16.4.2018   

SV

Europeiska unionens officiella tidning

L 96/1


KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2018/573

av den 15 december 2017

om centrala delar i de avtal om datalagring som ska ingås som en del i ett spårbarhetssystem för tobaksvaror

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets direktiv 2014/40/EU av den 3 april 2014 om tillnärmning av medlemsstaternas lagar och andra författningar om tillverkning, presentation och försäljning av tobaksvaror och relaterade produkter och om upphävande av direktiv 2001/37/EG (1), särskilt artikel 15.12, och

av följande skäl:

(1)

Enligt artikel 15.8 i direktiv 2014/40/EU ska varje tillverkare och importör, som en del i det spårbarhetssystem för tobaksvaror som närmare beskrivs i kommissionens genomförandeförordning (EU) 2018/574 (2), sluta ett avtal med en oberoende tredjepartsleverantör som ska vara värd för informationen om deras tobaksvaror. I artikel 15.12 i direktiv 2014/40/EU ges kommissionen befogenhet att definiera centrala delar av dessa avtal.

(2)

I syfte att säkerställa att spårbarhetssystemet för tobaksvaror i allmänhet och databassystemets interoperabilitet i synnerhet fungerar väl, bör de centrala delarna i avtalen om datalagring fastställas, med specifikationer om driftsduglighet, tillgänglighet och prestanda för de tjänster som datalagringsleverantörerna ska tillhandahålla. För att spårbarhetssystemet och det datalagringssystem som ingår i detta ska kunna fungera effektivt och utan avbrott måste leverantörerna införa tydliga krav på dataportabilitet, för de fall när en tillverkare eller en importör bestämmer sig för att byta leverantör. Avtalen bör därför innehålla krav på användning av teknik som redan finns på marknaden och som allmänt används inom branschen för att garantera en effektiv och oavbruten dataöverföring mellan aktuella och nya leverantörer.

(3)

I syfte att säkerställa den flexibilitet som krävs bör det vara möjligt att be datalagringsleverantören att mot en avgift utföra andra tekniska tjänster som hänger samman med driften av den primära databasen, såsom en utökning av användargränssnittens operativa funktioner, förutsatt att tilläggstjänsterna bidrar till att databassystemet fungerar väl och inte strider mot något av kraven i genomförandeförordning (EU) 2018/574. En sådan möjlighet bör därför anges i avtalet.

(4)

I syfte att alltid garantera en oberoende drift av spårbarhetssystemet bör kommissionen kunna återkalla godkännandet av en datalagringsleverantör med vilken avtal redan har slutits, om en bedömning eller förnyad bedömning av leverantörens tekniska kapacitet eller oberoende leder till en negativ slutsats om leverantörens lämplighet.

(5)

I syfte att säkerställa att den dagliga driften av systemet är organiserat på ett effektivt sätt bör leverantörer av de primära databaserna samarbeta med varandra och med de behöriga myndigheterna i medlemsstaterna samt kommissionen.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte

I denna förordning fastställs centrala delar som ska ingå i de avtal om datalagring som avses i artikel 15.8 i direktiv 2014/40/EU.

Artikel 2

Definitioner

Utöver de definitioner som anges i direktiv 2014/40/EU och i genomförandeförordning (EU) 2018/574 gäller följande definitioner i den här förordningen:

1)    avtal : avtal mellan en tillverkare eller en importör av tobaksvaror och en leverantör av datalagringssystem i enlighet med artikel 15.8 i direktiv 2014/40/EU och genomförandeförordning (EU) 2018/574.

2)    leverantör : varje juridisk person som en tillverkare eller en importör av tobaksvaror ingått ett avtal med för inrättande och drift av tillverkarens eller importörens primära databas och tillhandahållande av tillhörande tjänster.

3)    dataportabilitet : förmågan att förflytta data mellan olika databaser med hjälp av teknik som redan finns på marknaden och som används allmänt inom branschen.

Artikel 3

Centrala ansvarsområden enligt avtalet

1.   I avtalet ska de centrala tjänster som leveratören ska tillhandahålla anges, vilka ska omfatta följande:

1)

Inrättande och drift av en primär databas i enlighet med artikel 26 i genomförandeförordning (EU) 2018/574.

2)

Inrättande och drift av den sekundära databasen och routern i enlighet med artiklarna 27, 28 och 29 i genomförandeförordning (EU) 2018/574, om operatören av den primära databasen utnämns till leverantör av den sekundära databasen.

3)

Tillhandahållande, på begäran, av andra tekniska tjänster som hänger samman med driften av den primära databasen och som bidrar till att databassystemet fungerar väl.

2.   När de centrala tjänster som avses i punkt 1 leden 1 och 2 fastställs ska det i avtalet ingå specifikationer om driftsduglighet, tillgänglighet och prestanda för de tjänster som ska uppfylla minimikraven i denna förordning och i kapitel V i genomförandeförordning (EU) 2018/574.

Artikel 4

Teknisk sakkunskap

I avtalet ska det anges att leverantörerna ska lämna en skriftlig försäkran till tillverkaren eller importören om att de har eller förfogar över den tekniska och operativa sakkunskap som krävs för att utföra de tjänster som avses i artikel 3 och för att uppfylla kraven i kapitel V i genomförandeförordning (EU) 2018/574.

Artikel 5

Tillgänglighet till den primära databasen

1.   I avtalet ska en garanterad månatlig drifttid och en tillgänglighet på 99,5 % till den primära databasen anges.

2.   I avtalet ska det anges att leverantören ska införa lämpliga mekanismer för säkerhetskopiering för att förhindra att data som lagrats, tagits emot eller överförts går förlorade när den primära databasen inte är tillgänglig.

Artikel 6

Åtkomsträttigheter

I avtalet ska krav fastställas för den fysiska och virtuella åtkomst till den primära databasen som på server- och databasnivå ska beviljas nationella handläggare i medlemsstaterna, kommissionen och utnämnda externa revisorer i enlighet med artikel 25 i genomförandeförordning (EU) 2018/574.

Artikel 7

Anlitande av underleverantörer

1.   Om det i avtalet fastställs att leverantören får anlita underleverantörer för vissa skyldigheter enligt avtalet, ska det innehålla en bestämmelse där det framgår att underleverantörsavtalet inte påverkar leverantörens huvudansvar för fullgörandet av avtalet.

2.   I avtalet ska det dessutom anges att leverantören ska

a)

säkerställa att den föreslagna underleverantören har den tekniska sakkunskap som krävs och uppfyller kraven på oberoende i artikel 35 i genomförandeförordning (EU) 2018/574, och

b)

till kommissionen lämna en kopia av den försäkran som avses i artikel 8 i denna förordning och som undertecknats av respektive underleverantör(er).

Artikel 8

Rättsligt och ekonomiskt oberoende

I avtalet ska det anges att leverantörerna och, i tillämpliga fall, deras underleverantörer, tillsammans med avtalet om datalagring, ska lämna en skriftlig försäkran till tillverkaren eller importören om att de uppfyller kraven på rättsligt och ekonomiskt oberoende i artikel 35 i genomförandeförordning (EU) 2018/574.

Artikel 9

Dataskydd och konfidentialitet

1.   I avtalet ska det anges att leverantören ska vidta alla lämpliga åtgärder som krävs för att säkerställa alla lagrade datas konfidentialitet, integritet och tillgänglighet vid fullgörandet av avtalet. Dessa åtgärder ska omfatta administrativa, tekniska och fysiska säkerhetskontroller.

2.   Avtalet ska innehålla ett krav på att personuppgifter som hanteras inom ramen för avtalet behandlas i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (3).

Artikel 10

Hantering av informationssäkerhet

I avtalet ska det anges att leverantörerna ska försäkra att den primära databasen och, i tillämpliga fall, den sekundära databasen, förvaltas i enlighet med internationellt erkända standarder för hantering av informationssäkerhet. Det ska förutsättas att leverantörer som certifierats enligt ISO/IEC 27001:2013 uppfyller dessa standarder.

Artikel 11

Kostnader

I avtalet ska det anges att de kostnader som leverantörerna uppbär av tillverkare eller importörer i enlighet med artikel 30 i genomförandeförordning (EU) 2018/574 ska vara rättvisa, rimliga och proportionella i förhållande till

a)

de tjänster som tillhandahålls, och

b)

antalet unika identitetsmärkningar som den berörda tillverkaren eller importören begär under en viss tidsperiod.

Artikel 12

Deltagande i det sekundära databassystemet

1.   I avtalet ska det anges att leverantören ska delta i inrättandet av det sekundära databassystemet (om ett sådant system inte redan inrättades den dag då avtalet ingicks) om så krävs i enlighet med bestämmelserna i kapitel V i genomförandeförordning (EU) 2018/574.

2.   I avtalet ska det ingå en bestämmelse som gör det möjligt för leverantörerna att av tillverkare och importörer av tobaksvaror uppbära de kostnader som uppstår i samband med inrättandet, driften och underhållet av den sekundära databas och router som avses i kapitel V i genomförandeförordning (EU) 2018/574.

Artikel 13

Löptid

Avtalets löptid ska fastställas till minst fem år, med möjlighet till förlängning om parterna är överens om detta och om leverantören fortfarande uppfyller kraven i direktiv 2014/40/EU och i genomförandeförordning (EU) 2018/574.

Artikel 14

Kommunikation med andra parter

I avtalet ska det anges att leverantörerna ska samarbeta med varandra och med de behöriga myndigheterna i medlemsstaterna i den utsträckning som är nödvändig för att säkerställa att den dagliga driften av databassystemet är organiserad på ett effektivt sätt.

Artikel 15

Revisioner

1.   I avtalet ska det fastställas villkor som gör det möjligt för externa revisorer som godkänts av kommissionen att, i enlighet med artikel 15.8 i direktiv 2014/40/EU, utföra aviserade och oaviserade revisioner av den primära databasen och, i tillämpliga fall, den sekundära databasen, inklusive en bedömning av om leverantören och, i tillämpliga fall, underleverantörerna uppfyller relevanta rättsliga krav.

2.   I avtalet ska det anges att externa revisorer under hela revisionen ska ges obegränsad fysisk och virtuell åtkomst till den primära databasen och, i tillämpliga fall, till den sekundära databasen med tillhörande tjänster.

Artikel 16

Skadeståndsansvar

I avtalet ska det i enlighet med tillämplig lag fastställas villkor för parternas skadeståndsansvar, inklusive för direkta och indirekta skador som kan uppstå inom ramen för avtalet. Utan att den tillämpliga lagen påverkas ska det i avtalet dessutom anges att skadeståndsansvaret är obegränsat vid brott mot regler om konfidentialitet och dataskydd.

Artikel 17

Uppsägning av avtal

1.   I avtalet ska det i enlighet med tillämplig lag fastställas villkor för uppsägning av avtalet. Om avtalet sägs upp ska den uppsägande parten enligt avtalet vara skyldig att meddela kommissionen detta, i enlighet med de formella kraven i bilaga I till genomförandeförordning (EU) 2018/574.

2.   I avtalet ska det anges att parterna har en uppsägningstid på minst fem månader.

Genom undantag från punkt 1 ska det i avtalet anges att tillverkare och importörer omedelbart ska säga upp avtalet

a)

om leverantören allvarligt åsidosätter sina skyldigheter enligt avtalet,

b)

om leverantören i enlighet med tillämplig lag blir eller löper en omedelbar risk att bli insolvent.

3.   Vid tillämpningen av punkt 2 a avses med allvarligt åsidosättande följande:

a)

När en leverantör underlåter att fullgöra skyldigheter eller att tillhandahålla tjänster som fastställts i avtalet och som är centrala för att spårbarhetssystemet ska fungera effektivt, och i synnerhet inte uppfyller kraven i kapitel V i genomförandeförordning (EU) 2018/574.

b)

När en leverantör inte längre uppfyller kraven på rättsligt och ekonomiskt oberoende i artikel 35.2 i genomförandeförordning (EU) 2018/574, och när det vid utgången av den tidsperiod som avses i artikel 35.6 i genomförandeförordning (EU) 2018/574 inte kunde fastställas att kraven uppfylldes.

Artikel 18

Uppehåll i tjänsterna

I avtalet ska det anges att en leverantör inte får göra ett uppehåll i tjänsterna om en tillverkare eller en importör är sen med betalningen till leverantören, om inte förseningen överskrider tidsfristen för den slutliga betalningen med minst trettio dagar.

Artikel 19

Dataportabilitet

1.   I avtalet ska det anges att leverantörerna ska säkerställa fullständig dataportabilitet om en tillverkare eller en importör ingår ett avtal med en ny leverantör för driften av dess primära databas. Före den dag då avtalet upphör ska den aktuella leverantören överlämna en uppdaterad kopia av alla data som lagrats i den primära databasen till den nya leverantören. Alla uppdateringar av data efter detta överlämnande ska utan onödigt dröjsmål överlämnas till den nya leverantören.

2.   I syfte att säkerställa driftskontinuitet ska det i avtalet ingå en tillämplig uppsägningsplan med det förfarande som ska följas när ett avtal sägs upp och tillverkaren eller importören ingår ett nytt avtal med en ny leverantör. I planen ska det anges att den aktuella leverantören ska fortsätta att tillhandahålla sina tjänster tills den nya leverantören är verksam.

3.   I avtalet ska det ingå bestämmelser som säkerställer att den aktuella leverantören inte får lagra någon form av data, information eller annat nödvändigt material som hänger samman med den primära databasen efter det att dessa har överlämnats till den nya leverantören.

Artikel 20

Tillämplig lag och jurisdiktion

1.   På avtalet ska, enligt överenskommelse mellan avtalsparterna, lagstiftningen i en av Europeiska unionens medlemsstater tillämpas.

2.   Avtalet ska, enligt överenskommelse mellan avtalsparterna, omfattas av jurisdiktionen i en av Europeiska unionens medlemsstater.

Artikel 21

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 15 december 2017.

På kommissionens vägnar

Jean-Claude JUNCKER

Ordförande


(1)  EUT L 127, 29.4.2014, s. 1.

(2)  Kommissionens genomförandeförordning (EU) 2018/574 av den 15 december 2017 om tekniska standarder för inrättande och drift av ett spårbarhetssystem för tobaksvaror (se sidan 7 i detta nummer av EUT).

(3)  Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).