Search for a command to run...
(Kommissionens delegerede forordning (EU) 2025/2050 af 1. juli 2025 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2065 for så vidt angår fastsættelse af de tekniske betingelser og procedurer, hvorunder udbydere af meget store onlineplatforme og af meget store onlinesøgemaskiner skal dele oplysninger med kontrolunderlagte forskere)
Ved denne forordning fastsættes procedurer og tekniske betingelser for at give kontrolunderlagte forskere adgang til oplysninger, som udbydere af meget store onlineplatforme og af meget store onlinesøgemaskiner er i besiddelse af i henhold til artikel 40, stk. 4, i forordning (EU) 2022/2065, navnlig:
a)
de tekniske betingelser for udvikling og drift af en dataadgangsportal
b)
procedurerne og de tekniske betingelser for digitale tjenestekoordinatorers og dataudbyderes forvaltning af dataadgangsprocessen
c)
kravene til formulering af begrundede anmodninger og vurdering af anmodninger om ændring
d)
de tekniske betingelser for dataudbydernes tilvejebringelse af dataadgang.
Ved anvendelsen af denne forordning finder definitionerne i artikel 4 i forordning (EU) 2016/679 og artikel 3 i forordning (EU) 2018/1725 anvendelse. Derudover forstås der ved:
1)
»ansøgning om dataadgang«: de oplysninger og den relevante dokumentation, som ansøgende forskere har indgivet til koordinatoren for digitale tjenester i etableringslandet eller koordinatoren for digitale tjenester i medlemsstaten for den forskningsorganisation, som hovedforskeren er tilknyttet, for at opnå status som »kontrolleret forsker«, jf. artikel 40, stk. 8, første afsnit, i forordning (EU) 2022/2065, for et specifikt forskningsprojekt, der omfatter dataadgang til en dataudbyder
2)
»dataadgangsproces«: de trin og procedurer, der kan føre til, at der gives dataadgang, jf. artikel 40, stk. 4, i forordning (EU) 2022/2065
3)
»ansøgende forsker«: enhver fysisk person, der enten individuelt, i en gruppe eller som en del af en enhed ansøger om dataadgang, jf. artikel 40, stk. 4, i forordning (EU) 2022/2065
4)
»hovedforsker«: den ansøgende forsker, der indgiver ansøgningen om dataadgang i sin egenskab af enkeltperson eller på vegne af en enhed eller en gruppe af ansøgende forskere
5)
»dataudbyder«: en udbyder af en meget stor onlineplatform eller af en meget stor onlinesøgemaskine, der er udpeget som sådan i overensstemmelse med artikel 33, stk. 4, i forordning (EU) 2022/2065, og hvortil der kan rettes en begrundet anmodning
6)
»begrundet anmodning«: en begrundet anmodning om dataadgang i henhold til artikel 40, stk. 4, i forordning (EU) 2022/2065
7)
»anmodning om ændring«: en anmodning om ændring i henhold til artikel 40, stk. 5, i forordning (EU) 2022/2065, som dataudbyderen indgiver til koordinatoren for digitale tjenester i etableringslandet efter modtagelse af en begrundet anmodning
8)
»sikkert databehandlingsmiljø«: et sikkert behandlingsmiljø som defineret i artikel 2, nr. 20), i forordning (EU) 2022/868 fra Europa-Parlamentet og Rådet .
1. Kommissionen opretter og hoster en dataadgangsportal, jf. forordningen om digitale tjenester (DSA-dataadgangsportalen).
2. DSA-dataadgangsportalen har følgende funktioner:
a)
at støtte og strømline forvaltningen af dataadgangsprocessen for forskere, dataudbydere og koordinatorer for digitale tjenester
b)
at fungere som det centrale digitale punkt for oplysninger om dataadgangsprocessen og lette udvekslingen af oplysninger i henhold til denne forordning mellem ansøgende forskere, kontrolunderlagte forskere, dataudbydere og koordinatorer for digitale tjenester.
3. DSA-dataadgangsportalen skal være interoperabel med informationsudvekslingssystemet AGORA, der er oprettet ved gennemførelsesforordning (EU) 2024/607. Koordinatorerne for digitale tjenester skal i AGORA have adgang til de oplysninger, der indgives via DSA-dataadgangsportalen.
4. Dataudbydere skal have en konto på DSA-dataadgangsportalen.
5. For at deltage i dataadgangsprocessen skal ansøgende forskere have en konto på DSA-dataadgangsportalen.
1. Koordinatorerne for digitale tjenester er særskilte dataansvarlige med hensyn til behandling af personoplysninger, som de udfører for at forvalte dataadgangsprocessen og for offentliggørelse af relevante oplysninger.
2. Kommissionen er databehandler af personoplysninger, der behandles på DSA-dataadgangsportalen.
3. Kommissionens ansvar som databehandler for databehandlingsaktiviteter, der udføres på DSA-dataadgangsportalen, er fastsat i bilaget.
1. Hvis personoplysninger registreres i og udveksles via DSA-dataadgangsportalen, må behandlingen kun finde sted, hvis den er forholdsmæssig og nødvendig med henblik på dataadgangsprocessen og offentliggørelsen af relevante oplysninger.
2. Behandlingen af personoplysninger i DSA-dataadgangsportalen må kun finde sted for følgende kategorier af registrerede:
a)
fysiske personer, der har en konto på DSA-dataadgangsportalen
b)
fysiske personer, hvis personoplysninger er indeholdt i DSA-dataadgangsportalen eller i enhver anden udveksling i henhold til denne forordning vedrørende dataadgangsprocessen.
3. Behandlingen af personoplysninger må kun finde sted på DSA-dataadgangsportalen for følgende kategorier af personoplysninger:
a)
identitetsdata såsom navn og bruger-ID
b)
kontaktoplysninger såsom adresse, e-mailadresse og kontaktoplysninger
c)
personoplysninger, der er indeholdt i dokumentationen for tilknytning til en forskningsorganisation, og alle andre personoplysninger, der anses for nødvendige med henblik på at deltage i dataadgangsprocessen.
4. Den behandling af personoplysninger, der er omhandlet i stk. 1, foretages ved hjælp af informationsteknologisk infrastruktur beliggende i Det Europæiske Økonomiske Samarbejdsområde.
1. Hver koordinator for digitale tjenester og hver dataudbyder opretter et særligt kontaktpunkt, der har til opgave at give oplysninger og støtte vedrørende dataadgangsprocessen.
2. Koordinatorerne for digitale tjenester og dataudbyderne underretter hurtigst muligt Kommissionen om deres kontaktpunkter. Kommissionen offentliggør detaljerne om de kontaktpunkter, der er omhandlet i stk. 1, på DSA-dataadgangsportalens offentligt tilgængelige brugerflade.
3. Hver koordinator for digitale tjenester gør oplysningerne om det kontaktpunkt, der er oprettet i henhold til stk. 1, tilgængelige på et sted, hvor oplysningerne er nemme at finde på dennes egen onlinegrænseflade sammen med et link til DSA-dataadgangsportalen.
4. Dataudbydere skal gøre følgende oplysninger tilgængelige på et sted, hvor de er nemme at finde på dennes egne onlinegrænseflader:
a)
nærmere oplysninger om det kontaktpunkt, som de har oprettet i henhold til stk. 1
b)
et link til DSA-dataadgangsportalen
c)
et DSA-datakatalog, som beskriver de dataaktiver, der kan tilgås til de formål, der er fastsat i artikel 40, stk. 4, i forordning (EU) 2022/2065, samt deres datastruktur og metadata
d)
foreslåede adgangsbetingelser for dataene i kataloget i henhold til litra c), som er tilstrækkelige i forhold til følsomhedsniveauet for de forskellige dataaktiver.
5. De oplysninger, der er omhandlet i stk. 4, litra c) og d), ajourføres regelmæssigt, navnlig for at afspejle data forbundet med risikovurderinger, der foretages i henhold til artikel 34 i forordning (EU) 2022/2065, og revisioner, der foretages i henhold til nævnte forordnings artikel 37.
1. Senest 80 arbejdsdage efter indgivelsen af en ansøgning om dataadgang træffer koordinatoren for digitale tjenester i etableringslandet under behørig hensyntagen til forudsætningerne i artikel 8 og, hvor det er relevant, enhver anden vurdering, der er relevant med henblik herpå, afgørelse om, hvorvidt der kan fremsættes en begrundet anmodning, og træffer en af følgende foranstaltninger:
a)
formulerer en begrundet anmodning, forelægger den for dataleverandøren og underretter hovedforskeren om indgivelsen af den begrundede anmodning
b)
underretter hovedforskeren om årsagerne til, at den begrundede anmodning ikke kunne formuleres.
2. Hvis koordinatoren for digitale tjenester i behørigt begrundede tilfælde har brug for mere tid til at fremsætte en begrundet anmodning, underretter koordinatoren så hurtigt som muligt hovedforskeren herom og angiver årsagerne til forsinkelsen samt en ny dato for gennemførelsen af de foranstaltninger, der er omhandlet i stk. 1.
Koordinatoren for digitale tjenester i etableringslandet beslutter, om en begrundet anmodning kan formuleres under hensyntagen til følgende elementer:
a)
for hver ansøgende forsker: i) en bekræftelse af tilknytning til en forskningsinstitution som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets direktiv (EU) 2019/790 ii) en erklæring om uafhængighed af kommercielle interesser, der er relevante for det specifikke projekt, for hvilket der anmodes om oplysninger iii) en forpligtelse til gratis at gøre deres forskningsresultater offentligt tilgængelige.
b)
oplysninger om finansiering af det forskningsprojekt, i forbindelse med hvilket der er indgivet en begrundet anmodning om oplysninger
c)
en beskrivelse af de oplysninger, der anmodes om, herunder format, omfang og, hvor det er muligt, de specifikke attributter, relevante metadata og datadokumentation, også under hensyntagen til de oplysninger, der stilles til rådighed i henhold til denne forordnings artikel 6, stk. 4
d)
oplysninger om nødvendigheden og proportionaliteten af adgangen til dataene og oplysninger om tidsrammerne for den forskning, for hvilken der anmodes om data
e)
oplysninger om de identificerede risici med hensyn til fortrolighed, datasikkerhed og beskyttelse af personoplysninger i forbindelse med de oplysninger, der vil blive tilgået, en beskrivelse af de tekniske, retlige og organisatoriske foranstaltninger, der vil blive truffet, herunder, hvor det er muligt, foreslåede adgangsmetoder for at afbøde sådanne risici ved behandlingen af de oplysninger, der anmodes om
f)
en beskrivelse af de forskningsaktiviteter, der skal gennemføres med de oplysninger, der anmodes om
1. Koordinatoren for digitale tjenester i etableringslandet fastsætter de nærmere bestemmelser, herunder de tekniske, retlige og organisatoriske foranstaltninger, som dataudbyderen skal anvende til at give kontrolunderlagte forskere dataadgang.
2. Koordinatorerne for digitale tjenester kan høre de relevante tilsynsmyndigheder, der er oprettet i henhold til artikel 51 i forordning (EU) 2016/679.
3. Ved fastlæggelsen af adgangsbetingelserne tager koordinatoren for digitale tjenester i etableringslandet oplysningerne i ansøgningen om data i betragtning, navnlig de oplysninger, der er omhandlet i artikel 8, stk. 1, litra e), idet der også tages hensyn til dataudbydernes og tjenestemodtagernes rettigheder og interesser, herunder beskyttelse af fortrolige oplysninger, forretningshemmeligheder og opretholdelse af sikkerheden i deres tjeneste og de oplysninger, som dataudbyderne stiller til rådighed i henhold til artikel 6, stk. 4, litra d).
4. Ud over de elementer, der er omhandlet i stk. 3, tager koordinatoren for digitale tjenester i etableringslandet følgende elementer i betragtning, når der fastsættes adgangsmetoder:
a)
hvis adgangen omfatter behandling af personoplysninger: i) vurderingen af risiciene i forbindelse med behandling af personoplysninger som beskrevet i artikel 8, litra e), herunder, hvor det er relevant, konsekvensanalyser vedrørende databeskyttelse som omhandlet i artikel 35 i forordning (EU) 2016/679 ii) påtænkte tekniske og organisatoriske foranstaltninger som forelagt i henhold til artikel 8, litra e).
b)
relevante netsikkerhedsforanstaltninger, kryptering, adgangskontrolmekanismer, backuppolitikker, dataintegritetsmekanismer og beredskabsplaner for hændelser
c)
hvis det er relevant, oplysninger om den planlagte opbevaringsperiode og de relevante planer for destruktion af oplysninger
d)
eventuelle organisatoriske foranstaltninger såsom interne revisionsprocesser, begrænsninger af adgangsrettigheder og informationsudveksling
1. En begrundet anmodning skal mindst indeholde følgende elementer:
a)
den dato, hvor dataudbyderen skal give adgang til de oplysninger, der anmodes om, og den dato, hvor en sådan adgang skal være afsluttet
b)
de adgangsbetingelser, der er fastsat i henhold til artikel 9
c)
resuméet af ansøgningen om dataadgang, jf. artikel 8, litra g).
2. Koordinatoren for digitale tjenester i etableringslandet kan i den begrundede anmodning medtage navne og kontaktoplysninger på alle kontrolunderlagte forskere, der er nævnt i ansøgningen om dataadgang, hvis dette er nødvendigt for at give adgang til de oplysninger, der anmodes om, i overensstemmelse med de adgangsbetingelser, der er angivet i den begrundede anmodning.
3. Hvis det at give adgang omfatter overførsel af personoplysninger til et tredjeland eller en international organisation som omhandlet i kapitel V i forordning (EU) 2016/679, skal den begrundede anmodning indeholde oplysninger om behovet for at indføre eller henvise til en passende overførselsmekanisme for at sikre overholdelse af forordning (EU) 2016/679.
1. Efter formulering af en begrundet anmodning offentliggør koordinatoren for digitale tjenester i etableringslandet en oversigt over den begrundede anmodning på den DSA-dataadgangsportalens offentligt tilgængelige brugerflade. Oversigten skal indeholde følgende:
a)
resuméet af ansøgningen om dataadgang, jf. artikel 8, litra g)
b)
de adgangsbetingelser, der er fastsat i henhold til artikel 9
2. Den i stk. 1 omhandlede oversigt ajourføres, så den afspejler eventuelle ændringer, der følger af ændring af et eller flere elementer efter behandlingen af en anmodning om ændring eller resultatet af en mægling i overensstemmelse med artikel 13.
1. Efter modtagelse af en anmodning om ændring i henhold til artikel 40, stk. 5, i forordning (EU) 2022/2065 underretter koordinatoren for digitale tjenester i etableringslandet den berørte hovedforsker.
2. Når der træffes afgørelse om en anmodning om ændring i henhold til artikel 40, stk. 5, litra a), i forordning (EU) 2022/2065, tager koordinatoren for digitale tjenester i etableringslandet følgende i betragtning:
a)
hvorvidt årsagerne til den påståede manglende dataadgang er behørigt begrundet
b)
hvorvidt denne manglende dataadgang er permanent eller midlertidig.
3. Når der træffes afgørelse om en anmodning om ændring i henhold til artikel 40, stk. 5, litra b), i forordning (EU) 2022/2065, tager koordinatoren for digitale tjenester i etableringslandet følgende i betragtning:
a)
hvorvidt de påståede sårbarheder og deres betydning er behørigt begrundet
b)
sandsynligheden for og alvoren af skade som følge af disse påståede væsentlige sårbarheder
c)
i hvilket omfang de adgangsbetingelser, der er fastsat i den begrundede anmodning, effektivt mindsker risikoen for, at en sådan skade opstår.
4. Koordinatoren for digitale tjenester i etableringslandet kan når som helst under vurderingen af en anmodning om ændring anmode dataudbyderen eller hovedforskeren om alle yderligere oplysninger, som den finder nødvendige for at afslutte sin vurdering.
5. En sådan anmodning om yderligere oplysninger fremsættes så hurtigt som muligt for at give dataleverandøren eller hovedforskeren tilstrækkelig tid til at svare og berører under ingen omstændigheder den frist, der er fastsat i artikel 40, stk. 6, andet afsnit, i forordning (EU) 2022/2065. Hvis dataudbyderen eller hovedforskeren slet ikke fremlægger de oplysninger, der anmodes om, eller ikke gør dette inden for en frist, der fastsættes af koordinatoren for digitale tjenester i etableringslandet, eller hvis der gives delvise oplysninger, træffer koordinatoren for digitale tjenester i etableringslandet sin afgørelse inden for den frist, der er fastsat i artikel 40, stk. 6, i forordning (EU) 2022/2065, på grundlag af de oplysninger, der blev stillet til rådighed for koordinatoren inden for en rimelig frist.
1. Hvis dataudbyderen er uenig i afgørelsen truffet af koordinatoren for digitale tjenester i etableringslandet om en anmodning om ændring, kan dataudbyderen inden for en frist på fem arbejdsdage fra meddelelsen fra koordinatoren for digitale tjenester i etableringslandet i henhold til artikel 40, stk. 6, andet afsnit, i forordning (EU) 2022/2065 skriftligt anmode koordinatoren for digitale tjenester i etableringslandet om at deltage i mægling.
2. Koordinatoren for digitale tjenester i etableringslandet er ikke forpligtet til at deltage i mæglingsprocessen.
3. Den skriftlige anmodning, der er omhandlet i stk. 1, skal indeholde en kortfattet beskrivelse af de specifikke elementer i afgørelsen som meddelt af koordinatoren for digitale tjenester i etableringslandet i henhold til artikel 40, stk. 6, andet afsnit, i forordning (EU) 2022/2065, som dataudbyderen modsætter sig.
4. Koordinatoren for digitale tjenester i etableringslandet og dataudbyderen aftaler, at der skal udpeges en mægler, og indleder mæglingen senest 20 arbejdsdage efter indgivelsen af anmodningen om mægling i henhold til stk. 3.
5. Inden koordinatoren for digitale tjenester godkender udpegelsen af en mægler, kontrollerer den, at mægleren er upartisk og uafhængig og besidder den relevante ekspertise vedrørende emnet som beskrevet i den skriftlige anmodning, der er omhandlet i stk. 1.
6. Dataudbyderen afholder alle omkostninger i forbindelse med mæglingen.
7. Koordinatoren for digitale tjenester i etableringslandet underretter uden unødig forsinkelse hovedforskeren om den i stk. 1 omhandlede mæglingsanmodning og kan beslutte at opfordre hovedforskeren til at deltage i mæglingen som part. Hvis ansøgningen om dataadgang er indgivet til forskningsorganisationens koordinator for digitale tjenester, kan koordinatoren for digitale tjenester i etableringslandet opfordre forskningsorganisationens koordinator for digitale tjenester til at deltage i mæglingsprocessen. Enhver part, der inviteres til at deltage i mæglingen af koordinatoren for digitale tjenester i etableringslandet, er ikke forpligtet til at deltage i mæglingsprocessen.
8. Deltagelse i mægling berører ikke parternes ret til at indlede retssager på et hvilket som helst tidspunkt før, under eller efter mæglingen.
9. Koordinatoren for digitale tjenester i etableringslandet fastsætter en frist for mæglingen, som ikke må overstige 40 arbejdsdage regnet fra den dag, hvor mæglingen indledes, jf. stk. 4.
10. Mægleren kan afslutte mæglingen tidligere i et af følgende tilfælde:
a)
1. Koordinatoren for digitale tjenester kan, inden denne fremsætter en begrundet anmodning eller træffer afgørelse om en anmodning om ændring, beslutte at høre eksperter.
2. Eksperterne skal være uafhængige og upartiske og besidde relevant ekspertise og dokumenterede færdigheder og have kapacitet og ressourcer til at udføre den identificerede opgave uden unødig forsinkelse.
3. For at attestere upartiskhed underskriver eksperterne en erklæring, der bekræfter, at de:
a)
ikke har nogen økonomisk eller personlig tilknytning til dataudbyderen eller de ansøgende forskere
b)
ikke har nogen interesse i resultatet af dataadgangsprocessen
c)
ikke er involveret i interessekonflikter.
4. Koordinatoren for digitale tjenester lægger uden unødig forsinkelse enhver høring, der gennemføres i henhold til stk. 1, sammen med den ekspertudtalelse, der er modtaget som svar på høringen, i AGORA.
1. Dataudbyderne underretter koordinatoren for digitale tjenester i etableringslandet senest tre arbejdsdage efter, at:
a)
kontrolunderlagte forskere har fået adgang til de oplysninger, der anmodes om, i overensstemmelse med den begrundede anmodning
b)
de kontrolunderlagte forskeres adgang er ophørt.
2. Dataleverandører skal give kontrolunderlagte forskere alle yderligere oplysninger, der er nødvendige for at få adgang til og forstå de oplysninger, der anmodes om, såsom kodebøger, ændringslogs og arkitekturdokumentation. I tilfælde, hvor tilvejebringelsen af sådanne yderligere oplysninger kan medføre en betydelig sårbarhed hos dataudbyderens tjenester, underretter dataudbyderen koordinatoren for digitale tjenester i etableringslandet om denne risiko og foreslår om muligt alternative oplysninger.
3. Når dataleverandører giver dataadgang, må de ikke pålægge kontrolunderlagte forskere dataforvaltningskrav såsom krav om arkivering, lagring, opdatering eller sletning, eller fastsætte begrænsninger i anvendelsen af standardiserede analytiske værktøjer, der kan hindre udførelsen af den relevante forskning, medmindre sådanne krav eller begrænsninger udtrykkeligt er nævnt i den begrundede anmodning.
4. Hvis personoplysninger behandles, må dataudbyderne ikke pålægge kontrolunderlagte forskere andre betingelser i forbindelse med behandlingen af de delte personoplysninger end dem, der er angivet i den begrundede anmodning.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 1. juli 2025.
EUT L 277 af 27.10.2022, s. 1, ELI: data.europa.eu/eli/reg/2022/2065/oj.
Kommissionens gennemførelsesforordning (EU) 2024/607 af 15. februar 2024 om de praktiske og operationelle ordninger for informationsudvekslingssystemets funktion i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2065 (forordningen om digitale tjenester) (EUT L, 2024/607, 16.2.2024, ELI: http://data.europ...).
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (EUT L 119 af 4.5.2016, s. 1, ELI: data.europa.eu/eli/reg/2016/679/oj).
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: data.europa.eu/eli/reg/2018/1725/oj).
Europa-Parlamentets og Rådets forordning (EU) 2022/868 af 30. maj 2022 om europæisk datastyring og om ændring af forordning (EU) 2018/1724 (forordning om datastyring) (EUT L 152 af 3.6.2022, s. 1, ELI: ).
g)
et resumé af ansøgningen om dataadgang, der indeholder følgende elementer: i) forskningsemnet ii) den dataudbyder, som der anmodes om oplysninger fra iii) en beskrivelse af de oplysninger, der anmodes om, jf. litra c).
e)
eventuelle foreslåede kontraktbestemmelser, såsom fortrolighedsaftaler, dataaftaler og andre typer skriftlige erklæringer, der fastsætter mulige betingelser for adgang og behandling mellem hovedforskeren og dataleverandøren
f)
uddannelse i datasikkerhed og beskyttelse af personoplysninger, som de ansøgende forskere har modtaget
g)
om der er behov for sikre databehandlingsmiljøer for at behandle dataene.
5. Hvis koordinatoren for digitale tjenester i etableringslandet mener, at der skal anvendes et sikkert databehandlingsmiljø til at give adgang til de oplysninger, der anmodes om, kræver koordinatoren for digitale tjenester i etableringslandet dokumentation for, at operatøren af det pågældende miljø:
a)
præciserer betingelserne for adgang til det sikre databehandlingsmiljø for at minimere risikoen for uautoriseret læsning, kopiering, ændring eller fjernelse af de oplysninger, der hostes i det sikre databehandlingsmiljø
b)
sikrer, at kontrolunderlagte forskere kun har adgang til oplysninger, der er omfattet af den begrundede anmodning, ved hjælp af individuelle og unikke brugeridentiteter og fortrolige adgangsmåder
c)
fører identificerbare logfiler over adgang til det sikre databehandlingsmiljø i den periode, der er nødvendig for at verificere og revidere alle behandlingsaktiviteter i det pågældende miljø
d)
sikrer, at kontrolunderlagte forskeres computerkraft er hensigtsmæssig og tilstrækkelig til forskningsprojektets formål
e)
overvåger effektiviteten af de foranstaltninger, der er anført i litra a)-d).
hvis en af parterne anmoder udtrykkeligt om at bringe mæglingen til ophør
b)
hvis det bliver klart, at parternes adfærd under mæglingen, herunder manglende god tro, gør det usandsynligt, at der vil blive indgået en aftale.
11. Hvis mæglingen resulterer i en aftale mellem parterne, tager koordinatoren for digitale tjenester i etableringslandet hensyn til en sådan aftale og ændrer, hvis det er relevant, den begrundede anmodning og underretter hovedforskeren om ændringen.
12. Hvis parterne ikke når til enighed, underretter koordinatoren for digitale tjenester i etableringslandet dataudbyderen om, at den afgørelse, som koordinatoren for digitale tjenester i etableringslandet har truffet om anmodningen om ændring, som senest meddelt i henhold til artikel 40, stk. 6, andet afsnit, i forordning (EU) 2022/2065, anses for gyldig og tjener som det relevante grundlag for yderligere skridt i processen, og underretter hovedforskeren herom.
13. I AGORA registrerer koordinatoren for digitale tjenester i etableringslandet et resumé af mæglingen, som er udarbejdet af mægleren og underskrevet af alle parter. Registreringen skal indeholde følgende oplysninger:
a)
datoen for dataudbyderens skriftlige anmodning om mægling
b)
parternes identitet og kontaktoplysninger
c)
start- og slutdato for mæglingen
d)
resultatet af mæglingen, herunder enhver aftale, der er indgået, eller årsagen til, at mæglingen bringes til ophør.
Europa-Parlamentets og Rådets direktiv (EU) 2019/790 af 17. april 2019 om ophavsret og beslægtede rettigheder på det digitale indre marked og om ændring af direktiv 96/9/EF og 2001/29/EF (EUT L 130, 17.5.2019, s. 92, ELI: data.europa.eu/eli/dir/2019/790/oj).
1.
Kommissionen opretter og sikrer en sikker og pålidelig IT-infrastruktur, DSA-dataadgangsportalen, på vegne af koordinatorerne for digitale tjenester, der støtter og strømliner forvaltningen af dataadgangsprocessen for forskere, forskningsorganisationer, dataudbydere og koordinatorer for digitale tjenester.
2.
For at opfylde sine forpligtelser som databehandler for koordinatorerne for digitale tjenester kan Kommissionen anvende tredjeparter som underdatabehandlere. Hvis det er tilfældet, giver de dataansvarlige Kommissionen tilladelse til at anvende underdatabehandlere eller udskifte underdatabehandlere, hvis det er nødvendigt. Kommissionen underretter de dataansvarlige om denne anvendelse eller udskiftning af underdatabehandlere og giver derved de dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Kommissionen sikrer, at der gælder samme databeskyttelsesforpligtelser for disse underdatabehandlere, som der er fastsat i denne forordning.
3.
Kommissionens behandling af personoplysninger må kun ske i det omfang, at denne er nødvendigt for:
a)
autentificering og adgangskontrol med hensyn til alle brugere af DSA-dataadgangsportalen
b)
godkendelse af anmodninger fra brugere af DSA-dataadgangsportalen om at oprette, ajourføre og slette enhver oplysning i applikationen på DSA-dataadgangsportalen
c)
modtagelse af de personoplysninger, der er omhandlet i denne forordnings artikel 5, stk. 3, og som uploades af brugere af DSA-dataadgangsportalen
d)
lagring af personoplysninger på DSA-dataadgangsportalen
e)
sletning af personoplysninger efter deres udløbsdato eller efter instruks fra den dataansvarlige
f)
sletning af eventuelle resterende personoplysninger efter afslutningen af leveringen af de tjenester, der leveres af DSA-dataadgangsportalen, medmindre EU-retten eller medlemsstaternes lovgivning kræver lagring af sådanne personoplysninger.
4.
Kommissionen træffer alle de nyeste organisatoriske, fysiske og logiske sikkerhedsforanstaltninger for at sikre, at DSA-dataadgangsportalen fungerer. Kommissionen skal med henblik herpå:
a)
udpege en enhed, der er ansvarlig for sikkerhedsforvaltningen af DSA-dataadgangsportalen, meddele de dataansvarlige sine kontaktoplysninger og sikre, at den er tilgængelig, så den kan reagere på sikkerhedstrusler
b)
påtage sig ansvaret for DSA-dataadgangsportalens sikkerhed, herunder regelmæssigt foretage test, evalueringer og vurderinger af sikkerhedsforanstaltningerne.
5.
Kommissionen træffer alle nødvendige sikkerhedsforanstaltninger til at undgå at kompromittere DSA-dataadgangsportalens funktion. Dette omfatter:
a)
risikovurderingsprocedurer til identificering og vurdering af mulige trusler mod DSA-dataadgangsportalen
b)
revisions- og kontrolprocedure for at: i) udføre kontrol af overensstemmelse mellem de gennemførte sikkerhedsforanstaltninger og den gældende sikkerhedspolitik ii) udføre regelmæssig kontrol af integriteten af AGORA-filer, sikkerhedsparametre og udstedte tilladelser iii) opdage brud på sikkerheden og indtrængen i DSA-dataadgangsportalen iv) gennemføre ændringer for at afbøde eksisterende sikkerhedssvagheder i DSA-dataadgangsportalen v) fastsættelse af betingelserne for at give tilladelse, herunder på anmodning fra dataansvarlige, og bidrage til udførelsen af uafhængige revisioner, herunder inspektioner, og gennemgang af sikkerhedsforanstaltninger på vilkår, der er i overensstemmelse med protokol (nr. 7) til traktaten om Den Europæiske Unions funktionsmåde vedrørende Den Europæiske Unions privilegier og immuniteter.
c)
ændring af den kontrolprocedure, der anvendes til at dokumentere og måle virkningen af en ændring, inden den gennemføres, og holde de dataansvarlige underrettet om enhver ændring, der kan påvirke kommunikationen med og/eller sikkerheden i DSA-dataadgangsportalen
d)
fastlæggelse af en vedligeholdelses- og reparationsprocedure til præcisering af de bestemmelser og betingelser, der skal overholdes, når vedligeholdelse og/eller reparation af DSA-dataadgangsportalen skal udføres
e)
fastlægge en procedure for sikkerhedsrelaterede hændelser med henblik på fastlæggelse af rapporterings- og eskaleringsordningen, omgående underretning af de berørte dataansvarlige, så de kan underrette de nationale datatilsynsmyndigheder om brud på persondatasikkerheden, og fastlæggelse af en disciplinær proces til håndtering af brud på sikkerheden i DSA-dataadgangsportalen.
6.
Kommissionen træffer tidssvarende fysiske og logiske sikkerhedsforanstaltninger for de faciliteter, som står for hosting af DSA-dataadgangsportalen, og for kontrollen af oplysninger og sikkerheden med hensyn til adgang. Kommissionen skal med henblik herpå:
a)
håndhæve den fysiske sikkerhed for at oprette særlige sikkerhedsområder og muliggøre afsløring af brud på sikkerheden i DSA-dataadgangsportalen
b)
overvåge adgangen til DSA-dataportalens faciliteter
c)
sikre, at udstyr ikke kan tilføjes, erstattes eller fjernes uden forudgående godkendelse fra de udpegede ansvarlige organer
d)
overvåge adgangen fra og til DSA-dataadgangsportalen
e)
sikre, at de brugere af DSA-dataadgangsportalen, der tilgår DSA-dataadgangsportalen, autentificeres
f)
gennemgå godkendelsesrettighederne i forbindelse med adgangen til DSA-dataadgangsportalen i tilfælde af et sikkerhedsbrud, der påvirker DSA-dataadgangsportalen
g)
bevare integriteten af de oplysninger, der overføres via DSA-dataadgangsportalen
h)
gennemføre tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre uautoriseret adgang til personoplysninger i DSA-dataadgangsportalen
i)
om nødvendigt gennemføre foranstaltninger til at blokere uautoriseret adgang til DSA-dataadgangsportalen (dvs. blokere en lokation/IP-adresse).
7.
Kommissionen:
a)
træffer foranstaltninger til beskyttelse af sit domæne, herunder at fjerne forbindelser, hvis der er væsentlig afvigelse fra principper og koncepter for kvalitet og sikkerhed
b)
opstiller en risikostyringsplan i forbindelse med sit ansvarsområde
c)
overvåger — i realtid — udførelsen af alle servicekomponenter af sine tjenester i DSA-dataadgangsportalen, udarbejde regelmæssige statistikker og føre registre
d)
yder support til DSA-dataadgangsportalen på engelsk til brugerne af DSA-dataadgangsportalen
e)
bistår de dataansvarlige og de fælles dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med henblik på opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III i forordning (EU) 2016/679
f)
yder støtte til de dataansvarlige ved at levere oplysninger vedrørende DSA-dataadgangsportalen for at gennemføre forpligtelserne i henhold til artikel 32, 33, 34, 35 og 36 i forordning (EU) 2016/679
g)
sikrer, at data, der behandles i DSA-dataadgangsportalen, er uforståelige for alle, der ikke har tilladelse til at tilgå faciliteten
h)
træffer alle relevante foranstaltninger for at forhindre uautoriseret adgang til personoplysninger, der transmitteres via DSA-dataadgangsportalen
i)
træffer foranstaltninger til at lette kommunikationen mellem de dataansvarlige
j)
fører en fortegnelse over de behandlingsaktiviteter, der foretages på vegne af de dataansvarlige, i overensstemmelse med artikel 31, stk. 2, i forordning (EU) 2018/1725.
ISSN 1977-0634 (electronic edition)