Data Act 2023/2854 RO

(a)	punerea de date referitoare la un produs și de date referitoare la un serviciu conex la dispoziția utilizatorului produsului conectat sau serviciului conex;

(b)	punerea de date la dispoziția destinatarilor datelor de către deținătorii de date;

(c)	punerea de date la dispoziția organismelor din sectorul public, a Comisiei, a Băncii Centrale Europene și a organelor Uniunii de către deținătorii de date, în cazul în care există o nevoie excepțională pentru respectivele date, pentru îndeplinirea unei sarcini specifice de interes public;

(d)	facilitarea trecerii de la un serviciu de prelucrare a datelor la altul;

(e)	introducerea unor garanții împotriva accesului ilegal al terților la date fără caracter personal; și

(f)	elaborarea de standarde de interoperabilitate pentru datele care urmează să fie accesate, transferate și utilizate.

(2) Prezentul regulament se referă la datele cu caracter personal și datele fără caracter personal, inclusiv la următoarele tipuri de date, în următoarele contexte:

(a)	capitolul II se aplică datelor, cu excepția conținutului, privind performanța, utilizarea și mediul produselor conectate și ale serviciilor conexe;

(b)	capitolul III se aplică tuturor datelor din sectorul privat care fac obiectul obligațiilor statutare privind partajarea de date;

(c)	capitolul IV se aplică tuturor datelor din sectorul privat care se accesează și se utilizează pe baza unor contracte între întreprinderi;

(d)	capitolul V se aplică tuturor datelor din sectorul privat, cu accent pe datele fără caracter personal;

(e)	capitolul VI se aplică tuturor datelor și serviciilor prelucrate de furnizorii de servicii de prelucrare a datelor;

(f)	capitolul VII se aplică tuturor datelor fără caracter personal deținute în Uniune de furnizori de servicii de prelucrare a datelor.

(3) Prezentul regulament se aplică:

(a)	fabricanților de produse conectate introduse pe piață în Uniune și furnizorilor de servicii conexe, indiferent de locul de stabilire al respectivilor fabricanți și furnizori;

(b)	utilizatorilor în Uniune de produse conectate sau de servicii conexe astfel cum se menționează la litera (a);

(c)	deținătorilor de date, indiferent de locul de stabilire al acestora, care pun date la dispoziția destinatarilor datelor din Uniune;

(d)	destinatarilor datelor din Uniune cărora le sunt puse la dispoziție date;

(e)

organismelor din sectorul public, Comisiei, Băncii Centrale Europene și organelor Uniunii care înaintează deținătorilor de date o cerere de punere la dispoziție de date în cazul în care există o nevoie excepțională de datele respective pentru îndeplinirea unei sarcini specifice de interes public și deținătorilor de date care furnizează datele respective ca răspuns la o astfel de cerere;

(f)	furnizorilor de servicii de prelucrare a datelor, indiferent de locul de stabilire al acestora, care oferă astfel de servicii clienților din Uniune;

(g)	participanților la spațiile de date și vânzătorilor de aplicații care utilizează contracte inteligente și persoanelor a căror activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord.

(4) Trimiterile la produse conectate sau servicii conexe din prezentul regulament se înțeleg ca incluzând și asistenții virtuali, în măsura în care aceștia interacționează cu un produs conectat sau un serviciu conex.

(5) Prezentul regulament nu aduce atingere dreptului Uniunii și dreptului intern privind protecția datelor cu caracter personal, a vieții private și a confidențialității comunicațiilor și a integrității echipamentelor terminale, care se aplică datelor cu caracter personal prelucrate în legătură cu drepturile și obligațiile stabilite în acesta, în special Regulamentelor (UE) 2016/679 și (UE) 2018/1725 și Directivei 2002/58/CE, nici atribuțiilor și competențelor autorităților de supraveghere și nici drepturilor persoanelor vizate. În măsura în care utilizatorii sunt persoanele vizate, drepturile prevăzute în capitolul II din prezentul regulament completează dreptul de acces al persoanelor vizate și drepturile la portabilitatea datelor prevăzute la articolele 15 și 20 din Regulamentul (UE) 2016/679. În cazul unui conflict între prezentul regulament și dreptul Uniunii privind protecția datelor cu caracter personal sau a vieții private ori legislația națională adoptată în conformitate cu dreptul respectiv al Uniunii, prevalează dreptul Uniunii sau dreptul intern relevant privind protecția datelor cu caracter personal sau a vieții private.

(6) Prezentul regulament nu se aplică în cazul înțelegerilor voluntare de schimb de date între entități private și publice, în special al înțelegerilor voluntare de partajare de date, și nici nu împiedică astfel de înțelegeri.

Prezentul regulament nu aduce atingere actelor juridice ale Uniunii sau actelor juridice naționale care prevăd partajarea, accesarea și utilizarea de date în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, sau în scopuri vamale sau fiscale, în special Regulamentelor (UE) 2021/784, (UE) 2022/2065 și (UE) 2023/1543 și Directivei (UE) 2023/1544 sau cooperării internaționale în domeniul respectiv. Prezentul regulament nu se aplică activităților de colectare de date sau partajare de date, acces la date sau utilizare de date desfășurate în temeiul Regulamentului (UE) 2015/847 și al Directivei (UE) 2015/849. Prezentul regulament nu se aplică domeniilor care nu intră în sfera de aplicare a dreptului Uniunii și, sub nicio formă, nu aduce atingere competențelor statelor membre în materie de siguranță publică, apărare sau securitate națională, indiferent de tipul de entitate însărcinată de statele membre să îndeplinească sarcini în legătură cu aceste competențe, sau competenței acestora de a proteja alte funcții esențiale ale statului, inclusiv asigurarea integrității teritoriale a statului și menținerea ordinii publice. Prezentul regulament nu aduce atingere competențelor pe care le au statele membre în ceea ce privește administrația vamală și fiscală sau sănătatea și siguranța cetățenilor.

(7) Prezentul regulament completează abordarea bazată pe autoreglementare din Regulamentul (UE) 2018/1807 prin adăugarea de obligații general aplicabile în ceea ce privește trecerea la alt furnizor de servicii de cloud.

(8) Prezentul regulament nu aduce atingere actelor juridice ale Uniunii și actelor juridice naționale care prevăd protecția drepturilor de proprietate intelectuală, în special Directivelor 2001/29/CE, 2004/48/CE și (UE) 2019/790.

(9) Prezentul regulament completează și nu aduce atingere dreptului Uniunii care vizează promovarea intereselor consumatorilor și asigurarea unui nivel ridicat de protecție a consumatorilor, precum și protejarea sănătății, siguranței și intereselor economice ale acestora, în special Directivelor 93/13/CEE, 2005/29/CE și 2011/83/UE.

(10) Prezentul regulament nu împiedică încheierea de contracte legale voluntare de partajare de date, inclusiv contracte încheiate pe bază de reciprocitate, care respectă cerințele prevăzute în prezentul regulament.

Articolul 2

efiniții

În sensul prezentului regulament, se aplică următoarele definiții:

1.	„date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale;

2.	„metadate” înseamnă o descriere structurată a conținutului sau a utilizării datelor care facilitează descoperirea sau utilizarea acestor date;

3.	„date cu caracter personal” înseamnă date cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

4.	„date fără caracter personal” înseamnă alte date decât datele cu caracter personal;

„produs conectat” înseamnă un bun care obține, generează sau colectează date privind utilizarea sau mediul său, care are capacitatea de a comunica date referitoare la produs prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat și a cărui funcție principală nu este stocarea, prelucrarea sau transmiterea datelor în numele altor părți decât utilizatorul;

„serviciu conex” înseamnă un serviciu digital, altul decât un serviciu de comunicații electronice, inclusiv un software, care este conectat la produs la momentul achiziționării, al închirierii sau al leasingului astfel încât absența sa ar împiedica produsul conectat să îndeplinească una sau mai multe dintre funcțiile sale, sau care este ulterior conectat la produs de către fabricant sau de către un terț pentru a suplimenta, actualiza sau adapta funcțiile produsului conectat;

„prelucrare” înseamnă orice operațiune sau serie de operațiuni efectuate asupra datelor sau a seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

„serviciu de prelucrare a datelor” înseamnă un serviciu digital care este furnizat unui client și care permite accesul ubicuu și la cerere în rețea la un bazin comun configurabil, scalabil și elastic de resurse informatice cu un caracter centralizat, distribuit sau foarte distribuit care pot fi rapid mobilizate și eliberate cu un efort minim de administrare sau de interacțiune cu furnizorul de servicii;

9.	„același tip de serviciu” înseamnă un set de servicii de prelucrare a datelor care au în comun același obiectiv principal, același model de serviciu de prelucrare a datelor și funcționalitățile principale;

10.	„serviciu de intermediere de date” înseamnă un serviciu de intermediere de date astfel cum este definit la articolul 2 punctul 11 din Regulamentul (UE) 2022/868;

11.	„persoană vizată” înseamnă persoană vizată astfel cum se menționează la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

12.	„utilizator” înseamnă o persoană fizică sau juridică care deține un produs conectat sau căreia i-au fost transferate prin contract drepturi temporare de utilizare a produsului conectat respectiv sau care primește servicii conexe;

13.

„deținător de date” înseamnă o persoană fizică sau juridică care, în conformitate cu prezentul regulament, cu dreptul aplicabil al Uniunii sau cu legislația națională adoptată în conformitate cu dreptul Uniunii, are dreptul sau obligația de a utiliza și de a pune la dispoziție date, inclusiv, dacă s-a convenit prin contract, date referitoare la produs sau date referitoare la un serviciu conex pe care le-a extras sau pe care le-a generat în timpul furnizării unui serviciu conex;

14.

„destinatarul datelor” înseamnă o persoană fizică sau juridică acționând în scopuri legate de activitatea sa comercială, economică, meșteșugărească sau profesională, care este diferită de utilizatorul unui produs conectat sau al unui serviciu conex, putând fi și un terț, și căreia deținătorul de date îi pune la dispoziție date în urma unei cereri primite de la utilizator sau în conformitate cu o obligație juridică prevăzută în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii;

15.

„date referitoare la produs” înseamnă date generate prin utilizarea unui produs conectat pe care fabricantul le-a proiectat astfel încât să poată fi extrase, prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat, de către un utilizator, un deținător de date sau un terț, inclusiv, după caz, de către fabricant;

16.

„date referitoare la serviciul conex” înseamnă date care reprezintă digitizarea acțiunilor și evenimentelor utilizatorilor legate de produsul conectat, înregistrate în mod intenționat de utilizator sau generate ca produs secundar al acțiunii utilizatorului în timpul furnizării unui serviciu conex de către furnizor;

17.

„date ușor accesibile” înseamnă datele referitoare la un produs și datele referitoare la un serviciu conex pe care un deținător de date le obține sau le poate obține în mod legal de la produsul conectat sau de la serviciul conex, fără a fi nevoie de un efort disproporționat care să depășească cadrul unei simple operații;

18.	„secret comercial” înseamnă un secret comercial astfel cum este definit la articolul 2 punctul 1 din Directiva (UE) 2016/943;

19.	„deținătorul secretului comercial” înseamnă un deținător al secretului comercial astfel cum este definit la articolul 2 punctul 2 din Directiva (UE) 2016/943;

20.	„creare de profiluri” înseamnă creare de profiluri astfel cum este definită la articolul 4 punctul 4 din Regulamentul (UE) 2016/679;

21.	„punere la dispoziție pe piață” înseamnă orice furnizare a unui produs conectat pentru distribuție, consum sau utilizare pe piața Uniunii în cursul unei activități comerciale, contra cost sau gratuit;

22.	„introducere pe piață” înseamnă punerea la dispoziție pentru prima oară a unui produs conectat pe piața Uniunii;

23.	„consumator” înseamnă orice persoană fizică ce acționează în scopuri care nu se încadrează în activitatea sa comercială, economică, meșteșugărească sau profesională;

24.	„întreprindere” înseamnă o persoană fizică sau juridică care acționează, în cadrul contractelor și practicilor care intră în domeniul de aplicare al prezentului regulament, în scopuri care au legătură cu activitatea sa comercială, economică, meșteșugărească sau profesională;

25.	„întreprindere mică” înseamnă o întreprindere mică astfel cum este definită la articolul 2 alineatul (2) din anexa la Recomandarea 2003/361/CE;

26.	„microîntreprindere” înseamnă o microîntreprindere astfel cum este definită la articolul 2 alineatul (3) din Recomandarea 2003/361/CE;

27.	„organe ale Uniunii” înseamnă organele, oficiile și agențiile Uniunii instituite prin sau în temeiul unor acte adoptate în temeiul Tratatului privind Uniunea Europeană, a TFUE sau a Tratatului de instituire a Comunității Europene a Energiei Atomice;

28.	„organism din sectorul public” înseamnă autoritățile naționale, regionale sau locale ale statelor membre și organismele de drept public ale statelor membre sau asociațiile formate din una sau mai multe astfel de autorități ori din unul sau mai multe astfel de organisme;

29.

„situație de urgență” înseamnă o situație excepțională, limitată în timp, cum ar fi o situație de urgență de sănătate publică, o situație de urgență cauzată de dezastre naturale, un dezastru antropic major, inclusiv un incident major de securitate cibernetică, care are efecte negative asupra populației Uniunii, asupra unui stat membru sau asupra unei părți ale unui stat membru, cu un risc de repercusiuni grave și de durată asupra condițiilor de viață sau a stabilității economice, a stabilității financiare ori de degradare substanțială și imediată a activelor economice din Uniune ori din statul membru relevant, și care este stabilită sau declarată în mod oficial în conformitate cu procedurile relevante în temeiul dreptului Uniunii sau al dreptului intern;

30.	„client” înseamnă o persoană fizică sau juridică care a intrat într-o relație contractuală cu un furnizor de servicii de prelucrare a datelor cu scopul de a utiliza unul sau mai multe servicii de prelucrare a datelor;

31.

„asistenți virtuali” înseamnă un software care poate prelucra cereri, sarcini sau întrebări, inclusiv cele exprimate în formă audio, prin text, prin gesturi sau prin mișcări, și care, pe baza respectivelor cereri, sarcini sau întrebări, oferă acces la alte servicii sau controlează funcțiile produselor conectate;

32.	„active digitale” înseamnă elemente în format digital, inclusiv aplicații, asupra cărora clientul are drept de utilizare, indiferent de relația contractuală cu serviciul de prelucrare a datelor pe care intenționează să îl schimbe;

33.	„infrastructura TIC locală” înseamnă o infrastructură TIC și resurse informatice deținute, închiriate sau utilizate în sistem de leasing de client, situate în centrul de date al clientului și exploatate de client sau de un terț;

34.

„trecere la alt furnizor” înseamnă procesul care implică un furnizor de servicii de prelucrare a datelor de origine, un client al unui serviciu de prelucrare a datelor și, după caz, un furnizor de servicii de prelucrare a datelor de destinație, prin care clientul unui serviciu de prelucrare a datelor trece de la utilizarea unui serviciu de prelucrare a datelor la utilizarea unui alt serviciu de prelucrare a datelor, care este același tip de serviciu, sau la alt serviciu, oferit de un furnizor diferit de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, inclusiv prin extragerea, transformarea și încărcarea datelor;

35.

„taxe pentru ieșirea datelor prin transfer” înseamnă taxele de transfer de date percepute clienților pentru extragerea datelor lor prin intermediul rețelei din infrastructura TIC a unui furnizor de servicii de prelucrare a datelor către sistemul unui furnizor diferit sau către o infrastructură TIC locală;

36.

„taxe de trecere la alt furnizor” înseamnă taxe, altele decât taxele standard pentru servicii sau penalitățile pentru reziliere anticipată, impuse de un furnizor de servicii de prelucrare a datelor unui client pentru acțiunile prevăzute de prezentul regulament pentru trecerea la sistemul unui furnizor diferit sau la infrastructura TIC locală, inclusiv taxele pentru ieșirea datelor prin transfer;

37.

„echivalență funcțională” înseamnă restabilirea, pe baza datelor exportabile și a activelor digitale ale clientului, a unui nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor, care este același tip de serviciu, după procesul de trecere la alt furnizor, în situația în care serviciul de prelucrare a datelor de destinație produce rezultate realmente comparabile ca răspuns la aceleași date de intrare pentru caracteristicile partajate furnizate clientului în temeiul contractului;

38.

„date exportabile”, în sensul articolelor 23-31 și al articolului 35, înseamnă datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate, prin utilizarea de către client a serviciului de prelucrare a datelor, cu excepția oricăror active sau date protejate de drepturi de proprietate intelectuală, sau care constituie secrete comerciale, ale furnizorilor de servicii de prelucrare a datelor sau ale terților;

39.	„contract inteligent” înseamnă un program pentru calculator utilizat pentru executarea automată a unui contract sau a unei părți a acestuia, utilizând o secvență de înregistrări electronice de date și asigurând integritatea și acuratețea ordonării lor cronologice;

40.	„interoperabilitate” înseamnă capacitatea a două sau mai multe spații de date sau rețele de comunicații, sisteme, produse conectate, aplicații, servicii de prelucrare a datelor sau componente de a schimba și de a utiliza date în vederea îndeplinirii funcțiilor lor;

41.	„specificație deschisă de interoperabilitate” înseamnă o specificație tehnică în domeniul tehnologiilor informației și comunicațiilor care este orientată spre performanța realizării interoperabilității între serviciile de prelucrare a datelor;

42.	„specificații comune” înseamnă un document, diferit de un standard, ce conține soluții tehnice care oferă un mijloc de respectare a anumitor cerințe și obligații stabilite în prezentul regulament;

43.	„standard armonizat” înseamnă un standard armonizat astfel cum este definit la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012.

CAPITOLUL II

PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI

Articolul 8

Condițiile în care deținătorii de date pun date la dispoziția destinatarilor datelor

(1) În cazul în care, în relațiile dintre întreprinderi, un deținător de date este obligat să pună date la dispoziția unui destinatar al datelor în temeiul articolului 5 sau în temeiul altor acte din dreptul aplicabil al Uniunii sau din legislația națională adoptate în conformitate cu dreptul Uniunii, respectivul deținător de date convine cu un destinatar al datelor modalitățile de punere la dispoziție a datelor și face acest lucru în conformitate cu clauze și condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent, în conformitate cu prezentul capitol și cu capitolul IV.

(2) O clauză contractuală care se referă la accesul la date și la utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu este obligatorie dacă este o clauză contractuală abuzivă în înțelesul articolului 13 sau dacă exclude aplicarea drepturilor utilizatorului prevăzute în capitolul II, derogă de la respectivele drepturi sau modifică efectul acestora, în detrimentul utilizatorului.

(3) Un deținător de date nu discriminează, în ceea ce privește modalitățile de punere la dispoziție a datelor, între categorii comparabile de destinatari ai datelor, inclusiv întreprinderi partenere sau întreprinderi afiliate deținătorului de date, când pune la dispoziție date. În cazul în care un destinatar al datelor consideră discriminatorii condițiile în care i-au fost puse la dispoziție datele, deținătorul de date furnizează fără întârziere destinatarului datelor, la cererea motivată a acestuia, informații care arată că nu a existat nicio discriminare.

(4) Un deținător de date nu poate să pună date la dispoziția unui destinatar al datelor, inclusiv în mod exclusiv, cu excepția cazului în care există o cerere introdusă în acest sens de utilizator în temeiul capitolului II.

(5) Deținătorii de date și destinatarii datelor nu au obligația de a furniza informații în plus față de cele necesare pentru verificarea respectării clauzelor contractuale convenite pentru punerea la dispoziție a datelor sau a obligațiilor care le revin în temeiul prezentului regulament sau al altor acte din dreptul aplicabil al Uniunii sau din legislația națională adoptate în conformitate cu dreptul Uniunii.

(6) Cu excepția cazului în care se prevede altfel în dreptul Uniunii, inclusiv la articolul 4 alineatul (6) și la articolul 5 alineatul (9) din prezentul regulament, sau în legislația națională adoptată în conformitate cu dreptul Uniunii, obligația de a pune date la dispoziția unui destinatar al datelor nu include obligația de divulgare a unor secrete comerciale.

Articolul 9

Compensație pentru punerea de date la dispoziție

(1) Orice compensație convenită între un deținător de date și un destinatar al datelor pentru punerea de date la dispoziție în relațiile dintre întreprinderi trebuie să fie nediscriminatorie și rezonabilă și poate include o marjă.

(2) Atunci când convin asupra oricărei compensații, deținătorul de date și destinatarul datelor iau în considerare în special:

(a)	costurile suportate pentru punerea la dispoziție a datelor, inclusiv, în special, costurile necesare pentru formatarea datelor, diseminarea prin mijloace electronice și stocarea acestora;

(b)	investițiile în colectarea și producerea de date, după caz, luând în considerare dacă alte părți au contribuit la obținerea, generarea sau colectarea datelor în cauză.

(3) Compensația menționată la alineatul (1) poate varia, de asemenea, în funcție de volumul, formatul sau natura datelor.

(4) În cazul în care destinatarul datelor este o IMM sau o organizație de cercetare fără scop lucrativ și în cazul în care un astfel de destinatar de date nu are întreprinderi partenere sau întreprinderi afiliate care nu se califică drept IMM-uri, nicio compensație convenită nu depășește costurile menționate la alineatul (2) litera (a).

(5) Comisia adoptă orientări privind calcularea compensației rezonabile, ținând seama de avizul Comitetului european pentru inovare în domeniul datelor (EDIB) menționat la articolul 42.

(6) Prezentul articol nu împiedică alte acte legislative ale Uniunii sau ale legislației naționale adoptate în conformitate cu dreptul Uniunii să excludă compensațiile pentru punerea la dispoziție a datelor sau prevederea unei compensații mai mici.

(7) Deținătorul de date trebuie să furnizeze destinatarului datelor informații suficient de detaliate cu privire la baza de calculare a compensației, astfel încât destinatarul datelor să poată evalua dacă sunt îndeplinite cerințele de la alineatele (1)-(4).

Articolul 10

Soluționarea litigiilor

(1) Utilizatorii, deținătorii de date și destinatarii datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigii în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), precum și litigii în legătură cu clauzele și condițiile echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor și cu modul transparent de punere la dispoziție a datelor, în conformitate cu prezentul capitol și cu capitolul IV.

(2) Organismele de soluționare a litigiilor aduc taxele sau mecanismele utilizate pentru stabilirea taxelor la cunoștința părților în cauză înainte ca părțile respective să solicite emiterea unei decizii.

(3) În ceea ce privește litigiile pentru care a fost sesizat organismul de soluționare a litigiilor în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), în cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea utilizatorului sau a destinatarului datelor, deținătorul de date suportă toate taxele percepute de organismul de soluționare a litigiilor și rambursează utilizatorului sau destinatarului respectiv orice alte cheltuieli rezonabile pe care le-a suportat în legătură cu soluționarea litigiului. În cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea deținătorului de date, utilizatorul sau destinatarul datelor nu are obligația de a rambursa eventualele taxe sau alte cheltuieli pe care deținătorul de date le-a plătit sau pe care urmează să le plătească în legătură cu soluționarea litigiului, cu excepția cazului în care organismul de soluționare a litigiilor constată că utilizatorul sau destinatarul datelor a acționat în mod evident cu rea-credință.

(4) Clienții și furnizorii de servicii de prelucrare a datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigiile legate de încălcarea drepturilor clienților și a obligațiilor furnizorilor de servicii de prelucrare a datelor, în conformitate cu articolele 23-31.

(5) Statul membru în care este stabilit organismul de soluționare a litigiilor certifică organismul, la cererea organismului respectiv, în cazul în care acesta a demonstrat că îndeplinește toate condițiile următoare:

(a)	este imparțial și independent și emite decizii în conformitate cu norme de procedură clare, nediscriminatorii și echitabile;

(b)

dispune de cunoștințele de specialitate necesare, în special privind clauzele și condițiile echitabile, rezonabile și nediscriminatorii, inclusiv privind compensațiile, și privind punerea la dispoziție a datelor într-un mod transparent, ceea ce îi permite să stabilească în mod eficace clauzele și condițiile respective;

(c)	este ușor de accesat prin intermediul tehnologiei comunicațiilor electronice;

(d)	are capacitatea de a adopta decizii într-un mod rapid, eficace și eficient din punctul de vedere al costurilor în cel puțin o limbă oficială a Uniunii.

(6) Organismele de soluționare a litigiilor certificate sunt notificate Comisiei de către statele membre în conformitate cu alineatul (5). Comisia publică pe un site specializat o listă a organismelor respective, pe care o actualizează în permanență.

(7) Un organism de soluționare a litigiilor refuză să trateze o cerere de soluționare a unui litigiu dacă pentru același litigiu s-a introdus deja o cerere în fața altui organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(8) Un organism de soluționare a litigiilor acordă părților, într-un termen rezonabil, posibilitatea de a-și exprima punctele de vedere asupra chestiunilor pe care părțile respective le-au introdus în fața organismului respectiv. În contextul respectiv, fiecare parte la un litigiu primește concluziile celeilalte părți la litigiu și eventualele declarații ale experților. Părților li se oferă posibilitatea de a prezenta observații cu privire la cererile și declarațiile respective.

(9) Un organism de soluționare a litigiilor adoptă o decizie cu privire la chestiunea pentru care a fost sesizat în termen de cel mult 90 de zile de la data primirii unei cereri în temeiul alineatelor (1) și (4). Decizia respectivă este scrisă sau pe un suport durabil și este însoțită de o expunere de motive.

(10) Organismele de soluționare a litigiilor întocmesc și pun la dispoziția publicului rapoartele lor anuale de activitate. Fiecare astfel de raport anual include, în special, următoarele informații:

(a)	rezultatele agregate ale litigiilor;

(b)	timpul mediu necesar pentru soluționarea litigiilor;

(c)	motivele cele mai frecvente ale litigiilor.

(11) Pentru facilitarea schimbului de informații și de bune practici, un organism de soluționare a litigiilor poate decide să includă recomandări în raportul menționat la alineatul (10) privind modul în care pot fi evitate sau soluționate problemele.

(12) Decizia unui organism de soluționare a litigiilor este obligatorie pentru părți numai dacă părțile și-au dat consimțământul explicit cu privire la caracterul său obligatoriu înainte de începerea procedurii de soluționare a litigiilor.

(13) Prezentul articol nu aduce atingere dreptului părților de a introduce o cale de atac eficientă în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

Articolul 11

Măsuri tehnice de protecție privind utilizarea sau divulgarea neautorizată de date

(1) Un deținător de date poate să aplice măsuri tehnice de protecție corespunzătoare, inclusiv contracte inteligente și criptare, pentru a preveni accesul neautorizat la date, inclusiv metadate, și pentru a asigura respectarea articolelor 4, 5, 6, 8 și 9, precum și a clauzelor contractuale convenite pentru punerea la dispoziție a datelor. Aceste măsuri tehnice de protecție nu discriminează diferiții destinatari ai datelor și nici nu obstrucționează dreptul unui utilizator de a obține o copie a datelor ori de a extrage, utiliza sau accesa datele sau de a furniza date unor terți în temeiul articolului 5 sau orice drept al unui terț prevăzut în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii. Utilizatorii, terții și destinatarii datelor nu modifică sau elimină astfel de măsuri tehnice de protecție, cu excepția cazului în care deținătorul de date își dă acordul în acest sens.

(2) În circumstanțele menționate la alineatul (3), terțul sau destinatarul datelor dă curs, fără întârzieri nejustificate, cererilor deținătorului de date și, după caz, atunci când aceștia nu sunt aceeași persoană, deținătorului secretului comercial, sau ale utilizatorului:

(a)	de a șterge datele puse la dispoziție de către deținătorul datelor și toate copiile acestora;

(b)

de a înceta producerea, oferirea, sau introducerea pe piață sau utilizarea bunurilor, a datelor derivate sau a serviciilor produse pe baza cunoștințelor obținute prin intermediul unor astfel de date ori importul, exportul sau depozitarea de bunuri care încalcă drepturile prevăzute în scopurile respective și de a distruge eventualele bunuri care încalcă drepturile respective, în cazul în care există un risc grav ca utilizarea ilegală a acestor date să cauzeze un prejudiciu semnificativ deținătorului de date, deținătorului secretului comercial sau utilizatorului sau în cazul în care o astfel de măsură nu ar fi disproporționată în raport cu interesele deținătorului de date, ale deținătorului secretului comercial sau ale utilizatorului;

(c)	de a informa utilizatorul cu privire la utilizarea sau divulgarea neautorizată a datelor și la măsurile luate pentru a pune capăt utilizării sau divulgării neautorizate a datelor;

(d)	de a compensa partea care suferă de pe urma utilizării abuzive sau a divulgării unor astfel de date accesate sau utilizate în mod ilegal.

(3) Alineatul (2) se aplică în cazul în care un terț sau un destinatar al datelor:

(a)	în scopul obținerii de date a furnizat informații false unui deținător de date, a utilizat mijloace înșelătoare sau coercitive sau a abuzat de lacunele din infrastructura tehnică a deținătorului de date destinată să protejeze datele;

(b)	a utilizat datele puse la dispoziție în scopuri neautorizate, inclusiv pentru dezvoltarea unui produs conectat concurent în sensul articolului 6 alineatul (2) litera (e);

(c)	a divulgat în mod ilegal date unei alte părți;

(d)	nu a menținut măsurile tehnice și organizatorice convenite în temeiul articolului 5 alineatul (9); sau

(e)	a modificat sau eliminat măsurile tehnice de protecție aplicate de deținătorul de date în temeiul alineatului (1) de la prezentul articol fără acordul deținătorului de date.

(4) Alineatul (2) se aplică și în cazul în care un utilizator modifică sau elimină măsurile tehnice de protecție aplicate de deținătorul de date sau nu menține măsurile tehnice și organizatorice luate de utilizator de comun acord cu deținătorul de date sau, dacă nu este aceeași persoană, cu deținătorul secretelor comerciale, pentru a păstra secretele comerciale, precum și în ceea ce privește orice altă parte care primește datele de la utilizator prin încălcarea prezentului regulament.

(5) În cazul în care destinatarul datelor încalcă articolul 6 alineatul (2) litera (a) sau (b), utilizatorii au aceleași drepturi ca deținătorii de date în temeiul alineatului (2) de la prezentul articol.

Articolul 12

Domeniul de aplicare al obligațiilor deținătorilor de date care au obligația în temeiul dreptului Uniunii de a pune date la dispoziție

(1) Prezentul capitol se aplică în cazul în care, în relațiile dintre întreprinderi, un deținător de date este obligat, în temeiul articolului 5 ori în temeiul dreptului aplicabil al Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii, să pună date la dispoziția unui destinatar al datelor.

(2) O clauză contractuală dintr-un acord de partajare de date care, în detrimentul uneia dintre părți sau, după caz, în detrimentul utilizatorului, exclude aplicarea prezentului capitol, derogă de la acesta sau îi modifică efectele nu este obligatorie pentru partea respectivă.

CAPITOLUL IV

CLAUZELE CONTRACTUALE ABUZIVE REFERITOARE LA ACCESAREA ȘI UTILIZAREA DE DATE ÎNTRE ÎNTREPRINDERI

Articolul 15

Nevoia excepțională de utilizare a datelor

(1) O nevoie excepțională de utilizare a anumitor date în sensul prezentului capitol este limitată ca timp și domeniu de aplicare și se consideră că există numai în oricare dintre următoarele circumstanțe:

(a)

în cazul în care datele solicitate sunt necesare pentru a răspunde unei situații de urgență, iar organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii nu este în măsură să obțină astfel de date prin mijloace alternative în timp util și în mod eficace, în condiții echivalente;

(b)

în circumstanțe care nu intră sub incidența literei (a) și numai în ceea ce privește datele fără caracter personal, în cazul în care:

(i)

un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii acționează în temeiul dreptului Uniunii sau al dreptului intern și a identificat date specifice, a căror lipsă îl împiedică să îndeplinească o sarcină specifică de interes public, care a fost prevăzută în mod explicit de lege, cum ar fi producerea de statistici oficiale sau atenuarea unei situații de urgență sau redresarea în urma unei astfel de situații de urgență; și

(ii)

organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii a epuizat toate celelalte mijloace de care dispune pentru a obține astfel de date, inclusiv achiziționarea de date de pe piață prin oferirea tarifelor de piață sau bazându-se pe obligațiile existente de a pune date la dispoziție sau prin adoptarea de noi măsuri legislative care ar putea asigura disponibilitatea în timp util a datelor.

(2) Alineatul (1) litera (b) nu se aplică microîntreprinderilor și întreprinderilor mici.

(3) Obligația de a demonstra că organismul din sectorul public nu a fost în măsură să obțină date fără caracter personal prin achiziționarea acestora de pe piață nu se aplică în cazul în care sarcina specifică de interes public este producerea de statistici oficiale și în cazul în care achiziționarea de astfel de date nu este permisă de dreptul intern.

Articolul 28

Obligații contractuale în materie de transparență privind accesul și transferul la nivel internațional

(1) Furnizorii de servicii de prelucrare a datelor publică următoarele informații pe site-urile lor web și le actualizează permanent:

(a)	jurisdicția sub incidența căreia intră infrastructura TIC instalată pentru prelucrarea datelor serviciilor lor individuale;

(b)

o descriere generală a măsurilor tehnice, organizatorice și contractuale adoptate de furnizorul de servicii de prelucrare a datelor pentru a împiedica accesul administrațiilor publice la nivel internațional sau transferul de către acestea de date fără caracter personal deținute în Uniune, în cazul în care un astfel de acces sau transfer ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2) Site-urile web menționate la alineatul (1) sunt enumerate în contractele aferente tuturor serviciilor de prelucrare a datelor oferite de furnizorii de servicii de prelucrare a datelor.

Articolul 33

Cerințe esențiale privind interoperabilitatea datelor, a mecanismelor și serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor

(1) Participanții la spațiile de date care oferă date sau servicii de date altor participanți respectă următoarele cerințe esențiale pentru a facilita interoperabilitatea datelor, a mecanismelor și a serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor, care sunt cadre interoperabile specifice fiecărui scop sau fiecărui sector ori transsectoriale de standarde și practici comune pentru partajarea sau prelucrarea în comun a datelor, printre altele, pentru dezvoltarea de noi produse și servicii, pentru cercetarea științifică sau pentru inițiative ale societății civile:

(a)

conținutul setului de date, restricțiile de utilizare, licențele, metodologia de colectare a datelor, calitatea datelor și incertitudinea datelor trebuie să fie descrise suficient, acolo unde este cazul într-un format care poate fi citit automat, pentru a i se permite destinatarului să găsească, să acceseze și să utilizeze datele;

(b)	structurile de date, formatele de date, vocabularele, sistemele de clasificare, taxonomiile și listele de coduri, dacă sunt disponibile, trebuie să fie descrise într-un mod accesibil publicului și coerent;

(c)

mijloacele tehnice de accesare a datelor, cum ar fi interfețele de programare a aplicațiilor, precum și condițiile de utilizare a acestora și calitatea serviciului trebuie să fie descrise suficient pentru a se permite accesarea și transmiterea automată a datelor între părți, inclusiv în mod continuu, sub formă de descărcare în masă sau în timp real, într-un format care poate fi citit automat, atunci când acest lucru este fezabil din punct de vedere tehnic și nu afectează buna funcționare a produsului conectat;

(d)	acolo unde este cazul, trebuie puse la dispoziție mijloacele care permit interoperabilitatea instrumentelor de automatizare a executării acordurilor de partajare de date, cum ar fi contractele inteligente.

Cerințele pot avea un caracter generic sau pot viza sectoare specifice, dar ținând în același timp seama pe deplin de interconectarea lor cu cerințele care decurg din dreptul Uniunii sau din dreptul intern.

(2) Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 45 din prezentul regulament pentru a-l completa prin detalierea suplimentară a cerințelor esențiale prevăzute la alineatul (1) de la prezentul articol, în ceea ce privește acele cerințe care, prin natura lor, nu pot produce efectul scontat decât dacă sunt specificate mai în detaliu în acte juridice obligatorii ale Uniunii și pentru a reflecta în mod corespunzător evoluțiile tehnologice și ale pieței.

Atunci când adoptă acte delegate, Comisia ține seama de avizul EDIB, în conformitate cu articolul 42 litera (c) punctul (iii).

(3) Participanții la spațiile de date care oferă date sau servicii de date altor participanți la spațiile de date ce îndeplinesc standardele armonizate sau părți ale acestora pentru care sunt publicate trimiteri în Jurnalul Oficial al Uniunii Europene sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de standarde armonizate sau părți ale acestora.

(4) Comisia, în temeiul articolului 10 din Regulamentul (UE) nr. 1025/2012, solicită uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatul (1) de la prezentul articol.

(5) Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune care să acopere una sau toate cerințele esențiale prevăzute la alineatul (1), în cazul în care sunt îndeplinite următoarele condiții:

(a)

Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizații de standardizare europene să elaboreze un standard armonizat care să îndeplinească cerințele esențiale prevăzute la alineatul (1) de la prezentul articol și:

(i)	cererea nu a fost acceptată;

(ii)	standardele armonizate care răspund cererii respective nu sunt furnizate în termenul stabilit în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012; sau

(iii)

standardele armonizate nu se conformează solicitării; și

(b)

în Jurnalul Oficial al Uniunii Europene nu este publicată nicio trimitere la standarde armonizate care să acopere cerințele esențiale relevante prevăzute la alineatul (1) de la prezentul articol, în conformitate cu Regulamentul (UE) nr. 1025/2012, și nu se anticipează publicarea niciunei astfel de trimiteri în viitorul apropiat.

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

(6) Înainte de a pregăti un proiect de act de punere în aplicare menționat la alineatul (5) de la prezentul articol, Comisia informează comitetul menționat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, au fost îndeplinite condițiile prevăzute la alineatul (5) de la prezentul articol.

(7) Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (5), Comisia ține seama de avizul EDIB și de avizele altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(8) Participanții la spațiile de date care oferă date sau servicii de date altor participanți la spațiile de date ce îndeplinesc specificațiile comune sau părți ale acestora stabilite de actele de punere în aplicare menționate la alineatul (5) sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de specificații comune sau de părți ale acestora.

(9) În cazul în care un standard armonizat este adoptat de o organizație de standardizare europeană și este propus Comisiei pentru ca trimiterea la acesta să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. În cazul în care trimiterea la un standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menționate la alineatul (5) de la prezentul articol sau acele părți ale lor care vizează aceleași cerințe esențiale ca cele care fac obiectul standardului armonizat respectiv.

(10) În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatul (1), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

(11) Comisia poate adopta orientări ținând seama de propunerea înaintată de EDIB, în conformitate cu articolul 30 litera (h) din Regulamentul (UE) 2022/868, care să stabilească cadre interoperabile pentru standarde și practici comune pentru funcționarea spațiilor europene comune ale datelor.

Articolul 35

Interoperabilitatea serviciilor de prelucrare a datelor

(1) Specificațiile deschise de interoperabilitate și standardele europene armonizate de interoperabilitate a serviciilor de prelucrare a datelor trebuie:

(a)	să realizeze, când este fezabil din punct de vedere tehnic, interoperabilitatea între diferite servicii de prelucrare a datelor care acoperă același tip de serviciu;

(b)	să îmbunătățească portabilitatea activelor digitale între diferite servicii de prelucrare a datelor care acoperă același tip de serviciu;

(c)	să faciliteze, când este fezabil din punct de vedere tehnic, echivalența funcțională între diferitele servicii de prelucrare a datelor menționate la articolul 30 alineatul (1) care acoperă același tip de serviciu;

(d)	să nu aibă un impact negativ asupra securității și integrității datelor și a serviciilor de prelucrare a datelor;

(e)	să fie proiectate astfel încât să permită progresele tehnice și includerea de noi funcții și inovații în domeniul serviciilor de prelucrare a datelor.

(2) Specificațiile deschise de interoperabilitate și standardele armonizate de interoperabilitate a serviciilor de prelucrare a datelor abordează în mod adecvat:

(a)	aspectele de interoperabilitate în cloud, și anume interoperabilitatea transporturilor, interoperabilitatea sintactică, interoperabilitatea datelor semantice, interoperabilitatea comportamentală și interoperabilitatea politicilor;

(b)	aspectele de portabilitate a datelor în cloud, și anume portabilitatea sintactică a datelor, portabilitatea semantică a datelor și portabilitatea politicilor de date;

(c)	aspectele de aplicații în cloud, și anume portabilitatea sintactică a aplicațiilor, portabilitatea instrucțiunilor aplicațiilor, portabilitatea metadatelor aplicațiilor, portabilitatea comportamentului aplicațiilor și portabilitatea politicilor de aplicații.

(3) Specificațiile deschise de interoperabilitate respectă anexa II la Regulamentul (UE) nr. 1025/2012.

(4) După ce ia în considerare standardele internaționale și europene relevante și inițiativele de autoreglementare, Comisia poate, în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, să solicite uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatele (1) și (2) de la prezentul articol.

(5) Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune bazate pe specificații deschise de interoperabilitate care să acopere toate cerințele esențiale prevăzute la alineatele (1) și (2).

(6) Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (5) de la prezentul articol, Comisia ține seama de opiniile autorităților competente relevante menționate la articolul 37 alineatul (5) litera (h) și de cele ale altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(7) În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatele (1) și (2), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

(8) În sensul articolului 30 alineatul (3), Comisia publică, prin intermediul unor acte de punere în aplicare, trimiterile la standardele armonizate și specificațiile comune pentru interoperabilitatea serviciilor de prelucrare a datelor într-un registru central de standarde al Uniunii pentru interoperabilitatea serviciilor de prelucrare a datelor.

(9) Actele de punere în aplicare menționate în prezentul articol se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

Articolul 36

Cerințe esențiale privind contractele inteligente pentru executarea acordurilor de partajare de date

(1) Vânzătorul unei aplicații care utilizează contracte inteligente sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord de punere la dispoziție de date sau a unei părți a acestuia se asigură că respectivele contracte inteligente respectă următoarele cerințe esențiale:

(a)	robustețe și controlul accesului, pentru a se asigura că, prin modul în care a fost conceput, contractul inteligent oferă mecanisme de control al accesului și un grad foarte ridicat de robustețe, pentru a preveni erorile funcționale și a rezista la manipularea de către terți;

(b)

reziliere și întrerupere în siguranță, pentru a asigura existența unui mecanism care să permită încetarea executării continue a tranzacțiilor și faptul că contractul inteligent include funcții interne care să poată reseta sau instrui contractul să oprească sau să întrerupă operația, în special, pentru evitarea unor execuții accidentale viitoare;

(c)

arhivare și continuitate a datelor, pentru a se asigura că, în cazul în care un contract inteligent trebuie reziliat sau dezactivat, există posibilitatea de arhivare a datelor privind operațiile, a logicii contractului inteligent și a codului acestuia, pentru a se ține evidența operațiilor efectuate asupra datelor în trecut (posibilitatea auditării);

(d)	control al accesului, pentru a asigura faptul că un contract inteligent este protejat prin mecanisme riguroase de control al accesului la nivel de guvernanță și de contractare inteligentă; și

(e)	consecvență, pentru a asigura consecvența cu clauzele acordului de partajare de date pe care îl execută contractul inteligent.

(2) Vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia, de punere la dispoziție de date efectuează o evaluare a conformității pentru a verifica dacă sunt îndeplinite cerințele esențiale prevăzute la alineatul (1) și, dacă respectivele cerințe sunt îndeplinite, emite o declarație de conformitate UE.

(3) Prin întocmirea declarației de conformitate UE, vânzătorul unei aplicații care utilizează contracte inteligente sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia de punere la dispoziție de date răspunde pentru îndeplinirea cerințelor esențiale prevăzute la alineatul (1).

(4) Un contract inteligent care îndeplinește standardele armonizate sau părți relevante ale acestora pentru care sunt publicate trimiteri în Jurnalul Oficial al Uniunii Europene este prezumat a îndeplini cerințele esențiale prevăzute la alineatul (1) în măsura în care cerințele respective fac obiectul unor astfel de standarde armonizate sau al unei părți ale acestora.

(5) Comisia, în temeiul articolului 10 din Regulamentul (UE) nr. 1025/2012, solicită uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatul (1) de la prezentul articol.

(6) Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune care să acopere una sau toate cerințele esențiale prevăzute la alineatul (1), în cazul în care sunt îndeplinite următoarele condiții:

(a)

Comisia a solicitat, în temeiul articolului 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012, uneia sau mai multor organizații de standardizare europene să elaboreze un standard armonizat care îndeplinește cerințele esențiale prevăzute la alineatul (1) de la prezentul articol și:

(i)	cererea nu a fost acceptată;

(ii)	standardele armonizate care răspund cererii respective nu sunt adoptate în termenul stabilit în conformitate cu articolul 10 alineatul (1) din Regulamentul (UE) nr. 1025/2012; sau

(iii)

standardele armonizate nu se conformează solicitării; și

(b)

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

(7) Înainte de a pregăti un proiect de act de punere în aplicare menționat la alineatul (6) de la prezentul articol, Comisia informează comitetul menționat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, au fost îndeplinite condițiile prevăzute la alineatul (6) de la prezentul articol.

(8) Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (6), Comisia ține seama de avizul EDIB și de avizele altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(9) Vânzătorul unui contract inteligent sau, în absența acestuia, persoana a cărei activitate comercială, economică sau profesională presupune implementarea de contracte inteligente pentru alții în contextul executării unui acord sau a unei părți a acestuia de punere la dispoziție de date ce îndeplinesc specificațiile comune stabilite de actele de punere în aplicare menționate la alineatul (6) sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de specificații comune sau de părți ale acestora.

(10) În cazul în care un standard armonizat este adoptat de o organizație de standardizare europeană și este propus Comisiei pentru ca trimiterea la acesta să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. În cazul în care trimiterea la un standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menționate la alineatul (6) de la prezentul articol sau acele părți ale lor care vizează aceleași cerințe esențiale ca cele care fac obiectul standardului armonizat respectiv.

(11) În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatul (1), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

CAPITOLUL IX

PUNEREA ÎN APLICARE ȘI ASIGURAREA RESPECTĂRII REGULAMENTULUI

Articolul 39

Dreptul la o cale de atac judiciară eficientă

(1) În pofida oricăror altor căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică afectată are dreptul de a exercita o cale de atac judiciară eficientă împotriva unor decizii obligatorii din punct de vedere juridic adoptate de autoritățile competente.

(2) În cazul în care o autoritate competentă nu dă curs unei plângeri, orice persoană fizică sau juridică afectată are, în conformitate cu dreptul intern, fie dreptul la o cale de atac judiciară eficientă, fie acces la o reexaminare de către un organism imparțial care deține cunoștințele de specialitate corespunzătoare.

(3) Acțiunile intentate în temeiul prezentului articol se introduc în fața instanțelor judecătorești sau a tribunalelor din statul membru al autorității competente împotriva căreia se exercită calea de atac judiciară în mod individual sau, după caz, în mod colectiv de către reprezentanții uneia sau mai multor persoane fizice sau juridice.

Articolul 42

Rolul EDIB

EDIB, instituit de Comisie ca un grup de experți în temeiul articolului 29 din Regulamentul (UE) 2022/868, în care sunt reprezentate autoritățile competente, sprijină aplicarea consecventă a prezentului regulament prin următoarele acțiuni:

(a)	consiliază și asistă Comisia în ceea ce privește dezvoltarea unei practici coerente a organismelor competente pentru asigurarea punerii în aplicare a capitolelor II, III, V și VII;

(b)

facilitează cooperarea între autoritățile competente prin consolidarea capacităților și schimbul de informații, în special prin stabilirea de metode pentru schimbul eficient de informații referitoare la asigurarea respectării drepturilor și obligațiilor în conformitate cu capitolele II, III și V în cazurile transfrontaliere, inclusiv coordonarea în ceea ce privește stabilirea sancțiunilor;

(c)

consiliază și asistă Comisia în ceea ce privește:

(i)	posibilitatea de a solicita redactarea standardelor armonizate menționate la articolul 33 alineatul (4), articolul 35 alineatul (4) și articolul 36 alineatul (5);

(ii)	pregătirea actelor de punere în aplicare menționate la articolul 33 alineatul (5), articolul 35 alineatele (5) și (8) și articolul 36 alineatul (6);

(iii)

pregătirea actelor delegate menționate la articolul 29 alineatul (7) și la articolul 33 alineatul (2); și

(iv)	adoptarea orientărilor care stabilesc cadre interoperabile pentru standarde și practici comune pentru funcționarea spațiilor europene comune ale datelor menționate la articolul 33 alineatul (11).

CAPITOLUL X

DREPTUL SUI GENERIS PREVĂZUT ÎN DIRECTIVA 96/9/CE

Articolul 44

Alte acte juridice ale Uniunii care reglementează drepturile și obligațiile privind accesarea și utilizarea de date

(1) Rămân neafectate obligațiile specifice privind punerea de date la dispoziție între întreprinderi, între întreprinderi și consumatori și, în mod excepțional, între întreprinderi și organisme publice, stabilite în acte juridice ale Uniunii care au intrat în vigoare la 11 ianuarie 2024 sau înainte de această dată și în actele delegate sau de punere în aplicare adoptate în temeiul acestora.

(2) Prezentul regulament nu aduce atingere dreptului Uniunii care stabilește cerințe suplimentare pentru a răspunde nevoilor unui sector, ale unui spațiu european comun al datelor sau ale unui domeniu de interes public, în special în ceea ce privește:

(a)	aspecte tehnice ale accesului la date;

(b)	limite ale drepturilor deținătorilor de date de a accesa sau utiliza anumite date furnizate de utilizatori;

(c)	aspecte care depășesc sfera accesării și a utilizării de date.

(3) Prezentul regulament, cu excepția capitolului V, nu aduce atingere dreptului Uniunii și dreptului intern care prevede accesul la date și autorizează utilizarea datelor în scopuri de cercetare științifică.

Articolul 45

Exercitarea delegării de competențe

(1) Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute la prezentul articol.

(2) Competența de a adopta acte delegate menționată la articolul 29 alineatul (7) și la articolul 33 alineatul (2) se conferă Comisiei pe o perioadă nedeterminată începând cu 11 ianuarie 2024.

(3) Delegarea de competențe menționată la articolul 29 alineatul (7) și la articolul 33 alineatul (2) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(4) Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

(5) De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(6) Un act delegat adoptat în temeiul articolului 29 alineatul (7) sau al articolului 33 alineatul (2) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de trei luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Termenul respectiv se prelungește cu trei luni la inițiativa Parlamentului European sau a Consiliului.

Articolul 50

Intrarea în vigoare și aplicarea

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică începând cu 12 septembrie 2025.

Obligația care decurge din articolul 3 alineatul (1) se aplică produselor conectate și serviciilor conexe acestora introduse pe piață după 12 septembrie 2026.

Capitolul III se aplică în ceea ce privește obligațiile de a pune date la dispoziție în temeiul dreptului Uniunii sau al legislației naționale adoptate în conformitate cu dreptul Uniunii care intră în vigoare după 12 septembrie 2025.

Capitolul IV se aplică contractelor încheiate după 12 septembrie 2025.

Capitolul IV se aplică începând cu 12 septembrie 2027 contractelor încheiate la 12 septembrie 2025 sau înainte de respectiva dată, cu condiția ca aceste contracte:

(a)	să aibă o durată nedeterminată; sau

(b)	să expire cel devreme la 10 ani de la 11 ianuarie 2024.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

adoptat la Strasbourg, 13 decembrie 2023.

Pentru Parlamentul European

Președinta

R. METSOLA

Pentru Consiliu

Președintele

P. NAVARRO RÍOS

(1) JO C 402, 19.10.2022, p. 5.

(2) JO C 365, 23.9.2022, p. 18.

(3) JO C 375, 30.9.2022, p. 112.

(4) Poziția Parlamentului European din 9 noiembrie 2023 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 27 noiembrie 2023.

(5) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).

(6) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul general privind protecția datelor”) (JO L 119, 4.5.2016, p. 1).

(7) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(8) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice („Directiva asupra confidențialității și comunicațiilor electronice”) (JO L 201, 31.7.2002, p. 37).

(9) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).

(10) Directiva 2005/29/CE a Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO L 149, 11.6.2005, p. 22).

(11) Directiva 2011/83/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 privind drepturile consumatorilor, de modificare a Directivei 93/13/CEE a Consiliului și a Directivei 1999/44/CE a Parlamentului European și a Consiliului și de abrogare a Directivei 85/577/CEE a Consiliului și a Directivei 97/7/CE a Parlamentului European și a Consiliului (JO L 304, 22.11.2011, p. 64).

(12) Regulamentul (UE) 2021/784 al Parlamentului European și al Consiliului din 29 aprilie 2021 privind prevenirea diseminării conținutului online cu caracter terorist (JO L 172, 17.5.2021, p. 79).

(13) Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale) (JO L 277, 27.10.2022, p. 1).

(14) Regulamentul (UE) 2023/1543 al Parlamentului European și al Consiliului din 12 iulie 2023 privind ordinele europene de divulgare a probelor electronice și ordinele europene de păstrare a probelor electronice în cadrul procedurilor penale și pentru executarea pedepselor privative de libertate în urma unor proceduri penale (JO L 191, 28.7.2023, p. 118).

(15) Directiva (UE) 2023/1544 a Parlamentului European și a Consiliului din 12 iulie 2023 de stabilire a unor norme armonizate privind desemnarea sediilor desemnate și numirea reprezentanților legali în scopul obținerii de probe electronice în cadrul procedurilor penale (JO L 191, 28.7.2023, p. 181).

(16) Regulamentul (UE) 2015/847 al Parlamentului European și al Consiliului din 20 mai 2015 privind informațiile care însoțesc transferurile de fonduri și de abrogare a Regulamentului (CE) nr. 1781/2006 (JO L 141, 5.6.2015, p. 1).

(17) Directiva (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului și de abrogare a Directivei 2005/60/CE a Parlamentului European și a Consiliului și a Directivei 2006/70/CE a Comisiei (JO L 141, 5.6.2015, p. 73).

(18) Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).

(19) Directiva 2001/29/CE a Parlamentului European și a Consiliului din 22 mai 2001 privind armonizarea anumitor aspecte ale dreptului de autor și drepturilor conexe în societatea informațională (JO L 167, 22.6.2001, p. 10).

(20) Directiva 2004/48/CE a Parlamentului European și a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală (JO L 157, 30.4.2004, p. 45).

(21) Directiva (UE) 2019/790 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind dreptul de autor și drepturile conexe pe piața unică digitală și de modificare a Directivelor 96/9/CE și 2001/29/CE (JO L 130, 17.5.2019, p. 92).

(22) Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1).

(23) Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția know-how-ului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale (JO L 157, 15.6.2016, p. 1).

(24) Directiva 98/6/CE a Parlamentului European și a Consiliului din 16 februarie 1998 privind protecția consumatorului prin indicarea prețurilor produselor oferite consumatorilor (JO L 80, 18.3.1998, p. 27).

(25) Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă („Directiva privind comerțul electronic”) (JO L 178, 17.7.2000, p. 1).

(26) Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului din 14 septembrie 2022 privind piețe contestabile și echitabile în sectorul digital și de modificare a Directivelor (UE) 2019/1937 și (UE) 2020/1828 (Regulamentul privind piețele digitale) (JO L 265, 12.10.2022, p. 1).

(27) Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164).

(28) Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56).

(29) Directiva 96/9/CE a Parlamentului European și a Consiliului din 11 martie 1996 privind protecția juridică a bazelor de date (JO L 77, 27.3.1996, p. 20).

(30) Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (JO L 303, 28.11.2018, p. 59).

(31) Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte legate de contractele de furnizare de conținut digital și de servicii digitale (JO L 136, 22.5.2019, p. 1).

(32) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).

(33) Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).

(34) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).

(35) Decizia nr. 768/2008/CE a Parlamentului European și a Consiliului din 9 iulie 2008 privind un cadru comun pentru comercializarea produselor și de abrogare a Deciziei 93/465/CEE a Consiliului (JO L 218, 13.8.2008, p. 82).

(36) Regulamentul (UE) 2017/2394 al Parlamentului European și al Consiliului din 12 decembrie 2017 privind cooperarea dintre autoritățile naționale însărcinate să asigure respectarea legislației în materie de protecție a consumatorului și de abrogare a Regulamentului (CE) nr. 2006/2004 (JO L 345, 27.12.2017, p. 1).

(37) Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).

(38) JO L 123, 12.5.2016, p. 1.

(39) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0782 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 RO

Data Act 2023/2854 RO