GEDELEGEERDE VERORDENING (EU) 2018/573 VAN DE COMMISSIE

van 15 december 2017

betreffende de centrale elementen van de gegevensopslagcontracten die als onderdeel van een traceringssysteem voor tabaksproducten moeten worden gesloten

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Richtlijn 2014/40/EU van het Europees Parlement en de Raad van 3 april 2014 betreffende de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de productie, de presentatie en de verkoop van tabaks- en aanverwante producten en tot intrekking van Richtlijn 2001/37/EG (1), en met name artikel 15, lid 12,

Overwegende hetgeen volgt:

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

Voorwerp

Bij deze verordening worden de belangrijkste elementen vastgesteld die moeten worden opgenomen in de in artikel 15, lid 8, van Richtlijn 2014/40/EU bedoelde contracten over de opslag van gegevens.

Artikel 2

Definities

Voor de toepassing van deze verordening gelden, naast de in Richtlijn 2014/40/EU en Uitvoeringsverordening (EU) 2018/574 vastgestelde definities, de volgende definities:

1.   „contract”: een contractuele overeenkomst tussen een producent of importeur van tabaksproducten en een aanbieder van gegevensopslagsystemen overeenkomstig artikel 15, lid 8, van Richtlijn 2014/40/EU en Uitvoeringsverordening (EU) 2018/574;

2.   „aanbieder”: een rechtspersoon waarmee een producent of importeur van tabaksproducten een contract heeft afgesloten voor de instelling en exploitatie van diens primaire gegevensopslag en de daarmee samenhangende diensten;

3.   „gegevensoverdraagbaarheid”: het vermogen om gegevens tussen verschillende opslagplaatsen te verplaatsen door middel van eenvoudig op de markt verkrijgbare en algemeen in de sector gebruikte technologieën.

Artikel 3

Belangrijkste verantwoordelijkheden in het kader van het contract

1.   In het contract worden de belangrijkste door de aanbieder te verlenen diensten vermeld, waaronder:

2.   Bij het vaststellen van de in lid 1, onder 1 en 2, bedoelde belangrijkste diensten moeten in het contract specificaties worden opgenomen met betrekking tot de werking, beschikbaarheid en prestaties van de diensten die aan de in deze verordening vermelde minimumeisen voldoen en in hoofdstuk V van Uitvoeringsverordening (EU) 2018/574 zijn vastgesteld.

Artikel 4

Technische expertise

In het contract wordt bepaald dat de aanbieders een schriftelijke verklaring aan de producent of importeur moeten verstrekken waaruit blijkt dat zij over de technische en operationele expertise beschikken of kunnen beschikken die noodzakelijk is om de in artikel 3 bedoelde diensten uit te voeren en om te voldoen aan de verplichtingen van hoofdstuk V van Uitvoeringsverordening (EU) 2018/574.

Artikel 5

Beschikbaarheid van de primaire gegevensopslag

1.   In het contract wordt vereist dat de primaire gegevensopslag een gegarandeerde maandelijkse uptime en beschikbaarheid van 99,5 % heeft.

2.   In het contract moet van de aanbieder worden vereist dat er adequate back-upmechanismen worden opgezet om te voorkomen dat opgeslagen, ontvangen of overgedragen gegevens verloren gaan in het geval dat de primaire gegevensopslag niet beschikbaar is.

Artikel 6

Toegangsrechten

In het contract worden de voorwaarden vastgesteld waaronder aan nationale beheerders van de lidstaten, de Commissie en aangestelde externe auditors fysieke en virtuele toegang mag worden verleend tot de primaire gegevensopslag, op het niveau van de server en de database, overeenkomstig artikel 25 van Uitvoeringsverordening (EU) 2018/574.

Artikel 7

Uitbesteding

1.   Wanneer in het contract is aangegeven dat de dienstverlener bepaalde verplichtingen uit hoofde van het contract mag uitbesteden, moet het contract een bepaling bevatten waaruit duidelijk blijkt dat de uitbesteding geen invloed heeft op de primaire verantwoordelijkheid van de dienstverlener voor de uitvoering van het contract.

2.   In het contract wordt bovendien van de aanbieder vereist dat hij:

Artikel 8

Juridische en financiële onafhankelijkheid

In het contract wordt van de aanbieders en, indien van toepassing, van hun onderaannemers vereist dat zij samen met het gegevensopslagcontract een schriftelijke verklaring aan de producent of importeur verstrekken waarin wordt bevestigd dat zij voldoen aan de in artikel 35 van Uitvoeringsverordening (EU) 2018/574 vastgestelde voorschriften inzake juridische en financiële onafhankelijkheid.

Artikel 9

Gegevensbescherming en vertrouwelijkheid

1.   In het contract wordt vastgesteld dat de aanbieder alle passende maatregelen treft die noodzakelijk zijn om de vertrouwelijkheid, integriteit en beschikbaarheid van alle bij de uitvoering van het contract opgeslagen gegevens te waarborgen. Deze maatregelen omvatten controles van de veiligheid en beveiliging op administratief, technisch en fysiek vlak.

2.   In het contract wordt vereist dat de persoonsgegevens die in het kader van dit contract worden behandeld, worden verwerkt overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad (3).

Artikel 10

Beheer van informatiebeveiliging

In het contract wordt van de aanbieders vereist dat zij verklaren dat de primaire gegevensopslag en, indien van toepassing, de secundaire gegevensopslag conform internationaal erkende normen voor beheer van informatiebeveiliging worden beheerd. Aanbieders met een ISO/IEC 27001:2013-certificaat worden geacht aan deze normen te voldoen.

Artikel 11

Kosten

In het contract wordt vereist dat de door de aanbieders aan producenten of importeurs aangerekende kosten overeenkomstig artikel 30 van Uitvoeringsverordening (EU) 2018/574 billijk, redelijk en evenredig zijn met betrekking tot:

Artikel 12

Medewerking aan secundair gegevensopslagsysteem

1.   In het contract wordt vereist dat de aanbieder meewerkt aan de instelling van het secundaire gegevensopslagsysteem (indien het secundaire systeem nog niet is ingesteld op de datum van sluiting van het contract) zoals vereist overeenkomstig de regels en procedures die zijn vastgesteld in hoofdstuk V van Uitvoeringsverordening (EU) 2018/574.

2.   Het contract bevat een bepaling die de aanbieders in staat stelt om de kosten die voortvloeien uit de instelling, de werking en het onderhoud van de in hoofdstuk V van Uitvoeringsverordening (EU) 2018/574 bedoelde secundaire gegevensopslag en router te verhalen op de producenten en importeurs van tabaksproducten.

Artikel 13

Duur

De duur van het contract bedraagt ten minste vijf jaar met mogelijkheid tot verlenging mits de partijen daarmee instemmen en de aanbieder nog steeds voldoet aan de voorschriften van Richtlijn 2014/40/EU en Uitvoeringsverordening (EU) 2018/574.

Artikel 14

Communicatie met andere partijen

Teneinde de doeltreffende organisatie van de dagelijkse werking van de opslagsystemen te waarborgen, wordt in het contract vereist dat de aanbieders met elkaar en met de bevoegde autoriteiten van lidstaten samenwerken.

Artikel 15

Audits

1.   In het contract worden de voorwaarden vastgesteld waaronder externe door de Commissie goedgekeurde auditors overeenkomstig artikel 15, lid 8, van Richtlijn 2014/40/EU aangekondigde en onaangekondigde audits kunnen uitvoeren met betrekking tot de primaire gegevensopslag en, indien van toepassing, de secundaire gegevensopslag, met inbegrip van een beoordeling of de aanbieders en hun eventuele onderaannemers voldoen aan de desbetreffende wettelijke eisen.

2.   In het contract wordt vastgesteld dat aan de externe auditors voor de duur van de audit onbeperkte fysieke en virtuele toegang wordt verleend tot de primaire en, indien van toepassing, de secundaire gegevensopslag, alsmede tot de daarmee samenhangende diensten.

Artikel 16

Aansprakelijkheid

In het contract worden overeenkomstig het toepasselijk recht de voorwaarden vastgesteld voor de aansprakelijkheid van de partijen, met inbegrip van de voorwaarden die betrekking hebben op directe en indirecte schade die kan ontstaan in het kader van het contract. Onverminderd het toepasselijke recht, wordt in het contract bovendien vastgesteld dat er geen beperking van aansprakelijkheid bestaat in geval van schending van de vertrouwelijkheid of schending van de regels inzake gegevensbescherming.

Artikel 17

Beëindiging van het contract

1.   In het contract worden voorwaarden vastgesteld met betrekking tot de beëindiging ervan, in overeenstemming met het toepasselijk recht. In het contract wordt van de opzeggende partij vereist dat zij, in het geval van beëindiging van het contract, de Commissie hiervan overeenkomstig de in bijlage I bij de in Uitvoeringsverordening (EU) 2018/574 vastgestelde procedurele voorschriften in kennis stelt.

2.   De in het contract door de partijen vastgestelde opzegtermijn voor de beëindiging van het contract bedraagt ten minste vijf maanden.

In afwijking van de eerste alinea wordt in het contract echter bepaald dat producenten en importeurs het contract onmiddellijk moeten beëindigen:

3.   Voor de toepassing van lid 2, onder a), wordt onder een ernstige schending onder andere verstaan:

Artikel 18

Opschorting van diensten

In het contract wordt vastgesteld dat de opschorting van diensten in geval van late betaling door een producent of importeur verboden is, tenzij de vertraging de laatste betalingstermijn met dertig dagen of meer overschrijdt.

Artikel 19

Overdraagbaarheid van gegevens

1.   In het contract wordt vastgesteld dat de aanbieders moeten zorgen voor volledige overdraagbaarheid van de gegevens indien producenten of importeurs een contract afsluiten met een nieuwe aanbieder voor het beheer van hun primaire gegevensopslag. Voorafgaand aan de datum van beëindiging van het contract bezorgt de huidige aanbieder een geactualiseerde kopie van alle in de primaire gegevensopslag opgeslagen gegevens aan de nieuwe aanbieder. Actualiseringen van de gegevens na het verstrekken van deze kopie worden onverwijld aan de nieuwe aanbieder overgedragen.

2.   Teneinde de bedrijfscontinuïteit te waarborgen, bevat het contract een exitplan met de procedure die moet worden gevolgd wanneer het contract wordt beëindigd en de producent of importeur een nieuwe aanbieder contracteert. Het plan bevat de verplichting voor de huidige aanbieder om zijn diensten te blijven verlenen totdat de nieuwe dienstverlener operationeel is.

3.   Het contract bevat bepalingen waarmee wordt gewaarborgd dat de huidige aanbieder geen retentierecht heeft met betrekking tot gegevens, informatie of andere noodzakelijke materialen die verband houden met de primaire gegevensopslag nadat deze zijn overgedragen aan de nieuwe aanbieder.

Artikel 20

Toepasselijk recht en jurisdictie

1.   Het contract valt onder het recht van één van de lidstaten van de Europese Unie, zoals overeengekomen door de partijen bij het contract.

2.   Het contract is onderworpen aan de jurisdictie van één van de lidstaten van de Europese Unie, zoals overeengekomen door de partijen bij het contract.

Artikel 21

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

(1)  PB L 127 van 29.4.2014, blz. 1.

(2)  Uitvoeringsverordening (EU) 2018/574 van de Commissie van 15 december 2017 inzake de technische normen voor de instelling en werking van een traceringssysteem voor tabaksproducten (zie bladzijde 7 van dit Publicatieblad).

(3)  Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).