52022PC0068

EXPUNERE DE MOTIVE

1.CONTEXTUL PROPUNERII

•Motivele și obiectivele propunerii

Prezenta expunere de motive însoțește Propunerea de regulament privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora (Legea privind datele).

Datele reprezintă o componentă fundamentală a economiei digitale și o resursă esențială pentru asigurarea tranziției verzi și a tranziției digitale. Volumul de date generate de oameni și mașini a crescut exponențial în ultimii ani. Majoritatea datelor sunt însă neutilizate sau valoarea lor este concentrată în mâinile unui număr relativ restrâns de întreprinderi mari. Nivelul scăzut de încredere, stimulentele economice contradictorii și obstacolele tehnologice împiedică realizarea deplină a potențialului de inovare bazată pe date. Prin urmare, este esențial să se deblocheze acest potențial prin crearea de posibilități de reutilizare a datelor, precum și prin eliminarea barierelor din calea dezvoltării economiei europene a datelor, în baza unor norme europene, cu respectarea deplină a valorilor europene și în concordanță cu misiunea de reducere a decalajului digital, astfel încât toată lumea să beneficieze de aceste posibilități. Asigurarea într-o mai mare măsură a echilibrului în ceea ce privește distribuirea valorii obținute din date în cadență cu noul val de date industriale fără caracter personal și cu proliferarea produselor conectate la internetul obiectelor înseamnă că există un potențial enorm de stimulare a unei economii sustenabile a datelor în Europa.

Reglementarea accesului la date și a utilizării acestora este o condiție prealabilă fundamentală pentru valorificarea ocaziilor oferite de era digitală în care trăim. Președinta Comisiei, Ursula von der Leyen, a declarat, în orientările sale politice pentru Comisia 2019-2024, că Europa trebuie să asigure „un echilibru între comunicarea și utilizarea pe scară largă a datelor și garantarea unor standarde înalte în materie de confidențialitate, securitate, siguranță și etică” 1 . Programul de lucru al Comisiei pentru 2020 2 conține mai multe obiective strategice, inclusiv Strategia europeană privind datele 3 , adoptată în februarie 2020. Prin strategia menționată se urmărește construirea unei piețe unice veritabile a datelor și transformarea Europei într-un lider mondial în economia dinamică bazată pe date. Din acest motiv, Legea privind datele este un pilon esențial și a doua inițiativă majoră anunțată în strategia privind datele. Mai precis, actul de față contribuie la crearea unui cadru de guvernanță transsectorial pentru accesul la date și utilizarea acestora prin legiferarea aspectelor care influențează relațiile dintre actorii din economia datelor, în vederea stimulării partajării orizontale de date între toate sectoarele.

În Concluziile Consiliului European din 21 și 22 octombrie 2021 s-a subliniat „importanța realizării unor progrese rapide cu privire la alte inițiative actuale și viitoare, în special fructificarea valorii datelor în Europa, în special prin intermediul unui cadru de reglementare cuprinzător care să favorizeze inovarea și să faciliteze o mai bună portabilitate a datelor, un acces echitabil la date și să asigure interoperabilitatea” 4 . La 25 martie 2021, Consiliul European a reiterat că este importantă „o mai bună exploatare a potențialului datelor și al tehnologiilor digitale în beneficiul societății […] și al economiei” 5 . La 1 și 2 octombrie 2020, Consiliul European a subliniat „că este necesar să se pună la dispoziție mai ușor date de înaltă calitate și să se promoveze și favorizeze o mai bună partajare și punere în comun a datelor, precum și interoperabilitatea” 6 . În ceea ce privește serviciile de cloud, statele membre ale UE au adoptat în unanimitate, la 15 octombrie 2020, o declarație comună privind construirea următoarei generații de cloud pentru întreprinderi și sectorul public din UE. În acest scop va fi nevoie de o nouă generație de oferte de cloud la nivelul UE, care să îndeplinească cele mai înalte standarde în materie de portabilitate și interoperabilitate, de exemplu 7 .

Prin Rezoluția Parlamentului European din 25 martie 2021 referitoare la o strategie europeană privind datele, Comisiei i s-a solicitat insistent să prezinte un act legislativ privind datele care să încurajeze și să permită un flux de date mai extins și mai corect în toate sectoarele – între întreprinderi, între întreprinderi și administrațiile publice, între administrațiile publice și întreprinderi și între administrațiile publice 8 . În rezoluția sa din 25 martie 2021, Parlamentul European a subliniat, de asemenea, necesitatea de a se crea spații europene comune de date cu scopul de a se asigura circulația liberă a datelor fără caracter personal la nivel transfrontalier și intersectorial și între întreprinderi, mediul academic, părțile interesate relevante și sectorul public. Din această perspectivă, Parlamentul a încurajat Comisia să clarifice drepturile de utilizare, în special în relațiile dintre întreprinderi și dintre întreprinderi și administrațiile publice. Parlamentul remarcat faptul că dezechilibrele pieței care decurg din concentrarea datelor restrâng concurența, măresc obstacolele la intrarea pe piață și diminuează accesul la date și utilizarea acestora pe scară mai largă.

În rezoluția sa, Parlamentul European a mai observat că acordurile contractuale dintre întreprinderi nu garantează întotdeauna un acces adecvat la date pentru întreprinderile mici și mijlocii (IMM-uri). Motivul pentru această situație este existența unor disparități în ceea ce privește puterea de negociere și expertiza. Parlamentul European a subliniat, așadar, că în contracte trebuie să fie stabilite obligații clare și să fie determinată răspunderea pentru accesarea, prelucrarea, partajarea și stocarea datelor, pentru a se limita utilizarea lor abuzivă.

Ca atare, Comisia și statele membre ale UE au fost invitate să examineze drepturile și obligațiile actorilor de a accesa datele în a căror generare au fost implicați și să îi facă să conștientizeze mai bine în special dreptul de a avea acces la date, de a le porta, de a cere unui terț să înceteze utilizarea lor sau de a le rectifica sau șterge, identificând, în același timp, titularii și delimitând natura acestor drepturi.

În ceea ce privește relațiile dintre întreprinderi și administrațiile publice, Parlamentul European a solicitat Comisiei să stabilească în care circumstanțe, în ce condiții și prin ce stimulente ar trebui obligat sectorul privat să pună la dispoziție date în vederea utilizării acestora de către sectorul public, de exemplu când datele respective sunt necesare pentru organizarea de servicii publice bazate pe date, și să examineze, de asemenea, sistemele obligatorii de partajare de date între întreprinderi și administrațiile publice, de exemplu în situații care nu se află în controlul oamenilor.

În acest context, Comisia prezintă propunerea de lege privind datele cu scopul de a asigura echitatea la alocarea valorii obținute din date în rândul diferiților actori din economia datelor și de a promova accesul la date și utilizarea acestora.

Propunerea va contribui la realizarea obiectivelor de politică mai ample, și anume crearea condițiilor necesare pentru ca întreprinderile din UE din toate sectoarele să poată inova și concura, consolidarea efectivă a capacității de acțiune a persoanelor în ceea ce privește datele lor și dotarea mai atentă a întreprinderilor și a organismelor din sectorul public cu un mecanism proporțional și previzibil de abordare a provocărilor majore de politică și societale, inclusiv a urgențelor publice și a altor situații excepționale. Întreprinderile își vor putea trece cu ușurință datele și alte active digitale la furnizori concurenți de servicii de cloud și de alte servicii de prelucrare a datelor. Partajarea de date în cadrul aceluiași sector economic sau între diferite sectoare economice presupune un cadru de interoperabilitate cu măsuri procedurale și legislative pentru sporirea încrederii și a eficienței. Prin crearea unor spații europene comune ale datelor pentru sectoarele strategice ale economiei și domeniile de interes public se va contribui la o piață internă veritabilă a datelor, în care să fie posibile partajarea și utilizarea datelor în toate sectoarele. Prin urmare, prezentul regulament contribuie la aceste cadre de guvernanță și infrastructuri, precum și la partajarea de date în afara spațiilor de date.

În continuare sunt prezentate obiectivele specifice ale propunerii.

–Facilitarea accesului la date și a utilizării acestora de către consumatori și întreprinderi, menținându-se în același timp factorii de stimulare a investițiilor în modalități de generare de valoare prin intermediul datelor. În acest obiectiv sunt cuprinse și sporirea securității juridice în ceea ce privește partajarea datelor obținute din utilizarea de produse sau de servicii conexe ori generate prin aceasta, precum și operaționalizarea normelor de asigurare a echității în contractele de partajare de date. În propunere se clarifică aplicarea drepturilor relevante prevăzute în Directiva 96/9/CE privind protecția juridică a bazelor de date (Directiva privind bazele de date) 9 în ceea ce privește dispozițiile sale.

–Prevederea posibilității ca, în anumite situații în care există o nevoie excepțională de date, organismele din sectorul public și instituțiile, agențiile sau organele Uniunii să utilizeze date deținute de întreprinderi. Sunt avute în vedere, în primul rând, urgențele publice, dar și alte situații excepționale în care se justifică partajarea obligatorie a datelor între întreprinderi și administrațiile publice, în vederea sprijinirii unor politici și servicii publice bazate pe dovezi, eficace, eficiente și bazate pe performanță.

–Facilitarea trecerii la alți furnizori de servicii de cloud și de edge. Accesul la servicii competitive și interoperabile de prelucrare a datelor este o condiție prealabilă pentru o economie prosperă a datelor, în care datele să poată fi partajate cu ușurință în cadrul aceluiași ecosistem sectorial și între mai multe astfel de ecosisteme. Nivelul de încredere în serviciile de prelucrare a datelor determină adoptarea unor astfel de servicii de către utilizatori în toate sectoarele economiei.

–Instituirea de garanții împotriva transferului ilegal de date fără notificare din partea furnizorilor de servicii de cloud. Instituirea unor astfel de garanții este necesară ca urmare a preocupărilor exprimate cu privire la accesul ilegal la date din partea unor guverne ale țărilor din afara UE/a Spațiului Economic European (SEE). Astfel de garanții ar trebui să consolideze și mai mult încrederea în serviciile de prelucrare a datelor, pe care economia europeană a datelor se sprijină tot mai mult.

–Prevederea obligației de elaborare a unor standarde de interoperabilitate pentru datele care urmează să fie reutilizate între sectoare, în scopul de a se elimina barierele din calea partajării de date între spațiile europene comune ale datelor specifice fiecărui domeniu, în concordanță cu cerințele sectoriale de interoperabilitate, precum și pentru alte date care nu intră în sfera de aplicare a unui spațiu european comun al datelor specific. În propunere se sprijină, de asemenea, stabilirea unor standarde pentru „contractele inteligente”. Acestea sunt programe informatice stocate în registre electronice care execută și decontează tranzacții pe baza unor condiții prestabilite. Ele au potențialul de a oferi deținătorilor de date și destinatarilor datelor garanții că sunt respectate condițiile pentru partajarea de date.

•Coerența cu dispozițiile existente în domeniul de politică vizat

Prezenta propunere este compatibilă cu normele existente în materie de prelucrare a datelor cu caracter personal [inclusiv Regulamentul general privind protecția datelor 10 („RGPD”)] și de protejare a vieții private și a confidențialității comunicațiilor, precum și a oricăror date (cu și fără caracter personal) stocate și accesate în echipamente terminale (Directiva asupra confidențialității și comunicațiilor electronice 11 , care urmează să fie înlocuită de Regulamentul asupra confidențialității și comunicațiilor electronice, care face în prezent obiectul negocierilor legislative). Prezenta propunere completează drepturile existente, în special drepturile privind datele generate de produsul unui utilizator conectat la o rețea de comunicații electronice accesibilă publicului.

Prin Regulamentul privind libera circulație a datelor fără caracter personal 12 s-a instituit un modul esențial al economiei europene a datelor, asigurându-se că datele fără caracter personal pot fi stocate, prelucrate și transferate oriunde în Uniune. S-a prezentat, de asemenea, o abordare de autoreglementare în problema dependenței de furnizori în cazul serviciilor de prelucrare a datelor, prin introducerea unor coduri de conduită pentru facilitarea trecerii datelor de la un serviciu de cloud la altul [Codurile de conduită referitoare la trecerea la alt furnizor de servicii de cloud și la portarea datelor (SWIPO, din Switching Cloud Providers and Porting Data), elaborate de sector]. Prezenta propunere reprezintă o continuare a măsurilor prin care întreprinderile și cetățenii sunt ajutați să profite la maximum de dreptul de a trece la alt furnizor de servicii de cloud și de a-și porta datele. De asemenea, propunerea este pe deplin compatibilă cu Directiva privind clauzele contractuale abuzive în ceea ce privește dreptul contractelor 13 . În ceea ce privește serviciile de cloud, întrucât abordarea de autoreglementare nu pare să fi afectat în mod semnificativ dinamica pieței, prin prezenta propunere se introduce o abordare de reglementare în problema evidențiată în Regulamentul privind libera circulație a datelor fără caracter personal.

Prelucrarea și stocarea datelor, precum și transferurile de date la nivel internațional sunt reglementate de RGPD, de angajamentele comerciale asumate în cadrul Organizației Mondiale a Comerțului (OMC), de Acordul General privind Comerțul cu Servicii (GATS) și de acordurile comerciale bilaterale.

În contextul, printre altele, al controlului concentrărilor economice, al partajării de date între întreprinderi sau al abuzului de poziție dominantă al unei întreprinderi este aplicabilă legislația concurenței 14 .

Directiva privind bazele de date 15 prevede protecția sui generis a bazelor de date care au fost create ca urmare a unei investiții substanțiale, chiar dacă baza de date în sine nu este o creație intelectuală originală protejată prin drepturi de autor. Pe baza jurisprudenței considerabile în materie de interpretare a dispozițiilor Directivei privind bazele de date, în prezenta propunere este abordată insecuritatea juridică existentă în prezent cu privire la dreptul la o astfel de protecție în cazul bazelor de date care conțin date generate sau obținute prin utilizarea de produse sau de servicii conexe, cum ar fi senzorii, sau alte tipuri de date generate automat.

Regulamentul privind relațiile dintre platforme și întreprinderi 16 conține obligații în materie de transparență, în baza cărora platformele trebuie să descrie pentru utilizatorii care sunt întreprinderi datele generate din furnizarea serviciului.

Directiva privind datele deschise 17 conține normele minime privind reutilizarea datelor deținute de sectorul public și a datelor provenite din cercetare care a beneficiat de fonduri publice, când datele respective sunt puse la dispoziția publicului prin intermediul unor baze de date.

Prin inițiativa Europa interoperabilă se urmărește introducerea unei politici de cooperare în materie de interoperabilitate, în vederea modernizării sectorului public. Inițiativa a emanat din ISA2, un program de finanțare al Uniunii care s-a derulat în perioada 2016-2021 și a sprijinit dezvoltarea de soluții digitale pentru interoperabilitatea serviciilor publice transfrontaliere și transsectoriale 18 .

Prezenta propunere completează Legea privind guvernanța datelor, adoptată recent, prin care se urmărește facilitarea partajării voluntare de date de către persoane fizice și întreprinderi și prin care se armonizează condițiile de utilizare a anumitor date din sectorul public, fără a se aduce atingere drepturilor materiale asupra datelor sau drepturilor consacrate de acces la date și de utilizare a acestora 19 . De asemenea, prezenta propunere completează propunerea de Act legislativ privind piețele digitale, pe baza căruia anumiți furnizori de servicii de platformă esențiale, identificați drept „gatekeeperi”, au obligația să asigure, printre altele, mai multă portabilitate efectivă a datelor generate prin activitățile întreprinderilor și ale utilizatorilor finali 20 .

Prezenta propunere nu afectează normele existente în ceea ce privește proprietatea intelectuală (cu excepția aplicării dreptului sui generis din Directiva privind bazele de date), concurența, justiția și afacerile interne și cooperarea (internațională) conexă, obligațiile în materie comercială sau protecția juridică a secretelor comerciale.

Sunt necesare adaptări legislative pentru promovarea tranziției digitale în mai multe domenii. În cadrul pașaportului digital european al produselor (ca parte a Inițiativei privind produsele sustenabile) 21 vor fi stabilite norme clare privind accesul la date specifice necesare pentru circularitatea și sustenabilitatea anumitor produse pe parcursul ciclului lor de viață și în situații care nu sunt excepționale. Normele de drept privat reprezintă un element-cheie al cadrului general. Prin prezentul regulament se adaptează, așadar, dreptul contractelor și alte norme pentru a se îmbunătăți condițiile de reutilizare a datelor pe piața internă și pentru a se împiedica părțile la contracte să abuzeze de dezechilibre în ceea ce privește puterea de negociere în detrimentul părților mai slabe.

Fiind o propunere orizontală, Legea privind datele prevede norme de bază pentru toate sectoarele în ceea ce privește drepturile de utilizare a datelor, cum ar fi în domeniul mașinilor inteligente sau al bunurilor de consum. Drepturile și obligațiile în materie de acces la date și de utilizare a acestora au fost însă reglementate, la rândul lor, în diferite grade la nivel sectorial. Legea privind datele nu va modifica niciun astfel de act legislativ existent, dar viitoarele acte legislative din aceste domenii ar trebui, în principiu, să fie aliniate la principiile orizontale din Legea privind datele. Convergența cu normele orizontale din Legea privind datele ar trebui evaluată în momentul reexaminării instrumentelor sectoriale. Prezenta propunere permite adoptarea unor acte legislative transversale, prin care să fie stabilite norme mai detaliate pentru realizarea unor obiective de reglementare sectoriale.

Dată fiind legislația sectorială existentă, în ceea ce privește crearea spațiului de date anunțat în Pactul verde 22 , revizuirea Directivei INSPIRE 23 va crea posibilități și mai mari de disponibilitate liberă și reutilizare a datelor spațiale și de mediu. Prin inițiativa menționată, autoritățile publice, întreprinderile și cetățenii din UE ar trebui să poată sprijini mai ușor tranziția către o economie mai verde și neutră din punctul de vedere al emisiilor de dioxid de carbon și reducerea sarcinii administrative. Se așteaptă ca serviciile de date reutilizabile să fie sprijinite la scară largă pentru a contribui la colectarea, partajarea, prelucrarea și analizarea unor volume mari de date relevante pentru asigurarea respectării legislației de mediu și a acțiunilor prioritare stabilite în Pactul verde european. Se va raționaliza raportarea și se va reduce sarcina administrativă printr-o mai bună reutilizare a datelor existente, prin generarea automată de rapoarte cu ajutorul extragerii de date, precum și prin colectarea de informații comerciale.

În UE, Regulamentul privind energia electrică 24 prevede obligația operatorilor de transport și de sistem să furnizeze date autorităților de reglementare și pentru planificarea adecvării resurselor, în timp ce Directiva privind energia electrică 25 prevede accesul transparent și nediscriminatoriu la date și împuternicește Comisia să elaboreze cerințe și proceduri de interoperabilitate conexe pentru a facilita acest lucru. A doua directivă privind serviciile de plată 26 prevede accesul la anumite tipuri de informații privind operațiunile de plată și privind conturile în anumite condiții, creând astfel posibilitatea partajării de date între întreprinderi în domeniul tehnologiilor financiare (fintech). În sectorul mobilității și al transporturilor există o gamă largă de norme privind accesul la date și partajarea de date. Informațiile referitoare la repararea și întreținerea autovehiculelor și a utilajelor agricole fac obiectul unor obligații specifice de acces la date/partajare de date în temeiul legislației referitoare la omologarea de tip 27 . Cu toate acestea, sunt necesare noi norme pentru a se asigura că legislația existentă cu privire la omologarea de tip a vehiculelor este adecvată pentru era digitală și promovează dezvoltarea de vehicule curate, conectate și automatizate. Folosindu-se Legea privind datele drept cadru pentru accesul la date și utilizarea acestora, prin normele respective se vor aborda provocări specifice sectorului, cum ar fi accesul la funcțiile și resursele autovehiculelor.

În cadrul Directivei privind sistemele de transport inteligente 28 au fost și vor continua să fie elaborate mai multe regulamente delegate, în special pentru a se specifica accesibilitatea datelor pentru transportul rutier și multimodal de persoane, mai ales prin intermediul punctelor naționale de acces. În managementul traficului aerian, datele neoperaționale sunt importante pentru îmbunătățirea intermodalității și a conectivității. Datele operaționale legate de managementul traficului aerian ar intra sub incidența regimului specific definit în cadrul inițiativei Cerul unic european 29 . În ceea ce privește monitorizarea traficului navelor, datele referitoare la nave (urmărire și reperare) sunt importante pentru îmbunătățirea intermodalității și a conectivității și intră sub incidența regimului specific definit în Directiva privind VTMIS 30 . Datele respective intră, de asemenea, în domeniul de aplicare al sistemului și serviciilor maritime digitale 31 . În Propunerea de regulament privind instalarea infrastructurii pentru combustibili alternativi 32 sunt specificate tipurile de date relevante care urmează să fie puse la dispoziție, în sinergie cu cadrul general stabilit în Directiva privind sistemele de transport inteligente.

•Coerența cu alte politici ale Uniunii

Prezenta propunere corespunde priorităților Comisiei de a pregăti Europa pentru era digitală și de a construi o economie pregătită pentru viitor în serviciul oamenilor 33 , în cadrul căreia digitalizarea pieței interne să se caracterizeze printr-un grad ridicat de încredere, securitate, siguranță și capacitate de alegere pentru consumatori. Digitalizarea pieței interne este extrem de competitivă grație unui cadru care favorizează transparența, concurența și inovarea și care este neutru din punct de vedere tehnologic. Propunerea sprijină Mecanismul de redresare și reziliență 34 , prin desprinderea de învățăminte din pandemia de COVID-19 și din beneficiile unor date mai ușor accesibile, când este necesar.

Prezenta propunere sprijină în diverse moduri rolul esențial pe care îl au datele în realizarea obiectivelor Pactului verde european. În primul rând, prin aprofundarea înțelegerii, de către administrații publice, întreprinderi și persoane fizice, a impactului pe care îl au produsele, serviciile și materialele din toate lanțurile de aprovizionare asupra societății și a economiei. În al doilea rând, prin mobilizarea bogăției existente de date relevante din sectorul privat pentru abordarea problemei climei, a biodiversității, a poluării 35 și a resurselor naturale, în concordanță cu obiectivele anunțate în Pactul verde european 36 , cu concluziile Consiliului 37 și pozițiile Parlamentului European 38 pe această temă. În al treilea rând, prin remedierea lacunelor de cunoștințe și prin gestionarea crizelor conexe pe baza unor acțiuni consolidate de atenuare, pregătire, răspuns și redresare.

În concordanță cu Strategia industrială 39 , în propunere sunt abordate tehnologii deosebit de strategice, cum ar fi cloud computingul și sistemele de inteligență artificială, domenii al căror potențial maxim urmează să fie valorificat de UE, odată cu trecerea la următorul val de date industriale. Prin propunere este pus în aplicare obiectivul, prevăzut în Strategia privind datele 40 , ca întreprinderile să fie în măsură să inoveze și să concureze mai mult, pe baza valorilor UE și a principiului liberei circulații a datelor în cadrul pieței interne. Propunerea corespunde, de asemenea, Planului de acțiune privind proprietatea intelectuală 41 , în care Comisia s-a angajat să reexamineze Directiva privind bazele de date.

Prezenta propunere ar trebui, de asemenea, să respecte principiile din Planul de acțiune privind Pilonul european al drepturilor sociale 42 și cerințele de accesibilitate prevăzute în Directiva (UE) 2019/882 privind cerințele de accesibilitate aplicabile produselor și serviciilor 43 .

2.TEMEI JURIDIC, SUBSIDIARITATE ȘI PROPORȚIONALITATE

•Temeiul juridic

Temeiul juridic al prezentei propuneri este articolul 114 din Tratatul privind funcționarea Uniunii Europene, al cărui obiectiv este instituirea și funcționarea pieței interne prin consolidarea măsurilor de apropiere a normelor de drept intern.

Prin prezenta propunere se vizează accelerarea procesului de finalizare a pieței interne a datelor, în care datele provenite din sectorul public, de la întreprinderi și de la persoane fizice să fie utilizate în mod optim, respectându-se, în același timp, drepturile în ceea ce privește aceste date și investițiile realizate în vederea colectării lor. Prin dispozițiile referitoare la trecerea de la un serviciu de prelucrare a datelor la altul se urmărește stabilirea unor condiții de piață echitabile și concurențiale pentru piața internă a serviciilor de cloud, de edge și conexe.

Protecția datelor comerciale confidențiale și a secretelor comerciale este un aspect important al bunei funcționări a pieței interne, așa cum se întâmplă în alte contexte în care au loc schimb de servicii și comerț cu bunuri. Prezenta propunere asigură respectarea secretelor comerciale în contextul utilizării datelor între întreprinderi sau de către consumatori. Inițiativa va permite Uniunii să beneficieze de dimensiunea pieței interne, dat fiind că la dezvoltarea de produse sau servicii conexe, care sunt comercializate ulterior în întreaga Uniune, se utilizează deseori date provenite din diferite state membre.

Pentru abordarea problemelor descrise mai sus, în scenarii de relații între întreprinderi și relații între întreprinderi și administrațiile publice, unele state membre au luat măsuri legislative, în timp ce altele nu. Se poate ajunge astfel la o fragmentare legislativă a pieței interne și la diferențe în ceea ce privește normele și practicile din Uniune și costurile aferente suportate de întreprinderi, care ar trebui să respecte regimuri diferite. Prin urmare, este important să se asigure că măsurile propuse sunt aplicate în mod uniform în toate statele membre.

•Subsidiaritatea (în cazul competențelor neexclusive)

Date fiind natura transfrontalieră a utilizării datelor și numeroasele domenii de impact ale Legii privind datele, aspectele tratate în prezenta propunere nu pot fi abordate în mod eficace la nivelul statelor membre. Ar trebui să se evite ca diferențele dintre normele naționale să conducă la fragmentare, deoarece aceasta ar atrage costuri de tranzacție mai mari, lipsă de transparență, insecuritate juridică și alegerea, de nedorit, a unei instanțe mai favorabile. Evitarea unei astfel de fragmentări este deosebit de importantă în toate situațiile în care sunt implicate aspectele legate de date ale relațiilor dintre întreprinderi, cum ar fi clauzele contractuale echitabile și obligațiile fabricanților de produse sau ale furnizorilor de servicii conexe din domeniul internetului obiectelor, aspecte care presupun omogenitatea cadrului în toată Uniunea.

Nevoia de a se acționa la nivelul Uniunii rezultă și din evaluarea aspectelor transfrontaliere ale fluxurilor de date din domeniul partajării de date între întreprinderi și administrațiile publice. Mulți dintre actorii privați care dețin date relevante sunt întreprinderi multinaționale. Aceste întreprinderi nu ar trebui să se confrunte cu un regim juridic fragmentat.

Serviciile de cloud computing sunt rareori oferite într-un singur stat membru. În conformitate cu RGPD și cu Regulamentul privind libera circulație a datelor fără caracter personal, în temeiul cărora consumatorii și întreprinderile au posibilitatea să prelucreze date cu caracter personal și date fără caracter personal oriunde doresc în Uniune, prelucrarea transfrontalieră a datelor în cadrul Uniunii este esențială pentru desfășurarea de activități comerciale pe piața internă. Prin urmare, este crucial ca dispozițiile privind trecerea la alt furnizor de servicii de prelucrare a datelor să fie aplicate la nivelul Uniunii, pentru a se evita o fragmentare dăunătoare pe o piață de altfel unificată, cum este cea a serviciilor de prelucrare a datelor.

Numai o acțiune comună la nivelul Uniunii poate să facă posibilă realizarea obiectivelor stabilite în prezenta propunere, inclusiv crearea unor condiții de inovare și de concurență echitabile pentru întreprinderile bazate pe date și consolidarea capacității de acțiune a cetățenilor. Această acțiune comună reprezintă un pas încrezător înainte pe calea realizării viziunii de creare a unei piețe interne veritabile a datelor.

•Proporționalitatea

Prezenta propunere asigură un echilibru între drepturile și interesele părților interesate afectate și obiectivul general de facilitare a utilizării pe scară mai extinsă a datelor pentru o gamă largă de actori. Propunerea creează un cadru favorabil care nu depășește ceea ce este necesar pentru atingerea obiectivelor. În prezenta propunere sunt abordate barierele existente în calea fructificării depline a valorii potențiale a datelor în rândul întreprinderilor, al consumatorilor și al sectorului public. Este stabilit, de asemenea, un cadru pentru viitoarele norme sectoriale, pentru a se evita fragmentarea și insecuritatea juridică. Sunt clarificate drepturile existente și, când este necesar, sunt oferite drepturi de acces la date, contribuindu-se astfel la dezvoltarea unei piețe interne pentru partajarea de date. Inițiativa lasă o marjă semnificativă de flexibilitate în ceea ce privește aplicarea la nivel sectorial.

Prezenta propunere va genera costuri financiare și administrative. Acestea urmează să fie suportate în principal de către autorități naționale, fabricanți și prestatori de servicii, pentru respectarea obligațiilor prevăzute în prezentul regulament. Totuși, explorarea diferitelor opțiuni, precum și a costurilor și a beneficiilor preconizate ale acestora a condus la o concepere echilibrată a instrumentului. În mod similar, costurile pentru utilizatorii și deținătorii de date vor fi contrabalansate de valoarea care rezultă dintr-un acces la date și o utilizare a acestora pe scară mai largă, precum și de adoptarea unor servicii noi pe piață.

•Alegerea instrumentului

S-a optat pentru un regulament deoarece acesta este cel mai bun mecanism de realizare a obiectivelor mai ample de politică, menite să garanteze că tuturor întreprinderilor din Uniune li se oferă posibilitatea de a inova și de a concura, că devine mai ușor pentru consumatori să preia controlul asupra datelor lor și că instituțiile, agențiile și organele Uniunii sunt mai bine pregătite să facă față provocărilor majore de politică, inclusiv urgențelor publice. Având în vedere obiectivul de armonizare cuprinzătoare urmărit de propunere, este necesar un regulament, pentru a se asigura securitatea juridică și transparența pentru operatorii economici, inclusiv pentru microîntreprinderi și întreprinderile mici și mijlocii, și pentru a li se oferi persoanelor fizice și juridice din toate statele membre același nivel de drepturi opozabile juridic și obligații executorii, pentru a se asigura aplicarea consecventă în toate statele membre, precum și o cooperare eficace între autoritățile competente din diferite state membre.

Propunerea va consolida piața internă a datelor prin mărirea securității juridice și garantarea unui cadru juridic uniform, orizontal și coerent.

3.REZULTATELE EVALUĂRILOR EX POST, ALE CONSULTĂRILOR CU PĂRȚILE INTERESATE ȘI ALE EVALUĂRILOR IMPACTULUI

•Evaluările ex post/verificarea adecvării legislației existente

Prezenta propunere se bazează parțial pe cea mai recentă evaluare a Directivei privind bazele de date și pe studiul efectuat de Comisie în sprijinul reexaminării directivei 44 . Directiva privind bazele de date a introdus, printre altele, un drept sui generis specific de protecție a bazelor de date pentru cazul în care producătorul unei baze de date a investit în mod substanțial în obținerea, verificarea și prezentarea datelor. De la prima sa adoptare, directiva a fost evaluată de două ori. Ambele evaluări au fost completate de comunicări ale Comisiei privind politica în domeniul economiei datelor 45 .

Curtea de Justiție a Uniunii Europene a permis o mai bună înțelegere a investițiilor substanțiale într-o bază de date, explicând că dreptul sui generis vizează protejarea investițiilor în colectarea, și nu în crearea de date 46 ca produs secundar al altei activități economice. Persistă însă o anumite insecuritate în ceea ce privește aplicarea accidentală sau neintenționată a dreptului sui generis în cazul bazelor de date care conțin date generate automat, și anume date obținute din utilizarea de produse sau servicii conexe ori generate prin aceasta. Este nevoie de o echilibrare a obiectivelor de politică în materie de protecție a proprietății intelectuale a unor astfel de baze de date în contextul economiei datelor, în care exclusivitatea datelor ca bun non-rival este considerată, în general, un obstacol în calea inovării. Pentru a asigura coerența cu intervențiile de reglementare incluse în prezenta propunere, intervenția referitoare la dreptul sui generis abordează în mod specific aplicarea problematică identificată a dreptului sui generis în contextul internetului obiectelor. Comisia pregătește în prezent și evaluarea Regulamentului (UE) 2018/1807, preconizată pentru noiembrie 2022. Conform rapoartelor inițiale ale contractanților externi, codurile de conduită SWIPO au un efect limitat asupra trecerii la alt furnizor de cloud.

•Consultările cu părțile interesate

În cursul mandatului Comisiei anterioare au fost demarate lucrări ample pentru identificarea problemelor care împiedică Uniunea să atingă potențialul deplin al inovării bazate pe date în economie. Propunerea se bazează pe acțiuni de consultare din trecut, cum ar fi consultarea publică organizată în 2017 în sprijinul Comunicării Comisiei „Construirea unei economii europene a datelor” 47 , consultarea publică organizată în 2017 în legătură cu evaluarea Directivei privind bazele de date, consultarea publică organizată în 2018 în legătură cu revizuirea Directivei privind reutilizarea informațiilor din sectorul public, consultarea grupului de IMM-uri organizată în 2018 în legătură cu principiile și orientările pentru partajarea de date între întreprinderi și consultarea publică online organizată de Comisie între februarie și mai 2020 în legătură cu Strategia privind datele 48 .

O evaluare inițială a impactului a fost publicată la 28 mai 2021 pe portalul pentru o mai bună legiferare, iar perioada de formulare a observațiilor a fost de patru săptămâni. Comisia a primit 91 de contribuții pe portalul pentru o mai bună legiferare 49 , în principal din partea întreprinderilor.

Ulterior, la 3 iunie 2021, a fost deschisă o consultare publică online referitoare la Legea privind datele. Această consultare s-a încheiat la 3 septembrie 2021. În cadrul său au fost abordate, prin secțiuni și întrebări relevante, elementele incluse în inițiativă. Consultarea s-a adresat tuturor tipurilor de părți interesate, pentru obținerea de contribuții în ceea ce privește partajarea de date, accesul la date și utilizarea de date în relațiile dintre întreprinderi și în relațiile dintre întreprinderi și administrațiile publice, consolidarea capacității de acțiune a consumatorilor și portabilitatea datelor, rolul potențial al măsurilor tehnice, cum ar fi contractele inteligente, capacitatea utilizatorilor de a trece de la un furnizor de servicii de cloud la altul, drepturile de proprietate intelectuală (și anume protecția bazelor de date) și garanțiile pentru date fără caracter personal în context internațional. După efectuarea unei analize aprofundate a răspunsurilor, Comisia a publicat un raport de sinteză pe site-ul său 50 .

S-au primit în total 449 de contribuții din partea a 32 de țări. Categoria cu cele mai multe contribuții transmise a fost cea a entităților comerciale, cuprinzând 122 de asociații de întreprinderi și 105 întreprinderi/organizații de afaceri. În plus, 100 de respondenți au fost autorități publice și 58 au fost persoane din rândul publicului. În general, răspunsurile au confirmat că există o serie de obstacole în calea unei partajări eficace și eficiente de date în toate tipurile de relații de date.

În contextul relațiilor dintre întreprinderi, deși partajarea de date între întreprinderi este o practică obișnuită, respondenții care s-au confruntat cu dificultăți au identificat obstacole precum cele de natură tehnică (formate, lipsa standardelor – 69 %), refuzul categoric de acordare a accesului, fără ca acest refuz să aibă vreo legătură cu probleme de concurență (55 %) sau utilizarea abuzivă a unui dezechilibru contractual (44 %). În ceea ce privește aspectele contractuale, aproape jumătate dintre respondenți s-au exprimat în favoarea introducerii unui test privind caracterul abuziv (46 %), în timp ce de peste două ori mai puțini s-au exprimat împotrivă (21 %). IMM-urile au manifestat o puternică susținere (50 %) pentru un test privind caracterul abuziv, iar un număr semnificativ de întreprinderi mari s-au exprimat, la rândul lor, în favoarea unui astfel de test (41 %). În mod similar, 46 % dintre părțile interesate din toate sectoarele și-au manifestat susținerea pentru ideea unor norme generale de acces bazate pe condiții echitabile, rezonabile și nediscriminatorii (46 %). Cu afirmația că modelele de clauze contractuale ar putea contribui la intensificarea partajării de date au fost de acord 60 % dintre respondenți, în special IMM-uri și microîntreprinderi (78 %). Opinia că există o problemă de echitate în ceea ce privește datele generate în contextul internetului obiectelor și că fabricanții de produse conectate sau prestatorii de servicii conexe nu ar trebui să poată decide unilateral ce se întâmplă cu datele generate de astfel de produse a fost exprimată de 70 % dintre părțile interesate. În opinia a 79 % dintre respondenți, contractele inteligente ar putea fi un instrument eficace pentru implementarea tehnică a accesului la date și a utilizării acestora în contextul datelor cogenerate de internetul obiectelor.

Printre altele, respondenții au menționat insecuritatea juridică și barierele juridice, factorii de descurajare comerciali și lipsa unei infrastructuri adecvate drept principali factori care împiedică partajarea de date între întreprinderi și administrațiile publice. Nevoia unor acțiuni (la nivelul Uniunii sau al statelor membre) în materie de partajare de date între întreprinderi și administrațiile publice este recunoscută de aproape toate autoritățile publice, față de 80 % dintre instituțiile de învățământ/de cercetare și 38 % dintre întreprinderi/organizațiile de afaceri/asociațiile de întreprinderi. O majoritate clară a părților interesate (în special cetățenii și administrațiile publice) și-au exprimat, de asemenea, opinia că partajarea de date între întreprinderi și administrațiile publice ar trebui să fie obligatorie și însoțită de garanții clare pentru cazurile de utilizare specifice care prezintă un interes public evident în situații de urgență și în scopuri de gestionare a crizelor, pentru statisticile oficiale, pentru protecția mediului și pentru o societate mai sănătoasă în general.

Respondenții au confirmat, de asemenea, că ar fi util să existe un drept de trecere la alt furnizor pentru utilizatorii comerciali ai serviciilor de cloud computing. În ceea ce privește garanțiile pentru date fără caracter personal în contexte internaționale, 76 % dintre respondenți percep accesul potențial la date al autorităților străine pe baza legislației străine ca fiind un risc pentru organizația lor, 19 % indicând că este un risc major.

•Obținerea și utilizarea cunoștințelor de specialitate

Propunerea s-a sprijinit pe mai multe studii, ateliere și alte contribuții ale experților:

–Studiul efectuat în sprijinul evaluării impactului măsurii de îmbunătățire a utilizării datelor în Europa, inclusiv interviuri cu părțile interesate vizate. Studiul a cuprins și două ateliere transsectoriale privind partajarea de date între întreprinderi și între întreprinderi și administrațiile publice, precum și un atelier final de validare, organizat în primăvara anului 2021.

–Studiul referitor la un model de clauze contractuale, la controlul echității în partajarea de date și contractele de servicii de cloud și la drepturile de acces la date, în cadrul căruia s-au evaluat, în special, aspectele de echitate în relațiile de partajare de date dintre întreprinderi și care a cuprins și interviuri specifice cu părțile interesate și un atelier de validare.

–Studiul referitor la prejudiciul economic rezultat din existența unor contracte abuzive și disproporționate de cloud computing. Studiul a cuprins și un sondaj online organizat în cadrul unui eșantion de IMM-uri și de întreprinderi nou-înființate care utilizează cloud computingul pentru a-și desfășura activitatea.

–Studiul privind trecerea la alt furnizor de servicii de cloud, care a cuprins și un atelier transsectorial organizat în al doilea trimestru al anului 2017.

–Studiul efectuat în sprijinul reexaminării Directivei privind bazele de date, care a cuprins și interviuri cu părțile interesate vizate. Studiul a ajutat Comisia la pregătirea evaluării impactului care însoțește reexaminarea Directivei privind bazele de date în contextul Legii privind datele și la îndeplinirea obiectivelor interconectate ale celor două instrumente.

–Sprijinul metodologic pentru evaluarea impactului utilizării de către statisticile oficiale a datelor deținute în proprietate privată. Acest exercițiu furnizează contribuții pentru evaluarea impactului reutilizării în statisticile oficiale a datelor provenite din relațiile dintre întreprinderi și administrațiile publice, prin dezvoltarea unei abordări metodologice și prin descrierea beneficiilor și a costurilor reutilizării datelor și ale cazurilor de utilizare selectate pentru diferite domenii statistice și diferite tipuri de date din sectorul privat. În plus, exercițiul contribuie la cercetările și deliberările desfășurate în prezent în scopul de a se înțelege mai bine partajarea de date între întreprinderi și administrațiile publice.

–Webinarele organizate pe tema platformelor de date cu caracter personal și a platformelor de date industriale. Au fost organizate trei webinare, la 6, 7 și 8 mai 2020. În cadrul lor au fost reunite proiectele de platforme de date relevante din portofoliul Parteneriatului public-privat privind valoarea volumelor mari de date.

–Raportul grupului de experți la nivel înalt privind partajarea de date între întreprinderi și administrațiile publice. Raportul conține o analiză a problemelor legate de partajarea de date între întreprinderi și administrațiile publice în Uniune și oferă un set de recomandări pentru asigurarea unei partajări redimensionabile, responsabile și sustenabile de date între întreprinderi și administrațiile publice, în interesul publicului. Pe lângă recomandarea adresată Comisiei de a analiza opțiunea unui cadru juridic în acest domeniu, sunt prezentate mai multe moduri prin care întreprinderile private să fie încurajate să își partajeze datele. Printre aceste moduri se numără stimulentele pecuniare și nepecuniare, de exemplu stimulentele fiscale, investițiile de fonduri publice pentru sprijinirea dezvoltării unor instrumente tehnice fiabile și sistemele de recunoaștere pentru partajarea de date.

–Atelierul organizat în legătură cu etichetarea/certificarea furnizorilor de soluții tehnice pentru schimbul de date. La acest webinar, care a avut loc la 12 mai 2020, au participat aproximativ o sută de persoane reprezentând întreprinderile (inclusiv IMM-uri), instituțiile europene și mediul universitar. Scopul webinarului a fost să se examineze dacă un sistem de etichetare sau de certificare ar putea stimula adoptarea activității de către intermediarii de date, prin sporirea încrederii în ecosistemul de date.

–Zece ateliere organizate în perioada iulie-noiembrie 2019 au reunit peste 300 de părți interesate și au acoperit diferite sectoare. În cadrul atelierelor s-a discutat despre modul în care organizarea partajării de date în anumite domenii, cum ar fi mediul, agricultura, energia sau sănătatea, ar putea aduce beneficii societății în ansamblu, ajutând actorii publici să elaboreze politici mai bune și să îmbunătățească serviciile publice, precum și actorii privați să producă servicii care contribuie la abordarea provocărilor societale.

–Consultarea grupului de IMM-uri. În cadrul acestei consultări de grup, organizate în perioada octombrie 2018-ianuarie 2019, s-au cerut punctele de vedere ale IMM-urilor asupra principiilor și orientărilor pentru partajarea de date între întreprinderi, publicate de Comisie în Comunicarea „Către un spațiu european comun al datelor” și în documentul de lucru al serviciilor Comisiei din 25 aprilie 2018 51 , care însoțește comunicarea menționată.

–Cel mai recent sondaj Eurobarometru privind impactul digitalizării. Acest sondaj general referitor la viața de zi cu zi a europenilor conține și întrebări despre controlul oamenilor asupra informațiilor cu caracter personal și despre partajarea de astfel de informații. Publicat la 5 martie 2020, sondajul oferă informații despre disponibilitatea cetățenilor europeni de a-și partaja informațiile cu caracter personal, inclusiv despre condițiile în care aceștia sunt dispuși să o facă.

–Avizul Autorității Europene pentru Protecția Datelor (AEPD) asupra Strategiei europene privind datele 52 . La 16 iunie 2020, AEPD a adoptat Avizul 3/2020 asupra Strategiei europene privind datele. AEPD a salutat strategia, considerând că punerea sa în aplicare reprezintă ocazia de a se da un exemplu de model alternativ de economie a datelor.

•Evaluarea impactului

Prezenta propunere este însoțită de o evaluare a impactului 53 , prezentată Comitetului de control normativ (CCN) la 29 septembrie 2021 și la 13 decembrie 2021. La 21 ianuarie 2022, comitetul a emis un aviz pozitiv cu rezerve.

•Adecvarea reglementărilor și simplificarea

Prin clarificarea faptului că dreptul sui generis prevăzut în Directiva privind bazele de date (Directiva 96/9/CE) nu se aplică în cazul bazelor de date care conțin date generate sau obținute prin utilizarea de produse sau servicii conexe, propunerea garantează că dreptul sui generis nu va aduce atingere drepturilor întreprinderilor și consumatorilor de a accesa și utiliza date și de a partaja datele prevăzute în prezentul regulament. Clarificarea adusă va permite alinierea dreptului sui generis la obiectivul propunerii legislative și va avea un impact pozitiv asupra aplicării uniforme a normelor pe piața internă și asupra economiei datelor.

Prin facilitarea accesului la date și a utilizării acestora, Legea privind datele ar trebui să reducă sarcinile, atât în sectorul public, cât și în rândul întreprinderilor, în principal ca urmare a reducerii costurilor tranzacțiilor și a sporirii eficienței. În cadrul principiului numărului constant 54 , prin care se vizează reducerea la minimum a sarcinilor suportate de cetățeni și întreprinderi în legătură cu implicațiile și costurile aplicării legislației, sarcina administrativă netă estimată a Legii privind datele, calculată pe baza evaluării impactului, reprezintă beneficii care ar putea nu doar să compenseze, ci și să depășească cu mult costurile administrative asociate.

•Drepturile fundamentale

Propunerea este conformă cu legislația Uniunii privind protecția datelor cu caracter personal și confidențialitatea comunicațiilor și a echipamentelor terminale și prevede garanții suplimentare pentru cazurile în care pot fi vizate date cu caracter personal, precum și în cazurile care fac obiectul drepturilor de proprietate intelectuală.

În capitolul II, nivelul ridicat de protecție a consumatorilor este consolidat prin noul drept de acces la datele generate de utilizatori în situații care nu erau reglementate anterior de dreptul Uniunii. Dreptul de a utiliza bunurile dobândite în mod legal și de a dispune de acestea este consolidat prin dreptul de acces la datele generate prin utilizarea unui produs din internetul obiectelor. În acest mod, proprietarul poate beneficia de pe urma unei experiențe mai vaste în calitate de utilizator și de o gamă mai largă de servicii, de exemplu, de reparații și întreținere. În contextul protecției consumatorilor, drepturile copiilor în calitate de consumatori vulnerabili merită o atenție deosebită, iar normele din Legea privind datele vor contribui la clarificarea situațiilor de acces la date și de utilizare a acestora.

Prin condiționarea dreptului de acces al părților terțe la date din internetul obiectelor de o cerere formulată de utilizator se limitează libertatea de a desfășura o activitate comercială și libertatea contractuală a fabricantului sau proiectantului unui produs sau a unui serviciu conex. Limitarea este justificată în vederea îmbunătățirii protecției consumatorilor, în special a promovării intereselor economice ale consumatorilor. Fabricantul sau proiectantul unui produs sau al unui serviciu conex deține, de obicei, controlul exclusiv asupra utilizării datelor generate prin utilizarea unui produs sau a unui serviciu conex, ceea ce contribuie la apariția unor situații de client captiv și împiedică intrarea pe piață a actorilor care oferă servicii post-vânzare. Dreptul de acces la date din internetul obiectelor abordează această situație, consolidând și mai mult capacitatea de acțiune a consumatorilor care utilizează produse sau servicii conexe pentru ca aceștia să controleze în mod real modul în care sunt utilizate datele generate prin utilizarea de către ei a produsului sau a serviciului conex și oferind mai multor actori de pe piață posibilitatea de inovare. Consumatorii pot, prin urmare, să beneficieze de o gamă mai largă de opțiuni în ceea ce privește serviciile post-vânzare, cum ar fi reparațiile și întreținerea, și să nu mai depindă doar de serviciile fabricantului. Propunerea facilitează portabilitatea datelor utilizatorului către părți terțe și, prin urmare, permite o ofertă competitivă de servicii post-vânzare, precum și mai multă inovare bazată pe date și dezvoltarea de produse sau servicii care nu au legătură cu cele pe care le-a achiziționat sau la care s-a abonat inițial utilizatorul.

Limitarea libertății fabricantului sau a proiectantului de a încheia un contract și de a desfășura o activitate comercială este proporțională și atenuată de faptul că, atâta vreme cât este în concordanță cu legislația aplicabilă și cu acordul încheiat cu utilizatorul, capacitatea fabricantului sau a proiectantului de a utiliza și datele rămâne neatinsă. În plus, fabricantul sau proiectantul va beneficia, de asemenea, de dreptul de a solicita compensații pentru acordarea accesului către părți terțe. Dreptul de acces nu aduce atingere drepturilor existente de acces și portabilitate ale persoanelor vizate în temeiul RGPD. Utilizare proporțională a datelor de către partea terță este asigurată prin garanții suplimentare.

În capitolul IV este stabilit un sistem echitabil și eficace de protecție împotriva clauzelor contractuale abuzive în partajarea de date, care va contribui la capacitatea microîntreprinderilor și a întreprinderilor mici și mijlocii de a desfășura o activitate comercială. Prin respectiva dispoziție, libertatea contractuală a întreprinderilor vizate este restrânsă într-o măsură limitată, deoarece dispoziția se aplică numai în cazul clauzelor contractuale abuzive care au legătură cu accesul la date și utilizarea acestora și pe care o parte contractuală le impune unilateral unei microîntreprinderi ori unei întreprinderi mici sau mijlocii. Această restrângere este justificată prin faptul că IMM-urile se află, de obicei, într-o poziție de negociere mai slabă și deseori sunt private de orice altă opțiune, în afară de cea de a accepta clauzele contractuale sau de a renunța la contract. Libertatea contractuală rămâne în mare măsură neatinsă, întrucât sunt invalidate numai clauzele excesive și abuzive, iar contractul încheiat rămâne, dacă este posibil, valabil fără clauzele abuzive. În plus, părțile au în continuare posibilitatea de a negocia separat o anumită clauză contractuală 55 .

În capitolul V, dispozițiile referitoare la partajarea de date între întreprinderi și administrațiile publice pe baza unei nevoi excepționale vor consolida capacitatea autorităților publice de a lua măsuri pentru binele comun, cum ar fi măsuri de răspuns, de prevenție sau de sprijinire a redresării în cazul unei urgențe publice. Sectorul privat beneficiază, de asemenea, de raționalizarea procedurilor de solicitare a datelor.

În capitolul VI, dispozițiile referitoare la trecerea la alt furnizor de servicii de prelucrare a datelor consolidează poziția clienților comerciali și garantează opțiunea acestora de a trece la alt furnizor. Limitarea dreptului de a desfășura o activitate comercială pentru furnizorii de servicii de prelucrare a datelor este justificată prin faptul că noile norme abordează situațiile de client captiv de pe piața serviciilor de cloud și de edge și îmbunătățesc posibilitatea de alegere a utilizatorilor comerciali și a persoanelor fizice în ceea ce privește serviciile de prelucrare a datelor.

În capitolul X, intervenția referitoare la dreptul sui generis privind bazele de date, prevăzut în Directiva privind bazele de date, nu limitează protecția proprietății intelectuale inerente. Această intervenție contribuie mai degrabă la securitatea juridică în cazurile în care protecția dreptului sui generis era anterior neclară.

4.IMPLICAȚII BUGETARE

Prezenta propunere nu va avea implicații bugetare.

5.ALTE ELEMENTE

•Planurile de punere în aplicare și măsurile de monitorizare, evaluare și raportare

La nivel sectorial și macroeconomic, studiul de monitorizare a pieței datelor, în curs de realizare, va contribui la urmărirea impactului economic al actualei propuneri asupra creșterii pieței de date în Uniune.

Impactul asupra IMM-urilor, și anume modul în care acestea percep problemele legate de accesul la date și de utilizarea acestora, va fi evaluat cu ajutorul unei consultări a grupului de IMM-uri după cinci ani de la adoptarea Legii privind datele.

Dat fiind rolul central pe care spațiile europene comune ale datelor îl au în punerea în aplicare a Strategiei europene privind datele, multe dintre efectele prezentei inițiative vor fi monitorizate la nivelul spațiilor sectoriale ale datelor, precum și al informațiilor colectate de Centrul de sprijin pentru spațiile datelor, care urmează să fie finanțat în cadrul programului Europa digitală. Interacțiunea periodică dintre serviciile Comisiei, Centrul de sprijin și Comitetul european pentru inovare în domeniul datelor (care urmează să fie instituit după intrarea în vigoare a Legii privind guvernanța datelor) ar trebui să servească drept sursă fiabilă de informații pentru evaluarea progreselor înregistrate.

În sfârșit, după patru ani de la adoptarea Legii privind datele va fi lansată o evaluare pentru analizarea inițiativei și pentru pregătirea de acțiuni suplimentare, dacă va fi cazul.

•Explicarea detaliată a dispozițiilor specifice ale propunerii

În capitolul I sunt definite obiectul și domeniul de aplicare ale regulamentului și sunt prevăzute definițiile utilizate în cadrul instrumentului.

Capitolul II conține dispoziții prin care se sporește securitatea juridică pentru consumatori și întreprinderi în ceea ce privește accesarea datelor generate de produsele sau serviciile conexe pe care le dețin sau le au în folosință prin închiriere sau leasing. Fabricanții și proiectanții trebuie să conceapă produsele astfel încât datele să fie ușor accesibile în mod implicit și vor trebui să fie transparenți cu privire la datele care vor fi accesibile și la modul în care acestea vor putea fi accesate. Dispozițiile din acest capitol nu aduc atingere posibilității ca fabricanții să acceseze și să utilizeze, cu acordul utilizatorului, datele din produsele sau serviciile conexe pe care le oferă. Deținătorul datelor are obligația de a pune astfel de date la dispoziția părților terțe, la cererea utilizatorului. Utilizatorii vor avea dreptul de a autoriza deținătorul de date să acorde acces la date furnizorilor terți de servicii, cum ar fi furnizorii de servicii post-vânzare. Microîntreprinderile și întreprinderile mici vor fi scutite de aceste obligații.

În capitolul III sunt prevăzute normele generale aplicabile obligațiilor de punere la dispoziție a datelor. În cazul în care un deținător de date este obligat să pună date la dispoziția unui destinatar al datelor în conformitate cu dispozițiile din capitolul II sau cu alte acte legislative ale Uniunii sau ale statelor membre, cadrul general abordează condițiile în care datele sunt puse la dispoziție și compensația pentru punerea la dispoziție a datelor. Toate condițiile vor trebui să fie echitabile și nediscriminatorii, iar orice compensație va trebui să fie rezonabilă, fără ca acest lucru să însemne că alte acte din dreptul Uniunii sau din legislația națională de punere în aplicare a dreptului Uniunii nu pot să conțină dispoziții de excludere a compensației sau să prevadă compensații mai mici pentru punerea la dispoziție a datelor. Nicio compensație stabilită pentru IMM-uri nu poate depăși costurile suportate pentru punerea la dispoziție a datelor, cu excepția cazului în care se prevede altfel în legislațiile sectoriale. Organismele de soluționare a litigiilor certificate de statele membre pot sprijini părțile care nu sunt de acord cu privire la compensație sau la condițiile de încheiere a unui acord.

În capitolul IV este abordat caracterul abuziv al clauzelor din contractele de partajare de date dintre întreprinderi, în situațiile în care o clauză contractuală este impusă unilateral de una dintre părți unei microîntreprinderi sau unei întreprinderi mici sau mijlocii. Prin dispozițiile din acest capitol se garantează că în acordurile contractuale în materie de acces la date și de utilizare a acestora nu se profită de dezechilibrele existente între părțile contractante în ceea ce privește puterea de negociere. Instrumentul unui test privind caracterul abuziv include o dispoziție generală în care este definit caracterul abuziv al unei clauze contractuale referitoare la partajarea de date, completată de o listă de clauze care fie sunt întotdeauna abuzive, fie sunt prezumate a fi abuzive. În situații de inegalitate la nivelul puterii de negociere, acest test protejează partea contractuală mai slabă, pentru a se evita contractele abuzive. Un astfel de caracter abuziv împiedică utilizarea datelor de către ambele părți contractante. Dispozițiile asigură astfel o alocare mai echitabilă a valorii în economia datelor 56 . Modelele de clauze contractuale recomandate de Comisie pot ajuta părțile comerciale să încheie contracte pe baza unor condiții echitabile.

Capitolul V conține dispoziții prin care este creat un cadru armonizat pentru utilizarea, de către organismele din sectorul public și instituțiile, agențiile și organele Uniunii, a datelor deținute de întreprinderi în situații în care există o nevoie excepțională pentru datele solicitate. Cadrul se bazează pe o obligație de punere la dispoziție a datelor și se aplică numai în cazul unor urgențe publice sau în situații în care organismele din sectorul public au o nevoie excepțională de a utiliza anumite date care nu pot fi obținute pe piață, în timp util, prin adoptarea de noi dispoziții juridice sau prin intermediul obligațiilor de raportare existente. În cazul în care există o nevoie excepțională de răspuns la urgențe publice, cum ar fi urgențele de sănătate publică sau dezastrele naturale sau antropogene, datele ar fi puse la dispoziție în mod gratuit. În alte situații de nevoie excepțională, inclusiv pentru prevenirea unei urgențe publice sau pentru sprijinirea redresării în urma unei astfel de urgențe, deținătorul de date care pune la dispoziție datele ar trebui să aibă dreptul la o compensație în care să fie incluse costurile legate de punerea la dispoziție a datelor relevante, plus o marjă rezonabilă. Pentru a se asigura că nu se exercită în mod abuziv dreptul de a solicita date și că sectorul public continuă să răspundă pentru utilizarea acestora, cererile de date ar trebui să fie proporționale, să conțină mențiunea clară a scopului urmărit și să respecte interesele întreprinderii care pune la dispoziție datele. Transparența și disponibilitatea publică a tuturor cererilor ar fi asigurate de autoritățile competente. Tot acestea s-ar ocupa și de soluționarea eventualelor plângeri rezultate.

Prin capitolul VI sunt introduse cerințe minime de reglementare de natură contractuală, comercială și tehnică, impuse furnizorilor de servicii de cloud, de servicii de edge și de alte servicii de prelucrare a datelor, pentru a se permite trecerea de la un astfel de serviciu la altul. Mai precis, prin propunere se asigură că, după ce au trecut la un alt furnizor de servicii, clienții își mențin echivalența funcțională (un nivel minim de funcționalitate) a serviciului. Propunerea conține o excepție de lipsă de fezabilitate tehnică, dar impune sarcina probei în această privință furnizorului serviciului respectiv. În propunere nu se prevede obligativitatea unor standarde tehnice sau interfețe specifice. Se prevede însă ca serviciile să fie compatibile cu standarde europene sau cu specificații tehnice deschise de interoperabilitate, când există.

În capitolul VII este abordat accesul ilegal al părților terțe la date fără caracter personal deținute în Uniune prin intermediul unor servicii de prelucrare a datelor oferite pe piața Uniunii. Propunerea nu afectează temeiul juridic al cererilor de acces la date formulate în legătură cu date deținute de către cetățeni sau întreprinderi din UE și nu aduce atingere cadrului Uniunii privind protecția datelor și a vieții private. Propunerea conține garanții specifice, prin faptul că furnizorii trebuie să ia toate măsurile tehnice, juridice și organizatorice rezonabile pentru a preveni un acces care intră în conflict cu obligațiile concurente de protejare a unor astfel de date în temeiul dreptului Uniunii, cu excepția cazului în care sunt îndeplinite condiții stricte. Regulamentul respectă angajamentele internaționale asumate de Uniune în cadrul OMC și în acordurile comerciale bilaterale.

Capitolul VIII conține cerințe esențiale care trebuie respectate în materie de interoperabilitate de către operatorii spațiilor de date și furnizorii de servicii de prelucrare a datelor, precum și cerințe esențiale pentru contractele inteligente. În acest capitol este prevăzută, de asemenea, posibilitatea unor specificații deschise de interoperabilitate și a unor standarde europene pentru interoperabilitatea serviciilor de prelucrare a datelor, în vederea promovării unui mediu armonios de cloud cu furnizori multipli.

În capitolul IX este stabilit cadrul de punere în aplicare și de asigurare a respectării împreună cu autoritățile competente din fiecare stat membru, inclusiv un mecanism de soluționare a plângerilor. Comisia recomandă modele voluntare de clauze contractuale privind accesul la date și utilizarea acestora. Se aplică sancțiuni pentru încălcarea prezentului regulament.

Capitolul X conține o dispoziție prin care se asigură că dreptul sui generis stabilit în Directiva 96/9/CE nu se aplică în cazul bazelor de date care conțin date obținute din utilizarea unui produs sau a unui serviciu conex ori generate prin aceasta pentru a se împiedica exercitarea efectivă a dreptului utilizatorilor de a accesa și utiliza date în conformitate cu articolul 4 din prezentul regulament sau a dreptului de a partaja astfel de date cu părți terțe în conformitate cu articolul 5 din prezentul regulament.

Capitolul XI permite Comisiei să adopte acte delegate pentru introducerea unui mecanism de monitorizare a taxelor de trecere la alt furnizor, impuse furnizorilor de servicii de prelucrare a datelor, să detalieze cerințele esențiale privind interoperabilitatea și să publice trimiterea la specificații deschise de interoperabilitate și la standarde europene de interoperabilitate a serviciilor de prelucrare a datelor. În acest capitol se prevede, de asemenea, recurgerea la procedura comitetului pentru adoptarea de acte de punere în aplicare în scopul de a se facilita adoptarea de specificații comune pentru interoperabilitate și contracte inteligente, în cazul în care nu există standarde armonizate sau când acestea nu sunt suficiente pentru a asigura îndeplinirea cerințelor esențiale. În propunere se clarifică, de asemenea, relația cu alte acte juridice ale Uniunii care reglementează drepturi și obligații în materie de partajare de date.

2022/0047 (COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora
(Legea privind datele)

(Text cu relevanță pentru SEE)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 114,

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ parlamentelor naționale,

având în vedere avizul Comitetului Economic și Social European 57 ,

având în vedere avizul Comitetului Regiunilor 58 ,

hotărând în conformitate cu procedura legislativă ordinară,

întrucât:

(1)În ultimii ani, tehnologiile bazate pe date au efecte de transformare asupra tuturor sectoarelor economiei. Volumul și valoarea potențială a datelor pentru consumatori, întreprinderi și societate au crescut în special ca urmare a proliferării produselor conectate la internetul obiectelor. Existența unor date de înaltă calitate și interoperabile din diferite domenii sporește competitivitatea și inovarea și asigură o creștere economică durabilă. Același set de date poate fi utilizat și reutilizat într-o multitudine de scopuri și în mod nelimitat, fără nicio pierdere în ceea ce privește calitatea sau cantitatea sa.

(2)Barierele existente în calea partajării de date împiedică alocarea optimă a datelor în beneficiul societății. Printre aceste bariere se numără faptul că deținătorii de date nu sunt stimulați să încheie în mod voluntar acorduri de partajare de date, insecuritatea în ceea ce privește drepturile și obligațiile legate de date, costurile de contractare și de implementare a interfețelor tehnice, nivelul ridicat de fragmentare a informațiilor în silozuri de date, gestionarea necorespunzătoare a metadatelor, absența unor standarde de interoperabilitate semantică și tehnică, blocajele care împiedică accesul la date, lipsa unor practici comune de partajare de date și utilizarea abuzivă a dezechilibrelor contractuale în ceea ce privește accesul la date și utilizarea acestora.

(3)În sectoarele caracterizate de prezența microîntreprinderilor și a întreprinderilor mici și mijlocii există adesea o lipsă de capacități și competențe digitale pentru colectarea, analizarea și utilizarea datelor, iar accesul este frecvent restricționat când datele sunt deținute în sistem de un singur actor sau când nu există interoperabilitate între date, între serviciile de date sau la nivel transfrontalier.

(4)Pentru satisfacerea nevoilor economiei digitale și pentru eliminarea barierelor din calea unei piețe interne a datelor cu o funcționare corespunzătoare, este necesar să se stabilească un cadru armonizat în care să se precizeze cine, în afară de fabricant sau de alt deținător al datelor, are dreptul să acceseze datele generate de produse sau de servicii conexe, în ce condiții și pe ce temei. În consecință, dacă nu se prevede explicit în prezentul regulament, statele membre nu ar trebui să adopte sau să mențină cerințe naționale suplimentare în chestiunile care intră în domeniul de aplicare al prezentului regulament, deoarece astfel s-ar afecta aplicarea directă și uniformă a acestuia.

(5)Prin prezentul regulament se asigură că utilizatorii unui produs sau ai unui serviciu conex din Uniune pot accesa, în timp util, datele generate prin utilizarea produsului sau serviciului conex în cauză și că utilizatorii respectivi pot utiliza datele, inclusiv prin partajarea acestora cu părți terțe alese de ei. În prezentul regulament se prevede obligația deținătorului de date de a pune datele la dispoziția utilizatorilor și a părților terțe desemnate de utilizatori în anumite circumstanțe. Prin prezentul regulament se asigură, de asemenea, că deținătorii de date pun datele la dispoziția destinatarilor de date din Uniune în condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent. Normele de drept privat sunt esențiale în cadrul general al partajării de date. Prin urmare, prezentul regulament adaptează normele de drept al contractelor și previne exploatarea dezechilibrelor contractuale care împiedică accesul echitabil la date și utilizarea corectă a acestora de către microîntreprinderi și întreprinderile mici și mijlocii în înțelesul Recomandării 2003/361/CE. Prin prezentul regulament se asigură, de asemenea, că, în cazul în care există o nevoie excepțională, deținătorii de date pun la dispoziția organismelor din sectorul public al statelor membre și la dispoziția instituțiilor, agențiilor sau organelor Uniunii datele necesare pentru îndeplinirea sarcinilor de interes public. În plus, prin prezentul regulament se urmăresc facilitarea trecerii de la un serviciu de prelucrare a datelor la altul și consolidarea interoperabilității datelor și a mecanismelor și serviciilor de partajare de date în Uniune. Prezentul regulament nu ar trebui interpretat în sensul că recunoaște sau creează vreun temei juridic pentru deținerea de date, accesul la date sau prelucrarea de date de către deținătorul de date sau că îi conferă deținătorului de date vreun drept nou de a utiliza date generate prin utilizarea unui produs sau a unui serviciu conex. Punctul de pornire este, dimpotrivă, controlul pe care deținătorul datelor îl are efectiv, de fapt sau de drept, asupra datelor generate de produse sau de servicii conexe.

(6)Generarea de date este rezultatul acțiunilor a cel puțin doi actori: proiectantul sau fabricantul unui produs și utilizatorul produsului respectiv. Apar astfel întrebări legate de echitate în economia digitală, deoarece datele înregistrate de astfel de produse sau servicii conexe reprezintă o contribuție importantă pentru serviciile post-vânzare, auxiliare și de altă natură. Pentru a se realiza beneficiile economice importante ale datelor ca bun non-rival pentru economie și societate, în locul acordării de drepturi exclusive de acces și utilizare se preferă o abordare generală a atribuirii drepturilor de acces la date și de utilizare a acestora.

(7)Dreptul fundamental la protecția datelor cu caracter personal este protejat în special prin Regulamentul (UE) 2016/679 și Regulamentul (UE) 2018/1725. Viața privată și confidențialitatea comunicațiilor sunt protejate în plus prin Directiva 2002/58/CE, în care sunt prevăzute condiții pentru orice stocare de date cu și fără caracter personal în echipamentele terminale și pentru orice acces la acestea. Instrumentele respective oferă baza pentru o prelucrare sustenabilă și responsabilă a datelor, inclusiv în cazul în care seturile de date conțin o combinație de date cu și fără caracter personal. Prezentul regulament completează actele legislative ale Uniunii privind protecția datelor și a vieții private, în special Regulamentul (UE) 2016/679 și Directiva 2002/58/CE, fără a le aduce atingere. Nicio dispoziție a prezentului regulament nu ar trebui să fie aplicată sau interpretată în sensul diminuării sau limitării dreptului la protecția datelor cu caracter personal sau a dreptului la viață privată și la confidențialitatea comunicațiilor.

(8)Principiul reducerii la minimum a datelor și principiul protecției datelor începând cu momentul conceperii și în mod implicit sunt esențiale atunci când prelucrarea implică riscuri semnificative pentru drepturile fundamentale ale persoanelor. Ținând seama de stadiul actual al tehnologiei, toate părțile la partajarea de date, inclusiv când aceasta intră în domeniul de aplicare al prezentului regulament, ar trebui să pună în aplicare măsuri tehnice și organizatorice pentru protejarea acestor drepturi. Astfel de măsuri cuprind nu doar pseudonimizarea și criptarea, ci și utilizarea unei tehnologii tot mai accesibile care permite introducerea de algoritmi în date și derivarea de informații valoroase fără transmitere între părți ori copiere inutilă a datelor brute sau structurate în sine.

(9)Prezentul regulament completează actele legislative ale Uniunii care vizează promovarea intereselor consumatorilor și asigurarea unui nivel ridicat de protecție a consumatorilor, pentru protejarea sănătății, siguranței și intereselor economice ale acestora, în special Directiva 2005/29/CE a Parlamentului European și a Consiliului 59 , Directiva 2011/83/UE a Parlamentului European și a Consiliului 60 și Directiva 93/13/CEE a Parlamentului European și a Consiliului 61 , fără a le aduce atingere.

(10)Prezentul regulament nu aduce atingere actelor legislative ale Uniunii care prevăd partajarea de date, accesul la date și utilizarea de date în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor ori în scopuri vamale sau fiscale, indiferent de dispoziția din Tratatul privind funcționarea Uniunii Europene în temeiul căreia au fost adoptate. Printre astfel de acte se numără Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist, {propunerile privind probele electronice [COM(2018) 225 și 226], după adoptare}, [Propunerea de] regulament al Parlamentului European și al Consiliului privind o piață unică pentru serviciile digitale (Actul legislativ privind serviciile digitale) și de modificare a Directivei 2000/31/CE, precum și cooperarea internațională desfășurată în acest context, în special pe baza Convenției Consiliului Europei din 2001 privind criminalitatea informatică („Convenția de la Budapesta”). Prezentul regulament nu aduce atingere competențelor statelor membre în ceea ce privește activitățile referitoare la securitatea publică, apărare și securitatea națională în conformitate cu dreptul Uniunii și activitățile din domeniul vamal în legătură cu gestionarea riscurilor și, în general, verificarea respectării Codului vamal de către operatorii economici.

(11)Actele legislative ale Uniunii prin care sunt stabilite cerințe în materie de proiectare fizică și de date pentru produsele care urmează să fie introduse pe piața Uniunii nu ar trebui să fie afectate de prezentul regulament.

(12)Prezentul regulament completează actele legislative ale Uniunii care vizează stabilirea unor cerințe de accesibilitate pentru anumite produse și servicii, în special Directiva 2019/882 62 , fără a le aduce atingere.

(13)Prezentul regulament nu aduce atingere competențelor statelor membre în ceea ce privește activitățile referitoare la securitatea publică, apărare și securitatea națională în conformitate cu dreptul Uniunii și activitățile din domeniul vamal în legătură cu gestionarea riscurilor și, în general, verificarea respectării Codului vamal de către operatorii economici.

(14)Produsele fizice care obțin, generează sau colectează, prin intermediul componentelor lor, date privind performanța, utilizarea sau mediul lor și care au capacitatea de a comunica datele respective printr-un serviciu de comunicații electronice accesibil publicului (denumit adesea internetul obiectelor) ar trebui să intre în domeniul de aplicare al prezentului regulament. Serviciile de comunicații electronice cuprind rețelele de telefonie terestre, rețelele de televiziune prin cablu, rețelele prin satelit și rețelele de comunicare în câmp apropiat. Astfel de produse pot fi vehiculele, echipamentele menajere și bunurile de consum, dispozitive medicale și de sănătate sau utilajele agricole și industriale. Datele reprezintă digitalizarea acțiunilor și evenimentelor utilizatorilor și ar trebui să poată fi accesate în consecință de către utilizator, deși informațiile derivate sau deduse din aceste date nu ar trebui considerate, când sunt deținute în mod legal, în domeniul de aplicare al prezentului regulament. Astfel de date pot fi valoroase pentru utilizator și sprijină activitatea de inovare și dezvoltarea serviciilor digitale și a altor servicii care protejează mediul, sănătatea și economia circulară, în special prin facilitarea întreținerii și a reparării produselor în cauză.

(15)În schimb, anumite produse care sunt concepute în principal pentru afișarea sau redarea de conținut sau pentru înregistrarea și transmiterea de conținut, printre altele în vederea utilizării de către un serviciu online, nu ar trebui să intre în domeniul de aplicare al prezentului regulament. Printre astfel de produse se numără, de exemplu, calculatoarele personale, serverele, tabletele și telefoanele inteligente, aparatele de fotografiat, camerele web, sistemele de înregistrare a sunetului și scanerele de text. Acestea necesită contribuții umane pentru a produce diverse forme de conținut, cum ar fi documente sub formă de text, fișiere audio, fișiere video, jocuri, hărți digitale.

(16)Este necesar să se stabilească norme care să se aplice produselor conectate care încorporează un serviciu sau sunt interconectate cu un serviciu, astfel încât, în absența serviciului, produsele respective nu ar putea să își îndeplinească funcțiile. Astfel de servicii conexe pot să facă parte din acordul de vânzare, de închiriere sau de leasing ori sunt furnizate în mod normal pentru produse de același timp, iar utilizatorul s-ar putea aștepta în mod rezonabil ca ele să fie furnizate, dată fiind natura produsului și ținându-se seama de orice declarație publică făcută de vânzător, de cel care închiriază sau de locator ori în numele acestuia ori de alte persoane situate în amonte în cadrul lanțului de tranzacții, inclusiv fabricantul. Aceste servicii conexe pot genera ele însele date de valoare pentru utilizator, independent de capacitățile de colectare a datelor pe care le are produsul cu care sunt interconectate. Prezentul regulament ar trebui să se aplice și unui serviciu conex care nu este furnizat chiar de vânzător, de cel care închiriază sau de locator, ci de către o parte terță, în cadrul unui contract de vânzare, de închiriere sau de leasing. În cazul în care nu se știe sigur dacă furnizarea serviciului face parte din contractul de vânzare, de închiriere sau de leasing, ar trebui să se aplice prezentul regulament.

(17)Datele generate prin utilizarea unui produs sau a unui serviciu conex includ datele înregistrate intenționat de către utilizator. Astfel de date cuprind, de asemenea, datele generate ca produs secundar al acțiunii utilizatorului, cum ar fi datele de diagnosticare, și datele generate fără nicio acțiune din partea utilizatorului, cum ar fi atunci când produsul se află în „mod stand-by”, precum și datele înregistrate în perioadele în care produsul este oprit. Astfel de date ar trebui includă date în forma și formatul în care sunt generate de produs, dar nu ar trebui să se refere la date rezultate dintr-un eventual proces informatic care calculează date derivate din astfel de date, întrucât este posibil ca un astfel de proces informatic să facă obiectul unor drepturi de proprietate intelectuală.

(18)Prin utilizatorul unui produs ar trebui să se înțeleagă persoana juridică sau fizică, precum o întreprindere sau un consumator, care a cumpărat produsul sau l-a luat în folosință prin închiriere sau leasing. În funcție de actul juridic în baza căruia utilizează produsul, un astfel de utilizator suportă riscurile și se bucură de beneficiile aferente utilizării produsului conectat și ar trebui să beneficieze, de asemenea, de acces la datele pe care le generează. Prin urmare, utilizatorul ar trebui să aibă dreptul de a obține beneficii din datele generate de produsul respectiv și de orice serviciu conex.

(19)În practică, nu toate datele generate de produse sau servicii conexe pot fi accesate cu ușurință de utilizatorii lor, iar posibilitățile de portabilitate a datelor generate de produse conectate la internetul obiectelor sunt deseori limitate. Utilizatorii nu pot să obțină datele necesare pentru a recurge la furnizori de servicii de reparații și alte servicii, iar întreprinderile nu pot să lanseze servicii inovatoare, mai eficiente și mai convenabile. În multe sectoare, fabricanții au deseori capacitatea de a stabili, prin controlul exercitat asupra proiectării tehnice a produsului sau a serviciilor conexe, ce date sunt generate și cum pot fi accesate datele respective, chiar dacă nu au niciun drept legal la date. Prin urmare, este necesar să se asigure că produsele sunt proiectate și fabricate și că serviciile conexe sunt furnizate astfel încât datele generate prin utilizarea lor să poată fi întotdeauna accesate cu ușurință de către utilizator.

(20)În cazul în care mai multe persoane sau entități dețin un produs ori sunt părți la un contract de leasing sau de închiriere și beneficiază de acces la un serviciu conex, ar trebui să se depună eforturi rezonabile la proiectarea produsului, a serviciului conex sau a interfeței relevante, astfel încât toate persoanele să poată avea acces la datele pe care le generează. Utilizatorii de produse care generează date au nevoie, în mod obișnuit, de un cont de utilizator. Acest cont permite identificarea utilizatorului de către fabricant și constituie un mijloc de comunicare pentru formularea și prelucrarea cererilor de acces la date. Fabricanții sau proiectanții unui produs care este utilizat de obicei de către mai multe persoane ar trebui să introducă mecanismul necesar pentru a permite diferitelor persoane să aibă conturi de utilizator separate, când este relevant, sau posibilitatea ca mai multe persoane să utilizeze același cont de utilizator. Utilizatorului ar trebui să i se acorde accesul pe baza unor mecanisme simple de solicitare care să autorizeze executarea automată, fără a fi nevoie ca cererea să fie examinată sau aprobată de către fabricant sau deținătorul de date. Cu alte cuvinte, datele ar trebui să fie puse la dispoziție numai atunci când utilizatorul dorește efectiv acest lucru. În cazul în care executarea automată a cererii de acces la date nu este posibilă, de exemplu, prin intermediul unui cont de utilizator sau al unei aplicații mobile specifice furnizate împreună cu produsul sau serviciul, fabricantul ar trebui să informeze utilizatorul cu privire la modul în care pot fi accesate datele.

(21)Se poate ca produsele să fie proiectate astfel încât să pună direct la dispoziție anumite date dintr-o memorie de date instalată pe dispozitiv sau de pe un server aflat la distanță căruia îi sunt comunicate datele. Accesul la memoria de date instalată pe dispozitiv poate fi asigurat prin rețele prin cablu sau rețele locale cu acces pe suport radio conectate la un serviciu de comunicații electronice accesibil publicului sau la o rețea mobilă. Serverul poate fi serverul local propriu al fabricantului sau serverul unei părți terțe ori al unui furnizor de servicii cloud care acționează ca deținător de date. Acestea pot fi concepute astfel încât să permită utilizatorului sau unei părți terțe să prelucreze datele referitoare la produs sau la o instanță de calcul a fabricantului.

(22)Asistenții virtuali joacă un rol tot mai mare în digitalizarea mediilor de consum și servesc drept interfață ușor de utilizat pentru redarea de conținut, obținerea de informații sau activarea de obiecte fizice conectate la internetul obiectelor. Asistenții virtuali pot să acționeze drept unic punct de intrare, de exemplu într-un mediu de casă inteligentă, și să înregistreze volume semnificative de date relevante despre modul în care utilizatorii interacționează cu produsele conectate la internetul obiectelor, inclusiv cu cele fabricate de alte părți, și pot să înlocuiască utilizarea interfețelor furnizate de producător, cum ar fi ecranele tactile sau aplicațiile pentru telefoane inteligente. Se poate ca utilizatorul să dorească să pună astfel de date la dispoziția unor fabricanți terți și să permită servicii noi de casă inteligentă. Astfel de asistenți virtuali ar trebui să intre în domeniul de aplicare al dreptului de acces la date prevăzut în prezentul regulament și în ceea ce privește datele înregistrate înainte de activarea asistentului virtual prin cuvântul de trezire și datele generate când un utilizator interacționează cu un produs prin intermediul unui asistent virtual furnizat de o altă entitate decât fabricantul produsului. În domeniul de aplicare al prezentului regulament intră însă numai datele care rezultă din interacțiunea dintre utilizator și produs prin intermediul asistentului virtual. Datele produse de asistentul virtual care nu au legătură cu utilizarea unui produs nu fac obiectul prezentului regulament.

(23)Înainte de încheierea unui contract de cumpărare, de închiriere sau de leasing al unui produs sau de furnizare a unui serviciu conex, utilizatorului ar trebui să i se furnizeze informații clare și suficiente cu privire la modul în care pot fi accesate datele generate. Această obligație asigură transparență cu privire la datele generate și îmbunătățește accesul ușor al utilizatorului. Această obligație de a furniza informații nu aduce atingere obligației operatorului de a furniza informații persoanei vizate în temeiul articolelor 12, 13 și 14 din Regulamentul 2016/679.

(24)În prezentul regulament se prevede obligația deținătorilor de date de a pune la dispoziție date în anumite circumstanțe. În măsura în care datele prelucrate sunt date cu caracter personal, deținătorul datelor ar trebui să fie operator în temeiul Regulamentului (UE) 2016/679. În cazul în care utilizatorii sunt persoane vizate, deținătorii de date ar trebui să aibă obligația de a le oferi acces la datele lor și de a pune datele la dispoziția părților terțe alese de utilizator, în conformitate cu prezentul regulament. Cu toate acestea, prezentul regulament nu creează pentru deținătorul de date niciun temei juridic, astfel cum se prevede în Regulamentul (UE) 2016/679, pentru oferirea accesului la date cu caracter personal sau pentru punerea unor astfel de date la dispoziția unei părți terțe la cererea unui utilizator care nu este persoană vizată și nu ar trebui înțeles în sensul că îi conferă deținătorului de date vreun drept nou de a utiliza date generate prin utilizarea unui produs sau a unui serviciu conex. Acest lucru este valabil în special atunci când deținătorul datelor este fabricantul. În acest caz, temeiul pentru utilizarea de către fabricant a datelor fără caracter personal ar trebui să fie un acord contractual între fabricant și utilizator. Acest raport contractual poate face parte din contractul de vânzare, de închiriere sau de leasing referitor la produs. Orice clauză contractuală în temeiul căreia deținătorul datelor poate utiliza datele generate de utilizatorul unui produs sau al unui serviciu conex ar trebui să fie transparentă pentru utilizator, inclusiv în ceea ce privește scopul în care deținătorul de date intenționează să utilizeze datele. Prezentul regulament nu ar trebui să împiedice condițiile contractuale având ca scop excluderea sau limitarea utilizării datelor sau a anumitor categorii ale acestora de către deținătorul de date. Prezentul regulament nu ar trebui să împiedice nici cerințele de reglementare sectoriale prevăzute în dreptul Uniunii sau în dreptul intern compatibil cu dreptul Uniunii, prin care s-ar exclude sau limita utilizarea anumitor astfel de date de către deținătorul de date din motive de politică publică bine definite.

(25)În sectoarele caracterizate de concentrarea unui număr mic de fabricanți care aprovizionează utilizatori finali, utilizatorii dispun doar de opțiuni limitate în ceea ce privește partajarea de date cu fabricanții respectivi. În astfel de circumstanțe, este posibil ca acordurile contractuale să nu fie suficiente pentru atingerea obiectivului de consolidare a capacității de acțiune a utilizatorilor. Datele tind să rămână sub controlul fabricanților, ceea ce înseamnă că pentru utilizatori este dificil să obțină valoare din datele generate de echipamentele pe care le achiziționează sau le iau în folosință prin leasing. Întreprinderile mai mici inovatoare au, așadar, un potențial limitat de a oferi soluții bazate pe date într-un mod competitiv și pentru o economie diversificată a datelor în Europa. Prin urmare, prezentul regulament ar trebui să se bazeze pe evoluțiile recente din anumite sectoare, cum ar fi Codul de conduită privind partajarea de date agricole prin acord contractual. Pentru abordarea nevoilor și a obiectivelor sectoriale se pot elabora propuneri de legislație sectorială. În plus, deținătorul de date nu ar trebui să utilizeze niciun fel de date generate prin utilizarea produsului sau a serviciului conex pentru a deriva informații despre situația economică a utilizatorului, despre activele sau metodele de producție ale acestuia ori despre utilizare în orice alt mod care ar putea submina poziția comercială a utilizatorului pe piețele pe care își desfășoară activitatea. Acest lucru ar presupune, de exemplu, utilizarea cunoștințelor despre performanța generală a unei întreprinderi sau a unei ferme agricole în negocierile contractuale purtate cu utilizatorul cu privire la potențiala achiziție a produselor sau a produselor agricole ale utilizatorului în detrimentul utilizatorului sau, de exemplu, utilizarea unor astfel de informații pentru alimentarea unor baze de date mai mari de pe anumite piețe în ansamblu (cum ar fi bazele de date privind randamentul culturilor pentru următorul sezon de recoltare), deoarece o astfel de utilizare ar putea avea în mod indirect efecte negative asupra utilizatorului. Utilizatorului ar trebui să i se ofere interfața tehnică necesară pentru gestionarea permisiunilor, de preferință cu opțiuni de permisiuni granulare (cum ar fi „permite o singură dată” sau „permite când utilizezi această aplicație sau acest serviciu”), inclusiv opțiunea de retragere a permisiunii.

(26)Clauzele contractelor dintre un deținător de date și un consumator în calitate de utilizator al unui produs sau al unui serviciu conex care generează date se supun Directivei 93/13/CEE, pentru a se asigura că nu i se impun clauze contractuale abuzive consumatorului. În ceea ce privește clauzele contractuale abuzive impuse unilateral unei microîntreprinderi sau întreprinderi mici sau mijlocii, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE 63 , în prezentul regulament se prevede că astfel de clauze abuzive nu ar trebui să fie obligatorii pentru întreprinderea respectivă.

(27)Deținătorul de date poate să prevadă o identificare corespunzătoare a utilizatorului, pentru a verifica dreptul utilizatorului de a accesa datele. În cazul datelor cu caracter personal prelucrate de o persoană împuternicită de operator în numele operatorului, deținătorul datelor ar trebui să se asigure că cererea de acces este primită și tratată de persoana împuternicită de operator.

(28)Utilizatorul ar trebui să aibă libertatea de a utiliza datele în orice scop legal. Un astfel de scop este furnizarea datelor pe care utilizatorul le-a primit prin exercitarea dreptului prevăzut în prezentul regulament către o parte terță care oferă un serviciu post-vânzare potențial concurent cu un serviciu furnizat de deținătorul de date sau însărcinarea deținătorului de date să facă acest lucru. Deținătorul datelor ar trebui să se asigure că datele puse la dispoziția părții terțe sunt la fel de exacte, complete, fiabile, relevante și actuale ca și datele la care poate avea posibilitatea sau dreptul de a avea acces el însuși ca urmare a utilizării produsului sau a serviciului conex. La manipularea datelor ar trebui respectate toate eventualele secrete comerciale sau drepturi de proprietate intelectuală. Este important să se mențină factorii de stimulare a investițiilor în produse cu funcționalități bazate pe utilizarea datelor provenite de la senzorii integrați în produsul respectiv. Scopul prezentului regulament ar trebui înțeles în consecință în sensul că încurajează dezvoltarea de produse sau servicii conexe noi și inovatoare și că stimulează inovarea în domeniul post-vânzare, dar și dezvoltarea unor servicii complet noi care utilizează datele, inclusiv pe baza datelor dintr-o multitudine de produse sau servicii conexe. În același timp, prin prezentul regulament se urmărește să se evite subminarea factorilor de stimulare a investițiilor pentru tipul de produs din care sunt obținute datele, de exemplu prin utilizarea datelor pentru dezvoltarea unui produs concurent.

(29)O parte terță căreia îi sunt puse la dispoziție date poate fi o întreprindere, o organizație de cercetare sau o organizație nonprofit. Când pune datele la dispoziția părții terțe, deținătorul de date nu ar trebui să abuzeze de poziția sa pentru a căuta un avantaj concurențial pe piețele pe care deținătorul de date și partea terță s-ar putea afla în concurență directă. Deținătorul de date nu ar trebui, prin urmare, să utilizeze niciun fel de date generate prin utilizarea produsului sau a serviciului conex pentru a deriva informații despre situația economică a părții terțe, despre activele sau metodele de producție ale acesteia ori despre utilizare în orice alt mod care ar putea submina poziția comercială a părții terțe pe piețele pe care își desfășoară activitatea.

(30)Utilizarea unui produs sau a unui serviciu conex poate, în special când utilizatorul este o persoană fizică, să genereze date care se referă la o persoană fizică identificată sau identificabilă (persoana vizată). Prelucrarea unor astfel de date se supune normelor stabilite în Regulamentul (UE) 2016/679, inclusiv în cazul în care datele cu caracter personal și cele fără caracter personal dintr-un set de date sunt legate între ele în mod indisolubil 64 . Persoana vizată poate fi utilizatorul sau o altă persoană fizică. Datele cu caracter personal pot fi solicitate numai de un operator sau de o persoană vizată. Dacă este persoana vizată, utilizatorul are, în anumite circumstanțe, dreptul, prevăzut în Regulamentul (UE) 2016/679, de a accesa datele cu caracter personal care îl privesc, astfel de drepturi nefiind afectate de prezentul regulament. În temeiul prezentului regulament, utilizatorul care este o persoană fizică are, de asemenea, dreptul de a accesa toate datele generate de produs, cu și fără caracter personal. Dacă nu este persoana vizată, ci o întreprindere, inclusiv o întreprindere profesională unipersonală, și nu utilizează produsul în comun în gospodărie, utilizatorul este considerat operator în înțelesul Regulamentului (UE) 2016/679. În consecință, un astfel de utilizator care intenționează să solicite în calitate de operator date cu caracter personal generate prin utilizarea unui produs sau a unui serviciu conex trebuie să aibă un temei juridic pentru prelucrarea datelor, astfel cum se prevede la articolul 6 alineatul (1) din Regulamentul (UE) 2016/679, cum ar fi consimțământul persoanei vizate sau interesul legitim. Acest utilizator ar trebui să se asigure că persoana vizată este informată în mod corespunzător cu privire la scopurile determinate, explicite și legitime pentru prelucrarea datelor respective, precum și cu privire la modul în care persoana vizată își poate exercita efectiv drepturile. În cazul în care sunt operatori asociați în înțelesul articolului 26 din Regulamentul (UE) 2016/679, deținătorul de date și utilizatorul trebuie să stabilească, în mod transparent, prin intermediul unui acord între ei, responsabilitățile care le revin în ceea ce privește respectarea regulamentului menționat. Ar trebui să se înțeleagă că, după ce datele au fost puse la dispoziție, un astfel de utilizator poate deveni, la rândul său, deținător de date, dacă îndeplinește criteriile prevăzute în prezentul regulament, supunându-se astfel obligațiilor de a pune la dispoziție datele în temeiul prezentului regulament.

(31)Datele generate prin utilizarea unui produs sau a unui serviciu conex ar trebui să fie puse la dispoziția unei părți terțe numai la cererea utilizatorului. Prezentul regulament completează în consecință dreptul prevăzut la articolul 20 din Regulamentul (UE) 2016/679. La articolul menționat se prevede dreptul persoanelor vizate de a primi date cu caracter personal care le privesc într-un format structurat, utilizat în mod curent și care poate fi citit automat și de a porta aceste date la alți operatori, în cazul în care datele respective sunt prelucrate în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) ori în temeiul unui contract prevăzut la articolul 6 alineatul (1) litera (b). Persoanele vizate au, la rândul lor, dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dar numai când acest lucru este fezabil din punct de vedere tehnic. La articolul 20 se precizează că sunt avute în vedere datele furnizate de persoana vizată, dar nu se precizează dacă acest lucru presupune un comportament activ din partea persoanei vizate sau dacă se aplică și în situațiile în care un produs sau un serviciu conex observă, prin concepția sa, comportamentul unei persoane vizate sau alte informații în legătură cu o persoană vizată în mod pasiv. Dreptul prevăzut în prezentul regulament completează dreptul de a primi și de a porta date cu caracter personal în temeiul articolului 20 din Regulamentul (UE) 2016/679 în mai multe moduri. Utilizatorii au astfel dreptul de a accesa și de a pune la dispoziția unei părți terțe orice fel de date generate prin utilizarea unui produs sau a unui serviciu conex, indiferent de caracterul personal al datelor respective, de distincția dintre date furnizate activ sau observate pasiv și de temeiul juridic al prelucrării. Spre deosebire de obligațiile tehnice prevăzute la articolul 20 din Regulamentul (UE) 2016/679, prezentul regulament impune și asigură fezabilitatea tehnică a accesului părților terțe la toate tipurile de date care intră în domeniul său de aplicare, indiferent dacă datele au sau nu caracter personal. De asemenea, prezentul regulament permite deținătorului de date să stabilească o compensație rezonabilă de plătit de către părțile terțe, dar nu și de către utilizator, pentru orice cost suportat pentru furnizarea accesului direct la datele generate de produsul utilizatorului. Dacă deținătorul de date și partea terță nu sunt în măsură să convină asupra unor condiții pentru un astfel de acces direct, persoana vizată nu ar trebui în niciun caz să fie împiedicată să își exercite drepturile prevăzute în Regulamentul (UE) 2016/679, inclusiv dreptul la portabilitatea datelor, recurgând la căile de atac prevăzute în regulamentul menționat. În acest context trebuie să se înțeleagă că, în conformitate cu Regulamentul (UE) 2016/679, un acord contractual nu permite prelucrarea unor categorii speciale de date cu caracter personal de către deținătorul datelor sau de către partea terță.

(32)Accesul la orice fel de date stocate în echipamente terminale și accesate din acestea intră în domeniul de aplicare al Directivei 2002/58/CE și necesită consimțământul abonatului sau al utilizatorului în înțelesul directivei menționate, cu excepția cazului în care este strict necesar pentru furnizarea unui serviciu al societății informaționale solicitat în mod explicit de către utilizator sau abonat (ori exclusiv în scopul transmiterii unei comunicații). Directiva 2002/58/CE („Directiva asupra confidențialității și comunicațiilor electronice”) (și propunerea de regulament asupra confidențialității și comunicațiilor electronice) protejează integritatea echipamentelor terminale ale utilizatorului în ceea ce privește utilizarea capacităților de prelucrare și stocare și colectarea de informații. Echipamentele din internetul obiectelor sunt considerate echipamente terminale dacă sunt conectate direct sau indirect la o rețea publică de comunicații.

(33)Pentru a se preveni exploatarea utilizatorilor, părțile terțe cărora le-au fost puse la dispoziție date la cererea utilizatorului ar trebui să prelucreze datele numai în scopurile convenite cu utilizatorul și să le partajeze cu o altă parte terță numai dacă acest lucru este necesar pentru furnizarea serviciului solicitat de utilizator.

(34)În concordanță cu principiul reducerii la minimum a datelor, partea terță ar trebui să acceseze numai informațiile suplimentare care sunt necesare pentru furnizarea serviciului solicitat de utilizator. După ce a primit acces la date, partea terță ar trebui să le prelucreze exclusiv în scopurile convenite cu utilizatorul, fără amestec din partea deținătorului datelor. Pentru utilizator ar trebui să fie la fel de ușor să refuze sau să întrerupă accesul părții terțe la date precum este să autorizeze accesul. Partea terță nu ar trebui să constrângă, să înșele sau să manipuleze utilizatorul în niciun fel, subminând sau slăbind autonomia, procesul decizional sau posibilitatea de alegere a utilizatorului, inclusiv prin intermediul unei interfețe digitale cu utilizatorul. În acest context, părțile terțe nu ar trebui să recurgă la așa-numite dark patterns (elemente de design manipulator) când își proiectează interfețele digitale. Elementele de design manipulator sunt tehnici de design prin care consumatorii sunt împinși sau înșelați să ia decizii care au consecințe negative pentru ei. Aceste tehnici de manipulare pot fi utilizate pentru convingerea utilizatorilor, în special a consumatorilor vulnerabili, să se angajeze în comportamente nedorite, pentru înșelarea utilizatorilor, prin împingerea lor să ia decizii privind tranzacțiile de divulgare a datelor, sau pentru influențarea nerezonabilă a procesului decizional al utilizatorilor serviciului, într-un mod care le subminează și slăbește autonomia, procesul decizional și posibilitatea de alegere. Practicile comerciale des întâlnite și legitime care sunt conforme cu dreptul Uniunii nu ar trebui considerate, în sine, drept elemente de design manipulator (dark patterns). Părțile terțe ar trebui să își respecte obligațiile care le revin în temeiul actelor legislative relevante ale Uniunii, în special cerințele prevăzute în Directiva 2005/29/CE, Directiva 2011/83/UE, Directiva 2000/31/CE și Directiva 98/6/CE.

(35)Partea terță ar trebui, de asemenea, să se abțină de la utilizarea datelor pentru stabilirea profilului persoanelor fizice, cu excepția cazului în care aceste activități de prelucrare sunt strict necesare pentru furnizarea serviciului solicitat de utilizator. Cerința ca datele să fie șterse când nu mai sunt necesare pentru scopul convenit cu utilizatorul completează dreptul la ștergerea datelor pe care îl are persoana vizată în temeiul articolului 17 din Regulamentul 2016/679. În cazul în care partea terță este furnizorul unui serviciu de intermediere de date în înțelesul [Legii privind guvernanța datelor], se aplică garanțiile pentru persoana vizată prevăzute în regulamentul respectiv. Partea terță poate utiliza datele pentru a dezvolta un produs sau un serviciu conex nou și inovator, dar nu pentru a dezvolta un produs concurent.

(36)Întreprinderile nou-înființate, întreprinderile mici și mijlocii și întreprinderile din sectoarele tradiționale ale căror capacități digitale sunt mai puțin dezvoltate întâmpină dificultăți în a obține acces la date relevante. Prin prezentul regulament se urmărește facilitarea accesului la date pentru aceste entități, asigurându-se, în același timp, că obligațiile corespunzătoare au un domeniu de aplicare cât mai proporțional posibil, pentru a se evita excesul de acoperire. În același timp, au apărut câteva întreprinderi foarte mari a căror putere economică este considerabilă în economia digitală, ca urmare a acumulării și agregării unor volume mari de date și a infrastructurii tehnologice pentru monetizarea acestora. Din aceste întreprinderi fac parte furnizori de servicii de platformă esențiale care controlează întregi ecosisteme de platformă în economia digitală și care nu pot fi confruntați sau contestați de operatorii de piață existenți sau noi. Prin [Regulamentul privind piețe contestabile și echitabile în sectorul digital (Actul legislativ privind piețele digitale)] se urmărește remedierea acestor ineficiențe și dezechilibre, permițându-i-se Comisiei să desemneze un furnizor drept „gatekeeper”, și se impun o serie de obligații pentru acești gatekeeperi desemnați, inclusiv interdicția de a combina anumite date fără consimțământ și obligația de a asigura dreptul efectiv la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din Regulamentul (UE) 2016/679. În concordanță cu [Regulamentul privind piețe contestabile și echitabile în sectorul digital (Actul legislativ privind piețele digitale)] și având în vedere capacitatea incontestabilă a acestor întreprinderi de a obține date, includerea unor astfel de întreprinderi-gatekeeper ca beneficiari ai dreptului de acces la date nu ar fi necesară pentru atingerea obiectivului prezentului regulament și, prin urmare, ar fi disproporționată în raport cu deținătorii de date cărora li s-au impus astfel de obligații. Cu alte cuvinte, o întreprindere care furnizează servicii de platformă esențiale și care a fost desemnată drept gatekeeper nu poate să solicite sau să primească acces la datele utilizatorilor generate prin utilizarea unui produs sau a unui serviciu conex ori de un asistent virtual pe baza dispozițiilor capitolului II din prezentul regulament. O întreprindere care furnizează servicii de platformă esențiale și care a fost desemnată drept gatekeeper în temeiul Actului legislativ privind piețele digitale ar trebui înțeleasă în sensul că include toate entitățile juridice ale unui grup de întreprinderi în care o singură entitate juridică furnizează un serviciu de platformă esențial. În plus, părțile terțe cărora le sunt puse la dispoziție date la cererea utilizatorului nu pot pune datele la dispoziția unui gatekeeper desemnat. De exemplu, partea terță nu îi poate subcontracta unui gatekeeper furnizarea serviciului. Cu toate acestea, părțile terțe nu sunt împiedicate astfel să utilizeze serviciile de prelucrare a datelor oferite de un gatekeeper desemnat. Această excludere a gatekeeperilor desemnați din domeniul de aplicare al dreptului de acces prevăzut în prezentul regulament nu împiedică aceste întreprinderi să obțină date prin alte mijloace legale.

(37)Având în vedere situația actuală a tehnologiei, este excesiv de împovărător să se impună obligații suplimentare în materie de proiectare în ceea ce privește produsele fabricate sau proiectate și serviciile conexe furnizate de microîntreprinderi și de întreprinderile mici. Acest caracter împovărător nu este valabil însă atunci când pentru fabricarea sau proiectarea unui produs a fost subcontractată o microîntreprindere sau întreprindere mică. În astfel de situații, întreprinderea care a subcontractat microîntreprinderea sau întreprinderea mică este în măsură să compenseze subcontractantul în mod corespunzător. O microîntreprindere sau o întreprindere mică poate totuși să fie supusă cerințelor stabilite în prezentul regulament în calitate de deținător de date, în cazul în care nu este fabricantul produsului sau furnizorul de servicii conexe.

(38)Prezentul regulament conține norme generale de acces pentru orice situație în care un deținător de date este obligat prin lege să pună date la dispoziția unui destinatar al datelor. Un astfel de acces ar trebui să se bazeze pe condiții echitabile, rezonabile, nediscriminatorii și transparente, pentru a se asigura coerența practicilor de partajare de date pe piața internă, inclusiv între sectoare, și pentru a se încuraja și promova practici echitabile de partajare de date, chiar și în domeniile în care nu se oferă un astfel de drept de acces la date. Aceste norme generale de acces nu se aplică în cazul obligațiilor de punere la dispoziție a datelor prevăzute în Regulamentul (UE) 2016/679. Partajarea voluntară de date rămâne neatinsă de aceste norme.

(39)Pe baza principiului libertății contractuale, părțile ar trebui să își păstreze libertatea de a negocia, în contractele lor, condițiile precise de punere la dispoziție a datelor, în cadrul normelor generale de acces pentru punerea la dispoziție a datelor.

(40)Pentru a se asigura echitatea condițiilor de acces obligatoriu la date pentru ambele părți, normele generale privind drepturile de acces la date ar trebui să conțină o trimitere la norma de evitare a clauzelor contractuale abuzive.

(41)Pentru compensarea lipsei de informații cu privire la condițiile diferitelor contracte, din cauza căreia destinatarului datelor îi este greu să evalueze caracterul nediscriminatoriu al condițiilor de punere la dispoziție a datelor, sarcina de a demonstra că o clauză contractuală nu este discriminatorie ar trebui să îi revină deținătorului datelor. Nu este considerată discriminare ilegală situația în care un deținător de date utilizează clauze contractuale diferite pentru punerea la dispoziție de date sau compensații diferite, dacă aceste diferențe sunt justificate de motive obiective. Aceste obligații nu aduc atingere Regulamentului (UE) 2016/679.

(42)Pentru stimularea investițiilor continue în generarea de date valoroase, inclusiv a investițiilor în instrumente tehnice relevante, prezentul regulament conține principiul potrivit căruia deținătorul de date poate solicita o compensație rezonabilă pentru cazurile în care este obligat legal să pună date la dispoziția destinatarului datelor. Aceste dispoziții nu ar trebui înțelese în sensul că se plătește pentru datele în sine, ci, în cazul microîntreprinderilor și al întreprinderilor mici sau mijlocii, pentru costurile suportate și investițiile necesare pentru punerea la dispoziție a datelor.

(43)În cazuri justificate, inclusiv când este necesar să se protejeze participarea consumatorilor și concurența sau să se promoveze inovarea pe anumite piețe, se pot prevedea, în dreptul Uniunii sau în legislația națională de punere în aplicare a dreptului Uniunii, compensații reglementate pentru punerea la dispoziție a anumitor tipuri de date.

(44)Pentru protejarea microîntreprinderilor și a întreprinderilor mici și mijlocii de sarcinile economice excesive, ca urmare a cărora le-ar fi greu din punct de vedere comercial să dezvolte și să gestioneze modele de afaceri inovatoare, compensația pentru punerea la dispoziție a datelor care urmează să fie plătită de acestea nu ar trebui să depășească costul direct al punerii la dispoziție a datelor și ar trebui să fie nediscriminatorie.

(45)Costurile directe pentru punerea la dispoziție a datelor sunt costurile necesare pentru reproducerea datelor, difuzarea acestora prin mijloace electronice și stocarea lor, dar nu și pentru colectarea sau producerea lor. Costurile directe pentru punerea la dispoziție a datelor ar trebui să se limiteze la partea care poate fi atribuită cererilor individuale, ținându-se seama de faptul că interfețele tehnice necesare sau software-ul și conectivitatea aferente vor trebui asigurate permanent de către deținătorul datelor. Înțelegerile pe termen lung dintre deținătorii de date și destinatarii datelor, de exemplu prin intermediul unui model de abonament, ar putea reduce costurile legate de punerea la dispoziție a datelor în tranzacțiile periodice sau repetitive din cadrul unei relații de afaceri.

(46)În cazul partajării de date între întreprinderi mari sau în cazul în care deținătorul datelor este o întreprindere mică sau mijlocie, iar destinatarul datelor este o întreprindere mare, nu este necesar să se intervină. În astfel de cazuri, se consideră că întreprinderile sunt capabile să negocieze orice compensație rezonabilă, ținând seama de factori precum volumul, formatul, natura, oferta sau cererea de date, precum și de costurile pentru colectarea datelor și punerea lor la dispoziția destinatarului datelor.

(47)Transparența este un principiu important pentru a se asigura că respectiva compensație solicitată de deținătorul de date este rezonabilă sau, în cazul în care destinatarul datelor este o microîntreprindere ori o întreprindere mică sau mijlocie, că respectiva compensație nu depășește costurile legate direct de punerea datelor la dispoziția destinatarului datelor și că ea poate fi atribuită cererii individuale Pentru a-i permite destinatarului datelor să evalueze și să verifice dacă respectiva compensație este conformă cu cerințele prezentului regulament, deținătorul de date ar trebui să furnizeze destinatarului datelor informațiile necesare pentru calcularea compensației cu un grad suficient de detaliere.

(48)Asigurarea accesului la modalități alternative de soluționare a litigiilor naționale și transfrontaliere care apar în legătură cu punerea la dispoziție a datelor ar trebui să fie în beneficiul deținătorilor de date și al destinatarilor datelor și, prin urmare, să consolideze încrederea în schimbul de date. În cazurile în care părțile nu pot conveni asupra unor condiții echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor, organismele de soluționare a litigiilor ar trebui să ofere părților o soluție simplă, rapidă și necostisitoare.

(49)Pentru a evita sesizarea a două sau mai multe organisme de soluționare a litigiilor pentru același litigiu, în special în context transfrontalier, ar trebui ca un organism de soluționare a litigiilor să poată respinge o cerere de soluționare a unui litigiu dacă aceasta a fost deja introdusă în fața unui alt organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(50)Părțile la procedurile de soluționare a litigiilor nu ar trebui să fie împiedicate să își exercite drepturile fundamentale la o cale de atac eficientă și la un proces echitabil. Prin urmare, părțile care decid să sesizeze un organism de soluționare a litigiilor nu ar trebui să fie private de dreptul de a introduce o cale de atac în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(51)În cazul în care una dintre părți se află într-o poziție de negociere mai puternică, există riscul ca partea respectivă să profite de o astfel de poziție în detrimentul celeilalte părți contractante atunci când negociază accesul la date și să facă accesul la date mai puțin viabil din punct de vedere comercial și uneori prohibitiv din punct de vedere economic. Astfel de dezechilibre contractuale dăunează în mod deosebit microîntreprinderilor și întreprinderilor mici și mijlocii, care nu dispun de o capacitate semnificativă de a negocia condițiile de acces la date, fiind posibil ca acestea să nu aibă altă opțiune, în afară de cea de a accepta clauzele contractuale sau de a renunța la contract. Prin urmare, clauzele contractuale abuzive care reglementează accesul la date și utilizarea acestora sau răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu ar trebui să fie obligatorii pentru microîntreprinderi și întreprinderile mici și mijlocii atunci când le-au fost impuse în mod unilateral acestora.

(52)În normele referitoare la clauzele contractuale ar trebui să se țină seama de principiul libertății contractuale, un concept esențial în relațiile dintre întreprinderi. Prin urmare, nu toate clauzele contractuale ar trebui să facă obiectul unui test privind caracterul abuziv, ci numai clauzele care sunt impuse în mod unilateral microîntreprinderilor și întreprinderilor mici și mijlocii. Sunt vizate situațiile în care singura opțiune este între a accepta clauze contractuale sau a renunța la contract, situații în care una dintre părți oferă o anumită clauză contractuală, iar microîntreprinderea ori întreprinderea mică sau mijlocie nu poate influența conținutul clauzei respective, în pofida încercării de a o negocia. O clauză contractuală care este pur și simplu oferită de una dintre părți și acceptată de microîntreprindere ori de întreprinderea mică sau mijlocie sau o clauză care este negociată și asupra căreia părțile contractante convin ulterior după aducerea unor modificări nu ar trebui considerată ca fiind impusă unilateral.

(53)În plus, normele privind clauzele contractuale abuzive ar trebui să se aplice numai elementelor unui contract care sunt legate de punerea la dispoziție a datelor, și anume clauzelor contractuale referitoare la accesul la date și la utilizarea acestora, precum și la răspunderea sau măsurile reparatorii pentru încălcarea și încetarea obligațiilor legate de date. Alte părți ale aceluiași contract, care nu au legătură cu punerea la dispoziție a datelor, nu ar trebui să facă obiectul testului privind caracterul abuziv prevăzut în prezentul regulament.

(54)Criteriile de identificare a clauzelor contractuale abuzive ar trebui să se aplice numai clauzelor contractuale excesive, în cazul cărora se abuzează de o poziție de negociere mai puternică. Marea majoritate a clauzelor contractuale care sunt mai avantajoase din punct de vedere comercial pentru o parte decât pentru cealaltă parte, inclusiv cele care sunt normale în contractele dintre întreprinderi, reprezintă o expresie normală a principiului libertății contractuale și continuă să se aplice.

(55)Dacă o clauză contractuală nu este inclusă în lista clauzelor care sunt întotdeauna considerate abuzive sau care sunt prezumate a fi abuzive, se aplică dispoziția generală privind caracterul abuziv. În această privință, clauzele din lista clauzelor abuzive ar trebui să servească drept etalon pentru interpretarea dispoziției generale privind caracterul abuziv. În sfârșit, modelele de clauze contractuale pentru contractele de partajare de date între întreprinderi, care urmează să fie elaborate și recomandate de Comisie, pot fi de asemenea utile pentru părțile comerciale atunci când acestea negociază contracte.

(56)În situații de nevoie excepțională, ar putea fi necesar ca organismele din sectorul public ori instituțiile, agențiile sau organele Uniunii să utilizeze date deținute de o întreprindere în cadrul unui răspuns la situații de urgență publică sau în alte cazuri excepționale. Organizațiile care desfășoară activități de cercetare și organizațiile care finanțează activități de cercetare ar putea fi, de asemenea, organizate ca organisme din sectorul public sau organisme reglementate de drept public. În vederea limitării sarcinii pentru întreprinderi, microîntreprinderile și întreprinderile mici ar trebui să fie scutite de obligația de a furniza date organismelor din sectorul public și instituțiilor, agențiilor sau organelor Uniunii în situații de nevoie excepțională.

(57)În cazul urgențelor publice, cum ar fi urgențele de sănătate publică, urgențele rezultate din degradarea mediului și dezastrele naturale majore, inclusiv cele agravate de schimbările climatice, precum și dezastrele majore antropogene, cum ar fi incidentele majore de securitate cibernetică, interesul public care rezultă din utilizarea datelor va prevala asupra intereselor deținătorilor de date de a dispune liber de datele pe care le dețin. Într-un astfel de caz, deținătorii de date ar trebui să fie obligați să pună datele la dispoziția organismelor din sectorul public sau a instituțiilor, agențiilor sau organelor Uniunii, la cererea acestora. Existența unei urgențe publice este determinată în conformitate cu procedurile respective din statele membre sau cu procedurile organizațiilor internaționale relevante.

(58)O nevoie excepțională poate apărea, de asemenea, atunci când un organism din sectorul public poate demonstra că datele sunt necesare fie pentru a se preveni o urgență publică, fie pentru a se sprijini redresarea în urma unei urgențe publice, în circumstanțe care sunt în mod rezonabil legate nemijlocit de urgența publică în cauză. În cazul în care nevoia excepțională nu este justificată de nevoia de a se răspunde la o situație de urgență publică, de a se preveni o astfel de situație sau de a se sprijini redresarea în urma unei astfel de situații, organismul din sectorul public ori instituția, agenția sau organul Uniunii ar trebui să demonstreze că, fără un acces la date și o utilizare a acestora în timp util, se află în imposibilitatea de a îndeplini în mod eficace o sarcină specifică în interesul public, sarcină care a fost prevăzută în mod explicit în lege. O astfel de nevoie excepțională poate apărea și în alte situații, de exemplu în ceea ce privește compilarea la timp a unor statistici oficiale, atunci când datele nu sunt disponibile în alt mod sau când sarcina respondenților statistici va fi redusă considerabil. În același timp, organismul din sectorul public ori instituția, agenția sau organul Uniunii ar trebui, în afara situațiilor de răspuns la o urgență publică, de prevenire a unei astfel de urgențe sau de sprijinire a redresării în urma unei astfel de urgențe, să demonstreze că nu există niciun alt mijloc de obținere a datelor solicitate și că datele nu pot fi obținute în timp util prin stabilirea obligațiilor necesare de furnizare a datelor într-un nou act legislativ.

(59)Prezentul regulament nu ar trebui să se aplice în cazul înțelegerilor voluntare de schimb de date între entități private și publice și nici să împiedice astfel de înțelegeri. Prezentul regulament nu ar trebui să aducă atingere obligațiilor deținătorilor de date de a furniza date motivate de nevoi care nu sunt de natură excepțională, în special atunci când gama de date și de deținători de date este cunoscută și când utilizarea datelor se poate desfășura cu regularitate, precum în cazul obligațiilor de raportare și al obligațiilor privind piața internă. Prezentul regulament nu ar trebui să aducă atingere nici cerințelor de acces la date pentru verificarea conformității cu normele aplicabile, inclusiv în cazurile în care organismele din sectorul public atribuie sarcina de verificare a conformității altor entități decât organismele din sectorul public.

(60)Pentru exercitarea atribuțiilor care le revin în domeniul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor și contravențiilor, al executării pedepselor și sancțiunilor administrative, precum și al colectării de date în scopuri fiscale sau vamale, organismele din sectorul public și instituțiile, agențiile și organele Uniunii ar trebui să se bazeze pe competențele prevăzute în legislația sectorială. În consecință, prezentul regulament nu aduce atingere instrumentelor de partajare, accesare și utilizare a datelor în respectivele domenii.

(61)Este necesar un cadru proporțional, limitat și previzibil la nivelul Uniunii pentru punerea datelor de către deținătorii de date, în cazul unor nevoi excepționale, la dispoziția organismelor din sectorul public și a instituțiilor, agențiilor sau organelor Uniunii, atât pentru a se asigura securitatea juridică, cât și pentru a se reduce la minimum sarcinile administrative pentru întreprinderi. În acest scop, cererile de date pe care organismele din sectorul public și instituțiile, agențiile și organele Uniunii le adresează deținătorilor de date ar trebui să fie transparente și proporționale în ceea ce privește obiectul și granularitatea lor. Scopul cererii și utilizarea preconizată a datelor solicitate ar trebui să fie specifice și explicate în mod clar, acordându-se în același timp entității solicitante flexibilitatea necesară pentru a-și putea îndeplini sarcinile în interesul public. Cererea ar trebui, de asemenea, să respecte interesele legitime ale întreprinderilor cărora li se adresează cererea. Sarcina pentru deținătorii de date ar trebui să fie redusă la minimum, prin obligarea entităților solicitante să respecte principiul înregistrării unice, care împiedică solicitarea de mai multe ori a acelorași date de către mai multe organisme din sectorul public ori instituții, agenții sau organe ale Uniunii în cazul în care datele respective sunt necesare pentru răspunsul la o urgență publică. Pentru a asigura transparența, cererile de date formulate de organismele din sectorul public și de instituțiile, agențiile sau organele Uniunii ar trebui să fie făcute publice fără întârzieri nejustificate de către entitatea care solicită datele și ar trebui să se asigure disponibilitatea publică online a tuturor cererilor justificate de o urgență publică.

(62)Obiectivul obligației de a furniza datele este de a se asigura că organismele din sectorul public și instituțiile, agențiile sau organele Uniunii dispun de cunoștințele necesare pentru a răspunde la urgențele publice, a preveni astfel de urgențe sau a se redresa în urma acestora ori pentru a menține capacitatea de îndeplinire a unor sarcini specifice prevăzute în mod explicit de lege. Este posibil ca datele obținute de respectivele entități să fie sensibile din punct de vedere comercial. Prin urmare, datele puse la dispoziție în temeiul prezentului regulament nu ar trebui să intre în domeniul de aplicare al Directivei (UE) 2019/1024 a Parlamentului European și a Consiliului 65 și nu ar trebui considerate date deschise disponibile pentru reutilizare de către părți terțe. Nu ar trebui să se aducă însă atingere aplicabilității Directivei (UE) 2019/1024 în cazul reutilizării statisticilor oficiale pentru efectuarea cărora au fost utilizate datele obținute în temeiul prezentului regulament, cu condiția ca reutilizarea să nu includă datele subiacente. Nu ar trebui să se aducă atingere nici posibilității de partajare a datelor pentru desfășurarea de activități de cercetare sau pentru elaborarea de statistici oficiale, sub rezerva îndeplinirii condițiilor prevăzute în prezentul regulament. Organismele din sectorul public ar trebui, de asemenea, să poată partaja date obținute în temeiul prezentului regulament cu alte organisme din sectorul public pentru abordarea nevoilor excepționale pentru care au fost solicitate datele.

(63)Deținătorii de date ar trebui să aibă posibilitatea de a solicita modificarea cererii formulate de un organism din sectorul public ori de o instituție, agenție sau organ al Uniunii ori anularea acesteia într-o perioadă de cinci sau 15 zile lucrătoare, în funcție de natura nevoii excepționale invocate în cerere. În cazul cererilor motivate de o urgență publică, ar trebui să existe motive justificate pentru nepunerea la dispoziție a datelor dacă se poate demonstra că cererea este similară sau identică cu o cerere depusă anterior în același scop de către un alt organism din sectorul public ori de către o altă instituție, altă agenție sau alt organ al Uniunii. Dacă un deținător de date respinge cererea sau solicită modificarea acesteia, respectivul deținător de date ar trebui să comunice organismului din sectorul public ori instituției, agenției sau organului Uniunii care solicită datele justificarea care stă la baza respingerii cererii. În cazul în care drepturile sui generis privind bazele de date prevăzute în Directiva 96/6/CE a Parlamentului European și a Consiliului 66 se aplică în legătură cu seturile de date solicitate, deținătorii de date ar trebui să își exercite drepturile într-un mod care să nu împiedice organismul din sectorul public și instituțiile, agențiile sau organele Uniunii să obțină datele ori să le partajeze în conformitate cu prezentul regulament.

(64)În cazul în care este strict necesar să se includă date cu caracter personal în datele puse la dispoziția unui organism din sectorul public ori a unei instituții, agenții sau organ al Uniunii, ar trebui să se respecte normele aplicabile în materie de protecție a datelor cu caracter personal, iar punerea la dispoziție a datelor și utilizarea lor ulterioară ar trebui să fie însoțite de garanții pentru drepturile și interesele persoanelor vizate de datele respective. Organismul care solicită datele ar trebui să demonstreze indispensabilitatea și scopurile specifice și limitate ale prelucrării. Deținătorul datelor ar trebui să depună eforturi rezonabile pentru a anonimiza datele sau, în cazul în care anonimizarea se dovedește imposibilă, să aplice mijloace tehnologice, cum ar fi pseudonimizarea și agregarea, înainte de a pune la dispoziție datele.

(65)Datele puse la dispoziția organismelor din sectorul public și a instituțiilor, agențiilor și organelor Uniunii pe baza unei nevoi excepționale ar trebui utilizate numai în scopul pentru care au fost solicitate, cu excepția cazului în care deținătorul de date care a pus la dispoziție datele și-a dat acordul expres ca datele să fie utilizate în alte scopuri. Datele ar trebui distruse când nu mai sunt necesare în scopul declarat în cerere, cu excepția cazului în care se convine altfel, iar deținătorul datelor ar trebui să fie informat în acest sens.

(66)Când reutilizează date furnizate de către deținătorii de date, organismele din sectorul public și instituțiile, agențiile sau organele Uniunii ar trebui să respecte atât legislația aplicabilă existentă, cât și obligațiile contractuale care îi revin deținătorului de date. În cazul în care, pentru îndeplinirea scopului în care au fost solicitate datele, este strict necesar ca organismelor din sectorul public ori instituțiilor, agențiilor sau organelor Uniunii să le fie divulgate secrete comerciale ale deținătorului de date, acestuia ar trebui să i se asigure confidențialitatea divulgării respective.

(67)Când scopul este protejarea unui bun public semnificativ, cum ar fi în cazul răspunsului la urgențele publice, organismul din sectorul public ori instituția, agenția sau organul Uniunii nu ar trebui să aibă sarcina de a compensa întreprinderile pentru datele obținute. Urgențele publice sunt evenimente rare și nu toate urgențele de acest fel necesită utilizarea de date deținute de întreprinderi. Este puțin probabil, așadar, ca activitățile comerciale ale deținătorilor de date să fie influențate în mod negativ ca urmare a faptului că organismele din sectorul public ori instituțiile, agențiile sau organele Uniunii recurg la prezentul regulament. Cu toate acestea, întrucât cazurile de nevoie excepțională, alta decât răspunsul la o urgență publică, ar putea fi mai frecvente, cum ar fi cazurile de prevenire a unei urgențe publice sau de redresare în urma unei urgențe publice, deținătorii de date ar trebui să aibă dreptul, în astfel de cazuri, la o compensație rezonabilă, care nu ar trebui să depășească costurile tehnice și organizatorice suportate pentru îndeplinirea cererii și marja rezonabilă necesară pentru punerea datelor la dispoziția organismului din sectorul public ori a instituției, agenției sau organului Uniunii. Compensația nu ar trebui înțeleasă în sensul că reprezintă o plată pentru datele în sine sau că este obligatorie.

(68)Organismul din sectorul public ori instituția, agenția sau organul Uniunii poate să partajeze datele pe care le-a obținut în urma cererii cu alte entități sau persoane, atunci când acest lucru este necesar pentru desfășurarea de activități de cercetare științifică sau de activități analitice pe care nu le poate efectua el însuși. Astfel de date pot, de asemenea, să fie partajate, în aceleași condiții, cu institutele naționale de statistică și cu Eurostat, în vederea compilării de statistici oficiale. Astfel de activități de cercetare ar trebui să fie compatibile însă cu scopul în care au fost solicitate datele, iar deținătorul datelor ar trebui să fie informat cu privire la partajarea ulterioară a datelor pe care le-a furnizat. Persoanele fizice care desfășoară activități de cercetare sau organizațiile de cercetare cu care aceste date ar putea fi partajate ar trebui să acționeze fie fără scop lucrativ, fie în contextul unei misiuni de interes public recunoscute de stat. Organizațiile asupra cărora societățile comerciale au o influență decisivă care permite societăților comerciale să exercite controlul datorită situațiilor structurale, ceea ce ar putea determina accesul preferențial al acestora la rezultatele cercetării, nu ar trebui să fie considerate organizații de cercetare în sensul prezentului regulament.

(69)Capacitatea clienților serviciilor de prelucrare a datelor, inclusiv a serviciilor de cloud și de edge, de a trece de la un serviciu de prelucrare a datelor la altul, menținând în același timp o funcționalitate minimă a serviciului, este o condiție esențială pentru o piață mai competitivă, cu bariere mai coborâte la intrarea pe piață pentru noii furnizori de servicii.

(70)Prin Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului, furnizorii de servicii sunt încurajați să redacteze și să aplice efectiv coduri de conduită în scop de autoreglementare care să cuprindă bune practici pentru, printre altele, facilitarea trecerii la alți furnizori de servicii de prelucrare a datelor și portarea datelor. Date fiind eficacitatea limitată a cadrelor de autoreglementare redactate ca răspuns și indisponibilitatea generală a unor standarde și interfețe deschise, este necesar să se adopte un set de obligații minime de reglementare pentru furnizorii de servicii de prelucrare a datelor, în vederea eliminării barierelor contractuale, economice și tehnice din calea trecerii efective de la un serviciu de prelucrare a datelor la altul.

(71)Serviciile de prelucrare a datelor ar trebui să acopere serviciile care permit, la cerere, accesul larg de la distanță la un bazin redimensionabil și elastic de resurse informatice care pot fi puse în comun și distribuite. Astfel de resurse informatice includ resurse precum rețelele, serverele ori alte infrastructuri virtuale sau fizice, sistemele de operare, software-urile, inclusiv instrumentele de dezvoltare de software, stocarea, aplicațiile și serviciile. Capacitatea clientului serviciului de prelucrare a datelor de a furniza în mod unilateral capacități de calcul autonome, cum ar fi ora serverului sau stocarea în rețea, fără nicio interacțiune umană din partea furnizorului de servicii, ar putea fi descrisă ca administrare la cerere. Termenul „acces larg la distanță” este utilizat pentru a descrie faptul că aceste capacități de calcul sunt furnizate prin rețea și accesate prin mecanisme care promovează utilizarea unor platforme eterogene, subțiri sau groase, pentru clienți (de la navigatoare web până la dispozitive mobile și stații de lucru). Termenul „redimensionabil” se referă la resursele informatice care se alocă flexibil de către furnizorul de servicii de prelucrare de date, indiferent de poziția geografică a resurselor, în vederea administrării fluctuațiilor de cerere. Termenul „bazin elastic” se referă la resursele informatice care sunt atribuite și transferate în funcție de cerere, în vederea înmulțirii sau reducerii rapide a resurselor disponibile în conformitate cu volumul de lucru. Sintagma „care pot fi puse în comun” descrie resursele informatice care sunt furnizate mai multor utilizatori care au acces comun la serviciu, dar prelucrarea se efectuează separat pentru fiecare utilizator, deși serviciul este furnizat de același echipament electronic. Termenul „distribuit” se referă la resursele informatice care sunt situate pe diferite calculatoare sau dispozitive în rețea și care comunică și se coordonează între ele prin transmiterea de mesaje. Sintagma „foarte distribuit” se referă la serviciile de prelucrare a datelor care implică prelucrarea datelor mai aproape de locul în care sunt generate sau colectate datele, de exemplu într-un dispozitiv conectat de prelucrare a datelor. Se așteaptă ca tehnica de calcul la margine (edge computing), care este o astfel de formă de prelucrare foarte distribuită a datelor, să genereze noi modele de afaceri și modele de furnizare a serviciilor de cloud, care ar trebui să fie deschise și interoperabile de la bun început.

(72)Prin prezentul regulament se urmărește facilitarea trecerii de la un serviciu de prelucrare a datelor la altul, ceea ce cuprinde toate condițiile și acțiunile necesare pentru ca un client să rezilieze un acord contractual având ca obiect un serviciu de prelucrare a datelor, să încheie unul sau mai multe contracte noi cu diferiți furnizori de servicii de prelucrare a datelor, să își porteze toate activele digitale, inclusiv datele, la ceilalți furnizori în cauză și să continue să le utilizeze în noul mediu, beneficiind în același timp de echivalența funcțională. Activele digitale se referă la elemente în format digital pentru care clientul are dreptul de utilizare, inclusiv date, aplicații, mașini virtuale și alte manifestări ale tehnologiilor de virtualizare, cum ar fi containerele. Echivalență funcțională înseamnă menținerea unui nivel minim de funcționalitate a unui serviciu după trecerea la alt furnizor și ar trebui să fie considerată fezabilă din punct de vedere tehnic ori de câte ori atât serviciile de prelucrare a datelor de origine, cât și cele de destinație acoperă (parțial sau integral) același tip de servicii. Metadatele generate de utilizarea de către client a unui serviciu ar trebui, de asemenea, să fie portabile în temeiul dispozițiilor din prezentul regulament referitoare la trecerea la alt furnizor.

(73)În cazul în care utilizează la rândul lor, în calitate de clienți, servicii de prelucrare a datelor furnizate de o parte terță, furnizorii de servicii de prelucrare a datelor vor beneficia ei înșiși de o mai mare eficacitate a trecerii la alt furnizor, fiind în același timp supuși invariabil obligațiilor din prezentul regulament în ceea ce privește propriile oferte de servicii.

(74)Furnizorii de servicii de prelucrare a datelor ar trebui să aibă obligația de a oferi toată asistența și tot sprijinul care sunt necesare pentru realizarea reușită și efectivă a procesului de trecere la alt furnizor, fără ca respectivii furnizori de servicii de prelucrare a datelor să fie obligați să dezvolte noi categorii de servicii în cadrul sau pe baza infrastructurii informatice a diferiților furnizori de servicii de prelucrare a datelor, pentru a garanta echivalența funcțională într-un mediu diferit de sistemele proprii. Cu toate acestea, furnizorii de servicii sunt obligați să ofere toată asistența și tot sprijinul care sunt necesare pentru realizarea efectivă a procesului de trecere la alt furnizor. Nu ar trebui să se aducă atingere drepturilor existente referitoare la rezilierea contractelor, cum ar fi cele introduse prin Regulamentul (UE) 2016/679 și Directiva (UE) 2019/770 a Parlamentului European și a Consiliului 67 .

(75)Pentru a facilita trecerea de la un serviciu de prelucrare a datelor la altul, furnizorii de servicii de prelucrare a datelor ar trebui să ia în considerare utilizarea unor instrumente de punere în aplicare și/sau de conformare, în special a celor publicate de Comisie sub forma unui cadru de reglementare referitor la serviciile de cloud. Mai precis, clauzele contractuale standard sunt benefice pentru sporirea încrederii în serviciile de prelucrare a datelor, pentru crearea unei relații mai echilibrate între utilizatori și furnizorii de servicii și pentru îmbunătățirea securității juridice în ceea ce privește condițiile care se aplică în cazul trecerii la alte servicii de prelucrare a datelor. În acest sens, utilizatorii și furnizorii de servicii ar trebui să ia în considerare utilizarea unor clauze contractuale standard elaborate de organismele sau grupurile de experți relevante instituite în temeiul dreptului Uniunii.

(76)Specificațiile deschise și standardele de interoperabilitate elaborate în conformitate cu punctele 3 și 4 din anexa II la Regulamentul (UE) nr. 1025/2021 în domeniul interoperabilității și al portabilității permit un mediu armonios de cloud cu furnizori multipli, care constituie o cerință esențială pentru inovarea deschisă în economia europeană a datelor. Dat fiind că procesele de piață nu au demonstrat capacitatea de a stabili specificații sau standarde tehnice care să faciliteze o interoperabilitate eficace în cloud la nivelurile PaaS (platformă ca serviciu) și SaaS (software ca serviciu), Comisia ar trebui să fie în măsură, pe baza prezentului regulament și în conformitate cu Regulamentul (UE) nr. 1025/2012, să solicite organismelor europene de standardizare să elaboreze astfel de standarde, în special pentru tipurile de servicii pentru care nu există încă astfel de standarde. În plus, Comisia va încuraja părțile de pe piață să elaboreze specificații deschise de interoperabilitate relevante. Comisia poate, prin intermediul actelor delegate, să impună utilizarea unor standarde europene de interoperabilitate sau a unor specificații deschise de interoperabilitate pentru anumite tipuri de servicii printr-o trimitere inclusă într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor. Se va face trimitere numai la standardele europene și specificațiile deschise de interoperabilitate care respectă criteriile precizate în prezentul regulament, criterii care au același înțeles precum cerințele de la punctele 3 și 4 din anexa II la Regulamentul (UE) nr. 1025/2021 și aspectele de interoperabilitate definite în ISO/IEC 19941:2017.

(77)Este posibil ca țările terțe să adopte acte cu putere de lege, norme administrative și alte acte juridice care vizează transferul direct de date fără caracter personal situate în afara granițelor lor, inclusiv în Uniune, și acordarea unui acces direct la acestea pentru administrațiile publice. Hotărârile instanțelor judecătorești sau ale tribunalelor ori deciziile altor autorități judiciare sau administrative, inclusiv ale autorităților de aplicare a legii, din țări terțe, prin care se solicită transferul de date fără caracter personal sau accesul la astfel de date ar trebui să fie executorii atunci când se bazează pe un acord internațional, cum ar fi un tratat de asistență juridică reciprocă în vigoare între țara terță solicitantă și Uniune sau un stat membru. Pot apărea însă și situații în care o cerere de transfer de date fără caracter personal sau de acces la astfel de date care decurge din legislația unei țări terțe intră în conflict cu o obligație de a proteja aceste date în temeiul dreptului Uniunii sau al dreptului intern, în special în ceea ce privește protecția drepturilor fundamentale ale persoanei fizice, cum ar fi dreptul la securitate și dreptul la o cale de atac eficientă, sau interesele fundamentale ale unui stat membru legate de securitatea sau apărarea națională, precum și protecția datelor sensibile din punct de vedere comercial, inclusiv protecția secretelor comerciale, și protecția drepturilor de proprietate intelectuală, inclusiv angajamentele sale contractuale privind confidențialitatea în conformitate cu această legislație. În absența unor acorduri internaționale care să reglementeze astfel de chestiuni, transferul sau accesul ar trebui să se permită numai după ce s-a verificat dacă sistemul juridic al țării terțe prevede stabilirea motivelor și proporționalității deciziei, dacă hotărârea judecătorească sau decizia are caracter specific și dacă obiecția motivată a destinatarului este supusă unei revizuiri de către o instanță competentă din țara terță, care este împuternicită să ia în considerare în mod corespunzător interesele juridice relevante ale furnizorului datelor în chestiune. Ori de câte ori condițiile cererii de acces la date a autorității țării terțe o permit, furnizorul de servicii de prelucrare a datelor ar trebui să poată informa clientul ale cărui date sunt solicitate pentru a verifica dacă există un potențial conflict între accesul respectiv și normele Uniunii sau normele naționale, cum ar fi cele referitoare la protecția datelor sensibile din punct de vedere comercial, inclusiv protecția secretelor comerciale, a drepturilor de proprietate intelectuală și a angajamentelor contractuale privind confidențialitatea.

(78)Pentru promovarea unei mai mari încrederi în date, este important să fie puse în aplicare, în măsura posibilă pentru asigurarea controlului asupra datelor, garanții în ceea ce privește cetățenii, sectorul public și întreprinderile din Uniune. În plus, ar trebui să fie respectate dreptul, valorile și standardele Uniunii în ceea ce privește securitatea, protecția datelor și a vieții private și protecția consumatorilor (dar nu numai). În vederea prevenirii accesului ilegal la date fără caracter personal, furnizorii de servicii de prelucrare a datelor care intră sub incidența prezentului instrument, cum ar fi serviciile de cloud și de edge, ar trebui să ia toate măsurile rezonabile pentru a preveni accesul la sistemele în care sunt stocate date fără caracter personal, inclusiv, când este relevant, prin criptarea datelor, supunerea frecventă la audituri, respectarea verificată a unor sisteme relevante de certificare a securității și modificarea politicilor de întreprindere.

(79)Standardizarea și interoperabilitatea semantică ar trebui să joace un rol esențial în furnizarea de soluții tehnice pentru asigurarea interoperabilității. Pentru a se facilita conformitatea cu cerințele de interoperabilitate, este necesar să se prevadă prezumția de conformitate în cazul soluțiilor de interoperabilitate care îndeplinesc standarde armonizate sau părți din acestea în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului. Comisia ar trebui să adopte specificații comune în domeniile în care nu există standarde armonizate sau în care standardele existente nu sunt suficiente pentru îmbunătățirea într-o mai mare măsură a interoperabilității în ceea ce privește spațiile europene comune ale datelor, interfețele de programare a aplicațiilor, trecerea la cloud și contractele inteligente. În plus, ar putea rămâne să fie adoptate specificații comune în diferitele sectoare, în conformitate cu dreptul Uniunii sau cu dreptul sectorial național, pe baza nevoilor specifice ale sectoarelor respective. Specificațiile tehnice de interoperabilitate semantică ar trebui să cuprindă, de asemenea, structuri și modele de date reutilizabile (sub formă de vocabulare de bază), ontologii, profil de aplicare a metadatelor, date de referință sub formă de vocabular de bază, taxonomii, liste de coduri, tabele de referințe citate, tezaure. În plus, Comisia ar trebui să aibă posibilitatea să mandateze elaborarea unor standarde armonizate de interoperabilitate a serviciilor de prelucrare a datelor.

(80)Pentru a se promova interoperabilitatea contractelor inteligente în aplicațiile de partajare de date, este necesar să se stabilească cerințe esențiale referitoare la contractele inteligente pentru profesioniștii care creează contracte inteligente pentru alții sau care integrează astfel de contracte inteligente în aplicații care sprijină punerea în aplicare a acordurilor de partajare de date. Pentru a se facilita conformitatea unor astfel de contracte inteligente cu respectivele cerințe esențiale, este necesar să se prevadă prezumția de conformitate în cazul contractelor inteligente care îndeplinesc standarde armonizate sau părți din acestea în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului.

(81)Pentru a asigura punerea în aplicare eficientă a prezentului regulament, statele membre ar trebui să desemneze una sau mai multe autorități competente. Dacă un stat membru desemnează mai multe autorități competente, statul membru respectiv ar trebui să desemneze și o autoritate competentă coordonatoare. Autoritățile competente ar trebui să coopereze între ele. Autoritățile responsabile cu supravegherea respectării protecției datelor și autoritățile competente desemnate în temeiul legislației sectoriale ar trebui să aibă responsabilitatea de aplicare a prezentului regulament în domeniile lor de competență.

(82)Pentru a-și exercita drepturile prevăzute în prezentul regulament, persoanele fizice și juridice ar trebui să aibă dreptul de a introduce o cale de atac în cazul în care le sunt încălcate drepturile prevăzute în prezentul regulament, prin depunerea de plângeri la autoritățile competente. Respectivele autorități ar trebui să fie obligate să coopereze pentru a asigura că plângerile sunt tratate și soluționate în mod corespunzător. Pentru a se putea recurge la mecanismul rețelei de cooperare în materie de protecție a consumatorilor și pentru a se crea posibilitatea unor acțiuni în reprezentare, prin prezentul regulament se modifică anexele la Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului 68 și Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului 69 .

(83)Autoritățile competente ale statelor membre ar trebui să se asigure că încălcările obligațiilor prevăzute în prezentul regulament se sancționează. În acest sens, autoritățile ar trebui să țină seama de natura, gravitatea, recurența și durata încălcării, având în vedere interesul public în cauză, raza de acțiune și tipul activităților desfășurate, precum și capacitatea economică a autorului încălcării. Autoritățile ar trebui să țină seama de caracterul sistematic sau recurent al neîndeplinirii de către autorul încălcării a obligațiilor care îi revin în temeiul prezentului regulament. Pentru a ajuta întreprinderile să redacteze și să negocieze contracte, Comisia ar trebui să elaboreze și să recomande modele de clauze contractuale neobligatorii pentru contractele de partajare de date între întreprinderi, ținând seama, când este necesar, de condițiile din diferitele sectoare și de practicile existente în materie de mecanisme voluntare de partajare de date. Aceste modele de clauze contractuale ar trebui să constituie, în primul rând, un instrument practic care să ajute în special întreprinderile mai mici să încheie un contract. Când sunt utilizate pe scară largă și în mod integrat, aceste modele de clauze contractuale ar trebui să aibă și efectul benefic de a influența modul în care sunt concepute contractele de acces la date și de utilizare a acestora și, prin urmare, să conducă, în sens mai larg, la relații contractuale mai echitabile atunci când se accesează și se partajează date.

(84)Pentru a se elimina riscul ca deținătorii datelor din baze de date obținute sau generate prin intermediul unor componente fizice, cum ar fi senzorii, ai unui produs conectat și ai unui serviciu conex să invoce dreptul sui generis prevăzut la articolul 7 din Directiva 96/9/CE în cazul în care astfel de baze de date nu îndeplinesc criteriile pentru invocarea dreptului sui generis, împiedicând astfel exercitarea efectivă a dreptului utilizatorilor de a accesa și utiliza date și a dreptului de a partaja date cu părți terțe, astfel cum sunt prevăzute în prezentul regulament, ar trebui să se indice clar în prezentul regulament că dreptul sui generis nu se aplică în cazul unor astfel de baze de date, deoarece nu ar fi îndeplinite condițiile de protecție.

(85)Pentru a se ține seama de aspectele tehnice ale serviciilor de prelucrare a datelor, ar trebui să se delege Comisiei competența de a adopta, în conformitate cu articolul 290 din TFUE, acte de completare a prezentului regulament în vederea introducerii unui mecanism de monitorizare a taxelor de trecere la alt furnizor impuse pe piață de furnizorii de servicii de prelucrare a datelor, în vederea detalierii cerințelor esențiale de interoperabilitate pentru operatorii spațiilor de date și furnizorii de servicii de prelucrare a datelor și în vederea publicării trimiterii la specificații deschise de interoperabilitate și la standarde europene de interoperabilitate a serviciilor de prelucrare a datelor. Este deosebit de important ca, în cadrul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare 70 . În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(86)Pentru a se asigura condiții uniforme de punere în aplicare a prezentului regulament, ar trebui să se confere Comisiei competențe de executare în ceea ce privește completarea prezentului regulament pentru adoptarea de specificații comune în ceea ce privește interoperabilitatea spațiilor europene comune ale datelor și a partajării de date, trecerea de la un serviciu de prelucrare a datelor la altul, interoperabilitatea contractelor inteligente, precum și mijloacele tehnice, cum ar fi interfețele de programare a aplicațiilor, astfel încât să se permită transmiterea de date între părți, inclusiv în mod continuu sau în timp real, și pentru vocabularele de bază ale interoperabilității semantice, și pentru adoptarea de specificații comune în ceea ce privește contractele inteligente. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului 71 .

(87)Prezentul regulament nu ar trebui să aducă atingere dispozițiilor specifice ale actelor Uniunii din domeniul partajării de date între întreprinderi, între întreprinderi și consumatori și între întreprinderi și organismele din sectorul public, care au fost adoptate înainte de data adoptării prezentului regulament. Pentru a asigura coerența și funcționarea armonioasă a pieței interne, Comisia ar trebui, când este relevant, să evalueze situația în ceea ce privește relația dintre prezentul regulament și actele care au fost adoptate înainte de data adoptării prezentului regulament și care reglementează partajarea de date, analizând necesitatea alinierii respectivelor dispoziții specifice la prezentul regulament. Prezentul regulament nu ar trebui să aducă atingere normelor care abordează nevoi specifice sectoarelor individuale sau domeniilor de interes public. Astfel de norme pot include cerințe suplimentare privind aspectele tehnice ale accesului la date, cum ar fi interfețele pentru accesul la date, sau modul în care ar putea fi asigurat accesul la date, de exemplu direct din produs sau prin intermediul serviciilor de intermediere de date. Astfel de norme pot include, de asemenea, limite ale drepturilor deținătorilor de date de a accesa sau utiliza datele utilizatorilor sau alte aspecte care depășesc sfera accesului la date și a utilizării acestora, cum ar fi aspectele de guvernanță. Prezentul regulament nu ar trebui să aducă atingere nici unor eventuale norme mai specifice în contextul dezvoltării spațiilor europene comune ale datelor.

(88)Prezentul regulament nu ar trebui să aducă atingere aplicării normelor în materie de concurență, în special articolelor 101 și 102 din tratat. Măsurile prevăzute în prezentul regulament nu ar trebui să fie utilizate pentru restrângerea concurenței într-un mod contrar tratatului.

(89)Pentru a se permite actorilor economici să se adapteze la noile norme prevăzute în prezentul regulament, acestea ar trebui să se aplice după un an de la intrarea în vigoare a regulamentului.

(90)Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 din Regulamentul (UE) 2018/1725 și au emis un aviz comun la [XX XX 2022],

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I
DISPOZIȚII GENERALE

Articolul 1
Obiect și domeniu de aplicare

1.În prezentul regulament sunt stabilite norme armonizate privind punerea de date generate prin utilizarea unui produs sau a unui serviciu conex la dispoziția utilizatorului produsului sau serviciului respectiv, privind punerea de date la dispoziția destinatarilor datelor de către deținătorii de date și privind punerea de date la dispoziția organismelor din sectorul public ori a instituțiilor, agențiilor sau organelor Uniunii de către deținătorii de date, în cazul în care există o nevoie excepțională, pentru îndeplinirea unei sarcini de interes public.

2.Prezentul regulament se aplică:

(a)fabricanților de produse și furnizorilor de servicii conexe introduse pe piață în Uniune și utilizatorilor unor astfel de produse sau servicii;

(b)deținătorilor de date care pun date la dispoziția destinatarilor datelor din Uniune;

(c)destinatarilor datelor din Uniune cărora le sunt puse la dispoziție date;

(d)organismelor din sectorul public și instituțiilor, agențiilor sau organelor Uniunii care înaintează deținătorilor de date o cerere de punere la dispoziție de date în cazul în care există o nevoie excepțională de datele respective pentru îndeplinirea unei sarcini de interes public și deținătorilor de date care furnizează datele respective ca răspuns la o astfel de cerere;

(e)furnizorilor de servicii de prelucrare a datelor care oferă astfel de servicii clienților din Uniune.

3.În cazul datelor cu caracter personal prelucrate în legătură cu drepturile și obligațiile stabilite în prezentul regulament se aplică dreptul Uniunii privind protecția datelor cu caracter personal, a vieții private și a confidențialității comunicațiilor și a integrității echipamentelor terminale. Prezentul regulament nu aduce atingere aplicabilității dreptului Uniunii privind protecția datelor cu caracter personal, în special a Regulamentului (UE) 2016/679 și a Directivei 2002/58/CE, nici atribuțiilor și competențelor autorităților de supraveghere. În măsura în care sunt vizate drepturile stabilite în capitolul II din prezentul regulament și în cazul în care utilizatorii sunt persoanele vizate ale datelor cu caracter personal cărora li se aplică drepturile și obligațiile prevăzute în capitolul respectiv, dispozițiile prezentului regulament completează dreptul la portabilitatea datelor prevăzut la articolul 20 din Regulamentul (UE) 2016/679.

4.Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd partajarea, accesarea și utilizarea de date în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, printre care Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului 72 și {propunerile privind probele electronice [COM(2018) 225 și 226]}, după adoptare, și nici cooperării internaționale în domeniul respectiv. Prezentul regulament nu aduce atingere activităților de colectare de date, partajare de date, acces la date și utilizare de date, desfășurate în temeiul Directivei (UE) 2015/849 a Parlamentului European și a Consiliului privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului și al Regulamentului (UE) 2015/847 al Parlamentului European și al Consiliului privind informațiile care însoțesc transferurile de fonduri. Prezentul regulament nu aduce atingere competențelor pe care le au statele membre, în conformitate cu dreptul Uniunii, în ceea ce privește activitățile legate de siguranța publică, apărare, securitatea națională, administrația vamală și fiscală și sănătatea și siguranța cetățenilor.

Articolul 2
Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

(1)„date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale;

(2)„produs” înseamnă un bun corporal mobil, inclusiv când este încorporat într-un bun imobil, care obține, generează sau colectează date privind utilizarea sau mediul său, care are capacitatea de a comunica date prin intermediul unui serviciu de comunicații electronice accesibil publicului și a cărui funcție principală nu este stocarea și prelucrarea datelor;

(3)„serviciu conex” înseamnă un serviciu digital, inclusiv un software, care este astfel încorporat într-un produs sau interconectat cu acesta, încât absența sa ar împiedica produsul să își îndeplinească una dintre funcții;

(4)„asistenți virtuali” înseamnă software-uri care pot prelucra cereri, sarcini sau întrebări, exprimate inclusiv în formă audio, prin text, prin gesturi sau prin mișcări, și care, pe baza respectivelor cereri, sarcini sau întrebări, oferă acces la propriile servicii și la servicii ale unor părți terțe sau control asupra propriilor dispozitive și a dispozitivelor unor părți terțe;

(5)„utilizator” înseamnă o persoană fizică sau juridică care deține sau are în folosință prin închiriere sau leasing un produs sau care primește un serviciu;

(6)„deținător de date” înseamnă o persoană fizică sau juridică ce, în conformitate cu prezentul regulament, cu dreptul aplicabil al Uniunii sau cu legislația națională de punere în aplicare a dreptului Uniunii, are dreptul sau obligația ori, în cazul datelor fără caracter personal și prin controlul proiectării tehnice a produsului și a serviciilor conexe, are capacitatea de a pune la dispoziție anumite date;

(7)„destinatar al datelor” înseamnă o persoană fizică sau juridică acționând în scopuri legate de activitatea sa comercială, economică, artizanală sau profesională, care este diferită de utilizatorul unui produs sau al unui serviciu conex, putând fi și o parte terță, și căreia deținătorul de date îi pune la dispoziție date în urma unei cereri primite de la utilizator sau în conformitate cu o obligație juridică prevăzută în dreptul Uniunii sau în legislația națională de punere în aplicare a dreptului Uniunii;

(8)„întreprindere” înseamnă o persoană fizică sau juridică acționând, în cadrul contractelor și practicilor care intră în domeniul de aplicare al prezentului regulament, în scopuri care au legătură cu activitatea sa comercială, economică, artizanală sau profesională;

(9) „organism din sectorul public” înseamnă autoritățile naționale, regionale sau locale ale statelor membre și organismele de drept public ale statelor membre sau asociațiile formate din una sau mai multe astfel de autorități ori din unul sau mai multe astfel de organisme;

(10)„urgență publică” înseamnă o situație excepțională care are efecte negative asupra populației Uniunii, a unui stat membru sau a unei părți a acestuia, cu un risc de repercusiuni grave și de durată asupra condițiilor de viață sau a stabilității economice ori de degradare substanțială a activelor economice din Uniune ori din statul sau statele membre relevante;

(11)„prelucrare” înseamnă orice operațiune sau serie de operațiuni efectuate asupra datelor sau a seturilor de date în format electronic, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

(12)„serviciu de prelucrare a datelor” înseamnă un serviciu digital, diferit de un serviciu de conținut online astfel cum este definit la articolul 2 punctul 5 din Regulamentul (UE) 2017/1128, care este furnizat unui client și permite administrarea la cerere și accesul larg de la distanță la un bazin redimensionabil și elastic de resurse informatice care pot fi puse în comun, cu un caracter centralizat, distribuit sau foarte distribuit;

(13)„tip de servicii” înseamnă un set de servicii de prelucrare a datelor care au același obiectiv principal și același model de bază de serviciu de prelucrare a datelor;

(14)„echivalență funcțională” înseamnă menținerea, după procesul de trecere la alt furnizor, a unui nivel minim de funcționalitate în mediul noului serviciu de prelucrare a datelor, astfel încât, în urma unei acțiuni inițiate de utilizator asupra unor elemente centrale ale serviciului, serviciul de destinație să asigure același răspuns la aceeași performanță și la același nivel de securitate, reziliență operațională și calitate a serviciului ca serviciul de origine în momentul rezilierii contractului;

(15)„specificații deschise de interoperabilitate” înseamnă specificații tehnice TIC, astfel cum sunt definite în Regulamentul (UE) nr. 1025/2012, care sunt orientate spre performanța interoperabilității serviciilor de prelucrare a datelor;

(16)„contract inteligent” înseamnă un program informatic stocat într-un sistem de registru electronic, al cărui rezultat de executare este înregistrat în registrul electronic;

(17)„registru electronic” înseamnă un registru electronic în înțelesul articolului 3 punctul 53 din Regulamentul (UE) nr. 910/2014;

(18)„specificații comune” înseamnă un document, diferit de un standard, ce conține soluții tehnice care oferă un mijloc de respectare a anumitor cerințe și obligații stabilite în prezentul regulament;

(19)„interoperabilitate” înseamnă capacitatea a două sau mai multe spații de date sau rețele de comunicații, sisteme, produse, aplicații sau componente de a schimba și de a utiliza date în vederea îndeplinirii funcțiilor lor;

(20)„standard armonizat” înseamnă un standard armonizat astfel cum este definit la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012.

CAPITOLUL II
PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI

Articolul 3
Obligația de asigura caracterul accesibil al datelor generate prin utilizarea de produse sau de servicii conexe

1.Produsele se proiectează și se fabrică și serviciile conexe se furnizează astfel încât datele generate prin utilizarea lor să fie, în mod implicit, accesibile utilizatorului cu ușurință, în mod securizat și, când este relevant și indicat, în mod direct.

2.Înainte de încheierea unui contract de cumpărare, de închiriere sau de leasing al unui produs sau al unui serviciu conex, utilizatorului i se furnizează, într-un format clar și inteligibil, cel puțin următoarele informații:

(a)natura și volumul datelor care ar putea fi generate prin utilizarea produsului sau a serviciului conex;

(b)dacă este probabil ca datele să fie generate în mod continuu și în timp real;

(c)modul în care utilizatorul poate accesa datele respective;

(d)dacă fabricantul care furnizează produsul sau furnizorul de servicii care furnizează serviciul conex intenționează să utilizeze datele el însuși sau să permită unei părți terțe să utilizeze datele și, în caz afirmativ, scopurile în care vor fi utilizate datele respective;

(e)dacă vânzătorul, cel care închiriază sau locatorul este deținătorul datelor și, în caz contrar, identitatea deținătorului de date, cum ar fi denumirea sa comercială și adresa geografică la care este stabilit;

(f)mijloacele de comunicare prin care utilizatorul poate să contacteze rapid deținătorul datelor și să comunice eficient cu deținătorul datelor;

(g)modul în care utilizatorul poate solicita ca datele să fie partajate cu un terț;

(h)dreptul utilizatorului de a depune o plângere privind încălcarea dispozițiilor prezentului capitol la autoritatea competentă menționată la articolul 31.

Articolul 4
Dreptul utilizatorilor de a accesa și utiliza date generate prin utilizarea de produse sau de servicii conexe

1.În cazul în care datele nu pot fi accesate direct de către utilizator din produs, deținătorul de date pune la dispoziția utilizatorului datele generate prin utilizarea de către acesta a unui produs sau a unui serviciu conex, fără întârzieri nejustificate, fără taxe și, când este cazul, în mod continuu și în timp real. Această punere la dispoziție se realizează pe baza unei simple cereri formulate prin mijloace electronice, în cazul în care acest lucru este fezabil din punct de vedere tehnic.

2.Deținătorul de date nu poate să solicite utilizatorului să furnizeze alte informații în plus față de cele necesare pentru verificarea calității de utilizator în temeiul alineatului (1). Deținătorul de date nu poate să păstreze nicio informație privind accesul utilizatorului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a utilizatorului și pentru securitatea și întreținerea infrastructurii de date.

3.Secretele comerciale se divulgă numai dacă să se iau toate măsurile specifice necesare pentru păstrarea confidențialității secretelor comerciale, în special în ceea ce privește părțile terțe. Deținătorul de date și utilizatorul pot să convină asupra unor măsuri de păstrare a confidențialității datelor partajate, în special în ceea ce privește părțile terțe.

4.Utilizatorul nu poate să utilizeze datele obținute în urma unei cereri menționate la alineatul (1) pentru dezvoltarea unui produs care concurează cu produsul de la care provin datele.

5.În cazul în care utilizatorul nu este o persoană vizată, eventualele date cu caracter personal generate prin utilizarea unui produs sau a unui serviciu conex se pun la dispoziția utilizatorului de către deținătorul datelor numai dacă există un temei juridic valabil în temeiul articolului 6 alineatul (1) din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din Regulamentul (UE) 2016/679.

6.Deținătorul de date poate să utilizeze eventualele date fără caracter personal generate prin utilizarea unui produs sau a unui serviciu conex numai pe baza unui acord contractual cu utilizatorul. Deținătorul de date nu poate să utilizeze astfel de date generate prin utilizarea produsului sau a serviciului conex pentru a deriva, în legătură cu situația economică, activele sau metodele de producție ale utilizatorului ori cu utilizarea de către utilizator, informații care ar putea submina poziția comercială a utilizatorului pe piețele pe care acesta își desfășoară activitatea.

Articolul 5
Dreptul de a partaja date cu părți terțe

1.La cererea unui utilizator sau a unei părți care acționează în numele unui utilizator, deținătorul de date pune datele generate prin utilizarea unui produs sau a unui serviciu conex la dispoziția unei terțe părți, fără întârzieri nejustificate, fără taxe pentru utilizator, la aceeași calitate precum cea de care dispune deținătorul de date și, când este cazul, în mod continuu și în timp real.

2.O întreprindere care furnizează servicii de platformă esențiale pentru care unul sau mai multe astfel de servicii au fost desemnate drept gatekeeper, în temeiul articolului [...] din [Regulamentul XXX privind piețe contestabile și echitabile în sectorul digital (Actul legislativ privind piețele digitale) 73 ], nu poate fi o parte terță eligibilă în temeiul prezentului articol și, prin urmare, nu poate:

(a)să solicite sau să ofere stimulente comerciale unui utilizator în vreun mod, cum ar fi prin acordarea de compensații pecuniare sau de orice altă natură, pentru a pune la dispoziția unuia dintre serviciile sale datele pe care utilizatorul le-a obținut în urma unei cereri formulate în temeiul articolului 4 alineatul (1);

(b)să solicite sau să ofere stimulente comerciale unui utilizator pentru ca acesta să adreseze deținătorului de date o cerere de punere de date la dispoziția unuia dintre serviciile sale, în temeiul alineatului (1) din prezentul articol;

(c)să primească de la un utilizator date pe care acesta le-a obținut în urma unei cereri formulate în temeiul articolului 4 alineatul (1).

3.Utilizatorul sau partea terță nu poate avea obligația de a furniza informații în plus față de cele necesare pentru verificarea calității de utilizator sau de parte terță în temeiul alineatului (1). Deținătorul de date nu poate să păstreze nicio informație privind accesul părții terțe la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a părții terțe și pentru securitatea și întreținerea infrastructurii de date.

4.Partea terță nu poate să recurgă, în vederea obținerii accesului la date, la mijloace coercitive sau să abuzeze de lacune evidente din infrastructura tehnică a deținătorului de date destinată să protejeze datele.

5.Deținătorul de date nu poate să utilizeze niciun fel de date fără caracter personal generate prin utilizarea produsului sau a serviciului conex pentru a deriva, în legătură cu situația economică, activele sau metodele de producție ale părții terțe ori cu utilizarea de către partea terță, informații care ar putea submina poziția comercială a părții terțe pe piețele pe care aceasta își desfășoară activitatea, cu excepția cazului în care partea terță și-a dat consimțământul pentru o astfel de utilizare și are posibilitatea tehnică de a-și retrage consimțământul în orice moment.

6.În cazul în care utilizatorul nu este o persoană vizată, eventualele date cu caracter personal generate prin utilizarea unui produs sau a unui serviciu conex se pun la dispoziție numai dacă există un temei juridic valabil în temeiul articolului 6 alineatul (1) din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din Regulamentul (UE) 2016/679.

7.Faptul că deținătorul datelor și partea terță nu reușesc să convină asupra unor modalități de transmitere a datelor nu poate să împiedice, să prevină sau să perturbe exercitarea drepturilor persoanei vizate, astfel cum sunt prevăzute în Regulamentul (UE) 2016/679, și, în special, a dreptului la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din regulamentul menționat.

8.Secretele comerciale se divulgă părților terțe numai în măsura în care ele sunt strict necesare pentru îndeplinirea scopului convenit între utilizator și partea terță și partea terță ia toate măsurile specifice necesare convenite între deținătorul datelor și partea terță pentru a păstra confidențialitatea secretului comercial. Într-un astfel de caz, natura de secret comercial a datelor și măsurile de păstrare a confidențialității se specifică în acordul dintre deținătorul datelor și partea terță.

9.Dreptul menționat la alineatul (1) nu poate să producă efecte negative asupra drepturilor altora în materie de protecție a datelor.

Articolul 6
Obligațiile părților terțe care primesc date la cererea utilizatorului

1.O parte terță prelucrează datele care îi sunt puse la dispoziție în temeiul articolului 5 numai în scopurile și în condițiile convenite cu utilizatorul și sub rezerva drepturilor persoanei vizate, dacă datele în chestiune sunt date cu caracter personal, și șterge datele când acestea nu mai sunt necesare pentru scopul convenit.

2.Partea terță nu poate:

(a)să constrângă, să înșele sau să manipuleze utilizatorul în niciun fel, subminând sau slăbind autonomia, procesul decizional sau posibilitatea de alegere a utilizatorului, cum ar fi prin intermediul unei interfețe digitale cu utilizatorul;

(b)să utilizeze datele pe care le primește pentru crearea de profiluri ale persoanelor fizice în înțelesul articolului 4 punctul 4 din Regulamentul (UE) 2016/679, cu excepția cazului în care acest lucru este necesar pentru furnizarea serviciul solicitat de utilizator;

(c)să pună la dispoziția altei părți terțe datele pe care le primește, în formă brută, agregată sau derivată, cu excepția cazului în care acest lucru este necesar pentru furnizarea serviciului solicitat de utilizator;

(d)să pună datele pe care la primește la dispoziția unei întreprinderi care furnizează servicii de platformă esențiale pentru care unul sau mai multe astfel de servicii au fost desemnate drept gatekeeper, în temeiul articolului [...] din [Regulamentul privind piețele contestabile și echitabile în sectorul digital (Actul legislativ privind piețele digitale)];

(e)să utilizeze datele pe care le primește pentru dezvoltarea unui produs care concurează cu produsul din care provin datele accesate sau pentru partajarea datelor cu altă parte terță în scopul respectiv;

(f)să împiedice utilizatorul, inclusiv prin angajamente contractuale, să pună datele pe care le primește la dispoziția altor părți.

Articolul 7
Domeniul de aplicare al obligațiilor de partajare de date între întreprinderi și consumatori și între întreprinderi

1.Obligațiile din prezentul capitol nu se aplică în cazul datelor generate prin utilizarea de produse fabricate sau de servicii conexe furnizate de întreprinderi care îndeplinesc criteriile pentru a fi considerate microîntreprinderi sau întreprinderi mici, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE, cu condiția ca respectivele întreprinderi să nu aibă întreprinderi partenere sau întreprinderi afiliate, astfel cum sunt definite la articolul 3 din anexa la Recomandarea 2003/361/CE, care nu îndeplinesc criteriile pentru a fi considerate microîntreprinderi sau întreprinderi mici.

2.Referirile la produse sau servicii conexe din prezentul regulament se înțeleg ca incluzând și asistenții virtuali, în măsura în care aceștia sunt utilizați pentru a se accesa sau controla un produs sau un serviciu conex.

CAPITOLUL III
OBLIGAȚIILE DEȚINĂTORILOR DE DATE CARE AU OBLIGAȚIA JURIDICĂ DE A PUNE DATE LA DISPOZIȚIE

Articolul 8
Condițiile în care deținătorii de date pun date la dispoziția destinatarilor datelor

1.În cazul în care un deținător de date este obligat să pună date la dispoziția unui destinatar al datelor în temeiul articolului 5 sau în temeiul altor acte din dreptul Uniunii sau din legislația națională de punere în aplicare a dreptului Uniunii, respectivul deținător de date face acest lucru în condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent, în conformitate cu dispozițiile prezentului capitol și ale capitolului IV.

2.Deținătorul datelor convine cu destinatarul datelor asupra condițiilor de punere la dispoziție a datelor. O clauză contractuală care se referă la accesul la date și la utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu poate să fie obligatorie dacă îndeplinește condițiile prevăzute la articolul 13 sau dacă exclude aplicarea drepturilor utilizatorului prevăzute în capitolul II, derogă de la respectivele drepturi sau modifică efectul acestora.

3.Un deținător de date nu poate să discrimineze între categorii comparabile de destinatari ai datelor, cum ar fi întreprinderi partenere sau întreprinderi afiliate, astfel cum sunt definite la articolul 3 din anexa la Recomandarea 2003/361/CE, ale deținătorului de date, când pune la dispoziție date. În cazul în care un destinatar al datelor consideră discriminatorii condițiile în care i-au fost puse la dispoziție datele, sarcina de a demonstra că nu a existat nicio discriminare îi revine deținătorului datelor.

4.Un deținător de date nu poate să pună date la dispoziția unui destinatar al datelor în mod exclusiv, cu excepția cazului în care există o cerere formulată în acest sens de utilizator în temeiul capitolului II.

5.Deținătorii de date și destinatarii datelor nu au obligația de a furniza informații în plus față de cele necesare pentru verificarea respectării clauzelor contractuale convenite pentru punerea la dispoziție a datelor sau a obligațiilor care le revin în temeiul prezentului regulament sau al altor acte aplicabile din dreptul Uniunii sau din legislația națională de punere în aplicare a dreptului Uniunii.

6.Cu excepția cazului în care se prevede altfel în dreptul Uniunii, inclusiv la articolul 6 din prezentul regulament, sau în legislația națională de punere în aplicare a dreptului Uniunii, obligația de a pune date la dispoziția unui destinatar al datelor nu include obligația de divulgare a unor secrete comerciale în înțelesul Directivei (UE) 2016/943.

Articolul 9
Compensație pentru punerea de date la dispoziție

1.Orice compensație convenită între un deținător de date și un destinatar al datelor pentru punerea de date la dispoziție trebuie să fie rezonabilă.

2.În cazul în care destinatarul datelor este o microîntreprindere ori o întreprindere mică sau mijlocie, astfel cum este definită la articolul 2 din anexa la Recomandarea 2003/361/CE, eventuala compensație convenită nu poate depăși costurile care sunt legate direct de punerea datelor la dispoziția destinatarului datelor și care pot fi atribuite cererii. Articolul 8 alineatul (3) se aplică în consecință.

3.Prezentul articol nu poate să împiedice excluderea compensației sau stabilirea unei compensații mai mici în temeiul altor acte din dreptul Uniunii sau din legislația națională de punere în aplicare a dreptului Uniunii.

4.Deținătorul de date trebuie să furnizeze destinatarului datelor informații suficient de detaliate cu privire la baza de calculare a compensației, astfel încât destinatarul datelor să poată verifica dacă sunt îndeplinite cerințele de la alineatul (1) și, când este cazul, cerințele de la alineatul (2).

Articolul 10
Soluționarea litigiilor

1.Deținătorii de date și destinatarii datelor trebuie să aibă acces la organisme de soluționare a litigiilor, certificate în conformitate cu alineatul (2) din prezentul articol, pentru a soluționa litigiile în legătură cu stabilirea unor condiții echitabile, rezonabile și nediscriminatorii și a unui mod transparent de punere la dispoziție a datelor, în conformitate cu articolele 8 și 9.

2.Statul membru în care este stabilit organismul de soluționare a litigiilor certifică organismul, la cererea organismului respectiv, în cazul în care organismul a demonstrat că îndeplinește toate condițiile următoare:

(a)este imparțial și independent și își va emite deciziile în conformitate cu norme de procedură clare și echitabile;

(b)dispune de cunoștințele de specialitate necesare în legătură cu stabilirea unor condiții echitabile, rezonabile și nediscriminatorii și a unui mod transparent de punere la dispoziție a datelor, ceea ce îi permite să stabilească în mod eficace condițiile respective;

(c)este ușor de accesat prin intermediul tehnologiei comunicațiilor electronice;

(d)are capacitatea de a soluționa litigiul într-un mod rapid, eficace și eficient din punctul de vedere al costurilor și în cel puțin o limbă oficială a Uniunii.

Dacă într-un stat membru nu este certificat niciun organism de soluționare a litigiilor la [data aplicării regulamentului], statul membru respectiv instituie și certifică un organism de soluționare a litigiilor care îndeplinește condițiile prevăzute la literele (a)-(d) din prezentul alineat.

3.Organismele de soluționare a litigiilor certificate sunt notificate Comisiei de către statele membre în conformitate cu alineatul (2). Comisia publică pe un site specializat o listă a organismelor respective, pe care o actualizează în permanență.

4.Organismele de soluționare a litigiilor aduc taxele sau mecanismele utilizate pentru stabilirea taxelor la cunoștința părților în cauză înainte ca părțile respective să solicite emiterea unei decizii.

5.Organismele de soluționare a litigiilor refuză să trateze o cerere de soluționare a unui litigiu dacă pentru același litigiu s-a introdus deja o cerere în fața altui organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

6.Organismele de soluționare a litigiilor acordă părților, într-un termen rezonabil, posibilitatea de a-și exprima punctul de vedere asupra chestiunilor pe care părțile respective le-au introdus în fața organismelor respective. În contextul respectiv, organismele de soluționare a litigiilor furnizează părții în cauză revendicările celeilalte părți și eventualele declarații ale experților. Organismele respective acordă părților posibilitatea de a prezenta observații cu privire la revendicările și declarațiile respective.

7.Organismele de soluționare a litigiilor emit o decizie cu privire la chestiunile care le sunt prezentate în termen de cel mult 90 de zile de la data la care a fost formulată cererea de emitere a unei decizii. Deciziile respective se iau în scris sau pe un suport durabil și sunt însoțite de o expunere de motive în sprijinul deciziei.

8.Decizia organismului de soluționare a litigiilor este obligatorie pentru părți numai dacă părțile și-au dat consimțământul explicit cu privire la caracterul său obligatoriu înainte de începerea procedurii de soluționare a litigiilor.

9.Prezentul articol nu aduce atingere dreptului părților de a introduce o cale de atac eficientă în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

Articolul 11
Măsuri tehnice de protecție și dispoziții privind utilizarea sau divulgarea neautorizată de date

1.Deținătorul de date poate să aplice măsuri tehnice de protecție corespunzătoare, inclusiv contracte inteligente, pentru a preveni accesul neautorizat la date și pentru a asigura respectarea articolelor 5, 6, 9 și 10, precum și a clauzelor contractuale convenite pentru punerea la dispoziție a datelor. Nu se poate recurge la astfel de măsuri tehnice de protecție pentru a se obstrucționa dreptul utilizatorului de a furniza efectiv date unor părți terțe în temeiul articolului 5 sau orice drept al unei părți terțe prevăzut în dreptul Uniunii sau în legislația națională de punere în aplicare a dreptului Uniunii, astfel cum se menționează la articolul 8 alineatul (1).

2.Un destinatar al datelor care, în scopul obținerii de date, a furnizat deținătorului de date informații inexacte sau false, a utilizat mijloace înșelătoare sau coercitive sau a abuzat de lacune evidente din infrastructura tehnică a deținătorului de date destinată să protejeze datele, a utilizat datele puse la dispoziție în scopuri neautorizate sau a divulgat datele respective altei părți fără autorizația deținătorului datelor, trebuie, fără întârzieri nejustificate, cu excepția cazului în care deținătorul datelor sau utilizatorul dispune altfel:

(a)să distrugă datele puse la dispoziție de către deținătorul datelor și toate copiile acestora;

(b)să înceteze producerea, oferirea, introducerea pe piață sau utilizarea bunurilor, a datelor derivate sau a serviciilor produse pe baza cunoștințelor obținute prin intermediul unor astfel de date ori importul, exportul sau depozitarea de bunuri care încalcă drepturile prevăzute în scopurile respective și să distrugă eventualele bunuri care încalcă drepturile respective.

3.Alineatul (2) litera (b) nu se aplică în niciunul dintre următoarele cazuri:

(a)utilizarea datelor nu a cauzat prejudicii semnificative deținătorului datelor;

(b)dispoziția nu ar fi proporțională cu interesele deținătorului datelor.

Articolul 12
Domeniul de aplicare al obligațiilor deținătorilor de date care au obligația juridică de a pune date la dispoziție

1.Prezentul capitol se aplică în cazul în care un deținător de date este obligat, în temeiul articolului 5 ori în temeiul dreptului Uniunii sau al legislației naționale de punere în aplicare a dreptului Uniunii, să pună date la dispoziția unui destinatar al datelor.

2.Nicio clauză contractuală dintr-un acord de partajare de date care, în detrimentul uneia dintre părți sau, când este cazul, în detrimentul utilizatorului, exclude aplicarea prezentului capitol, derogă de la acesta sau îi modifică efectele nu poate fi obligatorie pentru partea respectivă.

3.Prezentul capitol se aplică numai în legătură cu obligațiile de a pune date la dispoziție în temeiul dreptului Uniunii sau al legislației naționale de punere în aplicare a dreptului Uniunii care intră în vigoare după [data aplicării regulamentului].

CAPITOLUL IV
CLAUZELE ABUZIVE REFERITOARE LA ACCESAREA ȘI UTILIZAREA DE DATE ÎNTRE ÎNTREPRINDERI

Articolul 13
Clauze contractuale abuzive impuse unilateral unei microîntreprinderi ori unei întreprinderi mici sau mijlocii

1.O clauză contractuală, referitoare la accesul la date și utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date, care a fost impusă unilateral de o întreprindere unei microîntreprinderi ori unei întreprinderi mici sau mijlocii, astfel cum este definită la articolul 2 din anexa la Recomandarea 2003/361/CE, nu poate fi obligatorie pentru aceasta din urmă dacă este abuzivă.

2.O clauză contractuală este abuzivă dacă prezintă caracteristici ca urmare a cărora utilizarea sa deviază în mod flagrant de la bunele practici comerciale în ceea ce privește accesarea și utilizarea de date, contrar bunei-credințe și corectitudinii.

3.O clauză contractuală este abuzivă în sensul prezentului articol dacă are ca obiect sau ca efect:

(a)excluderea sau limitarea răspunderii părții care a impus-o unilateral pentru acte intenționate sau neglijență gravă;

(b)excluderea măsurilor reparatorii de care dispune partea căreia i-a fost impusă unilateral în cazul neexecutării obligațiilor contractuale sau excluderea răspunderii părții care a impus-o unilateral în cazul încălcării respectivelor obligații;

(c)acordarea către partea care a impus-o unilateral a dreptului exclusiv de a stabili dacă datele furnizate sunt conforme cu contractul sau de a interpreta orice clauză a contractului.

4.O clauză contractuală este prezumată a fi abuzivă în sensul prezentului articol dacă are ca obiect sau ca efect:

(a)limitarea în mod necorespunzător a măsurilor reparatorii în caz de neexecutare a obligațiilor contractuale sau limitarea răspunderii în caz de încălcare a respectivelor obligații;

(b)crearea pentru partea care a impus-o unilateral a posibilității de accesare și utilizare a datelor celeilalte părți contractante într-un mod care prejudiciază în mod semnificativ interesele legitime ale celeilalte părți contractante;

(c)împiedicarea părții căreia i-a fost impusă unilateral să utilizeze datele furnizate sau generate de partea respectivă pe durata contractului sau limitarea utilizării unor astfel de date în așa măsură încât partea respectivă nu are dreptul să utilizeze, să înregistreze, să acceseze sau să controleze astfel de date sau să exploateze valoarea unor astfel de date în mod proporțional;

(d)împiedicarea părții căreia i-a fost impusă unilateral să obțină o copie a datelor furnizate sau generate de partea respectivă pe durata contractului sau într-un termen rezonabil de la încetarea acestuia;

(e)crearea pentru partea care a impus-o unilateral a posibilității de a rezilia contractul cu un preaviz nejustificat de scurt, luându-se în considerare posibilitățile rezonabile ale celeilalte părți contractante de a trece la un serviciu alternativ și comparabil, precum și prejudiciul financiar cauzat de o astfel de reziliere, cu excepția cazului în care există motive serioase în acest sens.

5.Se consideră că o clauză contractuală este impusă unilateral în înțelesul prezentului articol dacă a fost oferită de o parte contractantă, fără ca cealaltă parte contractantă să fi fost în măsură să îi influențeze conținutul, în ciuda încercării de a o negocia. Sarcina de a dovedi că o clauză nu a fost impusă unilateral îi revine părții contractante care a oferit clauza contractuală respectivă.

6.În cazul în care clauza contractuală abuzivă poate fi disociată de celelalte clauze ale contractului, acestea din urmă rămân obligatorii.

7.Prezentul articol nu se aplică în privința clauzelor contractuale în care este definit obiectul principal al contractului sau a clauzelor contractuale în care este stabilit prețul de plătit.

8.Părțile la un contract care intră în domeniul de aplicare al alineatului (1) nu pot să excludă aplicarea prezentului articol, să deroge de la acesta sau să îi modifice efectele.

CAPITOLUL V
PUNEREA DE DATE LA DISPOZIȚIA ORGANISMELOR DIN SECTORUL PUBLIC ȘI A INSTITUȚIILOR, AGENȚIILOR SAU ORGANELOR UNIUNII PE BAZA UNEI NEVOI EXCEPȚIONALE

Articolul 14
Obligația de a pune date la dispoziție pe baza unei nevoi excepționale

1.La cerere, deținătorul de date pune date la dispoziția unui organism din sectorul public ori a unei instituții, a unei agenții sau a unui organ al Uniunii care demonstrează că există o nevoie excepțională de utilizare a datelor solicitate.

2.Prezentul capitol nu se aplică întreprinderilor mici și microîntreprinderilor, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE.

Articolul 15
Nevoia excepțională de utilizare a datelor

Se consideră că există o nevoie excepțională de utilizare a datelor, în înțelesul prezentului capitol, în oricare dintre următoarele circumstanțe:

(a)când datele solicitate sunt necesare pentru răspunsul la o urgență publică;

(b)când cererea de date este limitată în timp și ca domeniu de aplicare și este necesară pentru prevenirea unei urgențe publice sau pentru sprijinirea redresării în urma unei urgențe publice;

(c)când, din lipsă de date disponibile, organismul din sectorul public ori instituția, agenția sau organul Uniunii nu poate să îndeplinească o sarcină specifică de interes public prevăzută în mod explicit în lege și

(1)organismul din sectorul public ori instituția, agenția sau organul Uniunii nu a putut să obțină astfel de date prin mijloace alternative, cum ar fi prin achiziționarea datelor de pe piață la tarifele pieței sau prin invocarea unor obligații existente de punere de date la dispoziție, iar adoptarea de noi măsuri legislative nu poate asigura disponibilitatea în timp util a datelor sau

(2)obținerea datelor în concordanță cu procedura stabilită în prezentul capitol ar reduce în mod substanțial sarcina administrativă pentru deținătorii de date sau alte întreprinderi.

Articolul 16
Relația cu alte obligații de punere de date la dispoziția organismelor din sectorul public și a instituțiilor, agențiilor și organelor Uniunii

1.Prezentul capitol nu poate să aducă atingere obligațiilor prevăzute în dreptul Uniunii sau în dreptul național în scopul raportării, al respectării cererilor de informații ori al demonstrării sau verificării respectării obligațiilor legale.

2.Organismele din sectorul public și instituțiile, agențiile și organele Uniunii nu pot să exercite drepturile prevăzute în prezentul capitol pentru prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau contravențiilor ori pentru executarea pedepselor ori pentru administrarea vamală sau fiscală. Prezentul capitol nu aduce atingere dreptului Uniunii și dreptului național aplicabil în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor sau contravențiilor ori de executare a pedepselor sau a sancțiunilor administrative ori în materie de administrare vamală sau fiscală.

Articolul 17
Cereri de punere de date la dispoziție

1.Când solicită date în temeiul articolului 14 alineatul (1), un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii:

(a)precizează ce date sunt solicitate;

(b)demonstrează existența unei nevoi excepționale pentru care se solicită datele;

(c)explică scopul cererii, utilizarea preconizată a datelor solicitate și durata utilizării respective;

(d)indică temeiul juridic pentru solicitarea datelor;

(e)precizează data-limită până la care datele trebuie puse la dispoziție sau termenul în care deținătorul datelor poate solicita organismului din sectorul public ori instituției, agenției sau organului Uniunii să modifice sau să retragă cererea.

2.O cerere de date formulată în temeiul alineatului (1) din prezentul articol trebuie:

(a)să fie exprimată într-un limbaj clar, concis și simplu, ușor de înțeles de către deținătorul datelor;

(b)să fie proporțională cu nevoia excepțională, în ceea ce privește granularitatea și volumul datelor solicitate și frecvența accesului la datele solicitate;

(c)să respecte obiectivele legitime ale deținătorului datelor, ținând seama de protecția secretelor comerciale și de costurile și eforturile necesare pentru punerea la dispoziție a datelor;

(d)să se refere, în măsura posibilului, la date fără caracter personal;

(e)să informeze deținătorul datelor cu privire la sancțiunile impuse în temeiul articolului 33 de către o autoritate competentă menționată la articolul 31 în cazul nerespectării cererii;

(f)să fie pusă la dispoziția publicului online, fără întârzieri nejustificate.

3.Un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii nu poate să pună la dispoziție datele obținute în temeiul prezentului capitol în vederea reutilizării în înțelesul Directivei (UE) 2019/1024. Directiva (UE) 2019/1024 nu se aplică în cazul datelor deținute de organisme din sectorul public și obținute în temeiul prezentului capitol.

4.Alineatul (3) nu împiedică un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii să facă schimb de date obținute în temeiul prezentului capitol cu alt organism din sectorul public ori cu altă instituție, altă agenție sau alt organ al Uniunii, în vederea îndeplinirii sarcinilor prevăzute la articolul 15, sau să pună datele la dispoziția unei părți terțe căreia i-au fost externalizate, prin intermediul unui acord aflat la dispoziția publicului, sarcina de efectuare a inspecțiilor tehnice sau alte funcții. Organismelor din sectorul public și instituțiilor, agențiilor sau organelor Uniunii li se aplică obligațiile prevăzute la articolul 19.

În cazul în care transmite sau pune la dispoziție date în temeiul prezentului alineat, organismul din sectorul public ori instituția, agenția sau organul Uniunii notifică acest lucru deținătorului de date de la care au fost primite datele.

Articolul 18
Îndeplinirea cererilor de date

1.Un deținător de date care primește o cerere de acces la date în temeiul prezentului capitol pune datele, fără întârzieri nejustificate, la dispoziția organismului din sectorul public ori a instituției, agenției sau organului Uniunii care a formulat cererea.

2.Fără a aduce atingere nevoilor specifice în ceea ce privește disponibilitatea datelor definite în legislația sectorială, deținătorul de date poate să refuze cererea sau să solicite modificarea acesteia în termen de cinci zile lucrătoare de la primirea unei cereri de date necesare pentru răspunsul la o urgență publică și în termen de 15 zile lucrătoare în alte cazuri de nevoie excepțională, din oricare dintre următoarele motive:

(a)datele nu sunt disponibile;

(b)cererea nu îndeplinește condițiile prevăzute la articolul 17 alineatele (1) și (2).

3.În cazul unei cereri de date necesare pentru răspunsul la o urgență publică, deținătorul de date poate să refuze cererea sau să solicite modificarea acesteia și dacă a furnizat deja datele solicitate ca răspuns la o cerere depusă anterior în același scop de către alt organism din sectorul public ori de către altă instituție, altă agenție sau alt organ al Uniunii și nu a primit notificarea că datele au fost distruse în temeiul articolului 19 alineatul (1) litera (c).

4.Dacă decide să refuze cererea sau să solicite modificarea acesteia în conformitate cu alineatul (3), deținătorul datelor face cunoscută identitatea organismului din sectorul public ori a instituției, agenției sau organului Uniunii care a depus anterior o cerere în același scop.

5.În cazul în care îndeplinirea cererii de punere de date la dispoziția unui organism din sectorul public ori a unei instituții, a unei agenții sau a unui organ al Uniunii presupune divulgarea de date cu caracter personal, deținătorul datelor depune eforturi rezonabile pentru a pseudonimiza datele, în măsura în care cererea poate fi îndeplinită cu ajutorul unor date pseudonimizate.

6.În cazul în care organismul din sectorul public ori instituția, agenția sau organul Uniunii dorește să conteste refuzul unui deținător de date de a furniza datele solicitate sau de a solicita modificarea cererii ori în cazul în care deținătorul de date dorește să conteste cererea, chestiunea se înaintează spre soluționare autorității competente menționate la articolul 31.

Articolul 19
Obligațiile organismelor din sectorul public și ale instituțiilor, agențiilor și organelor Uniunii

1.Un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii care a primit date în urma unei cereri formulate în temeiul articolului 14:

(a)nu utilizează datele într-un mod incompatibil cu scopul pentru care au fost solicitate;

(b)pune în aplicare, în cazul în care este necesară prelucrarea de date cu caracter personal, măsuri tehnice și organizatorice care să protejeze drepturile și libertățile persoanelor vizate;

(c)distruge datele de îndată ce acestea nu mai sunt necesare în scopul declarat și informează deținătorul datelor că datele au fost distruse.

2.Divulgarea de secrete comerciale sau de presupuse secrete comerciale către un organism din sectorul public ori către o instituție, o agenție sau un organ al Uniunii este obligatorie numai dacă ea este strict necesară pentru atingerea scopului cererii. Într-un astfel de caz, organismul din sectorul public ori instituția, agenția sau organul Uniunii ia măsurile corespunzătoare pentru a păstra confidențialitatea respectivelor secrete comerciale.

Articolul 20
Compensație în cazuri de nevoie excepțională

1.Datele puse la dispoziție pentru răspunsul la o urgență publică în temeiul articolului 15 litera (a) se furnizează fără taxe.

2.În cazul în care deținătorul de date solicită o compensație pentru punerea la dispoziție a datelor în conformitate cu o cerere formulată în temeiul articolului 15 litera (b) sau (c), compensația respectivă nu poate depăși costurile tehnice și organizatorice suportate pentru îndeplinirea cererii, inclusiv, când este necesar, costurile anonimizării și ale adaptării tehnice, plus o marjă rezonabilă. La cererea organismului din sectorul public ori a instituției, agenției sau organului Uniunii care solicită datele, deținătorul de date furnizează informații cu privire la baza de calculare a costurilor și a marjei rezonabile.

Articolul 21
Contribuția organizațiilor de cercetare sau a organismelor statistice în contextul unor nevoi excepționale

1.Un organism din sectorul public ori o instituție, o agenție sau un organ al Uniunii are dreptul de a partaja datele primite în temeiul prezentului capitol cu persoane fizice sau organizații în vederea desfășurării unor activități de cercetare științifică sau de analiză compatibile cu scopul în care au fost solicitate datele sau cu institute naționale de statistică și cu Eurostat pentru elaborarea de statistici oficiale.

2.Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) trebuie să acționeze fără scop lucrativ sau în contextul unei misiuni de interes public recunoscute în dreptul Uniunii sau în dreptul unui stat membru. Nu sunt incluse organizațiile în cadrul cărora influența exercitată de întreprinderi comerciale este decisivă sau ar putea determina un acces preferențial la rezultatele cercetării.

3.Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) se supun dispozițiilor articolului 17 alineatul (3) și ale articolului 19.

4.În cazul în care transmite sau pune la dispoziție date în temeiul alineatului (1), organismul din sectorul public ori instituția, agenția sau organul Uniunii notifică acest lucru deținătorului de date de la care au fost primite datele.

Articolul 22
Asistență reciprocă și cooperare transfrontalieră

1.Organismele din sectorul public și instituțiile, agențiile și organele Uniunii cooperează și se asistă reciproc pentru a pune în aplicare prezentul capitol în mod consecvent.

2.Datele care fac obiectul unui schimb realizat în contextul asistenței solicitate și furnizate în temeiul alineatului (1) nu se utilizează într-un mod incompatibil cu scopul în care au fost solicitate.

3.În cazul în care un organism din sectorul public intenționează să solicite date de la un deținător de date stabilit în alt stat membru, organismul respectiv notifică mai întâi intenția în chestiune autorității competente a statului membru respectiv, astfel cum se menționează la articolul 31. Această cerință se aplică și în cazul cererilor formulate de instituții, agenții și organe ale Uniunii.

4.După ce a fost notificată în conformitate cu alineatul (3), autoritatea competentă relevantă pune în vedere organismului solicitant din sectorul public că ar putea fi necesar ca acesta să coopereze cu organisme din sectorul public din statul membru în care este stabilit deținătorul de date, în scopul reducerii sarcinii administrative suportate de către deținătorul de date pentru îndeplinirea cererii. Organismul solicitant din sectorul public ține seama de avertizarea autorității competente relevante.

CAPITOLUL VI

TRECEREA DE LA UN SERVICIU DE PRELUCRARE A DATELOR LA ALTUL

Articolul 23
Eliminarea obstacolelor din calea trecerii efective de la un furnizor de servicii de prelucrare a datelor la altul

1.Furnizorii unui serviciu de prelucrare a datelor iau măsurile prevăzute la articolele 24, 25 și 26 pentru a le asigura clienților serviciului lor posibilitatea de a trece la un alt serviciu de prelucrare a datelor, care acoperă același tip de servicii și care este furnizat de alt furnizor de servicii. Mai precis, furnizorii de servicii de prelucrare a datelor elimină obstacolele comerciale, tehnice, contractuale și organizatorice care nu le permit clienților:

(a)să rezilieze, după un preaviz de maximum 30 de zile calendaristice, acordul contractual având ca obiect serviciul;

(b)să încheie noi acorduri contractuale cu un furnizor diferit de servicii de prelucrare a datelor care acoperă același tip de servicii;

(c)să își porteze datele, aplicațiile și alte active digitale la un alt furnizor de servicii de prelucrare a datelor;

(d)să mențină echivalența funcțională a serviciului în mediul informatic al celuilalt furnizori sau al celorlalți furnizori de servicii de prelucrare a datelor care acoperă același tip de servicii, în conformitate cu articolul 26.

2.Alineatul (1) se aplică numai în cazul obstacolelor care au legătură cu serviciile, acordurile contractuale sau practicile comerciale asigurate de furnizorul inițial.

Articolul 24
Clauze contractuale referitoare la trecerea de la un furnizor de servicii de prelucrare a datelor la altul

1.Drepturile clientului și obligațiile furnizorului unui serviciu de prelucrare a datelor în ceea ce privește trecerea la alt furnizor de astfel de servicii se stabilesc în mod clar într-un contract scris. Fără a aduce atingere Directivei (UE) 2019/770, respectivul contract include cel puțin următoarele:

(a)clauze care îi permit clientului, la cerere, să treacă la un serviciu de prelucrare a datelor oferit de alt furnizor de servicii de prelucrare a datelor sau să porteze toate datele, aplicațiile și activele digitale generate direct sau indirect de client la un sistem de la fața locului, în special să stabilească o perioadă de tranziție maximă obligatorie de 30 de zile calendaristice, în cursul căreia furnizorul de servicii de prelucrare a datelor:

(1)sprijină și, când este fezabil din punct de vedere tehnic, finalizează procesul de trecere la alt furnizor;

(2)asigură continuitatea deplină a furnizării funcțiilor sau serviciilor respective;

(b)o listă exhaustivă a tuturor categoriilor de date și aplicații exportabile în cursul procesului de trecere la alt furnizor, inclusiv, cel puțin, toate datele importate de client la începutul acordului de servicii și toate datele și metadatele create de client și prin utilizarea serviciului în perioada în care a fost furnizat serviciul, inclusiv, dar nu numai, parametrii de configurare, setările de securitate, drepturile de acces și jurnalele de acces la serviciu;

(c)o perioadă minimă de extragere a datelor de cel puțin 30 de zile calendaristice, începând cu sfârșitul perioadei de tranziție convenite între client și furnizorul de servicii, în conformitate cu alineatul (1) litera (a) și cu alineatul (2).

2.În cazul în care perioada de tranziție obligatorie, astfel cum este definită la alineatul (1) literele (a) și (c) din prezentul articol, nu este fezabilă din punct de vedere tehnic, furnizorul de servicii de prelucrare a datelor informează clientul în termen de șapte zile lucrătoare de la depunerea cererii de trecere la alt furnizor, motivând în mod corespunzător lipsa de fezabilitate tehnică în cadrul unui raport detaliat și indicând o perioadă de tranziție alternativă, care nu poate depăși șase luni. În conformitate cu alineatul (1) din prezentul articol, se asigură continuitatea deplină a serviciului pe toată perioada de tranziție alternativă la taxe reduse, astfel cum sunt menționate la articolul 25 alineatul (2).

Articolul 25
Retragerea treptată a taxelor de trecere la alt furnizor

1.De la [data X + trei ani], furnizorii de servicii de prelucrare a datelor nu impun clientului niciun fel de taxe pentru procesul de trecere la alt furnizor.

2.De la [data X, data intrării în vigoare a Legii privind datele] până la [data X + trei ani], furnizorii de servicii de prelucrare a datelor pot să impună clientului taxe reduse pentru procesul de trecere la alt furnizor.

3.Taxele menționate la alineatul (2) nu pot depăși costurile pe care le suportă furnizorul de servicii de prelucrare a datelor și care sunt direct legate de procesul în cauză de trecere la alt furnizor.

4.Comisia este împuternicită să adopte, în conformitate cu articolul 38, acte delegate de completare a prezentului regulament în vederea introducerii unui mecanism de monitorizare, prin care Comisia să monitorizeze taxele de trecere la alt furnizor impuse de furnizorii de servicii de prelucrare a datelor de pe piață, pentru a se asigura că retragerea taxelor de trecere la alt furnizor, astfel cum se descrie la alineatul (1) din prezentul articol, se realizează în termenul prevăzut la același alineat.

Articolul 26
Aspecte tehnice ale trecerii la alt furnizor

1.Furnizorii de servicii de prelucrare a datelor care se referă la resurse informatice redimensionabile și elastice care se limitează la elemente de infrastructură, cum ar fi serverele, rețelele și resursele virtuale necesare pentru exploatarea infrastructurii, dar care nu oferă acces la serviciile, software-urile și aplicațiile de operare care sunt stocate, prelucrate în alt mod sau instalate pe respectivele elemente de infrastructură, se asigură că, după trecerea la un serviciu care acoperă același tip de servicii și este oferit de un alt furnizor de servicii de prelucrare a datelor, clientul beneficiază de echivalență funcțională în utilizarea noului serviciu.

2.În cazul unor servicii de prelucrare a datelor diferite de cele menționate la alineatul (1), furnizorii de servicii de prelucrare a datelor asigură interfețe deschise accesibile publicului și fără taxe.

3.În cazul unor servicii de prelucrare a datelor diferite de cele menționate la alineatul (1), furnizorii de servicii de prelucrare a datelor asigură compatibilitatea cu specificațiile deschise de interoperabilitate sau cu standardele europene de interoperabilitate care sunt identificate în conformitate cu articolul 29 alineatul (5) din prezentul regulament.

4.În cazul în care specificațiile deschise sau standardele europene de interoperabilitate menționate la alineatul (3) nu există pentru tipul de servicii în cauză, furnizorul de servicii de prelucrare a datelor exportă, la cererea clientului, toate datele generate sau cogenerate, inclusiv formatele de date și structurile de date relevante, într-un format structurat, utilizat în mod curent și citibil automat.

CAPITOLUL VII
GARANȚIILE PRIVIND DATELE FĂRĂ CARACTER PERSONAL ÎN CONTEXTE INTERNAȚIONALE

Articolul 27
Accesul și transferul internațional

1.Furnizorii de servicii de prelucrare a datelor iau, fără a aduce atingere alineatului (2) sau (3), toate măsurile tehnice, juridice și organizatorice rezonabile, inclusiv de ordin contractual, pentru a preveni transferul internațional de date fără caracter personal deținute în Uniune sau accesul administrațiilor publice la astfel de date în cazul în care un astfel de transfer sau acces ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru în cauză.

2.Orice decizie sau hotărâre a unei instanțe judecătorești sau a unui tribunal și orice decizie a unei autorități administrative a unei țări terțe prin care se solicită unui furnizor de servicii de prelucrare a datelor să transfere date fără caracter personal intrând în domeniul de aplicare al prezentului regulament și deținute în Uniune sau să acorde acces la astfel de date poate fi recunoscută sau executabilă în orice mod doar dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară reciprocă, în vigoare între țara terță solicitantă și Uniune sau pe orice alt asemenea acord între țara terță solicitantă și un stat membru.

3.În absența unui astfel de acord internațional, în cazul în care un furnizor de servicii de prelucrare a datelor este destinatarul deciziei unei instanțe judecătorești sau a unui tribunal ori al deciziei unei autorități administrative dintr-o țară terță care prevede transferul de date fără caracter personal intrând în domeniul de aplicare al prezentului regulament și deținute în Uniune sau acordarea accesului la astfel de date și, prin respectarea unei astfel de decizii, riscă să intre în conflict cu dreptul Uniunii sau cu dreptul intern al statului membru în cauză, transferul către autoritatea din țara terță sau accesul acesteia la astfel de date poate avea loc numai:

(a)când sistemul țării terțe în cauză prevede obligativitatea expunerii motivelor și a proporționalității deciziei sau a hotărârii judecătorești și prevede că decizia sau hotărârea judecătorească, după caz, trebuie să aibă un caracter specific, de exemplu prin stabilirea unei legături suficiente cu anumite persoane suspectate sau cu încălcări;

(b)când obiecția motivată a destinatarului este supusă controlului unei instanțe judecătorești competente sau unui tribunal competent din țara terță și

(c)când instanța judecătorească competentă sau tribunalul competent care emite decizia sau hotărârea judecătorească ori care revizuiește decizia unei autorități administrative are, în temeiul legislației țării respective, împuternicirea de a ține seama în mod corespunzător de interesele juridice relevante ale furnizorului de date protejate de dreptul Uniunii sau de dreptul intern al statului membru în cauză.

Destinatarul deciziei poate solicita avizul organismelor sau autorităților competente relevante, în temeiul prezentului regulament, pentru a stabili dacă aceste condiții sunt îndeplinite, în special atunci când consideră că decizia se poate referi la date sensibile din punct de vedere comercial sau poate afecta interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională.

Comitetul european pentru inovare în domeniul datelor, instituit în temeiul Regulamentului [xxx – Legea privind guvernanța datelor], consiliază și asistă Comisia în elaborarea de orientări cu privire la evaluarea îndeplinirii acestor condiții.

4.Dacă sunt îndeplinite condițiile prevăzute la alineatul (2) sau (3), furnizorul de servicii de prelucrare a datelor furnizează volumul minim de date permis ca răspuns la o cerere, pe baza unei interpretări rezonabile a acesteia.

5.Furnizorul de servicii de prelucrare a datelor îl informează pe deținătorul datelor cu privire la existența unei cereri din partea unei autorități administrative dintr-o țară terță de a i se acorda accesul la datele sale înainte de a da curs cererii, cu excepția cazurilor în care cererea servește unor scopuri de asigurare a respectării legii și atât timp cât acest lucru este necesar pentru a se menține eficacitatea activității de asigurare a respectării legii.

CAPITOLUL VIII
INTEROPERABILITATEA

Articolul 28
Cerințe esențiale privind interoperabilitatea

1.Operatorii spațiilor de date trebuie să respecte următoarele cerințe esențiale pentru a facilita interoperabilitatea datelor, a mecanismelor de partajare a datelor și a serviciilor:

(a)conținutul setului de date, restricțiile de utilizare, licențele, metodologia de colectare a datelor, calitatea datelor și incertitudinea datelor trebuie să fie descrise suficient pentru a i se permite destinatarului să găsească, să acceseze și să utilizeze datele;

(b)structurile de date, formatele de date, vocabularele, sistemele de clasificare, taxonomiile și listele de coduri trebuie să fie descrise într-un mod accesibil publicului și consecvent;

(c)mijloacele tehnice de accesare a datelor, cum ar fi interfețele de programare a aplicațiilor, precum și condițiile de utilizare a acestora și calitatea serviciului trebuie să fie descrise suficient pentru a se permite accesarea și transmiterea automată a datelor între părți, inclusiv în mod continuu sau în timp real, într-un format citibil automat;

(d)se furnizează mijloacele care permit interoperabilitatea contractelor inteligente în cadrul serviciilor și activităților lor.

Aceste cerințe pot avea un caracter generic sau pot viza anumite sectoare, ținându-se în același timp seama pe deplin de interconectarea lor cu cerințele care decurg din alte acte legislative sectoriale ale Uniunii sau naționale.

2.Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 38, pentru a completa prezentul regulament cu precizări suplimentare în ceea ce privește cerințele esențiale menționate la alineatul (1).

3.Operatorii spațiilor de date care îndeplinesc standardele armonizate sau părți ale acestora publicate prin trimitere în Jurnalul Oficial al Uniunii Europene sunt prezumați a îndeplini cerințele esențiale menționate la alineatul (1) din prezentul articol, în măsura în care standardele respective au ca obiect cerințele respective.

4.Comisia poate, în conformitate cu articolul 10 din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să redacteze standarde armonizate care să conțină cerințele esențiale prevăzute la alineatul (1) din prezentul articol.

5.Comisia adoptă, prin intermediul unor acte de punere în aplicare, specificații comune, în cazul în care nu există standarde armonizate, astfel cum sunt menționate la alineatul (4) din prezentul articol, sau în cazul în care consideră că standardele armonizate relevante nu sunt suficiente pentru a asigura îndeplinirea cerințelor esențiale prevăzute la alineatul (1) din prezentul articol, când este necesar, în ceea ce privește oricare dintre cerințele sau toate cerințele prevăzute la alineatul (1) din prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 39 alineatul (2).

6.Comisia poate adopta orientări în care sunt stabilite specificații de interoperabilitate pentru funcționarea spațiilor europene comune ale datelor, cum ar fi modelele arhitecturale și standardele tehnice de punere în aplicare a normelor și acordurilor juridice dintre părți care promovează partajarea de date, cum ar fi în ceea ce privește drepturile de acces și traducerea tehnică a consimțământului sau a permisiunii.

Articolul 29
Interoperabilitatea serviciilor de prelucrare a datelor

1.Specificațiile deschise de interoperabilitate și standardele europene de interoperabilitate a serviciilor de prelucrare a datelor trebuie:

(a)să fie orientate spre performanța interoperabilității între diferite servicii de prelucrare a datelor care acoperă același tip de servicii;

(b)să îmbunătățească portabilitatea activelor digitale între diferite servicii de prelucrare a datelor care acoperă același tip de servicii;

(c)să garanteze, când este fezabil din punct de vedere tehnic, echivalența funcțională între diferite servicii de prelucrare a datelor care acoperă același tip de servicii.

2.Specificațiile deschise de interoperabilitate și standardele europene de interoperabilitate a serviciilor de prelucrare a datelor abordează:

(a)aspectele de interoperabilitate în cloud, și anume interoperabilitatea transporturilor, interoperabilitatea sintactică, interoperabilitatea datelor semantice, interoperabilitatea comportamentală și interoperabilitatea politicilor;

(b)aspectele de portabilitate a datelor în cloud, și anume portabilitatea sintactică a datelor, portabilitatea semantică a datelor și portabilitatea politicilor de date;

(c)aspectele de aplicații în cloud, și anume portabilitatea sintactică a aplicațiilor, portabilitatea instrucțiunilor aplicațiilor, portabilitatea metadatelor aplicațiilor, portabilitatea comportamentului aplicațiilor și portabilitatea politicilor de aplicații.

3.Specificațiile deschise de interoperabilitate trebuie să respecte punctele 3 și 4 din anexa II la Regulamentul (UE) nr. 1025/2012.

4.Comisia poate, în conformitate cu articolul 10 din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să redacteze standarde europene aplicabile anumitor tipuri de servicii de prelucrare a datelor.

5.În sensul articolului 26 alineatul (3) din prezentul regulament, Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 38, pentru a publica trimiterea la specificații deschise de interoperabilitate și la standarde europene de interoperabilitate a serviciilor de prelucrare a datelor în registrul central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor, în cazul în care acestea îndeplinesc criteriile specificate la alineatele (1) și (2) din prezentul articol.

Articolul 30
Cerințe esențiale privind contractele inteligente de partajare de date

1.Vânzătorul unei aplicații care utilizează contracte inteligente sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul unui acord de punere de date la dispoziție respectă următoarele cerințe esențiale:

(a)robustețe – asigurarea faptului că, prin modul în care a fost conceput, contractul inteligent oferă un grad foarte ridicat de robustețe, prevenind erorile funcționale și rezistând la manipularea de către părți terțe;

(b)încetare și întrerupere în siguranță – asigurarea existenței unui mecanism de încetare a executării continue a tranzacțiilor: contractul inteligent trebuie să includă funcții interne care să poată reseta sau instrui contractul să oprească sau să întrerupă operația pentru evitarea unor execuții (accidentale) viitoare;

(c)arhivare și continuitate a datelor – prevederea, pentru cazul în care un contract inteligent trebuie reziliat sau dezactivat, a posibilității de arhivare a datelor privind operațiile, a logicii contractului inteligent și a codului acestuia, pentru a se ține evidența operațiilor efectuate asupra datelor în trecut (posibilitatea auditării) și

(d)control al accesului – un contract inteligent trebuie să fie protejat prin mecanisme riguroase de control al accesului la nivel de guvernanță și de contractare inteligentă.

2.Vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul unui acord de punere de date la dispoziție efectuează o evaluare a conformității pentru a verifica dacă sunt îndeplinite cerințele esențiale prevăzute la alineatul (1) și, dacă aceste cerințe sunt îndeplinite, emite o declarație de conformitate UE.

3.Prin întocmirea declarației de conformitate UE, vânzătorul unei aplicații care utilizează contracte inteligente sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul unui acord de punere de date la dispoziție răspunde pentru îndeplinirea cerințelor prevăzute la alineatul (1).

4.Un contract inteligent care îndeplinește standardele armonizate sau părți relevante ale acestora redactate și publicate în Jurnalul Oficial al Uniunii Europene este prezumat a îndeplini cerințele esențiale prevăzute la alineatul (1) din prezentul articol, în măsura în care standardele respective au ca obiect cerințele respective.

5.Comisia poate, în conformitate cu articolul 10 din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să redacteze standarde armonizate care să conțină cerințele esențiale prevăzute la alineatul (1) din prezentul articol.

6.În cazul în care nu există standarde armonizate, astfel cum sunt menționate la alineatul (4) din prezentul articol, sau în cazul în care Comisia consideră că standardele armonizate relevante nu sunt suficiente pentru a asigura îndeplinirea cerințelor esențiale prevăzute la alineatul (1) din prezentul articol, Comisia poate să adopte, prin intermediul unor acte de punere în aplicare, specificații comune în ceea ce privește cerințele esențiale prevăzute la alineatul (1) din prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 39 alineatul (2).

CAPITOLUL IX
PUNEREA ÎN APLICARE ȘI ASIGURAREA RESPECTĂRII

Articolul 31
Autorități competente

1.Fiecare stat membru desemnează una sau mai multe autorități competente care sunt responsabile cu aplicarea și asigurarea respectării prezentului regulament. Statele membre pot să înființeze una sau mai multe autorități noi sau să se bazeze pe autorități existente.

2.Fără a aduce atingere alineatului (1) din prezentul articol:

(a)autoritățile de supraveghere independente care sunt responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 sunt responsabile cu monitorizarea aplicării prezentului regulament în ceea ce privește protecția datelor cu caracter personal. Se aplică mutatis mutandis capitolele VI și VII din Regulamentul (UE) 2016/679. Sarcinile și competențele autorităților de supraveghere se exercită în ceea ce privește prelucrarea datelor cu caracter personal;

(b)în ceea ce privește aspectele sectoriale ale schimbului de date care au legătură cu punerea în aplicare a prezentului regulament, se respectă competența autorităților sectoriale;

(c)autoritatea națională competentă responsabilă cu aplicarea și asigurarea respectării capitolului VI din prezentul regulament trebuie să aibă experiență în domeniul serviciilor de date și de comunicații electronice.

3.Statele membre se asigură că sarcinile și competențele autorităților competente desemnate în temeiul alineatului (1) din prezentul articol sunt clar definite și includ:

(a)promovarea sensibilizării utilizatorilor și entităților care intră sub incidența prezentului regulament cu privire la drepturile și obligațiile care le revin în temeiul prezentului regulament;

(b)tratarea plângerilor având ca obiect presupuse încălcări ale prezentului regulament, investigarea, în măsura adecvată, a obiectului plângerii și informarea reclamantului cu privire la evoluția și rezultatul investigației, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigații mai amănunțite sau coordonarea cu o altă autoritate competentă;

(c)desfășurarea de investigații în chestiuni care privesc aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate competentă sau de la o altă autoritate publică;

(d)impunerea, prin proceduri administrative, de sancțiuni financiare disuasive, care pot include penalități cu titlu cominatoriu și penalități cu efect retroactiv, sau deschiderea de proceduri judiciare pentru impunerea de amenzi;

(e)monitorizarea evoluțiilor tehnologice cu relevanță pentru punerea la dispoziție și utilizarea de date;

(f)cooperarea cu autoritățile competente ale altor state membre pentru asigurarea unei aplicări consecvente a prezentului regulament, inclusiv transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate;

(g)asigurarea disponibilității publice online a cererilor de acces la date formulate de organismele din sectorul public în cazul unor urgențe publice în temeiul capitolului V;

(h)cooperarea cu toate autoritățile competente relevante pentru asigurarea faptului că obligațiile prevăzute în capitolul VI sunt puse în aplicare în conformitate cu alte acte legislative ale Uniunii și norme de autoreglementare aplicabile furnizorilor de servicii de prelucrare a datelor;

(i)asigurarea faptului că taxele pentru trecerea de la un furnizor de servicii de prelucrare a datelor la altul sunt retrase în conformitate cu articolul 25.

4.În cazul în care un stat membru desemnează mai multe autorități competente, autoritățile competente cooperează, în exercitarea sarcinilor și competențelor care le-au fost atribuite în temeiul alineatului (3) din prezentul articol, între ele, inclusiv, după caz, cu autoritatea de supraveghere responsabilă cu monitorizarea aplicării Regulamentului (UE) 2016/679, pentru a asigura aplicarea consecventă a prezentului regulament. În astfel de cazuri, statele membre relevante desemnează o autoritate competentă coordonatoare.

5.Statele membre aduc la cunoștința Comisiei denumirile autorităților competente desemnate, sarcinile și competențele respective ale acestora și, când este cazul, denumirea autorității competente coordonatoare. Comisia ține un registru public al acestor autorități.

6.Când își îndeplinesc sarcinile și își exercită competențele în conformitate cu prezentul regulament, autoritățile competente trebuie să rămână libere de orice influență externă, directă sau indirectă și nu pot să solicite sau să accepte instrucțiuni de la nicio altă autoritate publică și de la nicio parte privată.

7.Statele membre se asigură că autorităților competente desemnate li se pun la dispoziție resursele necesare pentru îndeplinirea adecvată a sarcinilor în conformitate cu prezentul regulament.

Articolul 32
Dreptul de a depune o plângere la o autoritate competentă

1.Fără a se aduce atingere altor eventuale căi de atac administrative sau judiciare, persoanele fizice și juridice au dreptul de a depune o plângere, în mod individual sau, când este relevant, colectiv, la autoritatea competentă relevantă din statul membru în care își au reședința obișnuită, locul de muncă sau locul de stabilire, în cazul în care consideră că le-au fost încălcate drepturile prevăzute în prezentul regulament.

2.Autoritatea competentă la care s-a depus plângerea îl informează pe reclamant despre evoluția procedurii și despre decizia luată.

3.Autoritățile competente cooperează pentru tratarea și soluționarea plângerilor, inclusiv prin transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate. Această cooperare nu poate să aducă atingere mecanismului specific de cooperare prevăzut în capitolele VI și VII din Regulamentul (UE) 2016/679.

Articolul 33
Sancțiuni

1.Statele membre adoptă regimul sancțiunilor aplicabil în cazul nerespectării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestuia. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive.

2.Statele membre informează Comisia, până la [data aplicării regulamentului], cu privire la respectivul regim și la măsurile aferente și, fără întârziere, cu privire la orice modificare ulterioară care le afectează.

3.Pentru încălcările obligațiilor stabilite în capitolele II, III și V din prezentul regulament, autoritățile de supraveghere menționate la articolul 51 din Regulamentul (UE) 2016/679 pot impune, în limitele domeniului lor de competență, amenzi administrative în concordanță cu articolul 83 din Regulamentul (UE) 2016/679 până la concurența sumei menționate la articolul 83 alineatul (5) din regulamentul respectiv.

4.Pentru încălcările obligațiilor stabilite în capitolul V din prezentul regulament, autoritatea de supraveghere menționată la articolul 52 din Regulamentul (UE) 2018/1725 poate impune, în limitele domeniului său de competență, amenzi administrative în conformitate cu articolul 66 din Regulamentul (UE) 2018/1725 până la concurența sumei menționate la articolul 66 alineatul (3) din regulamentul respectiv.

Articolul 34
Modele de clauze contractuale

Comisia elaborează și recomandă modele de clauze contractuale neobligatorii privind accesarea și utilizarea de date, care să ajute părțile să redacteze și să negocieze contracte cu drepturi și obligații contractuale echilibrate.

CAPITOLUL X
DREPTUL SUI GENERIS PREVĂZUT ÎN DIRECTIVA 96/9/CE

Articolul 35
Baze de date care conțin anumite date

Pentru a nu se împiedica exercitarea dreptului utilizatorilor de a accesa și utiliza astfel de date în conformitate cu articolul 4 din prezentul regulament sau a dreptului de a partaja astfel de date cu părți terțe în conformitate cu articolul 5 din prezentul regulament, dreptul sui generis prevăzut la articolul 7 din Directiva 96/9/CE nu se aplică în cazul bazelor de date care conțin date obținute din utilizarea unui produs sau a unui serviciu conex ori generate prin aceasta.

CAPITOLUL XI
DISPOZIȚII FINALE

Articolul 36
Modificare adusă Regulamentului (UE) 2017/2394

În anexa la Regulamentul (UE) 2017/2394 se adaugă următorul punct:

„29. {Regulamentul (UE) XXX al Parlamentului European și al Consiliului [Legea privind datele]}.”

Articolul 37
Modificare adusă Directivei (UE) 2020/1828

În anexa la Directiva (UE) 2020/1828 se adaugă următorul punct:

„67. {Regulamentul (UE) XXX al Parlamentului European și al Consiliului [Legea privind datele]}.”

Articolul 38
Exercitarea delegării

1.Competența de a adopta acte delegate se conferă Comisiei în condițiile prevăzute la prezentul articol.

2.Competența de a adopta acte delegate, menționată la articolul 25 alineatul (4), la articolul 28 alineatul (2) și la articolul 29 alineatul (5), se conferă Comisiei pentru o perioadă nedeterminată, începând cu […].

3.Delegarea de competențe menționată la articolul 25 alineatul (4), la articolul 28 alineatul (2) și la articolul 29 alineatul (5) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua următoare datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

4.Înainte de adoptarea unui act delegat, Comisia îi consultă pe experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional privind o mai bună legiferare din 13 aprilie 2016.

5.De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

6.Un act delegat adoptat în temeiul articolului 25 alineatul (4), al articolului 28 alineatul (2) sau al articolului 29 alineatul (5) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecțiuni în termen de trei luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecțiuni. Termenul respectiv se prelungește cu trei luni la inițiativa Parlamentului European sau a Consiliului.

Articolul 39
Procedura comitetului

1.Comisia este asistată de un comitet. Comitetul respectiv trebuie să fie un comitet în înțelesul Regulamentului (UE) nr. 182/2011.

2.Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

Articolul 40
Alte acte juridice ale Uniunii care reglementează drepturile și obligațiile privind accesarea și utilizarea de date

1.Rămân neatinse obligațiile specifice privind punerea de date la dispoziție între întreprinderi, între întreprinderi și consumatori și, în mod excepțional, între întreprinderi și organisme publice, stabilite în acte juridice ale Uniunii care au intrat în vigoare la sau înainte de [xx XXX xxx] și în actele delegate sau de punere în aplicare întemeiate pe acestea.

2.Prezentul regulament nu aduce atingere actelor legislative ale Uniunii în care sunt precizate, având în vedere nevoile unui sector, ale unui spațiu european comun al datelor sau ale unui domeniu de interes public, cerințe suplimentare, în special în ceea ce privește:

(a)aspecte tehnice ale accesului la date;

(b)limite ale drepturilor deținătorilor de date de a accesa sau utiliza anumite date furnizate de utilizatori;

(c)aspecte care depășesc sfera accesării și a utilizării de date.

Articolul 41
Evaluare și reexaminare

Până la [doi ani de la data aplicării prezentului regulament], Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:

(a)alte categorii sau tipuri de date la care trebuie să se acorde acces;

(b)excluderea anumitor categorii de întreprinderi de la calitatea de beneficiar în temeiul articolului 5;

(c)alte situații care trebuie considerate nevoi excepționale în sensul articolului 15;

(d)schimbările survenite în practicile contractuale ale furnizorilor de servicii de prelucrare a datelor și dacă schimbările respective permit respectarea într-o măsură suficientă a articolului 24;

(e)diminuarea taxelor impuse de furnizorii de servicii de prelucrare a datelor pentru procesul de trecere la alt furnizor, în concordanță cu obligația de retragere treptată a taxelor de trecere la alt furnizor, prevăzută la articolul 25.

Articolul 42
Intrare în vigoare și aplicare

Prezentul regulament intră în vigoare în a douăzecea zi de la publicarea în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament se aplică începând cu [12 luni de la data intrării în vigoare a prezentului regulament].

Adoptat la Bruxelles,

Pentru Parlamentul European, Pentru Consiliu,

Președinta Președintele

(1) Ursula von der Leyen, O Uniune mai ambițioasă – Programul meu pentru Europa, Orientări politice pentru viitoarea Comisie Europeană 2019-2024 , 16 iulie 2019.

(2) Comisia Europeană, Anexe la Programul de lucru al Comisiei pentru 2020 – O Uniune mai ambițioasă , COM(2020) 37, 29 ianuarie 2020.

(3) COM(2020) 66 final .

(4) Consiliul European, Reuniunea Consiliului European (21 și 22 octombrie 2021) – Concluzii, EUCO 17/21 , 2021, p. 2.

(5) Consiliul European, Declarația membrilor Consiliului European (25 martie 2021), SN 18/21 , p. 4.

(6) Consiliul European, Reuniunea Consiliului European (1 și 2 octombrie 2020) – Concluzii, EUCO 13/20 , 2020, p. 5.

(7) Comisia Europeană (2020), Comisia salută declarația statelor membre privind cloud federation în UE , comunicat de presă.

(8) Rezoluția Parlamentului European din 25 martie 2021 referitoare la o strategie europeană privind datele, 2020/2217(INI) .

(9) JO L 77, 27.3.1996, p. 20 .

(10) JO L 119, 4.5.2016, p. 1 .

(11) JO L 201, 31.7.2002, p. 37 .

(12) JO L 303, 28.11.2018, p. 59 ; SWIPO (2021), a se vedea site-ul .

(13) JO L 95, 21.4.1993, p. 29 .

(14) JO L 335, 18.12.2010, p. 36 .

(15) JO L 77, 27.3.1996, p. 20 .

(16) JO L 186, 11.7.2019, p. 57 .

(17) JO L 172, 26.6.2019, p. 56 .

(18) JO L 318, 4.12.2015, p. 1 .

(19) COM(2020) 767 final .

(20) JO L 186, 11.7.2019, p. 57 .

(21) COM(2020) 98 final .

(22) Inițiativa „GreenData4All” (REFIT) | Mersul trenului legislativ | Parlamentul European (europa.eu) .

(23) JO L 108, 25.4.2007, p. 1 .

(24) JO L 158, 14.6.2019, p. 54 .

(25) JO L 158, 14.6.2019, p. 125 .

(26) JO L 337, 23.12.2015, p. 35 JO L 337, 23.12.2015, p. 35 .

(27) JO L 151, 14.6.2018, p. 1 ; JO L 60, 2.3.2013, p. 1 .

(28) JO L 207, 6.8.2010, p. 1 .

(29) JO L 96, 31.3.2004, p. 1 ; JO L 96, 31.3.2004, p. 10 ; JO L 96, 31.3.2004, p. 20 .

(30) JO L 308, 29.10.2014, p. 82 .

(31) JO L 96, 12.4.2016, p. 46 .

(32)

COM(2021) 559 final .

(33) COM(2020) 67 final .

(34) JO L 57, 18.2.2021, p. 17 .

(35) COM(2021) 400 final .

(36) COM(2019) 640 final .

(37) Digitalizarea în favoarea mediului, 11 decembrie 2020 , concluziile Consiliului referitoare la noul plan de acțiune pentru economia circulară, 11 decembrie 2020 , concluziile Consiliului referitoare la strategia privind biodiversitatea pentru 2030, 16 octombrie 2020 , concluziile referitoare la îmbunătățirea calității aerului, 5 martie 2020 .

(38) Urgența climatică și de mediu – joi, 28 noiembrie 2019 (europa.eu).

(39) COM(2021) 350 final .

(40) COM(2020) 66 final .

(41) COM(2020) 760 final .

(42) COM(2021) 102 final .

(43) JO L 151, 7.6.2019.

(44) COM(2017) 9 final ; SWD(2018) 146 final, secțiunea 5.4.2; Studiu efectuat în sprijinul unei evaluări a impactului pentru reexaminarea Directivei privind bazele de date.

(45) COM(2017) 9 final ; COM(2020) 66 final ; COM(2020) 760 final .

(46) Fixtures Marketing Ltd/Oy Veikkaus Ab (C-46/02, 9.11.2004), Fixtures Marketing Ltd/Svenska Spel Ab (C-338/02, 9.11.2004), British Horseracing Board Ltd/William Hill (C-203/02, 9.11.2004), Fixtures Marketing Ltd/OPAP (C-444/02, 9.11.2004).

(47) COM(2017) 9 final .

(48) Comisia Europeană (2020), Rezultatul consultării online organizate în legătură cu Strategia europeană privind datele .

(49) Pagina web a Comisiei Europene: Exprimați-vă părerea – Legea privind datele și modificarea normelor referitoare la protecția juridică a bazelor de date.

(50) Comisia Europeană (2021), Consultare publică referitoare la Legea privind datele: raport de sinteză .

(51) COM(2018) 232 final ; SWD(2018) 125 final din 25.4.2018.

(52) A se vedea Avizul 3/2020 al AEPD asupra Strategiei europene privind datele .

(53) [De adăugat linkuri către documentul final și către fișa rezumat.]

(54) SWD(2021) 305 final .

(55) Pentru mai multe explicații despre testul privind caracterul abuziv și principiul libertății contractuale, a se vedea anexa 11 la evaluarea impactului.

(56) Pentru mai multe explicații despre testul privind caracterul abuziv, inclusiv despre funcționarea sa în practică, a se vedea anexa 11 la evaluarea impactului.

(57) JO C , , p. .

(58) JO C , , p. .

(59) Directiva 2005/29/CE a Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO L 149, 11.6.2005, p. 22).

(60) Directiva 2011/83/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 privind drepturile consumatorilor, de modificare a Directivei 93/13/CEE a Consiliului și a Directivei 1999/44/CE a Parlamentului European și a Consiliului și de abrogare a Directivei 85/577/CEE a Consiliului și a Directivei 97/7/CE a Parlamentului European și a Consiliului.

(61) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii. Directiva (UE) 2019/2161 a Parlamentului European și a Consiliului din 27 noiembrie 2019 de modificare a Directivei 93/13/CEE a Consiliului și a Directivelor 98/6/CE, 2005/29/CE și 2011/83/UE ale Parlamentului European și ale Consiliului în ceea ce privește o mai bună asigurare a respectării normelor Uniunii în materie de protecție a consumatorilor și modernizarea acestor norme.

(62) Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019).

(63) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii.

(64) JO L 303, 28.11.2018, p. 59 .

(65) Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56).

(66) Directiva 96/9/CE a Parlamentului European și a Consiliului din 11 martie 1996 privind protecția juridică a bazelor de date (JO L 77, 27.3.1996, p. 20).

(67) Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte legate de contractele de furnizare de conținut digital și de servicii digitale (JO L 136, 22.5.2019, p. 1).

(68) Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului din 12 decembrie 2017 privind cooperarea dintre autoritățile naționale însărcinate să asigure respectarea legislației în materie de protecție a consumatorului și de abrogare a Regulamentului (CE) nr. 2006/2004 (JO L 345, 27.12.2017, p. 1).

(69) Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).

(70) JO L 123, 12.5.2016, p. 1 .

(71) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

(72) Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist (JO L 172, 17.5.2021, p. 79).

(73) JO [….].