2010, s. 1).
Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).
