16.4.2018 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 96/1 |
ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2018/573
z dnia 15 grudnia 2017 r.
w sprawie głównych elementów umów w sprawie przechowywania danych zawieranych w ramach systemu identyfikowalności wyrobów tytoniowych
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę Parlamentu Europejskiego i Rady 2014/40/UE z dnia 3 kwietnia 2014 r. w sprawie zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich w sprawie produkcji, prezentowania i sprzedaży wyrobów tytoniowych i powiązanych wyrobów oraz uchylającą dyrektywę 2001/37/WE (1), w szczególności jej art. 15 ust. 12,
a także mając na uwadze, co następuje:
(1) |
Art. 15 ust. 8 dyrektywy 2014/40/UE zobowiązuje każdego producenta i importera do zawarcia – w ramach systemu identyfikowalności wyrobów tytoniowych bardziej szczegółowo określonego w rozporządzeniu wykonawczym Komisji (UE) 2018/574 (2) – umowy z niezależną stroną trzecią z myślą o przechowywaniu informacji związanych z wyrobami tytoniowymi. Art. 15 ust. 12 dyrektywy 2014/40/UE upoważnia Komisję do określenia głównych elementów tych umów. |
(2) |
Aby zapewnić efektywne funkcjonowanie systemu identyfikowalności wyrobów tytoniowych w ogólności oraz interoperacyjność systemu repozytoriów w szczególności, należy określić główne elementy umów w sprawie przechowywania danych, tak aby obejmowały one specyfikacje odnoszące się do operacyjności, dostępności i świadczenia usług przez dostawców systemów przechowywania danych. Aby zagwarantować skuteczne i ciągłe funkcjonowanie systemu identyfikowalności i ujętego w nim systemu przechowywania danych, niezbędne jest określenie przez dostawców jasnych wymogów dotyczących możliwości przenoszenia danych, na wypadek gdyby producent lub importer zdecydował się na zmianę dostawcy. W związku z tym umowy powinny zawierać postanowienia nakładające obowiązek stosowania technologii, która jest łatwo dostępna na rynku i powszechnie stosowana w sektorze, co pozwoli zapewnić skuteczny i nieprzerwany transfer danych między dotychczasowymi a nowymi dostawcami. |
(3) |
W celu zapewnienia niezbędnego poziomu elastyczności należy umożliwić zwracanie się do dostawcy systemu przechowywania danych o świadczenie, za opłatą, pomocniczych usług technicznych związanych z obsługą repozytorium pierwotnego, takich jak rozbudowa funkcjonalności operacyjnej interfejsów użytkownika, pod warunkiem że dodatkowe usługi przyczyniają się do właściwego funkcjonowania systemu repozytoriów i nie naruszają wymogów określonych w rozporządzeniu wykonawczym (UE) 2018/574. W związku z tym umowa powinna przewidywać taką możliwość. |
(4) |
Aby zapewnić ciągłą niezależność obsługi systemu identyfikowalności, Komisja powinna mieć możliwość cofnięcia zatwierdzenia dostawcy systemu przechowywania danych, z którym już zawarto umowę, w przypadku gdy ocena lub ponowna ocena jego zdolności technicznych lub niezależności prowadzi do negatywnych ustaleń w odniesieniu do jego odpowiedniości. |
(5) |
Z myślą o zagwarantowaniu skutecznej organizacji bieżącego funkcjonowania systemu dostawcy repozytoriów pierwotnych powinni współpracować ze sobą, a także z właściwymi organami państw członkowskich i Komisją, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Przedmiot
Niniejsze rozporządzenie określa główne elementy, które mają być włączone do umów w sprawie przechowywania danych, o których to umowach mowa w art. 15 ust. 8 dyrektywy 2014/40/UE.
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia, poza definicjami określonymi w dyrektywie 2014/40/UE i w rozporządzeniu wykonawczym (UE) 2018/574, stosuje się następujące definicje:
1) |
„umowa” oznacza porozumienie umowne między producentem lub importerem wyrobów tytoniowych a dostawcą systemów przechowywania danych zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE oraz rozporządzeniem wykonawczym (UE) 2018/574; |
2) |
„dostawca” oznacza dowolną osobę prawną, z którą producent lub importer wyrobów tytoniowych zawiera umowę w celu utworzenia i prowadzenia jego repozytorium pierwotnego oraz świadczenia usług powiązanych; |
3) |
„możliwość przenoszenia danych” oznacza zdolność przenoszenia danych między różnymi repozytoriami z wykorzystaniem technologii, która jest łatwo dostępna na rynku i stosowana powszechnie w sektorze. |
Artykuł 3
Główne obowiązki wynikające z umowy
1. W umowie określa się podstawowe usługi świadczone przez dostawcę, które obejmują:
1) |
utworzenie i prowadzenie repozytorium pierwotnego zgodnie z art. 26 rozporządzenia wykonawczego (UE) 2018/574; |
2) |
w przypadku gdy operator repozytorium pierwotnego jest wyznaczony jako dostawca repozytorium wtórnego – utworzenie i prowadzenie repozytorium wtórnego oraz instalacja i obsługa routera zgodnie z art. 27, 28 i 29 rozporządzenia wykonawczego (UE) 2018/574; |
3) |
świadczenie, na żądanie, innych pomocniczych usług technicznych związanych z obsługą repozytorium pierwotnego, które to usługi przyczyniają się do prawidłowego funkcjonowania systemu repozytoriów. |
2. Jeśli chodzi o określenie podstawowych usług, o których mowa w ust. 1 pkt 1 i 2, umowa zawiera specyfikacje odnoszące się do operacyjności, dostępności i świadczenia usług spełniających minimalne wymogi określone w niniejszym rozporządzeniu i ustanowione w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.
Artykuł 4
Specjalistyczna wiedza techniczna
Umowa wymaga od dostawców wydania producentowi lub importerowi pisemnego oświadczenia, że dostawcy posiadają lub mają do dyspozycji specjalistyczną wiedzę techniczną i operacyjną niezbędną do świadczenia usług, o których mowa w art. 3, oraz do spełnienia wymogów ustanowionych w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.
Artykuł 5
Dostępność repozytorium pierwotnego
1. W umowie określa się gwarantowany miesięczny nieprzerwany czas działania i dostępność repozytorium pierwotnego na poziomie 99,5 %.
2. Umowa wymaga od dostawcy stosowania odpowiednich mechanizmów zabezpieczających w celu uniemożliwienia jakiejkolwiek utraty danych przechowywanych, otrzymywanych lub przekazywanych w momencie, gdy repozytorium pierwotne staje się niedostępne.
Artykuł 6
Prawa dostępu
Umowa określa wymogi w zakresie fizycznego i wirtualnego dostępu do repozytorium pierwotnego przyznawanego – na poziomie serwera i bazy danych – administratorom krajowym z państw członkowskich, Komisji i wyznaczonym audytorom zewnętrznym zgodnie z art. 25 rozporządzenia wykonawczego (UE) 2018/574.
Artykuł 7
Podwykonawstwo
1. W przypadku gdy umowa przewiduje, że dostawca może zlecić podwykonawstwo niektórych obowiązków wynikających z umowy, zawiera ona postanowienie wyjaśniające, że podwykonawstwo nie wpływa na główną odpowiedzialność dostawcy za wykonanie umowy.
2. Ponadto w umowie wymaga się od dostawcy:
a) |
zapewnienia, aby proponowany podwykonawca posiadał niezbędną specjalistyczną wiedzę techniczną i spełniał wymogi niezależności określone w art. 35 rozporządzenia wykonawczego (UE) 2018/574. |
b) |
przedłożenia Komisji kopii oświadczenia, o którym mowa w art. 8 niniejszego rozporządzenia, podpisanego przez danego podwykonawcę (danych podwykonawców). |
Artykuł 8
Niezależność prawna i finansowa
Umowa wymaga, aby dostawcy i – w stosownych przypadkach – ich podwykonawcy przedkładali producentowi lub importerowi, wraz z umową w sprawie przechowywania danych, pisemne oświadczenie, że spełniają oni wymogi niezależności prawnej i finansowej określone w art. 35 rozporządzenia wykonawczego (UE) 2018/574.
Artykuł 9
Ochrona i poufność danych
1. Umowa przewiduje, że dostawcy wprowadzają wszelkie właściwe środki niezbędne do zapewnienia poufności, integralności i dostępności wszystkich danych przechowywanych w ramach wykonywanej umowy. Środki te obejmują kontrole bezpieczeństwa administracyjnego, technicznego i fizycznego.
2. Umowa wymaga, aby dane osobowe gromadzone w ramach jej wykonywania były przetwarzane zgodnie z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady (3).
Artykuł 10
Zarządzanie bezpieczeństwem informacji
Umowa zobowiązuje dostawców do oświadczenia, że repozytorium pierwotne i – w stosownych przypadkach – repozytorium wtórne są zarządzane zgodnie z międzynarodowo uznanymi normami zarządzania bezpieczeństwem informacji. Uznaje się, że dostawcy, którzy uzyskali certyfikat ISO/IEC 27001:2013, spełniają te normy.
Artykuł 11
Koszty
W umowie wymaga się, aby dostawcy naliczali koszty, które mają ponieść producenci lub importerzy zgodnie z art. 30 rozporządzenia wykonawczego (UE) 2018/574, w sposób sprawiedliwy, uzasadniony i proporcjonalny do:
a) |
świadczonych usług; oraz |
b) |
liczby niepowtarzalnych identyfikatorów, o które dany producent lub importer wystąpił w danym okresie. |
Artykuł 12
Uczestnictwo w systemie repozytoriów wtórnych
1. Umowa zobowiązuje dostawcę do uczestniczenia w tworzeniu systemu repozytoriów wtórnych (w przypadku gdy w dniu zawarcia umowy system repozytoriów wtórnych nie został jeszcze utworzony), jeżeli wymagają tego przepisy rozdziału V rozporządzenia wykonawczego (UE) 2018/574.
2. Umowa zawiera postanowienie, które umożliwia dostawcom uzyskanie od producentów i importerów wyrobów tytoniowych zwrotu kosztów poniesionych w związku z utworzeniem, prowadzeniem i utrzymywaniem repozytorium wtórnego oraz instalacją, obsługą i konserwacją routera, o których mowa w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.
Artykuł 13
Czas trwania umowy
Czas trwania umowy ustala się na okres co najmniej pięciu lat z możliwością odnowienia, z zastrzeżeniem zgody stron i pod warunkiem, że dostawca wciąż spełnia wymogi dyrektywy 2014/40/UE oraz rozporządzenia wykonawczego (UE) 2018/574.
Artykuł 14
Komunikacja z innymi stronami
Umowa zobowiązuje dostawców do wzajemnej współpracy oraz współpracy z właściwymi organami państw członkowskich w zakresie niezbędnym do zapewnienia skutecznej organizacji bieżącego funkcjonowania systemu repozytoriów.
Artykuł 15
Audyty
1. Umowa określa warunki umożliwiające audytorom zewnętrznym, którzy zostali zatwierdzeni przez Komisję zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE, przeprowadzanie zapowiedzianych i niezapowiedzianych audytów w odniesieniu do repozytorium pierwotnego oraz – w stosownych przypadkach – repozytorium wtórnego, w tym ocenę, czy dostawca i – w stosownych przypadkach – jego podwykonawcy spełniają odpowiednie wymogi prawne.
2. Umowa stanowi, że audytorzy zewnętrzni mają nieograniczony fizyczny i wirtualny dostęp do repozytorium pierwotnego i – w stosownych przypadkach – repozytorium wtórnego oraz powiązanych z nimi usług przez cały czas trwania audytu.
Artykuł 16
Odpowiedzialność
Zgodnie z przepisami prawa właściwego w umowie ustanawia się warunki określające odpowiedzialność stron, w tym w odniesieniu do bezpośrednich i pośrednich szkód, które mogą powstać w związku z wykonywaniem umowy. Nie naruszając przepisów prawa właściwego, umowa określa, że nie ma ograniczenia odpowiedzialności w przypadku naruszenia poufności lub naruszenia przepisów w zakresie ochrony danych.
Artykuł 17
Rozwiązanie umowy
1. Zgodnie z prawem właściwym umowa określa warunki dotyczące rozwiązania umowy. W przypadku rozwiązania umowy umowa nakłada na stronę, która ją rozwiązuje, obowiązek powiadomienia Komisji, zgodnie z wymogami proceduralnymi określonymi w załączniku I do rozporządzenia wykonawczego (UE) 2018/574.
2. Umowa zobowiązuje strony do zapewnienia minimalnego okresu wypowiedzenia wynoszącego pięć miesięcy przed rozwiązaniem umowy.
Na zasadzie odstępstwa od przepisów akapitu pierwszego umowa nakłada na producentów i importerów obowiązek natychmiastowego rozwiązania umowy:
a) |
w razie poważnego naruszenia przez dostawcę jego obowiązków wynikających z umowy; |
b) |
w przypadku gdy dostawca staje się niewypłacalny lub istnieje bezpośrednie ryzyko, że stanie się niewypłacalny zgodnie z przepisami prawa właściwego. |
3. Do celów ust. 2 lit. a) poważne naruszenie ma miejsce, gdy:
a) |
dostawca nie wypełnia zobowiązań lub nie świadczy usług przewidzianych w umowie, które mają zasadnicze znaczenie dla skutecznego funkcjonowania systemu identyfikowalności, w tym – w szczególności – nie spełnia wymogów określonych w rozdziale V rozporządzenia wykonawczego (UE) 2018/574; |
b) |
dostawca przestaje spełniać wymogi niezależności prawnej i finansowej określone w art. 35 ust. 2 rozporządzenia wykonawczego (UE) 2018/574 oraz w przypadku, gdy przed upływem terminu, o którym mowa w art. 35 ust. 6 rozporządzenia wykonawczego (UE) 2018/574, niemożliwe było przywrócenie zgodności z wymogami. |
Artykuł 18
Zawieszenie usług
W umowie określa się, że zawieszenie usług w przypadku opóźnienia w płatności przez producenta lub importera na rzecz dostawcy jest zabronione, chyba że opóźnienie przekracza ostateczny termin płatności o trzydzieści dni lub więcej.
Artykuł 19
Możliwość przenoszenia danych
1. Umowa wymaga od dostawców zapewnienia pełnej możliwości przenoszenia danych w przypadkach, gdy producent lub importer zawiera umowę w sprawie prowadzenia jego repozytorium pierwotnego z nowym dostawcą. Dotychczasowy dostawca dostarcza nowemu dostawcy przed datą rozwiązania umowy aktualną kopię wszystkich danych przechowywanych w repozytorium pierwotnym. Wszelkie aktualizacje danych po takim dostarczeniu podlegają migracji do nowego dostawcy bez zbędnej zwłoki.
2. W celu zapewnienia ciągłości działań umowa obejmuje stosowny plan odstąpienia od umowy określający procedurę, której należy przestrzegać w przypadku, gdy umowa jest rozwiązywana, a producent lub importer zawiera umowę z nowym dostawcą. Plan zawiera wymóg, aby dotychczasowy dostawca w dalszym ciągu świadczył swoje usługi aż do momentu, w którym nowy dostawca będzie w pełni operacyjny.
3. Umowa zawiera postanowienia gwarantujące, by dotychczasowy dostawca nie miał prawa zatrzymywania żadnych danych, informacji ani innych niezbędnych materiałów związanych z repozytorium pierwotnym po ich dostarczeniu do nowego dostawcy.
Artykuł 20
Prawo właściwe i jurysdykcja
1. Umowa podlega przepisom prawa jednego z państw członkowskich Unii Europejskiej zgodnie z ustaleniami stron.
2. Umowa podlega jurysdykcji jednego z państw członkowskich Unii Europejskiej zgodnie z ustaleniami stron.
Artykuł 21
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 15 grudnia 2017 r.
W imieniu Komisji
Jean-Claude JUNCKER
Przewodniczący
(1) Dz.U. L 127 z 29.4.2014, s. 1.
(2) Rozporządzenie wykonawcze Komisji (UE) 2018/574 z dnia 15 grudnia 2017 r. w sprawie norm technicznych dotyczących ustanowienia i funkcjonowania systemu identyfikowalności wyrobów tytoniowych (zob. s. 7 niniejszego Dziennika Urzędowego).
(3) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).