16.4.2018   

PL

Dziennik Urzędowy Unii Europejskiej

L 96/1


ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2018/573

z dnia 15 grudnia 2017 r.

w sprawie głównych elementów umów w sprawie przechowywania danych zawieranych w ramach systemu identyfikowalności wyrobów tytoniowych

(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając dyrektywę Parlamentu Europejskiego i Rady 2014/40/UE z dnia 3 kwietnia 2014 r. w sprawie zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich w sprawie produkcji, prezentowania i sprzedaży wyrobów tytoniowych i powiązanych wyrobów oraz uchylającą dyrektywę 2001/37/WE (1), w szczególności jej art. 15 ust. 12,

a także mając na uwadze, co następuje:

(1)

Art. 15 ust. 8 dyrektywy 2014/40/UE zobowiązuje każdego producenta i importera do zawarcia – w ramach systemu identyfikowalności wyrobów tytoniowych bardziej szczegółowo określonego w rozporządzeniu wykonawczym Komisji (UE) 2018/574 (2) – umowy z niezależną stroną trzecią z myślą o przechowywaniu informacji związanych z wyrobami tytoniowymi. Art. 15 ust. 12 dyrektywy 2014/40/UE upoważnia Komisję do określenia głównych elementów tych umów.

(2)

Aby zapewnić efektywne funkcjonowanie systemu identyfikowalności wyrobów tytoniowych w ogólności oraz interoperacyjność systemu repozytoriów w szczególności, należy określić główne elementy umów w sprawie przechowywania danych, tak aby obejmowały one specyfikacje odnoszące się do operacyjności, dostępności i świadczenia usług przez dostawców systemów przechowywania danych. Aby zagwarantować skuteczne i ciągłe funkcjonowanie systemu identyfikowalności i ujętego w nim systemu przechowywania danych, niezbędne jest określenie przez dostawców jasnych wymogów dotyczących możliwości przenoszenia danych, na wypadek gdyby producent lub importer zdecydował się na zmianę dostawcy. W związku z tym umowy powinny zawierać postanowienia nakładające obowiązek stosowania technologii, która jest łatwo dostępna na rynku i powszechnie stosowana w sektorze, co pozwoli zapewnić skuteczny i nieprzerwany transfer danych między dotychczasowymi a nowymi dostawcami.

(3)

W celu zapewnienia niezbędnego poziomu elastyczności należy umożliwić zwracanie się do dostawcy systemu przechowywania danych o świadczenie, za opłatą, pomocniczych usług technicznych związanych z obsługą repozytorium pierwotnego, takich jak rozbudowa funkcjonalności operacyjnej interfejsów użytkownika, pod warunkiem że dodatkowe usługi przyczyniają się do właściwego funkcjonowania systemu repozytoriów i nie naruszają wymogów określonych w rozporządzeniu wykonawczym (UE) 2018/574. W związku z tym umowa powinna przewidywać taką możliwość.

(4)

Aby zapewnić ciągłą niezależność obsługi systemu identyfikowalności, Komisja powinna mieć możliwość cofnięcia zatwierdzenia dostawcy systemu przechowywania danych, z którym już zawarto umowę, w przypadku gdy ocena lub ponowna ocena jego zdolności technicznych lub niezależności prowadzi do negatywnych ustaleń w odniesieniu do jego odpowiedniości.

(5)

Z myślą o zagwarantowaniu skutecznej organizacji bieżącego funkcjonowania systemu dostawcy repozytoriów pierwotnych powinni współpracować ze sobą, a także z właściwymi organami państw członkowskich i Komisją,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

Przedmiot

Niniejsze rozporządzenie określa główne elementy, które mają być włączone do umów w sprawie przechowywania danych, o których to umowach mowa w art. 15 ust. 8 dyrektywy 2014/40/UE.

Artykuł 2

Definicje

Do celów niniejszego rozporządzenia, poza definicjami określonymi w dyrektywie 2014/40/UE i w rozporządzeniu wykonawczym (UE) 2018/574, stosuje się następujące definicje:

1)

„umowa” oznacza porozumienie umowne między producentem lub importerem wyrobów tytoniowych a dostawcą systemów przechowywania danych zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE oraz rozporządzeniem wykonawczym (UE) 2018/574;

2)

„dostawca” oznacza dowolną osobę prawną, z którą producent lub importer wyrobów tytoniowych zawiera umowę w celu utworzenia i prowadzenia jego repozytorium pierwotnego oraz świadczenia usług powiązanych;

3)

„możliwość przenoszenia danych” oznacza zdolność przenoszenia danych między różnymi repozytoriami z wykorzystaniem technologii, która jest łatwo dostępna na rynku i stosowana powszechnie w sektorze.

Artykuł 3

Główne obowiązki wynikające z umowy

1.   W umowie określa się podstawowe usługi świadczone przez dostawcę, które obejmują:

1)

utworzenie i prowadzenie repozytorium pierwotnego zgodnie z art. 26 rozporządzenia wykonawczego (UE) 2018/574;

2)

w przypadku gdy operator repozytorium pierwotnego jest wyznaczony jako dostawca repozytorium wtórnego – utworzenie i prowadzenie repozytorium wtórnego oraz instalacja i obsługa routera zgodnie z art. 27, 28 i 29 rozporządzenia wykonawczego (UE) 2018/574;

3)

świadczenie, na żądanie, innych pomocniczych usług technicznych związanych z obsługą repozytorium pierwotnego, które to usługi przyczyniają się do prawidłowego funkcjonowania systemu repozytoriów.

2.   Jeśli chodzi o określenie podstawowych usług, o których mowa w ust. 1 pkt 1 i 2, umowa zawiera specyfikacje odnoszące się do operacyjności, dostępności i świadczenia usług spełniających minimalne wymogi określone w niniejszym rozporządzeniu i ustanowione w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 4

Specjalistyczna wiedza techniczna

Umowa wymaga od dostawców wydania producentowi lub importerowi pisemnego oświadczenia, że dostawcy posiadają lub mają do dyspozycji specjalistyczną wiedzę techniczną i operacyjną niezbędną do świadczenia usług, o których mowa w art. 3, oraz do spełnienia wymogów ustanowionych w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 5

Dostępność repozytorium pierwotnego

1.   W umowie określa się gwarantowany miesięczny nieprzerwany czas działania i dostępność repozytorium pierwotnego na poziomie 99,5 %.

2.   Umowa wymaga od dostawcy stosowania odpowiednich mechanizmów zabezpieczających w celu uniemożliwienia jakiejkolwiek utraty danych przechowywanych, otrzymywanych lub przekazywanych w momencie, gdy repozytorium pierwotne staje się niedostępne.

Artykuł 6

Prawa dostępu

Umowa określa wymogi w zakresie fizycznego i wirtualnego dostępu do repozytorium pierwotnego przyznawanego – na poziomie serwera i bazy danych – administratorom krajowym z państw członkowskich, Komisji i wyznaczonym audytorom zewnętrznym zgodnie z art. 25 rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 7

Podwykonawstwo

1.   W przypadku gdy umowa przewiduje, że dostawca może zlecić podwykonawstwo niektórych obowiązków wynikających z umowy, zawiera ona postanowienie wyjaśniające, że podwykonawstwo nie wpływa na główną odpowiedzialność dostawcy za wykonanie umowy.

2.   Ponadto w umowie wymaga się od dostawcy:

a)

zapewnienia, aby proponowany podwykonawca posiadał niezbędną specjalistyczną wiedzę techniczną i spełniał wymogi niezależności określone w art. 35 rozporządzenia wykonawczego (UE) 2018/574.

b)

przedłożenia Komisji kopii oświadczenia, o którym mowa w art. 8 niniejszego rozporządzenia, podpisanego przez danego podwykonawcę (danych podwykonawców).

Artykuł 8

Niezależność prawna i finansowa

Umowa wymaga, aby dostawcy i – w stosownych przypadkach – ich podwykonawcy przedkładali producentowi lub importerowi, wraz z umową w sprawie przechowywania danych, pisemne oświadczenie, że spełniają oni wymogi niezależności prawnej i finansowej określone w art. 35 rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 9

Ochrona i poufność danych

1.   Umowa przewiduje, że dostawcy wprowadzają wszelkie właściwe środki niezbędne do zapewnienia poufności, integralności i dostępności wszystkich danych przechowywanych w ramach wykonywanej umowy. Środki te obejmują kontrole bezpieczeństwa administracyjnego, technicznego i fizycznego.

2.   Umowa wymaga, aby dane osobowe gromadzone w ramach jej wykonywania były przetwarzane zgodnie z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady (3).

Artykuł 10

Zarządzanie bezpieczeństwem informacji

Umowa zobowiązuje dostawców do oświadczenia, że repozytorium pierwotne i – w stosownych przypadkach – repozytorium wtórne są zarządzane zgodnie z międzynarodowo uznanymi normami zarządzania bezpieczeństwem informacji. Uznaje się, że dostawcy, którzy uzyskali certyfikat ISO/IEC 27001:2013, spełniają te normy.

Artykuł 11

Koszty

W umowie wymaga się, aby dostawcy naliczali koszty, które mają ponieść producenci lub importerzy zgodnie z art. 30 rozporządzenia wykonawczego (UE) 2018/574, w sposób sprawiedliwy, uzasadniony i proporcjonalny do:

a)

świadczonych usług; oraz

b)

liczby niepowtarzalnych identyfikatorów, o które dany producent lub importer wystąpił w danym okresie.

Artykuł 12

Uczestnictwo w systemie repozytoriów wtórnych

1.   Umowa zobowiązuje dostawcę do uczestniczenia w tworzeniu systemu repozytoriów wtórnych (w przypadku gdy w dniu zawarcia umowy system repozytoriów wtórnych nie został jeszcze utworzony), jeżeli wymagają tego przepisy rozdziału V rozporządzenia wykonawczego (UE) 2018/574.

2.   Umowa zawiera postanowienie, które umożliwia dostawcom uzyskanie od producentów i importerów wyrobów tytoniowych zwrotu kosztów poniesionych w związku z utworzeniem, prowadzeniem i utrzymywaniem repozytorium wtórnego oraz instalacją, obsługą i konserwacją routera, o których mowa w rozdziale V rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 13

Czas trwania umowy

Czas trwania umowy ustala się na okres co najmniej pięciu lat z możliwością odnowienia, z zastrzeżeniem zgody stron i pod warunkiem, że dostawca wciąż spełnia wymogi dyrektywy 2014/40/UE oraz rozporządzenia wykonawczego (UE) 2018/574.

Artykuł 14

Komunikacja z innymi stronami

Umowa zobowiązuje dostawców do wzajemnej współpracy oraz współpracy z właściwymi organami państw członkowskich w zakresie niezbędnym do zapewnienia skutecznej organizacji bieżącego funkcjonowania systemu repozytoriów.

Artykuł 15

Audyty

1.   Umowa określa warunki umożliwiające audytorom zewnętrznym, którzy zostali zatwierdzeni przez Komisję zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE, przeprowadzanie zapowiedzianych i niezapowiedzianych audytów w odniesieniu do repozytorium pierwotnego oraz – w stosownych przypadkach – repozytorium wtórnego, w tym ocenę, czy dostawca i – w stosownych przypadkach – jego podwykonawcy spełniają odpowiednie wymogi prawne.

2.   Umowa stanowi, że audytorzy zewnętrzni mają nieograniczony fizyczny i wirtualny dostęp do repozytorium pierwotnego i – w stosownych przypadkach – repozytorium wtórnego oraz powiązanych z nimi usług przez cały czas trwania audytu.

Artykuł 16

Odpowiedzialność

Zgodnie z przepisami prawa właściwego w umowie ustanawia się warunki określające odpowiedzialność stron, w tym w odniesieniu do bezpośrednich i pośrednich szkód, które mogą powstać w związku z wykonywaniem umowy. Nie naruszając przepisów prawa właściwego, umowa określa, że nie ma ograniczenia odpowiedzialności w przypadku naruszenia poufności lub naruszenia przepisów w zakresie ochrony danych.

Artykuł 17

Rozwiązanie umowy

1.   Zgodnie z prawem właściwym umowa określa warunki dotyczące rozwiązania umowy. W przypadku rozwiązania umowy umowa nakłada na stronę, która ją rozwiązuje, obowiązek powiadomienia Komisji, zgodnie z wymogami proceduralnymi określonymi w załączniku I do rozporządzenia wykonawczego (UE) 2018/574.

2.   Umowa zobowiązuje strony do zapewnienia minimalnego okresu wypowiedzenia wynoszącego pięć miesięcy przed rozwiązaniem umowy.

Na zasadzie odstępstwa od przepisów akapitu pierwszego umowa nakłada na producentów i importerów obowiązek natychmiastowego rozwiązania umowy:

a)

w razie poważnego naruszenia przez dostawcę jego obowiązków wynikających z umowy;

b)

w przypadku gdy dostawca staje się niewypłacalny lub istnieje bezpośrednie ryzyko, że stanie się niewypłacalny zgodnie z przepisami prawa właściwego.

3.   Do celów ust. 2 lit. a) poważne naruszenie ma miejsce, gdy:

a)

dostawca nie wypełnia zobowiązań lub nie świadczy usług przewidzianych w umowie, które mają zasadnicze znaczenie dla skutecznego funkcjonowania systemu identyfikowalności, w tym – w szczególności – nie spełnia wymogów określonych w rozdziale V rozporządzenia wykonawczego (UE) 2018/574;

b)

dostawca przestaje spełniać wymogi niezależności prawnej i finansowej określone w art. 35 ust. 2 rozporządzenia wykonawczego (UE) 2018/574 oraz w przypadku, gdy przed upływem terminu, o którym mowa w art. 35 ust. 6 rozporządzenia wykonawczego (UE) 2018/574, niemożliwe było przywrócenie zgodności z wymogami.

Artykuł 18

Zawieszenie usług

W umowie określa się, że zawieszenie usług w przypadku opóźnienia w płatności przez producenta lub importera na rzecz dostawcy jest zabronione, chyba że opóźnienie przekracza ostateczny termin płatności o trzydzieści dni lub więcej.

Artykuł 19

Możliwość przenoszenia danych

1.   Umowa wymaga od dostawców zapewnienia pełnej możliwości przenoszenia danych w przypadkach, gdy producent lub importer zawiera umowę w sprawie prowadzenia jego repozytorium pierwotnego z nowym dostawcą. Dotychczasowy dostawca dostarcza nowemu dostawcy przed datą rozwiązania umowy aktualną kopię wszystkich danych przechowywanych w repozytorium pierwotnym. Wszelkie aktualizacje danych po takim dostarczeniu podlegają migracji do nowego dostawcy bez zbędnej zwłoki.

2.   W celu zapewnienia ciągłości działań umowa obejmuje stosowny plan odstąpienia od umowy określający procedurę, której należy przestrzegać w przypadku, gdy umowa jest rozwiązywana, a producent lub importer zawiera umowę z nowym dostawcą. Plan zawiera wymóg, aby dotychczasowy dostawca w dalszym ciągu świadczył swoje usługi aż do momentu, w którym nowy dostawca będzie w pełni operacyjny.

3.   Umowa zawiera postanowienia gwarantujące, by dotychczasowy dostawca nie miał prawa zatrzymywania żadnych danych, informacji ani innych niezbędnych materiałów związanych z repozytorium pierwotnym po ich dostarczeniu do nowego dostawcy.

Artykuł 20

Prawo właściwe i jurysdykcja

1.   Umowa podlega przepisom prawa jednego z państw członkowskich Unii Europejskiej zgodnie z ustaleniami stron.

2.   Umowa podlega jurysdykcji jednego z państw członkowskich Unii Europejskiej zgodnie z ustaleniami stron.

Artykuł 21

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 15 grudnia 2017 r.

W imieniu Komisji

Jean-Claude JUNCKER

Przewodniczący


(1)  Dz.U. L 127 z 29.4.2014, s. 1.

(2)  Rozporządzenie wykonawcze Komisji (UE) 2018/574 z dnia 15 grudnia 2017 r. w sprawie norm technicznych dotyczących ustanowienia i funkcjonowania systemu identyfikowalności wyrobów tytoniowych (zob. s. 7 niniejszego Dziennika Urzędowego).

(3)  Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).