EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32018R0573
Commission Delegated Regulation (EU) 2018/573 of 15 December 2017 on key elements of data storage contracts to be concluded as part of a traceability system for tobacco products (Text with EEA relevance. )
Kommissionens delegerede forordning (EU) 2018/573 af 15. december 2017 om nøgleelementerne i aftaler om lagring af data, der indgås som led i et sporbarhedssystem for tobaksvarer (EØS-relevant tekst. )
Kommissionens delegerede forordning (EU) 2018/573 af 15. december 2017 om nøgleelementerne i aftaler om lagring af data, der indgås som led i et sporbarhedssystem for tobaksvarer (EØS-relevant tekst. )
C/2017/8415
OJ L 96, 16.4.2018, p. 1–6
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
16.4.2018 |
DA |
Den Europæiske Unions Tidende |
L 96/1 |
KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2018/573
af 15. december 2017
om nøgleelementerne i aftaler om lagring af data, der indgås som led i et sporbarhedssystem for tobaksvarer
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets direktiv 2014/40/EU af 3. april 2014 om indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser om fremstilling, præsentation og salg af tobak og relaterede produkter og om ophævelse af direktiv 2001/37/EF (1), særlig artikel 15, stk. 12, og
ud fra følgende betragtninger:
|
(1) |
Ved artikel 15, stk. 8, i direktiv 2014/40/EU pålægges — som et element i sporbarhedssystemet for tobaksvarer som nærmere fastlagt ved Kommissionens gennemførelsesforordning (EU) 2018/574 (2) — den enkelte fabrikant og importør at indgå en aftale med en uafhængig tredjepartsleverandør med henblik på hosting af oplysninger vedrørende fabrikantens eller importørens tobaksvarer. Ved artikel 15, stk. 12, i direktiv 2014/40/EU tillægges Kommissionen beføjelser til at fastlægge nøgleelementerne i disse aftaler. |
|
(2) |
Med henblik på at sikre et velfungerende sporbarhedssystem for tobaksvarer generelt og interoperabilitet i datalagringssystemet mere specifikt bør nøgleelementerne i aftalerne om lagring af data fastlægges, så de inkluderer specifikationer vedrørende funktionsevne, tilgængelighed og ydeevne for de tjenester, der skal leveres af leverandører af datalagringstjenester. For at sporbarhedssystemet og det datalagringssystem, der er en del heraf, skal kunne fungere effektivt og kontinuerligt, er det nødvendigt, at leverandørerne fastsætter klare krav vedrørende dataportabilitet i situationer, hvor en fabrikant eller en importør beslutter at skifte leverandør. Af samme grund bør aftalerne inkludere krav om anvendelse af teknologi, som er umiddelbart tilgængelig på markedet og almindeligt anvendt i sektoren, således at der garanteres en effektiv og ubrudt dataoverførsel mellem eksisterende og nye leverandører. |
|
(3) |
Det bør, med henblik på at sikre den nødvendige grad af fleksibilitet, være muligt at anmode leverandører af datalagringstjenester om, mod betaling af et gebyr, at levere supplerende tekniske tjenester i tilknytning til driften af det primære datalager, såsom udvidelse af brugergrænsefladers operationelle funktionalitet, forudsat at de pågældende supplerende tjenester bidrager til sikre, at datalagringssystemet fungerer efter hensigten, og ikke er i strid med kravene i gennemførelsesforordning (EU) 2018/574 Aftalen bør derfor give mulighed for dette. |
|
(4) |
Med henblik på at sikre en til enhver tid uafhængig drift af sporbarhedssystemet bør Kommissionen kunne tilbagekalde godkendelsen af en leverandør af datalagringstjenester, som der allerede er indgået aftale med, hvis en vurdering eller revurdering af leverandørens tekniske kapacitet eller uafhængighed giver anledning til en negativ konklusion for så vidt angår leverandørens egnethed. |
|
(5) |
For at sikre en effektiv tilrettelæggelse af systemets daglige drift bør leverandører af primære datalagre samarbejde med hinanden samt med medlemsstaternes kompetente myndigheder og Kommissionen — |
VEDTAGET DENNE FORORDNING:
Artikel 1
Genstand
Ved denne forordning fastlægges der en række nøgleelementer, som skal indgå i aftaler om lagring af data som omhandlet i artikel 15, stk. 8, i direktiv 2014/40/EU.
Artikel 2
Definitioner
Ved anvendelsen af denne forordning gælder, ud over definitionerne i direktiv 2014/40/EU og i gennemførelsesforordning (EU) 2018/574, følgende definitioner:
1) »aftale«: en kontraktlig aftale mellem en fabrikant eller importør af tobaksvarer og en leverandør af systemer til lagring af data, jf. artikel 15, stk. 8, i direktiv 2014/40/EU og gennemførelsesforordning (EU) 2018/574
2) »leverandør«: enhver juridisk person, med hvem en fabrikant eller importør af tobaksvarer har indgået aftale om oprettelse og drift af den pågældendes primære datalager og tjenester i tilknytning dertil
3) »dataportabilitet«: evnen til at flytte data mellem forskellige datalagre ved brug af teknologi, der er umiddelbart tilgængelig på markedet og almindeligt anvendt i sektoren.
Artikel 3
Centrale forpligtelser i henhold til aftalen
1. Det skal i aftalen præciseres, hvilke nøgletjenester leverandører skal levere, idet disse skal inkludere:
|
1) |
oprettelse og drift af et primært datalager i overensstemmelse med artikel 26 i gennemførelsesforordning (EU) 2018/574 |
|
2) |
hvis operatøren af det primære datalager vælges som leverandør til det sekundære datalager, oprettelse og drift af det sekundære datalager og routeren, jf. artikel 27, 28 og 29 i gennemførelsesforordning (EU) 2018/574 |
|
3) |
levering, efter anmodning, af andre, supplerende tekniske tjenester i tilknytning til det primære datalagers drift, som bidrager til, at datalagringssystemet fungerer efter hensigten. |
2. For så vidt angår fastlæggelsen af de i stk. 1, nr. 1) og 2), omhandlede nøgletjenester skal aftalen indeholde specifikationer vedrørende tjenesternes funktionsevne, tilgængelighed og ydeevne, som skal opfylde de i denne forordning og i kapitel V i gennemførelsesforordning (EU) 2018/574 fastsatte minimumskrav.
Artikel 4
Teknisk ekspertise
Aftalen skal forpligte leverandører til at forelægge fabrikanten eller importøren en skriftlig erklæring om, at de besidder eller har adgang til den tekniske og operationelle ekspertise, der er nødvendig for at kunne levere de i artikel 3 omhandlede tjenester og opfylde kravene i kapitel V i gennemførelsesforordning (EU) 2018/574
Artikel 5
Tilgængeligheden af det primære datalager
1. Aftalen skal indeholde en klausul om en garanteret månedlig oppetid og tilgængelighed på 99,5 % for det primære datalager.
2. Aftalen skal stipulere, at leverandøren skal have etableret passende backupsystemer med henblik på at forhindre tab af data, der lagres, modtages eller overføres på det tidspunkt, hvor det primære datalager bliver utilgængeligt.
Artikel 6
Adgangsrettigheder
Det skal i aftalen præciseres, hvilke krav der skal være opfyldt, for at nationale administratorer i medlemsstaterne, Kommissionen og udpegede eksterne revisorer kan få fysisk og virtuel adgang, på server- og databaseniveau, til det primære datalager, jf. artikel 25 i gennemførelsesforordning (EU) 2018/574.
Artikel 7
Underentrepriser
1. Er det i aftalen udtrykkeligt fastsat, at leverandøren kan give visse forpligtelser i henhold til aftalen i underentreprise, skal aftalen indeholde en bestemmelse, der præciserer, at underentreprisen ikke berører leverandørens primære ansvar for opfyldelse af aftalen.
2. Aftalen skal desuden forpligte leverandøren til at:
|
a) |
sikre, at den foreslåede underleverandør har den fornødne tekniske ekspertise og opfylder kravene vedrørende uafhængighed i artikel 35 i gennemførelsesforordning (EU) 2018/574 |
|
b) |
forelægge Kommissionen en kopi af den i denne forordnings artikel 8 omhandlede erklæring, underskrevet af den eller de pågældende underleverandører. |
Artikel 8
Juridisk og økonomisk uafhængighed
Aftalen skal forpligte leverandører og disses eventuelle underleverandører til, sammen med aftalen om lagring af data, at forelægge fabrikanten eller importøren en skriftlig erklæring om, at de opfylder kravene vedrørende juridisk og økonomisk uafhængighed i artikel 35 i gennemførelsesforordning (EU) 2018/574.
Artikel 9
Databeskyttelse og tavshedspligt
1. Det skal i aftalen præciseres, at leverandøren skal træffe alle relevante foranstaltninger, der er nødvendige for at sikre fortroligheden, integriteten og tilgængeligheden af alle data lagret som led i opfyldelsen af aftalen. Sådanne foranstaltninger skal omfatte administrativ, teknisk og fysisk sikkerhedskontrol.
2. Aftalen skal stipulere, at behandling af personoplysninger i henhold til aftalen skal ske i overensstemmelse med Europa-Parlamentets og Rådets direktiv 95/46/EF (3).
Artikel 10
Informationssikkerhedsledelse
Aftalen skal forpligte leverandører til at erklære, at det primære datalager, og i givet fald det sekundære datalager, forvaltes i overensstemmelse med internationalt anerkendte standarder for informationssikkerhedsledelse. Leverandører, der er certificeret i henhold til ISO/IEC 27001:2013, anses for at opfylde disse standarder.
Artikel 11
Udgifter
Aftalen skal stipulere, at de gebyrer, som leverandører pålægger fabrikanter eller importører i overensstemmelse med artikel 30 i gennemførelsesforordning (EU) 2018/574, skal være fair, rimelige og proportionelle i forhold til:
|
a) |
de leverede tjenester og |
|
b) |
antallet af entydige identitetsmærker, som den pågældende fabrikant eller importør anmoder om inden for en bestemt periode. |
Artikel 12
Deltagelse i et sekundært datalagringssystem
1. Aftalen skal forpligte leverandøren til at deltage i oprettelsen af det sekundære datalagringssystem (hvis det sekundære system endnu ikke er blevet etableret på tidspunktet for indgåelse af aftalen), alt efter hvad der er påkrævet, jf. kapitel V i gennemførelsesforordning (EU) 2018/574.
2. Aftalen skal indeholde en bestemmelse, der gør det muligt for leverandører at få dækket udgifterne til oprettelse, drift og vedligeholdelse af det sekundære datalager og routeren som omhandlet i kapitel V i gennemførelsesforordning (EU) 2018/574 hos fabrikanter og importører af tobaksvarer.
Artikel 13
Varighed
Aftalens varighed fastsættes til mindst fem år med mulighed for forlængelse, hvis parterne er enige herom og leverandøren fortsat opfylder kravene i direktiv 2014/40/EU og gennemførelsesforordning (EU) 2018/574.
Artikel 14
Kommunikation med andre parter
Aftalen skal forpligte leverandører til at samarbejde med hinanden samt med medlemsstaternes kompetente myndigheder, i det omfang det er nødvendigt for at sikre en effektiv tilrettelæggelse af datalagringssystemets daglige drift.
Artikel 15
Revision
1. Aftalen skal indeholde vilkår, som sikrer, at eksterne revisorer godkendt af Kommissionen, jf. artikel 15, stk. 8, i direktiv 2014/40/EU, kan gennemføre anmeldte og uanmeldte revisionsbesøg i relation til det primære datalager, og i givet fald det sekundære datalager, inkluderende en vurdering af, hvorvidt leverandøren og dennes eventuelle underleverandører opfylder de relevante lovkrav.
2. Det skal i aftalen præciseres, at eksterne revisorer under hele revisionsbesøget skal have uhindret fysisk og virtuel adgang til det primære datalager, og i givet fald det sekundære datalager, samt tjenester i tilknytning hertil.
Artikel 16
Erstatningsansvar
Aftalen skal indeholde vilkår, som detaljeret angiver parternes erstatningsansvar, herunder med hensyn til direkte og indirekte tab, der måtte opstå som følge af aftalen, i overensstemmelse med gældende ret. Med forbehold af gældende ret skal det i aftalen desuden præciseres, at erstatningsansvaret ikke er begrænset i tilfælde af brud på tavshedspligten eller overtrædelse af databeskyttelsesreglerne.
Artikel 17
Opsigelse af aftalen
1. Aftalen skal indeholde vilkår for opsigelse af aftalen i overensstemmelse med gældende ret. Aftalen skal forpligte den part, der måtte opsige aftalen, til at underrette Kommissionen herom i overensstemmelse med procedurekravene i bilag I til gennemførelsesforordning (EU) 2018/574.
2. Aftalen skal forpligte parterne til at overholde en minimumsfrist for opsigelse af aftalen på mindst fem måneder.
Uanset første afsnit skal aftalen forpligte fabrikanter og importører til straks at ophæve aftalen:
|
a) |
hvis leverandøren gør sig skyldig i alvorlig misligholdelse af sine forpligtelser i henhold til aftalen |
|
b) |
hvis leverandøren bliver eller er i overhængende fare for at blive insolvent i henhold til gældende ret. |
3. For så vidt angår stk. 2, litra a), er der tale om alvorlig misligholdelse:
|
a) |
hvis leverandøren undlader at opfylde forpligtelser eller levere tjenester, der skal opfyldes eller leveres i henhold til aftalen, og som er afgørende for, at sporbarhedssystemet kan fungere effektivt, herunder navnlig manglende opfyldelse af kravene i kapitel V i gennemførelsesforordning (EU) 2018/574 |
|
b) |
hvis en leverandør ikke længere opfylder kravene til juridisk og økonomisk uafhængighed i artikel 35, stk. 2, i gennemførelsesforordning (EU) 2018/574, og hvis det ved udløbet af den i artikel 35, stk. 6, i gennemførelsesforordning (EU) 2018/574 fastsatte frist ikke kunne fastslås, at kravene var opfyldt. |
Artikel 18
Afbrydelse af tjenester
Det skal i aftalen præciseres, at afbrydelser af tjenester i tilfælde af for sen betaling fra en fabrikant eller en importør til leverandøren er forbudt, medmindre forsinkelsen overstiger den endelige betalingsfrist med tredive dage eller derover.
Artikel 19
Dataportabilitet
1. Aftalen skal forpligte leverandører til at sikre fuld dataportabilitet i tilfælde, hvor en fabrikant eller en importør indgår aftale med en ny leverandør om drift af fabrikantens eller importørens primære datalager. Den eksisterende leverandør skal inden aftalens udløb give den nye leverandør en ajourført kopi af alle data, der er lagret i det primære datalager. Eventuelle efterfølgende ajourføringer af de pågældende data skal overføres til den nye leverandør uden unødigt ophold.
2. For at sikre driftskontinuitet skal aftalen omfatte en praktisk anvendelig ophørsplan, som beskriver den procedure, der skal følges, hvis aftalen opsiges og fabrikanten eller importøren indgår aftale med en ny leverandør. Planen skal omfatte et krav om, at den eksisterende leverandør skal fortsætte med at levere sine tjenester, indtil den nye leverandør kan udføre opgaven.
3. Aftalen skal indeholde bestemmelser, der sikrer, at den eksisterende leverandør ikke har nogen ret til at tilbageholde data, oplysninger eller andet nødvendigt materiale vedrørende det primære datalager, efter at de(t) er blevet overgivet til den nye leverandør.
Artikel 20
Lovvalg og jurisdiktion
1. Aftalen er underlagt lovgivningen i en af Den Europæiske Unions medlemsstater, som aftalt af aftalens parter.
2. Aftalen er underlagt jurisdiktionen i en af Den Europæiske Unions medlemsstater, som aftalt af aftalens parter.
Artikel 21
Ikrafttræden
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 15. december 2017.
På Kommissionens vegne
Jean-Claude JUNCKER
Formand
(1) EUT L 127 af 29.4.2014, s. 1.
(2) Kommissionens gennemførelsesforordning (EU) 2018/574 af 15. december 2017 om tekniske standarder for oprettelse og drift af et sporbarhedssystem for tobaksvarer (se side 7 i denne EUT).
(3) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).