(1)

În ultimii ani, tehnologiile bazate pe date au efecte de transformare asupra tuturor sectoarelor economiei. Volumul și valoarea potențială a datelor pentru consumatori, întreprinderi și societate au crescut în special ca urmare a proliferării produselor conectate la internet. Existența unor date de înaltă calitate și interoperabile din diferite domenii sporește competitivitatea și inovarea și asigură o creștere economică durabilă. Aceleași date pot fi utilizate și reutilizate într-o multitudine de scopuri și în mod nelimitat, fără nicio pierdere a calității sau a cantității.

(2)

Barierele existente în calea partajării de date împiedică alocarea optimă a datelor în beneficiul societății. Printre respectivele bariere se numără faptul că deținătorii de date nu sunt stimulați să încheie în mod voluntar acorduri de partajare de date, insecuritatea în ceea ce privește drepturile și obligațiile legate de date, costurile de contractare și de implementare a interfețelor tehnice, nivelul ridicat de fragmentare a informațiilor în silozuri de date, gestionarea necorespunzătoare a metadatelor, absența unor standarde de interoperabilitate semantică și tehnică, blocajele care împiedică accesul la date, lipsa unor practici comune de partajare de date și utilizarea abuzivă a dezechilibrelor contractuale în ceea ce privește accesul la date și utilizarea acestora.

(3)

În sectoarele caracterizate de prezența microîntreprinderilor, a întreprinderilor mici și a întreprinderilor mijlocii, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (5) (IMM-uri), există adesea o lipsă de capacități și competențe digitale pentru colectarea, analizarea și utilizarea datelor, iar accesul este frecvent restricționat când datele sunt deținute în sistem de un singur actor sau când nu există interoperabilitate între date, între serviciile de date sau la nivel transfrontalier.

(4)

Pentru satisfacerea nevoilor economiei digitale și pentru eliminarea barierelor din calea unei piețe interne a datelor cu o funcționare corespunzătoare, este necesar să se stabilească un cadru armonizat în care să se precizeze cine are dreptul să utilizeze datele referitoare la produse sau date referitoare la serviciile conexe, în ce condiții și pe ce temei. În consecință, statele membre nu ar trebui să adopte sau să mențină cerințe naționale suplimentare în privința chestiunilor care intră în domeniul de aplicare al prezentului regulament, dacă nu se prevede explicit în acesta, deoarece astfel s-ar afecta aplicarea sa directă și uniformă. În plus, acțiunea la nivelul Uniunii nu ar trebui să aducă atingere obligațiilor și angajamentelor prevăzute în acordurile comerciale internaționale încheiate de Uniune.

(5)

Prin prezentul regulament se asigură că utilizatorii unui produs conectat sau ai unui serviciu conex din Uniune pot accesa, în timp util, datele generate prin utilizarea produsului conectat sau serviciului conex în cauză și că utilizatorii respectivi pot utiliza datele, inclusiv prin partajarea acestora cu terți aleși de ei. În prezentul regulament se prevede obligația deținătorilor de date de a pune datele la dispoziția utilizatorilor și a terților aleși de utilizator în anumite circumstanțe. Prin prezentul regulament se asigură, de asemenea, că deținătorii de date pun datele la dispoziția destinatarilor datelor din Uniune conform unor clauze și condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent. Normele de drept privat sunt esențiale în cadrul general al partajării de date. Prin urmare, prezentul regulament adaptează normele din dreptul contractelor și previne exploatarea dezechilibrelor contractuale care împiedică accesul echitabil la date și utilizarea corectă a acestora. Prin prezentul regulament se asigură, de asemenea, că, în cazul în care există o nevoie excepțională, deținătorii de date pun la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organelor Uniunii datele necesare pentru îndeplinirea unei sarcini specifice de interes public. În plus, prin prezentul regulament se urmăresc facilitarea trecerii de la un serviciu de prelucrare a datelor la altul și consolidarea interoperabilității datelor și a mecanismelor și serviciilor de partajare de date în Uniune. Prezentul regulament nu ar trebui interpretat în sensul că recunoaște sau că le conferă deținătorilor de date vreun drept nou de a utiliza date generate prin utilizarea unui produs conectat sau a unui serviciu conex.

(6)

Generarea de date este rezultatul acțiunilor a cel puțin doi actori, în special proiectantul sau fabricantul unui produs conectat, care în anumite cazuri poate fi totodată un furnizor de servicii conexe, și utilizatorul produsului conectat sau al serviciului conex. Apar astfel întrebări legate de echitate în economia digitală, întrucât datele înregistrate de produsele conectate sau serviciile conexe reprezintă o contribuție importantă pentru serviciile post-vânzare, auxiliare și de altă natură. Pentru a se realiza beneficiile economice importante ale datelor, inclusiv prin partajarea datelor pe baza unor acorduri voluntare și dezvoltarea creării de valoare bazate pe date de către întreprinderile din Uniune, în locul acordării de drepturi exclusive de acces și utilizare este preferabilă o abordare generală privind atribuirea drepturilor legate de acces la date și de utilizarea datelor. Prezentul regulament prevede norme orizontale care ar putea fi urmate de dreptul Uniunii sau de dreptul intern care abordează situațiile specifice ale sectoarelor relevante.

(7)

Dreptul fundamental la protecția datelor cu caracter personal este protejat în special prin Regulamentele (UE) 2016/679 (6) și (UE) 2018/1725 (7) ale Parlamentului European și ale Consiliului. Viața privată și confidențialitatea comunicațiilor sunt protejate în plus prin Directiva 2002/58/CE a Parlamentului European și a Consiliului (8), inclusiv prin condiții prevăzute pentru orice stocare de date cu și fără caracter personal în echipamentele terminale și pentru orice acces la acestea. Respectivele acte legislative ale Uniunii oferă baza pentru o prelucrare sustenabilă și responsabilă a datelor, inclusiv în cazul în care seturile de date conțin o combinație de date cu și fără caracter personal. Prezentul regulament completează, fără a-i aduce atingere, dreptul Uniunii în materie de protecție a datelor personale și a vieții private, în special Regulamentele (UE) 2016/679 și (UE) 2018/1725 și Directiva 2002/58/CE. Nicio dispoziție a prezentului regulament nu ar trebui să fie aplicată sau interpretată în sensul diminuării sau limitării dreptului la protecția datelor cu caracter personal sau a dreptului la viață privată și la confidențialitatea comunicațiilor. Orice prelucrare a datelor cu caracter personal în temeiul prezentului regulament ar trebui să respecte dreptul Uniunii în domeniul protecției datelor, inclusiv necesitatea unui temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, după caz, condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE. Prezentul regulament nu constituie un temei juridic pentru colectarea sau generarea de către deținătorul de date a unor date cu caracter personal. Prezentul regulament impune deținătorilor de date obligația de a pune datele cu caracter personal la dispoziția utilizatorilor sau a terților aleși de un utilizator, la cererea utilizatorului respectiv. Accesul respectiv ar trebui acordat pentru datele cu caracter personal prelucrate de deținătorul de date în conformitate cu oricare dintre temeiurile juridice menționate la articolul 6 din Regulamentul (UE) 2016/679. În cazul în care utilizatorul nu este persoana vizată, prezentul regulament nu instituie un temei juridic pentru oferirea accesului la date cu caracter personal sau pentru punerea datelor cu caracter personal la dispoziția unui terț și nu ar trebui înțeles în sensul că îi conferă deținătorului de date vreun drept nou de a utiliza date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex. În aceste cazuri, facilitarea respectării cerințelor articolului 6 din Regulamentul (UE) 2016/679 ar putea fi în interesul utilizatorului. Întrucât prezentul regulament nu ar trebui să afecteze drepturile în materie de protecție a datelor ale persoanelor vizate, deținătorul de date poate da curs cererilor în aceste cazuri, printre altele, prin anonimizarea datelor cu caracter personal sau, în cazul în care datele ușor accesibile conțin date cu caracter personal ale mai multor persoane vizate, prin transmiterea doar a datelor cu caracter personal referitoare la utilizator.

(8)

Principiul reducerii la minimum a datelor și principiul protecției datelor începând cu momentul conceperii și în mod implicit sunt esențiale atunci când prelucrarea implică riscuri semnificative pentru drepturile fundamentale ale persoanelor. Ținând seama de stadiul actual al tehnologiei, toate părțile la partajarea de date, inclusiv partajarea de date care intră în domeniul de aplicare al prezentului regulament, ar trebui să pună în aplicare măsuri tehnice și organizatorice pentru protejarea respectivelor drepturi. Astfel de măsuri cuprind nu doar pseudonimizarea și criptarea, ci și utilizarea unei tehnologii tot mai accesibile care permite introducerea de algoritmi în date și derivarea de informații valoroase fără transmitere între părți ori copiere inutilă a datelor brute sau structurate în sine.

(9)

Cu excepția cazului în care se prevede altfel în prezentul regulament, acesta nu afectează dispozițiile din dreptul contractelor prevăzute la nivel național, inclusiv normele privind încheierea, valabilitatea sau efectul contractelor, sau consecințele rezilierii unui contract. Prezentul regulament completează și nu aduce atingere dreptului Uniunii care vizează promovarea intereselor consumatorilor și asigurarea unui nivel ridicat de protecție a consumatorilor, precum și protejarea sănătății, siguranței și intereselor economice ale consumatorilor, în special Directivei 93/13/CEE a Consiliului (9) și Directivelor 2005/29/CE (10) și 2011/83/UE (11) ale Parlamentului European și ale Consiliului.

(10)

Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd partajarea de date, accesul la date și utilizarea de date în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor ori în scopuri vamale sau fiscale, indiferent de dispoziția din Tratatul privind funcționarea Uniunii Europene (TFUE) în temeiul căreia astfel de acte juridice ale Uniunii au fost adoptate, și nici cooperării internaționale în domeniul respectiv, în special pe baza Convenției Consiliului Europei privind criminalitatea informatică (CETS nr. 185), adoptată la Budapesta la 23 noiembrie 2001. Printre aceste acte se numără Regulamentele (UE) 2021/784 (12), (UE) 2022/2065 (13) și (UE) 2023/1543 (14) ale Parlamentului European și ale Consiliului și Directiva (UE) 2023/1544 a Parlamentului European și a Consiliului (15). Prezentul regulament nu se aplică colectării de date, partajării de date, accesului la date sau utilizării datelor în temeiul Regulamentului (UE) 2015/847 al Parlamentului European și al Consiliului (16) și al Directivei (UE) 2015/849 a Parlamentului European și a Consiliului (17). Prezentul regulament nu se aplică în domeniile care nu sunt reglementate de dreptul Uniunii și nu aduce în niciun caz atingere competențelor statelor membre în materie de siguranță publică, apărare sau securitate națională, administrație vamală și fiscală sau de sănătate și siguranță a cetățenilor, indiferent de tipul de entitate însărcinată de statele membre să îndeplinească sarcini în legătură cu competențele respective.

(11)

Actele legislative ale Uniunii prin care sunt stabilite cerințe în materie de proiectare fizică și de date pentru produsele care urmează să fie introduse pe piața Uniunii nu ar trebui să fie afectate de prezentul regulament, cu excepția cazului în care acesta conține dispoziții explicite în acest sens.

(12)

Prezentul regulament completează actele legislative ale Uniunii care vizează stabilirea unor cerințe de accesibilitate pentru anumite produse și servicii, în special Directiva (UE) 2019/882 a Parlamentului European și a Consiliului, fără a le aduce atingere (18).

(13)

Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd protecția drepturilor de proprietate intelectuală, printre care Directivele 2001/29/CE (19), 2004/48/CE (20) și (UE) 2019/790 (21) ale Parlamentului European și ale Consiliului.

(14)

Produsele conectate care obțin, generează sau colectează, prin intermediul componentelor sau al sistemelor lor de operare, date privind propria lor performanță, utilizare sau mediu și care au capacitatea de a comunica datele respective printr-un serviciu de comunicații electronice, printr-o conexiune fizică sau prin intermediul accesului de pe dispozitiv, denumit adesea internetul obiectelor, ar trebui să intre în domeniul de aplicare al prezentului regulament, cu excepția prototipurilor. Exemple de astfel de servicii de comunicații electronice includ, în special, rețelele de telefonie terestre, rețelele de televiziune prin cablu, rețelele prin satelit și rețelele de comunicare în câmp apropiat. Produsele conectate se regăsesc în toate aspectele economiei și societății, inclusiv în infrastructura privată, civilă sau comercială, în vehicule, dispozitive pentru sănătate și starea de bine, nave, aeronave, echipamente menajere și bunuri de consum, dispozitive medicale și de sănătate sau utilajele agricole și industriale. Opțiunile fabricanților în materie de proiectare și, după caz dreptul Uniunii sau dreptul intern care abordează nevoile sectoriale specifice și obiectivele sau deciziile relevante ale autorităților competente ar trebui să determine care sunt datele pe care un produs conectat are capacitatea de a le furniza.

(15)

Datele reprezintă digitizarea acțiunilor și evenimentelor utilizatorilor și ar trebui să poată fi accesate în consecință de către aceștia. Normele privind accesarea și utilizarea datelor provenite de la produsele conectate și serviciile conexe în temeiul prezentului regulament se referă atât la datele referitoare la produs, cât și la datele referitoare la serviciul conex. Datele referitoare la produs se referă la datele generate prin utilizarea unui produs conectat, pe care fabricantul le-a proiectat astfel încât să poată fi extrase din produsul conectat de către un utilizator, un deținător de date sau un terț, inclusiv, după caz, de către fabricant. Datele referitoare la serviciul conex se referă la datele, care reprezintă totodată digitizarea acțiunilor și evenimentelor utilizatorilor legate de produsul conectat, generate în timpul furnizării unui serviciu conex de către furnizor. Datele generate prin utilizarea unui produs conectat sau a unui serviciu conex ar trebui înțelese ca incluzând datele înregistrate intenționat sau datele care rezultă indirect din acțiunea utilizatorului, cum ar fi datele privind mediul sau interacțiunile produsului conectat. Aceste date ar trebui să includă datele privind utilizarea unui produs conectat generate de o interfață cu utilizatorul sau de un serviciu conex și nu ar trebui să se limiteze la informațiile care arată că o astfel de utilizare a avut loc, ci ar trebui să includă toate datele pe care produsul conectat le generează ca urmare a utilizării respective, cum ar fi datele generate automat de senzori și datele înregistrate de aplicațiile integrate, inclusiv aplicațiile care indică starea hardware și defecțiunile. Aceste date ar trebui să includă, de asemenea, datele generate de produsul conectat sau de serviciul conex în perioadele în care utilizatorul este inactiv, de exemplu atunci când utilizatorul optează nu utilizeze un produs conectat o anumită perioadă și, în schimb, să îl păstreze în modul stand-by sau chiar oprit, deoarece starea unui produs conectat sau a componentelor sale, de exemplu bateriile sale, poate fi diferită atunci când produsul conectat se află în modul stand-by sau este oprit. Datele care nu sunt modificate substanțial, adică datele în formă brută, cunoscute și ca date sursă sau date primare care se referă la punctele de date generate automat fără nicio altă formă de prelucrare, precum și datele care au fost prelucrate în prealabil pentru a deveni inteligibile și utilizabile înainte de a face obiectul prelucrării și analizei ulterioare intră în domeniul de aplicare al prezentului regulament. Aceste date includ datele colectate de la un singur senzor sau de la un grup conectat de senzori, cu scopul de a face ca datele colectate să fie ușor de înțeles pentru o gamă mai largă de cazuri de utilizare, prin determinarea cantității sau a calității fizice sau a modificării unei cantități fizice, cum ar fi temperatura, presiunea, debitul, volumul sonor, valoarea pH-ului, nivelul lichidului, poziția, accelerația sau viteza. Termenul „date prelucrate în prealabil” nu ar trebui interpretat în sensul că ar impune deținătorului de date obligația de a face investiții substanțiale în curățarea și transformarea datelor. Datele care urmează să fie puse la dispoziție ar trebui să includă metadatele relevante, inclusiv contextul lor de bază și marca lor temporală, pentru a face datele utilizabile, combinate cu alte date, cum ar fi datele sortate și clasificate cu alte puncte de date care se referă la ele, sau reformatate într-un format utilizat în mod obișnuit. Astfel de date au potențialul de a fi valoroase pentru utilizator și sprijină activitatea de inovare și dezvoltarea serviciilor digitale și a altor servicii, pentru a proteja mediul, sănătatea și economia circulară, inclusiv prin facilitarea întreținerii și a reparării produselor conectate în cauză. În schimb, informațiile deduse sau derivate din astfel de date, care reprezintă rezultatul unor investiții suplimentare în atribuirea de valori sau de informații oferite de date, în special prin intermediul unor algoritmi brevetați și complecși, inclusiv cei care fac parte dintr-un software brevetat, nu ar trebui să fie considerate ca intrând în domeniul de aplicare al prezentului regulament și, prin urmare, nu ar trebui să fie supuse obligației deținătorului de date de a le pune la dispoziția unui utilizator de date sau a unui destinatar al datelor, cu excepția cazului în care utilizatorul și deținătorul de date convin altfel. Aceste date ar putea să includă, în special, informațiile derivate în urma fuziunii senzoriale, care deduce sau derivă date de la mai mulți senzori, colectate în produsul conectat prin utilizarea unor algoritmi complecși și brevetați care ar putea face obiectul unor drepturi de proprietate intelectuală.

(16)

Prezentul regulament permite utilizatorilor de produse conectate să beneficieze de servicii post-vânzare, auxiliare și de altă natură pe baza datelor colectate de senzorii integrați în astfel de produse, colectarea respectivelor date având o valoare potențială pentru îmbunătățirea performanței produselor conectate. Este important să se delimiteze, pe de o parte, piețele pentru furnizarea unor astfel de produse conectate echipate cu senzori și a serviciilor conexe și, pe de altă parte, piețele neafiliate de software și de conținut, cum ar fi conținutul textual, audio sau audiovizual, acestea făcând adesea obiectul unor drepturi de proprietate intelectuală. Prin urmare, datele pe care astfel de produse conectate echipate cu senzori le generează atunci când utilizatorul înregistrează, transmite, afișează sau redă un conținut, precum și conținutul în sine, care face adesea obiectul unor drepturi de proprietate intelectuală, printre altele pentru a fi utilizat de un serviciu online, nu ar trebui să intre sub incidența prezentului regulament. De asemenea, prezentul regulament nu ar trebui să vizeze datele care au fost obținute, generate sau accesate din produsul conectat sau care i-au fost transmise acestuia în scopul stocării sau al altor operațiuni de prelucrare în numele altor părți decât utilizatorul, precum serverele sau infrastructura de tip cloud exploatată de proprietarii lor în întregime în numele unor terți, printre altele pentru a fi utilizate de un serviciu online.

(17)

Este necesar să fie stabilite norme privind produsele care sunt conectate la un serviciu conex în momentul achiziționării, al închirierii sau al leasingului, astfel încât absența serviciului respectiv ar împiedica produsul conectat să îndeplinească una sau mai multe dintre funcțiile sale, sau care este ulterior conectat la produs de către fabricant sau de către un terț pentru a suplimenta sau adapta funcționalitatea produsului conectat. Astfel de servicii conexe implică schimbul de date între produsul conectat și furnizorul de servicii și ar trebui înțelese ca fiind legate în mod explicit de exercitarea funcțiilor produsului conectat, cum ar fi serviciile care, după caz, transmit produsului conectat comenzi care sunt capabile să îi afecteze acțiunea sau comportamentul. Serviciile care nu afectează funcționarea produsului conectat și care nu implică transmiterea de date sau comenzi către produsul conectat de către furnizorul de servicii nu ar trebui considerate servicii conexe. Astfel de servicii ar putea include, de exemplu, servicii auxiliare de consultanță, de analiză sau financiare sau servicii de reparații și întreținere periodice. Serviciile conexe pot fi oferite ca parte a contractului de cumpărare, de închiriere sau de leasing. Serviciile conexe ar putea fi, de asemenea, oferite pentru produse de același tip și utilizatorii s-ar putea aștepta în mod rezonabil ca ele să fie furnizate, luând în considerare natura produsului conectat și orice declarație publică făcută de vânzător sau de locatorul parte la un contract de închiriere sau de leasing ori în numele acestuia ori de alte persoane situate în alte puncte în cadrul lanțului de tranzacții, inclusiv fabricantul. Respectivele servicii conexe pot genera ele însele date de valoare pentru utilizator, independent de capacitățile de colectare a datelor pe care le are produsul conectat cu care sunt interconectate. Prezentul regulament ar trebui să se aplice și unui serviciu conex care nu este furnizat chiar de vânzător sau de locatorul parte la un contract de închiriere sau de leasing, ci de către un terț. În cazul în care nu se știe sigur dacă serviciul este furnizat ca parte din contractul de cumpărare, de închiriere sau de leasing, ar trebui să se aplice prezentul regulament. Nici alimentarea cu energie electrică, nici furnizarea conectivității nu trebuie interpretate ca fiind servicii conexe în temeiul prezentului regulament.

(18)

Prin utilizatorul unui produs conectat ar trebui să se înțeleagă o persoană fizică sau juridică, precum o întreprindere, un consumator, sau un organism din sectorul public, care este fie proprietarul unui produs conectat, a primit anumite drepturi temporare, de exemplu prin intermediul unui contract de închiriere sau de leasing, de a accesa sau utiliza datele obținute de la produsul conectat sau primește servicii conexe pentru produsul conectat. Aceste drepturi de acces nu ar trebui să modifice și nici să afecteze în vreun fel drepturile persoanelor vizate care pot interacționa cu un produs conectat sau cu un servici conex în ceea ce privește datele cu caracter personal generate de produsul conectat sau în timpul furnizării serviciului conex. Utilizatorul suportă riscurile și se bucură de beneficiile aferente utilizării produsului conectat și ar trebui să beneficieze, de asemenea, de acces la datele pe care le generează. Prin urmare, utilizatorul ar trebui să aibă dreptul de a obține beneficii din datele generate de produsul conectat respectiv și de orice serviciu conex. Un proprietar sau un locatar parte la un contract de închiriere sau de leasing ar trebui, de asemenea, să fie considerați ca fiind utilizatori, inclusiv atunci când mai multe entități pot fi considerate ca fiind utilizatori. În contextul mai multor utilizatori, fiecare utilizator poate contribui în mod diferit la generarea datelor și poate fi interesat de mai multe forme de utilizare, cum ar fi gestionarea parcului auto pentru o întreprindere de leasing sau soluții de mobilitate pentru persoanele care utilizează un serviciu de partajare a autoturismelor.

(19)

Competențele digitale desemnează abilitățile, cunoștințele și înțelegerea care permit utilizatorilor, consumatorilor și întreprinderilor, în special IMM-urilor care fac obiectul prezentului regulament, să conștientizeze valoarea potențială a datelor pe care le generează, le produc și le partajează și pe care aceștia sunt motivați să le ofere și să acorde accesul la acestea în conformitate cu normele juridice relevante. Competențele digitale ar trebui să însemne mai mult decât învățarea despre instrumente și tehnologii și ar trebui să aibă drept obiectiv echiparea și consolidarea capacității de acțiune a cetățenilor și a întreprinderilor pentru a beneficia de o piață a datelor incluzivă și echitabilă. Măsurile de răspândire a competențelor digitale și introducerea unor acțiuni ulterioare corespunzătoare ar putea contribui la îmbunătățirea condițiilor de muncă și ar susține, în ultimă instanță, consolidarea economiei datelor în Uniune și parcursul de inovare al acesteia. Autoritățile competente ar trebui să promoveze instrumente și să adopte măsuri pentru a dezvolta competențele digitale în rândul utilizatorilor și al entităților care intră în domeniul de aplicare al prezentului regulament și sensibilizarea cu privire la drepturile și obligațiile care le revin în temeiul acestuia.

(20)

În practică, nu toate datele generate de produse conectate sau servicii conexe pot fi accesate cu ușurință de utilizatorii lor, iar posibilitățile de portabilitate a datelor generate de produse conectate la internet sunt deseori limitate. Utilizatorii nu pot să obțină datele necesare pentru a recurge la furnizori de servicii de reparații și alte servicii, iar întreprinderile nu pot să lanseze servicii inovatoare, mai convenabile și mai eficiente. În multe sectoare, fabricanții au capacitatea de a stabili, prin controlul exercitat asupra proiectării tehnice a produselor conectate sau a serviciilor conexe, ce date sunt generate și cum pot fi accesate datele respective, chiar dacă nu au niciun drept legal la datele respective. Prin urmare, este necesar să se asigure că produsele conectate sunt proiectate și fabricate și că serviciile conexe sunt proiectate și furnizate astfel încât datele referitoare la produs și datele referitoare la serviciul conex, inclusiv metadatele aferente necesare pentru interpretarea și utilizarea datelor respective, inclusiv în scopul extragerii, utilizării sau partajării datelor, să poată fi întotdeauna accesate cu ușurință și în condiții de siguranță de către utilizator, în mod gratuit și într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat. Datele referitoare la produs și datele referitoare la serviciul conex, pe care un deținător de date le obține sau le poate obține în mod legal de la produsul conectat sau de la serviciul conex, de exemplu prin proiectarea produsului conectat, pe baza contractului deținătorului de date cu utilizatorul pentru furnizarea de servicii conexe, precum și mijloacele sale tehnice de acces la date, fără eforturi disproporționate, sunt denumite „date ușor accesibile”. Datele ușor accesibile nu includ datele generate prin utilizarea unui produs conectat, dacă proiectarea produsului conectat nu prevede stocarea sau transmiterea acestor date în afara componentei în care sunt generate sau a produsului conectat în ansamblu. Prin urmare, prezentul regulament nu ar trebui înțeles în sensul de a impune o obligație de stocare a datelor pe unitatea centrală de calcul a unui produs conectat. Absența acestei obligații nu ar trebui să împiedice fabricantul sau deținătorul de date să convină în mod voluntar cu utilizatorul cu privire la efectuarea unor astfel de adaptări. De asemenea, obligațiile în materie de proiectare prevăzute în prezentul regulament nu aduc atingere principiului reducerii la minimum a datelor prevăzut la articolul 5 alineatul (1) litera (c) din Regulamentul (UE) 2016/679 și nu ar trebui înțelese ca impunând o obligație de a proiecta produse conectate și servicii conexe astfel încât acestea să stocheze sau să prelucreze în alt mod orice date cu caracter personal, altele decât datele cu caracter personal care sunt necesare în legătură cu scopurile pentru care sunt prelucrate. Dispoziții de drept al Uniunii sau de drept intern ar putea fi introduse pentru a evidenția și alte particularități, cum ar fi datele referitoare la produs care ar trebui să poată fi accesate din produsele conectate sau din serviciile conexe, având în vedere că aceste date pot fi esențiale pentru funcționarea, repararea sau întreținerea eficientă a produselor conectate sau a serviciilor conexe respective. În cazul în care actualizările sau modificările ulterioare ale unui produs conectat sau ale unui serviciu conex, efectuate de fabricant sau de o altă parte, conduc la generarea unor date accesibile suplimentare sau la restricționarea datelor accesibile inițial, astfel de modificări ar trebui să fie comunicate utilizatorului în contextul actualizării sau modificării.

(21)

În cazul în care mai multe persoane sau entități sunt considerate utilizatori, de exemplu în cazul coproprietății sau în cazul în care un proprietar sau un locatar parte la un contract de închiriere sau de leasing partajează drepturile de acces la date sau de utilizare a datelor, proiectarea produsului conectat sau a serviciului conex, sau a interfeței relevante, ar trebui să permită fiecărui utilizator să aibă acces la datele pe care le generează. Pentru utilizarea de produse conectate care generează date este nevoie, în mod obișnuit, de un cont de utilizator. Un astfel de cont permite identificarea utilizatorului de către deținătorul de date, care poate fi fabricantul. Acesta poate fi, de asemenea, folosit drept mijloc de comunicare și pentru formularea și prelucrarea cererilor de acces la date. În cazul în care mai mulți fabricați sau furnizori de servicii conexe au vândut, închiriat sau dat în leasing produse conectate sau au prestat servicii conexe, integrate la un loc aceluiași utilizator, utilizatorul ar trebui să se adreseze fiecărei părți cu care a încheiat un contract. Fabricanții sau proiectanții unui produs conectat care este utilizat de obicei de către mai multe persoane ar trebui să introducă mecanismele necesare pentru a permite diferitelor persoane să aibă conturi de utilizator separate, când este relevant, sau posibilitatea ca mai multe persoane să utilizeze același cont de utilizator. Soluțiile privind conturile ar trebui să le permită utilizatorilor să își șteargă conturile și datele care îi privesc și ar putea permite utilizatorilor să sisteze accesul la date, utilizarea sau partajarea datelor, sau să introducă cereri de sistare a acestora, în special ținând seama de situațiile în care se modifică dreptul de proprietate sau utilizarea produsului conectat. Utilizatorului ar trebui să i se acorde accesul pe baza unui mecanism simplu de solicitare care să autorizeze executarea automată și fără a fi nevoie ca cererea să fie examinată sau aprobată de către fabricant sau deținătorul de date. Cu alte cuvinte, datele ar trebui să fie puse la dispoziție numai atunci când utilizatorul dorește efectiv să aibă acces. În cazul în care executarea automată a cererii de acces la date nu este posibilă, de exemplu, prin intermediul unui cont de utilizator sau al unei aplicații mobile specifice furnizate împreună cu produsul conectat sau serviciul conex, fabricantul ar trebui să informeze utilizatorul cu privire la modul în care pot fi accesate datele.

(22)

Se poate ca produsele conectate să fie proiectate astfel încât anumite date să poată fi accesate direct dintr-o memorie de date instalată pe dispozitiv sau de pe un server aflat la distanță căruia îi sunt comunicate datele. Accesul la memoria de date instalată pe dispozitiv poate fi asigurat prin rețele prin cablu sau rețele locale cu acces pe suport radio conectate la un serviciu de comunicații electronice accesibil publicului sau la o rețea mobilă. Serverul poate fi serverul local propriu al fabricantului sau serverul unui terț ori al unui furnizor de servicii cloud. Persoanele împuternicite de operator, astfel cum sunt definite la articolul 4 punctul 8 din Regulamentul (UE) 2016/679, nu sunt considerate a acționa în calitate de deținători de date. Totuși, acestea pot fi mandatate în mod expres să pună la dispoziție date de către operator, astfel cum este definit la articolul 4 punctul 7 din Regulamentul (UE) 2016/679. Produsele conectate pot fi proiectate astfel încât să permită utilizatorului sau unui terț să prelucreze datele referitoare la produsul conectat la o instanță de calcul a fabricantului sau în cadrul unui mediu informatic desemnat de utilizator sau de terț.

(23)

Asistenții virtuali joacă un rol tot mai mare în digitizarea mediilor de consum și profesionale și servesc drept interfață ușor de utilizat pentru redarea de conținut, obținerea de informații sau activarea de produse conectate la internet. Asistenții virtuali pot să acționeze drept unic punct de intrare, de exemplu într-un mediu de casă inteligentă, și să înregistreze volume semnificative de date relevante despre modul în care utilizatorii interacționează cu produsele conectate la internet, inclusiv cu cele fabricate de alte părți, și pot să înlocuiască utilizarea interfețelor furnizate de fabricant, cum ar fi ecranele tactile sau aplicațiile pentru telefoane inteligente. Se poate ca utilizatorul să dorească să pună astfel de date la dispoziția unor fabricanți terți și să permită servicii inteligente noi. Asistenții virtuali ar trebui să beneficieze de drepturile de acces la date prevăzute de prezentul regulament. Datele generate atunci când un utilizator interacționează cu un produs conectat prin intermediul unui asistent virtual furnizat de o altă entitate decât fabricantul produsului conectat ar trebui să fie, de asemenea, incluse în drepturile de acces prevăzute de prezentul regulament. Cu toate acestea, numai datele care rezultă din interacțiunea dintre utilizator și un produs conectat sau un serviciu conex, prin intermediul asistentului virtual, ar trebui să fie incluse în prezentul regulament. Datele produse de asistentul virtual care nu au legătură cu utilizarea unui produs conectat sau a unui serviciu conex nu intră sub incidența prezentului regulament.

(24)

Înainte de încheierea unui contract de cumpărare, închiriere sau de leasing a unui produs conectat, vânzătorul sau locatorul parte la un contract de închiriere sau de leasing, care poate fi fabricantul, ar trebui să furnizeze utilizatorului, în mod clar și inteligibil, informații privind datele referitoare la produs pe care produsul conectat este capabil să le genereze, inclusiv tipul, formatul și volumul estimat al datelor respective. Acestea ar putea include informații privind structurile de date, formatele de date, vocabularele, sistemele de clasificare, taxonomiile și listele de coduri, dacă sunt disponibile, precum și informații clare și suficiente relevante pentru exercitarea drepturilor utilizatorului cu privire la modul în care datele pot fi stocate, extrase sau accesate, inclusiv condițiile de utilizare și calitatea serviciului interfețelor de programare a aplicațiilor sau, după caz, furnizarea de kituri de dezvoltare de software. Această obligație asigură transparența în materie de date referitoare la produs generate, îmbunătățind totodată accesul facil al utilizatorului. Obligația de informare ar putea fi îndeplinită, de exemplu prin menținerea unui localizator uniform de resurse (URL) stabil pe internet, care poate fi distribuit sub forma unui link web sau a unui cod QR, care conduce la informațiile relevante și care ar putea fi furnizat utilizatorului de către vânzător sau de către locatorul parte la un contract de închiriere sau de leasing, care poate fi fabricantul, înainte de încheierea contractului de cumpărare, închiriere sau leasing al unui produs conectat. În orice caz, este necesar ca utilizatorul să poată stoca informațiile într-un mod care să le facă accesibile pentru consultare în viitor și care să permită reproducerea nemodificată a informațiilor stocate. Nu se poate aștepta din partea deținătorului de date să stocheze datele pe o perioadă nedeterminată în vederea nevoilor utilizatorului produsului conectat, dar acesta ar trebui totuși să pună în aplicare o politică rezonabilă de păstrare a datelor, după caz, în conformitate cu principiul limitărilor legate de stocare în temeiul articolului 5 alineatul (1) litera (e) din Regulamentul (UE) 2016/679, care să permită aplicarea efectivă a drepturilor de acces la date în temeiul prezentului regulament. Obligația de a furniza informații nu aduce atingere obligației operatorului de a furniza informații persoanei vizate în temeiul articolelor 12, 13 și 14 din Regulamentul (UE) 2016/679. Obligația de a furniza informații înainte de încheierea unui contract pentru furnizarea unui serviciu conex ar trebui să îi revină potențialului deținător de date, indiferent dacă deținătorul de date încheie sau nu un contract de cumpărare, închiriere sau leasing al unui produs conectat. În cazul în care informațiile se modifică pe durata de viață a produsului conectat sau pe durata contractului pentru serviciul conex, inclusiv atunci când scopul în care datele respective urmează să fie utilizate se modifică față de scopul specificat inițial, informațiile respective ar trebui și ele să fie furnizate utilizatorului.

(25)

Prezentul regulament nu ar trebui interpretat în sensul de a conferi deținătorilor de date un drept nou de a utiliza date referitoare la produs sau date referitoare la serviciul conex. În cazul în care fabricantul unui produs conectat este deținătorul de date, temeiul pentru utilizarea de către fabricant a datelor fără caracter personal ar trebui să fie un contract între fabricant și utilizator. Un astfel de contract ar putea să facă parte dintr-un contract de furnizare a serviciului conex, care ar putea fi încheiat împreună cu contractul de cumpărare, închiriere sau leasing referitor la produsul conectat. Orice clauză contractuală în temeiul căreia deținătorul de date poate utiliza datele referitoare la produs sau datele referitoare la serviciul conex ar trebui să fie transparentă pentru utilizator, inclusiv în ceea ce privește scopurile în care deținătorul de date intenționează să utilizeze datele. Printre aceste scopuri s-ar putea număra îmbunătățirea funcționării produsului conectat sau a serviciilor conexe, dezvoltarea de noi produse sau servicii, sau agregarea datelor cu scopul de a pune la dispoziția unor terți datele derivate rezultate, cu condiția ca datele derivate respective să nu permită identificarea datelor specifice transmise deținătorului de date de la produsul conectat și nici să nu permită unui terț să deducă datele respective din setul de date. Orice modificare a contractului ar trebui să depindă de acordul în cunoștință de cauză al utilizatorului. Prezentul regulament nu împiedică părțile să convină asupra unor clauze contractuale al căror efect este excluderea sau limitarea utilizării datelor fără caracter personal sau a anumitor categorii de date fără caracter personal de către un deținător de date. De asemenea, nu împiedică părțile să convină asupra punerii la dispoziție de date referitoare la produs sau de date referitoare la serviciul conex unor terți, fie direct, fie indirect, inclusiv, după caz, prin intermediul unui alt deținător de date. În plus, prezentul regulament nu împiedică nici aplicarea cerințelor de reglementare sectoriale prevăzute în dreptul Uniunii sau în dreptul intern compatibil cu dreptul Uniunii, prin care s-ar exclude sau limita utilizarea anumitor astfel de date de către deținătorul de date din motive de politică publică bine definite. Prezentul regulament nu împiedică utilizatorii ca, în cadrul relațiilor dintre întreprinderi, să pună date la dispoziția terților sau a deținătorilor de date în temeiul oricărei clauze contractuale legale, inclusiv prin a fi de acord cu a limita sau a restricționa partajarea suplimentară a unor astfel de date, nici să fie compensați proporțional, de exemplu în schimbul renunțării la dreptul lor de a utiliza sau de a partaja astfel de date. Deși noțiunea de „deținător de date” nu include, în general, organismele din sectorul public, aceasta poate include întreprinderile publice.

(26)

Pentru a încuraja apariția unor piețe lichide, echitabile și eficiente pentru datele fără caracter personal, utilizatorii de produse conectate ar trebui să poată partaja datele cu alții, inclusiv în scopuri comerciale, cu un efort juridic și tehnic minim. În prezent, este adesea dificil pentru întreprinderi să justifice costurile cu personalul sau costurile informatice necesare pentru pregătirea seturilor de date sau a produselor de date fără caracter personal și să le ofere potențialelor contrapărți, prin intermediul serviciilor de intermediere de date, inclusiv al piețelor de date. Un obstacol semnificativ în calea partajării datelor fără caracter personal de către întreprinderi rezultă, prin urmare, din lipsa de previzibilitate a rentabilității economice a investiției în organizarea și punerea la dispoziție a seturilor de date sau a produselor de date. Pentru a permite apariția unor piețe lichide, echitabile și eficiente pentru datele fără caracter personal în Uniune, trebuie să se clarifice care parte are dreptul de a oferi astfel de date pe o piață. Utilizatorii ar trebui, prin urmare, să aibă dreptul de a partaja date fără caracter personal cu destinatarii datelor, în scopuri comerciale și necomerciale. O astfel de partajare a datelor ar putea fi efectuată direct de către utilizator, la cererea acestuia, prin intermediul unui deținător de date sau prin servicii de intermediere de date. Serviciile de intermediere de date, astfel cum sunt reglementate prin Regulamentul (UE) 2022/868 al Parlamentului European și a Consiliului (22), ar putea facilita o economie a datelor prin stabilirea unor relații comerciale între utilizatori, destinatarii datelor și terți și pot sprijini utilizatorii în exercitarea dreptului lor de utilizare a datelor, cum ar fi asigurarea anonimizării datelor cu caracter personal sau agregarea accesului la date de la mai mulți utilizatori individuali. În cazul în care datele sunt excluse de la obligația deținătorului de date de a le pune la dispoziția utilizatorilor sau a unor terți, domeniul de aplicare al acestor date ar putea fi specificat în contractul dintre utilizator și deținătorul de date pentru furnizarea unui serviciu conex, astfel încât utilizatorii să poată stabili cu ușurință ce date sunt la dispoziția lor pentru a fi partajate cu destinatarii datelor sau cu terți. Deținătorii de date nu ar trebui să pună la dispoziția terților date fără caracter personal referitoare la produs, în alte scopuri, comerciale sau necomerciale decât cele aferente executării contractului cu utilizatorul, fără a aduce atingere cerințelor legale întemeiate pe dreptul Uniunii sau pe dreptul intern, potrivit cărora un deținător de date trebuie să pună la dispoziție date. Dacă este cazul, deținătorii de date ar trebui să oblige prin contract terții să nu partajeze în continuare datele primite de la aceștia.

(27)

În sectoarele caracterizate de concentrarea unui număr mic de fabricanți care furnizează produse conectate utilizatorilor finali, este posibil ca utilizatorii să dispună numai de opțiuni limitate în ceea ce privește accesarea, utilizarea și partajarea datelor. În astfel de circumstanțe, este posibil ca contractele să nu fie suficiente pentru atingerea obiectivului de consolidare a capacității de acțiune a utilizatorilor, ceea ce înseamnă că pentru utilizatori este dificil să obțină valoare din datele generate de produsele conectate pe care le achiziționează, le închiriază sau le iau în folosință prin leasing. Întreprinderile mai mici inovatoare au, așadar, un potențial limitat de a oferi soluții bazate pe date într-un mod competitiv și pentru o economie diversificată a datelor în Uniune. Prin urmare, prezentul regulament ar trebui să se bazeze pe evoluțiile recente din anumite sectoare, cum ar fi Codul de conduită privind partajarea de date agricole prin contract. Pentru abordarea nevoilor și a obiectivelor sectoriale se pot elabora dispoziții de drept al Uniunii sau de drept intern. În plus, deținătorii de date nu ar trebui să utilizeze niciun fel de date ușor accesibile care nu sunt date fără caracter personal pentru a deriva informații despre situația economică a utilizatorului, despre activele sau metodele de producție ale acestuia ori despre utilizarea de către acesta în orice alt mod care ar putea submina poziția comercială a utilizatorului pe piețele pe care își desfășoară activitatea. Acest lucru ar putea include utilizarea cunoștințelor despre performanța generală a unei întreprinderi sau a unei ferme agricole în negocierile contractuale purtate cu utilizatorul cu privire la potențiala achiziție a produselor sau a produselor agricole ale utilizatorului în detrimentul utilizatorului, sau utilizarea unor astfel de informații pentru alimentarea unor baze de date mai mari de pe anumite piețe în ansamblu, cum ar fi bazele de date privind randamentul culturilor pentru următorul sezon de recoltare, deoarece o astfel de utilizare ar putea avea în mod indirect efecte negative asupra utilizatorului. Utilizatorului ar trebui să i se ofere interfața tehnică necesară pentru gestionarea permisiunilor, de preferință cu opțiuni de permisiuni granulare, cum ar fi „permite o singură dată” sau „permite când utilizezi această aplicație sau acest serviciu”, inclusiv opțiunea de retragere a permisiunilor.

(28)

În contractele dintre un deținător de date și un consumator în calitate de utilizator al unui produs conectat sau al unui serviciu conex care generează date, se aplică dreptul Uniunii în materie de protecție a consumatorului, în special Directivele 93/13/CEE și 2005/29/CE, pentru a asigura faptul că consumatorului nu i se impun clauze contractuale abuzive. În înțelesul prezentului regulament, clauzele contractuale abuzive impuse unei întreprinderi nu ar trebui să fie obligatorii pentru întreprinderea respectivă.

(29)

Deținătorii de date pot să solicite o identificare corespunzătoare a utilizatorului, pentru a verifica dreptul utilizatorului de a accesa datele. În cazul datelor cu caracter personal prelucrate de o persoană împuternicită de operator în numele operatorului, deținătorii de date ar trebui să se asigure că cererea de acces este primită și tratată de persoana împuternicită de operator.

(30)

Utilizatorul ar trebui să aibă libertatea de a utiliza datele în orice scop legal. Un astfel de scop este furnizarea datelor pe care utilizatorul le-a primit în cursul exercitării drepturilor sale, prevăzute în prezentul regulament către un terț care oferă un serviciu post-vânzare potențial concurent cu un serviciu furnizat de un deținător de date sau însărcinarea deținătorului de date să facă acest lucru. Cererea ar trebui introdusă de utilizator sau de un terț autorizat care acționează în numele unui utilizator, inclusiv un furnizor al unui serviciu de intermediere de date. Deținătorii de date ar trebui să se asigure că datele puse la dispoziția terțului sunt la fel de exacte, complete, fiabile, relevante și actuale ca și datele la care deținătorul de date poate avea posibilitatea sau dreptul de a avea acces el însuși ca urmare a utilizării produsului conectat sau a serviciului conex. La manipularea datelor ar trebui respectate toate drepturile de proprietate intelectuală. Este important să se mențină factorii de stimulare a investițiilor în produse cu funcționalități bazate pe utilizarea datelor provenite de la senzorii integrați în produsele respective.

(31)

Directiva (UE) 2016/943 a Parlamentului European și a Consiliului (23) prevede că dobândirea, utilizarea sau divulgarea unui secret comercial sunt considerate legale, printre altele, în cazul în care o astfel de dobândire, utilizare sau divulgare este impusă sau permisă în temeiul dreptului Uniunii sau al dreptului intern. Deși prezentul regulament impune deținătorilor de date să divulge anumite date utilizatorilor sau unor terți aleși de utilizator, chiar și atunci când astfel de date se califică pentru a fi protejate ca secrete comerciale, regulamentul ar trebui interpretat în sensul de a păstra protecția acordată secretelor comerciale în temeiul Directivei (UE) 2016/943. În acest scop, deținătorii de date ar trebui să poată solicita utilizatorilor sau terților aleși de un utilizator să păstreze confidențialitatea datelor considerate a fi secrete comerciale. În acest scop, deținătorii de date ar trebui să identifice secretele comerciale anterior divulgării și ar trebui să aibă posibilitatea de a conveni cu utilizatorii sau cu terții aleși de utilizator cu privire la măsurile necesare pentru păstrarea confidențialității acestora, inclusiv prin utilizarea modelelor de clauze contractuale, a acordurilor de confidențialitate, a protocoalelor stricte de acces, a standardelor tehnice și a aplicării codurilor de conduită. Pe lângă utilizarea modelelor de clauze contractuale care urmează să fie elaborate și recomandate de Comisie, stabilirea unor coduri de conduită și a unor standarde tehnice legate de protecția secretelor comerciale în prelucrarea datelor ar putea contribui la atingerea obiectivului prezentului regulament și ar trebui încurajată. În cazurile în care nu există un acord cu privire la măsurile necesare, sau utilizatorul ori un terț ales de utilizator nu pune în aplicare măsurile convenite sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate să pună capăt partajării datelor identificate drept secrete comerciale sau să o suspende. În astfel de cazuri, deținătorul de date ar trebui să transmită decizia în scris, fără întârziere, utilizatorului sau terțului și să notifice autoritatea competentă a statului membru în care este stabilit asupra faptului că a pus capăt partajării datelor sau a suspendat-o și să identifice măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea. Deținătorii de date nu pot, în principiu, să refuze o cerere de acces la date în temeiul prezentului regulament numai pe motiv că anumite date sunt considerate a fi secrete comerciale, deoarece acest lucru ar contraveni obiectivului principal al prezentului regulament. Cu toate acestea, în circumstanțe excepționale, un deținător de date care este deținător al unui secret comercial ar trebui să poată, de la caz la caz, să refuze o cerere privind datele specifice în cauză dacă este capabil să demonstreze utilizatorului sau terțului că, în pofida măsurilor tehnice și organizatorice luate de utilizator sau terț, este foarte probabil să rezulte prejudicii economice grave din divulgarea secretului comercial respectiv. „Prejudiciile economice grave” implică pierderi economice grave și ireparabile. Deținătorul de date ar trebui să își justifice refuzul față de utilizator sau de terț în mod corespunzător, în scris, fără întârzieri nejustificate, și să notifice acest lucru autorității competente. O astfel de justificare ar trebui să se bazeze pe elemente obiective, care să demonstreze riscul concret de prejudicii economice grave preconizate a rezulta dintr-o divulgare specifică a datelor și motivele pentru care măsurile luate pentru a proteja datele solicitate nu sunt considerate a fi suficiente. În acest context ar putea fi avut în vedere un posibil impact negativ asupra securității cibernetice. Fără a aduce atingere dreptului de a introduce o cale de atac în fața unei instanțe judecătorești sau a unui tribunal al unui stat membru, în cazul în care utilizatorul sau un terț dorește să conteste decizia deținătorului de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda, utilizatorul sau terțul poate depune o plângere la autoritatea competentă, care ar trebui să decidă, fără întârzieri nejustificate, dacă și în ce condiții partajarea datelor ar trebui să înceapă sau să se reia, sau poate conveni cu deținătorul de date să sesizeze un organism de soluționare a litigiilor. Excepțiile de la drepturile de acces la date prevăzute în prezentul regulament nu ar trebui în niciun caz să limiteze dreptul de acces și dreptul la portabilitatea datelor ale persoanelor vizate în temeiul Regulamentul (UE) 2016/679.

(32)

Prezentul regulament nu are drept scop doar încurajarea dezvoltării de produse conectate sau servicii conexe noi și inovatoare și stimularea inovării în domeniul post-vânzare, ci și stimularea dezvoltării unor servicii complet noi care utilizează datele vizate, inclusiv pe baza datelor dintr-o multitudine de produse conectate sau servicii conexe. În același timp, prezentul regulament urmărește să evite subminarea factorilor de stimulare a investițiilor pentru tipul de produs conectat din care sunt obținute datele, de exemplu prin utilizarea datelor pentru dezvoltarea unui produs conectat concurent care este considerat de utilizatori ca fiind interschimbabil sau substituibil, în special pe baza caracteristicilor, prețului și utilizării preconizate a produsului conectat. Prezentul regulament nu prevede nicio interdicție privind dezvoltarea unui serviciu conex care utilizează datele obținute în temeiul prezentului regulament, deoarece acest lucru ar avea un efect nedorit de descurajare a inovării. Interzicerea utilizării datelor accesate în temeiul prezentului regulament pentru dezvoltarea unui produs conectat concurent protejează eforturile de inovare ale deținătorilor de date. Dacă un produs conectat concurează cu produsul conectat din care provin datele depinde dacă cele două produse conectate se află în concurență pe aceeași piață a produsului. Acest lucru urmează să fie stabilit pe baza principiilor stabilite în dreptul Uniunii în materie de concurență pentru definirea pieței relevante a unui produs. Cu toate acestea, scopurile legale pentru utilizarea datelor ar putea include ingineria inversă, cu condiția să respecte cerințele prevăzute în prezentul regulament, în dreptul Uniunii sau în dreptul intern. Ar putea fi cazul în scopul reparării sau prelungirii duratei de viață a unui produs conectat, sau al furnizării unor servicii post-vânzare pentru produsele conectate.

(33)

Un terț căruia îi sunt puse la dispoziție date poate fi o persoană fizică sau juridică, precum un consumator, o întreprindere, o organizație de cercetare sau o organizație nonprofit, sau o entitate care acționează în calitate profesională. Când pune datele la dispoziția terțului, un deținător de date nu ar trebui să abuzeze de poziția sa pentru a căuta un avantaj concurențial pe piețele pe care deținătorul de date și terțul s-ar putea afla în concurență directă. Deținătorul de date nu ar trebui, prin urmare, să utilizeze niciun fel de date ușor accesibile pentru a deriva informații despre situația economică a terțului, despre activele sau metodele de producție ale acesteia ori despre utilizare de către terț în orice alt mod care ar putea submina poziția comercială a terțului pe piețele pe care terțul își desfășoară activitatea. Utilizatorul ar trebui să poată partaja date fără caracter personal cu terți în scopuri comerciale. Cu acordul utilizatorului și sub rezerva dispozițiilor prezentului regulament, terții ar trebui să poată transfera altor terți drepturile de acces la date acordate de utilizator, inclusiv în schimbul unei compensații. Intermediarii de date între întreprinderi și sistemele de gestionare a informațiilor cu caracter personal (PIMS), denumite servicii de intermediere de date în Regulamentul (UE) 2022/868, pot sprijini utilizatorii sau terții în stabilirea de relații comerciale cu un număr nedeterminat de contrapărți potențiale în orice scop legal care intră în domeniul de aplicare al prezentului regulament. Aceștia ar putea juca un rol esențial în agregarea accesului la date, astfel încât să poată fi facilitate analizele volumelor mari de date sau învățarea automată, cu condiția ca utilizatorii să păstreze controlul deplin asupra posibilității de a furniza datele lor la o astfel de agregare și asupra condițiilor comerciale în care urmează să fie utilizate datele lor.

(34)

Utilizarea unui produs conectat sau a unui serviciu conex poate, în special când utilizatorul este o persoană fizică, să genereze date care se referă la persoana vizată. Prelucrarea unor astfel de date se supune normelor stabilite în Regulamentul (UE) 2016/679, inclusiv în cazul în care datele cu caracter personal și cele fără caracter personal dintr-un set de date sunt legate între ele în mod indisolubil. Persoana vizată poate fi utilizatorul sau o altă persoană fizică. Datele cu caracter personal pot fi solicitate numai de un operator sau de o persoană vizată. Dacă este persoana vizată, utilizatorul are, în anumite circumstanțe, dreptul, prevăzut în Regulamentul (UE) 2016/679, de a accesa datele cu caracter personal care îl privesc, astfel de drepturi nefiind afectate de prezentul regulament. În temeiul prezentului regulament, utilizatorul care este o persoană fizică are, de asemenea, dreptul de a accesa toate datele generate în urma utilizării unui produs conectat, indiferent dacă au sau nu caracter personal. În cazul în care utilizatorul nu este persoana vizată, ci o întreprindere, inclusiv o întreprindere profesională unipersonală, iar produsul conectat nu este utilizat în comun în gospodărie, utilizatorul este considerat operator. În consecință, un astfel de utilizator care intenționează să solicite în calitate de operator date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex trebuie să aibă un temei juridic pentru prelucrarea datelor, astfel cum se prevede la articolul 6 alineatul (1) din Regulamentul (UE) 2016/679, cum ar fi consimțământul persoanei vizate sau executarea unui contract la care persoana vizată este parte. Un astfel de utilizator ar trebui să se asigure că persoana vizată este informată în mod corespunzător cu privire la scopurile specifice, explicite și legitime pentru prelucrarea datelor respective, precum și cu privire la modul în care persoana vizată își poate exercita efectiv drepturile. În cazul în care sunt operatori asociați în înțelesul articolului 26 din Regulamentul (UE) 2016/679, deținătorul de date și utilizatorul trebuie să își stabilească, în mod transparent, prin intermediul unui acord între ei, responsabilitățile relevante în ceea ce privește respectarea regulamentului menționat. Ar trebui să se înțeleagă că, după ce datele au fost puse la dispoziție, un astfel de utilizator poate deveni, la rândul său, deținător de date, dacă îndeplinește criteriile prevăzute în prezentul regulament, și în consecință face obiectul obligațiilor de a pune la dispoziție datele în temeiul prezentului regulament.

(35)

Datele referitoare la produs sau datele referitoare la serviciul conex ar trebui să fie puse la dispoziția unui terț numai la cererea utilizatorului. Prezentul regulament completează în consecință dreptul persoanelor vizate, prevăzut la articolul 20 din Regulamentul (UE) 2016/679, de a primi date cu caracter personal care le privesc într-un format structurat, utilizat în mod curent și care poate fi citit automat și de a transmite aceste date altui operator, în cazul în care datele respective sunt prelucrate prin utilizarea de mijloace automatizate în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) ori în temeiul unui contract prevăzut la articolul 6 alineatul (1) litera (b) din prezentul regulament. Persoanele vizate au, la rândul lor, dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dar numai când acest lucru este fezabil din punct de vedere tehnic. La articolul 20 din Regulamentul (UE) 2016/679 se precizează că sunt avute în vedere datele furnizate de persoana vizată, dar nu se precizează dacă acest lucru presupune un comportament activ din partea persoanei vizate sau dacă se aplică și în situațiile în care un produs conectat sau un serviciu conex observă, prin concepția sa, comportamentul unei persoane vizate sau alte informații în legătură cu o persoană vizată în mod pasiv. Drepturile prevăzute în prezentul regulament completează dreptul de a primi și de a porta date cu caracter personal în temeiul articolului 20 din Regulamentul (UE) 2016/679 în mai multe moduri. Prezentul regulament conferă utilizatorilor dreptul de a accesa și de a pune la dispoziția unui terț orice fel de date referitoare la produs sau date referitoare la serviciul conex, indiferent de caracterul personal al datelor respective, de distincția dintre datele furnizate activ sau observate pasiv și de temeiul juridic al prelucrării. Spre deosebire de articolul 20 din Regulamentul (UE) 2016/679, prezentul regulament impune și asigură fezabilitatea tehnică a accesului terților la toate tipurile de date care intră în domeniul său de aplicare, indiferent dacă datele au sau nu caracter personal, garantând astfel că obstacolele tehnice nu mai obstrucționează ori împiedică accesul la aceste date. De asemenea, permite deținătorului de date să stabilească o compensație rezonabilă de plătit de către terți, dar nu și de către utilizator, pentru costurile suportate pentru furnizarea accesului direct la datele generate de produsul conectat utilizatorului. Dacă un deținător de date și un terț nu sunt în măsură să convină asupra unor condiții pentru un astfel de acces direct, persoana vizată nu ar trebui în niciun caz să fie împiedicată să își exercite drepturile prevăzute în Regulamentul (UE) 2016/679, inclusiv dreptul la portabilitatea datelor, recurgând la căile de atac prevăzute în regulamentul menționat. În acest context trebuie să se înțeleagă că, în conformitate cu Regulamentul (UE) 2016/679, un contract nu permite prelucrarea unor categorii speciale de date cu caracter personal de către deținătorul de date sau de către terț.

(36)

Accesul la orice fel de date stocate în echipamente terminale și accesate din acestea intră în domeniul de aplicare al Directivei 2002/58/CE și necesită consimțământul abonatului sau al utilizatorului în înțelesul directivei menționate, cu excepția cazului în care este strict necesar pentru furnizarea unui serviciu al societății informaționale solicitat în mod explicit de către utilizator sau de către abonat, ori exclusiv în scopul transmiterii unei comunicații. Directiva 2002/58/CE protejează integritatea echipamentelor terminale ale unui utilizator în ceea ce privește utilizarea capacităților de prelucrare și stocare și colectarea de informații. Echipamentele din internetul obiectelor sunt considerate a fi echipamente terminale dacă sunt conectate direct sau indirect la o rețea publică de comunicații.

(37)

Pentru a se preveni exploatarea utilizatorilor, terții cărora le-au fost puse la dispoziție date la cererea utilizatorului ar trebui să prelucreze datele respective numai în scopurile convenite cu utilizatorul și să le partajeze cu un alt terț numai cu acordul utilizatorului în favoarea unei astfel de partajări a datelor.

(38)

În concordanță cu principiul reducerii la minimum a datelor, terții ar trebui să acceseze numai informațiile care sunt necesare pentru furnizarea serviciului solicitat de utilizator. După ce a primit acces la date, terțul ar trebui să le prelucreze în scopurile convenite cu utilizatorul, fără amestec din partea deținătorului de date. Pentru utilizator ar trebui să fie la fel de ușor să refuze sau să întrerupă accesul terțului la date precum este să autorizeze accesul. Nici terții, nici deținătorii de date nu ar trebui să îngreuneze în mod necuvenit exercitarea posibilității de alegere sau a drepturilor de către utilizator, oferindu-i utilizatorului alegeri într-un mod care nu este neutru sau prin constrângerea, înșelarea sau manipularea utilizatorului, sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a alegerilor, inclusiv prin intermediul unei interfețe digitale cu utilizatorul sau al unei părți a acesteia. În acest context, terții sau deținătorii de date nu ar trebui să recurgă la așa-numite „dark patterns” (elemente de design manipulator) când își proiectează interfețele digitale. Elementele de design manipulator sunt tehnici de design prin care consumatorii sunt împinși sau înșelați să ia decizii care au consecințe negative pentru ei. Respectivele tehnici de manipulare pot fi utilizate pentru convingerea utilizatorilor, în special a consumatorilor vulnerabili, să se angajeze în comportamente nedorite, pentru înșelarea utilizatorilor, prin împingerea lor să ia decizii privind tranzacțiile de divulgare a datelor, sau pentru influențarea nerezonabilă a procesului decizional al utilizatorilor serviciului, într-un mod care să le submineze sau să le slăbească autonomia, procesul decizional și posibilitatea de alegere. Practicile comerciale des întâlnite și legitime care sunt conforme cu dreptul Uniunii nu ar trebui considerate, în sine, drept elemente de design manipulator (dark patterns). Terții și deținătorii de date ar trebui să își respecte obligațiile care le revin în temeiul dreptului relevant al Uniunii, în special cerințele prevăzute în Directivele 98/6/CE (24), 2000/31/CE (25) ale Parlamentului European și ale Consiliului și în Directivele 2005/29/CE și 2011/83/UE.

(39)

Terții ar trebui, de asemenea, să se abțină de la utilizarea datelor care intră în domeniul de aplicare al prezentului regulament pentru stabilirea profilului persoanelor fizice, cu excepția cazului în care astfel de activități de prelucrare sunt strict necesare pentru furnizarea serviciului solicitat de utilizator, inclusiv în contextul procesului decizional automatizat. Cerința ca datele să fie șterse atunci când nu mai sunt necesare pentru scopul convenit cu utilizatorul, cu excepția cazului în care s-a convenit altfel cu privire la datele fără caracter personal, completează dreptul persoanei vizate la ștergerea datelor în temeiul articolului 17 din Regulamentul (UE) 2016/679. În cazul în care un terț este furnizorul unui serviciu de intermediere de date, se aplică garanțiile pentru persoana vizată prevăzute în Regulamentul (UE) 2022/868. Terțul poate utiliza datele pentru a dezvolta un produs conectat sau un serviciu conex nou și inovator, dar nu pentru a dezvolta un produs conectat concurent.

(40)

Întreprinderile nou-înființate, întreprinderile mici și întreprinderile mijlocii care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE și întreprinderile din sectoarele tradiționale ale căror capacități digitale sunt mai puțin dezvoltate întâmpină dificultăți în a obține acces la date relevante. Prin prezentul regulament se urmărește facilitarea accesului la date pentru respectivele entități, asigurându-se, în același timp, că obligațiile corespunzătoare sunt cât mai proporționale cu putință, pentru a se evita excesul de acoperire. În același timp, au apărut câteva întreprinderi foarte mari a căror putere economică este considerabilă în economia digitală, ca urmare a acumulării și agregării unor volume mari de date și a infrastructurii tehnologice pentru monetizarea acestora. Din respectivele întreprinderi foarte mari fac parte furnizorii de servicii de platformă esențiale care controlează întregi ecosisteme de platformă în economia digitală și care nu pot fi confruntați sau contestați de operatorii de piață existenți sau noi. Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului (26) urmărește remedierea respectivelor ineficiențe și dezechilibre, permițându-i Comisiei să desemneze o întreprindere drept „controlor de acces” (gatekeeper) și impune o serie de obligații acestor controlori de acces, inclusiv o interdicție de a combina anumite date fără consimțământ și o obligație de a asigura dreptul efectiv la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din Regulamentul (UE) 2016/679. În conformitate cu Regulamentul (UE) 2022/1925 și având în vedere capacitatea incontestabilă a respectivelor întreprinderi de a obține date, includerea controlorilor de acces ca beneficiari ai dreptului de acces la date nu este necesară pentru atingerea obiectivului prezentului regulament și, prin urmare, ar fi disproporționată pentru deținătorii de date cărora li s-au impus astfel de obligații. De asemenea, o astfel de includere ar limita probabil beneficiile prezentului regulament pentru IMM-uri, din motive legate de echitatea distribuției valorii datelor între actorii de pe piață. Cu alte cuvinte, o întreprindere care furnizează servicii de platformă esențiale și care a fost desemnată drept controlor de acces nu poate să solicite sau să primească acces la datele utilizatorilor generate prin utilizarea unui produs conectat sau a unui serviciu conex ori de un asistent virtual în temeiul prezentului regulament. În plus, terții cărora le sunt puse la dispoziție date la cererea utilizatorului nu pot pune datele la dispoziția unui controlor de acces. De exemplu, terțul nu îi poate subcontracta unui controlor de acces furnizarea serviciului. Cu toate acestea, terții nu sunt împiedicați astfel să utilizeze serviciile de prelucrare a datelor oferite de un controlor de acces. De asemenea, respectivele întreprinderi nu sunt împiedicate să obțină și să utilizeze aceleași date prin alte mijloace legale. Drepturile de acces prevăzute în prezentul regulament contribuie la o gamă mai largă de servicii pentru consumatori. Întrucât acordurile voluntare dintre controlorii de acces și deținătorii de date rămân neafectate, limitarea acordării accesului pentru controlorii de acces nu i-ar exclude de pe piață și nici nu i-ar împiedica să își ofere serviciile.

(41)

Având în vedere starea actuală a tehnologiei, ar fi excesiv de împovărător pentru microîntreprinderi și întreprinderile mici să impună obligații suplimentare în materie de proiectare în ceea ce privește produsele conectate fabricate sau proiectate, sau serviciile conexe furnizate de acestea. Acest lucru nu se aplică însă atunci când o microîntreprindere sau o întreprindere mică are o întreprindere parteneră sau o întreprindere afiliată în înțelesul articolului 3 din anexa la Recomandarea 2003/361/CE care nu se califică drept microîntreprindere sau întreprindere mică și este subcontractată pentru fabricarea sau proiectarea unui produs conectat sau pentru furnizarea unui serviciu conex. În astfel de situații, întreprinderea care a subcontractat fabricarea sau proiectarea către o microîntreprindere sau o întreprindere mică este în măsură să compenseze subcontractantul în mod corespunzător. O microîntreprindere sau o întreprindere mică poate totuși să fie supusă cerințelor stabilite în prezentul regulament în calitate de deținător de date, în cazul în care nu este fabricantul produsului conectat sau furnizorul de servicii conexe. Ar trebui să se aplice o perioadă de tranziție în ceea ce privește întreprinderile care s-au calificat drept întreprinderi mijlocii pentru o perioadă mai scurtă de un an și în ceea ce privește produsele conectate, pentru o perioadă de un an de la data la care au fost introduse pe piață de către o întreprindere mijlocie. O astfel de perioadă de un an permite unor astfel de întreprinderi mijlocii să se adapteze și să se pregătească înainte de a trebui să facă față concurenței de pe piața serviciilor pentru produsele conectate pe care le fabrică, în temeiul drepturilor de acces prevăzute în prezentul regulament. O astfel de perioadă de tranziție nu se aplică în cazul în care o astfel de întreprindere mijlocie are o întreprindere parteneră sau o întreprindere afiliată care nu se califică drept microîntreprindere sau întreprindere mică sau în cazul în care o astfel de întreprindere mijlocie a fost subcontractată pentru fabricarea sau proiectarea produsului conectat sau pentru furnizarea serviciului conex.

(42)

Ținând seama de varietatea de produse conectate, care produc date diferite ca natură, volum și frecvență, prezintă niveluri diferite de risc în materie de date și securitate cibernetică și oferă oportunități economice de valoare diferită, precum și în scopul de a asigura coerența practicilor de partajare a datelor pe piața internă, inclusiv între sectoare, și pentru a încuraja și a promova practicile echitabile de partajare de date, chiar și în domeniile în care nu se oferă un astfel de drept de acces la date, prezentul regulament prevede norme orizontale privind modalitățile de acces la date, ori de câte ori un deținător de date este obligat în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii să pună date la dispoziția unui destinatar al datelor. Un astfel de acces ar trebui să se bazeze pe clauze și condiții echitabile, rezonabile, nediscriminatorii și transparente. Respectivele norme generale de acces nu se aplică în cazul obligațiilor de punere la dispoziție a datelor prevăzute în Regulamentul (UE) 2016/679. Partajarea voluntară de date rămâne neatinsă de respectivele norme. Modelele de clauze contractuale fără caracter obligatoriu pentru partajarea de date între întreprinderi, care urmează să fie elaborate și recomandate de Comisie, pot ajuta părțile să încheie contracte care includ clauze și condiții echitabile, rezonabile și nediscriminatorii și care sunt puse în aplicare în mod transparent. Încheierea de contracte care pot include modele de clauze contractuale fără caracter obligatoriu nu ar trebui să însemne că dreptul de a partaja date cu terți este condiționat în vreun fel de existența unui astfel de contract. În cazul în care părțile nu pot încheia un contract de partajare de date, inclusiv cu sprijinul organismelor de soluționare a litigiilor, dreptul de a partaja date cu terți poate fi recunoscut de către instanțele judecătorești sau tribunalele naționale.

(43)

Pe baza principiului libertății contractuale, părțile ar trebui să își păstreze libertatea de a negocia, în contractele lor, condițiile precise de punere la dispoziție a datelor, în cadrul normelor generale de acces pentru punerea la dispoziție a datelor. Clauzele unor astfel de contracte ar putea include măsuri tehnice și organizatorice, inclusiv în ceea ce privește securitatea datelor.

(44)

Pentru a se asigura echitatea condițiilor de acces obligatoriu la date pentru ambele părți la un contract, normele generale privind drepturile de acces la date ar trebui să conțină o trimitere la norma de evitare a clauzelor contractuale abuzive.

(45)

Niciun acord încheiat în relațiile dintre întreprinderi pentru punerea la dispoziție a datelor nu ar trebui să facă discriminări între categorii comparabile de destinatari ai datelor, indiferent dacă părțile sunt întreprinderi mari sau IMM-uri. Pentru compensarea lipsei de informații cu privire la condițiile cuprinse în diferite contracte, din cauza căreia destinatarului datelor îi este greu să evalueze caracterul nediscriminatoriu al condițiilor de punere la dispoziție a datelor, responsabilitatea pentru a demonstra că o clauză contractuală nu este discriminatorie ar trebui să le revină deținătorilor de date. Nu este considerată discriminare ilegală situația în care un deținător de date utilizează clauze contractuale diferite pentru punerea la dispoziție de date, dacă aceste diferențe sunt justificate de motive obiective. Respectivele obligații nu aduc atingere Regulamentului (UE) 2016/679.

(46)

Pentru a promova investițiile continue în generarea și punerea la dispoziție de date valoroase, inclusiv investițiile în instrumente tehnice relevante, evitând totodată sarcinile excesive legate de accesul la date și de utilizarea datelor, care fac ca partajarea datelor să nu mai fie viabilă din punct de vedere comercial, prezentul regulament conține principiul potrivit căruia în cadrul relațiilor între întreprinderi, deținătorii de date pot solicita o compensație rezonabilă pentru cazurile în care sunt obligați în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii să pună date la dispoziția unui destinatar al datelor. O astfel de compensație nu ar trebui înțeleasă în sensul că reprezintă o plată pentru datele în sine. Comisia ar trebui să adopte orientări privind calculul compensației rezonabile în economia datelor.

(47)

În primul rând, compensația rezonabilă pentru îndeplinirea obligației în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii de a da curs unei cereri de punere la dispoziție a datelor poate include compensarea costurilor suportate pentru punerea la dispoziție a datelor. Respectivele costuri pot fi costuri tehnice, cum ar fi costurile necesare pentru reproducerea datelor, difuzarea acestora prin mijloace electronice și stocarea lor, dar nu și pentru colectarea sau producerea lor. Astfel de costuri tehnice pot cuprinde, de asemenea, costurile de prelucrare necesare pentru punerea la dispoziție a datelor, inclusiv costurile aferente formatării datelor. Costurile legate de punerea la dispoziție a datelor pot cuprinde, de asemenea, costurile de facilitare a cererilor concrete de partajare de date. Totodată, ele pot varia în funcție de volumul de date, precum și de modalitățile de punere la dispoziție a datelor. Înțelegerile pe termen lung dintre deținătorii de date și destinatarii datelor, de exemplu prin intermediul unui model de abonament sau prin utilizarea contractelor inteligente, pot reduce costurile în tranzacțiile periodice sau repetitive din cadrul unei relații de afaceri. Costurile legate de punerea la dispoziție a datelor sunt fie specifice unei anumite cereri, fie partajate cu alte cereri. În acest din urmă caz, un singur destinatar al datelor nu ar trebui să suporte toate costurile de punere la dispoziție a datelor. În al doilea rând, compensația rezonabilă poate include, de asemenea, o marjă, cu excepția cazului IMM-urilor și a organizațiilor de cercetare fără scop lucrativ. O marjă poate varia în funcție de factori legați de datele în sine, cum ar fi volumul, formatul sau natura datelor. Ea poate lua în considerare costurile de colectare a datelor. Prin urmare, o marjă poate scădea în cazul în care deținătorul de date a colectat datele pentru propria sa activitate fără investiții semnificative sau poate crește în cazul în care investițiile în colectarea datelor în scopul activității deținătorului de date sunt ridicate. Ea poate fi limitată sau chiar exclusă în situațiile în care utilizarea datelor de către destinatarul datelor nu afectează propriile activități ale deținătorului de date. Faptul că datele sunt cogenerate de un produs conectat deținut, închiriat sau luat în leasing de utilizator ar putea, în plus, să reducă cuantumul compensației în comparație cu alte situații în care datele sunt generate de deținătorul de date, cum ar fi în timpul furnizării unui serviciu conex.

(48)

În cazul partajării de date între întreprinderi mari sau în cazul în care deținătorul de date este o întreprindere mică sau mijlocie și destinatarul datelor este o întreprindere mare, nu este necesar să se intervină. În astfel de cazuri, întreprinderile sunt considerate a fi capabile să negocieze compensația în limitele a ceea ce este rezonabil și nediscriminatoriu.

(49)

Pentru protejarea IMM-urilor de sarcinile economice excesive, ca urmare a cărora le-ar fi greu din punct de vedere comercial să dezvolte și să gestioneze modele de afaceri inovatoare, compensația rezonabilă pentru punerea la dispoziție a datelor care urmează să fie plătită de acestea nu ar trebui să depășească costurile legate direct de punerea la dispoziție a datelor. Costurile legate direct de punerea la dispoziție a datelor sunt acele costuri care pot fi atribuite cererilor individuale, ținându-se seama de faptul că interfețele tehnice necesare sau software-ul și conectivitatea aferente trebuie să fie instalate cu titlu permanent de către deținătorul de date. Același regim ar trebui să se aplice organizațiilor de cercetare fără scop lucrativ.

(50)

În cazuri justificate corespunzător, inclusiv când este necesar să se protejeze participarea consumatorilor și concurența sau să se promoveze inovarea pe anumite piețe, se pot prevedea compensații reglementate pentru punerea la dispoziție a anumitor tipuri de date, în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii.

(51)

Transparența este un principiu important pentru a se asigura că compensația solicitată de un deținător de date este rezonabilă sau, în cazul în care destinatarul datelor este o IMM sau o organizație de cercetare fără scop lucrativ, că respectiva compensație nu depășește costurile legate direct de punerea datelor la dispoziția destinatarului datelor și că ea poate fi atribuită cererii individuale. Pentru a permite destinatarilor datelor să evalueze și să verifice dacă respectiva compensație este conformă cu cerințele prezentului regulament, deținătorul de date ar trebui să furnizeze destinatarului datelor informații suficient de detaliate pentru calcularea compensației.

(52)

Asigurarea accesului la modalități alternative de soluționare a litigiilor naționale și transfrontaliere care apar în legătură cu punerea la dispoziție a datelor ar trebui să fie în beneficiul deținătorilor de date și al destinatarilor datelor și, prin urmare, să consolideze încrederea în partajarea datelor. În cazurile în care părțile nu pot conveni asupra unor clauze și condiții echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor, organismele de soluționare a litigiilor ar trebui să ofere părților o soluție simplă, rapidă și necostisitoare. Deși prezentul regulament stabilește doar condițiile pe care organismele de soluționare a litigiilor trebuie să le îndeplinească pentru a fi certificate, statele membre sunt libere să adopte orice norme specifice pentru procedura de certificare, inclusiv expirarea sau revocarea certificării. Dispozițiile prezentului regulament privind soluționarea litigiilor nu ar trebui să impună statelor membre să instituie organisme de soluționare a litigiilor.

(53)

Procedura de soluționare a litigiilor în temeiul prezentului regulament este o procedură voluntară care le permite utilizatorilor, deținătorilor de date și destinatarilor datelor să convină asupra apelării la organisme de soluționare a litigiilor pentru soluționarea litigiilor lor. Prin urmare, părțile ar trebui să aibă libertatea de a se adresa unui organism de soluționare a litigiilor la alegere, fie în interiorul, fie în afara statelor membre în care sunt stabilite părțile respective.

(54)

Pentru a evita cazurile în care două sau mai multe organisme de soluționare a litigiilor sunt sesizate pentru același litigiu, în special în context transfrontalier, ar trebui ca un organism de soluționare a litigiilor să poată refuză să trateze o cerere de soluționare a unui litigiu dacă aceasta a fost deja introdusă în fața unui alt organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(55)

Pentru a asigura aplicarea uniformă a prezentului regulament, organismele de soluționare a litigiilor ar trebui să țină seama de modelele de clauze contractuale fără caracter obligatoriu care urmează să fie elaborate și recomandate de Comisie, precum și de dreptul Uniunii sau de dreptul intern care precizează obligațiile privind partajarea datelor sau de orientările emise de autoritățile sectoriale pentru aplicarea normelor respective.

(56)

Părțile la procedurile de soluționare a litigiilor nu ar trebui să fie împiedicate să își exercite drepturile fundamentale la o cale de atac eficientă și la un proces echitabil. Prin urmare, părțile care decid să sesizeze un organism de soluționare a litigiilor nu ar trebui să fie private de dreptul de a introduce o cale de atac în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru. Organismele de soluționare a litigiilor ar trebui să pună la dispoziția publicului rapoarte anuale de activitate.

(57)

Deținătorii de date pot aplica măsuri tehnice de protecție corespunzătoare pentru a preveni divulgarea ilegală a datelor sau accesul la acestea. Însă măsurile respective nu ar trebui să instituie discriminări între destinatarii datelor și nici să împiedice accesul la date sau utilizarea datelor de către utilizatori sau de către destinatarii datelor. În cazul unor practici abuzive din partea unui destinatar al datelor, cum ar fi inducerea în eroare a deținătorului de date prin furnizarea de informații false cu intenția de a utiliza datele în scopuri ilegale, inclusiv dezvoltarea unui produs conectat concurent pe baza datelor, deținătorul de date și, după caz, atunci când aceștia nu sunt aceeași persoană, deținătorul secretului comercial sau utilizatorul poate solicita terțului sau destinatarului datelor să pună în aplicare măsuri corective sau de remediere fără întârzieri nejustificate. Orice astfel de cerere, în special cererile de a sista producția, oferta sau introducerea pe piață a unor produse, date derivate sau servicii, precum și cererile de a sista importul, exportul, depozitarea bunurilor care încalcă drepturile, sau de a distruge bunurile respective, ar trebui evaluate din perspectiva proporționalității lor în raport cu interesele deținătorului de date, ale deținătorului secretului comercial sau ale utilizatorului.

(58)

În cazul în care una dintre părți se află într-o poziție de negociere mai puternică, există riscul ca partea respectivă să profite de o astfel de poziție în detrimentul celeilalte părți contractante atunci când negociază accesul la date, ceea ce are drept rezultat că accesul la date este mai puțin viabil din punct de vedere comercial și uneori prohibitiv din punct de vedere economic. Astfel de dezechilibre contractuale dăunează tuturor întreprinderilor care nu dispun de o capacitate semnificativă de a negocia condițiile de acces la date și care ar putea să nu aibă altă alternativă decât să accepte clauzele contractuale sau de a renunța la contract. Prin urmare, clauzele contractuale abuzive care reglementează accesul la date și utilizarea acestora sau răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu ar trebui să fie obligatorii pentru întreprinderi atunci când clauzele respective le-au fost impuse în mod unilateral respectivelor întreprinderi.

(59)

În normele referitoare la clauzele contractuale ar trebui să se țină seama de principiul libertății contractuale, un concept esențial în relațiile dintre întreprinderi. Prin urmare, nu toate clauzele contractuale ar trebui să facă obiectul unui test privind caracterul abuziv, ci numai clauzele care sunt impuse în mod unilateral microîntreprinderilor și întreprinderilor mici și mijlocii. Sunt vizate situațiile în care singura opțiune este între a accepta clauze contractuale sau a renunța la contract, situații în care una dintre părți oferă o anumită clauză contractuală, iar cealaltă întreprindere nu poate influența conținutul clauzei respective, în pofida încercării de a o negocia. O clauză contractuală care este pur și simplu oferită de una dintre părți și acceptată cealaltă întreprindere, sau o clauză care este negociată și asupra căreia părțile contractante convin ulterior după aducerea unor modificări nu ar trebui considerată ca fiind impusă unilateral.

(60)

În plus, normele privind clauzele contractuale abuzive ar trebui să se aplice numai elementelor unui contract care sunt legate de punerea la dispoziție a datelor, și anume clauzelor contractuale referitoare la accesul la date și la utilizarea acestora, precum și la răspunderea sau măsurile reparatorii pentru încălcarea și încetarea obligațiilor legate de date. Alte părți ale aceluiași contract, care nu au legătură cu punerea la dispoziție a datelor, nu ar trebui să facă obiectul testului privind caracterul abuziv prevăzut în prezentul regulament.

(61)

Criteriile de identificare a clauzelor contractuale abuzive ar trebui să se aplice numai clauzelor contractuale excesive, în cazul cărora se abuzează de o poziție de negociere mai puternică. Marea majoritate a clauzelor contractuale care sunt mai avantajoase din punct de vedere comercial pentru o parte decât pentru cealaltă parte, inclusiv cele care sunt normale în contractele dintre întreprinderi, reprezintă o expresie normală a principiului libertății contractuale și se aplică în continuare. În sensul prezentului regulament, devierea flagrantă de la bunele practici comerciale ar include, printre altele, afectarea obiectivă a capacității părții căreia i-a fost impusă în mod unilateral clauza de a-și proteja interesul comercial legitim față de datele în cauză.

(62)

Pentru a asigura securitatea juridică, prezentul regulament stabilește o listă cu clauze care sunt întotdeauna considerate abuzive și o listă cu clauze despre care se presupune că sunt abuzive. În al doilea caz, întreprinderea care impune clauza contractuală ar trebui să poată răsturna prezumția de caracter abuziv demonstrând că clauza contractuală menționată în prezentul regulament nu este abuzivă în cazul respectiv. Dacă o clauză contractuală nu este inclusă în lista clauzelor care sunt întotdeauna considerate abuzive sau care sunt prezumate a fi abuzive, se aplică dispoziția generală privind caracterul abuziv. În această privință, clauzele contractuale din lista clauzelor abuzive din prezentul regulament ar trebui să servească drept etalon pentru interpretarea dispoziției generale privind caracterul abuziv. În sfârșit, modelele de clauze contractuale fără caracter obligatoriu pentru contractele de partajare de date între întreprinderi, care urmează să fie elaborate și recomandate de Comisie, pot fi de asemenea utile pentru părțile comerciale atunci când acestea negociază contracte. În cazul în care o clauză contractuală este declarată abuzivă, contractul în cauză ar trebui să continue să se aplice fără clauza respectivă, cu excepția cazului în care clauza contractuală abuzivă nu poate fi separată de celelalte clauze ale contractului.

(63)

În situații de nevoie excepțională, ar putea fi necesar ca organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii să utilizeze, în exercitarea sarcinilor statutare în interes public, datele existente, inclusiv, după caz, metadatele aferente, pentru a răspunde unor situații de urgență sau în alte cazuri excepționale. Nevoile excepționale sunt circumstanțe imprevizibile și limitate în timp, spre deosebire de alte circumstanțe care ar putea fi planificate, programate, periodice sau frecvente. Deși noțiunea de „deținător de date” nu include, în general, organismele din sectorul public, ea poate include întreprinderi publice. Organizațiile care desfășoară activități de cercetare și organizațiile care finanțează activități de cercetare ar putea fi, de asemenea, organizate ca organisme din sectorul public sau organisme de drept public. În vederea limitării sarcinii pentru întreprinderi, microîntreprinderile și întreprinderile mici ar trebui să aibă obligația de a furniza date organismelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii numai în situații de nevoie excepțională, când astfel de date sunt necesare pentru a răspunde unei situații de urgență și organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii nu este în măsură să obțină astfel de date prin mijloace alternative în timp util și în mod eficace, în condiții echivalente.

(64)

În cazul situațiilor de urgență, cum ar fi situațiile de urgență de sănătate publică, situațiile de urgență cauzate de dezastre naturale, inclusiv cele agravate de schimbările climatice și degradarea mediului, precum și dezastrele antropice majore, cum ar fi incidentele majore de securitate cibernetică, interesul public care rezultă din utilizarea datelor va prevala asupra intereselor deținătorilor de date de a dispune liber de datele pe care le dețin. Într-un astfel de caz, deținătorii de date ar trebui să fie obligați să pună datele la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organelor Uniunii, la cererea acestora. Existența unei situații de urgență ar trebui să fie determinată sau declarată în conformitate cu dreptul Uniunii sau cu dreptul intern și ar trebui să se bazeze pe procedurile relevante, inclusiv cele ale organizațiilor internaționale relevante. În astfel de cazuri, organismul din sectorul public ar trebui să demonstreze că datele care fac obiectul cererii nu ar putea fi altfel obținute în timp util, în mod eficace și în condiții echivalente, de exemplu prin furnizarea voluntară de date de către o altă întreprindere sau prin consultarea unei baze de date publice.

(65)

O nevoie excepțională poate rezulta, de asemenea, din alte situații decât cele de urgență. În astfel de cazuri, un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii ar trebui să poată solicita numai date fără caracter personal. Organismul din sectorul public ar trebui să demonstreze că datele sunt necesare pentru îndeplinirea unei sarcini specifice de interes public, sarcină prevăzută în mod explicit de lege, cum ar fi producerea de statistici oficiale sau atenuarea unei situații de urgență ori redresarea în urma unei astfel de situații de urgență. În plus, o astfel de cerere poate fi introdusă numai atunci când organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii a identificat date specifice care nu ar putea fi altfel obținute în timp util, în mod eficace și în condiții echivalente și numai dacă a epuizat toate celelalte mijloace de care dispune pentru a obține astfel de date, cum ar fi obținerea datelor prin acorduri voluntare, inclusiv achiziționarea de date fără caracter personal de pe piață la tarifele pieței sau invocarea obligațiilor existente de punere la dispoziție a datelor ori adoptarea de noi măsuri legislative care ar putea garanta disponibilitatea în timp util a datelor. Ar trebui să se aplice, de asemenea, condițiile și principiile aplicabile cererilor de tipul celor legate de limitarea scopului, proporționalitate, transparență și limitarea în timp. În cazul cererilor de date necesare pentru producerea de statistici oficiale, organismul solicitant din sectorul public ar trebui, de asemenea, să demonstreze că dreptul intern nu îi permite să achiziționeze date fără caracter personal de pe piață.

(66)

Prezentul regulament nu ar trebui să se aplice în cazul înțelegerilor voluntare de schimb de date între entități private și publice, inclusiv furnizarea de date de către IMM-uri, și nici să împiedice astfel de înțelegeri, și nu aduce atingere actelor juridice ale Uniunii care prevăd cereri de informații obligatorii din partea entităților publice către entitățile private. Prezentul regulament nu ar trebui să aducă atingere obligațiilor de a furniza date care le sunt impuse deținătorilor de date și care sunt motivate de nevoi care nu sunt de natură excepțională, în special atunci când gama de date și de deținători de date este cunoscută sau când utilizarea datelor se poate desfășura cu regularitate, precum în cazul obligațiilor de raportare și al obligațiilor privind piața internă. Prezentul regulament nu ar trebui, de asemenea, să aducă atingere cerințelor de acces la date pentru verificarea conformității cu normele aplicabile, inclusiv în cazurile în care organismele din sectorul public atribuie sarcina de verificare a conformității altor entități decât organismele din sectorul public.

(67)

Prezentul regulament completează dreptul Uniunii și dreptul intern care prevăd accesul la date și utilizarea acestora în scopuri statistice, în special Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului (27), precum și actele juridice naționale referitoare la statisticile oficiale, și nu le aduce atingere.

(68)

Pentru exercitarea atribuțiilor care le revin în domeniul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau contravențiilor sau executării pedepselor și sancțiunilor administrative, precum și al colectării de date în scopuri fiscale sau vamale, organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii ar trebui să se bazeze pe competențele lor prevăzute în dreptul Uniunii sau în dreptul intern. În consecință, prezentul regulament nu aduce atingere actelor legislative de partajare, accesare și utilizare a datelor în respectivele domenii.

(69)

În conformitate cu articolul 6 alineatele (1) și (3) din Regulamentul (UE) 2016/679, este necesar un cadru proporționat, limitat și previzibil la nivelul Uniunii atunci când se stabilește temeiul juridic pentru punerea datelor de către deținătorii de date, în cazul unor nevoi excepționale, la dispoziția organismelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii, atât pentru a se asigura securitatea juridică, cât și pentru a se reduce la minimum sarcinile administrative pentru întreprinderi. În acest scop, cererile de date pe care organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii le adresează deținătorilor de date ar trebui să fie specifice, transparente și proporționate în ceea ce privește obiectul și granularitatea lor. Scopul cererii și utilizarea preconizată a datelor solicitate ar trebui să fie specifice și explicate în mod clar, acordându-se în același timp entității solicitante flexibilitatea necesară pentru a-și putea îndeplini sarcinile sale specifice în interes public. Cererea ar trebui, de asemenea, să respecte interesele legitime ale deținătorului de date cărui i se adresează cererea. Sarcina pentru deținătorii de date ar trebui să fie redusă la minimum, prin obligarea entităților solicitante să respecte principiul „doar o singură dată”, care împiedică solicitarea în repetate rânduri a acelorași date de către mai multe organisme din sectorul public sau de către Comisie, Banca Centrală Europeană sau organe ale Uniunii. Pentru a asigura transparența, cererile de date introduse de Comisie, de Banca Centrală Europeană sau de organele Uniunii ar trebui să fie făcute publice fără întârzieri nejustificate de către entitatea care solicită datele. Banca Centrală Europeană și organele Uniunii ar trebui să informeze Comisia cu privire la cererile introduse de acestea. Dacă cererea de date a fost introdusă de un organism din sectorul public, respectivul organism ar trebui, de asemenea, să notifice coordonatorul de date al statului membru în care este stabilit organismul din sectorul public. Ar trebui să se asigure disponibilitatea publică online a tuturor cererilor. La primirea unei notificări privind o cerere de date, autoritatea competentă poate decide să evalueze legalitatea cererii și să își exercite funcțiile în ceea ce privește asigurarea respectării prezentului regulament și aplicarea acestuia. Disponibilitatea publică online a tuturor cererilor introduse de organismele din sectorul public ar trebui să fie asigurată de coordonatorul de date.

(70)

Obiectivul obligației de a furniza datele este de a se asigura că organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii dispun de cunoștințele necesare pentru a răspunde la situațiile de urgență, a preveni astfel de situații de urgență sau a se redresa în urma acestora ori pentru a menține capacitatea de îndeplinire a unor sarcini specifice prevăzute în mod explicit de lege. Este posibil ca datele obținute de respectivele entități să fie sensibile din punct de vedere comercial. Prin urmare, datele puse la dispoziție în temeiul prezentului regulament nu ar trebui să intre în domeniul de aplicare al Regulamentului (UE) 2022/868, nici al Directivei (UE) 2019/1024 a Parlamentului European și a Consiliului (28) și nu ar trebui considerate date deschise disponibile pentru reutilizare de către terț. Acest lucru nu ar trebui să aducă însă atingere aplicabilității Directivei (UE) 2019/1024 în cazul reutilizării statisticilor oficiale pentru producerea cărora au fost utilizate datele obținute în temeiul prezentului regulament, cu condiția ca reutilizarea să nu includă datele subiacente. Sub rezerva îndeplinirii condițiilor prevăzute în prezentul regulament, nu ar trebui să se aducă atingere nici posibilității de partajare a datelor pentru desfășurarea de activități de cercetare sau pentru dezvoltarea, producerea și difuzarea de statistici oficiale. Organismele din sectorul public ar trebui, de asemenea, să poată face schimb de datele obținute în temeiul prezentului regulament cu alte organisme din sectorul public, cu Comisia, cu Banca Centrală Europeană sau cu organe ale Uniunii în scopul abordării nevoilor excepționale pentru care au fost solicitate datele.

(71)

Deținătorii de date ar trebui să aibă posibilitatea fie de a respinge o cerere introdusă de un organism din sectorul public, de Comisie, de Banca Centrală Europeană ori de un organ al Uniunii, fie de a solicita modificarea acesteia, fără întârzieri nejustificate și, în orice caz, în termen de maxim cinci sau 30 de zile lucrătoare, în funcție de natura nevoii excepționale invocate în cerere. După caz, deținătorul de date ar trebui să aibă această posibilitate în cazul în care nu deține controlul asupra datelor solicitate, și anume în cazul în care nu are acces imediat la date și nu poate determina disponibilitatea acestora. Ar trebui să existe un motiv întemeiat pentru nepunerea la dispoziție a datelor dacă se poate demonstra că cererea este similară cu o cerere introdusă anterior în același scop de către un alt organism din sectorul public sau de Comisie, de Banca Centrală Europeană sau de un organ al Uniunii și deținătorul de date a fost notificat cu privire la ștergerea datelor în temeiul prezentului regulament. Dacă un deținător de date respinge cererea sau solicită modificarea acesteia, respectivul deținător de date ar trebui să comunice organismului din sectorul public, Comisiei, Băncii Centrale Europene sau organului Uniunii care solicită datele justificarea aferentă. În cazul în care drepturile sui generis privind bazele de date prevăzute în Directiva 96/9/CE a Parlamentului European și a Consiliului (29) se aplică în legătură cu seturile de date solicitate, deținătorii de date ar trebui să își exercite drepturile într-un mod care să nu împiedice organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii să obțină datele ori să le partajeze în conformitate cu prezentul regulament.

(72)

În cazul unei nevoi excepționale legate de răspunsul la o situație de urgență, organismele din sectorul public ar trebui să utilizeze date fără caracter personal ori de câte ori este posibil. În cazul cererilor introduse pe baza unei nevoi excepționale care nu este legată de o situație de urgență, nu pot fi solicitate date cu caracter personal. În cazul în care datele cu caracter personal fac obiectul cererii, deținătorul de date ar trebui să anonimizeze datele respective. În cazul în care este strict necesar să se includă date cu caracter personal în datele care urmează să fie puse la dispoziția unui organism din sectorul public, a Comisiei, a Băncii Centrale Europene sau a unui organ al Uniunii sau în situația în care anonimizarea se dovedește a fi imposibilă, entitatea care solicită datele ar trebui să demonstreze indispensabilitatea și scopurile specifice și limitate ale prelucrării. Normele aplicabile în materie de protecție a datelor cu caracter personal ar trebui respectate. Punerea la dispoziție a datelor și utilizarea ulterioară a acestora ar trebui să fie însoțite de garanții pentru drepturile și interesele persoanelor vizate de datele respective.

(73)

Datele puse la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organelor Uniunii pe baza unei nevoi excepționale ar trebui utilizate numai în scopurile pentru care au fost solicitate, cu excepția cazului în care deținătorul de date care a pus la dispoziție datele și-a dat acordul expres ca datele să fie utilizate în alte scopuri. Datele ar trebui șterse când nu mai sunt necesare în scopurile declarate în cerere, cu excepția cazului în care se convine altfel, iar deținătorul de date ar trebui să fie informat în acest sens. Prezentul regulament se bazează pe regimurile de acces existente în Uniune și în statele membre și nu modifică dreptul intern privind accesul public la documente în contextul obligațiilor de transparență. Datele ar trebui șterse de îndată ce nu mai sunt necesare pentru îndeplinirea acestor obligații de transparență.

(74)

Când reutilizează date furnizate de către deținătorii de date, organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii ar trebui să respecte atât dreptul Uniunii sau dreptul intern aplicabil existent, cât și obligațiile contractuale care îi revin deținătorului de date. Acestea ar trebui să se abțină de la dezvoltarea sau îmbunătățirea unui produs conectat sau serviciu conex care concurează cu produsul conectat sau serviciul conex al deținătorului de date, precum și de la partajarea datelor cu un terț în scopurile respective. Acestea ar trebui, de asemenea, să ofere recunoaștere publică deținătorilor de date, la cererea acestora, și ar trebui să fie responsabile pentru menținerea securității datelor primite. În cazul în care, pentru îndeplinirea scopului în care au fost solicitate datele, este strict necesar ca organismelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii să le fie divulgate secrete comerciale ale deținătorului de date, ar trebui să se garanteze confidențialitatea divulgării respective înainte ca datele să fie divulgate.

(75)

Când scopul este protejarea unui bun public important, cum ar fi în cazul răspunsului la situațiile de urgență, nu ar trebui să se aștepte din partea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organului Uniunii în cauză să compenseze întreprinderile pentru datele obținute. Situațiile de urgență sunt evenimente rare și nu toate situațiile de urgență de acest fel necesită utilizarea de date deținute de întreprinderi. În același timp, obligația de a furniza date ar putea constitui o sarcină considerabilă pentru microîntreprinderi și întreprinderile mici. Prin urmare, ar trebui să li se permită acestora să solicite o compensație chiar și în contextul unui răspuns la o situație de urgență. Este puțin probabil, așadar, ca activitățile comerciale ale deținătorilor de date să fie influențate în mod negativ ca urmare a faptului că organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii recurg la prezentul regulament. Cu toate acestea, întrucât cazurile în care există o nevoie excepțională, altele decât cazurile de răspuns la o situație de urgență, ar putea fi mai frecvente, deținătorii de date ar trebui să aibă dreptul, în astfel de cazuri, la o compensație rezonabilă, care nu ar trebui să depășească costurile tehnice și organizatorice suportate pentru îndeplinirea cererii și marja rezonabilă necesară pentru punerea datelor la dispoziția organismului din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organului Uniunii. Compensația nu ar trebui înțeleasă ca reprezentând o plată pentru datele în sine sau ca fiind obligatorie. Deținătorii de date nu ar trebui să poată solicita o compensație în cazul în care dreptul intern împiedică institutele naționale de statistică sau alte autorități naționale responsabile cu producerea de statistici să ofere compensație deținătorilor de date pentru punerea la dispoziție a datelor. Organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii în cauză ar trebui să poată contesta nivelul compensației solicitate de deținătorul de date prin sesizarea autorității competente a statului membru în care este stabilit deținătorul de date.

(76)

Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii ar trebui să aibă dreptul de a partaja datele pe care le-a obținut în urma cererii cu alte entități sau persoane, atunci când acest lucru este necesar pentru desfășurarea de activități de cercetare științifică sau de activități analitice pe care nu le poate efectua independent, cu condiția ca activitățile respective să fie compatibile cu scopul în care au fost solicitate datele. Deținătorul de date ar trebui să fie informat în timp util cu privire la o astfel de partajare. Aceste date pot, de asemenea, să fie partajate, în aceleași condiții, cu institutele naționale de statistică și cu Eurostat, în vederea dezvoltării, producerii și difuzării de statistici oficiale. Astfel de activități de cercetare ar trebui să fie compatibile însă cu scopul în care au fost solicitate datele, iar deținătorul datelor ar trebui să fie informat cu privire la partajarea ulterioară a datelor pe care le-a furnizat. Persoanele fizice care desfășoară activități de cercetare sau organizațiile de cercetare cu care respectivele date ar putea fi partajate ar trebui să acționeze fie fără scop lucrativ, fie în contextul unei misiuni de interes public recunoscute de stat. Organizațiile asupra cărora societățile comerciale au o influență semnificativă care le permite societăților comerciale să exercite control datorită situațiilor structurale, ceea ce ar putea determina accesul preferențial al acestora la rezultatele cercetării, nu ar trebui să fie considerate ca fiind organizații de cercetare în sensul prezentului regulament.

(77)

Pentru a face față unei situații de urgență transfrontaliere sau unei alte nevoi excepționale, cererile de date pot fi adresate deținătorilor de date din alte state membre decât cel al organismului solicitant din sectorul public. Într-un astfel de caz, organismul solicitant din sectorul public ar trebui să trimită o notificare autorității competente a statului membru în care este stabilit deținătorul de date, pentru a-i permite acesteia să examineze cererea în funcție de criteriile stabilite în prezentul regulament. Aceeași procedură ar trebui să se aplice și în cazul cererilor introduse de Comisie, de Banca Centrală Europeană sau de un organ al Uniunii. În cazul în care sunt solicitate date cu caracter personal, organismul din sectorul public ar trebui să trimită o notificare autorității de supraveghere responsabile de monitorizarea aplicării Regulamentului (UE) 2016/679 în statul membru în care este stabilit organismul din sectorul public. Autoritatea competentă în cauză ar trebui să aibă dreptul de a consilia organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii să coopereze cu organismele din sectorul public ale statului membru în care este stabilit deținătorul de date în ceea ce privește necesitatea de a asigura reducerea la minimum a sarcinii administrative pentru deținătorul de date. Atunci când autoritatea competentă formulează obiecții întemeiate în ceea ce privește conformitatea cererii cu prezentul regulament, aceasta ar trebui să respingă cererea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organului Uniunii, care ar trebui să țină seama de obiecțiile respective înainte de a întreprinde orice fel de acțiune, inclusiv reintroducerea cererii.

(78)

Capacitatea clienților serviciilor de prelucrare a datelor, inclusiv ai serviciilor de cloud și ai serviciilor la marginea rețelei, de a trece de la un serviciu de prelucrare a datelor la altul, menținând în același timp o funcționalitate minimă a serviciului și fără o întrerupere a serviciilor, sau de a utiliza simultan serviciile mai multor furnizori fără obstacole nejustificate și fără costuri neîntemeiate aferente transferului de date, este o condiție esențială pentru o piață mai competitivă, cu mai puține bariere la intrarea pe piață pentru noii furnizori de servicii de prelucrare a datelor, precum și pentru a garanta o mai mare reziliență pentru utilizatorii serviciilor respective. Clienții care beneficiază de oferte care vizează un nivel de servicii gratuit ar trebui, de asemenea, să beneficieze de dispozițiile privind trecerea la alt furnizor prevăzute în prezentul regulament, astfel încât respectivele oferte să nu conducă la o situație de client captiv.

(79)

Prin Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului (30), furnizorii de servicii de prelucrare a datelor sunt încurajați să elaboreze și să aplice efectiv coduri de conduită de autoreglementare care să cuprindă bune practici pentru, printre altele, facilitarea trecerii la alți furnizori de servicii de prelucrare a datelor și portarea datelor. Date fiind adoptarea limitată a cadrelor de autoreglementare elaborate ca răspuns și indisponibilitatea generală a unor standarde și interfețe deschise, este necesar să se adopte un set de obligații minime de reglementare pentru furnizorii de servicii de prelucrare a datelor, în vederea eliminării obstacolelor precomerciale, comerciale, tehnice, contractuale și organizatorice, cum ar fi, printre altele, reducerea vitezei de transfer al datelor atunci când clientul reziliază contractul, care împiedică trecerea efectivă de la un serviciu de prelucrare a datelor la altul.

(80)

Serviciile de prelucrare a datelor ar trebui să acopere serviciile care permit accesul ubicuu și la cerere în rețea la un bazin comun configurabil, scalabil și elastic de resurse informatice distribuite. Astfel de resurse informatice includ resurse precum rețelele, serverele ori alte infrastructuri virtuale sau fizice, software-urile, inclusiv instrumentele de dezvoltare de software, stocarea, aplicațiile și serviciile. Capacitatea clientului serviciului de prelucrare a datelor de a furniza în mod unilateral capacități de calcul autonome, cum ar fi ora serverului sau stocarea în rețea, fără nicio interacțiune umană din partea furnizorului de servicii de prelucrare a datelor, ar putea fi descrisă ca necesitând un efort minim de administrare și implicând o interacțiune minimă între furnizor și client. Termenul „ubicuu” este utilizat pentru a descrie capacitățile de calcul furnizate prin rețea și accesate prin mecanisme care promovează utilizarea unor platforme eterogene pentru „terminale ușoare” (thin clients) sau „terminale grele” (thick clients) (de la navigatoare web până la dispozitive mobile și stații de lucru). Termenul „scalabil” se referă la resursele informatice care se alocă flexibil de către furnizorul de servicii de prelucrare a datelor, indiferent de poziția geografică a resurselor, în vederea administrării fluctuațiilor de cerere. Termenul „elastic” se referă la resursele informatice care sunt mobilizate și eliberate în funcție de cerere, în vederea înmulțirii sau reducerii rapide a resurselor disponibile în conformitate cu volumul de lucru. Termenul „bazin comun” descrie resursele informatice care sunt furnizate mai multor utilizatori care au acces comun la serviciu, dar prelucrarea se efectuează separat pentru fiecare utilizator, deși serviciul este furnizat de același echipament electronic. Termenul „distribuit” se referă la resursele informatice care sunt situate pe diferite calculatoare sau dispozitive în rețea și care comunică și se coordonează între ele prin transmiterea de mesaje. Termenul „foarte distribuit” se referă la serviciile de prelucrare a datelor care implică prelucrarea datelor mai aproape de locul în care sunt generate sau colectate datele, de exemplu într-un dispozitiv conectat de prelucrare a datelor. Se așteaptă ca tehnica de calcul la margine (edge computing), care este o astfel de formă de prelucrare foarte distribuită a datelor, să genereze noi modele de afaceri și modele de furnizare a serviciilor de cloud, care ar trebui să fie deschise și interoperabile de la bun început.

(81)

Conceptul generic de „servicii de prelucrare a datelor” acoperă un număr substanțial de servicii cu o gamă foarte largă de scopuri, funcționalități și configurații tehnice diferite. După cum sunt înțelese în general de furnizori și utilizatori și în conformitate cu standardele utilizate pe scară largă, serviciile de prelucrare a datelor se încadrează în unul sau mai multe dintre următoarele trei modele de furnizare a serviciilor de prelucrare a datelor, și anume infrastructură ca serviciu (IaaS), platformă ca serviciu (PaaS) și software ca serviciu (SaaS). Aceste modele de furnizare a serviciilor reprezintă o combinație specifică, prestabilită, de resurse informatice oferite de un furnizor de servicii de prelucrare a datelor. Respectivele trei modele de bază de furnizare a serviciilor de prelucrare a datelor sunt completate de noi variații, fiecare alcătuită dintr-o combinație distinctă de resurse informatice, cum ar fi stocarea ca serviciu (Storage-as-a-Service) și baza de date ca serviciu (Database-as-a-Service). Serviciile de prelucrare a datelor pot fi clasificate în mod mai detaliat și puse pe o listă neexhaustivă de seturi de servicii de prelucrare a datelor care au în comun același obiectiv principal și aceleași funcționalități principale, precum și același tip de modele de prelucrare a datelor, care nu sunt legate de caracteristicile operaționale ale serviciului (același tip de serviciu). Serviciile care se încadrează în același tip de serviciu pot avea în comun același model de furnizare a serviciilor de prelucrare a datelor; cu toate acestea, două baze de date ar putea părea că au în comun același obiectiv principal, dar, după analizarea modelului lor de prelucrare a datelor, a modelului lor de distribuție și a cazurilor de utilizare pe care le vizează, s-ar putea ca acele baze de date să se încadreze într-o subcategorie mai detaliată de servicii similare. Serviciile care se încadrează în același tip de serviciu pot avea caracteristici diferite și concurente, cum ar fi performanța, securitatea, reziliența și calitatea serviciului.

(82)

Compromiterea extragerii datelor exportabile care îi aparțin clientului de la furnizorul de servicii de prelucrare a datelor de origine poate împiedica restabilirea funcționalităților serviciului în infrastructura furnizorului de servicii de prelucrare a datelor de destinație. Pentru a facilita strategia de ieșire a clientului, pentru a evita sarcinile inutile și împovărătoare și pentru a se asigura că clientul nu își pierde niciuna din datele sale ca urmare a procesului de trecere la alt furnizor, furnizorul de prelucrare a datelor de origine ar trebui să informeze clientul în prealabil cu privire la tipurile de date care pot fi exportate odată ce clientul respectiv decide să treacă la un serviciu diferit furnizat de un furnizor diferit de servicii de prelucrare a datelor sau la o infrastructură TIC locală. Datele exportabile ar trebui să includă, cel puțin, datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate prin utilizarea de către client a serviciului de prelucrare a datelor, excluzând orice active sau date ale furnizorului de servicii de prelucrare a datelor sau ale unui terț. Datele exportabile ar trebui să excludă orice active sau date ale furnizorului de servicii de prelucrare a datelor sau ale terțului care sunt protejate de drepturi de proprietate intelectuală sau care constituie secrete comerciale ale furnizorului respectiv sau ale terțului respectiv, sau date legate de integritatea și securitatea serviciului, al căror export i-ar expune pe furnizorii de servicii de prelucrare a datelor la vulnerabilități în materie de securitate cibernetică. Respectivele excluderi nu ar trebui să împiedice sau să întârzie procesul de trecere la alt furnizor.

(83)

Activele digitale se referă la elemente în format digital asupra cărora clientul are drept de utilizare, inclusiv aplicațiile și metadatele legate de configurarea setărilor, securitate și gestiunea drepturilor de acces și de control, precum și alte elemente cum ar fi manifestări ale tehnologiilor de virtualizare, inclusiv mașinile virtuale și containerele. Activele digitale pot fi transferate în cazul în care clientul are drept de utilizare asupra lor, indiferent de relația contractuală cu serviciul de prelucrare a datelor pe care intenționează să îl schimbe. Aceste alte elemente sunt esențiale pentru o utilizare eficace a datelor și aplicațiilor clientului în mediul furnizorului de servicii de prelucrare a datelor de destinație.

(84)

Prin prezentul regulament se urmărește facilitarea trecerii de la un serviciu de prelucrare a datelor la altul, ceea ce cuprinde condițiile și acțiunile necesare pentru ca un client să rezilieze un contract având ca obiect un serviciu de prelucrare a datelor, să încheie unul sau mai multe contracte noi cu furnizori diferiți de servicii de prelucrare a datelor, să își porteze datele exportabile și activele digitale și, dacă este cazul, să beneficieze de echivalența funcțională.

(85)

Trecerea la alt furnizor este o operațiune în care inițiativa îi aparține clientului și care constă în mai multe etape, inclusiv extragerea datelor, care se referă la descărcarea datelor din ecosistemul furnizorului de servicii de prelucrare a datelor de origine; transformarea, dacă datele sunt structurate într-un mod care nu corespunde schemei amplasamentului de destinație; și încărcarea datelor într-un nou amplasament de destinație. Într-o situație specifică descrisă în prezentul regulament, segregarea unui anumit serviciu din contract și trecerea acestuia la un furnizor diferit ar trebui să fie considerată, de asemenea, drept trecere la alt furnizor. Procesul de trecere la alt furnizor este uneori gestionat în numele clientului de către o entitate terță. În consecință, toate drepturile și obligațiile clientului stabilite prin prezentul regulament, inclusiv obligația de a coopera cu bună-credință, ar trebui înțelese ca fiind aplicabile entității terțe respective în aceste împrejurări. Furnizorii de servicii de prelucrare a datelor și clienții au niveluri diferite de responsabilități, în funcție de etapele procesului menționat. De exemplu, furnizorul de servicii de prelucrare a datelor de origine este responsabil pentru extragerea datelor într-un format care poate fi citit automat, dar clientul și furnizorul de servicii de prelucrare a datelor de destinație sunt cei care trebuie să încarce datele în noul mediu, cu excepția cazului în care se recurge la un serviciu specific de tranziție profesional. Un client care intenționează să își exercite drepturile legate de trecerea la alt furnizor, prevăzute în prezentul regulament, ar trebui să informeze furnizorul de servicii de prelucrare a datelor de origine cu privire la decizia sa de a trece la un furnizor diferit de servicii de prelucrare a datelor, de a trece la o infrastructură TIC locală sau de a-și șterge activele și datele exportabile.

(86)

Echivalență funcțională înseamnă restabilirea, pe baza datelor exportabile și a activelor digitale ale clientului, a unui nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor, care este același tip de serviciu, după trecerea la alt furnizor, în situația în care serviciul de prelucrare a datelor de destinație produce rezultate realmente comparabile ca răspuns la aceleași date de intrare pentru caracteristicile partajate furnizate clientului în temeiul contractului. Este de așteptat ca furnizorii de servicii de prelucrare a datelor să faciliteze echivalența funcțională numai pentru caracteristicile pe care atât serviciile de prelucrare a datelor de origine, cât și cele de destinație le oferă în mod independent. Prezentul regulament nu constituie o obligație de a facilita echivalența funcțională pentru furnizorii de servicii de prelucrare a datelor, alții decât cei care oferă servicii care se încadrează în modelul de furnizare IaaS.

(87)

Serviciile de prelucrare a datelor sunt utilizate în toate sectoarele și variază în materie de complexitate și tip de servicii. Acesta este un aspect important de luat în considerare în ceea ce privește procesul de portare și termenele prevăzute. Cu toate acestea, o prelungire a perioadei de tranziție motivată de incapacitatea tehnică de a finaliza procesul de trecere la alt furnizor în intervalul de timp dat ar trebui să fie invocată numai în cazuri justificate în mod corespunzător. Sarcina probei în acest sens ar trebui să revină în întregime furnizorului serviciului de prelucrare a datelor în cauză. Acest lucru nu aduce atingere dreptului exclusiv al clientului de a prelungi perioada de tranziție, o singură dată, cu o perioadă pe care clientul o consideră mai adaptată pentru scopurile proprii. Clientul poate invoca respectivul drept de prelungire înainte sau în timpul perioadei de tranziție, ținând seama de faptul că contractul rămâne aplicabil pe parcursul perioadei de tranziție.

(88)

Taxele de trecere la alt furnizor sunt taxe impuse de furnizorii de servicii de prelucrare a datelor clienților lor pentru procesul de trecere la alt furnizor. În mod obișnuit, respectivele taxe sunt destinate să transfere costurile pe care furnizorul de servicii de prelucrare a datelor de origine le poate suporta ca urmare a procesului de trecerea la alt furnizor asupra clientului care dorește să treacă la alt furnizor. Costurile legate de transferul datelor de la un furnizor de servicii de prelucrare a datelor la altul sau către o infrastructură TIC locală (taxe pentru ieșirea datelor prin transfer) sau costurile suportate pentru acțiuni de sprijin specifice în timpul procesului de trecerea la alt furnizor constituie exemple tipice de taxe de trecere la alt furnizor. Taxele pentru ieșirea datelor prin transfer inutil de ridicate și alte taxe nejustificate care nu au legătură cu costurile reale ale trecerii la alt furnizor inhibă intenția clienților de a trece la alt furnizor, restricționează libera circulație a datelor, au potențialul de a restrânge concurența și de a produce situații de client captiv pentru clienți, prin reducerea stimulentelor pentru alegerea unui furnizor de servicii diferit sau suplimentar. Taxele de trecere la alt furnizor ar trebui, prin urmare, să fie eliminate după trei ani de la data intrării în vigoare a prezentului regulament. Furnizorii de servicii de prelucrare a datelor ar trebui să poată impune taxe de trecere la alt furnizor reduse până la respectiva dată.

(89)

Un furnizor de servicii de prelucrare a datelor de origine ar trebui să poată să externalizeze anumite sarcini și să compenseze entități terțe pentru a se conforma obligațiilor prevăzute în prezentul regulament. Clientul nu ar trebui să suporte costurile care decurg din externalizarea serviciilor de către furnizorul de servicii de prelucrare a datelor de origine în cursul procesului de trecere la alt furnizor, iar aceste costuri ar trebui să fie considerate nejustificate, cu excepția cazului în care acoperă lucrările desfășurate de furnizorul de servicii de prelucrare a datelor, la cererea clientului, în vederea acordării de sprijin suplimentar în procesul de trecere la alt furnizor, care depășesc obligațiile furnizorului în materie de trecere de la un furnizor la altul, astfel cum sunt prevăzute în mod expres în prezentul regulament. Nicio dispoziție din prezentul regulament nu împiedică un client să compenseze entități terțe pentru sprijin în cadrul procesului de migrare sau părțile să încheie contracte pentru servicii de prelucrare a datelor cu durată determinată, inclusiv penalizări proporționate de reziliere anticipată pentru a acoperi rezilierea anticipată a unor astfel de contracte, în conformitate cu dreptul Uniunii sau cu dreptul intern. Prin urmare, pentru a stimula concurența, eliminarea treptată a taxelor asociate trecerii de la un furnizor de servicii de prelucrare a datelor la altul ar trebui să includă în mod specific taxele pentru ieșirea datelor prin transfer percepute unui client de către un furnizor de servicii de prelucrare a datelor. Taxele standard respective pentru furnizarea serviciilor de prelucrare a datelor în sine nu reprezintă taxe de trecere la alt furnizor. Respectivele taxe standard pentru servicii nu fac obiectul eliminării și rămân aplicabile până când contractul pentru furnizarea serviciilor conexe încetează să se mai aplice. Prezentul regulament permite clientului să solicite furnizarea de servicii suplimentare care depășesc obligațiile furnizorului în materie de trecere de la un furnizor la altul în temeiul prezentului regulament. Respectivele servicii suplimentare pot fi prestate și facturate de furnizor atunci când sunt prestate la cererea clientului și când clientul este de acord în prealabil cu prețul serviciilor respective.

(90)

Este necesară o abordare normativă a interoperabilității ambițioasă și favorabilă inovării pentru a combate dependența de furnizor, care subminează concurența și dezvoltarea de noi servicii. Interoperabilitatea dintre serviciile de prelucrare a datelor implică multiple interfețe și niveluri de infrastructură și de software și se limitează rareori la un test binar menit să evalueze posibilitatea sau imposibilitatea obținerii acesteia. În schimb, realizarea unei astfel de interoperabilități depinde de efectuarea unei analize cost-beneficiu care este necesară pentru a stabili dacă merită să se încerce obținerea unor rezultate care să fie previzibile în măsura posibilului. ISO/IEC 19941:2017 este un standard internațional important care reprezintă o referință pentru realizarea obiectivelor prezentului regulament, deoarece conține considerații tehnice care clarifică complexitatea unui astfel de proces.

(91)

În cazul în care utilizează la rândul lor, în calitate de clienți, servicii de prelucrare a datelor furnizate de un furnizor terț, furnizorii de servicii de prelucrare a datelor vor beneficia ei înșiși de o mai mare eficacitate a procesului de trecere la alt furnizor, rămânând în același timp supuși obligațiilor din prezentul regulament în ceea ce privește propriile oferte de servicii.

(92)

Furnizorii de servicii de prelucrare a datelor ar trebui să aibă obligația de a oferi toată asistența și tot sprijinul, în limitele capacității lor și proporțional cu obligațiile lor respective, care sunt necesare pentru a asigura succesul, eficacitatea și securitatea procesului de trecere la un serviciu al unui furnizor diferit de servicii de prelucrare a datelor. Prezentul regulament nu le impune furnizorilor de servicii de prelucrare a datelor să dezvolte noi categorii de servicii de prelucrare a datelor, inclusiv în cadrul sau pe baza infrastructurii informatice a unor furnizori diferiți de servicii de prelucrare a datelor, pentru a garanta echivalența funcțională într-un mediu diferit de sistemele proprii. Un furnizor de servicii de prelucrare a datelor de origine nu are acces la mediul furnizorului de servicii de prelucrare a datelor de destinație, nici informații despre acesta. Echivalența funcțională nu ar trebui înțeleasă ca o obligație pentru furnizorul de servicii de prelucrare a datelor de origine de a reconstrui serviciul în cauză în cadrul infrastructurii furnizorului de servicii de prelucrare a datelor de destinație. În schimb, furnizorul de servicii de prelucrare a datelor de origine ar trebui să ia toate măsurile rezonabile care îi stau în putere pentru a facilita procesul de realizare a echivalenței funcționale, furnizând capacități, precum și informații, documentație și asistență tehnică adecvate și, după caz, instrumentele necesare.

(93)

Furnizorii de servicii de prelucrare a datelor ar trebui, de asemenea, să fie obligați să elimine obstacolele existente și să nu impună altele noi, inclusiv pentru clienții care doresc să treacă la o infrastructură TIC locală. Obstacolele pot fi, printre altele, de natură precomercială, comercială, tehnică, contractuală sau organizatorică. Furnizorii de servicii de prelucrare a datelor ar trebui, de asemenea, să aibă obligația de a înlătura obstacolele din calea segregării unui anumit serviciu individual de alte servicii de prelucrare a datelor furnizate în temeiul unui contract și de a face posibilă trecerea la alt furnizor pentru serviciul relevant, dacă nu există obstacole tehnice majore și demonstrate care împiedică o astfel de segregare.

(94)

Pe parcursul procesului de trecere la alt furnizor, ar trebui menținut un nivel ridicat de securitate. Aceasta înseamnă că furnizorul de servicii de prelucrare a datelor de origine ar trebui să extindă nivelul de securitate la care s-a angajat pentru serviciu la toate măsurile tehnice de care furnizorul respectiv este responsabil în timpul procesului de trecere la alt furnizor, cum ar fi conexiunile de rețea sau dispozitivele fizice. Nu ar trebui să se aducă atingere drepturilor existente referitoare la rezilierea contractelor, cum ar fi cele introduse prin Regulamentul (UE) 2016/679 și Directiva (UE) 2019/770 a Parlamentului European și a Consiliului (31). Prezentul regulament nu ar trebui interpretat în sensul că împiedică un furnizor de servicii de prelucrare a datelor să furnizeze clienților săi servicii, caracteristici și funcționalități noi și îmbunătățite sau să concureze cu alți furnizori de servicii de prelucrare a datelor pe această bază.

(95)

Informațiile care trebuie furnizate clientului de către furnizorii de servicii de prelucrare a datelor ar putea să sprijine strategia de ieșire a clientului. Informațiile respective ar trebui să cuprindă procedurile pentru demararea procesului de trecere la un alt serviciu de prelucrare a datelor; formatele de date care pot fi citite automat către care pot fi exportate datele utilizatorului; instrumentele prevăzute pentru exportarea datelor, incluzând interfețele deschise, precum și informații cu privire la compatibilitatea cu standardele armonizate sau specificațiile comune bazate pe specificații deschise de interoperabilitate; informații privind restricțiile și limitările tehnice cunoscute care ar putea avea un impact asupra procesului de trecere la alt furnizor și timpul estimat necesar pentru finalizarea procesului de trecere la alt furnizor.

(96)

Pentru a facilita interoperabilitatea și trecerea de la un serviciu de prelucrare a datelor la altul, utilizatorii și furnizorii de servicii de prelucrare a datelor ar trebui să ia în considerare utilizarea unor instrumente de punere în aplicare și de conformare, în special a celor publicate de Comisie sub forma unui cadru de reglementare al UE privind tehnologia de tip cloud și o orientare privind achizițiile publice de servicii de prelucrare a datelor. În special clauzele contractuale standard sunt benefice deoarece acestea sporesc încrederea în serviciile de prelucrare a datelor, creează o relație mai echilibrată între utilizatori și furnizorii de servicii de prelucrare a datelor și îmbunătățesc securitatea juridică în ceea ce privește condițiile care se aplică în cazul trecerii la alte servicii de prelucrare a datelor. În acest context, utilizatorii și furnizorii de servicii de prelucrare a datelor ar trebui să ia în considerare utilizarea clauzelor contractuale standard sau a altor instrumente de asigurare a conformității prin autoreglementare, cu condiția ca acestea să respecte pe deplin prezentul regulament, elaborate de organismele sau grupurile de experți relevante instituite în temeiul dreptului Uniunii.

(97)

Pentru a facilita trecerea de la un serviciu de prelucrare a datelor la altul, toate părțile implicate, inclusiv furnizorii de servicii de prelucrare a datelor de origine și furnizorii de servicii de prelucrare a datelor de destinație, ar trebui să coopereze cu bună credință pentru a asigura eficacitatea procesului de trecere la alt furnizor și pentru a permite transferul securizat și în timp util al datelor necesare într-un format utilizat în mod curent, care să poată fi citit automat, și prin intermediul unor interfețe deschise, evitându-se totodată perturbările serviciului și menținându-se continuitatea acestuia.

(98)

Serviciile de prelucrare a datelor care se referă la servicii în cazul cărora majoritatea caracteristicilor principale au fost personalizate pentru a răspunde cererilor specifice ale unui client individual sau în cazul cărora toate componentele au fost dezvoltate pentru a răspunde nevoilor unui client individual ar trebui să fie scutite de unele dintre obligațiile aplicabile la trecerea de la un serviciu de prelucrare a datelor la altul. Printre aceste servicii nu ar trebui să se numere serviciile pe care furnizorul de servicii de prelucrare a datelor le oferă la scară comercială largă prin intermediul catalogului său de servicii. Este obligația furnizorului de servicii de prelucrare a datelor de a informa în mod corespunzător clienții potențiali ai unor astfel de servicii, înainte de încheierea unui contract, cu privire la obligațiile prevăzute în prezentul regulament care nu se aplică serviciilor relevante. Nimic nu împiedică furnizorul de servicii de prelucrare a datelor să implementeze în cele din urmă astfel de servicii la scară largă, caz în care furnizorul respectiv ar trebui să respecte toate obligațiile aplicabile trecerii la alt furnizor prevăzute în prezentul regulament.

(99)

În conformitate cu cerința minimă de a permite trecerea de la un furnizor de servicii de prelucrare a datelor la altul, prezentul regulament urmărește, de asemenea, să îmbunătățească interoperabilitatea pentru utilizarea în paralel a mai multor servicii de prelucrare a datelor cu funcționalități complementare. Acest lucru se referă la situațiile în care clienții nu reziliază un contract pentru a trece la un alt furnizor diferit de servicii de prelucrare a datelor, ci utilizează în paralel mai multe servicii ale unor furnizori diferiți, într-un mod interoperabil, pentru a beneficia de funcționalitățile complementare ale diferitelor servicii în cadrul configurației sistemului clientului. Cu toate acestea, este recunoscut faptul că ieșirea datelor prin transfer de la un furnizor de servicii de prelucrare a datelor la un altul pentru a facilita utilizarea în paralel a serviciilor poate fi o activitate continuă, spre deosebire de ieșirea unică a datelor prin transfer necesară în cadrul procesului de trecere la alt furnizor. Furnizorii de servicii de prelucrare a datelor ar trebui, prin urmare, să poată în continuare să impună taxe pentru ieșirea datelor prin transfer, fără a depăși costurile suportate, în scopul unei utilizări în paralel după perioada de trei ani următoare datei intrării în vigoare a prezentului regulament. Acest lucru este important, printre altele, pentru implementarea cu succes a strategiilor multicloud, care le permit clienților să pună în aplicare strategii informatice adaptate exigențelor viitorului și care reduc dependența față de furnizorii individuali de servicii de prelucrare a datelor. Facilitarea unei abordări multicloud pentru clienții serviciilor de prelucrare a datelor poate contribui și la creșterea rezilienței lor operaționale digitale, astfel cum se recunoaște, în ceea ce privește instituțiile de servicii financiare, în Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului (32).

(100)

Este de așteptat ca specificațiile deschise și standardele de interoperabilitate elaborate în conformitate cu anexa II la Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului (33) în domeniul interoperabilității și al portabilității să permită un mediu de cloud cu furnizori multipli, care constituie o cerință esențială pentru inovarea deschisă în economia europeană a datelor. Având în vedere adoptarea limitată pe piață a standardelor identificate în cadrul inițiativei de coordonare a standardizării în domeniul cloud (CSC), care a fost încheiată în 2016, este, de asemenea, necesar ca Comisia să se bazeze pe actorii de pe piață în vederea elaborării de specificații deschise de interoperabilitate relevante pentru a ține pasul cu ritmul rapid al dezvoltării tehnologice din acest sector. Aceste specificații deschise de interoperabilitate pot fi apoi adoptate de Comisie sub forma unor specificații comune. În plus, în cazul în care procesele de piață nu au demonstrat capacitatea de a stabili specificații comune sau standarde care să faciliteze o interoperabilitate eficace în cloud la nivelurile PaaS și SaaS, Comisia ar trebui să fie în măsură, pe baza prezentului regulament și în conformitate cu Regulamentul (UE) nr. 1025/2012, să solicite organismelor europene de standardizare să elaboreze astfel de standarde pentru anumite tipuri de servicii pentru care nu există încă astfel de standarde. Mai mult, Comisia va încuraja actorii de pe piață să elaboreze specificații deschise de interoperabilitate relevante. În urma consultării cu părțile interesate, Comisia ar trebui să poată, prin intermediul actelor de punere în aplicare, să impună utilizarea unor standarde armonizate de interoperabilitate sau a unor specificații comune pentru anumite tipuri de servicii printr-o trimitere inclusă într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor. Furnizorii de servicii de prelucrare a datelor ar trebui să asigure compatibilitatea cu respectivele standarde armonizate și specificații comune bazate pe specificații deschise de interoperabilitate, care nu ar trebui să aibă un impact negativ asupra securității sau integrității datelor. Se va face trimitere la standardele armonizate pentru interoperabilitatea serviciilor de prelucrare a datelor și la specificațiile comune bazate pe specificații deschise de interoperabilitate numai dacă acestea respectă criteriile precizate în prezentul regulament, criterii care au același înțeles precum cerințele din anexa II la Regulamentul (UE) nr. 1025/2012 și aspectele de interoperabilitate definite în standardul internațional ISO/IEC 19941:2017. În plus, standardizarea ar trebui să țină cont de necesitățile IMM-urilor.

(101)

Este posibil ca țările terțe să adopte acte cu putere de lege, norme administrative și alte acte juridice care vizează transferul direct de date fără caracter personal situate în afara granițelor lor, inclusiv în Uniune, și acordarea unui acces direct la acestea pentru administrațiile publice. Hotărârile instanțelor judecătorești sau ale tribunalelor ori deciziile altor autorități judiciare sau administrative, inclusiv ale autorităților de aplicare a legii, din țări terțe, prin care se solicită transferul de date fără caracter personal sau accesul la astfel de date ar trebui să fie executorii atunci când se bazează pe un acord internațional, cum ar fi un tratat de asistență juridică reciprocă în vigoare între țara terță solicitantă și Uniune sau un stat membru. Pot apărea însă și situații în care o cerere de transfer de date fără caracter personal sau de acces la astfel de date care decurge din dreptul unei țări terțe intră în conflict cu o obligație de a proteja aceste date în temeiul dreptului Uniunii sau al dreptului intern al statului membru relevant, în special în ceea ce privește protecția drepturilor fundamentale ale persoanei, cum ar fi dreptul la securitate și dreptul la o cale de atac eficientă, sau cu interesele fundamentale ale unui stat membru legate de securitatea sau apărarea națională, precum și cu protecția datelor sensibile din punct de vedere comercial, inclusiv protecția secretelor comerciale, și protecția drepturilor de proprietate intelectuală, inclusiv angajamentele contractuale privind confidențialitatea în conformitate cu dreptul respectiv. În absența unor acorduri internaționale care să reglementeze astfel de chestiuni, transferul sau accesul la date fără caracter personal ar trebui să se permită numai după ce s-a verificat dacă sistemul juridic al țării terțe prevede stabilirea motivelor și proporționalității deciziei, dacă hotărârea judecătorească sau decizia are caracter specific și dacă obiecția motivată a destinatarului este supusă unei revizuiri de către o instanță sau un tribunal competent din țara terță, care este împuternicită să ia în considerare în mod corespunzător interesele juridice relevante ale furnizorului datelor în chestiune. Ori de câte ori condițiile cererii de acces la date a autorității țării terțe o permit, furnizorul de servicii de prelucrare a datelor ar trebui să poată informa clientul ale cărui date sunt solicitate, înainte de a acorda accesul la datele respective, pentru a verifica dacă există un potențial conflict între accesul respectiv și dreptul Uniunii sau dreptul intern, cum ar fi cel referitor la protecția datelor sensibile din punct de vedere comercial, inclusiv protecția secretelor comerciale, a drepturilor de proprietate intelectuală și a angajamentelor contractuale privind confidențialitatea.

(102)

Pentru promovarea unei mai mari încrederi în date, este important să fie puse în aplicare garanții pentru a asigura controlul asupra propriilor date de către cetățenii Uniunii, organismele din sectorul public și întreprinderile din Uniune, în măsura posibilului. În plus, ar trebui să fie respectate dreptul, valorile și standardele Uniunii în ceea ce privește, printre altele, securitatea, protecția datelor și a vieții private și protecția consumatorilor. În vederea prevenirii accesului ilegal al administrațiilor publice din țările terțe la date fără caracter personal, furnizorii de servicii de prelucrare a datelor care intră sub incidența prezentului regulament, cum ar fi serviciile de cloud și serviciile la marginea rețelei, ar trebui să ia toate măsurile rezonabile pentru a preveni accesul la sistemele în care sunt stocate date fără caracter personal, inclusiv, când este relevant, prin criptarea datelor, supunerea frecventă la audituri, respectarea verificată a unor sisteme relevante de certificare a securității și modificarea politicilor de întreprindere.

(103)

Standardizarea și interoperabilitatea semantică ar trebui să joace un rol esențial în furnizarea de soluții tehnice pentru asigurarea interoperabilității în și între spațiile europene comune ale datelor, care sunt cadre interoperabile specifice fiecărui scop sau fiecărui sector ori transsectoriale pentru standarde și practici comune pentru partajarea sau prelucrarea în comun a datelor, printre altele, pentru dezvoltarea de noi produse și servicii, pentru cercetarea științifică sau pentru inițiative ale societății civile. Prezentul regulament stabilește anumite cerințe esențiale privind interoperabilitatea. Participanții la spațiile de date care oferă servicii de date altor participanți, care sunt entități ce facilitează partajarea de date sau participă la aceasta în cadrul spațiilor europene comune ale datelor, inclusiv deținătorii de date, ar trebui să respecte cerințele respective în ceea ce privește elementele care se află sub controlul lor. Respectarea respectivelor norme poate fi asigurată prin îndeplinirea cerințelor esențiale stabilite în prezentul regulament sau prezumată prin respectarea standardelor armonizate sau a specificațiilor comune pe baza unei prezumții de conformitate. Pentru a se facilita conformitatea cu cerințele de interoperabilitate, este necesar să se prevadă o prezumție de conformitate în cazul soluțiilor de interoperabilitate care îndeplinesc standarde armonizate sau părți din acestea în conformitate cu Regulamentul (UE) nr. 1025/2012, care reprezintă cadrul implicit pentru elaborarea de standarde care să prevadă astfel de prezumții. Comisia ar trebui să evalueze barierele din calea interoperabilității și să acorde prioritate nevoilor în materie de standardizare, pe baza cărora poate solicita uneia sau mai multor organizații de standardizare europene, în temeiul Regulamentului (UE) nr. 1025/2012, să elaboreze standarde armonizate care să îndeplinească cerințele esențiale prevăzute în prezentul regulament. În cazul în care astfel de solicitări nu au ca rezultat standarde armonizate sau atunci când aceste standarde armonizate sunt insuficiente pentru a asigura conformitatea cu cerințele esențiale din prezentul regulament, Comisia ar trebui să poată adopta specificații comune în respectivele domenii, cu condiția ca, în acest demers, să respecte în mod corespunzător rolul și funcțiile organizațiilor de standardizare. Adoptarea de specificații comune ar trebui să aibă loc doar ca soluție de rezervă excepțională pentru a facilita respectarea cerințelor esențiale din prezentul regulament sau atunci când procesul de standardizare este blocat, sau când există întârzieri în ceea ce privește stabilirea de standarde armonizate adecvate. În cazul în care o întârziere se datorează complexității tehnice a standardului în cauză, Comisia ar trebui să ia în considerare acest aspect înainte de a avea în vedere stabilirea unor specificații comune. Specificațiile comune ar trebui să fie elaborate într-un mod deschis și incluziv și ar trebui să țină seama, dacă este cazul, de avizul Comitetului european pentru inovare în domeniul datelor (EDIB) înființat prin Regulamentul (UE) 2022/868. În plus, ar putea să fie adoptate specificații comune în diferitele sectoare, în conformitate cu dreptul sectorial al Uniunii sau cu dreptul sectorial intern, pe baza nevoilor specifice ale sectoarelor respective. Mai mult, Comisia ar trebui să aibă posibilitatea de a dispune elaborarea unor standarde armonizate de interoperabilitate a serviciilor de prelucrare a datelor.

(104)

Pentru a se promova interoperabilitatea instrumentelor de executare automată a acordurilor de partajare de date, este necesar să se stabilească cerințe esențiale referitoare la contractele inteligente pe care profesioniștii le creează pentru alții sau pe care le integrează în aplicații care sprijină punerea în aplicare a acordurilor de partajare de date. Pentru a se facilita conformitatea unor astfel de contracte inteligente cu respectivele cerințe esențiale, este necesar să se prevadă o prezumție de conformitate în cazul contractelor inteligente care îndeplinesc standarde armonizate sau părți din acestea în conformitate cu Regulamentul (UE) nr. 1025/2012. Noțiunea de „contract inteligent” din prezentul regulament este neutră din punct de vedere tehnologic. De exemplu, contractele inteligente pot fi conectate la un registru electronic. Cerințele esențiale ar trebui să se aplice numai vânzătorilor de contracte inteligente, cu excepția cazului în care aceștia elaborează contracte inteligente la nivel intern exclusiv pentru uzul intern. Cerința esențială de a se asigura faptul că contractele inteligente pot fi întrerupte și reziliate implică consimțământul reciproc al părților la acordul de partajare de date. Utilizarea contractelor inteligente pentru executarea automată a acordurilor de partajare de date nu aduce atingere sau nu ar trebui să aducă atingere aplicabilității normelor relevante ale dreptului civil, ale dreptului contractual și ale dreptului în materie de protecție a consumatorilor în cazul acestor acorduri.

(105)

Pentru a demonstra îndeplinirea cerințelor esențiale ale prezentului regulament, vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, activitate economică sau profesie implică implementarea unor contracte inteligente pentru terți în contextul executării unui acord, sau a unei părți a acestuia, de punere la dispoziție de date în contextul prezentului regulament, ar trebui să efectueze o evaluare a conformității și să emită o declarație de conformitate UE. O astfel de evaluare a conformității ar trebui să fie supusă principiilor generale prevăzute în Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (34) și în Decizia (CE) nr. 768/2008 a Parlamentului European și a Consiliului (35).

(106)

Pe lângă obligația dezvoltatorilor profesioniști de contracte inteligente de a respecta cerințele esențiale, este, de asemenea, important să se încurajeze participanții din cadrul spațiilor de date care oferă date sau servicii bazate pe date altor participanți în și între spațiile europene comune ale datelor să sprijine interoperabilitatea instrumentelor pentru partajarea de date, inclusiv a contractelor inteligente.

(107)

Pentru a asigura aplicarea și asigurarea respectării prezentului regulament, statele membre ar trebui să desemneze una sau mai multe autorități competente. Dacă un stat membru desemnează mai multe autorități competente, statul membru respectiv ar trebui să desemneze în rândul acestora și un coordonator de date. Autoritățile competente ar trebui să coopereze între ele. Prin exercitarea competențelor lor de investigare în conformitate cu procedurile naționale aplicabile, autoritățile competente ar trebui să fie în măsură să caute și să obțină informații, în special în legătură cu activitățile entităților aflate în sfera lor de competență și, inclusiv în contextul investigațiilor comune, ținând seama în mod corespunzător de faptul că măsurile de supraveghere și de asigurare a respectării legii referitoare la o entitate aflată în sfera de competență a unui alt stat membru ar trebui să fie adoptate de autoritatea competentă a celuilalt stat membru, după caz, în conformitate cu procedurile privind cooperarea transfrontalieră. Autoritățile competente ar trebui să își acorde reciproc asistență în timp util, în special atunci când o autoritate competentă dintr-un stat membru deține informații relevante pentru o investigație efectuată de autoritățile competente din alte state membre sau este în măsură să colecteze astfel de informații la care nu au acces autoritățile competente din statul membru în care este stabilită entitatea. Autoritățile competente și coordonatorii de date ar trebui identificați în registrul public ținut de Comisie. Coordonatorul de date ar putea fi un mijloc suplimentar de facilitare a cooperării în situații transfrontaliere, de exemplu atunci când o autoritate competentă dintr-un anumit stat membru nu știe cărei autorități ar trebui să se adreseze în statul membru al coordonatorului de date, de pildă atunci când cazul se referă la mai multe autorități competente sau sectoare. Coordonatorul de date ar trebui, printre altele, să acționeze ca punct unic de contact pentru toate aspectele legate de aplicarea prezentului regulament. În cazul în care nu a fost desemnat niciun coordonator de date, autoritatea competentă ar trebui să își asume sarcinile atribuite coordonatorului de date în temeiul prezentului regulament. Autoritățile responsabile cu supravegherea respectării protecției datelor și autoritățile competente desemnate în temeiul dreptului Uniunii sau al dreptului intern ar trebui să fie responsabile pentru aplicarea prezentului regulament în domeniile lor de competență. Pentru a se evita conflictele de interese, autoritățile competente responsabile cu aplicarea și asigurarea respectării prezentului regulament în domeniul punerii la dispoziție a datelor în urma unei cereri introduse pe baza unei nevoi excepționale nu ar trebui să beneficieze de dreptul de a introduce o astfel de cerere.

(108)

Pentru a-și exercita drepturile prevăzute în prezentul regulament, persoanele fizice și juridice ar trebui să aibă dreptul de a introduce o cale de atac în cazul în care le sunt încălcate drepturile prevăzute în prezentul regulament, prin depunerea de plângeri. Coordonatorul de date ar trebui, la cerere, să furnizeze persoanelor fizice și juridice toate informațiile necesare pentru a-și depune plângerile la autoritatea competentă corespunzătoare. Respectivele autorități ar trebui să fie obligate să coopereze pentru a asigura că plângerile sunt tratate în mod corespunzător și soluționate în mod eficace și în timp util. Pentru a se putea recurge la mecanismul rețelei de cooperare în materie de protecție a consumatorilor și pentru a se crea posibilitatea unor acțiuni în reprezentare, prin prezentul regulament se modifică anexele la Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului (36) și Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului (37).

(109)

Autoritățile competente ar trebui să se asigure că încălcările obligațiilor prevăzute în prezentul regulament fac obiectul unor sancțiuni. Sancțiunile respective ar putea include sancțiuni financiare, avertismente, mustrări sau ordine vizând asigurarea conformității practicilor comerciale cu obligațiile impuse de prezentul regulament. Sancțiunile stabilite de statele membre ar trebui să fie efective, proporționale și disuasive și ar trebui să țină seama de recomandările EDIB, contribuind astfel la atingerea celui mai înalt nivel posibil de consecvență în ceea ce privește stabilirea și aplicarea sancțiunilor. După caz, autoritățile competente ar trebui să recurgă la măsuri provizorii pentru a limita efectele unei presupuse încălcări în timp ce ancheta privind încălcarea respectivă este în curs de desfășurare. În acest sens, autoritățile ar trebui să țină seama, printre altele, de natura, gravitatea, amploarea și durata încălcării, având în vedere interesul public în cauză, raza de acțiune și tipul activităților desfășurate, precum și capacitatea economică a autorului încălcării. Autoritățile ar trebui să țină seama, de asemenea, de caracterul sistematic sau recurent al neîndeplinirii de către autorul încălcării a obligațiilor care îi revin în temeiul prezentului regulament. Pentru a asigura respectarea principiului ne bis in idem si, în special, pentru a evita ca aceeași încălcare a obligațiilor prevăzute în prezentul regulament să fie sancționată de mai multe ori, un stat membru care intenționează să își exercite competența cu privire la autorul unei încălcări care nu este stabilit în Uniune și nici nu a desemnat un reprezentant legal în Uniune ar trebui, fără întârzieri nejustificate, să informeze toți coordonatorii de date, precum și Comisia.

(110)

EDIB ar trebui să consilieze și să asiste Comisia în ceea ce privește coordonarea practicilor și politicilor naționale cu privire la subiectele vizate de prezentul regulament, precum și în ceea ce privește îndeplinirea obiectivelor sale în legătură cu standardizarea tehnică pentru sporirea interoperabilității. Acesta ar trebui, de asemenea, să joace un rol esențial în facilitarea unor discuții ample între autoritățile competente cu privire la aplicarea și asigurarea respectării prezentului regulament. Respectivul schimb de informații este menit să îmbunătățească accesul efectiv la justiție, precum și cooperarea în materie de asigurare a respectării legii și cooperarea judiciară în întreaga Uniune. Printre alte funcții, EDIB ar trebui utilizat de autoritățile competente ca platformă pentru a evalua, a coordona și a adopta recomandări privind stabilirea de sancțiuni pentru încălcarea prezentului regulament. Acesta ar trebui să permită autorităților competente, cu ajutorul Comisiei, să coordoneze abordarea optimă în ceea ce privește stabilirea și impunerea unor astfel de sancțiuni. Respectiva abordare previne fragmentarea, permițându-le în același timp statelor membre să fie flexibile, și ar trebui să conducă la recomandări eficace care să sprijine aplicarea consecventă a prezentului regulament. EDIB ar trebui, de asemenea, să aibă un rol consultativ în procesele de standardizare și în adoptarea de specificații comune prin intermediul unor acte de punere în aplicare, în adoptarea de acte delegate care să stabilească un mecanism de monitorizare a taxelor de trecere la alt furnizor impuse de furnizorii de servicii de prelucrare a datelor și în scopul detalierii cerințelor esențiale de interoperabilitate a datelor, a mecanismelor și serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor. Comitetul ar trebui, de asemenea, să consilieze și să asiste Comisia în ceea ce privește adoptarea orientărilor privind stabilirea specificațiilor de interoperabilitate pentru funcționarea spațiilor europene comune ale datelor.

(111)

Pentru a ajuta întreprinderile să redacteze și să negocieze contracte, Comisia ar trebui să elaboreze și să recomande modele de clauze contractuale fără caracter obligatoriu pentru contractele de partajare de date între întreprinderi, ținând seama, când este necesar, de condițiile din diferitele sectoare și de practicile existente în materie de mecanisme voluntare de partajare de date. Respectivele modele de clauze contractuale ar trebui să constituie, în primul rând, un instrument practic care să ajute în special IMM-urile să încheie un contract. Când sunt utilizate pe scară largă și în mod integrat, respectivele modele de clauze contractuale ar trebui să aibă și efectul benefic de a influența modul în care sunt concepute contractele de acces la date și de utilizare a acestora și, prin urmare, să conducă, în sens mai larg, la relații contractuale mai echitabile atunci când se accesează și se partajează date.

(112)

Pentru a se elimina riscul ca deținătorii datelor din baze de date obținute sau generate prin intermediul unor componente fizice, cum ar fi senzorii, ai unui produs conectat și ai unui serviciu conex sau ai altor date generate automat, să invoce dreptul sui generis prevăzut la articolul 7 din Directiva 96/9/CE, împiedicând astfel, în special, exercitarea efectivă a dreptului utilizatorilor de a accesa și utiliza date și a dreptului de a partaja date cu terți, astfel cum sunt prevăzute în prezentul regulament, ar trebui să se clarifice faptul că dreptul sui generis nu se aplică în cazul unor astfel de baze de date. Acest lucru nu aduce atingere eventualei aplicări a dreptului sui generis în temeiul articolului 7 din Directiva 96/9/CE în cazul bazelor de date care conțin date ce nu intră în domeniul de aplicare al prezentului regulament, cu condiția ca cerințele de protecție în temeiul alineatului (1) de la articolul respectiv să fie îndeplinite.

(113)

Pentru a se ține seama de aspectele tehnice ale serviciilor de prelucrare a datelor, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei pentru a completa prezentul regulament în vederea instituirii unui mecanism de monitorizare a taxelor de trecere la alt furnizor impuse pe piață de furnizorii de servicii de prelucrare a datelor și a detalierii cerințelor esențiale de interoperabilitate pentru participanții la spațiile de date care oferă date sau servicii de date altor participanți. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (38). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(114)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, ar trebui conferite Comisiei competențe de executare în ceea ce privește adoptarea de specificații comune pentru a asigura interoperabilitatea datelor, a mecanismelor de partajare a datelor și a serviciilor, precum și a spațiilor europene comune ale datelor, de specificații comune pentru interoperabilitatea serviciilor de prelucrare a datelor, și de specificații comune privind interoperabilitatea contractelor inteligente. Ar trebui conferite Comisiei competențe de executare și pentru publicarea trimiterilor la standardele armonizate și specificațiile comune pentru interoperabilitatea serviciilor de prelucrare a datelor într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (39).

(115)

Prezentul regulament nu ar trebui să aducă atingere normelor care abordează nevoi specifice sectoarelor individuale sau domeniilor de interes public. Astfel de norme pot include cerințe suplimentare privind aspectele tehnice ale accesului la date, cum ar fi interfețele pentru accesul la date, sau modul în care ar putea fi asigurat accesul la date, de exemplu direct din produs sau prin intermediul serviciilor de intermediere de date. Astfel de norme pot include, de asemenea, limitări ale drepturilor deținătorilor de date de a accesa sau utiliza datele utilizatorilor sau alte aspecte care depășesc sfera accesului la date și a utilizării acestora, cum ar fi aspectele de guvernanță sau cerințele în materie de securitate, inclusiv cerințele în materie de securitate cibernetică. Prezentul regulament nu ar trebui să aducă atingere nici unor norme mai specifice în contextul dezvoltării spațiilor europene comune ale datelor sau, sub rezerva excepțiilor prevăzute de prezentul regulament, dreptului Uniunii și dreptului intern care prevăd accesul la date și autorizarea utilizării acestora în scopuri legate de cercetarea științifică.

(116)

Prezentul regulament nu ar trebui să aducă atingere aplicării normelor în materie de concurență, în special articolelor 101 și 102 din TFUE. Măsurile prevăzute în prezentul regulament nu ar trebui să fie utilizate pentru a restrânge concurența într-un mod care să contravină TFUE.

(117)

Pentru a se permite actorilor care intră în domeniul de aplicare al prezentului regulament să se adapteze la noile norme prevăzute în acesta și să ia măsurile tehnice necesare, normele respective ar trebui să se aplice de la 12 septembrie 2025.

(118)

Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 alineatele (1) și (2) din Regulamentul (UE) 2018/1725 și au emis avizul lor la 4 mai 2022.

(119)

Întrucât obiectivele prezentului regulament, și anume asigurarea unei alocări echitabile a valorii datelor între actorii din economia datelor și încurajarea accesului la date și utilizarea datelor pentru a contribui la crearea unei veritabile piețe interne pentru date, nu pot fi realizate în mod satisfăcător de către statele membre, dar, având în vedere amploarea sau efectele acțiunii și utilizarea transfrontalieră a datelor, acestea pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivelor respective,