EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32023R2854

Regulamentul (UE) 2023/2854 al Parlamentului European și al Consiliului din 13 decembrie 2023 privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora și de modificare a Regulamentului (UE) 2017/2394 și a Directivei (UE) 2020/1828 (Regulamentul privind datele)

PE/49/2023/REV/1

OJ L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

European flag

Jurnalul Ofícial
al Uniunii Europene

RO

Seria L


2023/2854

22.12.2023

REGULAMENTUL (UE) 2023/2854 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

din 13 decembrie 2023

privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora și de modificare a Regulamentului (UE) 2017/2394 și a Directivei (UE) 2020/1828 (Regulamentul privind datele)

(Text cu relevanță pentru SEE)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 114,

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Băncii Centrale Europene (1),

având în vedere avizul Comitetului Economic și Social European (2),

având în vedere avizul Comitetului Regiunilor (3),

hotărând în conformitate cu procedura legislativă ordinară (4),

întrucât:

(1)

În ultimii ani, tehnologiile bazate pe date au efecte de transformare asupra tuturor sectoarelor economiei. Volumul și valoarea potențială a datelor pentru consumatori, întreprinderi și societate au crescut în special ca urmare a proliferării produselor conectate la internet. Existența unor date de înaltă calitate și interoperabile din diferite domenii sporește competitivitatea și inovarea și asigură o creștere economică durabilă. Aceleași date pot fi utilizate și reutilizate într-o multitudine de scopuri și în mod nelimitat, fără nicio pierdere a calității sau a cantității.

(2)

Barierele existente în calea partajării de date împiedică alocarea optimă a datelor în beneficiul societății. Printre respectivele bariere se numără faptul că deținătorii de date nu sunt stimulați să încheie în mod voluntar acorduri de partajare de date, insecuritatea în ceea ce privește drepturile și obligațiile legate de date, costurile de contractare și de implementare a interfețelor tehnice, nivelul ridicat de fragmentare a informațiilor în silozuri de date, gestionarea necorespunzătoare a metadatelor, absența unor standarde de interoperabilitate semantică și tehnică, blocajele care împiedică accesul la date, lipsa unor practici comune de partajare de date și utilizarea abuzivă a dezechilibrelor contractuale în ceea ce privește accesul la date și utilizarea acestora.

(3)

În sectoarele caracterizate de prezența microîntreprinderilor, a întreprinderilor mici și a întreprinderilor mijlocii, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (5) (IMM-uri), există adesea o lipsă de capacități și competențe digitale pentru colectarea, analizarea și utilizarea datelor, iar accesul este frecvent restricționat când datele sunt deținute în sistem de un singur actor sau când nu există interoperabilitate între date, între serviciile de date sau la nivel transfrontalier.

(4)

Pentru satisfacerea nevoilor economiei digitale și pentru eliminarea barierelor din calea unei piețe interne a datelor cu o funcționare corespunzătoare, este necesar să se stabilească un cadru armonizat în care să se precizeze cine are dreptul să utilizeze datele referitoare la produse sau date referitoare la serviciile conexe, în ce condiții și pe ce temei. În consecință, statele membre nu ar trebui să adopte sau să mențină cerințe naționale suplimentare în privința chestiunilor care intră în domeniul de aplicare al prezentului regulament, dacă nu se prevede explicit în acesta, deoarece astfel s-ar afecta aplicarea sa directă și uniformă. În plus, acțiunea la nivelul Uniunii nu ar trebui să aducă atingere obligațiilor și angajamentelor prevăzute în acordurile comerciale internaționale încheiate de Uniune.

(5)

Prin prezentul regulament se asigură că utilizatorii unui produs conectat sau ai unui serviciu conex din Uniune pot accesa, în timp util, datele generate prin utilizarea produsului conectat sau serviciului conex în cauză și că utilizatorii respectivi pot utiliza datele, inclusiv prin partajarea acestora cu terți aleși de ei. În prezentul regulament se prevede obligația deținătorilor de date de a pune datele la dispoziția utilizatorilor și a terților aleși de utilizator în anumite circumstanțe. Prin prezentul regulament se asigură, de asemenea, că deținătorii de date pun datele la dispoziția destinatarilor datelor din Uniune conform unor clauze și condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent. Normele de drept privat sunt esențiale în cadrul general al partajării de date. Prin urmare, prezentul regulament adaptează normele din dreptul contractelor și previne exploatarea dezechilibrelor contractuale care împiedică accesul echitabil la date și utilizarea corectă a acestora. Prin prezentul regulament se asigură, de asemenea, că, în cazul în care există o nevoie excepțională, deținătorii de date pun la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organelor Uniunii datele necesare pentru îndeplinirea unei sarcini specifice de interes public. În plus, prin prezentul regulament se urmăresc facilitarea trecerii de la un serviciu de prelucrare a datelor la altul și consolidarea interoperabilității datelor și a mecanismelor și serviciilor de partajare de date în Uniune. Prezentul regulament nu ar trebui interpretat în sensul că recunoaște sau că le conferă deținătorilor de date vreun drept nou de a utiliza date generate prin utilizarea unui produs conectat sau a unui serviciu conex.

(6)

Generarea de date este rezultatul acțiunilor a cel puțin doi actori, în special proiectantul sau fabricantul unui produs conectat, care în anumite cazuri poate fi totodată un furnizor de servicii conexe, și utilizatorul produsului conectat sau al serviciului conex. Apar astfel întrebări legate de echitate în economia digitală, întrucât datele înregistrate de produsele conectate sau serviciile conexe reprezintă o contribuție importantă pentru serviciile post-vânzare, auxiliare și de altă natură. Pentru a se realiza beneficiile economice importante ale datelor, inclusiv prin partajarea datelor pe baza unor acorduri voluntare și dezvoltarea creării de valoare bazate pe date de către întreprinderile din Uniune, în locul acordării de drepturi exclusive de acces și utilizare este preferabilă o abordare generală privind atribuirea drepturilor legate de acces la date și de utilizarea datelor. Prezentul regulament prevede norme orizontale care ar putea fi urmate de dreptul Uniunii sau de dreptul intern care abordează situațiile specifice ale sectoarelor relevante.

(7)

Dreptul fundamental la protecția datelor cu caracter personal este protejat în special prin Regulamentele (UE) 2016/679 (6) și (UE) 2018/1725 (7) ale Parlamentului European și ale Consiliului. Viața privată și confidențialitatea comunicațiilor sunt protejate în plus prin Directiva 2002/58/CE a Parlamentului European și a Consiliului (8), inclusiv prin condiții prevăzute pentru orice stocare de date cu și fără caracter personal în echipamentele terminale și pentru orice acces la acestea. Respectivele acte legislative ale Uniunii oferă baza pentru o prelucrare sustenabilă și responsabilă a datelor, inclusiv în cazul în care seturile de date conțin o combinație de date cu și fără caracter personal. Prezentul regulament completează, fără a-i aduce atingere, dreptul Uniunii în materie de protecție a datelor personale și a vieții private, în special Regulamentele (UE) 2016/679 și (UE) 2018/1725 și Directiva 2002/58/CE. Nicio dispoziție a prezentului regulament nu ar trebui să fie aplicată sau interpretată în sensul diminuării sau limitării dreptului la protecția datelor cu caracter personal sau a dreptului la viață privată și la confidențialitatea comunicațiilor. Orice prelucrare a datelor cu caracter personal în temeiul prezentului regulament ar trebui să respecte dreptul Uniunii în domeniul protecției datelor, inclusiv necesitatea unui temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, după caz, condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE. Prezentul regulament nu constituie un temei juridic pentru colectarea sau generarea de către deținătorul de date a unor date cu caracter personal. Prezentul regulament impune deținătorilor de date obligația de a pune datele cu caracter personal la dispoziția utilizatorilor sau a terților aleși de un utilizator, la cererea utilizatorului respectiv. Accesul respectiv ar trebui acordat pentru datele cu caracter personal prelucrate de deținătorul de date în conformitate cu oricare dintre temeiurile juridice menționate la articolul 6 din Regulamentul (UE) 2016/679. În cazul în care utilizatorul nu este persoana vizată, prezentul regulament nu instituie un temei juridic pentru oferirea accesului la date cu caracter personal sau pentru punerea datelor cu caracter personal la dispoziția unui terț și nu ar trebui înțeles în sensul că îi conferă deținătorului de date vreun drept nou de a utiliza date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex. În aceste cazuri, facilitarea respectării cerințelor articolului 6 din Regulamentul (UE) 2016/679 ar putea fi în interesul utilizatorului. Întrucât prezentul regulament nu ar trebui să afecteze drepturile în materie de protecție a datelor ale persoanelor vizate, deținătorul de date poate da curs cererilor în aceste cazuri, printre altele, prin anonimizarea datelor cu caracter personal sau, în cazul în care datele ușor accesibile conțin date cu caracter personal ale mai multor persoane vizate, prin transmiterea doar a datelor cu caracter personal referitoare la utilizator.

(8)

Principiul reducerii la minimum a datelor și principiul protecției datelor începând cu momentul conceperii și în mod implicit sunt esențiale atunci când prelucrarea implică riscuri semnificative pentru drepturile fundamentale ale persoanelor. Ținând seama de stadiul actual al tehnologiei, toate părțile la partajarea de date, inclusiv partajarea de date care intră în domeniul de aplicare al prezentului regulament, ar trebui să pună în aplicare măsuri tehnice și organizatorice pentru protejarea respectivelor drepturi. Astfel de măsuri cuprind nu doar pseudonimizarea și criptarea, ci și utilizarea unei tehnologii tot mai accesibile care permite introducerea de algoritmi în date și derivarea de informații valoroase fără transmitere între părți ori copiere inutilă a datelor brute sau structurate în sine.

(9)

Cu excepția cazului în care se prevede altfel în prezentul regulament, acesta nu afectează dispozițiile din dreptul contractelor prevăzute la nivel național, inclusiv normele privind încheierea, valabilitatea sau efectul contractelor, sau consecințele rezilierii unui contract. Prezentul regulament completează și nu aduce atingere dreptului Uniunii care vizează promovarea intereselor consumatorilor și asigurarea unui nivel ridicat de protecție a consumatorilor, precum și protejarea sănătății, siguranței și intereselor economice ale consumatorilor, în special Directivei 93/13/CEE a Consiliului (9) și Directivelor 2005/29/CE (10) și 2011/83/UE (11) ale Parlamentului European și ale Consiliului.

(10)

Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd partajarea de date, accesul la date și utilizarea de date în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor ori în scopuri vamale sau fiscale, indiferent de dispoziția din Tratatul privind funcționarea Uniunii Europene (TFUE) în temeiul căreia astfel de acte juridice ale Uniunii au fost adoptate, și nici cooperării internaționale în domeniul respectiv, în special pe baza Convenției Consiliului Europei privind criminalitatea informatică (CETS nr. 185), adoptată la Budapesta la 23 noiembrie 2001. Printre aceste acte se numără Regulamentele (UE) 2021/784 (12), (UE) 2022/2065 (13) și (UE) 2023/1543 (14) ale Parlamentului European și ale Consiliului și Directiva (UE) 2023/1544 a Parlamentului European și a Consiliului (15). Prezentul regulament nu se aplică colectării de date, partajării de date, accesului la date sau utilizării datelor în temeiul Regulamentului (UE) 2015/847 al Parlamentului European și al Consiliului (16) și al Directivei (UE) 2015/849 a Parlamentului European și a Consiliului (17). Prezentul regulament nu se aplică în domeniile care nu sunt reglementate de dreptul Uniunii și nu aduce în niciun caz atingere competențelor statelor membre în materie de siguranță publică, apărare sau securitate națională, administrație vamală și fiscală sau de sănătate și siguranță a cetățenilor, indiferent de tipul de entitate însărcinată de statele membre să îndeplinească sarcini în legătură cu competențele respective.

(11)

Actele legislative ale Uniunii prin care sunt stabilite cerințe în materie de proiectare fizică și de date pentru produsele care urmează să fie introduse pe piața Uniunii nu ar trebui să fie afectate de prezentul regulament, cu excepția cazului în care acesta conține dispoziții explicite în acest sens.

(12)

Prezentul regulament completează actele legislative ale Uniunii care vizează stabilirea unor cerințe de accesibilitate pentru anumite produse și servicii, în special Directiva (UE) 2019/882 a Parlamentului European și a Consiliului, fără a le aduce atingere (18).

(13)

Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd protecția drepturilor de proprietate intelectuală, printre care Directivele 2001/29/CE (19), 2004/48/CE (20) și (UE) 2019/790 (21) ale Parlamentului European și ale Consiliului.

(14)

Produsele conectate care obțin, generează sau colectează, prin intermediul componentelor sau al sistemelor lor de operare, date privind propria lor performanță, utilizare sau mediu și care au capacitatea de a comunica datele respective printr-un serviciu de comunicații electronice, printr-o conexiune fizică sau prin intermediul accesului de pe dispozitiv, denumit adesea internetul obiectelor, ar trebui să intre în domeniul de aplicare al prezentului regulament, cu excepția prototipurilor. Exemple de astfel de servicii de comunicații electronice includ, în special, rețelele de telefonie terestre, rețelele de televiziune prin cablu, rețelele prin satelit și rețelele de comunicare în câmp apropiat. Produsele conectate se regăsesc în toate aspectele economiei și societății, inclusiv în infrastructura privată, civilă sau comercială, în vehicule, dispozitive pentru sănătate și starea de bine, nave, aeronave, echipamente menajere și bunuri de consum, dispozitive medicale și de sănătate sau utilajele agricole și industriale. Opțiunile fabricanților în materie de proiectare și, după caz dreptul Uniunii sau dreptul intern care abordează nevoile sectoriale specifice și obiectivele sau deciziile relevante ale autorităților competente ar trebui să determine care sunt datele pe care un produs conectat are capacitatea de a le furniza.

(15)

Datele reprezintă digitizarea acțiunilor și evenimentelor utilizatorilor și ar trebui să poată fi accesate în consecință de către aceștia. Normele privind accesarea și utilizarea datelor provenite de la produsele conectate și serviciile conexe în temeiul prezentului regulament se referă atât la datele referitoare la produs, cât și la datele referitoare la serviciul conex. Datele referitoare la produs se referă la datele generate prin utilizarea unui produs conectat, pe care fabricantul le-a proiectat astfel încât să poată fi extrase din produsul conectat de către un utilizator, un deținător de date sau un terț, inclusiv, după caz, de către fabricant. Datele referitoare la serviciul conex se referă la datele, care reprezintă totodată digitizarea acțiunilor și evenimentelor utilizatorilor legate de produsul conectat, generate în timpul furnizării unui serviciu conex de către furnizor. Datele generate prin utilizarea unui produs conectat sau a unui serviciu conex ar trebui înțelese ca incluzând datele înregistrate intenționat sau datele care rezultă indirect din acțiunea utilizatorului, cum ar fi datele privind mediul sau interacțiunile produsului conectat. Aceste date ar trebui să includă datele privind utilizarea unui produs conectat generate de o interfață cu utilizatorul sau de un serviciu conex și nu ar trebui să se limiteze la informațiile care arată că o astfel de utilizare a avut loc, ci ar trebui să includă toate datele pe care produsul conectat le generează ca urmare a utilizării respective, cum ar fi datele generate automat de senzori și datele înregistrate de aplicațiile integrate, inclusiv aplicațiile care indică starea hardware și defecțiunile. Aceste date ar trebui să includă, de asemenea, datele generate de produsul conectat sau de serviciul conex în perioadele în care utilizatorul este inactiv, de exemplu atunci când utilizatorul optează nu utilizeze un produs conectat o anumită perioadă și, în schimb, să îl păstreze în modul stand-by sau chiar oprit, deoarece starea unui produs conectat sau a componentelor sale, de exemplu bateriile sale, poate fi diferită atunci când produsul conectat se află în modul stand-by sau este oprit. Datele care nu sunt modificate substanțial, adică datele în formă brută, cunoscute și ca date sursă sau date primare care se referă la punctele de date generate automat fără nicio altă formă de prelucrare, precum și datele care au fost prelucrate în prealabil pentru a deveni inteligibile și utilizabile înainte de a face obiectul prelucrării și analizei ulterioare intră în domeniul de aplicare al prezentului regulament. Aceste date includ datele colectate de la un singur senzor sau de la un grup conectat de senzori, cu scopul de a face ca datele colectate să fie ușor de înțeles pentru o gamă mai largă de cazuri de utilizare, prin determinarea cantității sau a calității fizice sau a modificării unei cantități fizice, cum ar fi temperatura, presiunea, debitul, volumul sonor, valoarea pH-ului, nivelul lichidului, poziția, accelerația sau viteza. Termenul „date prelucrate în prealabil” nu ar trebui interpretat în sensul că ar impune deținătorului de date obligația de a face investiții substanțiale în curățarea și transformarea datelor. Datele care urmează să fie puse la dispoziție ar trebui să includă metadatele relevante, inclusiv contextul lor de bază și marca lor temporală, pentru a face datele utilizabile, combinate cu alte date, cum ar fi datele sortate și clasificate cu alte puncte de date care se referă la ele, sau reformatate într-un format utilizat în mod obișnuit. Astfel de date au potențialul de a fi valoroase pentru utilizator și sprijină activitatea de inovare și dezvoltarea serviciilor digitale și a altor servicii, pentru a proteja mediul, sănătatea și economia circulară, inclusiv prin facilitarea întreținerii și a reparării produselor conectate în cauză. În schimb, informațiile deduse sau derivate din astfel de date, care reprezintă rezultatul unor investiții suplimentare în atribuirea de valori sau de informații oferite de date, în special prin intermediul unor algoritmi brevetați și complecși, inclusiv cei care fac parte dintr-un software brevetat, nu ar trebui să fie considerate ca intrând în domeniul de aplicare al prezentului regulament și, prin urmare, nu ar trebui să fie supuse obligației deținătorului de date de a le pune la dispoziția unui utilizator de date sau a unui destinatar al datelor, cu excepția cazului în care utilizatorul și deținătorul de date convin altfel. Aceste date ar putea să includă, în special, informațiile derivate în urma fuziunii senzoriale, care deduce sau derivă date de la mai mulți senzori, colectate în produsul conectat prin utilizarea unor algoritmi complecși și brevetați care ar putea face obiectul unor drepturi de proprietate intelectuală.

(16)

Prezentul regulament permite utilizatorilor de produse conectate să beneficieze de servicii post-vânzare, auxiliare și de altă natură pe baza datelor colectate de senzorii integrați în astfel de produse, colectarea respectivelor date având o valoare potențială pentru îmbunătățirea performanței produselor conectate. Este important să se delimiteze, pe de o parte, piețele pentru furnizarea unor astfel de produse conectate echipate cu senzori și a serviciilor conexe și, pe de altă parte, piețele neafiliate de software și de conținut, cum ar fi conținutul textual, audio sau audiovizual, acestea făcând adesea obiectul unor drepturi de proprietate intelectuală. Prin urmare, datele pe care astfel de produse conectate echipate cu senzori le generează atunci când utilizatorul înregistrează, transmite, afișează sau redă un conținut, precum și conținutul în sine, care face adesea obiectul unor drepturi de proprietate intelectuală, printre altele pentru a fi utilizat de un serviciu online, nu ar trebui să intre sub incidența prezentului regulament. De asemenea, prezentul regulament nu ar trebui să vizeze datele care au fost obținute, generate sau accesate din produsul conectat sau care i-au fost transmise acestuia în scopul stocării sau al altor operațiuni de prelucrare în numele altor părți decât utilizatorul, precum serverele sau infrastructura de tip cloud exploatată de proprietarii lor în întregime în numele unor terți, printre altele pentru a fi utilizate de un serviciu online.

(17)

Este necesar să fie stabilite norme privind produsele care sunt conectate la un serviciu conex în momentul achiziționării, al închirierii sau al leasingului, astfel încât absența serviciului respectiv ar împiedica produsul conectat să îndeplinească una sau mai multe dintre funcțiile sale, sau care este ulterior conectat la produs de către fabricant sau de către un terț pentru a suplimenta sau adapta funcționalitatea produsului conectat. Astfel de servicii conexe implică schimbul de date între produsul conectat și furnizorul de servicii și ar trebui înțelese ca fiind legate în mod explicit de exercitarea funcțiilor produsului conectat, cum ar fi serviciile care, după caz, transmit produsului conectat comenzi care sunt capabile să îi afecteze acțiunea sau comportamentul. Serviciile care nu afectează funcționarea produsului conectat și care nu implică transmiterea de date sau comenzi către produsul conectat de către furnizorul de servicii nu ar trebui considerate servicii conexe. Astfel de servicii ar putea include, de exemplu, servicii auxiliare de consultanță, de analiză sau financiare sau servicii de reparații și întreținere periodice. Serviciile conexe pot fi oferite ca parte a contractului de cumpărare, de închiriere sau de leasing. Serviciile conexe ar putea fi, de asemenea, oferite pentru produse de același tip și utilizatorii s-ar putea aștepta în mod rezonabil ca ele să fie furnizate, luând în considerare natura produsului conectat și orice declarație publică făcută de vânzător sau de locatorul parte la un contract de închiriere sau de leasing ori în numele acestuia ori de alte persoane situate în alte puncte în cadrul lanțului de tranzacții, inclusiv fabricantul. Respectivele servicii conexe pot genera ele însele date de valoare pentru utilizator, independent de capacitățile de colectare a datelor pe care le are produsul conectat cu care sunt interconectate. Prezentul regulament ar trebui să se aplice și unui serviciu conex care nu este furnizat chiar de vânzător sau de locatorul parte la un contract de închiriere sau de leasing, ci de către un terț. În cazul în care nu se știe sigur dacă serviciul este furnizat ca parte din contractul de cumpărare, de închiriere sau de leasing, ar trebui să se aplice prezentul regulament. Nici alimentarea cu energie electrică, nici furnizarea conectivității nu trebuie interpretate ca fiind servicii conexe în temeiul prezentului regulament.

(18)

Prin utilizatorul unui produs conectat ar trebui să se înțeleagă o persoană fizică sau juridică, precum o întreprindere, un consumator, sau un organism din sectorul public, care este fie proprietarul unui produs conectat, a primit anumite drepturi temporare, de exemplu prin intermediul unui contract de închiriere sau de leasing, de a accesa sau utiliza datele obținute de la produsul conectat sau primește servicii conexe pentru produsul conectat. Aceste drepturi de acces nu ar trebui să modifice și nici să afecteze în vreun fel drepturile persoanelor vizate care pot interacționa cu un produs conectat sau cu un servici conex în ceea ce privește datele cu caracter personal generate de produsul conectat sau în timpul furnizării serviciului conex. Utilizatorul suportă riscurile și se bucură de beneficiile aferente utilizării produsului conectat și ar trebui să beneficieze, de asemenea, de acces la datele pe care le generează. Prin urmare, utilizatorul ar trebui să aibă dreptul de a obține beneficii din datele generate de produsul conectat respectiv și de orice serviciu conex. Un proprietar sau un locatar parte la un contract de închiriere sau de leasing ar trebui, de asemenea, să fie considerați ca fiind utilizatori, inclusiv atunci când mai multe entități pot fi considerate ca fiind utilizatori. În contextul mai multor utilizatori, fiecare utilizator poate contribui în mod diferit la generarea datelor și poate fi interesat de mai multe forme de utilizare, cum ar fi gestionarea parcului auto pentru o întreprindere de leasing sau soluții de mobilitate pentru persoanele care utilizează un serviciu de partajare a autoturismelor.

(19)

Competențele digitale desemnează abilitățile, cunoștințele și înțelegerea care permit utilizatorilor, consumatorilor și întreprinderilor, în special IMM-urilor care fac obiectul prezentului regulament, să conștientizeze valoarea potențială a datelor pe care le generează, le produc și le partajează și pe care aceștia sunt motivați să le ofere și să acorde accesul la acestea în conformitate cu normele juridice relevante. Competențele digitale ar trebui să însemne mai mult decât învățarea despre instrumente și tehnologii și ar trebui să aibă drept obiectiv echiparea și consolidarea capacității de acțiune a cetățenilor și a întreprinderilor pentru a beneficia de o piață a datelor incluzivă și echitabilă. Măsurile de răspândire a competențelor digitale și introducerea unor acțiuni ulterioare corespunzătoare ar putea contribui la îmbunătățirea condițiilor de muncă și ar susține, în ultimă instanță, consolidarea economiei datelor în Uniune și parcursul de inovare al acesteia. Autoritățile competente ar trebui să promoveze instrumente și să adopte măsuri pentru a dezvolta competențele digitale în rândul utilizatorilor și al entităților care intră în domeniul de aplicare al prezentului regulament și sensibilizarea cu privire la drepturile și obligațiile care le revin în temeiul acestuia.

(20)

În practică, nu toate datele generate de produse conectate sau servicii conexe pot fi accesate cu ușurință de utilizatorii lor, iar posibilitățile de portabilitate a datelor generate de produse conectate la internet sunt deseori limitate. Utilizatorii nu pot să obțină datele necesare pentru a recurge la furnizori de servicii de reparații și alte servicii, iar întreprinderile nu pot să lanseze servicii inovatoare, mai convenabile și mai eficiente. În multe sectoare, fabricanții au capacitatea de a stabili, prin controlul exercitat asupra proiectării tehnice a produselor conectate sau a serviciilor conexe, ce date sunt generate și cum pot fi accesate datele respective, chiar dacă nu au niciun drept legal la datele respective. Prin urmare, este necesar să se asigure că produsele conectate sunt proiectate și fabricate și că serviciile conexe sunt proiectate și furnizate astfel încât datele referitoare la produs și datele referitoare la serviciul conex, inclusiv metadatele aferente necesare pentru interpretarea și utilizarea datelor respective, inclusiv în scopul extragerii, utilizării sau partajării datelor, să poată fi întotdeauna accesate cu ușurință și în condiții de siguranță de către utilizator, în mod gratuit și într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat. Datele referitoare la produs și datele referitoare la serviciul conex, pe care un deținător de date le obține sau le poate obține în mod legal de la produsul conectat sau de la serviciul conex, de exemplu prin proiectarea produsului conectat, pe baza contractului deținătorului de date cu utilizatorul pentru furnizarea de servicii conexe, precum și mijloacele sale tehnice de acces la date, fără eforturi disproporționate, sunt denumite „date ușor accesibile”. Datele ușor accesibile nu includ datele generate prin utilizarea unui produs conectat, dacă proiectarea produsului conectat nu prevede stocarea sau transmiterea acestor date în afara componentei în care sunt generate sau a produsului conectat în ansamblu. Prin urmare, prezentul regulament nu ar trebui înțeles în sensul de a impune o obligație de stocare a datelor pe unitatea centrală de calcul a unui produs conectat. Absența acestei obligații nu ar trebui să împiedice fabricantul sau deținătorul de date să convină în mod voluntar cu utilizatorul cu privire la efectuarea unor astfel de adaptări. De asemenea, obligațiile în materie de proiectare prevăzute în prezentul regulament nu aduc atingere principiului reducerii la minimum a datelor prevăzut la articolul 5 alineatul (1) litera (c) din Regulamentul (UE) 2016/679 și nu ar trebui înțelese ca impunând o obligație de a proiecta produse conectate și servicii conexe astfel încât acestea să stocheze sau să prelucreze în alt mod orice date cu caracter personal, altele decât datele cu caracter personal care sunt necesare în legătură cu scopurile pentru care sunt prelucrate. Dispoziții de drept al Uniunii sau de drept intern ar putea fi introduse pentru a evidenția și alte particularități, cum ar fi datele referitoare la produs care ar trebui să poată fi accesate din produsele conectate sau din serviciile conexe, având în vedere că aceste date pot fi esențiale pentru funcționarea, repararea sau întreținerea eficientă a produselor conectate sau a serviciilor conexe respective. În cazul în care actualizările sau modificările ulterioare ale unui produs conectat sau ale unui serviciu conex, efectuate de fabricant sau de o altă parte, conduc la generarea unor date accesibile suplimentare sau la restricționarea datelor accesibile inițial, astfel de modificări ar trebui să fie comunicate utilizatorului în contextul actualizării sau modificării.

(21)

În cazul în care mai multe persoane sau entități sunt considerate utilizatori, de exemplu în cazul coproprietății sau în cazul în care un proprietar sau un locatar parte la un contract de închiriere sau de leasing partajează drepturile de acces la date sau de utilizare a datelor, proiectarea produsului conectat sau a serviciului conex, sau a interfeței relevante, ar trebui să permită fiecărui utilizator să aibă acces la datele pe care le generează. Pentru utilizarea de produse conectate care generează date este nevoie, în mod obișnuit, de un cont de utilizator. Un astfel de cont permite identificarea utilizatorului de către deținătorul de date, care poate fi fabricantul. Acesta poate fi, de asemenea, folosit drept mijloc de comunicare și pentru formularea și prelucrarea cererilor de acces la date. În cazul în care mai mulți fabricați sau furnizori de servicii conexe au vândut, închiriat sau dat în leasing produse conectate sau au prestat servicii conexe, integrate la un loc aceluiași utilizator, utilizatorul ar trebui să se adreseze fiecărei părți cu care a încheiat un contract. Fabricanții sau proiectanții unui produs conectat care este utilizat de obicei de către mai multe persoane ar trebui să introducă mecanismele necesare pentru a permite diferitelor persoane să aibă conturi de utilizator separate, când este relevant, sau posibilitatea ca mai multe persoane să utilizeze același cont de utilizator. Soluțiile privind conturile ar trebui să le permită utilizatorilor să își șteargă conturile și datele care îi privesc și ar putea permite utilizatorilor să sisteze accesul la date, utilizarea sau partajarea datelor, sau să introducă cereri de sistare a acestora, în special ținând seama de situațiile în care se modifică dreptul de proprietate sau utilizarea produsului conectat. Utilizatorului ar trebui să i se acorde accesul pe baza unui mecanism simplu de solicitare care să autorizeze executarea automată și fără a fi nevoie ca cererea să fie examinată sau aprobată de către fabricant sau deținătorul de date. Cu alte cuvinte, datele ar trebui să fie puse la dispoziție numai atunci când utilizatorul dorește efectiv să aibă acces. În cazul în care executarea automată a cererii de acces la date nu este posibilă, de exemplu, prin intermediul unui cont de utilizator sau al unei aplicații mobile specifice furnizate împreună cu produsul conectat sau serviciul conex, fabricantul ar trebui să informeze utilizatorul cu privire la modul în care pot fi accesate datele.

(22)

Se poate ca produsele conectate să fie proiectate astfel încât anumite date să poată fi accesate direct dintr-o memorie de date instalată pe dispozitiv sau de pe un server aflat la distanță căruia îi sunt comunicate datele. Accesul la memoria de date instalată pe dispozitiv poate fi asigurat prin rețele prin cablu sau rețele locale cu acces pe suport radio conectate la un serviciu de comunicații electronice accesibil publicului sau la o rețea mobilă. Serverul poate fi serverul local propriu al fabricantului sau serverul unui terț ori al unui furnizor de servicii cloud. Persoanele împuternicite de operator, astfel cum sunt definite la articolul 4 punctul 8 din Regulamentul (UE) 2016/679, nu sunt considerate a acționa în calitate de deținători de date. Totuși, acestea pot fi mandatate în mod expres să pună la dispoziție date de către operator, astfel cum este definit la articolul 4 punctul 7 din Regulamentul (UE) 2016/679. Produsele conectate pot fi proiectate astfel încât să permită utilizatorului sau unui terț să prelucreze datele referitoare la produsul conectat la o instanță de calcul a fabricantului sau în cadrul unui mediu informatic desemnat de utilizator sau de terț.

(23)

Asistenții virtuali joacă un rol tot mai mare în digitizarea mediilor de consum și profesionale și servesc drept interfață ușor de utilizat pentru redarea de conținut, obținerea de informații sau activarea de produse conectate la internet. Asistenții virtuali pot să acționeze drept unic punct de intrare, de exemplu într-un mediu de casă inteligentă, și să înregistreze volume semnificative de date relevante despre modul în care utilizatorii interacționează cu produsele conectate la internet, inclusiv cu cele fabricate de alte părți, și pot să înlocuiască utilizarea interfețelor furnizate de fabricant, cum ar fi ecranele tactile sau aplicațiile pentru telefoane inteligente. Se poate ca utilizatorul să dorească să pună astfel de date la dispoziția unor fabricanți terți și să permită servicii inteligente noi. Asistenții virtuali ar trebui să beneficieze de drepturile de acces la date prevăzute de prezentul regulament. Datele generate atunci când un utilizator interacționează cu un produs conectat prin intermediul unui asistent virtual furnizat de o altă entitate decât fabricantul produsului conectat ar trebui să fie, de asemenea, incluse în drepturile de acces prevăzute de prezentul regulament. Cu toate acestea, numai datele care rezultă din interacțiunea dintre utilizator și un produs conectat sau un serviciu conex, prin intermediul asistentului virtual, ar trebui să fie incluse în prezentul regulament. Datele produse de asistentul virtual care nu au legătură cu utilizarea unui produs conectat sau a unui serviciu conex nu intră sub incidența prezentului regulament.

(24)

Înainte de încheierea unui contract de cumpărare, închiriere sau de leasing a unui produs conectat, vânzătorul sau locatorul parte la un contract de închiriere sau de leasing, care poate fi fabricantul, ar trebui să furnizeze utilizatorului, în mod clar și inteligibil, informații privind datele referitoare la produs pe care produsul conectat este capabil să le genereze, inclusiv tipul, formatul și volumul estimat al datelor respective. Acestea ar putea include informații privind structurile de date, formatele de date, vocabularele, sistemele de clasificare, taxonomiile și listele de coduri, dacă sunt disponibile, precum și informații clare și suficiente relevante pentru exercitarea drepturilor utilizatorului cu privire la modul în care datele pot fi stocate, extrase sau accesate, inclusiv condițiile de utilizare și calitatea serviciului interfețelor de programare a aplicațiilor sau, după caz, furnizarea de kituri de dezvoltare de software. Această obligație asigură transparența în materie de date referitoare la produs generate, îmbunătățind totodată accesul facil al utilizatorului. Obligația de informare ar putea fi îndeplinită, de exemplu prin menținerea unui localizator uniform de resurse (URL) stabil pe internet, care poate fi distribuit sub forma unui link web sau a unui cod QR, care conduce la informațiile relevante și care ar putea fi furnizat utilizatorului de către vânzător sau de către locatorul parte la un contract de închiriere sau de leasing, care poate fi fabricantul, înainte de încheierea contractului de cumpărare, închiriere sau leasing al unui produs conectat. În orice caz, este necesar ca utilizatorul să poată stoca informațiile într-un mod care să le facă accesibile pentru consultare în viitor și care să permită reproducerea nemodificată a informațiilor stocate. Nu se poate aștepta din partea deținătorului de date să stocheze datele pe o perioadă nedeterminată în vederea nevoilor utilizatorului produsului conectat, dar acesta ar trebui totuși să pună în aplicare o politică rezonabilă de păstrare a datelor, după caz, în conformitate cu principiul limitărilor legate de stocare în temeiul articolului 5 alineatul (1) litera (e) din Regulamentul (UE) 2016/679, care să permită aplicarea efectivă a drepturilor de acces la date în temeiul prezentului regulament. Obligația de a furniza informații nu aduce atingere obligației operatorului de a furniza informații persoanei vizate în temeiul articolelor 12, 13 și 14 din Regulamentul (UE) 2016/679. Obligația de a furniza informații înainte de încheierea unui contract pentru furnizarea unui serviciu conex ar trebui să îi revină potențialului deținător de date, indiferent dacă deținătorul de date încheie sau nu un contract de cumpărare, închiriere sau leasing al unui produs conectat. În cazul în care informațiile se modifică pe durata de viață a produsului conectat sau pe durata contractului pentru serviciul conex, inclusiv atunci când scopul în care datele respective urmează să fie utilizate se modifică față de scopul specificat inițial, informațiile respective ar trebui și ele să fie furnizate utilizatorului.

(25)

Prezentul regulament nu ar trebui interpretat în sensul de a conferi deținătorilor de date un drept nou de a utiliza date referitoare la produs sau date referitoare la serviciul conex. În cazul în care fabricantul unui produs conectat este deținătorul de date, temeiul pentru utilizarea de către fabricant a datelor fără caracter personal ar trebui să fie un contract între fabricant și utilizator. Un astfel de contract ar putea să facă parte dintr-un contract de furnizare a serviciului conex, care ar putea fi încheiat împreună cu contractul de cumpărare, închiriere sau leasing referitor la produsul conectat. Orice clauză contractuală în temeiul căreia deținătorul de date poate utiliza datele referitoare la produs sau datele referitoare la serviciul conex ar trebui să fie transparentă pentru utilizator, inclusiv în ceea ce privește scopurile în care deținătorul de date intenționează să utilizeze datele. Printre aceste scopuri s-ar putea număra îmbunătățirea funcționării produsului conectat sau a serviciilor conexe, dezvoltarea de noi produse sau servicii, sau agregarea datelor cu scopul de a pune la dispoziția unor terți datele derivate rezultate, cu condiția ca datele derivate respective să nu permită identificarea datelor specifice transmise deținătorului de date de la produsul conectat și nici să nu permită unui terț să deducă datele respective din setul de date. Orice modificare a contractului ar trebui să depindă de acordul în cunoștință de cauză al utilizatorului. Prezentul regulament nu împiedică părțile să convină asupra unor clauze contractuale al căror efect este excluderea sau limitarea utilizării datelor fără caracter personal sau a anumitor categorii de date fără caracter personal de către un deținător de date. De asemenea, nu împiedică părțile să convină asupra punerii la dispoziție de date referitoare la produs sau de date referitoare la serviciul conex unor terți, fie direct, fie indirect, inclusiv, după caz, prin intermediul unui alt deținător de date. În plus, prezentul regulament nu împiedică nici aplicarea cerințelor de reglementare sectoriale prevăzute în dreptul Uniunii sau în dreptul intern compatibil cu dreptul Uniunii, prin care s-ar exclude sau limita utilizarea anumitor astfel de date de către deținătorul de date din motive de politică publică bine definite. Prezentul regulament nu împiedică utilizatorii ca, în cadrul relațiilor dintre întreprinderi, să pună date la dispoziția terților sau a deținătorilor de date în temeiul oricărei clauze contractuale legale, inclusiv prin a fi de acord cu a limita sau a restricționa partajarea suplimentară a unor astfel de date, nici să fie compensați proporțional, de exemplu în schimbul renunțării la dreptul lor de a utiliza sau de a partaja astfel de date. Deși noțiunea de „deținător de date” nu include, în general, organismele din sectorul public, aceasta poate include întreprinderile publice.

(26)

Pentru a încuraja apariția unor piețe lichide, echitabile și eficiente pentru datele fără caracter personal, utilizatorii de produse conectate ar trebui să poată partaja datele cu alții, inclusiv în scopuri comerciale, cu un efort juridic și tehnic minim. În prezent, este adesea dificil pentru întreprinderi să justifice costurile cu personalul sau costurile informatice necesare pentru pregătirea seturilor de date sau a produselor de date fără caracter personal și să le ofere potențialelor contrapărți, prin intermediul serviciilor de intermediere de date, inclusiv al piețelor de date. Un obstacol semnificativ în calea partajării datelor fără caracter personal de către întreprinderi rezultă, prin urmare, din lipsa de previzibilitate a rentabilității economice a investiției în organizarea și punerea la dispoziție a seturilor de date sau a produselor de date. Pentru a permite apariția unor piețe lichide, echitabile și eficiente pentru datele fără caracter personal în Uniune, trebuie să se clarifice care parte are dreptul de a oferi astfel de date pe o piață. Utilizatorii ar trebui, prin urmare, să aibă dreptul de a partaja date fără caracter personal cu destinatarii datelor, în scopuri comerciale și necomerciale. O astfel de partajare a datelor ar putea fi efectuată direct de către utilizator, la cererea acestuia, prin intermediul unui deținător de date sau prin servicii de intermediere de date. Serviciile de intermediere de date, astfel cum sunt reglementate prin Regulamentul (UE) 2022/868 al Parlamentului European și a Consiliului (22), ar putea facilita o economie a datelor prin stabilirea unor relații comerciale între utilizatori, destinatarii datelor și terți și pot sprijini utilizatorii în exercitarea dreptului lor de utilizare a datelor, cum ar fi asigurarea anonimizării datelor cu caracter personal sau agregarea accesului la date de la mai mulți utilizatori individuali. În cazul în care datele sunt excluse de la obligația deținătorului de date de a le pune la dispoziția utilizatorilor sau a unor terți, domeniul de aplicare al acestor date ar putea fi specificat în contractul dintre utilizator și deținătorul de date pentru furnizarea unui serviciu conex, astfel încât utilizatorii să poată stabili cu ușurință ce date sunt la dispoziția lor pentru a fi partajate cu destinatarii datelor sau cu terți. Deținătorii de date nu ar trebui să pună la dispoziția terților date fără caracter personal referitoare la produs, în alte scopuri, comerciale sau necomerciale decât cele aferente executării contractului cu utilizatorul, fără a aduce atingere cerințelor legale întemeiate pe dreptul Uniunii sau pe dreptul intern, potrivit cărora un deținător de date trebuie să pună la dispoziție date. Dacă este cazul, deținătorii de date ar trebui să oblige prin contract terții să nu partajeze în continuare datele primite de la aceștia.

(27)

În sectoarele caracterizate de concentrarea unui număr mic de fabricanți care furnizează produse conectate utilizatorilor finali, este posibil ca utilizatorii să dispună numai de opțiuni limitate în ceea ce privește accesarea, utilizarea și partajarea datelor. În astfel de circumstanțe, este posibil ca contractele să nu fie suficiente pentru atingerea obiectivului de consolidare a capacității de acțiune a utilizatorilor, ceea ce înseamnă că pentru utilizatori este dificil să obțină valoare din datele generate de produsele conectate pe care le achiziționează, le închiriază sau le iau în folosință prin leasing. Întreprinderile mai mici inovatoare au, așadar, un potențial limitat de a oferi soluții bazate pe date într-un mod competitiv și pentru o economie diversificată a datelor în Uniune. Prin urmare, prezentul regulament ar trebui să se bazeze pe evoluțiile recente din anumite sectoare, cum ar fi Codul de conduită privind partajarea de date agricole prin contract. Pentru abordarea nevoilor și a obiectivelor sectoriale se pot elabora dispoziții de drept al Uniunii sau de drept intern. În plus, deținătorii de date nu ar trebui să utilizeze niciun fel de date ușor accesibile care nu sunt date fără caracter personal pentru a deriva informații despre situația economică a utilizatorului, despre activele sau metodele de producție ale acestuia ori despre utilizarea de către acesta în orice alt mod care ar putea submina poziția comercială a utilizatorului pe piețele pe care își desfășoară activitatea. Acest lucru ar putea include utilizarea cunoștințelor despre performanța generală a unei întreprinderi sau a unei ferme agricole în negocierile contractuale purtate cu utilizatorul cu privire la potențiala achiziție a produselor sau a produselor agricole ale utilizatorului în detrimentul utilizatorului, sau utilizarea unor astfel de informații pentru alimentarea unor baze de date mai mari de pe anumite piețe în ansamblu, cum ar fi bazele de date privind randamentul culturilor pentru următorul sezon de recoltare, deoarece o astfel de utilizare ar putea avea în mod indirect efecte negative asupra utilizatorului. Utilizatorului ar trebui să i se ofere interfața tehnică necesară pentru gestionarea permisiunilor, de preferință cu opțiuni de permisiuni granulare, cum ar fi „permite o singură dată” sau „permite când utilizezi această aplicație sau acest serviciu”, inclusiv opțiunea de retragere a permisiunilor.

(28)

În contractele dintre un deținător de date și un consumator în calitate de utilizator al unui produs conectat sau al unui serviciu conex care generează date, se aplică dreptul Uniunii în materie de protecție a consumatorului, în special Directivele 93/13/CEE și 2005/29/CE, pentru a asigura faptul că consumatorului nu i se impun clauze contractuale abuzive. În înțelesul prezentului regulament, clauzele contractuale abuzive impuse unei întreprinderi nu ar trebui să fie obligatorii pentru întreprinderea respectivă.

(29)

Deținătorii de date pot să solicite o identificare corespunzătoare a utilizatorului, pentru a verifica dreptul utilizatorului de a accesa datele. În cazul datelor cu caracter personal prelucrate de o persoană împuternicită de operator în numele operatorului, deținătorii de date ar trebui să se asigure că cererea de acces este primită și tratată de persoana împuternicită de operator.

(30)

Utilizatorul ar trebui să aibă libertatea de a utiliza datele în orice scop legal. Un astfel de scop este furnizarea datelor pe care utilizatorul le-a primit în cursul exercitării drepturilor sale, prevăzute în prezentul regulament către un terț care oferă un serviciu post-vânzare potențial concurent cu un serviciu furnizat de un deținător de date sau însărcinarea deținătorului de date să facă acest lucru. Cererea ar trebui introdusă de utilizator sau de un terț autorizat care acționează în numele unui utilizator, inclusiv un furnizor al unui serviciu de intermediere de date. Deținătorii de date ar trebui să se asigure că datele puse la dispoziția terțului sunt la fel de exacte, complete, fiabile, relevante și actuale ca și datele la care deținătorul de date poate avea posibilitatea sau dreptul de a avea acces el însuși ca urmare a utilizării produsului conectat sau a serviciului conex. La manipularea datelor ar trebui respectate toate drepturile de proprietate intelectuală. Este important să se mențină factorii de stimulare a investițiilor în produse cu funcționalități bazate pe utilizarea datelor provenite de la senzorii integrați în produsele respective.

(31)

Directiva (UE) 2016/943 a Parlamentului European și a Consiliului (23) prevede că dobândirea, utilizarea sau divulgarea unui secret comercial sunt considerate legale, printre altele, în cazul în care o astfel de dobândire, utilizare sau divulgare este impusă sau permisă în temeiul dreptului Uniunii sau al dreptului intern. Deși prezentul regulament impune deținătorilor de date să divulge anumite date utilizatorilor sau unor terți aleși de utilizator, chiar și atunci când astfel de date se califică pentru a fi protejate ca secrete comerciale, regulamentul ar trebui interpretat în sensul de a păstra protecția acordată secretelor comerciale în temeiul Directivei (UE) 2016/943. În acest scop, deținătorii de date ar trebui să poată solicita utilizatorilor sau terților aleși de un utilizator să păstreze confidențialitatea datelor considerate a fi secrete comerciale. În acest scop, deținătorii de date ar trebui să identifice secretele comerciale anterior divulgării și ar trebui să aibă posibilitatea de a conveni cu utilizatorii sau cu terții aleși de utilizator cu privire la măsurile necesare pentru păstrarea confidențialității acestora, inclusiv prin utilizarea modelelor de clauze contractuale, a acordurilor de confidențialitate, a protocoalelor stricte de acces, a standardelor tehnice și a aplicării codurilor de conduită. Pe lângă utilizarea modelelor de clauze contractuale care urmează să fie elaborate și recomandate de Comisie, stabilirea unor coduri de conduită și a unor standarde tehnice legate de protecția secretelor comerciale în prelucrarea datelor ar putea contribui la atingerea obiectivului prezentului regulament și ar trebui încurajată. În cazurile în care nu există un acord cu privire la măsurile necesare, sau utilizatorul ori un terț ales de utilizator nu pune în aplicare măsurile convenite sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate să pună capăt partajării datelor identificate drept secrete comerciale sau să o suspende. În astfel de cazuri, deținătorul de date ar trebui să transmită decizia în scris, fără întârziere, utilizatorului sau terțului și să notifice autoritatea competentă a statului membru în care este stabilit asupra faptului că a pus capăt partajării datelor sau a suspendat-o și să identifice măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea. Deținătorii de date nu pot, în principiu, să refuze o cerere de acces la date în temeiul prezentului regulament numai pe motiv că anumite date sunt considerate a fi secrete comerciale, deoarece acest lucru ar contraveni obiectivului principal al prezentului regulament. Cu toate acestea, în circumstanțe excepționale, un deținător de date care este deținător al unui secret comercial ar trebui să poată, de la caz la caz, să refuze o cerere privind datele specifice în cauză dacă este capabil să demonstreze utilizatorului sau terțului că, în pofida măsurilor tehnice și organizatorice luate de utilizator sau terț, este foarte probabil să rezulte prejudicii economice grave din divulgarea secretului comercial respectiv. „Prejudiciile economice grave” implică pierderi economice grave și ireparabile. Deținătorul de date ar trebui să își justifice refuzul față de utilizator sau de terț în mod corespunzător, în scris, fără întârzieri nejustificate, și să notifice acest lucru autorității competente. O astfel de justificare ar trebui să se bazeze pe elemente obiective, care să demonstreze riscul concret de prejudicii economice grave preconizate a rezulta dintr-o divulgare specifică a datelor și motivele pentru care măsurile luate pentru a proteja datele solicitate nu sunt considerate a fi suficiente. În acest context ar putea fi avut în vedere un posibil impact negativ asupra securității cibernetice. Fără a aduce atingere dreptului de a introduce o cale de atac în fața unei instanțe judecătorești sau a unui tribunal al unui stat membru, în cazul în care utilizatorul sau un terț dorește să conteste decizia deținătorului de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda, utilizatorul sau terțul poate depune o plângere la autoritatea competentă, care ar trebui să decidă, fără întârzieri nejustificate, dacă și în ce condiții partajarea datelor ar trebui să înceapă sau să se reia, sau poate conveni cu deținătorul de date să sesizeze un organism de soluționare a litigiilor. Excepțiile de la drepturile de acces la date prevăzute în prezentul regulament nu ar trebui în niciun caz să limiteze dreptul de acces și dreptul la portabilitatea datelor ale persoanelor vizate în temeiul Regulamentul (UE) 2016/679.

(32)

Prezentul regulament nu are drept scop doar încurajarea dezvoltării de produse conectate sau servicii conexe noi și inovatoare și stimularea inovării în domeniul post-vânzare, ci și stimularea dezvoltării unor servicii complet noi care utilizează datele vizate, inclusiv pe baza datelor dintr-o multitudine de produse conectate sau servicii conexe. În același timp, prezentul regulament urmărește să evite subminarea factorilor de stimulare a investițiilor pentru tipul de produs conectat din care sunt obținute datele, de exemplu prin utilizarea datelor pentru dezvoltarea unui produs conectat concurent care este considerat de utilizatori ca fiind interschimbabil sau substituibil, în special pe baza caracteristicilor, prețului și utilizării preconizate a produsului conectat. Prezentul regulament nu prevede nicio interdicție privind dezvoltarea unui serviciu conex care utilizează datele obținute în temeiul prezentului regulament, deoarece acest lucru ar avea un efect nedorit de descurajare a inovării. Interzicerea utilizării datelor accesate în temeiul prezentului regulament pentru dezvoltarea unui produs conectat concurent protejează eforturile de inovare ale deținătorilor de date. Dacă un produs conectat concurează cu produsul conectat din care provin datele depinde dacă cele două produse conectate se află în concurență pe aceeași piață a produsului. Acest lucru urmează să fie stabilit pe baza principiilor stabilite în dreptul Uniunii în materie de concurență pentru definirea pieței relevante a unui produs. Cu toate acestea, scopurile legale pentru utilizarea datelor ar putea include ingineria inversă, cu condiția să respecte cerințele prevăzute în prezentul regulament, în dreptul Uniunii sau în dreptul intern. Ar putea fi cazul în scopul reparării sau prelungirii duratei de viață a unui produs conectat, sau al furnizării unor servicii post-vânzare pentru produsele conectate.

(33)

Un terț căruia îi sunt puse la dispoziție date poate fi o persoană fizică sau juridică, precum un consumator, o întreprindere, o organizație de cercetare sau o organizație nonprofit, sau o entitate care acționează în calitate profesională. Când pune datele la dispoziția terțului, un deținător de date nu ar trebui să abuzeze de poziția sa pentru a căuta un avantaj concurențial pe piețele pe care deținătorul de date și terțul s-ar putea afla în concurență directă. Deținătorul de date nu ar trebui, prin urmare, să utilizeze niciun fel de date ușor accesibile pentru a deriva informații despre situația economică a terțului, despre activele sau metodele de producție ale acesteia ori despre utilizare de către terț în orice alt mod care ar putea submina poziția comercială a terțului pe piețele pe care terțul își desfășoară activitatea. Utilizatorul ar trebui să poată partaja date fără caracter personal cu terți în scopuri comerciale. Cu acordul utilizatorului și sub rezerva dispozițiilor prezentului regulament, terții ar trebui să poată transfera altor terți drepturile de acces la date acordate de utilizator, inclusiv în schimbul unei compensații. Intermediarii de date între întreprinderi și sistemele de gestionare a informațiilor cu caracter personal (PIMS), denumite servicii de intermediere de date în Regulamentul (UE) 2022/868, pot sprijini utilizatorii sau terții în stabilirea de relații comerciale cu un număr nedeterminat de contrapărți potențiale în orice scop legal care intră în domeniul de aplicare al prezentului regulament. Aceștia ar putea juca un rol esențial în agregarea accesului la date, astfel încât să poată fi facilitate analizele volumelor mari de date sau învățarea automată, cu condiția ca utilizatorii să păstreze controlul deplin asupra posibilității de a furniza datele lor la o astfel de agregare și asupra condițiilor comerciale în care urmează să fie utilizate datele lor.

(34)

Utilizarea unui produs conectat sau a unui serviciu conex poate, în special când utilizatorul este o persoană fizică, să genereze date care se referă la persoana vizată. Prelucrarea unor astfel de date se supune normelor stabilite în Regulamentul (UE) 2016/679, inclusiv în cazul în care datele cu caracter personal și cele fără caracter personal dintr-un set de date sunt legate între ele în mod indisolubil. Persoana vizată poate fi utilizatorul sau o altă persoană fizică. Datele cu caracter personal pot fi solicitate numai de un operator sau de o persoană vizată. Dacă este persoana vizată, utilizatorul are, în anumite circumstanțe, dreptul, prevăzut în Regulamentul (UE) 2016/679, de a accesa datele cu caracter personal care îl privesc, astfel de drepturi nefiind afectate de prezentul regulament. În temeiul prezentului regulament, utilizatorul care este o persoană fizică are, de asemenea, dreptul de a accesa toate datele generate în urma utilizării unui produs conectat, indiferent dacă au sau nu caracter personal. În cazul în care utilizatorul nu este persoana vizată, ci o întreprindere, inclusiv o întreprindere profesională unipersonală, iar produsul conectat nu este utilizat în comun în gospodărie, utilizatorul este considerat operator. În consecință, un astfel de utilizator care intenționează să solicite în calitate de operator date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex trebuie să aibă un temei juridic pentru prelucrarea datelor, astfel cum se prevede la articolul 6 alineatul (1) din Regulamentul (UE) 2016/679, cum ar fi consimțământul persoanei vizate sau executarea unui contract la care persoana vizată este parte. Un astfel de utilizator ar trebui să se asigure că persoana vizată este informată în mod corespunzător cu privire la scopurile specifice, explicite și legitime pentru prelucrarea datelor respective, precum și cu privire la modul în care persoana vizată își poate exercita efectiv drepturile. În cazul în care sunt operatori asociați în înțelesul articolului 26 din Regulamentul (UE) 2016/679, deținătorul de date și utilizatorul trebuie să își stabilească, în mod transparent, prin intermediul unui acord între ei, responsabilitățile relevante în ceea ce privește respectarea regulamentului menționat. Ar trebui să se înțeleagă că, după ce datele au fost puse la dispoziție, un astfel de utilizator poate deveni, la rândul său, deținător de date, dacă îndeplinește criteriile prevăzute în prezentul regulament, și în consecință face obiectul obligațiilor de a pune la dispoziție datele în temeiul prezentului regulament.

(35)

Datele referitoare la produs sau datele referitoare la serviciul conex ar trebui să fie puse la dispoziția unui terț numai la cererea utilizatorului. Prezentul regulament completează în consecință dreptul persoanelor vizate, prevăzut la articolul 20 din Regulamentul (UE) 2016/679, de a primi date cu caracter personal care le privesc într-un format structurat, utilizat în mod curent și care poate fi citit automat și de a transmite aceste date altui operator, în cazul în care datele respective sunt prelucrate prin utilizarea de mijloace automatizate în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) ori în temeiul unui contract prevăzut la articolul 6 alineatul (1) litera (b) din prezentul regulament. Persoanele vizate au, la rândul lor, dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dar numai când acest lucru este fezabil din punct de vedere tehnic. La articolul 20 din Regulamentul (UE) 2016/679 se precizează că sunt avute în vedere datele furnizate de persoana vizată, dar nu se precizează dacă acest lucru presupune un comportament activ din partea persoanei vizate sau dacă se aplică și în situațiile în care un produs conectat sau un serviciu conex observă, prin concepția sa, comportamentul unei persoane vizate sau alte informații în legătură cu o persoană vizată în mod pasiv. Drepturile prevăzute în prezentul regulament completează dreptul de a primi și de a porta date cu caracter personal în temeiul articolului 20 din Regulamentul (UE) 2016/679 în mai multe moduri. Prezentul regulament conferă utilizatorilor dreptul de a accesa și de a pune la dispoziția unui terț orice fel de date referitoare la produs sau date referitoare la serviciul conex, indiferent de caracterul personal al datelor respective, de distincția dintre datele furnizate activ sau observate pasiv și de temeiul juridic al prelucrării. Spre deosebire de articolul 20 din Regulamentul (UE) 2016/679, prezentul regulament impune și asigură fezabilitatea tehnică a accesului terților la toate tipurile de date care intră în domeniul său de aplicare, indiferent dacă datele au sau nu caracter personal, garantând astfel că obstacolele tehnice nu mai obstrucționează ori împiedică accesul la aceste date. De asemenea, permite deținătorului de date să stabilească o compensație rezonabilă de plătit de către terți, dar nu și de către utilizator, pentru costurile suportate pentru furnizarea accesului direct la datele generate de produsul conectat utilizatorului. Dacă un deținător de date și un terț nu sunt în măsură să convină asupra unor condiții pentru un astfel de acces direct, persoana vizată nu ar trebui în niciun caz să fie împiedicată să își exercite drepturile prevăzute în Regulamentul (UE) 2016/679, inclusiv dreptul la portabilitatea datelor, recurgând la căile de atac prevăzute în regulamentul menționat. În acest context trebuie să se înțeleagă că, în conformitate cu Regulamentul (UE) 2016/679, un contract nu permite prelucrarea unor categorii speciale de date cu caracter personal de către deținătorul de date sau de către terț.

(36)

Accesul la orice fel de date stocate în echipamente terminale și accesate din acestea intră în domeniul de aplicare al Directivei 2002/58/CE și necesită consimțământul abonatului sau al utilizatorului în înțelesul directivei menționate, cu excepția cazului în care este strict necesar pentru furnizarea unui serviciu al societății informaționale solicitat în mod explicit de către utilizator sau de către abonat, ori exclusiv în scopul transmiterii unei comunicații. Directiva 2002/58/CE protejează integritatea echipamentelor terminale ale unui utilizator în ceea ce privește utilizarea capacităților de prelucrare și stocare și colectarea de informații. Echipamentele din internetul obiectelor sunt considerate a fi echipamente terminale dacă sunt conectate direct sau indirect la o rețea publică de comunicații.

(37)

Pentru a se preveni exploatarea utilizatorilor, terții cărora le-au fost puse la dispoziție date la cererea utilizatorului ar trebui să prelucreze datele respective numai în scopurile convenite cu utilizatorul și să le partajeze cu un alt terț numai cu acordul utilizatorului în favoarea unei astfel de partajări a datelor.

(38)

În concordanță cu principiul reducerii la minimum a datelor, terții ar trebui să acceseze numai informațiile care sunt necesare pentru furnizarea serviciului solicitat de utilizator. După ce a primit acces la date, terțul ar trebui să le prelucreze în scopurile convenite cu utilizatorul, fără amestec din partea deținătorului de date. Pentru utilizator ar trebui să fie la fel de ușor să refuze sau să întrerupă accesul terțului la date precum este să autorizeze accesul. Nici terții, nici deținătorii de date nu ar trebui să îngreuneze în mod necuvenit exercitarea posibilității de alegere sau a drepturilor de către utilizator, oferindu-i utilizatorului alegeri într-un mod care nu este neutru sau prin constrângerea, înșelarea sau manipularea utilizatorului, sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a alegerilor, inclusiv prin intermediul unei interfețe digitale cu utilizatorul sau al unei părți a acesteia. În acest context, terții sau deținătorii de date nu ar trebui să recurgă la așa-numite „dark patterns” (elemente de design manipulator) când își proiectează interfețele digitale. Elementele de design manipulator sunt tehnici de design prin care consumatorii sunt împinși sau înșelați să ia decizii care au consecințe negative pentru ei. Respectivele tehnici de manipulare pot fi utilizate pentru convingerea utilizatorilor, în special a consumatorilor vulnerabili, să se angajeze în comportamente nedorite, pentru înșelarea utilizatorilor, prin împingerea lor să ia decizii privind tranzacțiile de divulgare a datelor, sau pentru influențarea nerezonabilă a procesului decizional al utilizatorilor serviciului, într-un mod care să le submineze sau să le slăbească autonomia, procesul decizional și posibilitatea de alegere. Practicile comerciale des întâlnite și legitime care sunt conforme cu dreptul Uniunii nu ar trebui considerate, în sine, drept elemente de design manipulator (dark patterns). Terții și deținătorii de date ar trebui să își respecte obligațiile care le revin în temeiul dreptului relevant al Uniunii, în special cerințele prevăzute în Directivele 98/6/CE (24), 2000/31/CE (25) ale Parlamentului European și ale Consiliului și în Directivele 2005/29/CE și 2011/83/UE.

(39)

Terții ar trebui, de asemenea, să se abțină de la utilizarea datelor care intră în domeniul de aplicare al prezentului regulament pentru stabilirea profilului persoanelor fizice, cu excepția cazului în care astfel de activități de prelucrare sunt strict necesare pentru furnizarea serviciului solicitat de utilizator, inclusiv în contextul procesului decizional automatizat. Cerința ca datele să fie șterse atunci când nu mai sunt necesare pentru scopul convenit cu utilizatorul, cu excepția cazului în care s-a convenit altfel cu privire la datele fără caracter personal, completează dreptul persoanei vizate la ștergerea datelor în temeiul articolului 17 din Regulamentul (UE) 2016/679. În cazul în care un terț este furnizorul unui serviciu de intermediere de date, se aplică garanțiile pentru persoana vizată prevăzute în Regulamentul (UE) 2022/868. Terțul poate utiliza datele pentru a dezvolta un produs conectat sau un serviciu conex nou și inovator, dar nu pentru a dezvolta un produs conectat concurent.

(40)

Întreprinderile nou-înființate, întreprinderile mici și întreprinderile mijlocii care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE și întreprinderile din sectoarele tradiționale ale căror capacități digitale sunt mai puțin dezvoltate întâmpină dificultăți în a obține acces la date relevante. Prin prezentul regulament se urmărește facilitarea accesului la date pentru respectivele entități, asigurându-se, în același timp, că obligațiile corespunzătoare sunt cât mai proporționale cu putință, pentru a se evita excesul de acoperire. În același timp, au apărut câteva întreprinderi foarte mari a căror putere economică este considerabilă în economia digitală, ca urmare a acumulării și agregării unor volume mari de date și a infrastructurii tehnologice pentru monetizarea acestora. Din respectivele întreprinderi foarte mari fac parte furnizorii de servicii de platformă esențiale care controlează întregi ecosisteme de platformă în economia digitală și care nu pot fi confruntați sau contestați de operatorii de piață existenți sau noi. Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului (26) urmărește remedierea respectivelor ineficiențe și dezechilibre, permițându-i Comisiei să desemneze o întreprindere drept „controlor de acces” (gatekeeper) și impune o serie de obligații acestor controlori de acces, inclusiv o interdicție de a combina anumite date fără consimțământ și o obligație de a asigura dreptul efectiv la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din Regulamentul (UE) 2016/679. În conformitate cu Regulamentul (UE) 2022/1925 și având în vedere capacitatea incontestabilă a respectivelor întreprinderi de a obține date, includerea controlorilor de acces ca beneficiari ai dreptului de acces la date nu este necesară pentru atingerea obiectivului prezentului regulament și, prin urmare, ar fi disproporționată pentru deținătorii de date cărora li s-au impus astfel de obligații. De asemenea, o astfel de includere ar limita probabil beneficiile prezentului regulament pentru IMM-uri, din motive legate de echitatea distribuției valorii datelor între actorii de pe piață. Cu alte cuvinte, o întreprindere care furnizează servicii de platformă esențiale și care a fost desemnată drept controlor de acces nu poate să solicite sau să primească acces la datele utilizatorilor generate prin utilizarea unui produs conectat sau a unui serviciu conex ori de un asistent virtual în temeiul prezentului regulament. În plus, terții cărora le sunt puse la dispoziție date la cererea utilizatorului nu pot pune datele la dispoziția unui controlor de acces. De exemplu, terțul nu îi poate subcontracta unui controlor de acces furnizarea serviciului. Cu toate acestea, terții nu sunt împiedicați astfel să utilizeze serviciile de prelucrare a datelor oferite de un controlor de acces. De asemenea, respectivele întreprinderi nu sunt împiedicate să obțină și să utilizeze aceleași date prin alte mijloace legale. Drepturile de acces prevăzute în prezentul regulament contribuie la o gamă mai largă de servicii pentru consumatori. Întrucât acordurile voluntare dintre controlorii de acces și deținătorii de date rămân neafectate, limitarea acordării accesului pentru controlorii de acces nu i-ar exclude de pe piață și nici nu i-ar împiedica să își ofere serviciile.

(41)

Având în vedere starea actuală a tehnologiei, ar fi excesiv de împovărător pentru microîntreprinderi și întreprinderile mici să impună obligații suplimentare în materie de proiectare în ceea ce privește produsele conectate fabricate sau proiectate, sau serviciile conexe furnizate de acestea. Acest lucru nu se aplică însă atunci când o microîntreprindere sau o întreprindere mică are o întreprindere parteneră sau o întreprindere afiliată în înțelesul articolului 3 din anexa la Recomandarea 2003/361/CE care nu se califică drept microîntreprindere sau întreprindere mică și este subcontractată pentru fabricarea sau proiectarea unui produs conectat sau pentru furnizarea unui serviciu conex. În astfel de situații, întreprinderea care a subcontractat fabricarea sau proiectarea către o microîntreprindere sau o întreprindere mică este în măsură să compenseze subcontractantul în mod corespunzător. O microîntreprindere sau o întreprindere mică poate totuși să fie supusă cerințelor stabilite în prezentul regulament în calitate de deținător de date, în cazul în care nu este fabricantul produsului conectat sau furnizorul de servicii conexe. Ar trebui să se aplice o perioadă de tranziție în ceea ce privește întreprinderile care s-au calificat drept întreprinderi mijlocii pentru o perioadă mai scurtă de un an și în ceea ce privește produsele conectate, pentru o perioadă de un an de la data la care au fost introduse pe piață de către o întreprindere mijlocie. O astfel de perioadă de un an permite unor astfel de întreprinderi mijlocii să se adapteze și să se pregătească înainte de a trebui să facă față concurenței de pe piața serviciilor pentru produsele conectate pe care le fabrică, în temeiul drepturilor de acces prevăzute în prezentul regulament. O astfel de perioadă de tranziție nu se aplică în cazul în care o astfel de întreprindere mijlocie are o întreprindere parteneră sau o întreprindere afiliată care nu se califică drept microîntreprindere sau întreprindere mică sau în cazul în care o astfel de întreprindere mijlocie a fost subcontractată pentru fabricarea sau proiectarea produsului conectat sau pentru furnizarea serviciului conex.

(42)

Ținând seama de varietatea de produse conectate, care produc date diferite ca natură, volum și frecvență, prezintă niveluri diferite de risc în materie de date și securitate cibernetică și oferă oportunități economice de valoare diferită, precum și în scopul de a asigura coerența practicilor de partajare a datelor pe piața internă, inclusiv între sectoare, și pentru a încuraja și a promova practicile echitabile de partajare de date, chiar și în domeniile în care nu se oferă un astfel de drept de acces la date, prezentul regulament prevede norme orizontale privind modalitățile de acces la date, ori de câte ori un deținător de date este obligat în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii să pună date la dispoziția unui destinatar al datelor. Un astfel de acces ar trebui să se bazeze pe clauze și condiții echitabile, rezonabile, nediscriminatorii și transparente. Respectivele norme generale de acces nu se aplică în cazul obligațiilor de punere la dispoziție a datelor prevăzute în Regulamentul (UE) 2016/679. Partajarea voluntară de date rămâne neatinsă de respectivele norme. Modelele de clauze contractuale fără caracter obligatoriu pentru partajarea de date între întreprinderi, care urmează să fie elaborate și recomandate de Comisie, pot ajuta părțile să încheie contracte care includ clauze și condiții echitabile, rezonabile și nediscriminatorii și care sunt puse în aplicare în mod transparent. Încheierea de contracte care pot include modele de clauze contractuale fără caracter obligatoriu nu ar trebui să însemne că dreptul de a partaja date cu terți este condiționat în vreun fel de existența unui astfel de contract. În cazul în care părțile nu pot încheia un contract de partajare de date, inclusiv cu sprijinul organismelor de soluționare a litigiilor, dreptul de a partaja date cu terți poate fi recunoscut de către instanțele judecătorești sau tribunalele naționale.

(43)

Pe baza principiului libertății contractuale, părțile ar trebui să își păstreze libertatea de a negocia, în contractele lor, condițiile precise de punere la dispoziție a datelor, în cadrul normelor generale de acces pentru punerea la dispoziție a datelor. Clauzele unor astfel de contracte ar putea include măsuri tehnice și organizatorice, inclusiv în ceea ce privește securitatea datelor.

(44)

Pentru a se asigura echitatea condițiilor de acces obligatoriu la date pentru ambele părți la un contract, normele generale privind drepturile de acces la date ar trebui să conțină o trimitere la norma de evitare a clauzelor contractuale abuzive.

(45)

Niciun acord încheiat în relațiile dintre întreprinderi pentru punerea la dispoziție a datelor nu ar trebui să facă discriminări între categorii comparabile de destinatari ai datelor, indiferent dacă părțile sunt întreprinderi mari sau IMM-uri. Pentru compensarea lipsei de informații cu privire la condițiile cuprinse în diferite contracte, din cauza căreia destinatarului datelor îi este greu să evalueze caracterul nediscriminatoriu al condițiilor de punere la dispoziție a datelor, responsabilitatea pentru a demonstra că o clauză contractuală nu este discriminatorie ar trebui să le revină deținătorilor de date. Nu este considerată discriminare ilegală situația în care un deținător de date utilizează clauze contractuale diferite pentru punerea la dispoziție de date, dacă aceste diferențe sunt justificate de motive obiective. Respectivele obligații nu aduc atingere Regulamentului (UE) 2016/679.

(46)

Pentru a promova investițiile continue în generarea și punerea la dispoziție de date valoroase, inclusiv investițiile în instrumente tehnice relevante, evitând totodată sarcinile excesive legate de accesul la date și de utilizarea datelor, care fac ca partajarea datelor să nu mai fie viabilă din punct de vedere comercial, prezentul regulament conține principiul potrivit căruia în cadrul relațiilor între întreprinderi, deținătorii de date pot solicita o compensație rezonabilă pentru cazurile în care sunt obligați în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii să pună date la dispoziția unui destinatar al datelor. O astfel de compensație nu ar trebui înțeleasă în sensul că reprezintă o plată pentru datele în sine. Comisia ar trebui să adopte orientări privind calculul compensației rezonabile în economia datelor.

(47)

În primul rând, compensația rezonabilă pentru îndeplinirea obligației în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii de a da curs unei cereri de punere la dispoziție a datelor poate include compensarea costurilor suportate pentru punerea la dispoziție a datelor. Respectivele costuri pot fi costuri tehnice, cum ar fi costurile necesare pentru reproducerea datelor, difuzarea acestora prin mijloace electronice și stocarea lor, dar nu și pentru colectarea sau producerea lor. Astfel de costuri tehnice pot cuprinde, de asemenea, costurile de prelucrare necesare pentru punerea la dispoziție a datelor, inclusiv costurile aferente formatării datelor. Costurile legate de punerea la dispoziție a datelor pot cuprinde, de asemenea, costurile de facilitare a cererilor concrete de partajare de date. Totodată, ele pot varia în funcție de volumul de date, precum și de modalitățile de punere la dispoziție a datelor. Înțelegerile pe termen lung dintre deținătorii de date și destinatarii datelor, de exemplu prin intermediul unui model de abonament sau prin utilizarea contractelor inteligente, pot reduce costurile în tranzacțiile periodice sau repetitive din cadrul unei relații de afaceri. Costurile legate de punerea la dispoziție a datelor sunt fie specifice unei anumite cereri, fie partajate cu alte cereri. În acest din urmă caz, un singur destinatar al datelor nu ar trebui să suporte toate costurile de punere la dispoziție a datelor. În al doilea rând, compensația rezonabilă poate include, de asemenea, o marjă, cu excepția cazului IMM-urilor și a organizațiilor de cercetare fără scop lucrativ. O marjă poate varia în funcție de factori legați de datele în sine, cum ar fi volumul, formatul sau natura datelor. Ea poate lua în considerare costurile de colectare a datelor. Prin urmare, o marjă poate scădea în cazul în care deținătorul de date a colectat datele pentru propria sa activitate fără investiții semnificative sau poate crește în cazul în care investițiile în colectarea datelor în scopul activității deținătorului de date sunt ridicate. Ea poate fi limitată sau chiar exclusă în situațiile în care utilizarea datelor de către destinatarul datelor nu afectează propriile activități ale deținătorului de date. Faptul că datele sunt cogenerate de un produs conectat deținut, închiriat sau luat în leasing de utilizator ar putea, în plus, să reducă cuantumul compensației în comparație cu alte situații în care datele sunt generate de deținătorul de date, cum ar fi în timpul furnizării unui serviciu conex.

(48)

În cazul partajării de date între întreprinderi mari sau în cazul în care deținătorul de date este o întreprindere mică sau mijlocie și destinatarul datelor este o întreprindere mare, nu este necesar să se intervină. În astfel de cazuri, întreprinderile sunt considerate a fi capabile să negocieze compensația în limitele a ceea ce este rezonabil și nediscriminatoriu.

(49)

Pentru protejarea IMM-urilor de sarcinile economice excesive, ca urmare a cărora le-ar fi greu din punct de vedere comercial să dezvolte și să gestioneze modele de afaceri inovatoare, compensația rezonabilă pentru punerea la dispoziție a datelor care urmează să fie plătită de acestea nu ar trebui să depășească costurile legate direct de punerea la dispoziție a datelor. Costurile legate direct de punerea la dispoziție a datelor sunt acele costuri care pot fi atribuite cererilor individuale, ținându-se seama de faptul că interfețele tehnice necesare sau software-ul și conectivitatea aferente trebuie să fie instalate cu titlu permanent de către deținătorul de date. Același regim ar trebui să se aplice organizațiilor de cercetare fără scop lucrativ.

(50)

În cazuri justificate corespunzător, inclusiv când este necesar să se protejeze participarea consumatorilor și concurența sau să se promoveze inovarea pe anumite piețe, se pot prevedea compensații reglementate pentru punerea la dispoziție a anumitor tipuri de date, în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii.

(51)

Transparența este un principiu important pentru a se asigura că compensația solicitată de un deținător de date este rezonabilă sau, în cazul în care destinatarul datelor este o IMM sau o organizație de cercetare fără scop lucrativ, că respectiva compensație nu depășește costurile legate direct de punerea datelor la dispoziția destinatarului datelor și că ea poate fi atribuită cererii individuale. Pentru a permite destinatarilor datelor să evalueze și să verifice dacă respectiva compensație este conformă cu cerințele prezentului regulament, deținătorul de date ar trebui să furnizeze destinatarului datelor informații suficient de detaliate pentru calcularea compensației.

(52)

Asigurarea accesului la modalități alternative de soluționare a litigiilor naționale și transfrontaliere care apar în legătură cu punerea la dispoziție a datelor ar trebui să fie în beneficiul deținătorilor de date și al destinatarilor datelor și, prin urmare, să consolideze încrederea în partajarea datelor. În cazurile în care părțile nu pot conveni asupra unor clauze și condiții echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor, organismele de soluționare a litigiilor ar trebui să ofere părților o soluție simplă, rapidă și necostisitoare. Deși prezentul regulament stabilește doar condițiile pe care organismele de soluționare a litigiilor trebuie să le îndeplinească pentru a fi certificate, statele membre sunt libere să adopte orice norme specifice pentru procedura de certificare, inclusiv expirarea sau revocarea certificării. Dispozițiile prezentului regulament privind soluționarea litigiilor nu ar trebui să impună statelor membre să instituie organisme de soluționare a litigiilor.

(53)

Procedura de soluționare a litigiilor în temeiul prezentului regulament este o procedură voluntară care le permite utilizatorilor, deținătorilor de date și destinatarilor datelor să convină asupra apelării la organisme de soluționare a litigiilor pentru soluționarea litigiilor lor. Prin urmare, părțile ar trebui să aibă libertatea de a se adresa unui organism de soluționare a litigiilor la alegere, fie în interiorul, fie în afara statelor membre în care sunt stabilite părțile respective.

(54)

Pentru a evita cazurile în care două sau mai multe organisme de soluționare a litigiilor sunt sesizate pentru același litigiu, în special în context transfrontalier, ar trebui ca un organism de soluționare a litigiilor să poată refuză să trateze o cerere de soluționare a unui litigiu dacă aceasta a fost deja introdusă în fața unui alt organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(55)

Pentru a asigura aplicarea uniformă a prezentului regulament, organismele de soluționare a litigiilor ar trebui să țină seama de modelele de clauze contractuale fără caracter obligatoriu care urmează să fie elaborate și recomandate de Comisie, precum și de dreptul Uniunii sau de dreptul intern care precizează obligațiile privind partajarea datelor sau de orientările emise de autoritățile sectoriale pentru aplicarea normelor respective.

(56)

Părțile la procedurile de soluționare a litigiilor nu ar trebui să fie împiedicate să își exercite drepturile fundamentale la o cale de atac eficientă și la un proces echitabil. Prin urmare, părțile care decid să sesizeze un organism de soluționare a litigiilor nu ar trebui să fie private de dreptul de a introduce o cale de atac în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru. Organismele de soluționare a litigiilor ar trebui să pună la dispoziția publicului rapoarte anuale de activitate.

(57)

Deținătorii de date pot aplica măsuri tehnice de protecție corespunzătoare pentru a preveni divulgarea ilegală a datelor sau accesul la acestea. Însă măsurile respective nu ar trebui să instituie discriminări între destinatarii datelor și nici să împiedice accesul la date sau utilizarea datelor de către utilizatori sau de către destinatarii datelor. În cazul unor practici abuzive din partea unui destinatar al datelor, cum ar fi inducerea în eroare a deținătorului de date prin furnizarea de informații false cu intenția de a utiliza datele în scopuri ilegale, inclusiv dezvoltarea unui produs conectat concurent pe baza datelor, deținătorul de date și, după caz, atunci când aceștia nu sunt aceeași persoană, deținătorul secretului comercial sau utilizatorul poate solicita terțului sau destinatarului datelor să pună în aplicare măsuri corective sau de remediere fără întârzieri nejustificate. Orice astfel de cerere, în special cererile de a sista producția, oferta sau introducerea pe piață a unor produse, date derivate sau servicii, precum și cererile de a sista importul, exportul, depozitarea bunurilor care încalcă drepturile, sau de a distruge bunurile respective, ar trebui evaluate din perspectiva proporționalității lor în raport cu interesele deținătorului de date, ale deținătorului secretului comercial sau ale utilizatorului.

(58)

În cazul în care una dintre părți se află într-o poziție de negociere mai puternică, există riscul ca partea respectivă să profite de o astfel de poziție în detrimentul celeilalte părți contractante atunci când negociază accesul la date, ceea ce are drept rezultat că accesul la date este mai puțin viabil din punct de vedere comercial și uneori prohibitiv din punct de vedere economic. Astfel de dezechilibre contractuale dăunează tuturor întreprinderilor care nu dispun de o capacitate semnificativă de a negocia condițiile de acces la date și care ar putea să nu aibă altă alternativă decât să accepte clauzele contractuale sau de a renunța la contract. Prin urmare, clauzele contractuale abuzive care reglementează accesul la date și utilizarea acestora sau răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu ar trebui să fie obligatorii pentru întreprinderi atunci când clauzele respective le-au fost impuse în mod unilateral respectivelor întreprinderi.

(59)

În normele referitoare la clauzele contractuale ar trebui să se țină seama de principiul libertății contractuale, un concept esențial în relațiile dintre întreprinderi. Prin urmare, nu toate clauzele contractuale ar trebui să facă obiectul unui test privind caracterul abuziv, ci numai clauzele care sunt impuse în mod unilateral microîntreprinderilor și întreprinderilor mici și mijlocii. Sunt vizate situațiile în care singura opțiune este între a accepta clauze contractuale sau a renunța la contract, situații în care una dintre părți oferă o anumită clauză contractuală, iar cealaltă întreprindere nu poate influența conținutul clauzei respective, în pofida încercării de a o negocia. O clauză contractuală care este pur și simplu oferită de una dintre părți și acceptată cealaltă întreprindere, sau o clauză care este negociată și asupra căreia părțile contractante convin ulterior după aducerea unor modificări nu ar trebui considerată ca fiind impusă unilateral.

(60)

În plus, normele privind clauzele contractuale abuzive ar trebui să se aplice numai elementelor unui contract care sunt legate de punerea la dispoziție a datelor, și anume clauzelor contractuale referitoare la accesul la date și la utilizarea acestora, precum și la răspunderea sau măsurile reparatorii pentru încălcarea și încetarea obligațiilor legate de date. Alte părți ale aceluiași contract, care nu au legătură cu punerea la dispoziție a datelor, nu ar trebui să facă obiectul testului privind caracterul abuziv prevăzut în prezentul regulament.

(61)

Criteriile de identificare a clauzelor contractuale abuzive ar trebui să se aplice numai clauzelor contractuale excesive, în cazul cărora se abuzează de o poziție de negociere mai puternică. Marea majoritate a clauzelor contractuale care sunt mai avantajoase din punct de vedere comercial pentru o parte decât pentru cealaltă parte, inclusiv cele care sunt normale în contractele dintre întreprinderi, reprezintă o expresie normală a principiului libertății contractuale și se aplică în continuare. În sensul prezentului regulament, devierea flagrantă de la bunele practici comerciale ar include, printre altele, afectarea obiectivă a capacității părții căreia i-a fost impusă în mod unilateral clauza de a-și proteja interesul comercial legitim față de datele în cauză.

(62)

Pentru a asigura securitatea juridică, prezentul regulament stabilește o listă cu clauze care sunt întotdeauna considerate abuzive și o listă cu clauze despre care se presupune că sunt abuzive. În al doilea caz, întreprinderea care impune clauza contractuală ar trebui să poată răsturna prezumția de caracter abuziv demonstrând că clauza contractuală menționată în prezentul regulament nu este abuzivă în cazul respectiv. Dacă o clauză contractuală nu este inclusă în lista clauzelor care sunt întotdeauna considerate abuzive sau care sunt prezumate a fi abuzive, se aplică dispoziția generală privind caracterul abuziv. În această privință, clauzele contractuale din lista clauzelor abuzive din prezentul regulament ar trebui să servească drept etalon pentru interpretarea dispoziției generale privind caracterul abuziv. În sfârșit, modelele de clauze contractuale fără caracter obligatoriu pentru contractele de partajare de date între întreprinderi, care urmează să fie elaborate și recomandate de Comisie, pot fi de asemenea utile pentru părțile comerciale atunci când acestea negociază contracte. În cazul în care o clauză contractuală este declarată abuzivă, contractul în cauză ar trebui să continue să se aplice fără clauza respectivă, cu excepția cazului în care clauza contractuală abuzivă nu poate fi separată de celelalte clauze ale contractului.

(63)

În situații de nevoie excepțională, ar putea fi necesar ca organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii să utilizeze, în exercitarea sarcinilor statutare în interes public, datele existente, inclusiv, după caz, metadatele aferente, pentru a răspunde unor situații de urgență sau în alte cazuri excepționale. Nevoile excepționale sunt circumstanțe imprevizibile și limitate în timp, spre deosebire de alte circumstanțe care ar putea fi planificate, programate, periodice sau frecvente. Deși noțiunea de „deținător de date” nu include, în general, organismele din sectorul public, ea poate include întreprinderi publice. Organizațiile care desfășoară activități de cercetare și organizațiile care finanțează activități de cercetare ar putea fi, de asemenea, organizate ca organisme din sectorul public sau organisme de drept public. În vederea limitării sarcinii pentru întreprinderi, microîntreprinderile și întreprinderile mici ar trebui să aibă obligația de a furniza date organismelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii numai în situații de nevoie excepțională, când astfel de date sunt necesare pentru a răspunde unei situații de urgență și organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii nu este în măsură să obțină astfel de date prin mijloace alternative în timp util și în mod eficace, în condiții echivalente.

(64)

În cazul situațiilor de urgență, cum ar fi situațiile de urgență de sănătate publică, situațiile de urgență cauzate de dezastre naturale, inclusiv cele agravate de schimbările climatice și degradarea mediului, precum și dezastrele antropice majore, cum ar fi incidentele majore de securitate cibernetică, interesul public care rezultă din utilizarea datelor va prevala asupra intereselor deținătorilor de date de a dispune liber de datele pe care le dețin. Într-un astfel de caz, deținătorii de date ar trebui să fie obligați să pună datele la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organelor Uniunii, la cererea acestora. Existența unei situații de urgență ar trebui să fie determinată sau declarată în conformitate cu dreptul Uniunii sau cu dreptul intern și ar trebui să se bazeze pe procedurile relevante, inclusiv cele ale organizațiilor internaționale relevante. În astfel de cazuri, organismul din sectorul public ar trebui să demonstreze că datele care fac obiectul cererii nu ar putea fi altfel obținute în timp util, în mod eficace și în condiții echivalente, de exemplu prin furnizarea voluntară de date de către o altă întreprindere sau prin consultarea unei baze de date publice.

(65)

O nevoie excepțională poate rezulta, de asemenea, din alte situații decât cele de urgență. În astfel de cazuri, un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii ar trebui să poată solicita numai date fără caracter personal. Organismul din sectorul public ar trebui să demonstreze că datele sunt necesare pentru îndeplinirea unei sarcini specifice de interes public, sarcină prevăzută în mod explicit de lege, cum ar fi producerea de statistici oficiale sau atenuarea unei situații de urgență ori redresarea în urma unei astfel de situații de urgență. În plus, o astfel de cerere poate fi introdusă numai atunci când organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii a identificat date specifice care nu ar putea fi altfel obținute în timp util, în mod eficace și în condiții echivalente și numai dacă a epuizat toate celelalte mijloace de care dispune pentru a obține astfel de date, cum ar fi obținerea datelor prin acorduri voluntare, inclusiv achiziționarea de date fără caracter personal de pe piață la tarifele pieței sau invocarea obligațiilor existente de punere la dispoziție a datelor ori adoptarea de noi măsuri legislative care ar putea garanta disponibilitatea în timp util a datelor. Ar trebui să se aplice, de asemenea, condițiile și principiile aplicabile cererilor de tipul celor legate de limitarea scopului, proporționalitate, transparență și limitarea în timp. În cazul cererilor de date necesare pentru producerea de statistici oficiale, organismul solicitant din sectorul public ar trebui, de asemenea, să demonstreze că dreptul intern nu îi permite să achiziționeze date fără caracter personal de pe piață.

(66)

Prezentul regulament nu ar trebui să se aplice în cazul înțelegerilor voluntare de schimb de date între entități private și publice, inclusiv furnizarea de date de către IMM-uri, și nici să împiedice astfel de înțelegeri, și nu aduce atingere actelor juridice ale Uniunii care prevăd cereri de informații obligatorii din partea entităților publice către entitățile private. Prezentul regulament nu ar trebui să aducă atingere obligațiilor de a furniza date care le sunt impuse deținătorilor de date și care sunt motivate de nevoi care nu sunt de natură excepțională, în special atunci când gama de date și de deținători de date este cunoscută sau când utilizarea datelor se poate desfășura cu regularitate, precum în cazul obligațiilor de raportare și al obligațiilor privind piața internă. Prezentul regulament nu ar trebui, de asemenea, să aducă atingere cerințelor de acces la date pentru verificarea conformității cu normele aplicabile, inclusiv în cazurile în care organismele din sectorul public atribuie sarcina de verificare a conformității altor entități decât organismele din sectorul public.

(67)

Prezentul regulament completează dreptul Uniunii și dreptul intern care prevăd accesul la date și utilizarea acestora în scopuri statistice, în special Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului (27), precum și actele juridice naționale referitoare la statisticile oficiale, și nu le aduce atingere.

(68)

Pentru exercitarea atribuțiilor care le revin în domeniul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau contravențiilor sau executării pedepselor și sancțiunilor administrative, precum și al colectării de date în scopuri fiscale sau vamale, organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii ar trebui să se bazeze pe competențele lor prevăzute în dreptul Uniunii sau în dreptul intern. În consecință, prezentul regulament nu aduce atingere actelor legislative de partajare, accesare și utilizare a datelor în respectivele domenii.

(69)

În conformitate cu articolul 6 alineatele (1) și (3) din Regulamentul (UE) 2016/679, este necesar un cadru proporționat, limitat și previzibil la nivelul Uniunii atunci când se stabilește temeiul juridic pentru punerea datelor de către deținătorii de date, în cazul unor nevoi excepționale, la dispoziția organismelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii, atât pentru a se asigura securitatea juridică, cât și pentru a se reduce la minimum sarcinile administrative pentru întreprinderi. În acest scop, cererile de date pe care organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii le adresează deținătorilor de date ar trebui să fie specifice, transparente și proporționate în ceea ce privește obiectul și granularitatea lor. Scopul cererii și utilizarea preconizată a datelor solicitate ar trebui să fie specifice și explicate în mod clar, acordându-se în același timp entității solicitante flexibilitatea necesară pentru a-și putea îndeplini sarcinile sale specifice în interes public. Cererea ar trebui, de asemenea, să respecte interesele legitime ale deținătorului de date cărui i se adresează cererea. Sarcina pentru deținătorii de date ar trebui să fie redusă la minimum, prin obligarea entităților solicitante să respecte principiul „doar o singură dată”, care împiedică solicitarea în repetate rânduri a acelorași date de către mai multe organisme din sectorul public sau de către Comisie, Banca Centrală Europeană sau organe ale Uniunii. Pentru a asigura transparența, cererile de date introduse de Comisie, de Banca Centrală Europeană sau de organele Uniunii ar trebui să fie făcute publice fără întârzieri nejustificate de către entitatea care solicită datele. Banca Centrală Europeană și organele Uniunii ar trebui să informeze Comisia cu privire la cererile introduse de acestea. Dacă cererea de date a fost introdusă de un organism din sectorul public, respectivul organism ar trebui, de asemenea, să notifice coordonatorul de date al statului membru în care este stabilit organismul din sectorul public. Ar trebui să se asigure disponibilitatea publică online a tuturor cererilor. La primirea unei notificări privind o cerere de date, autoritatea competentă poate decide să evalueze legalitatea cererii și să își exercite funcțiile în ceea ce privește asigurarea respectării prezentului regulament și aplicarea acestuia. Disponibilitatea publică online a tuturor cererilor introduse de organismele din sectorul public ar trebui să fie asigurată de coordonatorul de date.

(70)

Obiectivul obligației de a furniza datele este de a se asigura că organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii dispun de cunoștințele necesare pentru a răspunde la situațiile de urgență, a preveni astfel de situații de urgență sau a se redresa în urma acestora ori pentru a menține capacitatea de îndeplinire a unor sarcini specifice prevăzute în mod explicit de lege. Este posibil ca datele obținute de respectivele entități să fie sensibile din punct de vedere comercial. Prin urmare, datele puse la dispoziție în temeiul prezentului regulament nu ar trebui să intre în domeniul de aplicare al Regulamentului (UE) 2022/868, nici al Directivei (UE) 2019/1024 a Parlamentului European și a Consiliului (28) și nu ar trebui considerate date deschise disponibile pentru reutilizare de către terț. Acest lucru nu ar trebui să aducă însă atingere aplicabilității Directivei (UE) 2019/1024 în cazul reutilizării statisticilor oficiale pentru producerea cărora au fost utilizate datele obținute în temeiul prezentului regulament, cu condiția ca reutilizarea să nu includă datele subiacente. Sub rezerva îndeplinirii condițiilor prevăzute în prezentul regulament, nu ar trebui să se aducă atingere nici posibilității de partajare a datelor pentru desfășurarea de activități de cercetare sau pentru dezvoltarea, producerea și difuzarea de statistici oficiale. Organismele din sectorul public ar trebui, de asemenea, să poată face schimb de datele obținute în temeiul prezentului regulament cu alte organisme din sectorul public, cu Comisia, cu Banca Centrală Europeană sau cu organe ale Uniunii în scopul abordării nevoilor excepționale pentru care au fost solicitate datele.

(71)

Deținătorii de date ar trebui să aibă posibilitatea fie de a respinge o cerere introdusă de un organism din sectorul public, de Comisie, de Banca Centrală Europeană ori de un organ al Uniunii, fie de a solicita modificarea acesteia, fără întârzieri nejustificate și, în orice caz, în termen de maxim cinci sau 30 de zile lucrătoare, în funcție de natura nevoii excepționale invocate în cerere. După caz, deținătorul de date ar trebui să aibă această posibilitate în cazul în care nu deține controlul asupra datelor solicitate, și anume în cazul în care nu are acces imediat la date și nu poate determina disponibilitatea acestora. Ar trebui să existe un motiv întemeiat pentru nepunerea la dispoziție a datelor dacă se poate demonstra că cererea este similară cu o cerere introdusă anterior în același scop de către un alt organism din sectorul public sau de Comisie, de Banca Centrală Europeană sau de un organ al Uniunii și deținătorul de date a fost notificat cu privire la ștergerea datelor în temeiul prezentului regulament. Dacă un deținător de date respinge cererea sau solicită modificarea acesteia, respectivul deținător de date ar trebui să comunice organismului din sectorul public, Comisiei, Băncii Centrale Europene sau organului Uniunii care solicită datele justificarea aferentă. În cazul în care drepturile sui generis privind bazele de date prevăzute în Directiva 96/9/CE a Parlamentului European și a Consiliului (29) se aplică în legătură cu seturile de date solicitate, deținătorii de date ar trebui să își exercite drepturile într-un mod care să nu împiedice organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii să obțină datele ori să le partajeze în conformitate cu prezentul regulament.

(72)

În cazul unei nevoi excepționale legate de răspunsul la o situație de urgență, organismele din sectorul public ar trebui să utilizeze date fără caracter personal ori de câte ori este posibil. În cazul cererilor introduse pe baza unei nevoi excepționale care nu este legată de o situație de urgență, nu pot fi solicitate date cu caracter personal. În cazul în care datele cu caracter personal fac obiectul cererii, deținătorul de date ar trebui să anonimizeze datele respective. În cazul în care este strict necesar să se includă date cu caracter personal în datele care urmează să fie puse la dispoziția unui organism din sectorul public, a Comisiei, a Băncii Centrale Europene sau a unui organ al Uniunii sau în situația în care anonimizarea se dovedește a fi imposibilă, entitatea care solicită datele ar trebui să demonstreze indispensabilitatea și scopurile specifice și limitate ale prelucrării. Normele aplicabile în materie de protecție a datelor cu caracter personal ar trebui respectate. Punerea la dispoziție a datelor și utilizarea ulterioară a acestora ar trebui să fie însoțite de garanții pentru drepturile și interesele persoanelor vizate de datele respective.

(73)

Datele puse la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organelor Uniunii pe baza unei nevoi excepționale ar trebui utilizate numai în scopurile pentru care au fost solicitate, cu excepția cazului în care deținătorul de date care a pus la dispoziție datele și-a dat acordul expres ca datele să fie utilizate în alte scopuri. Datele ar trebui șterse când nu mai sunt necesare în scopurile declarate în cerere, cu excepția cazului în care se convine altfel, iar deținătorul de date ar trebui să fie informat în acest sens. Prezentul regulament se bazează pe regimurile de acces existente în Uniune și în statele membre și nu modifică dreptul intern privind accesul public la documente în contextul obligațiilor de transparență. Datele ar trebui șterse de îndată ce nu mai sunt necesare pentru îndeplinirea acestor obligații de transparență.

(74)

Când reutilizează date furnizate de către deținătorii de date, organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii ar trebui să respecte atât dreptul Uniunii sau dreptul intern aplicabil existent, cât și obligațiile contractuale care îi revin deținătorului de date. Acestea ar trebui să se abțină de la dezvoltarea sau îmbunătățirea unui produs conectat sau serviciu conex care concurează cu produsul conectat sau serviciul conex al deținătorului de date, precum și de la partajarea datelor cu un terț în scopurile respective. Acestea ar trebui, de asemenea, să ofere recunoaștere publică deținătorilor de date, la cererea acestora, și ar trebui să fie responsabile pentru menținerea securității datelor primite. În cazul în care, pentru îndeplinirea scopului în care au fost solicitate datele, este strict necesar ca organismelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii să le fie divulgate secrete comerciale ale deținătorului de date, ar trebui să se garanteze confidențialitatea divulgării respective înainte ca datele să fie divulgate.

(75)

Când scopul este protejarea unui bun public important, cum ar fi în cazul răspunsului la situațiile de urgență, nu ar trebui să se aștepte din partea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organului Uniunii în cauză să compenseze întreprinderile pentru datele obținute. Situațiile de urgență sunt evenimente rare și nu toate situațiile de urgență de acest fel necesită utilizarea de date deținute de întreprinderi. În același timp, obligația de a furniza date ar putea constitui o sarcină considerabilă pentru microîntreprinderi și întreprinderile mici. Prin urmare, ar trebui să li se permită acestora să solicite o compensație chiar și în contextul unui răspuns la o situație de urgență. Este puțin probabil, așadar, ca activitățile comerciale ale deținătorilor de date să fie influențate în mod negativ ca urmare a faptului că organismele din sectorul public, Comisia, Banca Centrală Europeană sau organele Uniunii recurg la prezentul regulament. Cu toate acestea, întrucât cazurile în care există o nevoie excepțională, altele decât cazurile de răspuns la o situație de urgență, ar putea fi mai frecvente, deținătorii de date ar trebui să aibă dreptul, în astfel de cazuri, la o compensație rezonabilă, care nu ar trebui să depășească costurile tehnice și organizatorice suportate pentru îndeplinirea cererii și marja rezonabilă necesară pentru punerea datelor la dispoziția organismului din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organului Uniunii. Compensația nu ar trebui înțeleasă ca reprezentând o plată pentru datele în sine sau ca fiind obligatorie. Deținătorii de date nu ar trebui să poată solicita o compensație în cazul în care dreptul intern împiedică institutele naționale de statistică sau alte autorități naționale responsabile cu producerea de statistici să ofere compensație deținătorilor de date pentru punerea la dispoziție a datelor. Organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii în cauză ar trebui să poată contesta nivelul compensației solicitate de deținătorul de date prin sesizarea autorității competente a statului membru în care este stabilit deținătorul de date.

(76)

Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii ar trebui să aibă dreptul de a partaja datele pe care le-a obținut în urma cererii cu alte entități sau persoane, atunci când acest lucru este necesar pentru desfășurarea de activități de cercetare științifică sau de activități analitice pe care nu le poate efectua independent, cu condiția ca activitățile respective să fie compatibile cu scopul în care au fost solicitate datele. Deținătorul de date ar trebui să fie informat în timp util cu privire la o astfel de partajare. Aceste date pot, de asemenea, să fie partajate, în aceleași condiții, cu institutele naționale de statistică și cu Eurostat, în vederea dezvoltării, producerii și difuzării de statistici oficiale. Astfel de activități de cercetare ar trebui să fie compatibile însă cu scopul în care au fost solicitate datele, iar deținătorul datelor ar trebui să fie informat cu privire la partajarea ulterioară a datelor pe care le-a furnizat. Persoanele fizice care desfășoară activități de cercetare sau organizațiile de cercetare cu care respectivele date ar putea fi partajate ar trebui să acționeze fie fără scop lucrativ, fie în contextul unei misiuni de interes public recunoscute de stat. Organizațiile asupra cărora societățile comerciale au o influență semnificativă care le permite societăților comerciale să exercite control datorită situațiilor structurale, ceea ce ar putea determina accesul preferențial al acestora la rezultatele cercetării, nu ar trebui să fie considerate ca fiind organizații de cercetare în sensul prezentului regulament.

(77)

Pentru a face față unei situații de urgență transfrontaliere sau unei alte nevoi excepționale, cererile de date pot fi adresate deținătorilor de date din alte state membre decât cel al organismului solicitant din sectorul public. Într-un astfel de caz, organismul solicitant din sectorul public ar trebui să trimită o notificare autorității competente a statului membru în care este stabilit deținătorul de date, pentru a-i permite acesteia să examineze cererea în funcție de criteriile stabilite în prezentul regulament. Aceeași procedură ar trebui să se aplice și în cazul cererilor introduse de Comisie, de Banca Centrală Europeană sau de un organ al Uniunii. În cazul în care sunt solicitate date cu caracter personal, organismul din sectorul public ar trebui să trimită o notificare autorității de supraveghere responsabile de monitorizarea aplicării Regulamentului (UE) 2016/679 în statul membru în care este stabilit organismul din sectorul public. Autoritatea competentă în cauză ar trebui să aibă dreptul de a consilia organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii să coopereze cu organismele din sectorul public ale statului membru în care este stabilit deținătorul de date în ceea ce privește necesitatea de a asigura reducerea la minimum a sarcinii administrative pentru deținătorul de date. Atunci când autoritatea competentă formulează obiecții întemeiate în ceea ce privește conformitatea cererii cu prezentul regulament, aceasta ar trebui să respingă cererea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene sau a organului Uniunii, care ar trebui să țină seama de obiecțiile respective înainte de a întreprinde orice fel de acțiune, inclusiv reintroducerea cererii.

(78)

Capacitatea clienților serviciilor de prelucrare a datelor, inclusiv ai serviciilor de cloud și ai serviciilor la marginea rețelei, de a trece de la un serviciu de prelucrare a datelor la altul, menținând în același timp o funcționalitate minimă a serviciului și fără o întrerupere a serviciilor, sau de a utiliza simultan serviciile mai multor furnizori fără obstacole nejustificate și fără costuri neîntemeiate aferente transferului de date, este o condiție esențială pentru o piață mai competitivă, cu mai puține bariere la intrarea pe piață pentru noii furnizori de servicii de prelucrare a datelor, precum și pentru a garanta o mai mare reziliență pentru utilizatorii serviciilor respective. Clienții care beneficiază de oferte care vizează un nivel de servicii gratuit ar trebui, de asemenea, să beneficieze de dispozițiile privind trecerea la alt furnizor prevăzute în prezentul regulament, astfel încât respectivele oferte să nu conducă la o situație de client captiv.

(79)

Prin Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului (30), furnizorii de servicii de prelucrare a datelor sunt încurajați să elaboreze și să aplice efectiv coduri de conduită de autoreglementare care să cuprindă bune practici pentru, printre altele, facilitarea trecerii la alți furnizori de servicii de prelucrare a datelor și portarea datelor. Date fiind adoptarea limitată a cadrelor de autoreglementare elaborate ca răspuns și indisponibilitatea generală a unor standarde și interfețe deschise, este necesar să se adopte un set de obligații minime de reglementare pentru furnizorii de servicii de prelucrare a datelor, în vederea eliminării obstacolelor precomerciale, comerciale, tehnice, contractuale și organizatorice, cum ar fi, printre altele, reducerea vitezei de transfer al datelor atunci când clientul reziliază contractul, care împiedică trecerea efectivă de la un serviciu de prelucrare a datelor la altul.

(80)

Serviciile de prelucrare a datelor ar trebui să acopere serviciile care permit accesul ubicuu și la cerere în rețea la un bazin comun configurabil, scalabil și elastic de resurse informatice distribuite. Astfel de resurse informatice includ resurse precum rețelele, serverele ori alte infrastructuri virtuale sau fizice, software-urile, inclusiv instrumentele de dezvoltare de software, stocarea, aplicațiile și serviciile. Capacitatea clientului serviciului de prelucrare a datelor de a furniza în mod unilateral capacități de calcul autonome, cum ar fi ora serverului sau stocarea în rețea, fără nicio interacțiune umană din partea furnizorului de servicii de prelucrare a datelor, ar putea fi descrisă ca necesitând un efort minim de administrare și implicând o interacțiune minimă între furnizor și client. Termenul „ubicuu” este utilizat pentru a descrie capacitățile de calcul furnizate prin rețea și accesate prin mecanisme care promovează utilizarea unor platforme eterogene pentru „terminale ușoare” (thin clients) sau „terminale grele” (thick clients) (de la navigatoare web până la dispozitive mobile și stații de lucru). Termenul „scalabil” se referă la resursele informatice care se alocă flexibil de către furnizorul de servicii de prelucrare a datelor, indiferent de poziția geografică a resurselor, în vederea administrării fluctuațiilor de cerere. Termenul „elastic” se referă la resursele informatice care sunt mobilizate și eliberate în funcție de cerere, în vederea înmulțirii sau reducerii rapide a resurselor disponibile în conformitate cu volumul de lucru. Termenul „bazin comun” descrie resursele informatice care sunt furnizate mai multor utilizatori care au acces comun la serviciu, dar prelucrarea se efectuează separat pentru fiecare utilizator, deși serviciul este furnizat de același echipament electronic. Termenul „distribuit” se referă la resursele informatice care sunt situate pe diferite calculatoare sau dispozitive în rețea și care comunică și se coordonează între ele prin transmiterea de mesaje. Termenul „foarte distribuit” se referă la serviciile de prelucrare a datelor care implică prelucrarea datelor mai aproape de locul în care sunt generate sau colectate datele, de exemplu într-un dispozitiv conectat de prelucrare a datelor. Se așteaptă ca tehnica de calcul la margine (edge computing), care este o astfel de formă de prelucrare foarte distribuită a datelor, să genereze noi modele de afaceri și modele de furnizare a serviciilor de cloud, care ar trebui să fie deschise și interoperabile de la bun început.

(81)

Conceptul generic de „servicii de prelucrare a datelor” acoperă un număr substanțial de servicii cu o gamă foarte largă de scopuri, funcționalități și configurații tehnice diferite. După cum sunt înțelese în general de furnizori și utilizatori și în conformitate cu standardele utilizate pe scară largă, serviciile de prelucrare a datelor se încadrează în unul sau mai multe dintre următoarele trei modele de furnizare a serviciilor de prelucrare a datelor, și anume infrastructură ca serviciu (IaaS), platformă ca serviciu (PaaS) și software ca serviciu (SaaS). Aceste modele de furnizare a serviciilor reprezintă o combinație specifică, prestabilită, de resurse informatice oferite de un furnizor de servicii de prelucrare a datelor. Respectivele trei modele de bază de furnizare a serviciilor de prelucrare a datelor sunt completate de noi variații, fiecare alcătuită dintr-o combinație distinctă de resurse informatice, cum ar fi stocarea ca serviciu (Storage-as-a-Service) și baza de date ca serviciu (Database-as-a-Service). Serviciile de prelucrare a datelor pot fi clasificate în mod mai detaliat și puse pe o listă neexhaustivă de seturi de servicii de prelucrare a datelor care au în comun același obiectiv principal și aceleași funcționalități principale, precum și același tip de modele de prelucrare a datelor, care nu sunt legate de caracteristicile operaționale ale serviciului (același tip de serviciu). Serviciile care se încadrează în același tip de serviciu pot avea în comun același model de furnizare a serviciilor de prelucrare a datelor; cu toate acestea, două baze de date ar putea părea că au în comun același obiectiv principal, dar, după analizarea modelului lor de prelucrare a datelor, a modelului lor de distribuție și a cazurilor de utilizare pe care le vizează, s-ar putea ca acele baze de date să se încadreze într-o subcategorie mai detaliată de servicii similare. Serviciile care se încadrează în același tip de serviciu pot avea caracteristici diferite și concurente, cum ar fi performanța, securitatea, reziliența și calitatea serviciului.

(82)

Compromiterea extragerii datelor exportabile care îi aparțin clientului de la furnizorul de servicii de prelucrare a datelor de origine poate împiedica restabilirea funcționalităților serviciului în infrastructura furnizorului de servicii de prelucrare a datelor de destinație. Pentru a facilita strategia de ieșire a clientului, pentru a evita sarcinile inutile și împovărătoare și pentru a se asigura că clientul nu își pierde niciuna din datele sale ca urmare a procesului de trecere la alt furnizor, furnizorul de prelucrare a datelor de origine ar trebui să informeze clientul în prealabil cu privire la tipurile de date care pot fi exportate odată ce clientul respectiv decide să treacă la un serviciu diferit furnizat de un furnizor diferit de servicii de prelucrare a datelor sau la o infrastructură TIC locală. Datele exportabile ar trebui să includă, cel puțin, datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate prin utilizarea de către client a serviciului de prelucrare a datelor, excluzând orice active sau date ale furnizorului de servicii de prelucrare a datelor sau ale unui terț. Datele exportabile ar trebui să excludă orice active sau date ale furnizorului de servicii de prelucrare a datelor sau ale terțului care sunt protejate de drepturi de proprietate intelectuală sau care constituie secrete comerciale ale furnizorului respectiv sau ale terțului respectiv, sau date legate de integritatea și securitatea serviciului, al căror export i-ar expune pe furnizorii de servicii de prelucrare a datelor la vulnerabilități în materie de securitate cibernetică. Respectivele excluderi nu ar trebui să împiedice sau să întârzie procesul de trecere la alt furnizor.

(83)

Activele digitale se referă la elemente în format digital asupra cărora clientul are drept de utilizare, inclusiv aplicațiile și metadatele legate de configurarea setărilor, securitate și gestiunea drepturilor de acces și de control, precum și alte elemente cum ar fi manifestări ale tehnologiilor de virtualizare, inclusiv mașinile virtuale și containerele. Activele digitale pot fi transferate în cazul în care clientul are drept de utilizare asupra lor, indiferent de relația contractuală cu serviciul de prelucrare a datelor pe care intenționează să îl schimbe. Aceste alte elemente sunt esențiale pentru o utilizare eficace a datelor și aplicațiilor clientului în mediul furnizorului de servicii de prelucrare a datelor de destinație.

(84)

Prin prezentul regulament se urmărește facilitarea trecerii de la un serviciu de prelucrare a datelor la altul, ceea ce cuprinde condițiile și acțiunile necesare pentru ca un client să rezilieze un contract având ca obiect un serviciu de prelucrare a datelor, să încheie unul sau mai multe contracte noi cu furnizori diferiți de servicii de prelucrare a datelor, să își porteze datele exportabile și activele digitale și, dacă este cazul, să beneficieze de echivalența funcțională.

(85)

Trecerea la alt furnizor este o operațiune în care inițiativa îi aparține clientului și care constă în mai multe etape, inclusiv extragerea datelor, care se referă la descărcarea datelor din ecosistemul furnizorului de servicii de prelucrare a datelor de origine; transformarea, dacă datele sunt structurate într-un mod care nu corespunde schemei amplasamentului de destinație; și încărcarea datelor într-un nou amplasament de destinație. Într-o situație specifică descrisă în prezentul regulament, segregarea unui anumit serviciu din contract și trecerea acestuia la un furnizor diferit ar trebui să fie considerată, de asemenea, drept trecere la alt furnizor. Procesul de trecere la alt furnizor este uneori gestionat în numele clientului de către o entitate terță. În consecință, toate drepturile și obligațiile clientului stabilite prin prezentul regulament, inclusiv obligația de a coopera cu bună-credință, ar trebui înțelese ca fiind aplicabile entității terțe respective în aceste împrejurări. Furnizorii de servicii de prelucrare a datelor și clienții au niveluri diferite de responsabilități, în funcție de etapele procesului menționat. De exemplu, furnizorul de servicii de prelucrare a datelor de origine este responsabil pentru extragerea datelor într-un format care poate fi citit automat, dar clientul și furnizorul de servicii de prelucrare a datelor de destinație sunt cei care trebuie să încarce datele în noul mediu, cu excepția cazului în care se recurge la un serviciu specific de tranziție profesional. Un client care intenționează să își exercite drepturile legate de trecerea la alt furnizor, prevăzute în prezentul regulament, ar trebui să informeze furnizorul de servicii de prelucrare a datelor de origine cu privire la decizia sa de a trece la un furnizor diferit de servicii de prelucrare a datelor, de a trece la o infrastructură TIC locală sau de a-și șterge activele și datele exportabile.

(86)

Echivalență funcțională înseamnă restabilirea, pe baza datelor exportabile și a activelor digitale ale clientului, a unui nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor, care este același tip de serviciu, după trecerea la alt furnizor, în situația în care serviciul de prelucrare a datelor de destinație produce rezultate realmente comparabile ca răspuns la aceleași date de intrare pentru caracteristicile partajate furnizate clientului în temeiul contractului. Este de așteptat ca furnizorii de servicii de prelucrare a datelor să faciliteze echivalența funcțională numai pentru caracteristicile pe care atât serviciile de prelucrare a datelor de origine, cât și cele de destinație le oferă în mod independent. Prezentul regulament nu constituie o obligație de a facilita echivalența funcțională pentru furnizorii de servicii de prelucrare a datelor, alții decât cei care oferă servicii care se încadrează în modelul de furnizare IaaS.

(87)

Serviciile de prelucrare a datelor sunt utilizate în toate sectoarele și variază în materie de complexitate și tip de servicii. Acesta este un aspect important de luat în considerare în ceea ce privește procesul de portare și termenele prevăzute. Cu toate acestea, o prelungire a perioadei de tranziție motivată de incapacitatea tehnică de a finaliza procesul de trecere la alt furnizor în intervalul de timp dat ar trebui să fie invocată numai în cazuri justificate în mod corespunzător. Sarcina probei în acest sens ar trebui să revină în întregime furnizorului serviciului de prelucrare a datelor în cauză. Acest lucru nu aduce atingere dreptului exclusiv al clientului de a prelungi perioada de tranziție, o singură dată, cu o perioadă pe care clientul o consideră mai adaptată pentru scopurile proprii. Clientul poate invoca respectivul drept de prelungire înainte sau în timpul perioadei de tranziție, ținând seama de faptul că contractul rămâne aplicabil pe parcursul perioadei de tranziție.

(88)

Taxele de trecere la alt furnizor sunt taxe impuse de furnizorii de servicii de prelucrare a datelor clienților lor pentru procesul de trecere la alt furnizor. În mod obișnuit, respectivele taxe sunt destinate să transfere costurile pe care furnizorul de servicii de prelucrare a datelor de origine le poate suporta ca urmare a procesului de trecerea la alt furnizor asupra clientului care dorește să treacă la alt furnizor. Costurile legate de transferul datelor de la un furnizor de servicii de prelucrare a datelor la altul sau către o infrastructură TIC locală (taxe pentru ieșirea datelor prin transfer) sau costurile suportate pentru acțiuni de sprijin specifice în timpul procesului de trecerea la alt furnizor constituie exemple tipice de taxe de trecere la alt furnizor. Taxele pentru ieșirea datelor prin transfer inutil de ridicate și alte taxe nejustificate care nu au legătură cu costurile reale ale trecerii la alt furnizor inhibă intenția clienților de a trece la alt furnizor, restricționează libera circulație a datelor, au potențialul de a restrânge concurența și de a produce situații de client captiv pentru clienți, prin reducerea stimulentelor pentru alegerea unui furnizor de servicii diferit sau suplimentar. Taxele de trecere la alt furnizor ar trebui, prin urmare, să fie eliminate după trei ani de la data intrării în vigoare a prezentului regulament. Furnizorii de servicii de prelucrare a datelor ar trebui să poată impune taxe de trecere la alt furnizor reduse până la respectiva dată.

(89)

Un furnizor de servicii de prelucrare a datelor de origine ar trebui să poată să externalizeze anumite sarcini și să compenseze entități terțe pentru a se conforma obligațiilor prevăzute în prezentul regulament. Clientul nu ar trebui să suporte costurile care decurg din externalizarea serviciilor de către furnizorul de servicii de prelucrare a datelor de origine în cursul procesului de trecere la alt furnizor, iar aceste costuri ar trebui să fie considerate nejustificate, cu excepția cazului în care acoperă lucrările desfășurate de furnizorul de servicii de prelucrare a datelor, la cererea clientului, în vederea acordării de sprijin suplimentar în procesul de trecere la alt furnizor, care depășesc obligațiile furnizorului în materie de trecere de la un furnizor la altul, astfel cum sunt prevăzute în mod expres în prezentul regulament. Nicio dispoziție din prezentul regulament nu împiedică un client să compenseze entități terțe pentru sprijin în cadrul procesului de migrare sau părțile să încheie contracte pentru servicii de prelucrare a datelor cu durată determinată, inclusiv penalizări proporționate de reziliere anticipată pentru a acoperi rezilierea anticipată a unor astfel de contracte, în conformitate cu dreptul Uniunii sau cu dreptul intern. Prin urmare, pentru a stimula concurența, eliminarea treptată a taxelor asociate trecerii de la un furnizor de servicii de prelucrare a datelor la altul ar trebui să includă în mod specific taxele pentru ieșirea datelor prin transfer percepute unui client de către un furnizor de servicii de prelucrare a datelor. Taxele standard respective pentru furnizarea serviciilor de prelucrare a datelor în sine nu reprezintă taxe de trecere la alt furnizor. Respectivele taxe standard pentru servicii nu fac obiectul eliminării și rămân aplicabile până când contractul pentru furnizarea serviciilor conexe încetează să se mai aplice. Prezentul regulament permite clientului să solicite furnizarea de servicii suplimentare care depășesc obligațiile furnizorului în materie de trecere de la un furnizor la altul în temeiul prezentului regulament. Respectivele servicii suplimentare pot fi prestate și facturate de furnizor atunci când sunt prestate la cererea clientului și când clientul este de acord în prealabil cu prețul serviciilor respective.

(90)

Este necesară o abordare normativă a interoperabilității ambițioasă și favorabilă inovării pentru a combate dependența de furnizor, care subminează concurența și dezvoltarea de noi servicii. Interoperabilitatea dintre serviciile de prelucrare a datelor implică multiple interfețe și niveluri de infrastructură și de software și se limitează rareori la un test binar menit să evalueze posibilitatea sau imposibilitatea obținerii acesteia. În schimb, realizarea unei astfel de interoperabilități depinde de efectuarea unei analize cost-beneficiu care este necesară pentru a stabili dacă merită să se încerce obținerea unor rezultate care să fie previzibile în măsura posibilului. ISO/IEC 19941:2017 este un standard internațional important care reprezintă o referință pentru realizarea obiectivelor prezentului regulament, deoarece conține considerații tehnice care clarifică complexitatea unui astfel de proces.

(91)

În cazul în care utilizează la rândul lor, în calitate de clienți, servicii de prelucrare a datelor furnizate de un furnizor terț, furnizorii de servicii de prelucrare a datelor vor beneficia ei înșiși de o mai mare eficacitate a procesului de trecere la alt furnizor, rămânând în același timp supuși obligațiilor din prezentul regulament în ceea ce privește propriile oferte de servicii.

(92)

Furnizorii de servicii de prelucrare a datelor ar trebui să aibă obligația de a oferi toată asistența și tot sprijinul, în limitele capacității lor și proporțional cu obligațiile lor respective, care sunt necesare pentru a asigura succesul, eficacitatea și securitatea procesului de trecere la un serviciu al unui furnizor diferit de servicii de prelucrare a datelor. Prezentul regulament nu le impune furnizorilor de servicii de prelucrare a datelor să dezvolte noi categorii de servicii de prelucrare a datelor, inclusiv în cadrul sau pe baza infrastructurii informatice a unor furnizori diferiți de servicii de prelucrare a datelor, pentru a garanta echivalența funcțională într-un mediu diferit de sistemele proprii. Un furnizor de servicii de prelucrare a datelor de origine nu are acces la mediul furnizorului de servicii de prelucrare a datelor de destinație, nici informații despre acesta. Echivalența funcțională nu ar trebui înțeleasă ca o obligație pentru furnizorul de servicii de prelucrare a datelor de origine de a reconstrui serviciul în cauză în cadrul infrastructurii furnizorului de servicii de prelucrare a datelor de destinație. În schimb, furnizorul de servicii de prelucrare a datelor de origine ar trebui să ia toate măsurile rezonabile care îi stau în putere pentru a facilita procesul de realizare a echivalenței funcționale, furnizând capacități, precum și informații, documentație și asistență tehnică adecvate și, după caz, instrumentele necesare.

(93)

Furnizorii de servicii de prelucrare a datelor ar trebui, de asemenea, să fie obligați să elimine obstacolele existente și să nu impună altele noi, inclusiv pentru clienții care doresc să treacă la o infrastructură TIC locală. Obstacolele pot fi, printre altele, de natură precomercială, comercială, tehnică, contractuală sau organizatorică. Furnizorii de servicii de prelucrare a datelor ar trebui, de asemenea, să aibă obligația de a înlătura obstacolele din calea segregării unui anumit serviciu individual de alte servicii de prelucrare a datelor furnizate în temeiul unui contract și de a face posibilă trecerea la alt furnizor pentru serviciul relevant, dacă nu există obstacole tehnice majore și demonstrate care împiedică o astfel de segregare.

(94)

Pe parcursul procesului de trecere la alt furnizor, ar trebui menținut un nivel ridicat de securitate. Aceasta înseamnă că furnizorul de servicii de prelucrare a datelor de origine ar trebui să extindă nivelul de securitate la care s-a angajat pentru serviciu la toate măsurile tehnice de care furnizorul respectiv este responsabil în timpul procesului de trecere la alt furnizor, cum ar fi conexiunile de rețea sau dispozitivele fizice. Nu ar trebui să se aducă atingere drepturilor existente referitoare la rezilierea contractelor, cum ar fi cele introduse prin Regulamentul (UE) 2016/679 și Directiva (UE) 2019/770 a Parlamentului European și a Consiliului (31). Prezentul regulament nu ar trebui interpretat în sensul că împiedică un furnizor de servicii de prelucrare a datelor să furnizeze clienților săi servicii, caracteristici și funcționalități noi și îmbunătățite sau să concureze cu alți furnizori de servicii de prelucrare a datelor pe această bază.

(95)

Informațiile care trebuie furnizate clientului de către furnizorii de servicii de prelucrare a datelor ar putea să sprijine strategia de ieșire a clientului. Informațiile respective ar trebui să cuprindă procedurile pentru demararea procesului de trecere la un alt serviciu de prelucrare a datelor; formatele de date care pot fi citite automat către care pot fi exportate datele utilizatorului; instrumentele prevăzute pentru exportarea datelor, incluzând interfețele deschise, precum și informații cu privire la compatibilitatea cu standardele armonizate sau specificațiile comune bazate pe specificații deschise de interoperabilitate; informații privind restricțiile și limitările tehnice cunoscute care ar putea avea un impact asupra procesului de trecere la alt furnizor și timpul estimat necesar pentru finalizarea procesului de trecere la alt furnizor.

(96)

Pentru a facilita interoperabilitatea și trecerea de la un serviciu de prelucrare a datelor la altul, utilizatorii și furnizorii de servicii de prelucrare a datelor ar trebui să ia în considerare utilizarea unor instrumente de punere în aplicare și de conformare, în special a celor publicate de Comisie sub forma unui cadru de reglementare al UE privind tehnologia de tip cloud și o orientare privind achizițiile publice de servicii de prelucrare a datelor. În special clauzele contractuale standard sunt benefice deoarece acestea sporesc încrederea în serviciile de prelucrare a datelor, creează o relație mai echilibrată între utilizatori și furnizorii de servicii de prelucrare a datelor și îmbunătățesc securitatea juridică în ceea ce privește condițiile care se aplică în cazul trecerii la alte servicii de prelucrare a datelor. În acest context, utilizatorii și furnizorii de servicii de prelucrare a datelor ar trebui să ia în considerare utilizarea clauzelor contractuale standard sau a altor instrumente de asigurare a conformității prin autoreglementare, cu condiția ca acestea să respecte pe deplin prezentul regulament, elaborate de organismele sau grupurile de experți relevante instituite în temeiul dreptului Uniunii.

(97)

Pentru a facilita trecerea de la un serviciu de prelucrare a datelor la altul, toate părțile implicate, inclusiv furnizorii de servicii de prelucrare a datelor de origine și furnizorii de servicii de prelucrare a datelor de destinație, ar trebui să coopereze cu bună credință pentru a asigura eficacitatea procesului de trecere la alt furnizor și pentru a permite transferul securizat și în timp util al datelor necesare într-un format utilizat în mod curent, care să poată fi citit automat, și prin intermediul unor interfețe deschise, evitându-se totodată perturbările serviciului și menținându-se continuitatea acestuia.

(98)

Serviciile de prelucrare a datelor care se referă la servicii în cazul cărora majoritatea caracteristicilor principale au fost personalizate pentru a răspunde cererilor specifice ale unui client individual sau în cazul cărora toate componentele au fost dezvoltate pentru a răspunde nevoilor unui client individual ar trebui să fie scutite de unele dintre obligațiile aplicabile la trecerea de la un serviciu de prelucrare a datelor la altul. Printre aceste servicii nu ar trebui să se numere serviciile pe care furnizorul de servicii de prelucrare a datelor le oferă la scară comercială largă prin intermediul catalogului său de servicii. Este obligația furnizorului de servicii de prelucrare a datelor de a informa în mod corespunzător clienții potențiali ai unor astfel de servicii, înainte de încheierea unui contract, cu privire la obligațiile prevăzute în prezentul regulament care nu se aplică serviciilor relevante. Nimic nu împiedică furnizorul de servicii de prelucrare a datelor să implementeze în cele din urmă astfel de servicii la scară largă, caz în care furnizorul respectiv ar trebui să respecte toate obligațiile aplicabile trecerii la alt furnizor prevăzute în prezentul regulament.

(99)

În conformitate cu cerința minimă de a permite trecerea de la un furnizor de servicii de prelucrare a datelor la altul, prezentul regulament urmărește, de asemenea, să îmbunătățească interoperabilitatea pentru utilizarea în paralel a mai multor servicii de prelucrare a datelor cu funcționalități complementare. Acest lucru se referă la situațiile în care clienții nu reziliază un contract pentru a trece la un alt furnizor diferit de servicii de prelucrare a datelor, ci utilizează în paralel mai multe servicii ale unor furnizori diferiți, într-un mod interoperabil, pentru a beneficia de funcționalitățile complementare ale diferitelor servicii în cadrul configurației sistemului clientului. Cu toate acestea, este recunoscut faptul că ieșirea datelor prin transfer de la un furnizor de servicii de prelucrare a datelor la un altul pentru a facilita utilizarea în paralel a serviciilor poate fi o activitate continuă, spre deosebire de ieșirea unică a datelor prin transfer necesară în cadrul procesului de trecere la alt furnizor. Furnizorii de servicii de prelucrare a datelor ar trebui, prin urmare, să poată în continuare să impună taxe pentru ieșirea datelor prin transfer, fără a depăși costurile suportate, în scopul unei utilizări în paralel după perioada de trei ani următoare datei intrării în vigoare a prezentului regulament. Acest lucru este important, printre altele, pentru implementarea cu succes a strategiilor multicloud, care le permit clienților să pună în aplicare strategii informatice adaptate exigențelor viitorului și care reduc dependența față de furnizorii individuali de servicii de prelucrare a datelor. Facilitarea unei abordări multicloud pentru clienții serviciilor de prelucrare a datelor poate contribui și la creșterea rezilienței lor operaționale digitale, astfel cum se recunoaște, în ceea ce privește instituțiile de servicii financiare, în Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului (32).

(100)

Este de așteptat ca specificațiile deschise și standardele de interoperabilitate elaborate în conformitate cu anexa II la Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului (33) în domeniul interoperabilității și al portabilității să permită un mediu de cloud cu furnizori multipli, care constituie o cerință esențială pentru inovarea deschisă în economia europeană a datelor. Având în vedere adoptarea limitată pe piață a standardelor identificate în cadrul inițiativei de coordonare a standardizării în domeniul cloud (CSC), care a fost încheiată în 2016, este, de asemenea, necesar ca Comisia să se bazeze pe actorii de pe piață în vederea elaborării de specificații deschise de interoperabilitate relevante pentru a ține pasul cu ritmul rapid al dezvoltării tehnologice din acest sector. Aceste specificații deschise de interoperabilitate pot fi apoi adoptate de Comisie sub forma unor specificații comune. În plus, în cazul în care procesele de piață nu au demonstrat capacitatea de a stabili specificații comune sau standarde care să faciliteze o interoperabilitate eficace în cloud la nivelurile PaaS și SaaS, Comisia ar trebui să fie în măsură, pe baza prezentului regulament și în conformitate cu Regulamentul (UE) nr. 1025/2012, să solicite organismelor europene de standardizare să elaboreze astfel de standarde pentru anumite tipuri de servicii pentru care nu există încă astfel de standarde. Mai mult, Comisia va încuraja actorii de pe piață să elaboreze specificații deschise de interoperabilitate relevante. În urma consultării cu părțile interesate, Comisia ar trebui să poată, prin intermediul actelor de punere în aplicare, să impună utilizarea unor standarde armonizate de interoperabilitate sau a unor specificații comune pentru anumite tipuri de servicii printr-o trimitere inclusă într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor. Furnizorii de servicii de prelucrare a datelor ar trebui să asigure compatibilitatea cu respectivele standarde armonizate și specificații comune bazate pe specificații deschise de interoperabilitate, care nu ar trebui să aibă un impact negativ asupra securității sau integrității datelor. Se va face trimitere la standardele armonizate pentru interoperabilitatea serviciilor de prelucrare a datelor și la specificațiile comune bazate pe specificații deschise de interoperabilitate numai dacă acestea respectă criteriile precizate în prezentul regulament, criterii care au același înțeles precum cerințele din anexa II la Regulamentul (UE) nr. 1025/2012 și aspectele de interoperabilitate definite în standardul internațional ISO/IEC 19941:2017. În plus, standardizarea ar trebui să țină cont de necesitățile IMM-urilor.

(101)

Este posibil ca țările terțe să adopte acte cu putere de lege, norme administrative și alte acte juridice care vizează transferul direct de date fără caracter personal situate în afara granițelor lor, inclusiv în Uniune, și acordarea unui acces direct la acestea pentru administrațiile publice. Hotărârile instanțelor judecătorești sau ale tribunalelor ori deciziile altor autorități judiciare sau administrative, inclusiv ale autorităților de aplicare a legii, din țări terțe, prin care se solicită transferul de date fără caracter personal sau accesul la astfel de date ar trebui să fie executorii atunci când se bazează pe un acord internațional, cum ar fi un tratat de asistență juridică reciprocă în vigoare între țara terță solicitantă și Uniune sau un stat membru. Pot apărea însă și situații în care o cerere de transfer de date fără caracter personal sau de acces la astfel de date care decurge din dreptul unei țări terțe intră în conflict cu o obligație de a proteja aceste date în temeiul dreptului Uniunii sau al dreptului intern al statului membru relevant, în special în ceea ce privește protecția drepturilor fundamentale ale persoanei, cum ar fi dreptul la securitate și dreptul la o cale de atac eficientă, sau cu interesele fundamentale ale unui stat membru legate de securitatea sau apărarea națională, precum și cu protecția datelor sensibile din punct de vedere comercial, inclusiv protecția secretelor comerciale, și protecția drepturilor de proprietate intelectuală, inclusiv angajamentele contractuale privind confidențialitatea în conformitate cu dreptul respectiv. În absența unor acorduri internaționale care să reglementeze astfel de chestiuni, transferul sau accesul la date fără caracter personal ar trebui să se permită numai după ce s-a verificat dacă sistemul juridic al țării terțe prevede stabilirea motivelor și proporționalității deciziei, dacă hotărârea judecătorească sau decizia are caracter specific și dacă obiecția motivată a destinatarului este supusă unei revizuiri de către o instanță sau un tribunal competent din țara terță, care este împuternicită să ia în considerare în mod corespunzător interesele juridice relevante ale furnizorului datelor în chestiune. Ori de câte ori condițiile cererii de acces la date a autorității țării terțe o permit, furnizorul de servicii de prelucrare a datelor ar trebui să poată informa clientul ale cărui date sunt solicitate, înainte de a acorda accesul la datele respective, pentru a verifica dacă există un potențial conflict între accesul respectiv și dreptul Uniunii sau dreptul intern, cum ar fi cel referitor la protecția datelor sensibile din punct de vedere comercial, inclusiv protecția secretelor comerciale, a drepturilor de proprietate intelectuală și a angajamentelor contractuale privind confidențialitatea.

(102)

Pentru promovarea unei mai mari încrederi în date, este important să fie puse în aplicare garanții pentru a asigura controlul asupra propriilor date de către cetățenii Uniunii, organismele din sectorul public și întreprinderile din Uniune, în măsura posibilului. În plus, ar trebui să fie respectate dreptul, valorile și standardele Uniunii în ceea ce privește, printre altele, securitatea, protecția datelor și a vieții private și protecția consumatorilor. În vederea prevenirii accesului ilegal al administrațiilor publice din țările terțe la date fără caracter personal, furnizorii de servicii de prelucrare a datelor care intră sub incidența prezentului regulament, cum ar fi serviciile de cloud și serviciile la marginea rețelei, ar trebui să ia toate măsurile rezonabile pentru a preveni accesul la sistemele în care sunt stocate date fără caracter personal, inclusiv, când este relevant, prin criptarea datelor, supunerea frecventă la audituri, respectarea verificată a unor sisteme relevante de certificare a securității și modificarea politicilor de întreprindere.

(103)

Standardizarea și interoperabilitatea semantică ar trebui să joace un rol esențial în furnizarea de soluții tehnice pentru asigurarea interoperabilității în și între spațiile europene comune ale datelor, care sunt cadre interoperabile specifice fiecărui scop sau fiecărui sector ori transsectoriale pentru standarde și practici comune pentru partajarea sau prelucrarea în comun a datelor, printre altele, pentru dezvoltarea de noi produse și servicii, pentru cercetarea științifică sau pentru inițiative ale societății civile. Prezentul regulament stabilește anumite cerințe esențiale privind interoperabilitatea. Participanții la spațiile de date care oferă servicii de date altor participanți, care sunt entități ce facilitează partajarea de date sau participă la aceasta în cadrul spațiilor europene comune ale datelor, inclusiv deținătorii de date, ar trebui să respecte cerințele respective în ceea ce privește elementele care se află sub controlul lor. Respectarea respectivelor norme poate fi asigurată prin îndeplinirea cerințelor esențiale stabilite în prezentul regulament sau prezumată prin respectarea standardelor armonizate sau a specificațiilor comune pe baza unei prezumții de conformitate. Pentru a se facilita conformitatea cu cerințele de interoperabilitate, este necesar să se prevadă o prezumție de conformitate în cazul soluțiilor de interoperabilitate care îndeplinesc standarde armonizate sau părți din acestea în conformitate cu Regulamentul (UE) nr. 1025/2012, care reprezintă cadrul implicit pentru elaborarea de standarde care să prevadă astfel de prezumții. Comisia ar trebui să evalueze barierele din calea interoperabilității și să acorde prioritate nevoilor în materie de standardizare, pe baza cărora poate solicita uneia sau mai multor organizații de standardizare europene, în temeiul Regulamentului (UE) nr. 1025/2012, să elaboreze standarde armonizate care să îndeplinească cerințele esențiale prevăzute în prezentul regulament. În cazul în care astfel de solicitări nu au ca rezultat standarde armonizate sau atunci când aceste standarde armonizate sunt insuficiente pentru a asigura conformitatea cu cerințele esențiale din prezentul regulament, Comisia ar trebui să poată adopta specificații comune în respectivele domenii, cu condiția ca, în acest demers, să respecte în mod corespunzător rolul și funcțiile organizațiilor de standardizare. Adoptarea de specificații comune ar trebui să aibă loc doar ca soluție de rezervă excepțională pentru a facilita respectarea cerințelor esențiale din prezentul regulament sau atunci când procesul de standardizare este blocat, sau când există întârzieri în ceea ce privește stabilirea de standarde armonizate adecvate. În cazul în care o întârziere se datorează complexității tehnice a standardului în cauză, Comisia ar trebui să ia în considerare acest aspect înainte de a avea în vedere stabilirea unor specificații comune. Specificațiile comune ar trebui să fie elaborate într-un mod deschis și incluziv și ar trebui să țină seama, dacă este cazul, de avizul Comitetului european pentru inovare în domeniul datelor (EDIB) înființat prin Regulamentul (UE) 2022/868. În plus, ar putea să fie adoptate specificații comune în diferitele sectoare, în conformitate cu dreptul sectorial al Uniunii sau cu dreptul sectorial intern, pe baza nevoilor specifice ale sectoarelor respective. Mai mult, Comisia ar trebui să aibă posibilitatea de a dispune elaborarea unor standarde armonizate de interoperabilitate a serviciilor de prelucrare a datelor.

(104)

Pentru a se promova interoperabilitatea instrumentelor de executare automată a acordurilor de partajare de date, este necesar să se stabilească cerințe esențiale referitoare la contractele inteligente pe care profesioniștii le creează pentru alții sau pe care le integrează în aplicații care sprijină punerea în aplicare a acordurilor de partajare de date. Pentru a se facilita conformitatea unor astfel de contracte inteligente cu respectivele cerințe esențiale, este necesar să se prevadă o prezumție de conformitate în cazul contractelor inteligente care îndeplinesc standarde armonizate sau părți din acestea în conformitate cu Regulamentul (UE) nr. 1025/2012. Noțiunea de „contract inteligent” din prezentul regulament este neutră din punct de vedere tehnologic. De exemplu, contractele inteligente pot fi conectate la un registru electronic. Cerințele esențiale ar trebui să se aplice numai vânzătorilor de contracte inteligente, cu excepția cazului în care aceștia elaborează contracte inteligente la nivel intern exclusiv pentru uzul intern. Cerința esențială de a se asigura faptul că contractele inteligente pot fi întrerupte și reziliate implică consimțământul reciproc al părților la acordul de partajare de date. Utilizarea contractelor inteligente pentru executarea automată a acordurilor de partajare de date nu aduce atingere sau nu ar trebui să aducă atingere aplicabilității normelor relevante ale dreptului civil, ale dreptului contractual și ale dreptului în materie de protecție a consumatorilor în cazul acestor acorduri.

(105)

Pentru a demonstra îndeplinirea cerințelor esențiale ale prezentului regulament, vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, activitate economică sau profesie implică implementarea unor contracte inteligente pentru terți în contextul executării unui acord, sau a unei părți a acestuia, de punere la dispoziție de date în contextul prezentului regulament, ar trebui să efectueze o evaluare a conformității și să emită o declarație de conformitate UE. O astfel de evaluare a conformității ar trebui să fie supusă principiilor generale prevăzute în Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (34) și în Decizia (CE) nr. 768/2008 a Parlamentului European și a Consiliului (35).

(106)

Pe lângă obligația dezvoltatorilor profesioniști de contracte inteligente de a respecta cerințele esențiale, este, de asemenea, important să se încurajeze participanții din cadrul spațiilor de date care oferă date sau servicii bazate pe date altor participanți în și între spațiile europene comune ale datelor să sprijine interoperabilitatea instrumentelor pentru partajarea de date, inclusiv a contractelor inteligente.

(107)

Pentru a asigura aplicarea și asigurarea respectării prezentului regulament, statele membre ar trebui să desemneze una sau mai multe autorități competente. Dacă un stat membru desemnează mai multe autorități competente, statul membru respectiv ar trebui să desemneze în rândul acestora și un coordonator de date. Autoritățile competente ar trebui să coopereze între ele. Prin exercitarea competențelor lor de investigare în conformitate cu procedurile naționale aplicabile, autoritățile competente ar trebui să fie în măsură să caute și să obțină informații, în special în legătură cu activitățile entităților aflate în sfera lor de competență și, inclusiv în contextul investigațiilor comune, ținând seama în mod corespunzător de faptul că măsurile de supraveghere și de asigurare a respectării legii referitoare la o entitate aflată în sfera de competență a unui alt stat membru ar trebui să fie adoptate de autoritatea competentă a celuilalt stat membru, după caz, în conformitate cu procedurile privind cooperarea transfrontalieră. Autoritățile competente ar trebui să își acorde reciproc asistență în timp util, în special atunci când o autoritate competentă dintr-un stat membru deține informații relevante pentru o investigație efectuată de autoritățile competente din alte state membre sau este în măsură să colecteze astfel de informații la care nu au acces autoritățile competente din statul membru în care este stabilită entitatea. Autoritățile competente și coordonatorii de date ar trebui identificați în registrul public ținut de Comisie. Coordonatorul de date ar putea fi un mijloc suplimentar de facilitare a cooperării în situații transfrontaliere, de exemplu atunci când o autoritate competentă dintr-un anumit stat membru nu știe cărei autorități ar trebui să se adreseze în statul membru al coordonatorului de date, de pildă atunci când cazul se referă la mai multe autorități competente sau sectoare. Coordonatorul de date ar trebui, printre altele, să acționeze ca punct unic de contact pentru toate aspectele legate de aplicarea prezentului regulament. În cazul în care nu a fost desemnat niciun coordonator de date, autoritatea competentă ar trebui să își asume sarcinile atribuite coordonatorului de date în temeiul prezentului regulament. Autoritățile responsabile cu supravegherea respectării protecției datelor și autoritățile competente desemnate în temeiul dreptului Uniunii sau al dreptului intern ar trebui să fie responsabile pentru aplicarea prezentului regulament în domeniile lor de competență. Pentru a se evita conflictele de interese, autoritățile competente responsabile cu aplicarea și asigurarea respectării prezentului regulament în domeniul punerii la dispoziție a datelor în urma unei cereri introduse pe baza unei nevoi excepționale nu ar trebui să beneficieze de dreptul de a introduce o astfel de cerere.

(108)

Pentru a-și exercita drepturile prevăzute în prezentul regulament, persoanele fizice și juridice ar trebui să aibă dreptul de a introduce o cale de atac în cazul în care le sunt încălcate drepturile prevăzute în prezentul regulament, prin depunerea de plângeri. Coordonatorul de date ar trebui, la cerere, să furnizeze persoanelor fizice și juridice toate informațiile necesare pentru a-și depune plângerile la autoritatea competentă corespunzătoare. Respectivele autorități ar trebui să fie obligate să coopereze pentru a asigura că plângerile sunt tratate în mod corespunzător și soluționate în mod eficace și în timp util. Pentru a se putea recurge la mecanismul rețelei de cooperare în materie de protecție a consumatorilor și pentru a se crea posibilitatea unor acțiuni în reprezentare, prin prezentul regulament se modifică anexele la Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului (36) și Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului (37).

(109)

Autoritățile competente ar trebui să se asigure că încălcările obligațiilor prevăzute în prezentul regulament fac obiectul unor sancțiuni. Sancțiunile respective ar putea include sancțiuni financiare, avertismente, mustrări sau ordine vizând asigurarea conformității practicilor comerciale cu obligațiile impuse de prezentul regulament. Sancțiunile stabilite de statele membre ar trebui să fie efective, proporționale și disuasive și ar trebui să țină seama de recomandările EDIB, contribuind astfel la atingerea celui mai înalt nivel posibil de consecvență în ceea ce privește stabilirea și aplicarea sancțiunilor. După caz, autoritățile competente ar trebui să recurgă la măsuri provizorii pentru a limita efectele unei presupuse încălcări în timp ce ancheta privind încălcarea respectivă este în curs de desfășurare. În acest sens, autoritățile ar trebui să țină seama, printre altele, de natura, gravitatea, amploarea și durata încălcării, având în vedere interesul public în cauză, raza de acțiune și tipul activităților desfășurate, precum și capacitatea economică a autorului încălcării. Autoritățile ar trebui să țină seama, de asemenea, de caracterul sistematic sau recurent al neîndeplinirii de către autorul încălcării a obligațiilor care îi revin în temeiul prezentului regulament. Pentru a asigura respectarea principiului ne bis in idem si, în special, pentru a evita ca aceeași încălcare a obligațiilor prevăzute în prezentul regulament să fie sancționată de mai multe ori, un stat membru care intenționează să își exercite competența cu privire la autorul unei încălcări care nu este stabilit în Uniune și nici nu a desemnat un reprezentant legal în Uniune ar trebui, fără întârzieri nejustificate, să informeze toți coordonatorii de date, precum și Comisia.

(110)

EDIB ar trebui să consilieze și să asiste Comisia în ceea ce privește coordonarea practicilor și politicilor naționale cu privire la subiectele vizate de prezentul regulament, precum și în ceea ce privește îndeplinirea obiectivelor sale în legătură cu standardizarea tehnică pentru sporirea interoperabilității. Acesta ar trebui, de asemenea, să joace un rol esențial în facilitarea unor discuții ample între autoritățile competente cu privire la aplicarea și asigurarea respectării prezentului regulament. Respectivul schimb de informații este menit să îmbunătățească accesul efectiv la justiție, precum și cooperarea în materie de asigurare a respectării legii și cooperarea judiciară în întreaga Uniune. Printre alte funcții, EDIB ar trebui utilizat de autoritățile competente ca platformă pentru a evalua, a coordona și a adopta recomandări privind stabilirea de sancțiuni pentru încălcarea prezentului regulament. Acesta ar trebui să permită autorităților competente, cu ajutorul Comisiei, să coordoneze abordarea optimă în ceea ce privește stabilirea și impunerea unor astfel de sancțiuni. Respectiva abordare previne fragmentarea, permițându-le în același timp statelor membre să fie flexibile, și ar trebui să conducă la recomandări eficace care să sprijine aplicarea consecventă a prezentului regulament. EDIB ar trebui, de asemenea, să aibă un rol consultativ în procesele de standardizare și în adoptarea de specificații comune prin intermediul unor acte de punere în aplicare, în adoptarea de acte delegate care să stabilească un mecanism de monitorizare a taxelor de trecere la alt furnizor impuse de furnizorii de servicii de prelucrare a datelor și în scopul detalierii cerințelor esențiale de interoperabilitate a datelor, a mecanismelor și serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor. Comitetul ar trebui, de asemenea, să consilieze și să asiste Comisia în ceea ce privește adoptarea orientărilor privind stabilirea specificațiilor de interoperabilitate pentru funcționarea spațiilor europene comune ale datelor.

(111)

Pentru a ajuta întreprinderile să redacteze și să negocieze contracte, Comisia ar trebui să elaboreze și să recomande modele de clauze contractuale fără caracter obligatoriu pentru contractele de partajare de date între întreprinderi, ținând seama, când este necesar, de condițiile din diferitele sectoare și de practicile existente în materie de mecanisme voluntare de partajare de date. Respectivele modele de clauze contractuale ar trebui să constituie, în primul rând, un instrument practic care să ajute în special IMM-urile să încheie un contract. Când sunt utilizate pe scară largă și în mod integrat, respectivele modele de clauze contractuale ar trebui să aibă și efectul benefic de a influența modul în care sunt concepute contractele de acces la date și de utilizare a acestora și, prin urmare, să conducă, în sens mai larg, la relații contractuale mai echitabile atunci când se accesează și se partajează date.

(112)

Pentru a se elimina riscul ca deținătorii datelor din baze de date obținute sau generate prin intermediul unor componente fizice, cum ar fi senzorii, ai unui produs conectat și ai unui serviciu conex sau ai altor date generate automat, să invoce dreptul sui generis prevăzut la articolul 7 din Directiva 96/9/CE, împiedicând astfel, în special, exercitarea efectivă a dreptului utilizatorilor de a accesa și utiliza date și a dreptului de a partaja date cu terți, astfel cum sunt prevăzute în prezentul regulament, ar trebui să se clarifice faptul că dreptul sui generis nu se aplică în cazul unor astfel de baze de date. Acest lucru nu aduce atingere eventualei aplicări a dreptului sui generis în temeiul articolului 7 din Directiva 96/9/CE în cazul bazelor de date care conțin date ce nu intră în domeniul de aplicare al prezentului regulament, cu condiția ca cerințele de protecție în temeiul alineatului (1) de la articolul respectiv să fie îndeplinite.

(113)

Pentru a se ține seama de aspectele tehnice ale serviciilor de prelucrare a datelor, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei pentru a completa prezentul regulament în vederea instituirii unui mecanism de monitorizare a taxelor de trecere la alt furnizor impuse pe piață de furnizorii de servicii de prelucrare a datelor și a detalierii cerințelor esențiale de interoperabilitate pentru participanții la spațiile de date care oferă date sau servicii de date altor participanți. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (38). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(114)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, ar trebui conferite Comisiei competențe de executare în ceea ce privește adoptarea de specificații comune pentru a asigura interoperabilitatea datelor, a mecanismelor de partajare a datelor și a serviciilor, precum și a spațiilor europene comune ale datelor, de specificații comune pentru interoperabilitatea serviciilor de prelucrare a datelor, și de specificații comune privind interoperabilitatea contractelor inteligente. Ar trebui conferite Comisiei competențe de executare și pentru publicarea trimiterilor la standardele armonizate și specificațiile comune pentru interoperabilitatea serviciilor de prelucrare a datelor într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (39).

(115)

Prezentul regulament nu ar trebui să aducă atingere normelor care abordează nevoi specifice sectoarelor individuale sau domeniilor de interes public. Astfel de norme pot include cerințe suplimentare privind aspectele tehnice ale accesului la date, cum ar fi interfețele pentru accesul la date, sau modul în care ar putea fi asigurat accesul la date, de exemplu direct din produs sau prin intermediul serviciilor de intermediere de date. Astfel de norme pot include, de asemenea, limitări ale drepturilor deținătorilor de date de a accesa sau utiliza datele utilizatorilor sau alte aspecte care depășesc sfera accesului la date și a utilizării acestora, cum ar fi aspectele de guvernanță sau cerințele în materie de securitate, inclusiv cerințele în materie de securitate cibernetică. Prezentul regulament nu ar trebui să aducă atingere nici unor norme mai specifice în contextul dezvoltării spațiilor europene comune ale datelor sau, sub rezerva excepțiilor prevăzute de prezentul regulament, dreptului Uniunii și dreptului intern care prevăd accesul la date și autorizarea utilizării acestora în scopuri legate de cercetarea științifică.

(116)

Prezentul regulament nu ar trebui să aducă atingere aplicării normelor în materie de concurență, în special articolelor 101 și 102 din TFUE. Măsurile prevăzute în prezentul regulament nu ar trebui să fie utilizate pentru a restrânge concurența într-un mod care să contravină TFUE.

(117)

Pentru a se permite actorilor care intră în domeniul de aplicare al prezentului regulament să se adapteze la noile norme prevăzute în acesta și să ia măsurile tehnice necesare, normele respective ar trebui să se aplice de la 12 septembrie 2025.

(118)

Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 alineatele (1) și (2) din Regulamentul (UE) 2018/1725 și au emis avizul lor la 4 mai 2022.

(119)

Întrucât obiectivele prezentului regulament, și anume asigurarea unei alocări echitabile a valorii datelor între actorii din economia datelor și încurajarea accesului la date și utilizarea datelor pentru a contribui la crearea unei veritabile piețe interne pentru date, nu pot fi realizate în mod satisfăcător de către statele membre, dar, având în vedere amploarea sau efectele acțiunii și utilizarea transfrontalieră a datelor, acestea pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivelor respective,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect și domeniu de aplicare

(1)   Prezentul regulament stabilește norme armonizate privind, printre altele;

(a)

punerea de date referitoare la un produs și de date referitoare la un serviciu conex la dispoziția utilizatorului produsului conectat sau serviciului conex;

(b)

punerea de date la dispoziția destinatarilor datelor de către deținătorii de date;

(c)

punerea de date la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene și a organelor Uniunii de către deținătorii de date, în cazul în care există o nevoie excepțională pentru respectivele date, pentru îndeplinirea unei sarcini specifice de interes public;

(d)

facilitarea trecerii de la un serviciu de prelucrare a datelor la altul;

(e)

introducerea unor garanții împotriva accesului ilegal al terților la date fără caracter personal; și

(f)

elaborarea de standarde de interoperabilitate pentru datele care urmează să fie accesate, transferate și utilizate.

(2)   Prezentul regulament se referă la datele cu caracter personal și datele fără caracter personal, inclusiv la următoarele tipuri de date, în următoarele contexte:

(a)

capitolul II se aplică datelor, cu excepția conținutului, privind performanța, utilizarea și mediul produselor conectate și ale serviciilor conexe;

(b)

capitolul III se aplică tuturor datelor din sectorul privat care fac obiectul obligațiilor statutare privind partajarea de date;

(c)

capitolul IV se aplică tuturor datelor din sectorul privat care se accesează și se utilizează pe baza unor contracte între întreprinderi;

(d)

capitolul V se aplică tuturor datelor din sectorul privat, cu accent pe datele fără caracter personal;

(e)

capitolul VI se aplică tuturor datelor și serviciilor prelucrate de furnizorii de servicii de prelucrare a datelor;

(f)

capitolul VII se aplică tuturor datelor fără caracter personal deținute în Uniune de furnizori de servicii de prelucrare a datelor.

(3)   Prezentul regulament se aplică:

(a)

fabricanților de produse conectate introduse pe piață în Uniune și furnizorilor de servicii conexe, indiferent de locul de stabilire al respectivilor fabricanți și furnizori;

(b)

utilizatorilor în Uniune de produse conectate sau de servicii conexe astfel cum se menționează la litera (a);

(c)

deținătorilor de date, indiferent de locul de stabilire al acestora, care pun date la dispoziția destinatarilor datelor din Uniune;

(d)

destinatarilor datelor din Uniune cărora le sunt puse la dispoziție date;

(e)

organismelor din sectorul public, Comisiei, Băncii Centrale Europene și organelor Uniunii care înaintează deținătorilor de date o cerere de punere la dispoziție de date în cazul în care există o nevoie excepțională de datele respective pentru îndeplinirea unei sarcini specifice de interes public și deținătorilor de date care furnizează datele respective ca răspuns la o astfel de cerere;

(f)

furnizorilor de servicii de prelucrare a datelor, indiferent de locul de stabilire al acestora, care oferă astfel de servicii clienților din Uniune;

(g)

participanților la spațiile de date și vânzătorilor de aplicații care utilizează contracte inteligente și persoanelor a căror activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord.

(4)   Trimiterile la produse conectate sau servicii conexe din prezentul regulament se înțeleg ca incluzând și asistenții virtuali, în măsura în care aceștia interacționează cu un produs conectat sau un serviciu conex.

(5)   Prezentul regulament nu aduce atingere dreptului Uniunii și dreptului intern privind protecția datelor cu caracter personal, a vieții private și a confidențialității comunicațiilor și a integrității echipamentelor terminale, care se aplică datelor cu caracter personal prelucrate în legătură cu drepturile și obligațiile stabilite în acesta, în special Regulamentelor (UE) 2016/679 și (UE) 2018/1725 și Directivei 2002/58/CE, nici atribuțiilor și competențelor autorităților de supraveghere și nici drepturilor persoanelor vizate. În măsura în care utilizatorii sunt persoanele vizate, drepturile prevăzute în capitolul II din prezentul regulament completează dreptul de acces al persoanelor vizate și drepturile la portabilitatea datelor prevăzute la articolele 15 și 20 din Regulamentul (UE) 2016/679. În cazul unui conflict între prezentul regulament și dreptul Uniunii privind protecția datelor cu caracter personal sau a vieții private ori legislația națională adoptată în conformitate cu dreptul respectiv al Uniunii, prevalează dreptul Uniunii sau dreptul intern relevant privind protecția datelor cu caracter personal sau a vieții private.

(6)   Prezentul regulament nu se aplică în cazul înțelegerilor voluntare de schimb de date între entități private și publice, în special al înțelegerilor voluntare de partajare de date, și nici nu împiedică astfel de înțelegeri.

Prezentul regulament nu aduce atingere actelor juridice ale Uniunii sau actelor juridice naționale care prevăd partajarea, accesarea și utilizarea de date în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, sau în scopuri vamale sau fiscale, în special Regulamentelor (UE) 2021/784, (UE) 2022/2065 și (UE) 2023/1543 și Directivei (UE) 2023/1544 sau cooperării internaționale în domeniul respectiv. Prezentul regulament nu se aplică activităților de colectare de date sau partajare de date, acces la date sau utilizare de date desfășurate în temeiul Regulamentului (UE) 2015/847 și al Directivei (UE) 2015/849. Prezentul regulament nu se aplică domeniilor care nu intră în sfera de aplicare a dreptului Uniunii și, sub nicio formă, nu aduce atingere competențelor statelor membre în materie de siguranță publică, apărare sau securitate națională, indiferent de tipul de entitate însărcinată de statele membre să îndeplinească sarcini în legătură cu aceste competențe, sau competenței acestora de a proteja alte funcții esențiale ale statului, inclusiv asigurarea integrității teritoriale a statului și menținerea ordinii publice. Prezentul regulament nu aduce atingere competențelor pe care le au statele membre în ceea ce privește administrația vamală și fiscală sau sănătatea și siguranța cetățenilor.

(7)   Prezentul regulament completează abordarea bazată pe autoreglementare din Regulamentul (UE) 2018/1807 prin adăugarea de obligații general aplicabile în ceea ce privește trecerea la alt furnizor de servicii de cloud.

(8)   Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd protecția drepturilor de proprietate intelectuală, în special Directivelor 2001/29/CE, 2004/48/CE și (UE) 2019/790.

(9)   Prezentul regulament completează și nu aduce atingere dreptului Uniunii care vizează promovarea intereselor consumatorilor și asigurarea unui nivel ridicat de protecție a consumatorilor, precum și protejarea sănătății, siguranței și intereselor economice ale acestora, în special Directivelor 93/13/CEE, 2005/29/CE și 2011/83/UE.

(10)   Prezentul regulament nu împiedică încheierea de contracte legale voluntare de partajare de date, inclusiv contracte încheiate pe bază de reciprocitate, care respectă cerințele prevăzute în prezentul regulament.

Articolul 2

efiniții

În sensul prezentului regulament, se aplică următoarele definiții:

1.

„date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale;

2.

„metadate” înseamnă o descriere structurată a conținutului sau a utilizării datelor care facilitează descoperirea sau utilizarea acestor date;

3.

„date cu caracter personal” înseamnă date cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

4.

„date fără caracter personal” înseamnă alte date decât datele cu caracter personal;

5.

„produs conectat” înseamnă un bun care obține, generează sau colectează date privind utilizarea sau mediul său, care are capacitatea de a comunica date referitoare la produs prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat și a cărui funcție principală nu este stocarea, prelucrarea sau transmiterea datelor în numele altor părți decât utilizatorul;

6.

„serviciu conex” înseamnă un serviciu digital, altul decât un serviciu de comunicații electronice, inclusiv un software, care este conectat la produs la momentul achiziționării, al închirierii sau al leasingului astfel încât absența sa ar împiedica produsul conectat să îndeplinească una sau mai multe dintre funcțiile sale, sau care este ulterior conectat la produs de către fabricant sau de către un terț pentru a suplimenta, actualiza sau adapta funcțiile produsului conectat;

7.

„prelucrare” înseamnă orice operațiune sau serie de operațiuni efectuate asupra datelor sau a seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

8.

„serviciu de prelucrare a datelor” înseamnă un serviciu digital care este furnizat unui client și care permite accesul ubicuu și la cerere în rețea la un bazin comun configurabil, scalabil și elastic de resurse informatice cu un caracter centralizat, distribuit sau foarte distribuit care pot fi rapid mobilizate și eliberate cu un efort minim de administrare sau de interacțiune cu furnizorul de servicii;

9.

„același tip de serviciu” înseamnă un set de servicii de prelucrare a datelor care au în comun același obiectiv principal, același model de serviciu de prelucrare a datelor și funcționalitățile principale;

10.

„serviciu de intermediere de date” înseamnă un serviciu de intermediere de date astfel cum este definit la articolul 2 punctul 11 din Regulamentul (UE) 2022/868;

11.

„persoană vizată” înseamnă persoană vizată astfel cum se menționează la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

12.

„utilizator” înseamnă o persoană fizică sau juridică care deține un produs conectat sau căreia i-au fost transferate prin contract drepturi temporare de utilizare a produsului conectat respectiv sau care primește servicii conexe;

13.

„deținător de date” înseamnă o persoană fizică sau juridică care, în conformitate cu prezentul regulament, cu dreptul aplicabil al Uniunii sau cu legislația națională adoptată în conformitate cu dreptul Uniunii, are dreptul sau obligația de a utiliza și de a pune la dispoziție date, inclusiv, dacă s-a convenit prin contract, date referitoare la produs sau date referitoare la un serviciu conex pe care le-a extras sau pe care le-a generat în timpul furnizării unui serviciu conex;

14.

„destinatarul datelor” înseamnă o persoană fizică sau juridică acționând în scopuri legate de activitatea sa comercială, economică, meșteșugărească sau profesională, care este diferită de utilizatorul unui produs conectat sau al unui serviciu conex, putând fi și un terț, și căreia deținătorul de date îi pune la dispoziție date în urma unei cereri primite de la utilizator sau în conformitate cu o obligație juridică prevăzută în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii;

15.

„date referitoare la produs” înseamnă date generate prin utilizarea unui produs conectat pe care fabricantul le-a proiectat astfel încât să poată fi extrase, prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat, de către un utilizator, un deținător de date sau un terț, inclusiv, după caz, de către fabricant;

16.

„date referitoare la serviciul conex” înseamnă date care reprezintă digitizarea acțiunilor și evenimentelor utilizatorilor legate de produsul conectat, înregistrate în mod intenționat de utilizator sau generate ca produs secundar al acțiunii utilizatorului în timpul furnizării unui serviciu conex de către furnizor;

17.

„date ușor accesibile” înseamnă datele referitoare la un produs și datele referitoare la un serviciu conex pe care un deținător de date le obține sau le poate obține în mod legal de la produsul conectat sau de la serviciul conex, fără a fi nevoie de un efort disproporționat care să depășească cadrul unei simple operații;

18.

„secret comercial” înseamnă un secret comercial astfel cum este definit la articolul 2 punctul 1 din Directiva (UE) 2016/943;

19.

„deținătorul secretului comercial” înseamnă un deținător al secretului comercial astfel cum este definit la articolul 2 punctul 2 din Directiva (UE) 2016/943;

20.

„creare de profiluri” înseamnă creare de profiluri astfel cum este definită la articolul 4 punctul 4 din Regulamentul (UE) 2016/679;

21.

„punere la dispoziție pe piață” înseamnă orice furnizare a unui produs conectat pentru distribuție, consum sau utilizare pe piața Uniunii în cursul unei activități comerciale, contra cost sau gratuit;

22.

„introducere pe piață” înseamnă punerea la dispoziție pentru prima oară a unui produs conectat pe piața Uniunii;

23.

„consumator” înseamnă orice persoană fizică ce acționează în scopuri care nu se încadrează în activitatea sa comercială, economică, meșteșugărească sau profesională;

24.

„întreprindere” înseamnă o persoană fizică sau juridică care acționează, în cadrul contractelor și practicilor care intră în domeniul de aplicare al prezentului regulament, în scopuri care au legătură cu activitatea sa comercială, economică, meșteșugărească sau profesională;

25.

„întreprindere mică” înseamnă o întreprindere mică astfel cum este definită la articolul 2 alineatul (2) din anexa la Recomandarea 2003/361/CE;

26.

„microîntreprindere” înseamnă o microîntreprindere astfel cum este definită la articolul 2 alineatul (3) din Recomandarea 2003/361/CE;

27.

„organe ale Uniunii” înseamnă organele, oficiile și agențiile Uniunii instituite prin sau în temeiul unor acte adoptate în temeiul Tratatului privind Uniunea Europeană, a TFUE sau a Tratatului de instituire a Comunității Europene a Energiei Atomice;

28.

„organism din sectorul public” înseamnă autoritățile naționale, regionale sau locale ale statelor membre și organismele de drept public ale statelor membre sau asociațiile formate din una sau mai multe astfel de autorități ori din unul sau mai multe astfel de organisme;

29.

„situație de urgență” înseamnă o situație excepțională, limitată în timp, cum ar fi o situație de urgență de sănătate publică, o situație de urgență cauzată de dezastre naturale, un dezastru antropic major, inclusiv un incident major de securitate cibernetică, care are efecte negative asupra populației Uniunii, asupra unui stat membru sau asupra unei părți ale unui stat membru, cu un risc de repercusiuni grave și de durată asupra condițiilor de viață sau a stabilității economice, a stabilității financiare ori de degradare substanțială și imediată a activelor economice din Uniune ori din statul membru relevant, și care este stabilită sau declarată în mod oficial în conformitate cu procedurile relevante în temeiul dreptului Uniunii sau al dreptului intern;

30.

„client” înseamnă o persoană fizică sau juridică care a intrat într-o relație contractuală cu un furnizor de servicii de prelucrare a datelor cu scopul de a utiliza unul sau mai multe servicii de prelucrare a datelor;

31.

„asistenți virtuali” înseamnă un software care poate prelucra cereri, sarcini sau întrebări, inclusiv cele exprimate în formă audio, prin text, prin gesturi sau prin mișcări, și care, pe baza respectivelor cereri, sarcini sau întrebări, oferă acces la alte servicii sau controlează funcțiile produselor conectate;

32.

„active digitale” înseamnă elemente în format digital, inclusiv aplicații, asupra cărora clientul are drept de utilizare, indiferent de relația contractuală cu serviciul de prelucrare a datelor pe care intenționează să îl schimbe;

33.

„infrastructura TIC locală” înseamnă o infrastructură TIC și resurse informatice deținute, închiriate sau utilizate în sistem de leasing de client, situate în centrul de date al clientului și exploatate de client sau de un terț;

34.

„trecere la alt furnizor” înseamnă procesul care implică un furnizor de servicii de prelucrare a datelor de origine, un client al unui serviciu de prelucrare a datelor și, după caz, un furnizor de servicii de prelucrare a datelor de destinație, prin care clientul unui serviciu de prelucrare a datelor trece de la utilizarea unui serviciu de prelucrare a datelor la utilizarea unui alt serviciu de prelucrare a datelor, care este același tip de serviciu, sau la alt serviciu, oferit de un furnizor diferit de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, inclusiv prin extragerea, transformarea și încărcarea datelor;

35.

„taxe pentru ieșirea datelor prin transfer” înseamnă taxele de transfer de date percepute clienților pentru extragerea datelor lor prin intermediul rețelei din infrastructura TIC a unui furnizor de servicii de prelucrare a datelor către sistemul unui furnizor diferit sau către o infrastructură TIC locală;

36.

„taxe de trecere la alt furnizor” înseamnă taxe, altele decât taxele standard pentru servicii sau penalitățile pentru reziliere anticipată, impuse de un furnizor de servicii de prelucrare a datelor unui client pentru acțiunile prevăzute de prezentul regulament pentru trecerea la sistemul unui furnizor diferit sau la infrastructura TIC locală, inclusiv taxele pentru ieșirea datelor prin transfer;

37.

„echivalență funcțională” înseamnă restabilirea, pe baza datelor exportabile și a activelor digitale ale clientului, a unui nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor, care este același tip de serviciu, după procesul de trecere la alt furnizor, în situația în care serviciul de prelucrare a datelor de destinație produce rezultate realmente comparabile ca răspuns la aceleași date de intrare pentru caracteristicile partajate furnizate clientului în temeiul contractului;

38.

„date exportabile”, în sensul articolelor 23-31 și al articolului 35, înseamnă datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate, prin utilizarea de către client a serviciului de prelucrare a datelor, cu excepția oricăror active sau date protejate de drepturi de proprietate intelectuală, sau care constituie secrete comerciale, ale furnizorilor de servicii de prelucrare a datelor sau ale terților;

39.

„contract inteligent” înseamnă un program pentru calculator utilizat pentru executarea automată a unui contract sau a unei părți a acestuia, utilizând o secvență de înregistrări electronice de date și asigurând integritatea și acuratețea ordonării lor cronologice;

40.

„interoperabilitate” înseamnă capacitatea a două sau mai multe spații de date sau rețele de comunicații, sisteme, produse conectate, aplicații, servicii de prelucrare a datelor sau componente de a schimba și de a utiliza date în vederea îndeplinirii funcțiilor lor;

41.

„specificație deschisă de interoperabilitate” înseamnă o specificație tehnică în domeniul tehnologiilor informației și comunicațiilor care este orientată spre performanța realizării interoperabilității între serviciile de prelucrare a datelor;

42.

„specificații comune” înseamnă un document, diferit de un standard, ce conține soluții tehnice care oferă un mijloc de respectare a anumitor cerințe și obligații stabilite în prezentul regulament;

43.

„standard armonizat” înseamnă un standard armonizat astfel cum este definit la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012.

CAPITOLUL II

PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI

Articolul 3

Obligația de a pune datele referitoare la produsele și datele referitoare la serviciile conexe la dispoziția utilizatorului

(1)   Produsele conectate sunt proiectate și fabricate, iar serviciile conexe sunt proiectate și furnizate astfel încât datele referitoare la produs și datele referitoare la serviciul conex, inclusiv metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, să fie direct accesibile utilizatorului, în mod implicit, ușor, securizat și gratuit, într-un format cuprinzător, structurat, utilizat în mod curent și prelucrabil automat și dacă este relevant și fezabil din punct de vedere tehnic.

(2)   Înainte de încheierea unui contract de cumpărare, închiriere sau de leasing a unui produs conectat, vânzătorul sau locatorul parte la contractul de închiriere sau de leasing, care poate fi fabricantul, furnizează utilizatorului într-un mod clar și inteligibil, cel puțin următoarele informații:

(a)

tipul, formatul și volumul estimat al datelor referitoare la produs pe care produsul conectat este capabil să le genereze;

(b)

dacă produsul conectat este capabil să genereze date în mod continuu și în timp real;

(c)

dacă produsul conectat este capabil să stocheze date pe dispozitiv sau pe un server la distanță, inclusiv, după caz, durata preconizată a păstrării;

(d)

modul în care utilizatorul poate accesa, extrage sau, după caz, șterge datele, inclusiv mijloacele tehnice în acest sens, precum și condițiile de utilizare și calitatea serviciului.

(3)   Înainte de încheierea unui contract de furnizare a unui serviciu conex, furnizorul unui astfel de serviciu conex îi furnizează utilizatorului, într-un mod clar și inteligibil, cel puțin următoarele informații:

(a)

natura, volumul estimat și frecvența de colectare a datelor referitoare la produs pe care se preconizează că le va obține potențialul deținător de date și, după caz, modalitățile prin care utilizatorul poate accesa sau extrage astfel de date, inclusiv procedurile deținătorului potențial de date privind stocarea și durata perioadei de păstrare a datelor;

(b)

natura și volumul estimat al datelor referitoare la serviciu care urmează să fie generate, precum și modalitățile prin care utilizatorul poate accesa sau extrage astfel de date, inclusiv procedurile deținătorului potențial de date privind stocarea și durata perioadei de păstrare a datelor;

(c)

dacă deținătorul potențial de date se așteaptă să utilizeze el însuși datele ușor accesibile și scopurile pentru care aceste date urmează să fie utilizate și dacă intenționează să permită uneia sau mai multor terți să utilizeze datele în scopuri convenite cu utilizatorul;

(d)

identitatea potențialului deținător de date, cum ar fi denumirea sa comercială și adresa geografică la care este stabilit și, după caz, alte părți implicate în prelucrarea datelor;

(e)

mijloacele de comunicare care permit utilizatorului să contacteze rapid deținătorul potențial de date și să comunice eficient cu deținătorul de date respectiv;

(f)

modul în care utilizatorul poate solicita ca datele să fie partajate cu un terț și în care, după caz, își poate retrage consimțământul pentru partajarea datelor;

(g)

dreptul utilizatorului de a depune o plângere privind încălcarea oricărei dispoziții a prezentului capitol la autoritatea competentă desemnată în temeiul articolului 37;

(h)

dacă deținătorul potențial de date este deținătorul unor secrete comerciale conținute în datele care sunt accesibile din produsul conectat sau generate în timpul furnizării unui serviciu conex și în cazul în care deținătorul potențial de date nu este deținătorul secretului comercial, identitatea deținătorului secretului comercial;

(i)

durata contractului dintre utilizator și deținătorul potențial de date, precum și modalitățile de reziliere a unui astfel de contract.

Articolul 4

Drepturile și obligațiile utilizatorilor și ale deținătorilor de date cu privire la accesul, utilizarea și punerea la dispoziție a datelor referitoare la produs și a datelor referitoare la un serviciu conex

(1)   În cazul în care datele nu pot fi accesate direct de către utilizator din produsul conectat sau din serviciul conex, deținătorii de date pun la dispoziția utilizatorului date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, fără întârzieri nejustificate, de aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, gratuit, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Această punere la dispoziție se realizează pe baza unei simple cereri introduse prin mijloace electronice, în cazul în care acest lucru este fezabil din punct de vedere tehnic.

(2)   Utilizatorii și deținătorii de date pot conveni prin contract să restricționeze sau să interzică accesul, utilizarea sau partajarea ulterioară a datelor, în cazul în care o astfel de prelucrare ar putea submina cerințele de securitate ale produsului conectat, astfel cum sunt prevăzute de dreptul Uniunii sau de dreptul intern, având ca rezultat un efect negativ grav asupra sănătății, siguranței sau securității persoanelor fizice. Autoritățile sectoriale pot furniza utilizatorilor și deținătorilor de date expertiză tehnică în acest context. În cazul în care deținătorul de date refuză să partajeze date în temeiul prezentului articol, acesta notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(3)   Fără a aduce atingere dreptului utilizatorului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal dintr-un stat membru, utilizatorul poate, în legătură cu orice litigiu cu deținătorul datelor referitor la restricțiile sau interdicțiile contractuale menționate la alineatul (2):

(a)

să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă; sau

(b)

să convină cu deținătorul de date să sesizeze un organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(4)   Deținătorii de date nu îngreunează în mod nejustificat exercitarea de către utilizator a alegerilor sau a drepturilor sale în temeiul prezentului articol, inclusiv prin oferirea de opțiuni utilizatorului într-un mod care nu este neutru sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului prin structura, proiectarea, funcția sau modul de operare a unei interfețe digitale cu utilizatorul sau a unei părți a acesteia.

(5)   Cu scopul de a verifica dacă o persoană fizică sau juridică se califică drept utilizator în înțelesul alineatului (1), un deținător de date nu solicită respectivei persoane să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu păstrează nicio informație, în special date de înregistrare, privind accesul utilizatorului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a utilizatorului și pentru securitatea și întreținerea infrastructurii de date.

(6)   Secretele comerciale sunt protejate și se divulgă numai dacă deținătorul de date și utilizatorul iau toate măsurile necesare înainte de divulgare pentru păstrarea confidențialității acestora, în special în ceea ce privește terții. Deținătorul de date, sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial, identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu utilizatorul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, în special în ceea ce privește terții, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.

(7)   În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (6) sau în cazul în care utilizatorul nu pune în aplicare măsurile convenite în temeiul alineatului (6) sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris utilizatorului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt sau a suspendat partajarea datelor și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.

(8)   În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de utilizator în temeiul alineatului (6) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate și unicitatea și noutatea produsului conectat, și se furnizează în scris utilizatorului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(9)   Fără a aduce atingere dreptului unui utilizator de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un utilizator care dorește să conteste decizia unui deținător de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatele (7) și (8) poate:

(a)

să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții urmează să înceapă sau să se reia partajarea de date; sau

(b)

să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(10)   Utilizatorul nu poate să utilizeze datele obținute în urma unei cereri menționate la alineatul (1) pentru dezvoltarea unui produs conectat care concurează direct cu produsul conectat de la care provin datele și nici nu poate partaja datele cu un terț în acest scop și nici nu utilizează aceste date pentru a obține informații despre situația economică, activele și metodele de producție ale fabricantului, sau după caz, ale deținătorului de date.

(11)   Utilizatorul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a deținătorului de date care este destinată să protejeze datele.

(12)   În cazul în care utilizatorul nu este persoana vizată ale cărei date personale sunt cerute, eventualele date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex se pun la dispoziția utilizatorului de către deținătorul datelor numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.

(13)   Un deținător de date poate să utilizeze orice date ușor accesibile care nu sunt date fără caracter personal numai pe baza unui contract cu utilizatorul. Un deținător de date nu poate să utilizeze astfel de date pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale utilizatorului ori cu utilizarea de către utilizator în orice alt mod care ar putea submina poziția comercială a utilizatorului respectiv pe piețele pe care acesta își desfășoară activitatea.

(14)   Deținătorii de date nu pun la dispoziția terților date fără caracter personal în scopuri comerciale sau necomerciale, altele decât îndeplinirea contractului lor cu utilizatorul. Dacă este cazul, deținătorii de date obligă terții să nu partajeze ulterior datele primite de la aceștia prin contract.

Articolul 5

Dreptul utilizatorului de a partaja date cu terți

(1)   La cererea unui utilizator sau a unei părți care acționează în numele unui utilizator, deținătorul de date pune la dispoziția unui terț, fără întârzieri nejustificate, date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, la aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, în mod gratuit pentru utilizator, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Datele se pun la dispoziția terțului de către deținătorul de date în conformitate cu articolele 8 și 9.

(2)   Alineatul (1) nu se aplică datelor ușor accesibile în contextul testării unor produse conectate, substanțe sau procese noi care nu sunt încă introduse pe piață, cu excepția cazului în care utilizarea lor de către un terț este permisă prin contract.

(3)   O întreprindere desemnată drept controlor de acces, în temeiul articolului 3 din Regulamentul (UE) 2022/1925, nu poate fi un destinatar de date eligibil în temeiul prezentului articol și, prin urmare, nu poate:

(a)

să solicite sau să ofere stimulente comerciale unui utilizator în vreun mod, cum ar fi prin acordarea de compensații pecuniare sau de orice altă natură, pentru a pune la dispoziția unuia dintre serviciile sale datele pe care utilizatorul le-a obținut în urma unei cereri introduse în temeiul articolului 4 alineatul (1);

(b)

să solicite sau să ofere stimulente comerciale unui utilizator pentru ca acesta să adreseze deținătorului de date o cerere de punere de date la dispoziția unuia dintre serviciile sale, în temeiul alineatului (1) de la prezentul articol;

(c)

să primească de la un utilizator date pe care acesta le-a obținut în urma unei cereri introduse în temeiul articolului 4 alineatul (1).

(4)   Pentru a verifica dacă o persoană fizică sau juridică se califică drept utilizator sau terț în sensul alineatului (1), utilizatorul sau terțul nu sunt obligați să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu pot păstra nicio informație privind accesul terțului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a terțului și pentru securitatea și întreținerea infrastructurii de date.

(5)   Terțul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a unui deținător de date care este destinată să protejeze datele.

(6)   Un deținător de date nu poate să utilizeze niciun fel de date ușor accesibile pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale terțului ori cu utilizarea de către terț în orice alt mod care ar putea submina poziția comercială a terțului pe piețele pe care aceasta își desfășoară activitatea, cu excepția cazului în care terțul și-a dat consimțământul pentru o astfel de utilizare și are posibilitatea tehnică de a-și retrage cu ușurință consimțământul respectiv în orice moment.

(7)   În cazul în care utilizatorul nu este persoana vizată ale cărei date cu caracter personal sunt cerute, orice date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex, se pun de către deținătorul de date la dispoziția terțului numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.

(8)   Faptul că deținătorul datelor și terțul nu reușesc să convină asupra unor modalități de transmitere a datelor nu poate să împiedice, să prevină sau să perturbe exercitarea drepturilor persoanei vizate, astfel cum sunt prevăzute în Regulamentul (UE) 2016/679, și, în special, a dreptului la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din regulamentul menționat.

(9)   Secretele comerciale se păstrează și se divulgă terților numai în măsura în care o astfel de divulgare este strict necesară pentru îndeplinirea scopului convenit între utilizator și terț. Deținătorul de date sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu terțul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.

(10)   În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (9) de la prezentul articol sau în cazul în care terțul nu pune în aplicare măsurile convenite în temeiul alineatului (9) de la prezentul articol sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris terțului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt partajării datelor sau a suspendat-o și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.

(11)   În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de terț în temeiul alineatului (9) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate, precum și unicitatea și noutatea produsului conectat, și se furnizează în scris terțului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(12)   Fără a aduce atingere dreptului terțului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un terț care dorește să conteste decizia deținătorului de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatelor (10) și (11) poate:

(a)

să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții începe sau se reia partajarea de date; sau

(b)

să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(13)   Dreptul menționat la alineatul (1) nu poate să aducă atingere drepturilor persoanelor vizate în temeiul dreptului Uniunii și al dreptului intern aplicabile privind protecția datelor cu caracter personal.

Articolul 6

Obligațiile terților care primesc date la cererea utilizatorului

(1)   Un terț prelucrează datele care îi sunt puse la dispoziție în temeiul articolului 5 numai în scopurile și în condițiile convenite cu utilizatorul și sub rezerva dreptului Uniunii și a dreptului intern privind protecția datelor cu caracter personal, inclusiv a drepturilor persoanei vizate în ceea ce privește datele cu caracter personal. Terțul șterge datele când acestea nu mai sunt necesare pentru scopul convenit, cu excepția cazului în care s-a convenit altfel cu utilizatorul cu privire la datele fără caracter personal.

(2)   Terțul nu poate:

(a)

să îngreuneze excesiv exercitarea posibilității de alegere sau a drepturilor utilizatorului, inclusiv de exemplu prin oferirea de posibilități de alegere utilizatorului într-un mod care nu este neutru sau prin constrângerea, înșelarea sau manipularea acestuia, sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului, inclusiv prin intermediul unei interfețe digitale cu utilizatorul sau al unei părți a acesteia;

(b)

în pofida articolului 22 alineatul (2) literele (a) și (c) din Regulamentul (UE) 2016/679, să utilizeze datele pe care le primește pentru crearea de profiluri, cu excepția cazului în care acest lucru este necesar pentru furnizarea serviciul solicitat de utilizator;

(c)

să pună datele pe care le primește la dispoziția unui alt terț, cu excepția cazului în care datele sunt puse la dispoziție în temeiul unui contract cu utilizatorul și cu condiția ca celălalt terț să ia toate măsurile necesare convenite între deținătorul datelor și terț pentru a păstra confidențialitatea secretelor comerciale;

(d)

să pună datele pe care le primește la dispoziția unei întreprinderi desemnate drept controlor de acces în temeiul articolului 3 din Regulamentul (UE) 2022/1925;

(e)

să utilizeze datele pe care le primește pentru dezvoltarea unui produs care concurează cu produsul conectat din care provin datele accesate sau să partajeze datele cu alt terț în scopul respectiv; de asemenea, terții nu pot să utilizeze niciun fel de date fără caracter personal referitoare la produs sau date referitoare la serviciul conex care le sunt puse la dispoziție pentru a obține informații cu privire la situația economică, activele și metodele de producție ale deținătorului de date sau cu privire la utilizarea de către acesta;

(f)

să folosească datele pe care le primește într-un mod care să aibă un impact negativ asupra securității produsului conectat sau asupra serviciului conex;

(g)

să ignore măsurile specifice pe care le-a convenit cu un deținător de date sau cu deținătorul de secrete comerciale în temeiul articolului 5 alineatul (9) și să încalce confidențialitatea secretelor comerciale;

(h)

să împiedice utilizatorul care este un consumator, inclusiv în temeiul unui contract, să pună datele pe care le primește la dispoziția altor părți.

Articolul 7

Domeniul de aplicare al obligațiilor de partajare de date între întreprinderi și consumatori și între întreprinderi

(1)   Obligațiile prevăzute în prezentul capitol nu se aplică datelor generate prin utilizarea produselor conectate fabricate sau proiectate sau a serviciilor conexe furnizate de o microîntreprindere sau o întreprindere mică, cu condiția ca întreprinderea respectivă să nu aibă o întreprindere parteneră sau o întreprindere afiliată, în înțelesul articolului 3 din anexa la Recomandarea 2003/361/CE, care nu se califică drept microîntreprindere sau întreprindere mică și atunci când microîntreprinderea și întreprinderea mică nu sunt subcontractate pentru a fabrica sau a proiecta un produs conectat sau pentru a furniza un serviciu conex.

Același lucru este valabil și pentru datele generate prin utilizarea de produse conectate fabricate sau de servicii conexe furnizate de o întreprindere care s-a calificat drept o întreprindere mijlocie în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE pentru mai puțin de un an și pentru produsele conectate, pentru o perioadă de un an de la data la care au fost introduse pe piață de către o întreprindere mijlocie.

(2)   Nicio clauză contractuală care, în detrimentul utilizatorului, exclude aplicarea drepturilor utilizatorului în temeiul prezentului capitol, derogă de la acestea sau modifică efectul acestora nu este obligatorie pentru utilizator.

CAPITOLUL III

OBLIGAȚIILE DEȚINĂTORILOR DE DATE CARE AU OBLIGAȚIA DE A PUNE DATE LA DISPOZIȚIE ÎN TEMEIUL DREPTULUI UNIUNII

Articolul 8

Condițiile în care deținătorii de date pun date la dispoziția destinatarilor datelor

(1)   În cazul în care, în relațiile dintre întreprinderi, un deținător de date este obligat să pună date la dispoziția unui destinatar al datelor în temeiul articolului 5 sau în temeiul altor acte din dreptul aplicabil al Uniunii sau din legislația națională adoptate în conformitate cu dreptul Uniunii, respectivul deținător de date convine cu un destinatar al datelor modalitățile de punere la dispoziție a datelor și face acest lucru în conformitate cu clauze și condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent, în conformitate cu prezentul capitol și cu capitolul IV.

(2)   O clauză contractuală care se referă la accesul la date și la utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu este obligatorie dacă este o clauză contractuală abuzivă în înțelesul articolului 13 sau dacă exclude aplicarea drepturilor utilizatorului prevăzute în capitolul II, derogă de la respectivele drepturi sau modifică efectul acestora, în detrimentul utilizatorului.

(3)   Un deținător de date nu discriminează, în ceea ce privește modalitățile de punere la dispoziție a datelor, între categorii comparabile de destinatari ai datelor, inclusiv întreprinderi partenere sau întreprinderi afiliate deținătorului de date, când pune la dispoziție date. În cazul în care un destinatar al datelor consideră discriminatorii condițiile în care i-au fost puse la dispoziție datele, deținătorul de date furnizează fără întârziere destinatarului datelor, la cererea motivată a acestuia, informații care arată că nu a existat nicio discriminare.

(4)   Un deținător de date nu poate să pună date la dispoziția unui destinatar al datelor, inclusiv în mod exclusiv, cu excepția cazului în care există o cerere introdusă în acest sens de utilizator în temeiul capitolului II.

(5)   Deținătorii de date și destinatarii datelor nu au obligația de a furniza informații în plus față de cele necesare pentru verificarea respectării clauzelor contractuale convenite pentru punerea la dispoziție a datelor sau a obligațiilor care le revin în temeiul prezentului regulament sau al altor acte din dreptul aplicabil al Uniunii sau din legislația națională adoptate în conformitate cu dreptul Uniunii.

(6)   Cu excepția cazului în care se prevede altfel în dreptul Uniunii, inclusiv la articolul 4 alineatul (6) și la articolul 5 alineatul (9) din prezentul regulament, sau în legislația națională adoptată în conformitate cu dreptul Uniunii, obligația de a pune date la dispoziția unui destinatar al datelor nu include obligația de divulgare a unor secrete comerciale.

Articolul 9

Compensație pentru punerea de date la dispoziție

(1)   Orice compensație convenită între un deținător de date și un destinatar al datelor pentru punerea de date la dispoziție în relațiile dintre întreprinderi trebuie să fie nediscriminatorie și rezonabilă și poate include o marjă.

(2)   Atunci când convin asupra oricărei compensații, deținătorul de date și destinatarul datelor iau în considerare în special:

(a)

costurile suportate pentru punerea la dispoziție a datelor, inclusiv, în special, costurile necesare pentru formatarea datelor, diseminarea prin mijloace electronice și stocarea acestora;

(b)

investițiile în colectarea și producerea de date, după caz, luând în considerare dacă alte părți au contribuit la obținerea, generarea sau colectarea datelor în cauză.

(3)   Compensația menționată la alineatul (1) poate varia, de asemenea, în funcție de volumul, formatul sau natura datelor.

(4)   În cazul în care destinatarul datelor este o IMM sau o organizație de cercetare fără scop lucrativ și în cazul în care un astfel de destinatar de date nu are întreprinderi partenere sau întreprinderi afiliate care nu se califică drept IMM-uri, nicio compensație convenită nu depășește costurile menționate la alineatul (2) litera (a).

(5)   Comisia adoptă orientări privind calcularea compensației rezonabile, ținând seama de avizul Comitetului european pentru inovare în domeniul datelor (EDIB) menționat la articolul 42.

(6)   Prezentul articol nu împiedică alte acte legislative ale Uniunii sau ale legislației naționale adoptate în conformitate cu dreptul Uniunii să excludă compensațiile pentru punerea la dispoziție a datelor sau prevederea unei compensații mai mici.

(7)   Deținătorul de date trebuie să furnizeze destinatarului datelor informații suficient de detaliate cu privire la baza de calculare a compensației, astfel încât destinatarul datelor să poată evalua dacă sunt îndeplinite cerințele de la alineatele (1)-(4).

Articolul 10

Soluționarea litigiilor

(1)   Utilizatorii, deținătorii de date și destinatarii datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigii în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), precum și litigii în legătură cu clauzele și condițiile echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor și cu modul transparent de punere la dispoziție a datelor, în conformitate cu prezentul capitol și cu capitolul IV.

(2)   Organismele de soluționare a litigiilor aduc taxele sau mecanismele utilizate pentru stabilirea taxelor la cunoștința părților în cauză înainte ca părțile respective să solicite emiterea unei decizii.

(3)   În ceea ce privește litigiile pentru care a fost sesizat organismul de soluționare a litigiilor în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), în cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea utilizatorului sau a destinatarului datelor, deținătorul de date suportă toate taxele percepute de organismul de soluționare a litigiilor și rambursează utilizatorului sau destinatarului respectiv orice alte cheltuieli rezonabile pe care le-a suportat în legătură cu soluționarea litigiului. În cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea deținătorului de date, utilizatorul sau destinatarul datelor nu are obligația de a rambursa eventualele taxe sau alte cheltuieli pe care deținătorul de date le-a plătit sau pe care urmează să le plătească în legătură cu soluționarea litigiului, cu excepția cazului în care organismul de soluționare a litigiilor constată că utilizatorul sau destinatarul datelor a acționat în mod evident cu rea-credință.

(4)   Clienții și furnizorii de servicii de prelucrare a datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigiile legate de încălcarea drepturilor clienților și a obligațiilor furnizorilor de servicii de prelucrare a datelor, în conformitate cu articolele 23-31.

(5)   Statul membru în care este stabilit organismul de soluționare a litigiilor certifică organismul, la cererea organismului respectiv, în cazul în care acesta a demonstrat că îndeplinește toate condițiile următoare:

(a)

este imparțial și independent și emite decizii în conformitate cu norme de procedură clare, nediscriminatorii și echitabile;

(b)

dispune de cunoștințele de specialitate necesare, în special privind clauzele și condițiile echitabile, rezonabile și nediscriminatorii, inclusiv privind compensațiile, și privind punerea la dispoziție a datelor într-un mod transparent, ceea ce îi permite să stabilească în mod eficace clauzele și condițiile respective;

(c)

este ușor de accesat prin intermediul tehnologiei comunicațiilor electronice;

(d)

are capacitatea de a adopta decizii într-un mod rapid, eficace și eficient din punctul de vedere al costurilor în cel puțin o limbă oficială a Uniunii.

(6)   Organismele de soluționare a litigiilor certificate sunt notificate Comisiei de către statele membre în conformitate cu alineatul (5). Comisia publică pe un site specializat o listă a organismelor respective, pe care o actualizează în permanență.

(7)   Un organism de soluționare a litigiilor refuză să trateze o cerere de soluționare a unui litigiu dacă pentru același litigiu s-a introdus deja o cerere în fața altui organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(8)   Un organism de soluționare a litigiilor acordă părților, într-un termen rezonabil, posibilitatea de a-și exprima punctele de vedere asupra chestiunilor pe care părțile respective le-au introdus în fața organismului respectiv. În contextul respectiv, fiecare parte la un litigiu primește concluziile celeilalte părți la litigiu și eventualele declarații ale experților. Părților li se oferă posibilitatea de a prezenta observații cu privire la cererile și declarațiile respective.

(9)   Un organism de soluționare a litigiilor adoptă o decizie cu privire la chestiunea pentru care a fost sesizat în termen de cel mult 90 de zile de la data primirii unei cereri în temeiul alineatelor (1) și (4). Decizia respectivă este scrisă sau pe un suport durabil și este însoțită de o expunere de motive.

(10)   Organismele de soluționare a litigiilor întocmesc și pun la dispoziția publicului rapoartele lor anuale de activitate. Fiecare astfel de raport anual include, în special, următoarele informații:

(a)

rezultatele agregate ale litigiilor;

(b)

timpul mediu necesar pentru soluționarea litigiilor;

(c)

motivele cele mai frecvente ale litigiilor.

(11)   Pentru facilitarea schimbului de informații și de bune practici, un organism de soluționare a litigiilor poate decide să includă recomandări în raportul menționat la alineatul (10) privind modul în care pot fi evitate sau soluționate problemele.

(12)   Decizia unui organism de soluționare a litigiilor este obligatorie pentru părți numai dacă părțile și-au dat consimțământul explicit cu privire la caracterul său obligatoriu înainte de începerea procedurii de soluționare a litigiilor.

(13)   Prezentul articol nu aduce atingere dreptului părților de a introduce o cale de atac eficientă în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

Articolul 11

Măsuri tehnice de protecție privind utilizarea sau divulgarea neautorizată de date

(1)   Un deținător de date poate să aplice măsuri tehnice de protecție corespunzătoare, inclusiv contracte inteligente și criptare, pentru a preveni accesul neautorizat la date, inclusiv metadate, și pentru a asigura respectarea articolelor 4, 5, 6, 8 și 9, precum și a clauzelor contractuale convenite pentru punerea la dispoziție a datelor. Aceste măsuri tehnice de protecție nu discriminează diferiții destinatari ai datelor și nici nu obstrucționează dreptul unui utilizator de a obține o copie a datelor ori de a extrage, utiliza sau accesa datele sau de a furniza date unor terți în temeiul articolului 5 sau orice drept al unui terț prevăzut în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii. Utilizatorii, terții și destinatarii datelor nu modifică sau elimină astfel de măsuri tehnice de protecție, cu excepția cazului în care deținătorul de date își dă acordul în acest sens.

(2)   În circumstanțele menționate la alineatul (3), terțul sau destinatarul datelor dă curs, fără întârzieri nejustificate, cererilor deținătorului de date și, după caz, atunci când aceștia nu sunt aceeași persoană, deținătorului secretului comercial, sau ale utilizatorului:

(a)

de a șterge datele puse la dispoziție de către deținătorul datelor și toate copiile acestora;

(b)

de a înceta producerea, oferirea, sau introducerea pe piață sau utilizarea bunurilor, a datelor derivate sau a serviciilor produse pe baza cunoștințelor obținute prin intermediul unor astfel de date ori importul, exportul sau depozitarea de bunuri care încalcă drepturile prevăzute în scopurile respective și de a distruge eventualele bunuri care încalcă drepturile respective, în cazul în care există un risc grav ca utilizarea ilegală a acestor date să cauzeze un prejudiciu semnificativ deținătorului de date, deținătorului secretului comercial sau utilizatorului sau în cazul în care o astfel de măsură nu ar fi disproporționată în raport cu interesele deținătorului de date, ale deținătorului secretului comercial sau ale utilizatorului;

(c)

de a informa utilizatorul cu privire la utilizarea sau divulgarea neautorizată a datelor și la măsurile luate pentru a pune capăt utilizării sau divulgării neautorizate a datelor;

(d)

de a compensa partea care suferă de pe urma utilizării abuzive sau a divulgării unor astfel de date accesate sau utilizate în mod ilegal.

(3)   Alineatul (2) se aplică în cazul în care un terț sau un destinatar al datelor:

(a)

în scopul obținerii de date a furnizat informații false unui deținător de date, a utilizat mijloace înșelătoare sau coercitive sau a abuzat de lacunele din infrastructura tehnică a deținătorului de date destinată să protejeze datele;

(b)

a utilizat datele puse la dispoziție în scopuri neautorizate, inclusiv pentru dezvoltarea unui produs conectat concurent în sensul articolului 6 alineatul (2) litera (e);

(c)

a divulgat în mod ilegal date unei alte părți;

(d)

nu a menținut măsurile tehnice și organizatorice convenite în temeiul articolului 5 alineatul (9); sau

(e)

a modificat sau eliminat măsurile tehnice de protecție aplicate de deținătorul de date în temeiul alineatului (1) de la prezentul articol fără acordul deținătorului de date.

(4)   Alineatul (2) se aplică și în cazul în care un utilizator modifică sau elimină măsurile tehnice de protecție aplicate de deținătorul de date sau nu menține măsurile tehnice și organizatorice luate de utilizator de comun acord cu deținătorul de date sau, dacă nu este aceeași persoană, cu deținătorul secretelor comerciale, pentru a păstra secretele comerciale, precum și în ceea ce privește orice altă parte care primește datele de la utilizator prin încălcarea prezentului regulament.

(5)   În cazul în care destinatarul datelor încalcă articolul 6 alineatul (2) litera (a) sau (b), utilizatorii au aceleași drepturi ca deținătorii de date în temeiul alineatului (2) de la prezentul articol.

Articolul 12

Domeniul de aplicare al obligațiilor deținătorilor de date care au obligația în temeiul dreptului Uniunii de a pune date la dispoziție

(1)   Prezentul capitol se aplică în cazul în care, în relațiile dintre întreprinderi, un deținător de date este obligat, în temeiul articolului 5 ori în temeiul dreptului aplicabil al Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii, să pună date la dispoziția unui destinatar al datelor.

(2)   O clauză contractuală dintr-un acord de partajare de date care, în detrimentul uneia dintre părți sau, după caz, în detrimentul utilizatorului, exclude aplicarea prezentului capitol, derogă de la acesta sau îi modifică efectele nu este obligatorie pentru partea respectivă.

CAPITOLUL IV

CLAUZELE CONTRACTUALE ABUZIVE REFERITOARE LA ACCESAREA ȘI UTILIZAREA DE DATE ÎNTRE ÎNTREPRINDERI

Articolul 13

Clauze contractuale abuzive impuse unilateral unei alte întreprinderi

(1)   O clauză contractuală referitoare la accesul la date și utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date, care a fost impusă unilateral de o întreprindere unei alte întreprinderi, nu poate fi obligatorie pentru aceasta din urmă dacă este abuzivă.

(2)   O clauză contractuală care reflectă dispoziții imperative ale dreptului Uniunii sau dispoziții ale dreptului Uniunii care s-ar aplica în cazul în care clauzele contractuale nu ar reglementa chestiunea nu este considerată abuzivă.

(3)   O clauză contractuală este abuzivă dacă prezintă caracteristici ca urmare a cărora utilizarea sa deviază în mod flagrant de la bunele practici comerciale în ceea ce privește accesarea și utilizarea de date, contrar bunei-credințe și corectitudinii.

(4)   În special, o clauză contractuală este abuzivă în sensul alineatului (3) dacă are ca obiect sau ca efect:

(a)

excluderea sau limitarea răspunderii părții care a impus-o unilateral pentru acte intenționate sau neglijență gravă;

(b)

excluderea măsurilor reparatorii de care dispune partea căreia i-a fost impusă unilateral în cazul neexecutării obligațiilor contractuale sau excluderea răspunderii părții care a impus-o unilateral în cazul unei încălcări a respectivelor obligații;

(c)

acordarea către partea care a impus-o unilateral a dreptului exclusiv de a stabili dacă datele furnizate sunt conforme cu contractul sau de a interpreta orice clauză contractuală.

(5)   O clauză contractuală este prezumată a fi abuzivă în sensul alineatului (3) dacă are ca obiect sau ca efect:

(a)

limitarea în mod necorespunzător a măsurilor reparatorii în cazul neexecutării obligațiilor contractuale sau limitarea răspunderii în cazul încălcării acestor obligații, sau extinderea răspunderii întreprinderii căreia i-a fost impusă clauza în mod unilateral;

(b)

crearea pentru partea care a impus clauza unilateral a posibilității de accesare și utilizare a datelor celeilalte părți contractante într-un mod care prejudiciază în mod semnificativ interesele legitime ale celeilalte părți contractante, în special în cazul în care datele respective conțin date sensibile din punct de vedere comercial sau sunt protejate de secrete comerciale ori drepturi de proprietate intelectuală;

(c)

împiedicarea părții căreia i-a fost impusă unilateral să utilizeze datele furnizate sau generate de partea respectivă pe durata contractului sau limitarea utilizării unor astfel de date într-o asemenea măsură încât partea respectivă nu are dreptul să utilizeze, să înregistreze, să acceseze sau să controleze astfel de date sau să exploateze valoarea unor astfel de date în mod adecvat;

(d)

împiedicarea părții căreia i-a fost impusă unilateral clauza să rezilieze acordul într-un termen rezonabil;

(e)

împiedicarea părții căreia i-a fost impusă unilateral clauza să obțină o copie a datelor furnizate sau generate de partea respectivă pe durata contractului sau într-un termen rezonabil de la încetarea acestuia;

(f)

crearea pentru partea care a impus-o unilateral a posibilității de a rezilia contractul cu un preaviz nejustificat de scurt, luându-se în considerare orice posibilitate rezonabilă a celeilalte părți contractante de a trece la un serviciu alternativ și comparabil, precum și prejudiciul financiar cauzat de o astfel de reziliere, cu excepția cazului în care există motive serioase în acest sens;

(g)

acordarea pentru partea care a impus unilateral clauza a posibilității de a modifica substanțial prețul specificat în contract sau orice altă condiție de fond legată de natura, formatul, calitatea sau cantitatea datelor care urmează să fie partajate, când niciun motiv întemeiat și niciun drept al celeilalte părți de a rezilia contractul în cazul unei astfel de modificări nu este specificat în contract.

Litera (g) de la primul paragraf nu afectează condițiile prin care partea care a impus unilateral clauza își rezervă dreptul de a modifica unilateral clauzele unui contract pe durată nedeterminată, cu condiția ca în contract să se specifice un motiv întemeiat pentru o astfel de modificare unilaterală, ca partea care a impus unilateral clauza să fie obligată să dea celeilalte părți contractante un preaviz rezonabil cu privire la orice astfel de modificare intenționată și ca cealaltă parte contractantă să aibă libertatea de a rezilia contractul fără costuri în cazul unei modificări.

(6)   Se consideră că o clauză contractuală este impusă unilateral în înțelesul prezentului articol dacă a fost oferită de o parte contractantă, fără ca cealaltă parte contractantă să fi fost în măsură să îi influențeze conținutul, în ciuda încercării de a o negocia. Sarcina de a dovedi că o clauză nu a fost impusă unilateral îi revine părții contractante care a oferit clauza contractuală respectivă. Partea contractantă care a inclus clauza contractuală contestată nu poate invoca caracterul abuziv al clauzei contractuale respective.

(7)   În cazul în care clauza contractuală abuzivă poate fi disociată de celelalte clauze ale contractului, acestea din urmă sunt obligatorii.

(8)   Prezentul articol nu se aplică clauzelor contractuale care definesc obiectul principal al contractului sau caracterului adecvat al prețului, în raport cu datele furnizate în schimb.

(9)   Părțile la un contract care intră în domeniul de aplicare al alineatului (1) nu exclud aplicarea prezentului articol, nu derogă de la acesta și nu îi modifică efectele.

CAPITOLUL V

PUNEREA DE DATE LA DISPOZIȚIA ORGANISMELOR DIN SECTORUL PUBLIC, A COMISIEI, A BĂNCII CENTRALE EUROPENE ȘI A ORGANELOR UNIUNII PE BAZA UNEI NEVOI EXCEPȚIONALE

Articolul 14

Obligația de a pune date la dispoziție pe baza unei nevoi excepționale

În cazul în care un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii demonstrează o nevoie excepțională, astfel cum se prevede la articolul 15, de a utiliza anumite date, inclusiv metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, pentru a-și îndeplini sarcinile statutare în interes public, deținătorii de date care sunt persoane juridice, altele decât organismele din sectorul public, care dețin datele respective le pun la dispoziție în urma unei cereri motivate în mod corespunzător.

Articolul 15

Nevoia excepțională de utilizare a datelor

(1)   O nevoie excepțională de utilizare a anumitor date în sensul prezentului capitol este limitată ca timp și domeniu de aplicare și se consideră că există numai în oricare dintre următoarele circumstanțe:

(a)

în cazul în care datele solicitate sunt necesare pentru a răspunde unei situații de urgență, iar organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii nu este în măsură să obțină astfel de date prin mijloace alternative în timp util și în mod eficace, în condiții echivalente;

(b)

în circumstanțe care nu intră sub incidența literei (a) și numai în ceea ce privește datele fără caracter personal, în cazul în care:

(i)

un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii acționează în temeiul dreptului Uniunii sau al dreptului intern și a identificat date specifice, a căror lipsă îl împiedică să îndeplinească o sarcină specifică de interes public, care a fost prevăzută în mod explicit de lege, cum ar fi producerea de statistici oficiale sau atenuarea unei situații de urgență sau redresarea în urma unei astfel de situații de urgență; și

(ii)

organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii a epuizat toate celelalte mijloace de care dispune pentru a obține astfel de date, inclusiv achiziționarea de date de pe piață prin oferirea tarifelor de piață sau bazându-se pe obligațiile existente de a pune date la dispoziție sau prin adoptarea de noi măsuri legislative care ar putea asigura disponibilitatea în timp util a datelor.

(2)   Alineatul (1) litera (b) nu se aplică microîntreprinderilor și întreprinderilor mici.

(3)   Obligația de a demonstra că organismul din sectorul public nu a fost în măsură să obțină date fără caracter personal prin achiziționarea acestora de pe piață nu se aplică în cazul în care sarcina specifică de interes public este producerea de statistici oficiale și în cazul în care achiziționarea de astfel de date nu este permisă de dreptul intern.

Articolul 16

Relația cu alte obligații de punere la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene și a organelor Uniunii de date

(1)   Prezentul capitol nu aduce atingere obligațiilor prevăzute în dreptul Uniunii sau în dreptul intern în scopul raportării, al respectării cererilor de acces la informații ori al demonstrării sau verificării respectării obligațiilor legale.

(2)   Prezentul capitol nu se aplică organismelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii care desfășoară activități pentru prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau contravențiilor ori pentru executarea pedepselor, și nici administrației vamale și fiscale. Prezentul capitol nu aduce atingere dreptului Uniunii și dreptului intern aplicabil în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor sau contravențiilor ori de executare a pedepselor sau a sancțiunilor administrative ori în materie de administrare vamală sau fiscală.

Articolul 17

Cereri de punere la dispoziție de date

(1)   Când solicită date în temeiul articolului 14, un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii:

(a)

specifică datele solicitate, inclusiv metadatele relevante necesare pentru interpretarea și utilizarea datelor respective;

(b)

demonstrează că sunt îndeplinite condițiile necesare pentru existența unei nevoi excepționale menționate la articolul 15 în scopul pentru care sunt solicitate datele;

(c)

explică scopul cererii, utilizarea preconizată a datelor solicitate, inclusiv, dacă este cazul, de către un terț în conformitate cu alineatul (4) de la prezentul articol, durata utilizării respective și, după caz, modul în care prelucrarea datelor cu caracter personal trebuie să răspundă nevoii excepționale;

(d)

precizează, dacă este posibil, momentul în care se preconizează că datele vor fi șterse de către toate părțile care au acces la acestea;

(e)

justifică alegerea deținătorului de date căruia îi este adresată cererea;

(f)

menționează orice alte organisme din sectorul public sau Comisia, Banca Centrală Europeană sau organele Uniunii și terții cu care se intenționează partajarea datelor solicitate;

(g)

în cazul în care se solicită date cu caracter personal, specifică orice măsuri tehnice și organizatorice care sunt necesare și proporționale pentru punerea în aplicare a principiilor de protecție a datelor și a garanțiilor necesare, cum ar fi pseudonimizarea, și dacă anonimizarea poate fi aplicată de către deținătorul de date înainte de a pune la dispoziție datele;

(h)

precizează dispoziția legală care atribuie organismului din sectorul public solicitant, Comisiei, Băncii Centrale Europene sau organului Uniunii sarcina specifică de interes public relevantă pentru solicitarea datelor;

(i)

precizează termenul până la care datele urmează să fie puse la dispoziție și termenul menționat la articolul 18 alineatul (2) până la care deținătorul datelor poate să respingă sau să solicite modificarea cererii;

(j)

depun toate eforturile pentru a evita ca respectarea solicitării de date să conducă la răspunderea deținătorilor de date pentru încălcarea dreptului Uniunii sau a dreptului intern.

(2)   O cerere de date introdusă în temeiul alineatului (1) de la prezentul articol trebuie:

(a)

să fie formulată în scris și exprimată într-un limbaj clar, concis și simplu, ușor de înțeles de către deținătorul datelor;

(b)

să precizeze tipul de date solicitate și să corespundă datelor pe care deținătorul de date le controlează la momentul cererii;

(c)

să fie proporțională cu nevoia excepțională și justificată în mod corespunzător în ceea ce privește granularitatea și volumul datelor solicitate și frecvența accesului la datele solicitate;

(d)

să respecte obiectivele legitime ale deținătorului datelor, angajându-se să asigure protecția secretelor comerciale în conformitate cu articolul 19 alineatul (3), precum și costurile și eforturile necesare pentru punerea la dispoziție a datelor;

(e)

să se refere la date fără caracter personal și numai dacă se demonstrează că acest lucru este insuficient pentru a răspunde nevoii excepționale de utilizare a datelor, în conformitate cu articolul 15 alineatul (1) litera (a), să solicite date cu caracter personal în formă pseudonimizată și să stabilească măsurile tehnice și organizatorice care urmează să fie luate pentru a proteja datele;

(f)

să informeze deținătorul datelor cu privire la sancțiunile care urmează să fie impuse în temeiul articolului 40 de către autoritatea competentă desemnată în temeiul articolului 37 în cazul nerespectării cererii;

(g)

în cazul în care cererea este introdusă de un organism din sectorul public, să fie transmisă coordonatorului de date menționat la articolul 37 al statului membru în care este stabilit organismul din sectorul public solicitant, care pune cererea la dispoziția publicului online, fără întârzieri nejustificate, cu excepția cazului în care coordonatorul de date consideră că o astfel de publicare ar crea un risc pentru siguranța publică;

(h)

în cazul în care cererea este introdusă de Comisie, Banca Centrală Europeană sau un organ al Uniunii, să fie pusă la dispoziție online fără întârzieri nejustificate;

(i)

în cazul în care se solicită date cu caracter personal, să fie notificată fără întârzieri nejustificate autorității de supraveghere responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 din statul membru în care este stabilit organismul din sectorul public.

Banca Centrală Europeană și organele Uniunii informează Comisia cu privire la cererile lor.

(3)   Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii nu pun la dispoziție datele obținute în temeiul prezentului capitol în vederea reutilizării, astfel cum este definită la articolul 2 punctul 2 din Regulamentul (UE) 2022/868 sau la articolul 2 punctul 11 din Directiva (UE) 2019/1024. Regulamentul (UE) 2022/868 și Directiva (UE) 2019/1024 nu se aplică în cazul datelor deținute de organisme din sectorul public și obținute în temeiul prezentului capitol.

(4)   Alineatul (3) de la prezentul articol nu împiedică un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii să facă schimb de date obținute în temeiul prezentului capitol cu alt organism din sectorul public sau cu Comisia, cu Banca Centrală Europeană ori cu un organ al Uniunii, cu scopul îndeplinirii sarcinilor menționate la articolul 15, astfel cum se specifică în cerere în conformitate cu alineatul (1) litera (f) de la prezentul articol, sau să pună datele la dispoziția unui terț în cazul în care a delegat, prin intermediul unui acord accesibil publicului, sarcina de efectuare a inspecțiilor tehnice sau alte funcții către respectivul terț. Obligațiile care revin organismelor din sectorul public în temeiul articolului 19, în special garanțiile de păstrare a confidențialității secretelor comerciale, se aplică și acestor terți. În cazul în care transmite sau pune la dispoziție date în temeiul prezentului alineat, organismul din sectorul public ori Comisia, Banca Centrală Europeană ori un organ Uniunii notifică acest lucru deținătorului de date de la care au fost primite datele, fără întârzieri nejustificate.

(5)   În cazul în care deținătorul de date consideră că drepturile sale în temeiul prezentului capitol au fost încălcate prin transmiterea sau punerea la dispoziție a datelor, acesta poate depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

(6)   Comisia elaborează un model pentru cererile depuse în temeiul prezentului articol.

Articolul 18

Îndeplinirea cererilor de date

(1)   Un deținător de date care primește o cerere de a pune la dispoziție date în temeiul prezentului capitol pune datele, fără întârzieri nejustificate, la dispoziția organismului din sectorul public, a Comisiei, Băncii Centrale Europene ori a organului Uniunii care a introdus cererea, ținând seama de măsurile tehnice, organizatorice și juridice necesare.

(2)   Fără a aduce atingere nevoilor specifice în ceea ce privește disponibilitatea datelor definite în dreptul Uniunii sau în dreptul intern, un deținător de date poate să respingă cererea sau să solicite modificarea unei cereri de a pune la dispoziție date în temeiul prezentului capitol fără întârzieri nejustificate și, în orice caz, nu mai târziu de cinci zile lucrătoare de la primirea unei cereri de date necesare pentru răspunsul la o situație de urgență și fără întârzieri nejustificate și, în orice caz, nu mai târziu de 30 de zile lucrătoare de la primirea unei astfel de cereri în alte cazuri de nevoie excepțională, din oricare dintre următoarele motive:

(a)

deținătorul de date nu are control asupra datelor solicitate;

(b)

o cerere similară în același scop a fost introdusă anterior de un alt organism din sectorul public sau de Comisie, de Banca Centrală Europeană ori de un organ al Uniunii, iar deținătorul de date nu a fost notificat cu privire la ștergerea datelor în temeiul articolului 19 alineatul (1) litera (c);

(c)

cererea nu îndeplinește condițiile prevăzute la articolul 17 alineatele (1) și (2).

(3)   Dacă decide să respingă cererea sau să solicite modificarea acesteia în conformitate cu alineatul (2) litera (b), deținătorul datelor face cunoscută identitatea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene ori a organului Uniunii care a introdus anterior o cerere în același scop.

(4)   În cazul în care datele solicitate includ date cu caracter personal, deținătorul de date anonimizează în mod corespunzător datele, cu excepția cazului în care respectarea cererii de punere a datelor la dispoziția unui organism din sectorul public, a Comisiei, a Băncii Centrale Europene sau a unui organ al Uniunii impune divulgarea de date cu caracter personal. În aceste cazuri, deținătorul de date pseudonimizează datele.

(5)   În cazul în care organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii dorește să conteste refuzul unui deținător de date de a furniza datele solicitate sau în cazul în care deținătorul de date dorește să conteste cererea, iar chestiunea nu poate fi soluționată printr-o modificare adecvată a cererii, este sesizată autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date cu privire la chestiunea în cauză.

Articolul 19

Obligațiile organismelor din sectorul public, ale Comisiei, ale Băncii Centrale Europene și ale organelor Uniunii

(1)   Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii care primește date în urma unei cereri introduse în temeiul articolului 14:

(a)

nu utilizează datele într-un mod incompatibil cu scopul pentru care au fost solicitate;

(b)

a pus în aplicare măsuri tehnice și organizatorice care să păstreze confidențialitatea și integritatea datelor solicitate și securitatea transferurilor de date, în special a datelor cu caracter personal, și protejează drepturile și libertățile persoanelor vizate;

(c)

șterge datele de îndată ce acestea nu mai sunt necesare pentru scopul declarat și informează deținătorul de date și persoanele fizice sau organizațiile care au primit datele în temeiul articolului 21 alineatul (1), fără întârzieri nejustificate, că datele au fost șterse, cu excepția cazului în care este necesară arhivarea datelor în conformitate cu dreptul Uniunii sau cu dreptul intern privind accesul public la documente în contextul obligațiilor de transparență.

(2)   Un organism din sectorul public, Comisia, Banca Centrală Europeană, un organ al Uniunii sau un terț care primește date în temeiul prezentului capitol:

(a)

nu utilizează datele sau informațiile despre situația economică, activele și metodele de producție sau de operare ale deținătorului de date pentru a dezvolta sau a îmbunătăți un produs conectat sau un serviciu conex care concurează cu produsul conectat sau cu serviciul conex al deținătorului de date;

(b)

nu partajează datele cu un alt terț în oricare dintre scopurile menționate la litera (a).

(3)   Divulgarea de secrete comerciale către un organism din sectorul public, către Comisie, Banca Centrală Europeană ori un organ al Uniunii este obligatorie numai dacă ea este strict necesară pentru atingerea scopului unei cereri depuse în temeiul articolului 15. Într-un astfel de caz, deținătorul datelor sau, atunci când aceștia nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante. Organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii iau, înainte de divulgarea secretelor comerciale, toate măsurile tehnice și organizatorice necesare și adecvate pentru a păstra confidențialitatea secretelor comerciale, inclusiv, după caz, utilizarea de modele de clauze contractuale, de standarde tehnice și aplicarea codurilor de conduită.

(4)   Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii este responsabil de securitatea datelor pe care le primește.

Articolul 20

Compensație în cazuri de nevoie excepțională

(1)   Deținătorii de date, alții decât microîntreprinderile și întreprinderile mici, pun la dispoziție în mod gratuit datele necesare pentru a răspunde unei situații de urgență în temeiul articolului 15 alineatul (1) litera (a). Organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii care a primit date îi acordă recunoaștere publică deținătorului de date dacă acesta o solicită.

(2)   Deținătorul de date are dreptul la o compensație corectă pentru punerea la dispoziție a datelor în conformitate cu o cerere introdusă în temeiul articolului 15 alineatul (1) litera (b). O astfel de compensație acoperă costurile tehnice și organizatorice suportate pentru îndeplinirea cererii, inclusiv, după caz, costurile anonimizării, pseudonimizării, agregării și ale adaptării tehnice și o marjă rezonabilă. La cererea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene ori a organului Uniunii, deținătorul de date furnizează informații cu privire la baza de calculare a costurilor și a marjei rezonabile.

(3)   Alineatul (2) se aplică, de asemenea, în cazul în care o microîntreprindere și întreprindere mică solicită compensații pentru punerea la dispoziție a datelor.

(4)   Deținătorii de date nu au dreptul la compensații pentru punerea la dispoziție a datelor în conformitate cu o cerere depusă în temeiul articolului 15 alineatul (1) litera (b), în cazul în care sarcina specifică de interes public este producerea de statistici oficiale și în cazul în care achiziționarea de date nu este permisă de dreptul intern. Statele membre informează Comisia în cazul în care dreptul intern nu permite achiziționarea de date pentru producerea de statistici oficiale.

(5)   În cazul în care organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii nu sunt de acord cu nivelul compensației solicitate de deținătorul de date, acestea pot depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

Articolul 21

Partajarea datelor obținute în contextul unei nevoi excepționale cu organizații de cercetare sau organisme statistice

(1)   Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii au dreptul de a partaja datele primite în temeiul prezentului capitol:

(a)

cu persoane fizice sau organizații care desfășoară activități de cercetare științifică sau de analiză compatibile cu scopul pentru care au fost solicitate datele; sau

(b)

cu institute naționale de statistică sau la cererea Eurostat pentru producerea de statistici oficiale;

(2)   Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) trebuie să acționeze fără scop lucrativ sau în contextul unei misiuni de interes public recunoscute în dreptul Uniunii sau în dreptul intern. Nu sunt incluse organizațiile asupra cărora întreprinderile comerciale au o influență semnificativă, ceea ce ar putea conduce la un acces preferențial la rezultatele cercetării.

(3)   Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) de la prezentul articol respectă aceleași obligații care sunt aplicabile organelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii în temeiul articolului 17 alineatul (3) și al articolului 19.

(4)   În pofida articolului 19 alineatul (1) litera (c), persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) de la prezentul articol pot păstra datele primite în scopul pentru care au fost solicitate timp de până la șase luni de la ștergerea datelor de către organele din sectorul public, Comisie, Banca Centrală Europeană și organele Uniunii.

(5)   În cazul în care un organ din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii intenționează să transmită sau să pună la dispoziție date în temeiul alineatului (1) de la prezentul articol, acesta notifică fără întârzieri nejustificate deținătorului de date de la care au fost primite datele, precizând identitatea și datele de contact ale organizației sau ale persoanei care primește datele, scopul transmiterii sau punerii la dispoziție a datelor, perioada în care datele urmează să fie utilizate și măsurile tehnice de protecție și organizatorice luate, inclusiv în cazul în care sunt implicate date cu caracter personal sau secrete comerciale. În cazul în care deținătorul de date nu este de acord cu transmiterea sau punerea la dispoziție a datelor, acesta poate depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

Articolul 22

Asistență reciprocă și cooperare transfrontalieră

(1)   Organismele din sectorul public, Comisia, Banca Centrală Europeană și organele Uniunii cooperează și se asistă reciproc pentru a pune în aplicare prezentul capitol în mod consecvent.

(2)   Datele care fac obiectul unui schimb realizat atunci când se solicită și se furnizează asistență în temeiul alineatului (1) nu se utilizează într-un mod care este incompatibil cu scopul în care au fost solicitate.

(3)   În cazul în care un organism din sectorul public intenționează să solicite date de la un deținător de date stabilit în alt stat membru, organismul respectiv notifică mai întâi intenția în chestiune autorității competente desemnate în temeiul articolului 37 din respectivul stat membru. Această cerință se aplică și în cazul cererilor introduse de Comisie, de Banca Centrală Europeană și de organele Uniunii. Cererea este examinată de către autoritatea competentă a statului membru în care este stabilit deținătorul de date.

(4)   După examinarea cererii ținând seama de cerințele stabilite la articolul 17, autoritatea competentă relevantă întreprinde, fără întârzieri nejustificate, una dintre următoarele acțiuni:

(a)

transmite cererea deținătorului de date și, dacă este cazul, avizează organismul din sectorul public solicitant, Comisia, Banca Centrală Europeană sau organul Uniunii dacă este necesar sau nu să coopereze cu organismele din sectorul public din statul membru în care este stabilit deținătorul de date, cu scopul de a reduce sarcina administrativă pe care o suportă deținătorul de date pentru a asigura respectarea cererii;

(b)

respinge cererea pe motive bine întemeiate, în conformitate cu prezentul capitol.

Organismul din sectorul public solicitant, Comisia, Banca Centrală Europeană și organul Uniunii țin seama de avizul și motivele prezentate de autoritatea competentă relevantă în temeiul primului paragraf înainte de a întreprinde acțiuni suplimentare cum ar fi redepunerea cererii, după caz.

CAPITOLUL VI

TRECEREA DE LA UN SERVICIU DE PRELUCRARE A DATELOR LA ALTUL

Articolul 23

Eliminarea obstacolelor din calea trecerii la alt furnizor

Furnizorii de servicii de prelucrare a datelor iau măsurile prevăzute la articolele 25, 26, 27, 29 și 30 pentru a le permite clienților să treacă la un serviciu de prelucrare a datelor, care acoperă același tip de serviciu și care este furnizat de alt furnizor de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, sau, dacă este cazul, să utilizeze mai mulți furnizori de servicii de prelucrare a datelor în același timp. În special, furnizorii de servicii de prelucrare a datelor nu impun și elimină obstacolele precomerciale, comerciale, tehnice, contractuale și organizatorice care nu le permit clienților:

(a)

să rezilieze, după încheierea perioadei maxime de preaviz și după finalizarea cu succes a procesului de trecere la alt furnizor, în conformitate cu articolul 25, contractul având ca obiect serviciul de prelucrare a datelor;

(b)

să încheie noi contracte cu un furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de serviciu;

(c)

să își porteze datele exportabile ce le aparțin în calitate de clienți și activele digitale către un furnizor diferit de servicii de prelucrare a datelor sau către o infrastructură TIC locală, inclusiv după ce au beneficiat de o ofertă vizând un nivel de servicii gratuit;

(d)

în conformitate cu articolul 24, să obțină echivalența funcțională în utilizarea noului serviciu de prelucrare a datelor în mediul informatic al unui furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de serviciu;

(e)

să obțină segregarea, acolo unde este fezabil din punct de vedere tehnic, a serviciilor de prelucrare a datelor menționate la articolul 30 alineatul (1) de alte servicii de prelucrare a datelor furnizate de furnizorul de servicii de prelucrare a datelor.

Articolul 24

Domeniul de aplicare al obligațiilor tehnice

Responsabilitățile furnizorilor de servicii de prelucrare a datelor prevăzute la articolele 23, 25, 29, 30 și 34 se aplică numai în cazul serviciilor, contractelor sau practicilor comerciale asigurate de furnizorul serviciilor de prelucrare a datelor de origine.

Articolul 25

Clauze contractuale referitoare la trecerea la alt furnizor

(1)   Drepturile clientului și obligațiile furnizorului de servicii de prelucrare a datelor în ceea ce privește trecerea la alt furnizor de astfel de servicii sau, dacă este cazul, la o infrastructură TIC locală se stabilesc în mod clar într-un contract scris. Furnizorul de servicii de prelucrare a datelor pune contractul la dispoziția clientului înainte de semnarea contractului, într-un mod care permite clientului să stocheze contractul și să îl reproducă.

(2)   Fără a aduce atingere Directivei (UE) 2019/770, contractul menționat la alineatul (1) de la prezentul articol include cel puțin următoarele:

(a)

clauze care îi permit clientului, la cerere, să treacă la un serviciu de prelucrare a datelor oferit de un furnizor diferit de servicii de prelucrare a datelor sau să porteze toate datele exportabile și activele digitale către o infrastructură TIC locală, fără întârzieri nejustificate, și, în orice caz, nu mai târziu de o perioadă de tranziție maximă obligatorie de 30 de zile calendaristice, care începe să curgă după încheierea perioadei maxime de preaviz menționate la litera (d), în cursul căreia contractul de servicii rămâne aplicabil iar furnizorul de servicii de prelucrare a datelor:

(i)

oferă asistență adecvată clientului și terților autorizați de client în cursul procesului de trecere la alt furnizor;

(ii)

acționează cu grija cuvenită pentru a menține continuitatea activității și continuă să asigure funcțiile sau serviciile prevăzute în contract;

(iii)

furnizează informații clare despre riscurile cunoscute legate de continuitatea asigurării funcțiilor sau serviciilor de partea furnizorului de servicii de prelucrare a datelor de origine;

(iv)

se asigură că se menține un nivel ridicat de securitate pe tot parcursul procesului de trecere la alt furnizor, în special securitatea datelor în timpul transferului acestora și securitatea continuă a datelor în perioada de extragere specificată la litera (g), în conformitate cu dreptul aplicabil al Uniunii sau cu dreptul intern aplicabil;

(b)

obligația furnizorului de servicii de prelucrare a datelor de a sprijini strategia de ieșire a clientului relevantă pentru serviciile contractate, inclusiv prin furnizarea tuturor informațiilor pertinente;

(c)

o clauză care precizează că, în oricare dintre următoarele situații, contractul este considerat reziliat, iar clientul este informat cu privire la această reziliere:

(i)

după caz, la finalizarea cu succes a procesului de trecere la alt furnizor;

(ii)

la sfârșitul perioadei maxime de preaviz menționate la litera (d), în cazul în care clientul nu dorește să transfere, ci să șteargă datele sale exportabile și activele sale digitale din momentul încetării furnizării serviciilor;

(d)

o perioadă maximă de preaviz pentru demararea procesului de trecere la alt furnizor, care nu trebuie să depășească două luni;

(e)

o listă exhaustivă a tuturor categoriilor de date și active digitale care pot fi portate în cursul procesului de trecere la alt furnizor, inclusiv, ca cerință minimă, toate datele exportabile;

(f)

o listă exhaustivă a categoriilor de date specifice funcționării interne a serviciului de prelucrare a datelor prestat de furnizor care urmează să fie exceptate de la includerea în categoria datelor exportabile în temeiul literei (e) de la prezentul alineat atunci când există un risc de încălcare a secretelor comerciale ale furnizorului, cu condiția ca astfel de exceptări să nu împiedice sau să nu întârzie procesul de trecere la alt furnizor prevăzut la articolul 23;

(g)

o perioadă minimă de extragere a datelor de cel puțin 30 de zile calendaristice, care începe să curgă după încheierea perioadei de tranziție convenite între client și furnizorul de servicii de prelucrare a datelor, în conformitate cu litera (a) de la prezentul alineat și cu alineatul (4);

(h)

o clauză care să garanteze ștergerea completă a tuturor datelor exportabile și a activelor digitale generate direct de client sau care au legătură directă cu clientul, după expirarea perioadei de extragere menționate la litera (g) sau după expirarea unei alte perioade convenite și care survine la o dată ulterioară datei de expirare a perioadei de extragere menționate la litera (g), cu condiția ca procesul de trecere la alt furnizor să fi fost finalizat cu succes;

(i)

taxele de trecere la alt furnizor care pot fi impuse de furnizorii de servicii de prelucrare a datelor în conformitate cu articolul 29.

(3)   Contractul menționat la alineatul (1) include clauze care prevăd că clientul dispune de posibilitatea de a notifica furnizorului de servicii de prelucrare a datelor decizia sa de a efectua una sau mai multe dintre următoarele acțiuni după încheierea perioadei maxime de preaviz menționate la alineatul (2) litera (d):

(a)

trecerea la un furnizor diferit de servicii de prelucrare a datelor, caz în care clientul furnizează informațiile necesare cu privire la furnizorul respectiv;

(b)

trecerea la o infrastructură TIC locală;

(c)

ștergerea datelor exportabile și a activelor digitale ce îi aparțin.

(4)   În cazul în care perioada de tranziție maximă obligatorie, astfel cum este prevăzută la alineatul (2) litera (a), nu poate fi asigurată din motive tehnice, furnizorul de servicii de prelucrare a datelor informează clientul în termen de 14 zile lucrătoare de la depunerea cererii de trecere la alt furnizor, justifică în mod corespunzător incapacitatea tehnică și indică o perioadă de tranziție alternativă, care nu poate depăși șapte luni. În conformitate cu alineatul (1), se asigură continuitatea serviciului pe toată perioada de tranziție alternativă.

(5)   Fără a se aduce atingere alineatului (4), contractul menționat la alineatul (1) include clauze care conferă clientului dreptul de a prelungi perioada de tranziție, o singură dată, cu o perioadă pe care clientul o consideră mai adaptată propriilor sale scopuri.

Articolul 26

Obligația de informare ce revine furnizorilor de servicii de prelucrare a datelor

Furnizorul de servicii de prelucrare a datelor pune la dispoziția clientului:

(a)

informații despre procedurile disponibile pentru trecerea la alt furnizor și portarea către serviciul de prelucrare a datelor, inclusiv informații despre metodele și formatele de trecere la alt furnizor și de portare disponibile, precum și despre restricțiile și limitările tehnice care sunt cunoscute de furnizorul de servicii de prelucrare a datelor;

(b)

o trimitere la un registru online actualizat găzduit de furnizorul de servicii de prelucrare a datelor, care să conțină detalii privind toate structurile și formatele de date, precum și standardele și specificațiile deschise de interoperabilitate relevante, în care sunt disponibile datele exportabile menționate la articolul 25 alineatul (2) litera (e).

Articolul 27

Obligația de a acționa cu bună-credință

Toate părțile implicate, inclusiv furnizorii de servicii de prelucrare a datelor de destinație, cooperează cu bună-credință pentru a asigura eficacitatea procesului de trecere la alt furnizor, pentru a permite transferul în timp util al datelor și pentru a menține continuitatea serviciului de prelucrare a datelor.

Articolul 28

Obligații contractuale în materie de transparență privind accesul și transferul la nivel internațional

(1)   Furnizorii de servicii de prelucrare a datelor publică următoarele informații pe site-urile lor web și le actualizează permanent:

(a)

jurisdicția sub incidența căreia intră infrastructura TIC instalată pentru prelucrarea datelor serviciilor lor individuale;

(b)

o descriere generală a măsurilor tehnice, organizatorice și contractuale adoptate de furnizorul de servicii de prelucrare a datelor pentru a împiedica accesul administrațiilor publice la nivel internațional sau transferul de către acestea de date fără caracter personal deținute în Uniune, în cazul în care un astfel de acces sau transfer ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2)   Site-urile web menționate la alineatul (1) sunt enumerate în contractele aferente tuturor serviciilor de prelucrare a datelor oferite de furnizorii de servicii de prelucrare a datelor.

Articolul 29

Eliminarea treptată a taxelor de trecere la alt furnizor

(1)   Începând cu 12 ianuarie 2027, furnizorii de servicii de prelucrare a datelor nu impun clientului, pentru procesul de trecere la alt furnizor, niciun fel de taxe de trecere la alt furnizor.

(2)   De la 11 ianuarie 2024 până la 12 ianuarie 2027, furnizorii de servicii de prelucrare a datelor pot să impună clientului, pentru procesul de trecere la alt furnizor, taxe reduse de trecere la alt furnizor.

(3)   Taxele reduse de trecere la alt furnizor menționate la alineatul (2) nu pot depăși costurile pe care le suportă furnizorul de servicii de prelucrare a datelor și care sunt direct legate de procesul în cauză de trecere la alt furnizor.

(4)   Înainte de a încheia un contract cu un client, furnizorii de servicii de prelucrare a datelor pun la dispoziția clientului potențial informații clare cu privire la taxele standard pentru furnizarea serviciilor și la penalizările pentru reziliere anticipată care ar putea fi impuse, precum și cu privire la taxele reduse de trecere la alt furnizor, care ar putea fi impuse în intervalul de timp menționat la alineatul (2).

(5)   Unde este cazul, furnizorii de servicii de prelucrare a datelor pun la dispoziția clientului informații cu privire la serviciile de prelucrare a datelor care implică o mare complexitate sau costuri ridicate în caz de trecere la alt furnizor ori pentru care este imposibil să se treacă la alt furnizor fără intervenții semnificative asupra arhitecturii datelor, activelor digitale sau serviciilor.

(6)   Unde este cazul, furnizorii de servicii de prelucrare a datelor pun informațiile menționate la alineatele (4) și (5) la dispoziția clienților într-o secțiune a site-ului lor web rezervată acestui scop sau prin orice alt mod ușor accesibil.

(7)   Comisia este împuternicită să adopte, în conformitate cu articolul 45, acte delegate de completare a prezentului regulament în vederea instituirii unui mecanism de monitorizare prin care Comisia să monitorizeze taxele de trecere la alt furnizor impuse de furnizorii de servicii de prelucrare a datelor de pe piață, pentru a se asigura că eliminarea și reducerea taxelor de trecere la alt furnizor, în temeiul alineatelor (1) și (2) de la prezentul articol, se realizează în termenele stabilite la alineatele respective.

Articolul 30

Aspecte tehnice ale trecerii la alt furnizor

(1)   Furnizorii de servicii de prelucrare a datelor care vizează resurse informatice scalabile și elastice care se limitează la elemente de infrastructură, cum ar fi serverele, rețelele și resursele virtuale necesare pentru exploatarea infrastructurii, dar care nu oferă acces la serviciile, software-urile și aplicațiile de operare care sunt stocate, prelucrate în alt mod sau instalate pe respectivele elemente de infrastructură, iau toate măsurile rezonabile posibile, în conformitate cu articolul 27, pentru a ajuta clientul, după ce acesta trece la un serviciu care acoperă același tip de serviciu, să obțină echivalența funcțională în utilizarea serviciului de prelucrare a datelor de destinație. Furnizorul de servicii de prelucrare a datelor de origine facilitează procesul de trecere la alt furnizor punând la dispoziție capacități, informații adecvate, documentație, asistență tehnică și, după caz, instrumentele necesare.

(2)   Furnizorii de servicii de prelucrare a datelor, alții decât cei menționați la alineatul (1), pun interfețe deschise la dispoziția tuturor clienților lor și a furnizorilor de servicii de destinație, în mod egal și gratuit, pentru a facilita procesul de trecere la alt furnizor. Respectivele interfețe includ informații suficiente cu privire la serviciul în cauză pentru a permite dezvoltarea de software-uri care să facă posibilă comunicarea cu serviciile, în scopul portabilității datelor și al interoperabilității.

(3)   În cazul unor servicii de prelucrare a datelor diferite de cele menționate la alineatul (1) de la prezentul articol, furnizorii de servicii de prelucrare a datelor asigură compatibilitatea cu specificațiile comune bazate pe specificații deschise de interoperabilitate sau cu standardele armonizate de interoperabilitate, pentru o perioadă de cel puțin 12 luni după publicarea trimiterilor la respectivele specificații comune sau standarde armonizate pentru interoperabilitatea serviciilor de prelucrare a datelor în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor, ce urmează publicării actelor de punere în aplicare subiacente în Jurnalul Oficial al Uniunii Europene în conformitate cu articolul 35 alineatul (8).

(4)   Furnizorii de servicii de prelucrare a datelor, alții decât cei menționați la alineatul (1) de la prezentul articol, actualizează registrul online menționat la articolul 26 litera (b) în conformitate cu obligațiile care le revin în temeiul alineatului (3) de la prezentul articol.

(5)   În cazul trecerii de la un serviciu la un altul de același tip, pentru care specificațiile comune sau standardele armonizate pentru interoperabilitate menționate la alineatul (3) de la prezentul articol nu au fost publicate în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor în conformitate cu articolul 35 alineatul (8), furnizorul serviciilor de prelucrare a datelor exportă, la cererea clientului, toate datele exportabile într-un format structurat, utilizat în mod curent și care poate fi citit automat.

(6)   Furnizorii de servicii de prelucrare a datelor nu sunt obligați să dezvolte noi tehnologii sau servicii, sau să comunice sau să transfere active digitale protejate de drepturi de proprietate intelectuală sau care constituie secrete comerciale către un client sau către un furnizor diferit de servicii de prelucrare a datelor ori să compromită securitatea și integritatea serviciului clientului sau furnizorului.

Articolul 31

Regimul specific aferent anumitor servicii de prelucrare a datelor

(1)   Obligațiile prevăzute la articolul 23 litera (d), la articolul 29 și la articolul 30 alineatele (1) și (3) nu se aplică serviciilor de prelucrare a datelor în cazul cărora majoritatea caracteristicilor principale au fost personalizate pentru a răspunde nevoilor specifice ale unui client individual sau în cazul cărora toate componentele au fost dezvoltate în beneficiul unui client individual, și nici în cazul în care respectivele servicii de prelucrare a datelor nu sunt oferite la scară comercială largă prin intermediul catalogului de servicii al furnizorului de servicii de prelucrare a datelor.

(2)   Obligațiile prevăzute în prezentul capitol nu se aplică serviciilor de prelucrare a datelor puse la dispoziție într-o versiune care nu este destinată producției, în scop de testare și evaluare și numai pentru o perioadă limitată de timp.

(3)   Înainte de încheierea unui contract privind furnizarea serviciilor de prelucrare a datelor menționate la prezentul articol, furnizorul de servicii de prelucrare a datelor informează clientul potențial cu privire la obligațiile prevăzute în prezentul capitol care nu se aplică.

CAPITOLUL VII

ACCESUL ADMINISTRAȚIILOR PUBLICE LA DATELE FĂRĂ CARACTER PERSONAL ȘI TRANSFERUL ACESTORA LA NIVEL INTERNAȚIONAL

Articolul 32

Accesul administrațiilor publice și transferul la nivel internațional

(1)   Fără a aduce atingere alineatului (2) sau (3), furnizorii de servicii de prelucrare a datelor iau toate măsurile tehnice, organizatorice și juridice adecvate, inclusiv de ordin contractual, pentru a împiedica transferul internațional de date fără caracter personal deținute în Uniune și accesul la astfel de date al administrațiilor publice ale țărilor terțe, în cazul în care un astfel de transfer sau acces ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2)   Deciziile sau hotărârile unei instanțe judecătorești sau ale unui tribunal dintr-o țară terță și deciziile unei autorități administrative dintr-o țară terță prin care se solicită unui furnizor de servicii de prelucrare a datelor să transfere date fără caracter personal deținute în Uniune ce intră în domeniul de aplicare al prezentului regulament sau să acorde acces la astfel de date sunt recunoscute sau pot fi executate sub orice formă doar dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară reciprocă, în vigoare între țara terță solicitantă și Uniune sau pe orice alt asemenea acord între țara terță solicitantă și un stat membru.

(3)   În absența unui acord internațional de tipul celor menționate la alineatul (2), în cazul în care un furnizor de servicii de prelucrare a datelor este destinatarul unei decizii sau al unei hotărâri a unei instanțe judecătorești sau a unui tribunal dintr-o țară terță ori al unei decizii a unei autorități administrative dintr-o țară terță care prevede transferul de date fără caracter personal deținute în Uniune și care intră în domeniul de aplicare al prezentului regulament sau acordarea accesului la astfel de date iar, prin respectarea unei astfel de decizii, destinatarul riscă să intre în conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant, transferul către autoritatea din țara terță respectivă sau accesul acesteia la astfel de date poate avea loc numai atunci când:

(a)

sistemul țării terțe în cauză prevede obligativitatea expunerii motivelor și a proporționalității unei astfel de decizii sau hotărâri judecătorești și prevede că o astfel de decizie sau hotărâre trebuie să aibă un caracter specific, de exemplu prin demonstrarea unei legături suficiente cu anumite persoane suspectate sau cu anumite încălcări;

(b)

obiecția motivată a destinatarului este supusă controlului unei instanțe judecătorești competente sau al unui tribunal competent din țara terță; și

(c)

instanța judecătorească competentă sau tribunalul competent din țara terță care pronunță decizia sau hotărârea sau care revizuiește decizia unei autorități administrative este împuternicită, în temeiul dreptului țării terțe respective, să țină seama în mod corespunzător de interesele juridice relevante ale furnizorului de date protejate în temeiul dreptului Uniunii sau al dreptului intern al statului membru relevant.

Destinatarul deciziei sau hotărârii poate solicita avizul organismului național relevant sau al autorității competente în materie de cooperare judiciară internațională, pentru a stabili dacă condițiile prevăzute la primul paragraf sunt îndeplinite, în special atunci când consideră că decizia poate viza secrete comerciale și alte date sensibile din punct de vedere comercial, precum și conținuturi protejate de drepturi de proprietate intelectuală, ori atunci când transferul datelor poate avea drept rezultat reidentificarea acestora. Organismul național relevant sau autoritatea națională relevantă poate consulta Comisia. În cazul în care destinatarul consideră că decizia sau hotărârea poate afecta interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională, acesta solicită avizul organismului național relevant sau al autorității naționale relevante pentru a stabili dacă datele solicitate vizează interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională. În cazul în care destinatarul nu primește un răspuns în termen de o lună sau în care în avizul unui astfel de organism sau al unei astfel de autorități se concluzionează că nu sunt îndeplinite condițiile prevăzute la primul paragraf, destinatarul poate respinge cererea de transfer al datelor fără caracter personal sau de acces la acestea din motivele menționate.

EDIB, astfel cum este menționat la articolul 42, consiliază și asistă Comisia în elaborarea de orientări cu privire la evaluarea îndeplinirii condițiilor prevăzute la primul paragraf de la prezentul alineat.

(4)   Dacă sunt îndeplinite condițiile prevăzute la alineatul (2) sau (3), furnizorul de servicii de prelucrare a datelor pune la dispoziție volumul minim de date permis ca răspuns la o cerere, pe baza unei interpretări rezonabile a cererii respective de către furnizor sau de organismul național relevant sau de autoritatea națională relevantă menționată la alineatul (3) al doilea paragraf.

(5)   Furnizorul de servicii de prelucrare a datelor îl informează pe client cu privire la existența unei cereri prin care o autoritate dintr-o țară terță solicită acces la datele sale, înainte de a da curs cererii respective, cu excepția cazurilor în care cererea servește unor scopuri de asigurare a respectării legii și atât timp cât acest lucru este necesar pentru a se menține eficacitatea activității de asigurare a respectării legii.

CAPITOLUL VIII

INTEROPERABILITATE

Articolul 33

Cerințe esențiale privind interoperabilitatea datelor, a mecanismelor și serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor

(1)   Participanții la spațiile de date care oferă date sau servicii de date altor participanți respectă următoarele cerințe esențiale pentru a facilita interoperabilitatea datelor, a mecanismelor și a serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor, care sunt cadre interoperabile specifice fiecărui scop sau fiecărui sector ori transsectoriale de standarde și practici comune pentru partajarea sau prelucrarea în comun a datelor, printre altele, pentru dezvoltarea de noi produse și servicii, pentru cercetarea științifică sau pentru inițiative ale societății civile:

(a)

conținutul setului de date, restricțiile de utilizare, licențele, metodologia de colectare a datelor, calitatea datelor și incertitudinea datelor trebuie să fie descrise suficient, acolo unde este cazul într-un format care poate fi citit automat, pentru a i se permite destinatarului să găsească, să acceseze și să utilizeze datele;

(b)

structurile de date, formatele de date, vocabularele, sistemele de clasificare, taxonomiile și listele de coduri, dacă sunt disponibile, trebuie să fie descrise într-un mod accesibil publicului și coerent;

(c)

mijloacele tehnice de accesare a datelor, cum ar fi interfețele de programare a aplicațiilor, precum și condițiile de utilizare a acestora și calitatea serviciului trebuie să fie descrise suficient pentru a se permite accesarea și transmiterea automată a datelor între părți, inclusiv în mod continuu, sub formă de descărcare în masă sau în timp real, într-un format care poate fi citit automat, atunci când acest lucru este fezabil din punct de vedere tehnic și nu afectează buna funcționare a produsului conectat;

(d)

acolo unde este cazul, trebuie puse la dispoziție mijloacele care permit interoperabilitatea instrumentelor de automatizare a executării acordurilor de partajare de date, cum ar fi contractele inteligente.

Cerințele pot avea un caracter generic sau pot viza sectoare specifice, dar ținând în același timp seama pe deplin de interconectarea lor cu cerințele care decurg din dreptul Uniunii sau din dreptul intern.

(2)   Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 45 din prezentul regulament pentru a-l completa prin detalierea suplimentară a cerințelor esențiale prevăzute la alineatul (1) de la prezentul articol, în ceea ce privește acele cerințe care, prin natura lor, nu pot produce efectul scontat decât dacă sunt specificate mai în detaliu în acte juridice obligatorii ale Uniunii și pentru a reflecta în mod corespunzător evoluțiile tehnologice și ale pieței.

Atunci când adoptă acte delegate, Comisia ține seama de avizul EDIB, în conformitate cu articolul 42 litera (c) punctul (iii).

(3)   Participanții la spațiile de date care oferă date sau servicii de date altor participanți la spațiile de date ce îndeplinesc standardele armonizate sau părți ale acestora pentru care sunt publicate trimiteri în Jurnalul Oficial al Uniunii Europene sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de standarde armonizate sau părți ale acestora.

(4)   Comisia, în temeiul articolului 10 din Regulamentul (UE) nr. 1025/2012, solicită uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatul (1) de la prezentul articol.

(5)   Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune care să acopere una sau toate cerințele esențiale prevăzute la alineatul (1), în cazul în care sunt îndeplinite următoarele condiții:

(a)

Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizații de standardizare europene să elaboreze un standard armonizat care să îndeplinească cerințele esențiale prevăzute la alineatul (1) de la prezentul articol și:

(i)

cererea nu a fost acceptată;

(ii)

standardele armonizate care răspund cererii respective nu sunt furnizate în termenul stabilit în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012; sau

(iii)

standardele armonizate nu se conformează solicitării; și

(b)

în Jurnalul Oficial al Uniunii Europene nu este publicată nicio trimitere la standarde armonizate care să acopere cerințele esențiale relevante prevăzute la alineatul (1) de la prezentul articol, în conformitate cu Regulamentul (UE) nr. 1025/2012, și nu se anticipează publicarea niciunei astfel de trimiteri în viitorul apropiat.

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

(6)   Înainte de a pregăti un proiect de act de punere în aplicare menționat la alineatul (5) de la prezentul articol, Comisia informează comitetul menționat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, au fost îndeplinite condițiile prevăzute la alineatul (5) de la prezentul articol.

(7)   Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (5), Comisia ține seama de avizul EDIB și de avizele altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(8)   Participanții la spațiile de date care oferă date sau servicii de date altor participanți la spațiile de date ce îndeplinesc specificațiile comune sau părți ale acestora stabilite de actele de punere în aplicare menționate la alineatul (5) sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de specificații comune sau de părți ale acestora.

(9)   În cazul în care un standard armonizat este adoptat de o organizație de standardizare europeană și este propus Comisiei pentru ca trimiterea la acesta să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. În cazul în care trimiterea la un standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menționate la alineatul (5) de la prezentul articol sau acele părți ale lor care vizează aceleași cerințe esențiale ca cele care fac obiectul standardului armonizat respectiv.

(10)   În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatul (1), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

(11)   Comisia poate adopta orientări ținând seama de propunerea înaintată de EDIB, în conformitate cu articolul 30 litera (h) din Regulamentul (UE) 2022/868, care să stabilească cadre interoperabile pentru standarde și practici comune pentru funcționarea spațiilor europene comune ale datelor.

Articolul 34

Interoperabilitatea în scopul utilizării în paralel a serviciilor de prelucrare a datelor

(1)   Cerințele prevăzute la articolul 23, la articolul 24, la articolul 25 alineatul (2) litera (a) punctul (ii), litera (a) punctul (iv) și literele (e) și (f), precum și la articolul 30 alineatele (2)-(5) se aplică, de asemenea, mutatis mutandis furnizorilor de servicii de prelucrare a datelor, pentru a facilita interoperabilitatea în scopul utilizării în paralel a serviciilor de prelucrare a datelor.

(2)   În cazul în care un serviciu de prelucrare a datelor este utilizat în paralel cu un alt serviciu de prelucrare a datelor, furnizorii de servicii de prelucrare a datelor pot impune taxe pentru ieșirea datelor prin transfer, dar numai în scopul transferării costurilor de ieșire suportate, fără a depăși costurile respective.

Articolul 35

Interoperabilitatea serviciilor de prelucrare a datelor

(1)   Specificațiile deschise de interoperabilitate și standardele europene armonizate de interoperabilitate a serviciilor de prelucrare a datelor trebuie:

(a)

să realizeze, când este fezabil din punct de vedere tehnic, interoperabilitatea între diferite servicii de prelucrare a datelor care acoperă același tip de serviciu;

(b)

să îmbunătățească portabilitatea activelor digitale între diferite servicii de prelucrare a datelor care acoperă același tip de serviciu;

(c)

să faciliteze, când este fezabil din punct de vedere tehnic, echivalența funcțională între diferitele servicii de prelucrare a datelor menționate la articolul 30 alineatul (1) care acoperă același tip de serviciu;

(d)

să nu aibă un impact negativ asupra securității și integrității datelor și a serviciilor de prelucrare a datelor;

(e)

să fie proiectate astfel încât să permită progresele tehnice și includerea de noi funcții și inovații în domeniul serviciilor de prelucrare a datelor.

(2)   Specificațiile deschise de interoperabilitate și standardele armonizate de interoperabilitate a serviciilor de prelucrare a datelor abordează în mod adecvat:

(a)

aspectele de interoperabilitate în cloud, și anume interoperabilitatea transporturilor, interoperabilitatea sintactică, interoperabilitatea datelor semantice, interoperabilitatea comportamentală și interoperabilitatea politicilor;

(b)

aspectele de portabilitate a datelor în cloud, și anume portabilitatea sintactică a datelor, portabilitatea semantică a datelor și portabilitatea politicilor de date;

(c)

aspectele de aplicații în cloud, și anume portabilitatea sintactică a aplicațiilor, portabilitatea instrucțiunilor aplicațiilor, portabilitatea metadatelor aplicațiilor, portabilitatea comportamentului aplicațiilor și portabilitatea politicilor de aplicații.

(3)   Specificațiile deschise de interoperabilitate respectă anexa II la Regulamentul (UE) nr. 1025/2012.

(4)   După ce ia în considerare standardele internaționale și europene relevante și inițiativele de autoreglementare, Comisia poate, în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatele (1) și (2) de la prezentul articol.

(5)   Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune bazate pe specificații deschise de interoperabilitate care să acopere toate cerințele esențiale prevăzute la alineatele (1) și (2).

(6)   Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (5) de la prezentul articol, Comisia ține seama de opiniile autorităților competente relevante menționate la articolul 37 alineatul (5) litera (h) și de cele ale altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(7)   În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatele (1) și (2), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

(8)   În sensul articolului 30 alineatul (3), Comisia publică, prin intermediul unor acte de punere în aplicare, trimiterile la standardele armonizate și specificațiile comune pentru interoperabilitatea serviciilor de prelucrare a datelor într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor.

(9)   Actele de punere în aplicare menționate în prezentul articol se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

Articolul 36

Cerințe esențiale privind contractele inteligente pentru executarea acordurilor de partajare de date

(1)   Vânzătorul unei aplicații care utilizează contracte inteligente sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord de punere la dispoziție de date sau a unei părți a acestuia se asigură că respectivele contracte inteligente respectă următoarele cerințe esențiale:

(a)

robustețe și controlul accesului, pentru a se asigura că, prin modul în care a fost conceput, contractul inteligent oferă mecanisme de control al accesului și un grad foarte ridicat de robustețe, pentru a preveni erorile funcționale și a rezista la manipularea de către terți;

(b)

reziliere și întrerupere în siguranță, pentru a asigura existența unui mecanism care să permită încetarea executării continue a tranzacțiilor și faptul că contractul inteligent include funcții interne care să poată reseta sau instrui contractul să oprească sau să întrerupă operația, în special, pentru evitarea unor execuții accidentale viitoare;

(c)

arhivare și continuitate a datelor, pentru a se asigura că, în cazul în care un contract inteligent trebuie reziliat sau dezactivat, există posibilitatea de arhivare a datelor privind operațiile, a logicii contractului inteligent și a codului acestuia, pentru a se ține evidența operațiilor efectuate asupra datelor în trecut (posibilitatea auditării);

(d)

control al accesului, pentru a asigura faptul că un contract inteligent este protejat prin mecanisme riguroase de control al accesului la nivel de guvernanță și de contractare inteligentă; și

(e)

consecvență, pentru a asigura consecvența cu clauzele acordului de partajare de date pe care îl execută contractul inteligent.

(2)   Vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia, de punere la dispoziție de date efectuează o evaluare a conformității pentru a verifica dacă sunt îndeplinite cerințele esențiale prevăzute la alineatul (1) și, dacă respectivele cerințe sunt îndeplinite, emite o declarație de conformitate UE.

(3)   Prin întocmirea declarației de conformitate UE, vânzătorul unei aplicații care utilizează contracte inteligente sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia de punere la dispoziție de date răspunde pentru îndeplinirea cerințelor esențiale prevăzute la alineatul (1).

(4)   Un contract inteligent care îndeplinește standardele armonizate sau părți relevante ale acestora pentru care sunt publicate trimiteri în Jurnalul Oficial al Uniunii Europene este prezumat a îndeplini cerințele esențiale prevăzute la alineatul (1) în măsura în care cerințele respective fac obiectul unor astfel de standarde armonizate sau al unei părți ale acestora.

(5)   Comisia, în temeiul articolului 10 din Regulamentul (UE) nr. 1025/2012, solicită uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatul (1) de la prezentul articol.

(6)   Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune care să acopere una sau toate cerințele esențiale prevăzute la alineatul (1), în cazul în care sunt îndeplinite următoarele condiții:

(a)

Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizații de standardizare europene să elaboreze un standard armonizat care îndeplinește cerințele esențiale prevăzute la alineatul (1) de la prezentul articol și:

(i)

cererea nu a fost acceptată;

(ii)

standardele armonizate care răspund cererii respective nu sunt adoptate în termenul stabilit în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012; sau

(iii)

standardele armonizate nu se conformează solicitării; și

(b)

în Jurnalul Oficial al Uniunii Europene nu este publicată nicio trimitere la standarde armonizate care să acopere cerințele esențiale relevante prevăzute la alineatul (1) de la prezentul articol, în conformitate cu Regulamentul (UE) nr. 1025/2012, și nu se anticipează publicarea niciunei astfel de trimiteri într-un termen rezonabil.

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

(7)   Înainte de a pregăti un proiect de act de punere în aplicare menționat la alineatul (6) de la prezentul articol, Comisia informează comitetul menționat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, au fost îndeplinite condițiile prevăzute la alineatul (6) de la prezentul articol.

(8)   Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (6), Comisia ține seama de avizul EDIB și de avizele altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(9)   Vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia de punere la dispoziție de date ce îndeplinesc specificațiile comune stabilite de actele de punere în aplicare menționate la alineatul (6) sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de specificații comune sau de părți ale acestora.

(10)   În cazul în care un standard armonizat este adoptat de o organizație de standardizare europeană și este propus Comisiei pentru ca trimiterea la acesta să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. În cazul în care trimiterea la un standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menționate la alineatul (6) de la prezentul articol sau acele părți ale lor care vizează aceleași cerințe esențiale ca cele care fac obiectul standardului armonizat respectiv.

(11)   În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatul (1), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

CAPITOLUL IX

PUNEREA ÎN APLICARE ȘI ASIGURAREA RESPECTĂRII REGULAMENTULUI

Articolul 37

Autoritățile competente și coordonatorii de date

(1)   Fiecare stat membru desemnează una sau mai multe autorități competente care sunt responsabile cu aplicarea și asigurarea respectării prezentului regulament (denumite în continuare „autoritățile competente”). Statele membre pot să înființeze una sau mai multe autorități noi sau să se bazeze pe autorități existente.

(2)   În cazul în care un stat membru desemnează mai multe autorități competente, acesta desemnează un coordonator de date ales dintre ele pentru a facilita cooperarea între autoritățile competente și pentru a sprijini entitățile care intră în domeniul de aplicare al prezentului regulament cu privire la toate aspectele legate de aplicarea și asigurarea respectării acestuia. Autoritățile competente cooperează între ele în exercitarea sarcinilor și competențelor care le-au fost atribuite în temeiul alineatului (5).

(3)   Autoritățile de supraveghere care sunt responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 sunt responsabile cu monitorizarea aplicării prezentului regulament în ceea ce privește protecția datelor cu caracter personal. Se aplică, mutatis mutandis, capitolele VI și VII din Regulamentul (UE) 2016/679.

Autoritatea Europeană pentru Protecția Datelor este responsabilă cu monitorizarea aplicării prezentului regulament pentru aspectele care privesc Comisia, Banca Centrală Europeană și organele Uniunii. Acolo unde este cazul, se aplică, mutatis mutandis, articolul 62 din Regulamentul (UE) 2018/1725.

Sarcinile și competențele autorităților de supraveghere menționate în prezentul alineat se exercită în ceea ce privește prelucrarea datelor cu caracter personal.

(4)   Fără a aduce atingere alineatului (1) de la prezentul articol:

(a)

în ceea ce privește aspectele sectoriale specifice ale accesului la date și utilizării acestora care au legătură cu aplicarea prezentului regulament, se respectă competența autorităților sectoriale;

(b)

autoritatea competentă responsabilă cu aplicarea și asigurarea respectării articolelor 23-31, 34 și 35 dispune de experiență în domeniul serviciilor de date și de comunicații electronice.

(5)   Statele membre se asigură că sarcinile și competențele autorităților competente sunt clar definite și includ:

(a)

promovarea competențelor digitale și a sensibilizării utilizatorilor și entităților care intră sub incidența prezentului regulament cu privire la drepturile și obligațiile care le revin în temeiul prezentului regulament;

(b)

tratarea plângerilor depuse ca urmare a unor presupuse încălcări ale prezentului regulament, inclusiv cele legate de secrete comerciale, precum și investigarea, în măsura adecvată, a obiectului plângerii și informarea cu regularitate a reclamanților, acolo unde este cazul în conformitate cu dreptul intern, cu privire la evoluția și rezultatul investigației, într-un termen rezonabil, în special dacă este necesară efectuarea unor investigații mai amănunțite sau coordonarea cu o altă autoritate competentă;

(c)

desfășurarea de investigații în chestiuni care privesc aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate competentă sau de la o altă autoritate publică;

(d)

impunerea de sancțiuni financiare efective, proporționale și disuasive, care pot include penalități cu titlu cominatoriu și penalități cu efect retroactiv, sau deschiderea de proceduri judiciare pentru impunerea de amenzi;

(e)

monitorizarea evoluțiilor tehnologice și comerciale relevante pentru punerea la dispoziție și utilizarea de date;

(f)

cooperarea cu autoritățile competente ale altor state membre și, unde este cazul, cu Comisia sau cu EDIB, pentru asigurarea unei aplicări consecvente și eficiente a prezentului regulament, inclusiv transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate, inclusiv în ceea ce privește alineatul (10) de la prezentul articol;

(g)

cooperarea cu autoritățile competente relevante responsabile cu punerea în aplicare a altor acte juridice ale Uniunii sau actelor juridice naționale, inclusiv cu autoritățile competente în domeniul datelor și al serviciilor de comunicații electronice, cu autoritatea de supraveghere responsabilă cu monitorizarea aplicării Regulamentului (UE) 2016/679 sau cu autoritățile sectoriale, pentru a se asigura faptul că prezentul regulament este pus în aplicare în mod consecvent cu alte acte din dreptul Uniunii și din dreptul intern;

(h)

cooperarea cu autoritățile competente relevante pentru asigurarea aplicării articolelor 23-31, 34 și 35 în mod consecvent cu alte acte din dreptul Uniunii și cu măsurile de autoreglementare aplicabile furnizorilor de servicii de prelucrare a datelor;

(i)

asigurarea faptului că taxele de trecere la alt furnizor sunt eliminate în conformitate cu articolul 29;

(j)

examinarea cererilor de date introduse în temeiul capitolului V.

În cazul în care este desemnat, coordonatorul de date facilitează cooperarea menționată la literele (f), (g) și (h) de la primul paragraf și asistă autoritățile competente, la cererea acestora.

(6)   În cazul în care este desemnat un coordonator de date, o astfel de autoritate competentă:

(a)

acționează ca punct unic de contact pentru toate aspectele legate de aplicarea prezentului regulament;

(b)

asigură disponibilitatea publică online a cererilor de punere la dispoziție a datelor introduse de organismele din sectorul public în cazul unei nevoi excepționale în temeiul capitolului V și promovează acordurile voluntare de partajare de date între organismele din sectorul public și deținătorii de date;

(c)

informează anual Comisia cu privire la refuzurile notificate în temeiul articolului 4 alineatele (2) și (8) și al articolului 5 alineatul (11).

(7)   Statele membre notifică Comisiei denumirile autorităților competente, sarcinile și competențele acestora și, când este cazul, denumirea coordonatorului de date. Comisia ține un registru public al acestor autorități.

(8)   Când își îndeplinesc sarcinile și își exercită competențele în conformitate cu prezentul regulament, autoritățile competente rămân imparțiale și nesupuse niciunei influențe externe, directe sau indirecte, și nici nu solicită, nici nu acceptă instrucțiuni referitoare la cazuri individuale de la nicio altă autoritate publică sau parte privată.

(9)   Statele membre se asigură că autorităților competente li se pun la dispoziție suficiente resurse umane și tehnice și că dispun de expertiza relevantă pentru îndeplinirea cu eficacitate a sarcinilor ce le revin în conformitate cu prezentul regulament.

(10)   Entitățile care intră în domeniul de aplicare al prezentului regulament se supun competenței statului membru în care este stabilită entitatea. În cazul în care entitatea are sedii în mai multe state membre, se consideră că aceasta intră în sfera de competență a statului membru în care își are sediul principal, și anume locul unde entitatea își are sediul central sau sediul social și de unde se exercită principalele funcții financiare și controlul operațional.

(11)   Orice entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune fără a fi stabilită în Uniune desemnează un reprezentant legal într-unul dintre statele membre.

(12)   În scopul asigurării respectării prezentului regulament, o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune împuternicește un reprezentant legal, care să comunice cu autoritățile competente în plus față de entitate sau în locul acesteia cu privire la toate aspectele legate de respectiva entitate. Reprezentantul legal respectiv cooperează cu autoritățile competente și le demonstrează în mod exhaustiv, la cerere, acțiunile întreprinse și dispozițiile stabilite de entitatea care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune pentru a asigura respectarea prezentului regulament.

(13)   Se consideră că o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune se află în competența statului membru în care este situat reprezentantul său legal. Desemnarea unui reprezentant legal de către o astfel de entitate nu aduce atingere răspunderii entității respective și nici acțiunilor în justiție care ar putea fi introduse împotriva acesteia. Înainte ca o entitate să desemneze un reprezentant legal în conformitate cu prezentul articol, aceasta se află în sfera de competență a tuturor statelor membre, după caz, în vederea asigurării aplicării și respectării prezentului regulament. Orice autoritate competentă își poate exercita competența, inclusiv prin impunerea de sancțiuni efective, proporționale și disuasive, cu condiția ca entitatea să nu facă obiectul unor proceduri de aplicare a legii inițiate de o altă autoritate competentă, în temeiul prezentului regulament, cu privire la aceleași fapte.

(14)   Autoritățile competente pot solicita utilizatorilor, deținătorilor de date sau destinatarilor datelor ori reprezentanților lor legali care se află în sfera de competență a statului lor membru toate informațiile necesare pentru verificarea respectării prezentului regulament. Orice cerere de informații este proporțională cu îndeplinirea sarcinii aferente și se motivează.

(15)   În cazul în care o autoritate competentă dintr-un stat membru solicită asistență sau măsuri de asigurare a respectării legii din partea unei autorități competente dintr-un alt stat membru, aceasta introduce o cerere motivată. La primirea unei astfel de cereri, autoritatea competentă furnizează un răspuns, fără întârzieri nejustificate, prezentând în detaliu măsurile care au fost întreprinse sau care urmează să fie întreprinse.

(16)   Autoritățile competente respectă principiul confidențialității și pe cel al secretului profesional și comercial și protejează datele cu caracter personal în conformitate cu dreptul Uniunii sau cu dreptul intern. Orice informație transmisă în contextul unei solicitări de asistență și furnizată în temeiul prezentului articol se utilizează numai în scopul pentru care a fost solicitată.

Articolul 38

Dreptul de a depune o plângere

(1)   Fără a se aduce atingere altor eventuale căi de atac administrative sau judiciare, persoanele fizice și juridice au dreptul de a depune o plângere, în mod individual sau, când este relevant, colectiv, la autoritatea competentă de resort din statul membru în care își au reședința obișnuită, locul de muncă sau sediul, în cazul în care consideră că le-au fost încălcate drepturile prevăzute în prezentul regulament. Coordonatorul de date furnizează, la cerere, persoanelor fizice și juridice toate informațiile necesare pentru a-și depune plângerile la autoritatea competentă corespunzătoare.

(2)   Autoritatea competentă la care s-a depus plângerea îl informează pe reclamant, în conformitate cu dreptul intern, despre evoluția procedurii și despre decizia luată.

(3)   Autoritățile competente cooperează pentru tratarea și soluționarea plângerilor în mod eficient și prompt, inclusiv prin transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate. Această cooperare nu poate să aducă atingere mecanismelor de cooperare prevăzute în capitolele VI și VII din Regulamentul (UE) 2016/679 și în Regulamentul (UE) 2017/2394.

Articolul 39

Dreptul la o cale de atac judiciară eficientă

(1)   În pofida oricăror altor căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică afectată are dreptul de a exercita o cale de atac judiciară eficientă împotriva unor decizii obligatorii din punct de vedere juridic adoptate de autoritățile competente.

(2)   În cazul în care o autoritate competentă nu dă curs unei plângeri, orice persoană fizică sau juridică afectată are, în conformitate cu dreptul intern, fie dreptul la o cale de atac judiciară eficientă, fie acces la o reexaminare de către un organism imparțial care deține cunoștințele de specialitate corespunzătoare.

(3)   Acțiunile intentate în temeiul prezentului articol se introduc în fața instanțelor judecătorești sau a tribunalelor din statul membru al autorității competente împotriva căreia se exercită calea de atac judiciară în mod individual sau, după caz, în mod colectiv de către reprezentanții uneia sau mai multor persoane fizice sau juridice.

Articolul 40

Sancțiuni

(1)   Statele membre adoptă normele privind sancțiunile care se aplică în cazul nerespectării prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile trebuie să fie efective, proporționale și disuasive.

(2)   Statele membre notifică Comisiei normele și măsurile respective până la 12 septembrie 2025 și îi comunică acesteia, fără întârziere, orice modificare ulterioară a respectivelor norme și măsuri. Comisia ține un registru public ușor accesibil al acestor măsuri și îl actualizează periodic.

(3)   Statele membre țin seama de recomandările EDIB și de următoarele criterii neexhaustive atunci când impun sancțiuni pentru încălcarea prezentului regulament:

(a)

natura, gravitatea, amploarea și durata încălcării;

(b)

orice acțiune întreprinsă de autorul încălcării pentru a atenua sau a remedia prejudiciul cauzat de încălcare;

(c)

eventuale încălcări anterioare comise de către autorul încălcării;

(d)

beneficiile financiare obținute sau pierderile evitate de autorul încălcării ca urmare a încălcării, în măsura în care aceste beneficii sau pierderi pot fi stabilite în mod fiabil;

(e)

orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului;

(f)

cifra de afaceri anuală realizată de autorul încălcării în Uniune, în exercițiul financiar precedent.

(4)   Pentru încălcările obligațiilor stabilite în capitolele II, III și V din prezentul regulament, autoritățile de supraveghere responsabile de monitorizarea aplicării Regulamentului (UE) 2016/679 pot impune, în limitele domeniului lor de competență, amenzi administrative în conformitate cu articolul 83 din Regulamentul (UE) 2016/679 până la concurența sumei menționate la articolul 83 alineatul (5) din regulamentul respectiv.

(5)   Pentru încălcările obligațiilor stabilite în capitolul V din prezentul regulament, Autoritatea Europeană pentru Protecția Datelor poate impune, în limitele domeniului său de competență, amenzi administrative în conformitate cu articolul 66 din Regulamentul (UE) 2018/1725 până la concurența sumei menționate la articolul 66 alineatul (3) din regulamentul respectiv.

Articolul 41

Modele de clauze contractuale și clauze contractuale standard

Comisia elaborează și recomandă, înainte de 12 septembrie 2025, modele de clauze contractuale fără caracter obligatoriu cu privire la accesul la date și la utilizarea acestora, inclusiv clauze vizând compensația rezonabilă și protejarea secretelor comerciale, precum și clauze contractuale standard fără caracter obligatoriu pentru contractele de cloud computing, pentru a ajuta părțile să redacteze și să negocieze contracte care să conțină drepturi și obligații contractuale echitabile, rezonabile și nediscriminatorii.

Articolul 42

Rolul EDIB

EDIB, instituit de Comisie ca un grup de experți în temeiul articolului 29 din Regulamentul (UE) 2022/868, în care sunt reprezentate autoritățile competente, sprijină aplicarea consecventă a prezentului regulament prin următoarele acțiuni:

(a)

consiliază și asistă Comisia în ceea ce privește dezvoltarea unei practici coerente a organismelor competente pentru asigurarea punerii în aplicare a capitolelor II, III, V și VII;

(b)

facilitează cooperarea între autoritățile competente prin consolidarea capacităților și schimbul de informații, în special prin stabilirea de metode pentru schimbul eficient de informații referitoare la asigurarea respectării drepturilor și obligațiilor în conformitate cu capitolele II, III și V în cazurile transfrontaliere, inclusiv coordonarea în ceea ce privește stabilirea sancțiunilor;

(c)

consiliază și asistă Comisia în ceea ce privește:

(i)

posibilitatea de a solicita redactarea standardelor armonizate menționate la articolul 33 alineatul (4), articolul 35 alineatul (4) și articolul 36 alineatul (5);

(ii)

pregătirea actelor de punere în aplicare menționate la articolul 33 alineatul (5), articolul 35 alineatele (5) și (8) și articolul 36 alineatul (6);

(iii)

pregătirea actelor delegate menționate la articolul 29 alineatul (7) și la articolul 33 alineatul (2); și

(iv)

adoptarea orientărilor care stabilesc cadre interoperabile pentru standarde și practici comune pentru funcționarea spațiilor europene comune ale datelor menționate la articolul 33 alineatul (11).

CAPITOLUL X

DREPTUL SUI GENERIS PREVĂZUT ÎN DIRECTIVA 96/9/CE

Articolul 43

Baze de date care conțin un anumit tip de date

Dreptul sui generis prevăzut la articolul 7 din Directiva 96/9/CE nu se aplică atunci când datele sunt obținute de pe urma unui produs conectat sau a unui serviciu conex ori generate de acestea, produs sau serviciu care intră sub incidența prezentului regulament, în special în legătură cu articolele 4 și 5 din acesta.

CAPITOLUL XI

DISPOZIȚII FINALE

Articolul 44

Alte acte juridice ale Uniunii care reglementează drepturile și obligațiile privind accesarea și utilizarea de date

(1)   Rămân neafectate obligațiile specifice privind punerea de date la dispoziție între întreprinderi, între întreprinderi și consumatori și, în mod excepțional, între întreprinderi și organisme publice, stabilite în acte juridice ale Uniunii care au intrat în vigoare la 11 ianuarie 2024 sau înainte de această dată și în actele delegate sau de punere în aplicare adoptate în temeiul acestora.

(2)   Prezentul regulament nu aduce atingere dreptului Uniunii care stabilește cerințe suplimentare pentru a răspunde nevoilor unui sector, ale unui spațiu european comun al datelor sau ale unui domeniu de interes public, în special în ceea ce privește:

(a)

aspecte tehnice ale accesului la date;

(b)

limite ale drepturilor deținătorilor de date de a accesa sau utiliza anumite date furnizate de utilizatori;

(c)

aspecte care depășesc sfera accesării și a utilizării de date.

(3)   Prezentul regulament, cu excepția capitolului V, nu aduce atingere dreptului Uniunii și dreptului intern care prevede accesul la date și autorizează utilizarea datelor în scopuri de cercetare științifică.

Articolul 45

Exercitarea delegării de competențe

(1)   Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute la prezentul articol.

(2)   Competența de a adopta acte delegate menționată la articolul 29 alineatul (7) și la articolul 33 alineatul (2) se conferă Comisiei pe o perioadă nedeterminată începând cu 11 ianuarie 2024.

(3)   Delegarea de competențe menționată la articolul 29 alineatul (7) și la articolul 33 alineatul (2) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(4)   Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

(5)   De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(6)   Un act delegat adoptat în temeiul articolului 29 alineatul (7) sau al articolului 33 alineatul (2) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de trei luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Termenul respectiv se prelungește cu trei luni la inițiativa Parlamentului European sau a Consiliului.

Articolul 46

Procedura comitetului

(1)   Comisia este asistată de comitetul înființat prin Regulamentul (UE) 2022/868. Respectivul comitet reprezintă un comitet în înțelesul Regulamentului (UE) nr. 182/2011.

(2)   Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

Articolul 47

Modificarea Regulamentului (UE) 2017/2394

În anexa la Regulamentul (UE) 2017/2394 se adaugă următorul punct:

„29.

Regulamentul (UE) 2023/2854 al Parlamentului European și al Consiliului din 13 decembrie 2023 privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora și de modificare a Regulamentului (UE) 2017/2394 și a Directivei (UE) 2020/1828 (Regulamentul privind datele) (JO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”

Articolul 48

Modificarea Directivei (UE) 2020/1828

În anexa I la Directiva (UE) 2020/1828 se adaugă următorul punct:

„68.

Regulamentul (UE) 2023/2854 al Parlamentului European și al Consiliului din 13 decembrie 2023 privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora și de modificare a Regulamentului (UE) 2017/2394 și a Directivei (UE) 2020/1828 (Regulamentul privind datele) (JO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”

Articolul 49

Evaluare și reexaminare

(1)   Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European, Consiliului și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:

(a)

situațiile care trebuie considerate că reprezintă o nevoie excepțională în sensul articolului 15 din prezentul regulament și aplicarea în practică a capitolului V din prezentul regulament, în special experiența acumulată ca urmare a aplicării capitolului V din prezentul regulament de către organismele din sectorul public, de către Comisie, Banca Centrală Europeană și de către organele Uniunii; numărul și rezultatul procedurilor inițiate în fața autorității competente în temeiul articolului 18 alineatul (5) privind aplicarea capitolului V din prezentul regulament, astfel cum au fost raportate de autoritățile competente; impactul altor obligații prevăzute în dreptul Uniunii sau în dreptul intern în scopul respectării cererilor de acces la informații; impactul mecanismelor voluntare de partajare de date, cum ar fi cele instituite de organizațiile de promovare a altruismului în materie de date recunoscute în cadrul Regulamentului (UE) 2022/868, asupra îndeplinirii obiectivelor capitolului V din prezentul regulament, precum și rolul datelor cu caracter personal în contextul articolului 15 din prezentul regulament, inclusiv evoluția tehnologiilor de protecție a vieții private;

(b)

impactul prezentului regulament asupra utilizării datelor în economie, inclusiv asupra inovării în domeniul datelor, a practicilor de valorificare financiară a datelor și a serviciilor de intermediere de date, precum și asupra partajării de date în cadrul spațiilor europene comune ale datelor;

(c)

accesibilitatea și utilizarea diferitelor categorii și tipuri de date;

(d)

excluderea anumitor categorii de întreprinderi de la calitatea de beneficiar în temeiul articolului 5;

(e)

absența oricărui impact asupra drepturilor de proprietate intelectuală;

(f)

impactul asupra secretelor comerciale, inclusiv asupra protecției împotriva dobândirii, utilizării și divulgării ilegale a acestora, precum și impactul mecanismului care permite deținătorului de date să respingă cererea utilizatorului în temeiul articolului 4 alineatul (8) și al articolului 5 alineatul (11), ținând seama, în măsura posibilului, de orice revizuire a Directivei (UE) 2016/943;

(g)

măsura în care lista clauzelor contractuale abuzive menționată la articolul 13 reflectă situația la zi, în contextul noilor practici comerciale și al ritmului rapid al inovării pe piață;

(h)

schimbările survenite în practicile contractuale ale furnizorilor de servicii de prelucrare a datelor și dacă schimbările respective permit respectarea într-o măsură suficientă a articolului 25;

(i)

diminuarea taxelor impuse de furnizorii de servicii de prelucrare a datelor pentru procesul de trecere la alt furnizor, în concordanță cu obligația de eliminare treptată a taxelor de trecere la alt furnizor, prevăzută la articolul 29;

(j)

interacțiunea dintre prezentul regulament și alte acte juridice ale Uniunii relevante pentru economia datelor;

(k)

împiedicarea accesului ilegal al administrațiilor publice la datele fără caracter personal;

(l)

eficacitatea sistemului de asigurare a respectării prezentului regulament, stabilit la articolul 37;

(m)

impactul prezentului regulament asupra IMM-urilor în ceea ce privește capacitatea lor de inovare, disponibilitatea serviciilor de prelucrare a datelor pentru utilizatorii din Uniune și sarcina administrativă generată de respectarea noilor obligații.

(2)   Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cuprinzând principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. Evaluarea respectivă analizează impactul articolelor 23-31, 34 și 35, în special în ceea ce privește stabilirea prețurilor și diversitatea serviciilor de prelucrare a datelor oferite în Uniune, cu un accent special pe furnizorii care sunt IMM-uri.

(3)   Statele membre furnizează Comisiei informațiile necesare pentru întocmirea rapoartelor menționate la alineatele (1) și (2).

(4)   Pe baza rapoartelor menționate la alineatele (1) și (2), Comisia poate înainta Parlamentului European și Consiliului, dacă este cazul, o propunere legislativă de modificare a prezentului regulament.

Articolul 50

Intrarea în vigoare și aplicarea

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică începând cu 12 septembrie 2025.

Obligația care decurge din articolul 3 alineatul (1) se aplică produselor conectate și serviciilor conexe acestora introduse pe piață după 12 septembrie 2026.

Capitolul III se aplică în ceea ce privește obligațiile de a pune date la dispoziție în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii care intră în vigoare după 12 septembrie 2025.

Capitolul IV se aplică contractelor încheiate după 12 septembrie 2025.

Capitolul IV se aplică începând cu 12 septembrie 2027 contractelor încheiate la 12 septembrie 2025 sau înainte de respectiva dată, cu condiția ca aceste contracte:

(a)

să aibă o durată nedeterminată; sau

(b)

să expire cel devreme la 10 ani de la 11 ianuarie 2024.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Strasbourg, 13 decembrie 2023.

Pentru Parlamentul European

Președinta

R. METSOLA

Pentru Consiliu

Președintele

P. NAVARRO RÍOS


(1)   JO C 402, 19.10.2022, p. 5.

(2)   JO C 365, 23.9.2022, p. 18.

(3)   JO C 375, 30.9.2022, p. 112.

(4)  Poziția Parlamentului European din 9 noiembrie 2023 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 27 noiembrie 2023.

(5)  Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).

(6)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul general privind protecția datelor”) (JO L 119, 4.5.2016, p. 1).

(7)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(8)  Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice („Directiva asupra confidențialității și comunicațiilor electronice”) (JO L 201, 31.7.2002, p. 37).

(9)  Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).

(10)  Directiva 2005/29/CE a Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO L 149, 11.6.2005, p. 22).

(11)  Directiva 2011/83/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 privind drepturile consumatorilor, de modificare a Directivei 93/13/CEE a Consiliului și a Directivei 1999/44/CE a Parlamentului European și a Consiliului și de abrogare a Directivei 85/577/CEE a Consiliului și a Directivei 97/7/CE a Parlamentului European și a Consiliului (JO L 304, 22.11.2011, p. 64).

(12)  Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist (JO L 172, 17.5.2021, p. 79).

(13)  Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale) (JO L 277, 27.10.2022, p. 1).

(14)  Regulamentul (UE) 2023/1543 al Parlamentului European și al Consiliului din 12 iulie 2023 privind ordinele europene de divulgare a probelor electronice și ordinele europene de păstrare a probelor electronice în cadrul procedurilor penale și pentru executarea pedepselor privative de libertate în urma unor proceduri penale (JO L 191, 28.7.2023, p. 118).

(15)  Directiva (UE) 2023/1544 a Parlamentului European și a Consiliului din 12 iulie 2023 de stabilire a unor norme armonizate privind desemnarea sediilor desemnate și numirea reprezentanților legali în scopul obținerii de probe electronice în cadrul procedurilor penale (JO L 191, 28.7.2023, p. 181).

(16)  Regulamentul (UE) 2015/847 al Parlamentului European și al Consiliului din 20 mai 2015 privind informațiile care însoțesc transferurile de fonduri și de abrogare a Regulamentului (CE) nr. 1781/2006 (JO L 141, 5.6.2015, p. 1).

(17)  Directiva (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului și de abrogare a Directivei 2005/60/CE a Parlamentului European și a Consiliului și a Directivei 2006/70/CE a Comisiei (JO L 141, 5.6.2015, p. 73).

(18)  Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).

(19)  Directiva 2001/29/CE a Parlamentului European și a Consiliului din 22 mai 2001 privind armonizarea anumitor aspecte ale dreptului de autor și drepturilor conexe în societatea informațională (JO L 167, 22.6.2001, p. 10).

(20)  Directiva 2004/48/CE a Parlamentului European și a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală (JO L 157, 30.4.2004, p. 45).

(21)  Directiva (UE) 2019/790 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind dreptul de autor și drepturile conexe pe piața unică digitală și de modificare a Directivelor 96/9/CE și 2001/29/CE (JO L 130, 17.5.2019, p. 92).

(22)  Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1).

(23)  Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția know-how-ului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale (JO L 157, 15.6.2016, p. 1).

(24)  Directiva 98/6/CE a Parlamentului European și a Consiliului din 16 februarie 1998 privind protecția consumatorului prin indicarea prețurilor produselor oferite consumatorilor (JO L 80, 18.3.1998, p. 27).

(25)  Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă („Directiva privind comerțul electronic”) (JO L 178, 17.7.2000, p. 1).

(26)  Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului din 14 septembrie 2022 privind piețe contestabile și echitabile în sectorul digital și de modificare a Directivelor (UE) 2019/1937 și (UE) 2020/1828 (Regulamentul privind piețele digitale) (JO L 265, 12.10.2022, p. 1).

(27)  Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164).

(28)  Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56).

(29)  Directiva 96/9/CE a Parlamentului European și a Consiliului din 11 martie 1996 privind protecția juridică a bazelor de date (JO L 77, 27.3.1996, p. 20).

(30)  Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (JO L 303, 28.11.2018, p. 59).

(31)  Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte legate de contractele de furnizare de conținut digital și de servicii digitale (JO L 136, 22.5.2019, p. 1).

(32)  Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).

(33)  Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).

(34)  Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).

(35)  Decizia nr. 768/2008/CE a Parlamentului European și a Consiliului din 9 iulie 2008 privind un cadru comun pentru comercializarea produselor și de abrogare a Deciziei 93/465/CEE a Consiliului (JO L 218, 13.8.2008, p. 82).

(36)  Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului din 12 decembrie 2017 privind cooperarea dintre autoritățile naționale însărcinate să asigure respectarea legislației în materie de protecție a consumatorului și de abrogare a Regulamentului (CE) nr. 2006/2004 (JO L 345, 27.12.2017, p. 1).

(37)  Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).

(38)   JO L 123, 12.5.2016, p. 1.

(39)  Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).


ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0782 (electronic edition)


Top