keyboard_tab Data Act 2023/2854 RO

(1)   În cazul în care datele nu pot fi accesate direct de către utilizator din produsul conectat sau din serviciul conex, deținătorii de date pun la dispoziția utilizatorului date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, fără întârzieri nejustificate, de aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, gratuit, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Această punere la dispoziție se realizează pe baza unei simple cereri introduse prin mijloace electronice, în cazul în care acest lucru este fezabil din punct de vedere tehnic.

(2)   Utilizatorii și deținătorii de date pot conveni prin contract să restricționeze sau să interzică accesul, utilizarea sau partajarea ulterioară a datelor, în cazul în care o astfel de prelucrare ar putea submina cerințele de securitate ale produsului conectat, astfel cum sunt prevăzute de dreptul Uniunii sau de dreptul intern, având ca rezultat un efect negativ grav asupra sănătății, siguranței sau securității persoanelor fizice. Autoritățile sectoriale pot furniza utilizatorilor și deținătorilor de date expertiză tehnică în acest context. În cazul în care deținătorul de date refuză să partajeze date în temeiul prezentului articol, acesta notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(3)   Fără a aduce atingere dreptului utilizatorului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal dintr-un stat membru, utilizatorul poate, în legătură cu orice litigiu cu deținătorul datelor referitor la restricțiile sau interdicțiile contractuale menționate la alineatul (2):

(4)   Deținătorii de date nu îngreunează în mod nejustificat exercitarea de către utilizator a alegerilor sau a drepturilor sale în temeiul prezentului articol, inclusiv prin oferirea de opțiuni utilizatorului într-un mod care nu este neutru sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului prin structura, proiectarea, funcția sau modul de operare a unei interfețe digitale cu utilizatorul sau a unei părți a acesteia.

(5)   Cu scopul de a verifica dacă o persoană fizică sau juridică se califică drept utilizator în înțelesul alineatului (1), un deținător de date nu solicită respectivei persoane să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu păstrează nicio informație, în special date de înregistrare, privind accesul utilizatorului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a utilizatorului și pentru securitatea și întreținerea infrastructurii de date.

(6)   Secretele comerciale sunt protejate și se divulgă numai dacă deținătorul de date și utilizatorul iau toate măsurile necesare înainte de divulgare pentru păstrarea confidențialității acestora, în special în ceea ce privește terții. Deținătorul de date, sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial, identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu utilizatorul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, în special în ceea ce privește terții, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.

(7)   În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (6) sau în cazul în care utilizatorul nu pune în aplicare măsurile convenite în temeiul alineatului (6) sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris utilizatorului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt sau a suspendat partajarea datelor și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.

(8)   În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de utilizator în temeiul alineatului (6) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate și unicitatea și noutatea produsului conectat, și se furnizează în scris utilizatorului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(9)   Fără a aduce atingere dreptului unui utilizator de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un utilizator care dorește să conteste decizia unui deținător de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatele (7) și (8) poate:

(10)   Utilizatorul nu poate să utilizeze datele obținute în urma unei cereri menționate la alineatul (1) pentru dezvoltarea unui produs conectat care concurează direct cu produsul conectat de la care provin datele și nici nu poate partaja datele cu un terț în acest scop și nici nu utilizează aceste date pentru a obține informații despre situația economică, activele și metodele de producție ale fabricantului, sau după caz, ale deținătorului de date.

(11)   Utilizatorul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a deținătorului de date care este destinată să protejeze datele.

(12)   În cazul în care utilizatorul nu este persoana vizată ale cărei date personale sunt cerute, eventualele date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex se pun la dispoziția utilizatorului de către deținătorul datelor numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.

(13)   Un deținător de date poate să utilizeze orice date ușor accesibile care nu sunt date fără caracter personal numai pe baza unui contract cu utilizatorul. Un deținător de date nu poate să utilizeze astfel de date pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale utilizatorului ori cu utilizarea de către utilizator în orice alt mod care ar putea submina poziția comercială a utilizatorului respectiv pe piețele pe care acesta își desfășoară activitatea.

(14)   Deținătorii de date nu pun la dispoziția terților date fără caracter personal în scopuri comerciale sau necomerciale, altele decât îndeplinirea contractului lor cu utilizatorul. Dacă este cazul, deținătorii de date obligă terții să nu partajeze ulterior datele primite de la aceștia prin contract.

(1)   La cererea unui utilizator sau a unei părți care acționează în numele unui utilizator, deținătorul de date pune la dispoziția unui terț, fără întârzieri nejustificate, date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, la aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, în mod gratuit pentru utilizator, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Datele se pun la dispoziția terțului de către deținătorul de date în conformitate cu articolele 8 și 9.

(2)   Alineatul (1) nu se aplică datelor ușor accesibile în contextul testării unor produse conectate, substanțe sau procese noi care nu sunt încă introduse pe piață, cu excepția cazului în care utilizarea lor de către un terț este permisă prin contract.

(3)   O întreprindere desemnată drept controlor de acces, în temeiul articolului 3 din Regulamentul (UE) 2022/1925, nu poate fi un destinatar de date eligibil în temeiul prezentului articol și, prin urmare, nu poate:

(4)   Pentru a verifica dacă o persoană fizică sau juridică se califică drept utilizator sau terț în sensul alineatului (1), utilizatorul sau terțul nu sunt obligați să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu pot păstra nicio informație privind accesul terțului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a terțului și pentru securitatea și întreținerea infrastructurii de date.

(5)   Terțul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a unui deținător de date care este destinată să protejeze datele.

(6)   Un deținător de date nu poate să utilizeze niciun fel de date ușor accesibile pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale terțului ori cu utilizarea de către terț în orice alt mod care ar putea submina poziția comercială a terțului pe piețele pe care aceasta își desfășoară activitatea, cu excepția cazului în care terțul și-a dat consimțământul pentru o astfel de utilizare și are posibilitatea tehnică de a-și retrage cu ușurință consimțământul respectiv în orice moment.

(7)   În cazul în care utilizatorul nu este persoana vizată ale cărei date cu caracter personal sunt cerute, orice date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex, se pun de către deținătorul de date la dispoziția terțului numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.

(8)   Faptul că deținătorul datelor și terțul nu reușesc să convină asupra unor modalități de transmitere a datelor nu poate să împiedice, să prevină sau să perturbe exercitarea drepturilor persoanei vizate, astfel cum sunt prevăzute în Regulamentul (UE) 2016/679, și, în special, a dreptului la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din regulamentul menționat.

(9)   Secretele comerciale se păstrează și se divulgă terților numai în măsura în care o astfel de divulgare este strict necesară pentru îndeplinirea scopului convenit între utilizator și terț. Deținătorul de date sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu terțul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.

(10)   În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (9) de la prezentul articol sau în cazul în care terțul nu pune în aplicare măsurile convenite în temeiul alineatului (9) de la prezentul articol sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris terțului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt partajării datelor sau a suspendat-o și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.

(11)   În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de terț în temeiul alineatului (9) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate, precum și unicitatea și noutatea produsului conectat, și se furnizează în scris terțului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(12)   Fără a aduce atingere dreptului terțului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un terț care dorește să conteste decizia deținătorului de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatelor (10) și (11) poate:

(13)   Dreptul menționat la alineatul (1) nu poate să aducă atingere drepturilor persoanelor vizate în temeiul dreptului Uniunii și al dreptului intern aplicabile privind protecția datelor cu caracter personal.

(1)   Un terț prelucrează datele care îi sunt puse la dispoziție în temeiul articolului 5 numai în scopurile și în condițiile convenite cu utilizatorul și sub rezerva dreptului Uniunii și a dreptului intern privind protecția datelor cu caracter personal, inclusiv a drepturilor persoanei vizate în ceea ce privește datele cu caracter personal. Terțul șterge datele când acestea nu mai sunt necesare pentru scopul convenit, cu excepția cazului în care s-a convenit altfel cu utilizatorul cu privire la datele fără caracter personal.

(2)   Terțul nu poate:

(1)   Utilizatorii, deținătorii de date și destinatarii datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigii în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), precum și litigii în legătură cu clauzele și condițiile echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor și cu modul transparent de punere la dispoziție a datelor, în conformitate cu prezentul capitol și cu capitolul IV.

(2)   Organismele de soluționare a litigiilor aduc taxele sau mecanismele utilizate pentru stabilirea taxelor la cunoștința părților în cauză înainte ca părțile respective să solicite emiterea unei decizii.

(3)   În ceea ce privește litigiile pentru care a fost sesizat organismul de soluționare a litigiilor în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), în cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea utilizatorului sau a destinatarului datelor, deținătorul de date suportă toate taxele percepute de organismul de soluționare a litigiilor și rambursează utilizatorului sau destinatarului respectiv orice alte cheltuieli rezonabile pe care le-a suportat în legătură cu soluționarea litigiului. În cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea deținătorului de date, utilizatorul sau destinatarul datelor nu are obligația de a rambursa eventualele taxe sau alte cheltuieli pe care deținătorul de date le-a plătit sau pe care urmează să le plătească în legătură cu soluționarea litigiului, cu excepția cazului în care organismul de soluționare a litigiilor constată că utilizatorul sau destinatarul datelor a acționat în mod evident cu rea-credință.

(4)   Clienții și furnizorii de servicii de prelucrare a datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigiile legate de încălcarea drepturilor clienților și a obligațiilor furnizorilor de servicii de prelucrare a datelor, în conformitate cu articolele 23-31.

(5)   Statul membru în care este stabilit organismul de soluționare a litigiilor certifică organismul, la cererea organismului respectiv, în cazul în care acesta a demonstrat că îndeplinește toate condițiile următoare:

(6)   Organismele de soluționare a litigiilor certificate sunt notificate Comisiei de către statele membre în conformitate cu alineatul (5). Comisia publică pe un site specializat o listă a organismelor respective, pe care o actualizează în permanență.

(7)   Un organism de soluționare a litigiilor refuză să trateze o cerere de soluționare a unui litigiu dacă pentru același litigiu s-a introdus deja o cerere în fața altui organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(8)   Un organism de soluționare a litigiilor acordă părților, într-un termen rezonabil, posibilitatea de a-și exprima punctele de vedere asupra chestiunilor pe care părțile respective le-au introdus în fața organismului respectiv. În contextul respectiv, fiecare parte la un litigiu primește concluziile celeilalte părți la litigiu și eventualele declarații ale experților. Părților li se oferă posibilitatea de a prezenta observații cu privire la cererile și declarațiile respective.

(9)   Un organism de soluționare a litigiilor adoptă o decizie cu privire la chestiunea pentru care a fost sesizat în termen de cel mult 90 de zile de la data primirii unei cereri în temeiul alineatelor (1) și (4). Decizia respectivă este scrisă sau pe un suport durabil și este însoțită de o expunere de motive.

(10)   Organismele de soluționare a litigiilor întocmesc și pun la dispoziția publicului rapoartele lor anuale de activitate. Fiecare astfel de raport anual include, în special, următoarele informații:

(11)   Pentru facilitarea schimbului de informații și de bune practici, un organism de soluționare a litigiilor poate decide să includă recomandări în raportul menționat la alineatul (10) privind modul în care pot fi evitate sau soluționate problemele.

(12)   Decizia unui organism de soluționare a litigiilor este obligatorie pentru părți numai dacă părțile și-au dat consimțământul explicit cu privire la caracterul său obligatoriu înainte de începerea procedurii de soluționare a litigiilor.

(13)   Prezentul articol nu aduce atingere dreptului părților de a introduce o cale de atac eficientă în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(1)   O clauză contractuală referitoare la accesul la date și utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date, care a fost impusă unilateral de o întreprindere unei alte întreprinderi, nu poate fi obligatorie pentru aceasta din urmă dacă este abuzivă.

(2)   O clauză contractuală care reflectă dispoziții imperative ale dreptului Uniunii sau dispoziții ale dreptului Uniunii care s-ar aplica în cazul în care clauzele contractuale nu ar reglementa chestiunea nu este considerată abuzivă.

(3)   O clauză contractuală este abuzivă dacă prezintă caracteristici ca urmare a cărora utilizarea sa deviază în mod flagrant de la bunele practici comerciale în ceea ce privește accesarea și utilizarea de date, contrar bunei-credințe și corectitudinii.

(4)   În special, o clauză contractuală este abuzivă în sensul alineatului (3) dacă are ca obiect sau ca efect:

(5)   O clauză contractuală este prezumată a fi abuzivă în sensul alineatului (3) dacă are ca obiect sau ca efect:

Litera (g) de la primul paragraf nu afectează condițiile prin care partea care a impus unilateral clauza își rezervă dreptul de a modifica unilateral clauzele unui contract pe durată nedeterminată, cu condiția ca în contract să se specifice un motiv întemeiat pentru o astfel de modificare unilaterală, ca partea care a impus unilateral clauza să fie obligată să dea celeilalte părți contractante un preaviz rezonabil cu privire la orice astfel de modificare intenționată și ca cealaltă parte contractantă să aibă libertatea de a rezilia contractul fără costuri în cazul unei modificări.

(6)   Se consideră că o clauză contractuală este impusă unilateral în înțelesul prezentului articol dacă a fost oferită de o parte contractantă, fără ca cealaltă parte contractantă să fi fost în măsură să îi influențeze conținutul, în ciuda încercării de a o negocia. Sarcina de a dovedi că o clauză nu a fost impusă unilateral îi revine părții contractante care a oferit clauza contractuală respectivă. Partea contractantă care a inclus clauza contractuală contestată nu poate invoca caracterul abuziv al clauzei contractuale respective.

(7)   În cazul în care clauza contractuală abuzivă poate fi disociată de celelalte clauze ale contractului, acestea din urmă sunt obligatorii.

(8)   Prezentul articol nu se aplică clauzelor contractuale care definesc obiectul principal al contractului sau caracterului adecvat al prețului, în raport cu datele furnizate în schimb.

(9)   Părțile la un contract care intră în domeniul de aplicare al alineatului (1) nu exclud aplicarea prezentului articol, nu derogă de la acesta și nu îi modifică efectele.

(1)   O nevoie excepțională de utilizare a anumitor date în sensul prezentului capitol este limitată ca timp și domeniu de aplicare și se consideră că există numai în oricare dintre următoarele circumstanțe:

(2)   Alineatul (1) litera (b) nu se aplică microîntreprinderilor și întreprinderilor mici.

(3)   Obligația de a demonstra că organismul din sectorul public nu a fost în măsură să obțină date fără caracter personal prin achiziționarea acestora de pe piață nu se aplică în cazul în care sarcina specifică de interes public este producerea de statistici oficiale și în cazul în care achiziționarea de astfel de date nu este permisă de dreptul intern.

(1)   Când solicită date în temeiul articolului 14, un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii:

(2)   O cerere de date introdusă în temeiul alineatului (1) de la prezentul articol trebuie:

Banca Centrală Europeană și organele Uniunii informează Comisia cu privire la cererile lor.

(3)   Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii nu pun la dispoziție datele obținute în temeiul prezentului capitol în vederea reutilizării, astfel cum este definită la articolul 2 punctul 2 din Regulamentul (UE) 2022/868 sau la articolul 2 punctul 11 din Directiva (UE) 2019/1024. Regulamentul (UE) 2022/868 și Directiva (UE) 2019/1024 nu se aplică în cazul datelor deținute de organisme din sectorul public și obținute în temeiul prezentului capitol.

(4)   Alineatul (3) de la prezentul articol nu împiedică un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii să facă schimb de date obținute în temeiul prezentului capitol cu alt organism din sectorul public sau cu Comisia, cu Banca Centrală Europeană ori cu un organ al Uniunii, cu scopul îndeplinirii sarcinilor menționate la articolul 15, astfel cum se specifică în cerere în conformitate cu alineatul (1) litera (f) de la prezentul articol, sau să pună datele la dispoziția unui terț în cazul în care a delegat, prin intermediul unui acord accesibil publicului, sarcina de efectuare a inspecțiilor tehnice sau alte funcții către respectivul terț. Obligațiile care revin organismelor din sectorul public în temeiul articolului 19, în special garanțiile de păstrare a confidențialității secretelor comerciale, se aplică și acestor terți. În cazul în care transmite sau pune la dispoziție date în temeiul prezentului alineat, organismul din sectorul public ori Comisia, Banca Centrală Europeană ori un organ Uniunii notifică acest lucru deținătorului de date de la care au fost primite datele, fără întârzieri nejustificate.

(5)   În cazul în care deținătorul de date consideră că drepturile sale în temeiul prezentului capitol au fost încălcate prin transmiterea sau punerea la dispoziție a datelor, acesta poate depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

(6)   Comisia elaborează un model pentru cererile depuse în temeiul prezentului articol.

(1)   Un deținător de date care primește o cerere de a pune la dispoziție date în temeiul prezentului capitol pune datele, fără întârzieri nejustificate, la dispoziția organismului din sectorul public, a Comisiei, Băncii Centrale Europene ori a organului Uniunii care a introdus cererea, ținând seama de măsurile tehnice, organizatorice și juridice necesare.

(2)   Fără a aduce atingere nevoilor specifice în ceea ce privește disponibilitatea datelor definite în dreptul Uniunii sau în dreptul intern, un deținător de date poate să respingă cererea sau să solicite modificarea unei cereri de a pune la dispoziție date în temeiul prezentului capitol fără întârzieri nejustificate și, în orice caz, nu mai târziu de cinci zile lucrătoare de la primirea unei cereri de date necesare pentru răspunsul la o situație de urgență și fără întârzieri nejustificate și, în orice caz, nu mai târziu de 30 de zile lucrătoare de la primirea unei astfel de cereri în alte cazuri de nevoie excepțională, din oricare dintre următoarele motive:

(3)   Dacă decide să respingă cererea sau să solicite modificarea acesteia în conformitate cu alineatul (2) litera (b), deținătorul datelor face cunoscută identitatea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene ori a organului Uniunii care a introdus anterior o cerere în același scop.

(4)   În cazul în care datele solicitate includ date cu caracter personal, deținătorul de date anonimizează în mod corespunzător datele, cu excepția cazului în care respectarea cererii de punere a datelor la dispoziția unui organism din sectorul public, a Comisiei, a Băncii Centrale Europene sau a unui organ al Uniunii impune divulgarea de date cu caracter personal. În aceste cazuri, deținătorul de date pseudonimizează datele.

(5)   În cazul în care organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii dorește să conteste refuzul unui deținător de date de a furniza datele solicitate sau în cazul în care deținătorul de date dorește să conteste cererea, iar chestiunea nu poate fi soluționată printr-o modificare adecvată a cererii, este sesizată autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date cu privire la chestiunea în cauză.

(1)   Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii care primește date în urma unei cereri introduse în temeiul articolului 14:

(2)   Un organism din sectorul public, Comisia, Banca Centrală Europeană, un organ al Uniunii sau un terț care primește date în temeiul prezentului capitol:

(3)   Divulgarea de secrete comerciale către un organism din sectorul public, către Comisie, Banca Centrală Europeană ori un organ al Uniunii este obligatorie numai dacă ea este strict necesară pentru atingerea scopului unei cereri depuse în temeiul articolului 15. Într-un astfel de caz, deținătorul datelor sau, atunci când aceștia nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante. Organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii iau, înainte de divulgarea secretelor comerciale, toate măsurile tehnice și organizatorice necesare și adecvate pentru a păstra confidențialitatea secretelor comerciale, inclusiv, după caz, utilizarea de modele de clauze contractuale, de standarde tehnice și aplicarea codurilor de conduită.

(4)   Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii este responsabil de securitatea datelor pe care le primește.

(1)   Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii au dreptul de a partaja datele primite în temeiul prezentului capitol:

(2)   Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) trebuie să acționeze fără scop lucrativ sau în contextul unei misiuni de interes public recunoscute în dreptul Uniunii sau în dreptul intern. Nu sunt incluse organizațiile asupra cărora întreprinderile comerciale au o influență semnificativă, ceea ce ar putea conduce la un acces preferențial la rezultatele cercetării.

(3)   Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) de la prezentul articol respectă aceleași obligații care sunt aplicabile organelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii în temeiul articolului 17 alineatul (3) și al articolului 19.

(4)   În pofida articolului 19 alineatul (1) litera (c), persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) de la prezentul articol pot păstra datele primite în scopul pentru care au fost solicitate timp de până la șase luni de la ștergerea datelor de către organele din sectorul public, Comisie, Banca Centrală Europeană și organele Uniunii.

(5)   În cazul în care un organ din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii intenționează să transmită sau să pună la dispoziție date în temeiul alineatului (1) de la prezentul articol, acesta notifică fără întârzieri nejustificate deținătorului de date de la care au fost primite datele, precizând identitatea și datele de contact ale organizației sau ale persoanei care primește datele, scopul transmiterii sau punerii la dispoziție a datelor, perioada în care datele urmează să fie utilizate și măsurile tehnice de protecție și organizatorice luate, inclusiv în cazul în care sunt implicate date cu caracter personal sau secrete comerciale. În cazul în care deținătorul de date nu este de acord cu transmiterea sau punerea la dispoziție a datelor, acesta poate depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

(1)   Furnizorii de servicii de prelucrare a datelor publică următoarele informații pe site-urile lor web și le actualizează permanent:

(2)   Site-urile web menționate la alineatul (1) sunt enumerate în contractele aferente tuturor serviciilor de prelucrare a datelor oferite de furnizorii de servicii de prelucrare a datelor.

(1)   Obligațiile prevăzute la articolul 23 litera (d), la articolul 29 și la articolul 30 alineatele (1) și (3) nu se aplică serviciilor de prelucrare a datelor în cazul cărora majoritatea caracteristicilor principale au fost personalizate pentru a răspunde nevoilor specifice ale unui client individual sau în cazul cărora toate componentele au fost dezvoltate în beneficiul unui client individual, și nici în cazul în care respectivele servicii de prelucrare a datelor nu sunt oferite la scară comercială largă prin intermediul catalogului de servicii al furnizorului de servicii de prelucrare a datelor.

(2)   Obligațiile prevăzute în prezentul capitol nu se aplică serviciilor de prelucrare a datelor puse la dispoziție într-o versiune care nu este destinată producției, în scop de testare și evaluare și numai pentru o perioadă limitată de timp.

(3)   Înainte de încheierea unui contract privind furnizarea serviciilor de prelucrare a datelor menționate la prezentul articol, furnizorul de servicii de prelucrare a datelor informează clientul potențial cu privire la obligațiile prevăzute în prezentul capitol care nu se aplică.

(1)   Fără a aduce atingere alineatului (2) sau (3), furnizorii de servicii de prelucrare a datelor iau toate măsurile tehnice, organizatorice și juridice adecvate, inclusiv de ordin contractual, pentru a împiedica transferul internațional de date fără caracter personal deținute în Uniune și accesul la astfel de date al administrațiilor publice ale țărilor terțe, în cazul în care un astfel de transfer sau acces ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2)   Deciziile sau hotărârile unei instanțe judecătorești sau ale unui tribunal dintr-o țară terță și deciziile unei autorități administrative dintr-o țară terță prin care se solicită unui furnizor de servicii de prelucrare a datelor să transfere date fără caracter personal deținute în Uniune ce intră în domeniul de aplicare al prezentului regulament sau să acorde acces la astfel de date sunt recunoscute sau pot fi executate sub orice formă doar dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară reciprocă, în vigoare între țara terță solicitantă și Uniune sau pe orice alt asemenea acord între țara terță solicitantă și un stat membru.

(3)   În absența unui acord internațional de tipul celor menționate la alineatul (2), în cazul în care un furnizor de servicii de prelucrare a datelor este destinatarul unei decizii sau al unei hotărâri a unei instanțe judecătorești sau a unui tribunal dintr-o țară terță ori al unei decizii a unei autorități administrative dintr-o țară terță care prevede transferul de date fără caracter personal deținute în Uniune și care intră în domeniul de aplicare al prezentului regulament sau acordarea accesului la astfel de date iar, prin respectarea unei astfel de decizii, destinatarul riscă să intre în conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant, transferul către autoritatea din țara terță respectivă sau accesul acesteia la astfel de date poate avea loc numai atunci când:

Destinatarul deciziei sau hotărârii poate solicita avizul organismului național relevant sau al autorității competente în materie de cooperare judiciară internațională, pentru a stabili dacă condițiile prevăzute la primul paragraf sunt îndeplinite, în special atunci când consideră că decizia poate viza secrete comerciale și alte date sensibile din punct de vedere comercial, precum și conținuturi protejate de drepturi de proprietate intelectuală, ori atunci când transferul datelor poate avea drept rezultat reidentificarea acestora. Organismul național relevant sau autoritatea națională relevantă poate consulta Comisia. În cazul în care destinatarul consideră că decizia sau hotărârea poate afecta interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională, acesta solicită avizul organismului național relevant sau al autorității naționale relevante pentru a stabili dacă datele solicitate vizează interesele Uniunii sau ale statelor membre ale acesteia în materie de securitate sau apărare națională. În cazul în care destinatarul nu primește un răspuns în termen de o lună sau în care în avizul unui astfel de organism sau al unei astfel de autorități se concluzionează că nu sunt îndeplinite condițiile prevăzute la primul paragraf, destinatarul poate respinge cererea de transfer al datelor fără caracter personal sau de acces la acestea din motivele menționate.

EDIB, astfel cum este menționat la articolul 42, consiliază și asistă Comisia în elaborarea de orientări cu privire la evaluarea îndeplinirii condițiilor prevăzute la primul paragraf de la prezentul alineat.

(4)   Dacă sunt îndeplinite condițiile prevăzute la alineatul (2) sau (3), furnizorul de servicii de prelucrare a datelor pune la dispoziție volumul minim de date permis ca răspuns la o cerere, pe baza unei interpretări rezonabile a cererii respective de către furnizor sau de organismul național relevant sau de autoritatea națională relevantă menționată la alineatul (3) al doilea paragraf.

(5)   Furnizorul de servicii de prelucrare a datelor îl informează pe client cu privire la existența unei cereri prin care o autoritate dintr-o țară terță solicită acces la datele sale, înainte de a da curs cererii respective, cu excepția cazurilor în care cererea servește unor scopuri de asigurare a respectării legii și atât timp cât acest lucru este necesar pentru a se menține eficacitatea activității de asigurare a respectării legii.

(1)   Participanții la spațiile de date care oferă date sau servicii de date altor participanți respectă următoarele cerințe esențiale pentru a facilita interoperabilitatea datelor, a mecanismelor și a serviciilor de partajare a datelor, precum și a spațiilor europene comune ale datelor, care sunt cadre interoperabile specifice fiecărui scop sau fiecărui sector ori transsectoriale de standarde și practici comune pentru partajarea sau prelucrarea în comun a datelor, printre altele, pentru dezvoltarea de noi produse și servicii, pentru cercetarea științifică sau pentru inițiative ale societății civile:

Cerințele pot avea un caracter generic sau pot viza sectoare specifice, dar ținând în același timp seama pe deplin de interconectarea lor cu cerințele care decurg din dreptul Uniunii sau din dreptul intern.

(2)   Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 45 din prezentul regulament pentru a-l completa prin detalierea suplimentară a cerințelor esențiale prevăzute la alineatul (1) de la prezentul articol, în ceea ce privește acele cerințe care, prin natura lor, nu pot produce efectul scontat decât dacă sunt specificate mai în detaliu în acte juridice obligatorii ale Uniunii și pentru a reflecta în mod corespunzător evoluțiile tehnologice și ale pieței.

Atunci când adoptă acte delegate, Comisia ține seama de avizul EDIB, în conformitate cu articolul 42 litera (c) punctul (iii).

(3)   Participanții la spațiile de date care oferă date sau servicii de date altor participanți la spațiile de date ce îndeplinesc standardele armonizate sau părți ale acestora pentru care sunt publicate trimiteri în Jurnalul Oficial al Uniunii Europene sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de standarde armonizate sau părți ale acestora.

(4)   Comisia, în temeiul articolului 10 din Regulamentul (UE) nr. 1025/2012, solicită uneia sau mai multor organizații de standardizare europene să elaboreze standarde armonizate care să satisfacă cerințele esențiale prevăzute la alineatul (1) de la prezentul articol.

(5)   Comisia poate adopta, prin intermediul unor acte de punere în aplicare, specificații comune care să acopere una sau toate cerințele esențiale prevăzute la alineatul (1), în cazul în care sunt îndeplinite următoarele condiții:

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 46 alineatul (2).

(6)   Înainte de a pregăti un proiect de act de punere în aplicare menționat la alineatul (5) de la prezentul articol, Comisia informează comitetul menționat la articolul 22 din Regulamentul (UE) nr. 1025/2012 că, în opinia sa, au fost îndeplinite condițiile prevăzute la alineatul (5) de la prezentul articol.

(7)   Atunci când pregătește proiectul de act de punere în aplicare menționat la alineatul (5), Comisia ține seama de avizul EDIB și de avizele altor organisme sau grupuri de experți relevante și consultă în mod corespunzător toate părțile interesate relevante.

(8)   Participanții la spațiile de date care oferă date sau servicii de date altor participanți la spațiile de date ce îndeplinesc specificațiile comune sau părți ale acestora stabilite de actele de punere în aplicare menționate la alineatul (5) sunt prezumați a respecta cerințele esențiale prevăzute la alineatul (1), în măsura în care cerințele respective fac obiectul unor astfel de specificații comune sau de părți ale acestora.

(9)   În cazul în care un standard armonizat este adoptat de o organizație de standardizare europeană și este propus Comisiei pentru ca trimiterea la acesta să fie publicată în Jurnalul Oficial al Uniunii Europene, Comisia evaluează standardul armonizat în conformitate cu Regulamentul (UE) nr. 1025/2012. În cazul în care trimiterea la un standard armonizat este publicată în Jurnalul Oficial al Uniunii Europene, Comisia abrogă actele de punere în aplicare menționate la alineatul (5) de la prezentul articol sau acele părți ale lor care vizează aceleași cerințe esențiale ca cele care fac obiectul standardului armonizat respectiv.

(10)   În cazul în care un stat membru consideră că o specificație comună nu satisface în totalitate cerințele esențiale prevăzute la alineatul (1), acesta informează Comisia oferind o explicație detaliată. Comisia analizează respectiva explicație detaliată și, dacă este cazul, poate modifica actul de punere în aplicare prin care se stabilește specificația comună în cauză.

(11)   Comisia poate adopta orientări ținând seama de propunerea înaintată de EDIB, în conformitate cu articolul 30 litera (h) din Regulamentul (UE) 2022/868, care să stabilească cadre interoperabile pentru standarde și practici comune pentru funcționarea spațiilor europene comune ale datelor.

(1)   Fiecare stat membru desemnează una sau mai multe autorități competente care sunt responsabile cu aplicarea și asigurarea respectării prezentului regulament (denumite în continuare „autoritățile competente”). Statele membre pot să înființeze una sau mai multe autorități noi sau să se bazeze pe autorități existente.

(2)   În cazul în care un stat membru desemnează mai multe autorități competente, acesta desemnează un coordonator de date ales dintre ele pentru a facilita cooperarea între autoritățile competente și pentru a sprijini entitățile care intră în domeniul de aplicare al prezentului regulament cu privire la toate aspectele legate de aplicarea și asigurarea respectării acestuia. Autoritățile competente cooperează între ele în exercitarea sarcinilor și competențelor care le-au fost atribuite în temeiul alineatului (5).

(3)   Autoritățile de supraveghere care sunt responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 sunt responsabile cu monitorizarea aplicării prezentului regulament în ceea ce privește protecția datelor cu caracter personal. Se aplică, mutatis mutandis, capitolele VI și VII din Regulamentul (UE) 2016/679.

Autoritatea Europeană pentru Protecția Datelor este responsabilă cu monitorizarea aplicării prezentului regulament pentru aspectele care privesc Comisia, Banca Centrală Europeană și organele Uniunii. Acolo unde este cazul, se aplică, mutatis mutandis, articolul 62 din Regulamentul (UE) 2018/1725.

Sarcinile și competențele autorităților de supraveghere menționate în prezentul alineat se exercită în ceea ce privește prelucrarea datelor cu caracter personal.

(4)   Fără a aduce atingere alineatului (1) de la prezentul articol:

(5)   Statele membre se asigură că sarcinile și competențele autorităților competente sunt clar definite și includ:

În cazul în care este desemnat, coordonatorul de date facilitează cooperarea menționată la literele (f), (g) și (h) de la primul paragraf și asistă autoritățile competente, la cererea acestora.

(6)   În cazul în care este desemnat un coordonator de date, o astfel de autoritate competentă:

(7)   Statele membre notifică Comisiei denumirile autorităților competente, sarcinile și competențele acestora și, când este cazul, denumirea coordonatorului de date. Comisia ține un registru public al acestor autorități.

(8)   Când își îndeplinesc sarcinile și își exercită competențele în conformitate cu prezentul regulament, autoritățile competente rămân imparțiale și nesupuse niciunei influențe externe, directe sau indirecte, și nici nu solicită, nici nu acceptă instrucțiuni referitoare la cazuri individuale de la nicio altă autoritate publică sau parte privată.

(9)   Statele membre se asigură că autorităților competente li se pun la dispoziție suficiente resurse umane și tehnice și că dispun de expertiza relevantă pentru îndeplinirea cu eficacitate a sarcinilor ce le revin în conformitate cu prezentul regulament.

(10)   Entitățile care intră în domeniul de aplicare al prezentului regulament se supun competenței statului membru în care este stabilită entitatea. În cazul în care entitatea are sedii în mai multe state membre, se consideră că aceasta intră în sfera de competență a statului membru în care își are sediul principal, și anume locul unde entitatea își are sediul central sau sediul social și de unde se exercită principalele funcții financiare și controlul operațional.

(11)   Orice entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune fără a fi stabilită în Uniune desemnează un reprezentant legal într-unul dintre statele membre.

(12)   În scopul asigurării respectării prezentului regulament, o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune împuternicește un reprezentant legal, care să comunice cu autoritățile competente în plus față de entitate sau în locul acesteia cu privire la toate aspectele legate de respectiva entitate. Reprezentantul legal respectiv cooperează cu autoritățile competente și le demonstrează în mod exhaustiv, la cerere, acțiunile întreprinse și dispozițiile stabilite de entitatea care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune pentru a asigura respectarea prezentului regulament.

(13)   Se consideră că o entitate care intră în domeniul de aplicare al prezentului regulament și care pune la dispoziție produse conectate sau oferă servicii în Uniune se află în competența statului membru în care este situat reprezentantul său legal. Desemnarea unui reprezentant legal de către o astfel de entitate nu aduce atingere răspunderii entității respective și nici acțiunilor în justiție care ar putea fi introduse împotriva acesteia. Înainte ca o entitate să desemneze un reprezentant legal în conformitate cu prezentul articol, aceasta se află în sfera de competență a tuturor statelor membre, după caz, în vederea asigurării aplicării și respectării prezentului regulament. Orice autoritate competentă își poate exercita competența, inclusiv prin impunerea de sancțiuni efective, proporționale și disuasive, cu condiția ca entitatea să nu facă obiectul unor proceduri de aplicare a legii inițiate de o altă autoritate competentă, în temeiul prezentului regulament, cu privire la aceleași fapte.

(14)   Autoritățile competente pot solicita utilizatorilor, deținătorilor de date sau destinatarilor datelor ori reprezentanților lor legali care se află în sfera de competență a statului lor membru toate informațiile necesare pentru verificarea respectării prezentului regulament. Orice cerere de informații este proporțională cu îndeplinirea sarcinii aferente și se motivează.

(15)   În cazul în care o autoritate competentă dintr-un stat membru solicită asistență sau măsuri de asigurare a respectării legii din partea unei autorități competente dintr-un alt stat membru, aceasta introduce o cerere motivată. La primirea unei astfel de cereri, autoritatea competentă furnizează un răspuns, fără întârzieri nejustificate, prezentând în detaliu măsurile care au fost întreprinse sau care urmează să fie întreprinse.

(16)   Autoritățile competente respectă principiul confidențialității și pe cel al secretului profesional și comercial și protejează datele cu caracter personal în conformitate cu dreptul Uniunii sau cu dreptul intern. Orice informație transmisă în contextul unei solicitări de asistență și furnizată în temeiul prezentului articol se utilizează numai în scopul pentru care a fost solicitată.

(1)   Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European, Consiliului și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:

(2)   Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cuprinzând principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. Evaluarea respectivă analizează impactul articolelor 23-31, 34 și 35, în special în ceea ce privește stabilirea prețurilor și diversitatea serviciilor de prelucrare a datelor oferite în Uniune, cu un accent special pe furnizorii care sunt IMM-uri.

(3)   Statele membre furnizează Comisiei informațiile necesare pentru întocmirea rapoartelor menționate la alineatele (1) și (2).

(4)   Pe baza rapoartelor menționate la alineatele (1) și (2), Comisia poate înainta Parlamentului European și Consiliului, dacă este cazul, o propunere legislativă de modificare a prezentului regulament.