16.4.2018

LT

Europos Sąjungos oficialusis leidinys

L 96/1

---

KOMISIJOS DELEGUOTASIS REGLAMENTAS (ES) 2018/573

2017 m. gruodžio 15 d.

dėl duomenų saugojimo sutarčių, sudarytinų taikant tabako gaminių atsekamumo sistemą, pagrindinių elementų

(Tekstas svarbus EEE)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2014 m. balandžio 3 d. Europos Parlamento ir Tarybos direktyvą 2014/40/ES dėl valstybių narių įstatymų ir kitų teisės aktų nuostatų, reglamentuojančių tabako ir susijusių gaminių gamybą, pateikimą ir pardavimą, suderinimo ir kuria panaikinama Direktyva 2001/37/EB (1), ypač į jos 15 straipsnio 12 dalį,

kadangi:

(1)

Direktyvos 2014/40/ES 15 straipsnio 8 dalyje reikalaujama, kad taikant tabako gaminių atsekamumo sistemą, išsamiau apibrėžtą Komisijos įgyvendinimo reglamente (ES) 2018/574 (2), visi gamintojai ir importuotojai sudarytų duomenų saugojimo sutartis su nepriklausoma trečiąja šalimi paslaugų teikėja, kuri tvarkytų su jų tabako gaminiais susijusią informaciją. Direktyvos 2014/40/ES 15 straipsnio 12 dalimi Komisija įgaliojama nustatyti šių sutarčių pagrindinius elementus;

(2)

siekiant bendrai užtikrinti tabako gaminių atsekamumo sistemos veiksmingą veikimą, ypač saugyklų sistemos sąveikumą, tikslinga nustatyti duomenų saugojimo sutarčių pagrindinius elementus, įskaitant specifikacijas dėl duomenų saugojimo paslaugų teikėjų teiktinų paslaugų vartojimo paprastumo, prieinamumo ir veiksmingumo. Kad atsekamumo sistema ir jai priklausanti duomenų saugojimo sistema veiktų veiksmingai ir nenutrūkstamai, paslaugų teikėjai turi nustatyti aiškius duomenų perkeliamumo reikalavimus, taikomus tais atvejais, kai gamintojas arba importuotojas nusprendžia pakeisti savo paslaugų teikėją. Todėl siekiant užtikrinti veiksmingą ir nenutrūkstamą duomenų perdavimą tarp dabartinių ir naujų paslaugų teikėjų, į sutartis turėtų būti įtrauktos nuostatos, reikalaujančios naudoti technologijas, kurios yra lengvai prieinamos rinkoje ir šiame sektoriuje įprastai naudojamos;

(3)

siekiant užtikrinti būtiną lankstumo lygį, turėtų būti įmanoma reikalauti, kad duomenų saugojimo paslaugų teikėjas už tam tikrą mokestį teiktų papildomas technines paslaugas, susijusias su pirminės saugyklos veikimu, pvz., išplėstų naudotojo sąsajų veikimo funkcionalumą, su sąlyga, kad papildomos paslaugos padeda saugyklų sistemai tinkamai funkcionuoti ir nepažeidžia Įgyvendinimo reglamentu (ES) 2018/574 nustatytų reikalavimų. Todėl sutartyje turėtų būti numatyta tokia galimybė;

(4)

siekiant užtikrinti nepriklausomą atsekamumo sistemų veikimą bet kuriuo metu, Komisijai reikėtų turėti galimybę panaikinti duomenų saugojimo paslaugų teikėjo, su kuriuo jau sudaryta sutartis, patvirtinimą, jeigu, atlikus paslaugų teikėjo techninių pajėgumų arba nepriklausomumo vertinimą arba pakartotinį vertinimą, nustatoma, kad paslaugų teikėjas nėra tinkamas;

(5)	siekiant užtikrinti, kad sistemos veikimas kasdien būtų organizuojamas veiksmingai, pirminių saugyklų paslaugų teikėjai turėtų bendradarbiauti tarpusavyje, su valstybių narių kompetentingomis institucijomis ir Komisija;

PRIĖMĖ ŠĮ REGLAMENTĄ:

1 straipsnis

Dalykas

Šiuo reglamentu nustatomi pagrindiniai elementai, kurie turi būti įtraukti į duomenų saugojimo sutartis, nurodytas Direktyvos 2014/40/ES 15 straipsnio 8 dalyje.

2 straipsnis

Apibrėžtys

Be nustatytųjų Direktyvoje 2014/40/ES ir Įgyvendinimo reglamente (ES) 2018/574, šiame reglamente kitų vartojamų terminų apibrėžtys:

1)   sutartis– tabako gaminių gamintojo arba importuotojo ir duomenų saugojimo sistemų paslaugų teikėjo sutartinis susitarimas, remiantis Direktyvos 2014/40/ES 15 straipsnio 8 dalimi ir Įgyvendinimo reglamentu (ES) 2018/574;

2)   paslaugos teikėjas– bet koks juridinis asmuo, su kuriuo tabako gaminių gamintojas arba importuotojas sudarė sutartį siekiant sukurti ir eksploatuoti pirminę saugyklą ir susijusias paslaugas;

3)   duomenų perkeliamumas– galimybė perkelti duomenis iš skirtingų saugyklų naudojant rinkoje lengvai prieinamas ir šiam sektoriui įprastas technologijas.

3 straipsnis

Pagrindinės sutartyje numatytos pareigos

1.   Sutartyje nurodomoms pagrindinėms paslaugoms, kurias turi teikti paslaugų teikėjai, priskiriama:

1)	pirminės saugyklos sukūrimas ir eksploatavimas pagal Įgyvendinimo reglamento (ES) 2018/574 26 straipsnį;

2)	antrinės saugyklos ir maršruto parinktuvo sukūrimas ir eksploatavimas pagal Įgyvendinimo reglamento (ES) 2018/574 27, 28 ir 29 straipsnius, jeigu pirminės saugyklos operatorius paskiriamas antrinės saugyklos paslaugų teikėju;

3)	gavus prašymą kitų papildomų techninių paslaugų, susijusių su pirminės saugyklos veikimu ir padedančių saugyklų sistemai tinkamai funkcionuoti, teikimas.

2.   Apibrėžiant 1 dalies 1 ir 2 punktuose nurodytas pagrindines paslaugas į sutartį įtraukiamos specifikacijos, susijusios su paslaugų, kurios atitinka šiame reglamente ir Įgyvendinimo reglamento (ES) 2018/574 V skyriuje nurodytus minimalius reikalavimus, vartojimo paprastumu, prieinamumu ir veiksmingumu.

4 straipsnis

Techninė kompetencija

Sutartyje turi būti reikalaujama, kad paslaugų teikėjai gamintojui arba importuotojui išduotų rašytinę deklaraciją, kad jie turi 3 straipsnyje nurodytoms paslaugoms teikti ir Įgyvendinimo reglamento (ES) 2018/574 V skyriuje nustatytiems reikalavimams įvykdyti reikalingą techninę ir dalykinę kompetenciją arba ja disponuoja.

5 straipsnis

Pirminės saugyklos prieinamumas

1.   Sutartyje turi būti nurodyta, kad pirminės saugyklos garantuotas mėnesinis veiksnumo ir prieinamumo koeficientas turi siekti 99,5 %.

2.   Sutartyje turi būti reikalaujama, kad paslaugų teikėjas sukurtų tinkamus atsarginių kopijų darymo mechanizmus, kad tuo metu, kai nustoja veikti pirminė saugykla, nebūtų prarasti saugomi, gaunami ar perkeliami duomenys.

6 straipsnis

Prieigos teisės

Sutartyje turi būti nurodyti valstybių narių nacionaliniams administratoriams, Komisijai ir paskirtiems pirminės saugyklos išorės auditoriams suteiktinos serverio ir duomenų bazės lygmens fizinės ir virtualios prieigos reikalavimai pagal Įgyvendinimo reglamento (ES) 2018/574 25 straipsnį.

7 straipsnis

Subranga

1.   Kai sutartyje nurodyta, kad paslaugų teikėjas gali sudaryti subrangos sutartis dėl tam tikrų sutartyje nustatytų įsipareigojimų, joje turi būti nuostata, paaiškinanti, kad subranga neturi poveikio pirminei paslaugų teikėjo atsakomybei už sutarties vykdymą.

2.   Sutartyje taip pat turi būti reikalaujama, kad paslaugų teikėjas:

a)	užtikrintų, kad pasiūlytas subrangovas turėtų būtiną techninę kompetenciją ir atitiktų Įgyvendinimo reglamento (ES) 2018/574 35 straipsnyje nustatytus nepriklausomumo reikalavimus;

b)	pateiktų Komisijai šio reglamento 8 straipsnyje nurodytos deklaracijos kopiją, pasirašytą atitinkamo (-ų) subrangovo (-ų).

8 straipsnis

Teisinis ir finansinis nepriklausomumas

Sutartyje turi būti reikalaujama, kad paslaugų teikėjai ir atitinkamais atvejais jų subrangovai gamintojui arba importuotojui kartu su duomenų saugojimo sutartimi išduotų rašytinę deklaraciją, kad jie atitinka Įgyvendinimo reglamento (ES) 2018/574 35 straipsnyje nustatytus teisinio ir finansinio nepriklausomumo reikalavimus.

9 straipsnis

Duomenų apsauga ir konfidencialumas

1.   Sutartyje turi būti nurodyta, kad paslaugų teikėjas įdiegtų visas tinkamas priemones, kurių reikia siekiant užtikrinti visų vykdant sutartį saugomų duomenų konfidencialumą, vientisumą ir prieinamumą. Tokios priemonės apima administracinės, techninės ir fizinės saugos ir saugumo kontrolę.

2.   Sutartyje turi būti reikalaujama, kad pagal sutartį naudojami asmens duomenys būtų tvarkomi vadovaujantis Europos Parlamento ir Tarybos direktyva 95/46/EB (3).

10 straipsnis

Informacijos saugumo valdymas

Sutartyje turi būti reikalaujama, kad paslaugų teikėjai deklaruotų, kad pirminė saugykla ir, atitinkamais atvejais, antrinė saugykla yra tvarkomos pagal tarptautiniu mastu pripažintus informacijos saugumo valdymo standartus. Daroma prielaida, kad pagal standartą ISO/IEC 27001:2013 sertifikuoti paslaugų teikėjai atitinka šiuos standartus.

11 straipsnis

Išlaidos

Sutartyje turi būti reikalaujama, kad paslaugų teikėjų nustatytos išlaidos, kurias turi apmokėti gamintojai arba importuotojai pagal Įgyvendinimo reglamento (ES) 2018/574 30 straipsnį, būtų sąžiningos, pagrįstos ir proporcingos, atsižvelgiant į:

a)	suteiktas paslaugas ir

b)	unikalių identifikatorių, kurių per konkretų laikotarpį paprašo atitinkamas gamintojas arba importuotojas, skaičių.

12 straipsnis

Dalyvavimas antrinės saugyklos sistemos veikloje

1.   Sutartyje turi būti reikalaujama, kad paslaugų teikėjas dalyvautų sukuriant antrinės saugyklos sistemą (jeigu sutarties sudarymo dieną antrinė sistema dar nėra sukurta), kaip to gali būti reikalaujama pagal Įgyvendinimo reglamento (ES) 2018/574 V skyriuje nustatytas taisykles.

2.   Į sutartį turi būti įtrauktos nuostatos, leidžiančios paslaugų teikėjams iš tabako gaminių gamintojų ir importuotojų susigrąžinti išlaidas, patirtas dėl Įgyvendinimo reglamento (ES) 2018/574 V skyriuje nurodytos antrinės saugyklos ir maršruto parinktuvo sukūrimo, eksploatavimo ir techninės priežiūros.

13 straipsnis

Laikotarpis

Sutartis sudaroma mažiausiai penkerių metų laikotarpiui su galimybe ją pratęsti, jeigu tam pritaria sutarties šalys, o paslaugų teikėjas toliau atitinka Direktyvos 2014/40/ES ir Įgyvendinimo reglamento (ES) 2018/574 reikalavimus.

14 straipsnis

Ryšiai su kitomis sutarties šalimis

Sutartyje turi būti reikalaujama, kad paslaugų teikėjai bendradarbiautų tarpusavyje ir su valstybių narių kompetentingomis institucijomis tiek, kiek tai būtina siekiant užtikrinti, kad kasdien būtų veiksmingai organizuojamas saugyklų sistemos veikimas.

15 straipsnis

Auditai

1.   Sutartyje turi būti nustatytos sąlygos, leidžiančios Komisijos patvirtintiems auditoriams remiantis Direktyvos 2014/40/ES 15 straipsnio 8 dalimi vykdyti pirminės saugyklos ir atitinkamais atvejais antrinės saugyklos auditą iš anksto įspėjus ir iš anksto neįspėjus ir įvertinti, ar paslaugų teikėjas ir, jeigu taikoma, jo subrangovai atitinka atitinkamus teisės aktuose nustatytus reikalavimus.

2.   Sutartyje turi būti nurodyta, kad audito metu išorės auditoriams suteikiama nevaržoma fizinė ir virtuali prieiga prie pirminės saugyklos ir, atitinkamais atvejais, prie antrinės saugyklos ir susijusių jos paslaugų.

16 straipsnis

Atsakomybė

Remiantis galiojančiais teisės aktais sutartyje turi būti nustatyti išsamūs reikalavimai dėl sutarties šalių atsakomybės, taip pat dėl vykdant sutartį galinčios kilti tiesioginės ir netiesioginės žalos. Nedarant poveikio taikomiems teisės aktams sutartyje taip pat turi būti nurodyta, kad pažeidus konfidencialumą arba duomenų apsaugos taisykles atsakomybė nėra ribojama.

17 straipsnis

Sutarties nutraukimas

1.   Sutartyje turi būti nustatytos sutarties nutraukimo sąlygos remiantis galiojančiais teisės aktais. Sutartyje turi būti reikalaujama, kad sutartį nutraukianti sutarties šalis apie tai praneštų Komisijai laikydamasi Įgyvendinimo reglamento (ES) 2018/574 I priede nustatytų procedūrinių reikalavimų.

2.   Sutartyje turi būti reikalaujama, kad sutarties šalys apie sutarties nutraukimą praneštų mažiausiai prieš penkis mėnesius.

Nukrypstant nuo pirmos pastraipos, sutartyje turi būti reikalaujama, kad gamintojai ir importuotojai nedelsiant nutrauktų sutartį:

a)	jeigu paslaugų teikėjas grubiai pažeidžia sutartyje nustatytus įsipareigojimus;

b)	jeigu, remiantis taikomais teisės aktais, paslaugų teikėjas tampa nemokus arba jam gresia rizika tokiu tapti.

3.   2 dalies a punkto tikslais grubus pažeidimas padaromas tada, kai:

a)	paslaugų teikėjas neįvykdo sutartyje nustatytų įsipareigojimų arba nesuteikia joje nurodytų paslaugų, kurios būtinos atsekamumo sistemos veiksmingam veikimui, ypač kai jis neįvykdo Įgyvendinimo reglamento (ES) 2018/574 V skyriuje nustatytų reikalavimų;

b)

kai paslaugų teikėjas nebeatitinka Įgyvendinimo reglamento (ES) 2018/574 35 straipsnio 2 dalyje nustatytų reikalavimų dėl teisinio ir finansinio nepriklausomumo ir kai pasibaigus Įgyvendinimo reglamento (ES) 2018/574 35 straipsnio 6 dalyje nustatytam laikotarpiui negalima patvirtinti, kad laikomasi reikalavimų.

18 straipsnis

Paslaugų teikimo sustabdymas

Sutartyje turi būti nurodyta, kad draudžiama sustabdyti paslaugų teikimą, jeigu gamintojas arba importuotojas vėluoja atlikti apmokėjimą, nebent po galutinio apmokėjimo termino yra praėję 30 arba daugiau dienų.

19 straipsnis

Duomenų perkeliamumas

1.   Sutartyje turi būti reikalaujama, kad paslaugų teikėjai užtikrintų visišką duomenų perkeliamumą tais atvejais, kai gamintojas arba importuotojas sudaro sutartį su nauju paslaugų teikėju dėl pirminės saugyklos eksploatavimo. Prieš sutarties nutraukimo datą dabartinis paslaugų teikėjas perduoda naujam paslaugų teikėjui pirminėje saugykloje laikomų visų duomenų naujausias kopijas. Po perdavimo atnaujinami duomenys kuo greičiau perkeliami naujam paslaugų teikėjui.

2.   Siekiant užtikrinti veiklos tęstinumą sutartyje turi būti numatytas veiklos nutraukimo planas, kuriame nustatyta tvarka, kuria vadovaudamasis gamintojas arba importuotojas turi nutraukti sutartį ir sudaryti sutartį su nauju paslaugų teikėju. Į planą įtraukiamas reikalavimas, kad dabartinis paslaugų teikėjas toliau teiktų paslaugas, kol naujas paslaugų teikėjas nepradės vykdyti veiklos.

3.   Į sutartį turi būti įtrauktos tam tikros nuostatos, užtikrinančios, kad dabartinis paslaugų teikėjas, perdavęs naujam paslaugų teikėjui bet kokius duomenis, informaciją arba kitas būtinas priemones, susijusias su pirmine saugykla, neturi teisės jų pasilikti.

20 straipsnis

Taikoma teisė ir jurisdikcija

1.   Pagal sutarties šalių susitarimą sutarčiai taikoma vienos iš Europos Sąjungos valstybių narių teisė.

2.   Pagal sutarties šalių susitarimą sutartis priklauso vienos iš Europos Sąjungos valstybių narių jurisdikcijai.

21 straipsnis

Įsigaliojimas

Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

---

(1)  OL L 127, 2014 4 29, p. 1.

(2)  2017 m. gruodžio 15 d. Komisijos įgyvendinimo reglamentas (ES) 2018/574 dėl tabako gaminių atsekamumo sistemos sukūrimo ir veikimo techninių standartų (žr. šio Oficialiojo leidinio p. 7).

(3)  1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31).

---