Ανάλυση άρθρων κανονισμού

ΚΕΦΑΛΑΙΟ I — Γενικές Διατάξεις Πλήρης Ανάλυση Άρθρων 1–2 (Κανονισμός (ΕΕ) 2022/868 — DGA)

Άρθρο 1 — Αντικείμενο και πεδίο εφαρμογής

Τι ρυθμίζει το Άρθρο 1

Το Άρθρο 1 περιγράφει τον σκοπό του DGA: να δημιουργήσει ένα οριζόντιο, αξιόπιστο πλαίσιο διακυβέρνησης δεδομένων στην ΕΕ. Αυτό επιτυγχάνεται μέσα από τέσσερις πυλώνες: (α) κανόνες για την περαιτέρω χρήση ορισμένων προστατευόμενων δεδομένων του δημόσιου τομέα, (β) ρύθμιση υπηρεσιών διαμεσολάβησης δεδομένων, (γ) ενίσχυση του αλτρουισμού δεδομένων μέσω αναγνωρισμένων οργανώσεων και (δ) θεσμικό συντονισμό (π.χ. μέσω ευρωπαϊκού συμβουλίου/ομάδας εμπειρογνωμόνων). Οι ρυθμίσεις αυτές δεν υποκαθιστούν τον GDPR ούτε την Οδηγία 2019/1024 για τα ανοικτά δεδομένα. Λειτουργούν συμπληρωματικά.

Ο παρών κανονισμός δεν δημιουργεί νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ούτε θίγει τυχόν δικαιώματα και υποχρεώσεις που ορίζονται στους κανονισμούς (ΕΕ) 2016/679 ή (ΕΕ) 2018/1725 ή στις οδηγίες 2002/58/ΕΚ ή (ΕΕ) 2016/680.

Ο παρών κανονισμός δεν θίγει την εφαρμογή της νομοθεσίας περί ανταγωνισμού.

Τι σημαίνει στην πράξη

Για τους φορείς του δημόσιου τομέα σημαίνει ότι, πέρα από τα «ανοικτά δεδομένα», εισάγεται μια ειδική διαδικασία ώστε να επιτρέπεται και η επαναχρησιμοποίηση προστατευόμενων συνόλων δεδομένων (π.χ. με εμπορικό απόρρητο, στατιστικό απόρρητο, προσωπικά δεδομένα ή δικαιώματα διανοητικής ιδιοκτησίας τρίτων). Η πρόσβαση γίνεται υπό όρους (ανωνυμοποίηση, ασφαλή περιβάλλοντα επεξεργασίας, συμβατικές ρήτρες). Για τους ιδιώτες παρόχους, δημιουργείται μια ρυθμισμένη αγορά «υπηρεσιών διαμεσολάβησης δεδομένων», με κανόνες ουδετερότητας, κοινοποίησης και εποπτείας. Για πολίτες/επιχειρήσεις, ενεργοποιείται η δυνατότητα διάθεσης δεδομένων για σκοπούς γενικού συμφέροντος («αλτρουισμός δεδομένων»).

Σχέση με άλλα νομοθετήματα

Ο DGA συνδέεται στενά με τον GDPR (για προσωπικά δεδομένα), με την Οδηγία 2019/1024 (ανοικτά δεδομένα) και με τον Κανονισμό 2018/1724 (Ενιαία Ψηφιακή Πύλη), τον οποίο και τροποποιεί. Κρίσιμο σημείο: ο DGA δεν δημιουργεί νέα νομική βάση επεξεργασίας προσωπικών δεδομένων· οι κανόνες του GDPR υπερισχύουν όπου υπάρχει σύγκρουση. Παράλληλα, ο DGA εισάγει ειδικά μέτρα για την ασφαλή επαναχρησιμοποίηση δεδομένων μη προσωπικού χαρακτήρα σε διεθνές επίπεδο (βλ. και άρθρο 31 για πρόσβαση από αρχές τρίτων χωρών).

Παραδείγματα εφαρμογής

• Ένας δήμος διαθέτει δεδομένα στάθμευσης που περιέχουν στοιχεία εμπορικού ενδιαφέροντος. Η επαναχρησιμοποίηση επιτρέπεται σε ερευνητές μέσα από ασφαλές περιβάλλον, χωρίς λήψη των ακατέργαστων αρχείων.

• Μια εταιρεία που λειτουργεί ως «διαμεσολαβητής δεδομένων» βοηθά ΜΜΕ να μοιράζονται δεδομένα εφοδιαστικής αλυσίδας με ουδέτερο τρόπο, χωρίς να τα εκμεταλλεύεται η ίδια.

• Ένα νοσοκομείο, σε συνεργασία με αναγνωρισμένη οργάνωση αλτρουισμού δεδομένων, συλλέγει ανωνυμοποιημένα δεδομένα για έρευνα στον καρκίνο υπό ενιαίο ευρωπαϊκό έντυπο συγκατάθεσης.

Συνηθισμένα λάθη

• Να θεωρείται ο DGA «νόμος ανοικτών δεδομένων». Στην πραγματικότητα καλύπτει κυρίως προστατευόμενα/μη ανοικτά δεδομένα με ειδικούς όρους.

• Να επιχειρείται επεξεργασία προσωπικών δεδομένων στηριζόμενη αποκλειστικά στον DGA. Η νομική βάση αντλείται από τον GDPR, ο DGA ρυθμίζει το «πώς» της ασφαλούς πρόσβασης/επαναχρησιμοποίησης.

• Να παραβλέπεται η ανάγκη μη-αποκλειστικών ρυθμίσεων και διαφάνειας ως προς τις προϋποθέσεις πρόσβασης.

Άρθρο 2 — Ορισμοί

Γιατί είναι κρίσιμοι οι ορισμοί

Οι ορισμοί του Άρθρου 2 καθορίζουν τα όρια εφαρμογής: ποιοι θεωρούνται «φορείς του δημόσιου τομέα», τι σημαίνει «υπηρεσία διαμεσολάβησης δεδομένων», τι είναι «ασφαλές περιβάλλον επεξεργασίας», ποιος είναι «κάτοχος δεδομένων» και ποιος «χρήστης δεδομένων». Κάθε μεταγενέστερη ρύθμιση παραπέμπει σε αυτούς τους όρους.

Βασικοί ορισμοί (με επεξήγηση και παραδείγματα)

• «Φορέας του δημόσιου τομέα»: αρχές, οργανισμοί και ορισμένοι φορείς δημοσίου δικαίου που κατέχουν δεδομένα στο πλαίσιο δημόσιας αποστολής. Παράδειγμα: υπουργεία, περιφέρειες, δήμοι, ανεξάρτητες αρχές.

• «Δημόσια επιχείρηση»: νομικά πρόσωπα που τελούν υπό τον έλεγχο του Δημοσίου και λειτουργούν στην αγορά. Γενικά δεν καλύπτονται από το κεφάλαιο περί επαναχρησιμοποίησης, εκτός ειδικών περιπτώσεων που ορίζει ο Κανονισμός/εθνικό δίκαιο.

• «Δεδομένα»: κάθε ψηφιακή αναπαράσταση πράξεων, γεγονότων ή πληροφοριών. Περιλαμβάνονται προσωπικά και μη προσωπικά δεδομένα, δομημένα και αδόμητα.

• «Περαιτέρω χρήση» (re-use): χρήση δεδομένων για σκοπούς διαφορετικούς από τον αρχικό σκοπό συλλογής τους από τον δημόσιο φορέα.

• «Κάτοχος δεδομένων» (data holder) και «Χρήστης δεδομένων» (data user): ο πρώτος ελέγχει/κατέχει τα δεδομένα· ο δεύτερος αιτείται πρόσβαση για επαναχρησιμοποίηση. Στον δημόσιο τομέα, ο κάτοχος είναι ο φορέας, σε ιδιωτικά περιβάλλοντα, μπορεί να είναι επιχείρηση/οργανισμός.

• «Υπηρεσίες διαμεσολάβησης δεδομένων» (data intermediation services): ουδέτερες υπηρεσίες που διευκολύνουν τη διάθεση ή ανταλλαγή δεδομένων μεταξύ κατόχων–χρηστών ή μεταξύ υποκειμένων και χρηστών, χωρίς ο πάροχος να εκμεταλλεύεται ο ίδιος τα δεδομένα για ίδιο όφελος.

• «Ασφαλές περιβάλλον επεξεργασίας»: ελεγχόμενο περιβάλλον (φυσικό ή ψηφιακό) όπου ο χρήστης έχει πρόσβαση για ανάλυση χωρίς δυνατότητα ανεξέλεγκτης αντιγραφής/εξαγωγής.

• «Αλτρουισμός δεδομένων»: εθελούσια διάθεση δεδομένων (συμπεριλαμβανομένων προσωπικών με κατάλληλη συγκατάθεση) αποκλειστικά για σκοπούς γενικού συμφέροντος μέσω αναγνωρισμένων οργανώσεων.

• «Αναγνωρισμένη οργάνωση αλτρουισμού δεδομένων»: μη κερδοσκοπική οντότητα που καταχωρίζεται σε ειδικό μητρώο και λειτουργεί υπό αυξημένη διαφάνεια και εποπτεία.

• «Ενιαίο Σημείο Πληροφόρησης» (Single Information Point – SIP): εθνική πύλη/διεπαφή που δέχεται και διαβιβάζει αιτήματα, δημοσιεύει καταλόγους δεδομένων και συνδέεται με το ευρωπαϊκό επίπεδο (ESAP).

Οριοθέτηση πεδίου – Τι ΔΕΝ καλύπτεται

Οι ορισμοί βοηθούν επίσης να γίνει σαφές τι δεν υπάγεται: π.χ. δραστηριότητες δημόσιων επιχειρήσεων εκτός δημόσιας αποστολής, τομείς εθνικής ασφάλειας/άμυνας, καθώς και φορείς πολιτισμού/εκπαίδευσης και ραδιοτηλεοπτικοί οργανισμοί υπό ειδικά καθεστώτα.

ΚΕΦΑΛΑΙΟ II — Περαιτέρω Χρήση Δεδομένων Δημόσιου Τομέα Πλήρης Ανάλυση Άρθρων 3–9 (Κανονισμός (ΕΕ) 2022/868 — DGA)

Άρθρο 3 — Κατηγορίες δεδομένων

Το άρθρο 3 προσδιορίζει τις κατηγορίες δεδομένων που μπορούν να αποτελέσουν αντικείμενο περαιτέρω χρήσης. Δεν μιλάμε για «ανοικτά δεδομένα» (όπως στην Οδηγία 2019/1024), αλλά για δεδομένα που προστατεύονται από νομικούς ή τεχνικούς περιορισμούς.

Αναλυτικά οι κατηγορίες:

1) Εμπορικό/επιχειρηματικό απόρρητο: δεδομένα που, αν διατεθούν ελεύθερα, θα μπορούσαν να βλάψουν την ανταγωνιστική θέση μιας επιχείρησης. Η διάθεση απαιτεί ασφαλή περιβάλλοντα, συμβάσεις εμπιστευτικότητας και περιορισμούς στη χρήση.

2) Στατιστικό απόρρητο: μικροδεδομένα που ενδέχεται να αποκαλύψουν ταυτότητα φυσικών ή νομικών προσώπων. Απαιτούνται τεχνικές ανωνυμοποίησης/θορύβου για να αποτραπεί η αναγνώριση.

3) Δικαιώματα διανοητικής ιδιοκτησίας τρίτων: δεδομένα προστατευμένα από πνευματικά δικαιώματα, πατέντες ή βάσεις δεδομένων. Η περαιτέρω χρήση είναι εφικτή μόνο με σχετική άδεια ή κατάλληλη σύμβαση.

4) Προσωπικά δεδομένα: εμπίπτουν στον GDPR. Για να επαναχρησιμοποιηθούν, πρέπει να ανωνυμοποιούνται ή να υπόκεινται σε αυστηρές διαδικασίες ψευδωνυμοποίησης με νομική βάση σύμφωνα με τον GDPR.

Εκτός πεδίου: δημόσιες επιχειρήσεις, τομείς εθνικής ασφάλειας/άμυνας, ραδιοτηλεοπτικοί οργανισμοί, πολιτιστικοί και εκπαιδευτικοί φορείς.

Παράδειγμα: Στατιστικά στοιχεία για την κατανάλωση ηλεκτρικής ενέργειας ανά περιοχή μπορούν να διατεθούν σε ερευνητές, εφόσον αφαιρεθούν οι λεπτομέρειες που αφορούν μεμονωμένες εταιρείες.

Άρθρο 4 — Απαγόρευση αποκλειστικών ρυθμίσεων

Το άρθρο 4 απαγορεύει την ύπαρξη αποκλειστικών συμφωνιών πρόσβασης σε δεδομένα. Η λογική είναι να αποτραπεί το φαινόμενο όπου μόνο ένας φορέας ή εταιρεία αποκτά πρόσβαση και εκμεταλλεύεται μονοπωλιακά τα δεδομένα. Εξαιρέσεις υπάρχουν, αλλά είναι περιορισμένες: μπορούν να συναφθούν αποκλειστικές ρυθμίσεις μόνο εφόσον δικαιολογούνται από λόγους δημοσίου συμφέροντος και μόνο για διάστημα έως 12 μηνών, με υποχρέωση δημοσίευσης.

Άρθρο 5 — Προϋποθέσεις περαιτέρω χρήσης

Το άρθρο 5 θέτει τις βασικές προϋποθέσεις υπό τις οποίες μπορούν να επαναχρησιμοποιηθούν δεδομένα του δημόσιου τομέα. Οι όροι πρέπει να είναι αμερόληπτοι, διαφανείς και αναλογικοί.

Κύριες προϋποθέσεις:

• Μπορεί να απαιτείται ανωνυμοποίηση ή συγκέντρωση δεδομένων ώστε να μειώνεται ο κίνδυνος αποκάλυψης προστατευόμενων πληροφοριών.

• Χρήση ασφαλών περιβαλλόντων επεξεργασίας, όπου ο χρήστης μπορεί να αναλύει χωρίς να έχει δυνατότητα εξαγωγής.

• Οι δημόσιοι φορείς μπορούν να απαγορεύουν την επαναχρησιμοποίηση αποτελεσμάτων που θίγουν δικαιώματα τρίτων.

• Ιδιαίτερη μέριμνα για αιτήματα που προέρχονται από τρίτες χώρες: μπορεί να απαιτηθούν επιπλέον συμβάσεις ή εγγυήσεις.

Παράδειγμα: Ένας ερευνητής ζητά πρόσβαση σε δεδομένα υγείας. Ο φορέας μπορεί να επιτρέψει πρόσβαση μόνο μέσα σε εικονικό περιβάλλον με logging και χωρίς δυνατότητα λήψης των αρχείων.

Άρθρο 6 — Τέλη

Το άρθρο 6 επιτρέπει στους δημόσιους φορείς να επιβάλλουν τέλη για την κάλυψη κόστους διάθεσης δεδομένων. Αυτά τα τέλη πρέπει να είναι αναλογικά και να μην δημιουργούν φραγμούς. Μπορούν να περιλαμβάνουν κόστος ανωνυμοποίησης, ανάπτυξης ασφαλών περιβαλλόντων ή ελέγχου ακεραιότητας.

Προβλέπονται εκπτώσεις ή απαλλαγές για ΜΜΕ, νεοφυείς επιχειρήσεις και μη εμπορικές χρήσεις.

Παράδειγμα: Ένα πανεπιστήμιο μπορεί να λάβει μειωμένο τέλος για την πρόσβαση σε δεδομένα έρευνας, σε σχέση με μια μεγάλη εταιρεία.

Άρθρο 7 — Αρμόδιοι φορείς

Κάθε κράτος μέλος οφείλει να ορίσει έναν ή περισσότερους αρμόδιους φορείς που θα υποστηρίζουν τους δημόσιους οργανισμούς στη διάθεση προστατευόμενων δεδομένων. Αυτοί οι φορείς έχουν τεχνική και οργανωτική επάρκεια, βοηθούν στη δημιουργία ασφαλών περιβαλλόντων επεξεργασίας και αξιολογούν συμβάσεις με χρήστες.

Παράδειγμα: Μια εθνική αρχή δεδομένων μπορεί να αναλάβει να συντονίζει όλα τα αιτήματα πρόσβασης στα δεδομένα υπουργείων και δήμων.

Άρθρο 8 — Ενιαίο Σημείο Πληροφόρησης (Single Information Point)

Το άρθρο 8 εισάγει το Ενιαίο Σημείο Πληροφόρησης (SIP). Πρόκειται για εθνική πύλη όπου οι ενδιαφερόμενοι μπορούν να υποβάλουν αιτήματα για επαναχρησιμοποίηση δεδομένων και να ενημερώνονται για διαθέσιμα σύνολα δεδομένων.

Βασικά χαρακτηριστικά:

• Διατηρεί ηλεκτρονικό κατάλογο δεδομένων με δυνατότητα αναζήτησης.

• Μπορεί να διαθέτει απλοποιημένο κανάλι ειδικά για ΜΜΕ και νεοφυείς επιχειρήσεις.

• Συνδέεται με το Ευρωπαϊκό Ενιαίο Σημείο Πρόσβασης (ESAP), το οποίο ενοποιεί όλες τις εθνικές πύλες.

Παράδειγμα: Ένας ερευνητής στην Ισπανία μπορεί να αναζητήσει δεδομένα που κατέχει η Γαλλία μέσω του ESAP, χωρίς να χρειάζεται να επικοινωνεί ξεχωριστά με κάθε γαλλικό φορέα.

Άρθρο 9 — Διαδικασία αιτημάτων

Το άρθρο 9 προβλέπει τη διαδικασία που πρέπει να ακολουθείται για αιτήματα επαναχρησιμοποίησης δεδομένων. Οι δημόσιοι φορείς οφείλουν να απαντούν εντός 2 μηνών, με δυνατότητα παράτασης 30 ημερών σε εξαιρετικά περίπλοκες περιπτώσεις.

Οι αποφάσεις πρέπει να είναι πλήρως αιτιολογημένες και οι αιτούντες έχουν δικαίωμα προσφυγής ή επανεξέτασης.

Παράδειγμα: Μια εταιρεία ζητά πρόσβαση σε στατιστικά δεδομένα. Αν ο φορέας απορρίψει το αίτημα, πρέπει να εξηγήσει με σαφήνεια τους λόγους (π.χ. κίνδυνος παραβίασης εμπορικού απορρήτου) και η εταιρεία έχει δικαίωμα να υποβάλει ένσταση.

ΚΕΦΑΛΑΙΟ III — Υπηρεσίες Διαμεσολάβησης Δεδομένων Πλήρης Ανάλυση Άρθρων 10–12 (Κανονισμός (ΕΕ) 2022/868 — DGA)

Άρθρο 10 — Πεδίο υπηρεσιών διαμεσολάβησης δεδομένων

Το Άρθρο 10 ορίζει τι είναι οι «υπηρεσίες διαμεσολάβησης δεδομένων» (data intermediation services). Πρόκειται για νέου τύπου υπηρεσίες που λειτουργούν ως ουδέτεροι ενδιάμεσοι ανάμεσα σε κατόχους και χρήστες δεδομένων. Στόχος είναι να ενισχυθεί η εμπιστοσύνη, ώστε οι κάτοχοι να μοιράζονται δεδομένα γνωρίζοντας ότι δεν θα εκμεταλλεύονται παράνομα και οι χρήστες να έχουν σαφή πρόσβαση με ίσους όρους.

Κατηγορίες υπηρεσιών:

1) Μεταξύ κατόχων και χρηστών δεδομένων: διευκολύνουν επιχειρήσεις ή οργανισμούς που θέλουν να μοιραστούν δεδομένα με τρίτους χωρίς να παραβιάζεται το επιχειρηματικό τους απόρρητο.

2) Μεταξύ υποκειμένων προσωπικών δεδομένων και χρηστών: παρέχουν εργαλεία στους πολίτες ώστε να ελέγχουν πώς και από ποιους χρησιμοποιούνται τα δεδομένα τους, ενισχύοντας τα δικαιώματα GDPR.

3) Συνεταιρισμοί δεδομένων: συλλογικές δομές (π.χ. ενώσεις εταιρειών ή πολιτών) που δημιουργούν κοινές πλατφόρμες ανταλλαγής δεδομένων.

Παράδειγμα: Μια πλατφόρμα που επιτρέπει σε οδηγούς ταξί να μοιράζονται δεδομένα διαδρομών με εταιρείες logistics, χωρίς η πλατφόρμα να χρησιμοποιεί τα δεδομένα για ίδιο όφελος.

Άρθρο 11 — Κοινοποίηση

Πριν ξεκινήσουν να λειτουργούν, οι πάροχοι υπηρεσιών διαμεσολάβησης δεδομένων υποχρεούνται να κοινοποιούν την πρόθεσή τους στην αρμόδια αρχή του κράτους μέλους. Η κοινοποίηση αυτή είναι προϋπόθεση για να αναγνωρίζονται επίσημα στην ΕΕ. Με την κοινοποίηση, αποκτούν δικαίωμα να παρέχουν υπηρεσίες σε όλα τα κράτη μέλη.

Η διαδικασία περιλαμβάνει:

• Υποβολή πλήρους φακέλου με πληροφορίες για τη νομική μορφή, τους μηχανισμούς ασφάλειας, τις πολιτικές ουδετερότητας και τα συστήματα συγκατάθεσης.

• Ενημέρωση της αρμόδιας αρχής για κάθε ουσιαστική αλλαγή στη λειτουργία (π.χ. αλλαγή εταιρικής δομής).

• Ενημέρωση σε περίπτωση παύσης λειτουργίας, ώστε να προστατευτούν τα δεδομένα που ήδη έχουν καταχωρηθεί.

Παράδειγμα: Μια startup στην Ελλάδα που θέλει να λειτουργήσει ως πάροχος υπηρεσιών διαμεσολάβησης πρέπει να κοινοποιήσει την πρόθεσή της στην εθνική αρμόδια αρχή. Έπειτα θα μπορεί να παρέχει τις υπηρεσίες της και στη Γερμανία ή στη Γαλλία χωρίς νέα άδεια.

Άρθρο 12 — Όροι παροχής υπηρεσιών

Το Άρθρο 12 θέτει τους αυστηρούς όρους υπό τους οποίους μπορούν να λειτουργούν οι πάροχοι. Σκοπός είναι να διασφαλιστεί ότι οι διαμεσολαβητές παραμένουν ουδέτεροι και δεν εκμεταλλεύονται τα δεδομένα.

Κύριες απαιτήσεις:

• Ουδετερότητα: οι πάροχοι δεν μπορούν να χρησιμοποιούν τα δεδομένα για δικό τους όφελος ούτε να επιβάλλουν όρους που στρεβλώνουν τον ανταγωνισμό.

• Χωριστή νομική οντότητα: αν μια εταιρεία παρέχει άλλες υπηρεσίες, η διαμεσολάβηση δεδομένων πρέπει να είναι σε ξεχωριστή νομική μονάδα, ώστε να αποφεύγονται συγκρούσεις συμφερόντων.

• Εργαλεία συγκατάθεσης: πρέπει να παρέχουν στους πολίτες διαφανή και εύχρηστα εργαλεία για να δίνουν και να ανακαλούν συγκατάθεση.

• Ασφαλείς μηχανισμοί: οι πάροχοι οφείλουν να τηρούν αρχεία δραστηριοτήτων, να εφαρμόζουν πολιτικές ασφαλείας και να διαχειρίζονται σωστά αιτήματα από τρίτες χώρες.

Παράδειγμα: Μια πλατφόρμα διαμεσολάβησης δεδομένων υγείας δεν μπορεί να αξιοποιεί τα δεδομένα για να δημιουργεί δικές της υπηρεσίες πρόγνωσης ασθενειών. Μπορεί μόνο να τα διαθέτει σε ερευνητές υπό τους όρους που έχει θέσει ο κάτοχος/υποκείμενο.

Συνηθισμένα λάθη:

• Να χρησιμοποιούνται τα δεδομένα για διαφημιστικούς σκοπούς από τον πάροχο.

• Να μην υπάρχει διαχωρισμός της νομικής οντότητας από άλλες δραστηριότητες της εταιρείας.

• Να μην τηρούνται σαφή αρχεία συγκατάθεσης και ανάκλησης.

ΚΕΦΑΛΑΙΟ IV — Αλτρουισμός Δεδομένων Πλήρης Ανάλυση Άρθρων 13–25 (Κανονισμός (ΕΕ) 2022/868 — DGA)

Άρθρο 13 — Αρμόδιες αρχές για υπηρεσίες διαμεσολάβησης

Το άρθρο αυτό αφορά τον ορισμό αρμόδιων αρχών για την εποπτεία των υπηρεσιών διαμεσολάβησης δεδομένων. Τα κράτη μέλη υποχρεούνται να ορίσουν φορείς που διαθέτουν επάρκεια σε τεχνικό και οργανωτικό επίπεδο, ώστε να παρακολουθούν τη συμμόρφωση των παρόχων, να διεξάγουν ελέγχους και να επιβάλλουν κυρώσεις.

Άρθρο 14 — Παρακολούθηση συμμόρφωσης

Η αρμόδια αρχή έχει το δικαίωμα να ζητά πληροφορίες, να πραγματοποιεί επιθεωρήσεις, να επιβάλλει διορθωτικά μέτρα και να συνεργάζεται με άλλες αρχές σε εθνικό και ευρωπαϊκό επίπεδο. Η συνεργασία αυτή είναι απαραίτητη ιδίως όταν οι υπηρεσίες διαμεσολάβησης λειτουργούν διασυνοριακά.

Άρθρο 15 — Εξαιρέσεις

Το άρθρο αυτό προβλέπει εξαιρέσεις από την αυστηρή εφαρμογή των διατάξεων, για οργανώσεις που λειτουργούν αποκλειστικά για σκοπούς γενικού συμφέροντος και δεν δημιουργούν σχέσεις μεγάλης κλίμακας με εμπορικούς χρήστες. Στόχος είναι να μην επιβαρύνονται άσκοπα μη κερδοσκοπικές πρωτοβουλίες.

Άρθρο 16 — Εθνικές ρυθμίσεις για τον αλτρουισμό δεδομένων

Τα κράτη μέλη μπορούν να θεσπίσουν εθνικές πολιτικές ή πλαίσια που ενθαρρύνουν τον αλτρουισμό δεδομένων. Μπορούν να δημιουργούν μηχανισμούς που επιτρέπουν σε άτομα ή επιχειρήσεις να διαθέτουν δεδομένα τους για σκοπούς γενικού συμφέροντος (έρευνα υγείας, περιβάλλον, καινοτομία).

Άρθρο 17 — Δημόσια μητρώα

Καθιερώνεται η δημιουργία δημόσιων μητρώων αναγνωρισμένων οργανώσεων αλτρουισμού δεδομένων σε εθνικό επίπεδο. Οι καταχωρήσεις αυτές συγκεντρώνονται και σε ενωσιακό μητρώο που τηρεί η Επιτροπή. Τα μητρώα παρέχουν διαφάνεια και ενισχύουν την εμπιστοσύνη των πολιτών.

Άρθρο 18 — Γενικές απαιτήσεις καταχώρισης

Οι οργανώσεις αλτρουισμού δεδομένων πρέπει να πληρούν συγκεκριμένα κριτήρια: να είναι μη κερδοσκοπικές, να επιδιώκουν σκοπούς γενικού συμφέροντος, να λειτουργούν με ανεξαρτησία και να συμμορφώνονται με τις κατευθυντήριες γραμμές της Επιτροπής.

Άρθρο 19 — Διαδικασία καταχώρισης

Η διαδικασία καταχώρισης απαιτεί υποβολή αίτησης, αξιολόγηση από την αρμόδια αρχή και εγγραφή στο μητρώο. Οι οργανώσεις εκτός ΕΕ υποχρεούνται να ορίσουν νόμιμο εκπρόσωπο στην Ένωση. Η καταχώριση παρέχει δικαίωμα χρήσης ειδικού λογοτύπου που πιστοποιεί την αναγνώριση.

Άρθρο 20 — Διαφάνεια

Οι οργανώσεις υποχρεούνται να δημοσιεύουν ετήσιες εκθέσεις με αναλυτικά στοιχεία για: - Ποιοι χρησιμοποίησαν τα δεδομένα. - Για ποιους σκοπούς. - Ποια ήταν η διάρκεια και τα αποτελέσματα. - Ποιες ήταν οι πηγές εσόδων/δαπανών. Η διαφάνεια διασφαλίζει την εμπιστοσύνη των πολιτών και των επιχειρήσεων.

Άρθρο 21 — Διαφύλαξη δικαιωμάτων

Το άρθρο αυτό ενισχύει την προστασία των υποκειμένων δεδομένων και των κατόχων τους. Απαιτεί οι οργανώσεις να ενημερώνουν πλήρως για τους όρους χρήσης, να εξασφαλίζουν ότι η συγκατάθεση είναι ελεύθερη και ανακλητή, και να εφαρμόζουν μηχανισμούς διασφάλισης των δικαιωμάτων.

Άρθρο 22 — Εγχειρίδιο κανόνων

Η Επιτροπή μπορεί να εκδώσει δεσμευτικό εγχειρίδιο κανόνων για τις οργανώσεις αλτρουισμού δεδομένων. Το εγχειρίδιο θα περιλαμβάνει λεπτομέρειες για διαδικασίες, πρότυπα και βέλτιστες πρακτικές.

Άρθρο 23 — Αρμόδιες αρχές για την καταχώριση οργανώσεων αλτρουισμού δεδομένων

  • Κάθε κράτος μέλος ορίζει αρχές υπεύθυνες για το εθνικό μητρώο οργανώσεων αλτρουισμού δεδομένων.

  • Οφείλουν να συνεργάζονται με αρχές προστασίας δεδομένων και άλλες αρμόδιες αρχές.

  • Τα κράτη μέλη κοινοποιούν τα στοιχεία αυτών των αρχών στην Επιτροπή.

Άρθρο 24 — Παρακολούθηση της συμμόρφωσης

  • Οι αρμόδιες αρχές επιβλέπουν τη συμμόρφωση των αναγνωρισμένων οργανώσεων αλτρουισμού δεδομένων.

  • Έχουν εξουσία να ζητούν πληροφορίες και να ελέγχουν αν τηρούνται οι απαιτήσεις του Κανονισμού.

  • Μπορούν να απαιτούν διόρθωση παραβάσεων και να αφαιρούν την αναγνώριση (διαγραφή από μητρώα, απώλεια δικαιώματος χρήσης της ένδειξης «αναγνωρισμένη στην ΕΕ») σε περίπτωση μη συμμόρφωσης.

  • Υπάρχει πλαίσιο συνεργασίας με άλλες εθνικές αρχές όταν μια οργάνωση δραστηριοποιείται διασυνοριακά.

Άρθρο 25 — Ευρωπαϊκό έντυπο συγκατάθεσης στον αλτρουισμό δεδομένων

  • Η Επιτροπή θεσπίζει τυποποιημένο ευρωπαϊκό έντυπο συγκατάθεσης.

  • Στόχος: διευκόλυνση της συλλογής δεδομένων για αλτρουιστικούς σκοπούς με ενιαίο, κατανοητό και μηχαναναγνώσιμο μορφότυπο.

  • Προβλέπεται η δυνατότητα ανάκλησης συγκατάθεσης και η προσαρμογή του εντύπου σε τομείς/σκοπούς.

Άρθρο 26 — Απαιτήσεις σχετικά με τις αρμόδιες αρχές

  • Οι αρχές πρέπει να είναι νομικά διακριτές και λειτουργικά ανεξάρτητες από τις οργανώσεις που εποπτεύουν.

  • Οφείλουν να λειτουργούν με αμεροληψία, διαφάνεια και συνέπεια.

  • Το προσωπικό τους δεν μπορεί να έχει σύγκρουση συμφερόντων.

  • Πρέπει να διαθέτουν επαρκείς ανθρώπινους, οικονομικούς και τεχνικούς πόρους.

  • Υποχρεούνται να μοιράζονται πληροφορίες με άλλες εθνικές και ευρωπαϊκές αρχές.

Άρθρο 27 — Δικαίωμα υποβολής καταγγελίας

  • Κάθε φυσικό ή νομικό πρόσωπο έχει δικαίωμα να υποβάλει καταγγελία:

  • κατά παρόχου υπηρεσιών διαμεσολάβησης δεδομένων, ή

  • κατά αναγνωρισμένης οργάνωσης αλτρουισμού δεδομένων.

  • Η αρμόδια αρχή ενημερώνει τον καταγγέλλοντα για την πορεία, το αποτέλεσμα και τα διαθέσιμα ένδικα μέσα.

Άρθρο 28 — Δικαίωμα πραγματικής δικαστικής προσφυγής

  • Κάθε πρόσωπο έχει δικαίωμα σε πραγματική δικαστική προσφυγή κατά:

  • δεσμευτικών αποφάσεων αρμόδιων αρχών (π.χ. σε θέματα κοινοποίησης παρόχων ή παρακολούθησης οργανώσεων αλτρουισμού).

  • Η προσφυγή γίνεται στα δικαστήρια του κράτους μέλους της αρμόδιας αρχής.

  • Αν μια αρχή δεν εξετάσει καταγγελία, ο πολίτης έχει δικαίωμα είτε σε δικαστική προσφυγή είτε σε ανεξάρτητη επανεξέταση από ειδικό φορέα.

ΚΕΦΑΛΑΙΟ VI — Ευρωπαϊκό Συμβούλιο Καινοτομίας Δεδομένων Πλήρης Ανάλυση Άρθρων 29–30 (Κανονισμός (ΕΕ) 2022/868 — DGA)

Άρθρο 29 — Σύσταση του Ευρωπαϊκού Συμβουλίου Καινοτομίας Δεδομένων

Το Άρθρο 29 ιδρύει το Ευρωπαϊκό Συμβούλιο Καινοτομίας Δεδομένων (European Data Innovation Board – EDIB). Πρόκειται για μια ομάδα εμπειρογνωμόνων σε επίπεδο ΕΕ, με σκοπό τον συντονισμό, την εναρμόνιση και την προώθηση βέλτιστων πρακτικών στην εφαρμογή του Κανονισμού.

Σύνθεση: - Εκπρόσωποι όλων των κρατών μελών. - Εκπρόσωποι της Ευρωπαϊκής Επιτροπής. - Η Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων (EDPB) και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS). - Άλλοι αρμόδιοι φορείς και οργανισμοί όπως το ENISA (για ζητήματα κυβερνοασφάλειας). Ο πολυσυλλεκτικός χαρακτήρας διασφαλίζει ότι λαμβάνονται υπόψη οι διαφορετικές πτυχές (νομικές, τεχνικές, οικονομικές).

Παράδειγμα: Το Συμβούλιο μπορεί να φέρει κοντά τις αρχές προστασίας δεδομένων και τις αρχές ανταγωνισμού για να συμφωνήσουν σε κοινές πρακτικές διαμεσολάβησης δεδομένων.

Άρθρο 30 — Καθήκοντα του Ευρωπαϊκού Συμβουλίου Καινοτομίας Δεδομένων

Το Άρθρο 30 περιγράφει τα καθήκοντα του Συμβουλίου. Στόχος είναι η διασφάλιση συνεκτικής και ομοιόμορφης εφαρμογής του Κανονισμού. Τα βασικά καθήκοντα είναι:

• Έκδοση κατευθυντήριων γραμμών, συστάσεων και βέλτιστων πρακτικών για την εφαρμογή του DGA.

• Ενίσχυση της διαλειτουργικότητας μεταξύ συστημάτων και κρατών μελών, ιδίως για τα Ενιαία Σημεία Πληροφόρησης (SIP).

• Προώθηση της τυποποίησης σε τεχνικό και οργανωτικό επίπεδο.

• Συμβουλευτικός ρόλος προς την Επιτροπή για θέματα τελών, διαδικασιών και κανονιστικών ρυθμίσεων.

• Υποστήριξη συνεργασίας μεταξύ αρμόδιων αρχών διαφορετικών κρατών μελών.

Παράδειγμα: Το Συμβούλιο μπορεί να εκδώσει οδηγίες για το πώς πρέπει να οργανώνονται τα ασφαλή περιβάλλοντα επεξεργασίας, ώστε να υπάρχει ενιαίο επίπεδο προστασίας σε όλη την ΕΕ.

Συνηθισμένο λάθος: να θεωρείται ότι το Συμβούλιο έχει δεσμευτικές εξουσίες. Στην πραγματικότητα, λειτουργεί συμβουλευτικά και συντονιστικά, χωρίς να υποκαθιστά τις εθνικές αρχές.

ΚΕΦΑΛΑΙΟ VII — Διεθνής Πρόσβαση & Διαβίβαση Δεδομένων Πλήρης Ανάλυση Άρθρου 31 (Κανονισμός (ΕΕ) 2022/868 — DGA)

Άρθρο 31 — Διεθνής πρόσβαση και διαβίβαση δεδομένων

Το Άρθρο 31 είναι κομβικό, καθώς ρυθμίζει την πρόσβαση και τη διαβίβαση δεδομένων του δημόσιου τομέα προς τρίτες χώρες. Αντιμετωπίζει τον κίνδυνο να αποκτήσουν ξένες κυβερνήσεις ή επιχειρήσεις πρόσβαση σε δεδομένα που προστατεύονται από το δίκαιο της ΕΕ.

Βασικές προβλέψεις:

• Οι κάτοχοι και χρήστες δεδομένων οφείλουν να λαμβάνουν τεχνικά, νομικά και οργανωτικά μέτρα για να αποτρέπουν μη εξουσιοδοτημένη πρόσβαση.

• Αν υπάρξει αίτημα από δημόσια αρχή τρίτης χώρας, ο κάτοχος δεδομένων πρέπει να ενημερώσει τον ενδιαφερόμενο και να διασφαλίσει ότι η μεταβίβαση είναι σύννομη με το δίκαιο της ΕΕ.

• Η Επιτροπή μπορεί να εκδώσει κατ’ εξουσιοδότηση πράξεις για να χαρακτηρίσει ορισμένες κατηγορίες δεδομένων μη προσωπικού χαρακτήρα ως «ιδιαιτέρως ευαίσθητες» και να επιβάλει ειδικούς όρους για τη μεταφορά τους.

Παράδειγμα: Ένα ερευνητικό κέντρο εκτός ΕΕ ζητά πρόσβαση σε στατιστικά δεδομένα από ευρωπαϊκή αρχή. Ο κάτοχος πρέπει να εξετάσει αν πληρούνται οι όροι ασφαλούς μεταφοράς και αν υπάρχει επάρκεια προστασίας στην τρίτη χώρα.

Η διάταξη αυτή συνδέεται με τον GDPR (για προσωπικά δεδομένα) και με το ρυθμιστικό πλαίσιο για δεδομένα μη προσωπικού χαρακτήρα, δημιουργώντας ένα ενιαίο σύστημα ελέγχου στις διεθνείς ροές δεδομένων.

Συνηθισμένα λάθη:

• Να γίνεται αποστολή δεδομένων εκτός ΕΕ χωρίς νομική βάση ή χωρίς να ενημερωθεί ο ενδιαφερόμενος φορέας/υποκείμενο.

• Να θεωρείται ότι οι ίδιες προϋποθέσεις με τα ανοικτά δεδομένα ισχύουν και εδώ. Το άρθρο 31 επιβάλλει πολύ αυστηρότερα κριτήρια.

ΚΕΦΑΛΑΙΟ VIII — Εξουσιοδότηση & Επιτροπολογία Πλήρης Ανάλυση Άρθρων 32–33 (Κανονισμός (ΕΕ) 2022/868 — DGA)

Άρθρο 32 — Άσκηση της εξουσιοδότησης

Το Άρθρο 32 καθορίζει τους όρους υπό τους οποίους η Ευρωπαϊκή Επιτροπή μπορεί να ασκεί εξουσιοδότηση για την έκδοση κατ’ εξουσιοδότηση πράξεων. Οι πράξεις αυτές επιτρέπουν την προσαρμογή τεχνικών και εξειδικευμένων λεπτομερειών χωρίς να χρειάζεται νέα νομοθετική διαδικασία από το Συμβούλιο και το Κοινοβούλιο.

Κύρια σημεία:

• Το Κοινοβούλιο και το Συμβούλιο μπορούν να ανακαλέσουν την εξουσιοδότηση ανά πάσα στιγμή.

• Μετά την έκδοση κατ’ εξουσιοδότηση πράξης, τα θεσμικά όργανα έχουν δικαίωμα ελέγχου και αντίρρησης εντός καθορισμένων προθεσμιών.

Παράδειγμα: Η Επιτροπή μπορεί να εκδώσει κατ’ εξουσιοδότηση πράξη για να χαρακτηρίσει μια νέα κατηγορία δεδομένων μη προσωπικού χαρακτήρα ως «ιδιαιτέρως ευαίσθητη» για διεθνείς μεταφορές.

Άρθρο 33 — Διαδικασία επιτροπής

Το Άρθρο 33 προβλέπει ότι η Επιτροπή επικουρείται από επιτροπή σύμφωνα με τον Κανονισμό (ΕΕ) 182/2011 για τον καθορισμό λεπτομερών κανόνων εφαρμογής του DGA.

ΚΕΦΑΛΑΙΟ IX — Τελικές Διατάξεις Πλήρης Ανάλυση Άρθρων 34–35 (Κανονισμός (ΕΕ) 2022/868 — DGA)

Άρθρο 34 — Κυρώσεις

  • Υποχρέωση κρατών μελών: Καθορίζουν τους κανόνες για τις κυρώσεις σε περίπτωση παραβάσεων.

  • Πεδίο εφαρμογής κυρώσεων:

    • Διαβίβαση δεδομένων μη προσωπικού χαρακτήρα σε τρίτες χώρες (άρθρα 5(14) και 31).

    • Υποχρέωση κοινοποίησης από παρόχους διαμεσολάβησης (άρθρο 11).

    • Προϋποθέσεις παροχής υπηρεσιών διαμεσολάβησης (άρθρο 12).

    • Προϋποθέσεις αναγνώρισης οργανώσεων αλτρουισμού δεδομένων (άρθρα 18, 20, 21, 22).

  • Χαρακτηριστικά κυρώσεων: Πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

  • Κριτήρια αξιολόγησης (ενδεικτικά): α) φύση, βαρύτητα, έκταση, διάρκεια της παράβασης, β) μέτρα αποκατάστασης/μετριασμού, γ) τυχόν προηγούμενες παραβάσεις, δ) οικονομικά οφέλη ή ζημίες που προέκυψαν, ε) επιβαρυντικά ή ελαφρυντικά στοιχεία.

Άρθρο 35 — Αξιολόγηση και επανεξέταση

  • Υποχρέωση Επιτροπής: Μέχρι τις 24 Σεπτεμβρίου 2025, αξιολογεί τον Κανονισμό και υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο, Συμβούλιο και ΕΟΚΕ.

  • Περιεχόμενο έκθεσης:

    • Αξιολόγηση εφαρμογής και λειτουργίας των κανόνων κυρώσεων (άρθρο 34).

    • Έλεγχος επιπέδου συμμόρφωσης νόμιμων εκπροσώπων παρόχων/οργανώσεων εκτός ΕΕ.

    • Επισκόπηση τύπων οργανώσεων αλτρουισμού δεδομένων και των σκοπών γενικού συμφέροντος που υπηρετούν.

  • Πιθανές συνέπειες: Η έκθεση μπορεί να συνοδευτεί από νέες νομοθετικές προτάσεις.

  • Υποχρέωση κρατών μελών: Παροχή όλων των αναγκαίων πληροφοριών στην Επιτροπή.

Άρθρο 36 — Τροποποίηση του Κανονισμού (ΕΕ) 2018/1724

  • Τροποποιείται το Παράρτημα ΙΙ του κανονισμού 2018/1724 (Single Digital Gateway).

  • Η καταχώριση «Έναρξη, λειτουργία και παύση δραστηριότητας επιχείρησης» αντικαθίσταται από πιο λεπτομερή κατάλογο διαδικασιών που καλύπτουν:

    • Κοινοποίηση επιχειρηματικής δραστηριότητας, άδειες, μεταβολές, παύση δραστηριότητας.

    • Εγγραφή εργοδότη/υπαλλήλων σε συνταξιοδοτικά και ασφαλιστικά συστήματα.

    • Υποβολή φορολογικής δήλωσης.

    • Κοινοποίηση λήξης σύμβασης υπαλλήλου.

    • Καταβολή κοινωνικών εισφορών.

    • Κοινοποίηση παρόχου υπηρεσιών διαμεσολάβησης δεδομένων.

    • Καταχώριση ως αναγνωρισμένη οργάνωση αλτρουισμού δεδομένων.

Άρθρο 37 — Μεταβατικές ρυθμίσεις

· Οι πάροχοι υπηρεσιών διαμεσολάβησης δεδομένων που λειτουργούσαν ήδη στις 23 Ιουνίου 2022 πρέπει να συμμορφωθούν με τις υποχρεώσεις του Κεφαλαίου III έως τις 24 Σεπτεμβρίου 2025.

Άρθρο 38 — Έναρξη ισχύος και εφαρμογή

· Ο Κανονισμός ισχύει από την 20ή ημέρα μετά τη δημοσίευσή του (δηλαδή 3 Ιουνίου 2022).

· Εφαρμογή: Από τις 24 Σεπτεμβρίου 2023.

· Είναι δεσμευτικός στο σύνολό του και εφαρμόζεται άμεσα σε όλα τα κράτη μέλη.

PreviousΕισαγωγικό πλαίσιοNextΑνάλυση αιτιολογικών σκέψεων κανονισμού

Last updated