ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2018/573

z dnia 15 grudnia 2017 r.

w sprawie głównych elementów umów w sprawie przechowywania danych zawieranych w ramach systemu identyfikowalności wyrobów tytoniowych

(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając dyrektywę Parlamentu Europejskiego i Rady 2014/40/UE z dnia 3 kwietnia 2014 r. w sprawie zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich w sprawie produkcji, prezentowania i sprzedaży wyrobów tytoniowych i powiązanych wyrobów oraz uchylającą dyrektywę 2001/37/WE (1), w szczególności jej art. 15 ust. 12,

a także mając na uwadze, co następuje:

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

Przedmiot

Niniejsze rozporządzenie określa główne elementy, które mają być włączone do umów w sprawie przechowywania danych, o których to umowach mowa w art. 15 ust. 8 dyrektywy 2014/40/UE.

Artykuł 2

Definicje

Do celów niniejszego rozporządzenia, poza definicjami określonymi w dyrektywie 2014/40/UE i w rozporządzeniu wykonawczym (UE) 2018/574, stosuje się następujące definicje:

Artykuł 3

Główne obowiązki wynikające z umowy

1.   W umowie określa się podstawowe usługi świadczone przez dostawcę, które obejmują:

2.   Jeśli chodzi o określenie podstawowych usług, o których mowa w ust. 1 pkt 1 i 2, umowa zawiera specyfikacje odnoszące się do operacyjności, dostępności i świadczenia usług spełniających minimalne wymogi określone w niniejszym rozporządzeniu i ustanowione w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 4

Specjalistyczna wiedza techniczna

Umowa wymaga od dostawców wydania producentowi lub importerowi pisemnego oświadczenia, że dostawcy posiadają lub mają do dyspozycji specjalistyczną wiedzę techniczną i operacyjną niezbędną do świadczenia usług, o których mowa w art. 3, oraz do spełnienia wymogów ustanowionych w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 5

Dostępność repozytorium pierwotnego

1.   W umowie określa się gwarantowany miesięczny nieprzerwany czas działania i dostępność repozytorium pierwotnego na poziomie 99,5 %.

2.   Umowa wymaga od dostawcy stosowania odpowiednich mechanizmów zabezpieczających w celu uniemożliwienia jakiejkolwiek utraty danych przechowywanych, otrzymywanych lub przekazywanych w momencie, gdy repozytorium pierwotne staje się niedostępne.

Artykuł 6

Prawa dostępu

Umowa określa wymogi w zakresie fizycznego i wirtualnego dostępu do repozytorium pierwotnego przyznawanego – na poziomie serwera i bazy danych – administratorom krajowym z państw członkowskich, Komisji i wyznaczonym audytorom zewnętrznym zgodnie z art. 25 rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 7

Podwykonawstwo

1.   W przypadku gdy umowa przewiduje, że dostawca może zlecić podwykonawstwo niektórych obowiązków wynikających z umowy, zawiera ona postanowienie wyjaśniające, że podwykonawstwo nie wpływa na główną odpowiedzialność dostawcy za wykonanie umowy.

2.   Ponadto w umowie wymaga się od dostawcy:

Artykuł 8

Niezależność prawna i finansowa

Umowa wymaga, aby dostawcy i – w stosownych przypadkach – ich podwykonawcy przedkładali producentowi lub importerowi, wraz z umową w sprawie przechowywania danych, pisemne oświadczenie, że spełniają oni wymogi niezależności prawnej i finansowej określone w art. 35 rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 9

Ochrona i poufność danych

1.   Umowa przewiduje, że dostawcy wprowadzają wszelkie właściwe środki niezbędne do zapewnienia poufności, integralności i dostępności wszystkich danych przechowywanych w ramach wykonywanej umowy. Środki te obejmują kontrole bezpieczeństwa administracyjnego, technicznego i fizycznego.

2.   Umowa wymaga, aby dane osobowe gromadzone w ramach jej wykonywania były przetwarzane zgodnie z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady (3).

Artykuł 10

Zarządzanie bezpieczeństwem informacji

Umowa zobowiązuje dostawców do oświadczenia, że repozytorium pierwotne i – w stosownych przypadkach – repozytorium wtórne są zarządzane zgodnie z międzynarodowo uznanymi normami zarządzania bezpieczeństwem informacji. Uznaje się, że dostawcy, którzy uzyskali certyfikat ISO/IEC 27001:2013, spełniają te normy.

Artykuł 11

Koszty

W umowie wymaga się, aby dostawcy naliczali koszty, które mają ponieść producenci lub importerzy zgodnie z art. 30 rozporządzenia wykonawczego (UE) 2018/574, w sposób sprawiedliwy, uzasadniony i proporcjonalny do:

Artykuł 12

Uczestnictwo w systemie repozytoriów wtórnych

1.   Umowa zobowiązuje dostawcę do uczestniczenia w tworzeniu systemu repozytoriów wtórnych (w przypadku gdy w dniu zawarcia umowy system repozytoriów wtórnych nie został jeszcze utworzony), jeżeli wymagają tego przepisy rozdziału V rozporządzenia wykonawczego (UE) 2018/574.

2.   Umowa zawiera postanowienie, które umożliwia dostawcom uzyskanie od producentów i importerów wyrobów tytoniowych zwrotu kosztów poniesionych w związku z utworzeniem, prowadzeniem i utrzymywaniem repozytorium wtórnego oraz instalacją, obsługą i konserwacją routera, o których mowa w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 13

Czas trwania umowy

Czas trwania umowy ustala się na okres co najmniej pięciu lat z możliwością odnowienia, z zastrzeżeniem zgody stron i pod warunkiem, że dostawca wciąż spełnia wymogi dyrektywy 2014/40/UE oraz rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 14

Komunikacja z innymi stronami

Umowa zobowiązuje dostawców do wzajemnej współpracy oraz współpracy z właściwymi organami państw członkowskich w zakresie niezbędnym do zapewnienia skutecznej organizacji bieżącego funkcjonowania systemu repozytoriów.

Artykuł 15

Audyty

1.   Umowa określa warunki umożliwiające audytorom zewnętrznym, którzy zostali zatwierdzeni przez Komisję zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE, przeprowadzanie zapowiedzianych i niezapowiedzianych audytów w odniesieniu do repozytorium pierwotnego oraz – w stosownych przypadkach – repozytorium wtórnego, w tym ocenę, czy dostawca i – w stosownych przypadkach – jego podwykonawcy spełniają odpowiednie wymogi prawne.

2.   Umowa stanowi, że audytorzy zewnętrzni mają nieograniczony fizyczny i wirtualny dostęp do repozytorium pierwotnego i – w stosownych przypadkach – repozytorium wtórnego oraz powiązanych z nimi usług przez cały czas trwania audytu.

Artykuł 16

Odpowiedzialność

Zgodnie z przepisami prawa właściwego w umowie ustanawia się warunki określające odpowiedzialność stron, w tym w odniesieniu do bezpośrednich i pośrednich szkód, które mogą powstać w związku z wykonywaniem umowy. Nie naruszając przepisów prawa właściwego, umowa określa, że nie ma ograniczenia odpowiedzialności w przypadku naruszenia poufności lub naruszenia przepisów w zakresie ochrony danych.

Artykuł 17

Rozwiązanie umowy

1.   Zgodnie z prawem właściwym umowa określa warunki dotyczące rozwiązania umowy. W przypadku rozwiązania umowy umowa nakłada na stronę, która ją rozwiązuje, obowiązek powiadomienia Komisji, zgodnie z wymogami proceduralnymi określonymi w załączniku I do rozporządzenia wykonawczego (UE) 2018/574.

2.   Umowa zobowiązuje strony do zapewnienia minimalnego okresu wypowiedzenia wynoszącego pięć miesięcy przed rozwiązaniem umowy.

Na zasadzie odstępstwa od przepisów akapitu pierwszego umowa nakłada na producentów i importerów obowiązek natychmiastowego rozwiązania umowy:

3.   Do celów ust. 2 lit. a) poważne naruszenie ma miejsce, gdy:

Artykuł 18

Zawieszenie usług

W umowie określa się, że zawieszenie usług w przypadku opóźnienia w płatności przez producenta lub importera na rzecz dostawcy jest zabronione, chyba że opóźnienie przekracza ostateczny termin płatności o trzydzieści dni lub więcej.

Artykuł 19

Możliwość przenoszenia danych

1.   Umowa wymaga od dostawców zapewnienia pełnej możliwości przenoszenia danych w przypadkach, gdy producent lub importer zawiera umowę w sprawie prowadzenia jego repozytorium pierwotnego z nowym dostawcą. Dotychczasowy dostawca dostarcza nowemu dostawcy przed datą rozwiązania umowy aktualną kopię wszystkich danych przechowywanych w repozytorium pierwotnym. Wszelkie aktualizacje danych po takim dostarczeniu podlegają migracji do nowego dostawcy bez zbędnej zwłoki.

2.   W celu zapewnienia ciągłości działań umowa obejmuje stosowny plan odstąpienia od umowy określający procedurę, której należy przestrzegać w przypadku, gdy umowa jest rozwiązywana, a producent lub importer zawiera umowę z nowym dostawcą. Plan zawiera wymóg, aby dotychczasowy dostawca w dalszym ciągu świadczył swoje usługi aż do momentu, w którym nowy dostawca będzie w pełni operacyjny.

3.   Umowa zawiera postanowienia gwarantujące, by dotychczasowy dostawca nie miał prawa zatrzymywania żadnych danych, informacji ani innych niezbędnych materiałów związanych z repozytorium pierwotnym po ich dostarczeniu do nowego dostawcy.

Artykuł 20

Prawo właściwe i jurysdykcja

1.   Umowa podlega przepisom prawa jednego z państw członkowskich Unii Europejskiej zgodnie z ustaleniami stron.

2.   Umowa podlega jurysdykcji jednego z państw członkowskich Unii Europejskiej zgodnie z ustaleniami stron.

Artykuł 21

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

(1)  Dz.U. L 127 z 29.4.2014, s. 1.

(2)  Rozporządzenie wykonawcze Komisji (UE) 2018/574 z dnia 15 grudnia 2017 r. w sprawie norm technicznych dotyczących ustanowienia i funkcjonowania systemu identyfikowalności wyrobów tytoniowych (zob. s. 7 niniejszego Dziennika Urzędowego).

(3)  Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).