Data Act 2023/2854 RO

1.	„date” înseamnă orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale;

2.	„metadate” înseamnă o descriere structurată a conținutului sau a utilizării datelor care facilitează descoperirea sau utilizarea acestor date;

3.	„date cu caracter personal” înseamnă date cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

4.	„date fără caracter personal” înseamnă alte date decât datele cu caracter personal;

„produs conectat” înseamnă un bun care obține, generează sau colectează date privind utilizarea sau mediul său, care are capacitatea de a comunica date referitoare la produs prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat și a cărui funcție principală nu este stocarea, prelucrarea sau transmiterea datelor în numele altor părți decât utilizatorul;

„serviciu conex” înseamnă un serviciu digital, altul decât un serviciu de comunicații electronice, inclusiv un software, care este conectat la produs la momentul achiziționării, al închirierii sau al leasingului astfel încât absența sa ar împiedica produsul conectat să îndeplinească una sau mai multe dintre funcțiile sale, sau care este ulterior conectat la produs de către fabricant sau de către un terț pentru a suplimenta, actualiza sau adapta funcțiile produsului conectat;

„prelucrare” înseamnă orice operațiune sau serie de operațiuni efectuate asupra datelor sau a seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

„serviciu de prelucrare a datelor” înseamnă un serviciu digital care este furnizat unui client și care permite accesul ubicuu și la cerere în rețea la un bazin comun configurabil, scalabil și elastic de resurse informatice cu un caracter centralizat, distribuit sau foarte distribuit care pot fi rapid mobilizate și eliberate cu un efort minim de administrare sau de interacțiune cu furnizorul de servicii;

9.	„același tip de serviciu” înseamnă un set de servicii de prelucrare a datelor care au în comun același obiectiv principal, același model de serviciu de prelucrare a datelor și funcționalitățile principale;

10.	„serviciu de intermediere de date” înseamnă un serviciu de intermediere de date astfel cum este definit la articolul 2 punctul 11 din Regulamentul (UE) 2022/868;

11.	„persoană vizată” înseamnă persoană vizată astfel cum se menționează la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

12.	„utilizator” înseamnă o persoană fizică sau juridică care deține un produs conectat sau căreia i-au fost transferate prin contract drepturi temporare de utilizare a produsului conectat respectiv sau care primește servicii conexe;

13.

„deținător de date” înseamnă o persoană fizică sau juridică care, în conformitate cu prezentul regulament, cu dreptul aplicabil al Uniunii sau cu legislația națională adoptată în conformitate cu dreptul Uniunii, are dreptul sau obligația de a utiliza și de a pune la dispoziție date, inclusiv, dacă s-a convenit prin contract, date referitoare la produs sau date referitoare la un serviciu conex pe care le-a extras sau pe care le-a generat în timpul furnizării unui serviciu conex;

14.

„destinatarul datelor” înseamnă o persoană fizică sau juridică acționând în scopuri legate de activitatea sa comercială, economică, meșteșugărească sau profesională, care este diferită de utilizatorul unui produs conectat sau al unui serviciu conex, putând fi și un terț, și căreia deținătorul de date îi pune la dispoziție date în urma unei cereri primite de la utilizator sau în conformitate cu o obligație juridică prevăzută în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii;

15.

„date referitoare la produs” înseamnă date generate prin utilizarea unui produs conectat pe care fabricantul le-a proiectat astfel încât să poată fi extrase, prin intermediul unui serviciu de comunicații electronice, al unei conexiuni fizice sau al unui dispozitiv cu acces integrat, de către un utilizator, un deținător de date sau un terț, inclusiv, după caz, de către fabricant;

16.

„date referitoare la serviciul conex” înseamnă date care reprezintă digitizarea acțiunilor și evenimentelor utilizatorilor legate de produsul conectat, înregistrate în mod intenționat de utilizator sau generate ca produs secundar al acțiunii utilizatorului în timpul furnizării unui serviciu conex de către furnizor;

17.

„date ușor accesibile” înseamnă datele referitoare la un produs și datele referitoare la un serviciu conex pe care un deținător de date le obține sau le poate obține în mod legal de la produsul conectat sau de la serviciul conex, fără a fi nevoie de un efort disproporționat care să depășească cadrul unei simple operații;

18.	„secret comercial” înseamnă un secret comercial astfel cum este definit la articolul 2 punctul 1 din Directiva (UE) 2016/943;

19.	„deținătorul secretului comercial” înseamnă un deținător al secretului comercial astfel cum este definit la articolul 2 punctul 2 din Directiva (UE) 2016/943;

20.	„creare de profiluri” înseamnă creare de profiluri astfel cum este definită la articolul 4 punctul 4 din Regulamentul (UE) 2016/679;

21.	„punere la dispoziție pe piață” înseamnă orice furnizare a unui produs conectat pentru distribuție, consum sau utilizare pe piața Uniunii în cursul unei activități comerciale, contra cost sau gratuit;

22.	„introducere pe piață” înseamnă punerea la dispoziție pentru prima oară a unui produs conectat pe piața Uniunii;

23.	„consumator” înseamnă orice persoană fizică ce acționează în scopuri care nu se încadrează în activitatea sa comercială, economică, meșteșugărească sau profesională;

24.	„întreprindere” înseamnă o persoană fizică sau juridică care acționează, în cadrul contractelor și practicilor care intră în domeniul de aplicare al prezentului regulament, în scopuri care au legătură cu activitatea sa comercială, economică, meșteșugărească sau profesională;

25.	„întreprindere mică” înseamnă o întreprindere mică astfel cum este definită la articolul 2 alineatul (2) din anexa la Recomandarea 2003/361/CE;

26.	„microîntreprindere” înseamnă o microîntreprindere astfel cum este definită la articolul 2 alineatul (3) din Recomandarea 2003/361/CE;

27.	„organe ale Uniunii” înseamnă organele, oficiile și agențiile Uniunii instituite prin sau în temeiul unor acte adoptate în temeiul Tratatului privind Uniunea Europeană, a TFUE sau a Tratatului de instituire a Comunității Europene a Energiei Atomice;

28.	„organism din sectorul public” înseamnă autoritățile naționale, regionale sau locale ale statelor membre și organismele de drept public ale statelor membre sau asociațiile formate din una sau mai multe astfel de autorități ori din unul sau mai multe astfel de organisme;

29.

„situație de urgență” înseamnă o situație excepțională, limitată în timp, cum ar fi o situație de urgență de sănătate publică, o situație de urgență cauzată de dezastre naturale, un dezastru antropic major, inclusiv un incident major de securitate cibernetică, care are efecte negative asupra populației Uniunii, asupra unui stat membru sau asupra unei părți ale unui stat membru, cu un risc de repercusiuni grave și de durată asupra condițiilor de viață sau a stabilității economice, a stabilității financiare ori de degradare substanțială și imediată a activelor economice din Uniune ori din statul membru relevant, și care este stabilită sau declarată în mod oficial în conformitate cu procedurile relevante în temeiul dreptului Uniunii sau al dreptului intern;

30.	„client” înseamnă o persoană fizică sau juridică care a intrat într-o relație contractuală cu un furnizor de servicii de prelucrare a datelor cu scopul de a utiliza unul sau mai multe servicii de prelucrare a datelor;

31.

„asistenți virtuali” înseamnă un software care poate prelucra cereri, sarcini sau întrebări, inclusiv cele exprimate în formă audio, prin text, prin gesturi sau prin mișcări, și care, pe baza respectivelor cereri, sarcini sau întrebări, oferă acces la alte servicii sau controlează funcțiile produselor conectate;

32.	„active digitale” înseamnă elemente în format digital, inclusiv aplicații, asupra cărora clientul are drept de utilizare, indiferent de relația contractuală cu serviciul de prelucrare a datelor pe care intenționează să îl schimbe;

33.	„infrastructura TIC locală” înseamnă o infrastructură TIC și resurse informatice deținute, închiriate sau utilizate în sistem de leasing de client, situate în centrul de date al clientului și exploatate de client sau de un terț;

34.

„trecere la alt furnizor” înseamnă procesul care implică un furnizor de servicii de prelucrare a datelor de origine, un client al unui serviciu de prelucrare a datelor și, după caz, un furnizor de servicii de prelucrare a datelor de destinație, prin care clientul unui serviciu de prelucrare a datelor trece de la utilizarea unui serviciu de prelucrare a datelor la utilizarea unui alt serviciu de prelucrare a datelor, care este același tip de serviciu, sau la alt serviciu, oferit de un furnizor diferit de servicii de prelucrare a datelor, sau la o infrastructură TIC locală, inclusiv prin extragerea, transformarea și încărcarea datelor;

35.

„taxe pentru ieșirea datelor prin transfer” înseamnă taxele de transfer de date percepute clienților pentru extragerea datelor lor prin intermediul rețelei din infrastructura TIC a unui furnizor de servicii de prelucrare a datelor către sistemul unui furnizor diferit sau către o infrastructură TIC locală;

36.

„taxe de trecere la alt furnizor” înseamnă taxe, altele decât taxele standard pentru servicii sau penalitățile pentru reziliere anticipată, impuse de un furnizor de servicii de prelucrare a datelor unui client pentru acțiunile prevăzute de prezentul regulament pentru trecerea la sistemul unui furnizor diferit sau la infrastructura TIC locală, inclusiv taxele pentru ieșirea datelor prin transfer;

37.

„echivalență funcțională” înseamnă restabilirea, pe baza datelor exportabile și a activelor digitale ale clientului, a unui nivel minim de funcționalitate în mediul unui nou serviciu de prelucrare a datelor, care este același tip de serviciu, după procesul de trecere la alt furnizor, în situația în care serviciul de prelucrare a datelor de destinație produce rezultate realmente comparabile ca răspuns la aceleași date de intrare pentru caracteristicile partajate furnizate clientului în temeiul contractului;

38.

„date exportabile”, în sensul articolelor 23-31 și al articolului 35, înseamnă datele de intrare și de ieșire, inclusiv metadatele, generate direct sau indirect sau cogenerate, prin utilizarea de către client a serviciului de prelucrare a datelor, cu excepția oricăror active sau date protejate de drepturi de proprietate intelectuală, sau care constituie secrete comerciale, ale furnizorilor de servicii de prelucrare a datelor sau ale terților;

39.	„contract inteligent” înseamnă un program pentru calculator utilizat pentru executarea automată a unui contract sau a unei părți a acestuia, utilizând o secvență de înregistrări electronice de date și asigurând integritatea și acuratețea ordonării lor cronologice;

40.	„interoperabilitate” înseamnă capacitatea a două sau mai multe spații de date sau rețele de comunicații, sisteme, produse conectate, aplicații, servicii de prelucrare a datelor sau componente de a schimba și de a utiliza date în vederea îndeplinirii funcțiilor lor;

41.	„specificație deschisă de interoperabilitate” înseamnă o specificație tehnică în domeniul tehnologiilor informației și comunicațiilor care este orientată spre performanța realizării interoperabilității între serviciile de prelucrare a datelor;

42.	„specificații comune” înseamnă un document, diferit de un standard, ce conține soluții tehnice care oferă un mijloc de respectare a anumitor cerințe și obligații stabilite în prezentul regulament;

43.	„standard armonizat” înseamnă un standard armonizat astfel cum este definit la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012.

CAPITOLUL II

PARTAJAREA DE DATE ÎNTRE ÎNTREPRINDERI ȘI CONSUMATORI ȘI ÎNTRE ÎNTREPRINDERI

Articolul 3

Obligația de a pune datele referitoare la produsele și datele referitoare la serviciile conexe la dispoziția utilizatorului

(1) Produsele conectate sunt proiectate și fabricate, iar serviciile conexe sunt proiectate și furnizate astfel încât datele referitoare la produs și datele referitoare la serviciul conex, inclusiv metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, să fie direct accesibile utilizatorului, în mod implicit, ușor, securizat și gratuit, într-un format cuprinzător, structurat, utilizat în mod curent și prelucrabil automat și dacă este relevant și fezabil din punct de vedere tehnic.

(2) Înainte de încheierea unui contract de cumpărare, închiriere sau de leasing a unui produs conectat, vânzătorul sau locatorul parte la contractul de închiriere sau de leasing, care poate fi fabricantul, furnizează utilizatorului într-un mod clar și inteligibil, cel puțin următoarele informații:

(a)	tipul, formatul și volumul estimat al datelor referitoare la produs pe care produsul conectat este capabil să le genereze;

(b)	dacă produsul conectat este capabil să genereze date în mod continuu și în timp real;

(c)	dacă produsul conectat este capabil să stocheze date pe dispozitiv sau pe un server la distanță, inclusiv, după caz, durata preconizată a păstrării;

(d)	modul în care utilizatorul poate accesa, extrage sau, după caz, șterge datele, inclusiv mijloacele tehnice în acest sens, precum și condițiile de utilizare și calitatea serviciului.

(3) Înainte de încheierea unui contract de furnizare a unui serviciu conex, furnizorul unui astfel de serviciu conex îi furnizează utilizatorului, într-un mod clar și inteligibil, cel puțin următoarele informații:

(a)

natura, volumul estimat și frecvența de colectare a datelor referitoare la produs pe care se preconizează că le va obține potențialul deținător de date și, după caz, modalitățile prin care utilizatorul poate accesa sau extrage astfel de date, inclusiv procedurile deținătorului potențial de date privind stocarea și durata perioadei de păstrare a datelor;

(b)	natura și volumul estimat al datelor referitoare la serviciu care urmează să fie generate, precum și modalitățile prin care utilizatorul poate accesa sau extrage astfel de date, inclusiv procedurile deținătorului potențial de date privind stocarea și durata perioadei de păstrare a datelor;

(c)	dacă deținătorul potențial de date se așteaptă să utilizeze el însuși datele ușor accesibile și scopurile pentru care aceste date urmează să fie utilizate și dacă intenționează să permită uneia sau mai multor terți să utilizeze datele în scopuri convenite cu utilizatorul;

(d)	identitatea potențialului deținător de date, cum ar fi denumirea sa comercială și adresa geografică la care este stabilit și, după caz, alte părți implicate în prelucrarea datelor;

(e)	mijloacele de comunicare care permit utilizatorului să contacteze rapid deținătorul potențial de date și să comunice eficient cu deținătorul de date respectiv;

(f)	modul în care utilizatorul poate solicita ca datele să fie partajate cu un terț și în care, după caz, își poate retrage consimțământul pentru partajarea datelor;

(g)	dreptul utilizatorului de a depune o plângere privind încălcarea oricărei dispoziții a prezentului capitol la autoritatea competentă desemnată în temeiul articolului 37;

(h)

dacă deținătorul potențial de date este deținătorul unor secrete comerciale conținute în datele care sunt accesibile din produsul conectat sau generate în timpul furnizării unui serviciu conex și în cazul în care deținătorul potențial de date nu este deținătorul secretului comercial, identitatea deținătorului secretului comercial;

(i)	durata contractului dintre utilizator și deținătorul potențial de date, precum și modalitățile de reziliere a unui astfel de contract.

Articolul 4

Drepturile și obligațiile utilizatorilor și ale deținătorilor de date cu privire la accesul, utilizarea și punerea la dispoziție a datelor referitoare la produs și a datelor referitoare la un serviciu conex

(1) În cazul în care datele nu pot fi accesate direct de către utilizator din produsul conectat sau din serviciul conex, deținătorii de date pun la dispoziția utilizatorului date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, fără întârzieri nejustificate, de aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, gratuit, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Această punere la dispoziție se realizează pe baza unei simple cereri introduse prin mijloace electronice, în cazul în care acest lucru este fezabil din punct de vedere tehnic.

(2) Utilizatorii și deținătorii de date pot conveni prin contract să restricționeze sau să interzică accesul, utilizarea sau partajarea ulterioară a datelor, în cazul în care o astfel de prelucrare ar putea submina cerințele de securitate ale produsului conectat, astfel cum sunt prevăzute de dreptul Uniunii sau de dreptul intern, având ca rezultat un efect negativ grav asupra sănătății, siguranței sau securității persoanelor fizice. Autoritățile sectoriale pot furniza utilizatorilor și deținătorilor de date expertiză tehnică în acest context. În cazul în care deținătorul de date refuză să partajeze date în temeiul prezentului articol, acesta notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(3) Fără a aduce atingere dreptului utilizatorului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal dintr-un stat membru, utilizatorul poate, în legătură cu orice litigiu cu deținătorul datelor referitor la restricțiile sau interdicțiile contractuale menționate la alineatul (2):

(a)	să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă; sau

(b)	să convină cu deținătorul de date să sesizeze un organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(4) Deținătorii de date nu îngreunează în mod nejustificat exercitarea de către utilizator a alegerilor sau a drepturilor sale în temeiul prezentului articol, inclusiv prin oferirea de opțiuni utilizatorului într-un mod care nu este neutru sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului prin structura, proiectarea, funcția sau modul de operare a unei interfețe digitale cu utilizatorul sau a unei părți a acesteia.

(5) Cu scopul de a verifica dacă o persoană fizică sau juridică se califică drept utilizator în înțelesul alineatului (1), un deținător de date nu solicită respectivei persoane să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu păstrează nicio informație, în special date de înregistrare, privind accesul utilizatorului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a utilizatorului și pentru securitatea și întreținerea infrastructurii de date.

(6) Secretele comerciale sunt protejate și se divulgă numai dacă deținătorul de date și utilizatorul iau toate măsurile necesare înainte de divulgare pentru păstrarea confidențialității acestora, în special în ceea ce privește terții. deținătorul de date, sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial, identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu utilizatorul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, în special în ceea ce privește terții, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.

(7) În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (6) sau în cazul în care utilizatorul nu pune în aplicare măsurile convenite în temeiul alineatului (6) sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris utilizatorului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt sau a suspendat partajarea datelor și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.

(8) În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de utilizator în temeiul alineatului (6) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate și unicitatea și noutatea produsului conectat, și se furnizează în scris utilizatorului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(9) Fără a aduce atingere dreptului unui utilizator de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un utilizator care dorește să conteste decizia unui deținător de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatele (7) și (8) poate:

(a)	să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții urmează să înceapă sau să se reia partajarea de date; sau

(b)	să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(10) Utilizatorul nu poate să utilizeze datele obținute în urma unei cereri menționate la alineatul (1) pentru dezvoltarea unui produs conectat care concurează direct cu produsul conectat de la care provin datele și nici nu poate partaja datele cu un terț în acest scop și nici nu utilizează aceste date pentru a obține informații despre situația economică, activele și metodele de producție ale fabricantului, sau după caz, ale deținătorului de date.

(11) Utilizatorul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a deținătorului de date care este destinată să protejeze datele.

(12) În cazul în care utilizatorul nu este persoana vizată ale cărei date personale sunt cerute, eventualele date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex se pun la dispoziția utilizatorului de către deținătorul datelor numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.

(13) Un deținător de date poate să utilizeze orice date ușor accesibile care nu sunt date fără caracter personal numai pe baza unui contract cu utilizatorul. Un deținător de date nu poate să utilizeze astfel de date pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale utilizatorului ori cu utilizarea de către utilizator în orice alt mod care ar putea submina poziția comercială a utilizatorului respectiv pe piețele pe care acesta își desfășoară activitatea.

(14) Deținătorii de date nu pun la dispoziția terților date fără caracter personal în scopuri comerciale sau necomerciale, altele decât îndeplinirea contractului lor cu utilizatorul. Dacă este cazul, deținătorii de date obligă terții să nu partajeze ulterior datele primite de la aceștia prin contract.

Articolul 5

Dreptul utilizatorului de a partaja date cu terți

(1) La cererea unui utilizator sau a unei părți care acționează în numele unui utilizator, deținătorul de date pune la dispoziția unui terț, fără întârzieri nejustificate, date ușor accesibile, precum și metadatele relevante necesare pentru interpretarea și utilizarea datelor respective, la aceeași calitate precum cea de care dispune deținătorul de date, cu ușurință, în condiții de siguranță, în mod gratuit pentru utilizator, într-un format cuprinzător, structurat, utilizat în mod comun și prelucrabil automat și, dacă este relevant și fezabil din punct de vedere tehnic, în mod continuu și în timp real. Datele se pun la dispoziția terțului de către deținătorul de date în conformitate cu articolele 8 și 9.

(2) Alineatul (1) nu se aplică datelor ușor accesibile în contextul testării unor produse conectate, substanțe sau procese noi care nu sunt încă introduse pe piață, cu excepția cazului în care utilizarea lor de către un terț este permisă prin contract.

(3) O întreprindere desemnată drept controlor de acces, în temeiul articolului 3 din Regulamentul (UE) 2022/1925, nu poate fi un destinatar de date eligibil în temeiul prezentului articol și, prin urmare, nu poate:

(a)

să solicite sau să ofere stimulente comerciale unui utilizator în vreun mod, cum ar fi prin acordarea de compensații pecuniare sau de orice altă natură, pentru a pune la dispoziția unuia dintre serviciile sale datele pe care utilizatorul le-a obținut în urma unei cereri introduse în temeiul articolului 4 alineatul (1);

(b)	să solicite sau să ofere stimulente comerciale unui utilizator pentru ca acesta să adreseze deținătorului de date o cerere de punere de date la dispoziția unuia dintre serviciile sale, în temeiul alineatului (1) de la prezentul articol;

(c)	să primească de la un utilizator date pe care acesta le-a obținut în urma unei cereri introduse în temeiul articolului 4 alineatul (1).

(4) Pentru a verifica dacă o persoană fizică sau juridică se califică drept utilizator sau terț în sensul alineatului (1), utilizatorul sau terțul nu sunt obligați să furnizeze nicio informație în plus față de ceea ce este necesar. Deținătorii de date nu pot păstra nicio informație privind accesul terțului la datele solicitate în plus față de ceea ce este necesar pentru executarea corectă a cererii de acces a terțului și pentru securitatea și întreținerea infrastructurii de date.

(5) Terțul nu poate să utilizeze, în vederea obținerii accesului la date, mijloace coercitive sau să abuzeze de lacunele din infrastructura tehnică a unui deținător de date care este destinată să protejeze datele.

(6) Un deținător de date nu poate să utilizeze niciun fel de date ușor accesibile pentru a obține informații în legătură cu situația economică, activele sau metodele de producție ale terțului ori cu utilizarea de către terț în orice alt mod care ar putea submina poziția comercială a terțului pe piețele pe care aceasta își desfășoară activitatea, cu excepția cazului în care terțul și-a dat consimțământul pentru o astfel de utilizare și are posibilitatea tehnică de a-și retrage cu ușurință consimțământul respectiv în orice moment.

(7) În cazul în care utilizatorul nu este persoana vizată ale cărei date cu caracter personal sunt cerute, orice date cu caracter personal generate prin utilizarea unui produs conectat sau a unui serviciu conex, se pun de către deținătorul de date la dispoziția terțului numai dacă există un temei juridic valabil pentru prelucrare în temeiul articolului 6 din Regulamentul (UE) 2016/679 și, când este relevant, dacă sunt îndeplinite condițiile prevăzute la articolul 9 din regulamentul respectiv și la articolul 5 alineatul (3) din Directiva 2002/58/CE.

(8) Faptul că deținătorul datelor și terțul nu reușesc să convină asupra unor modalități de transmitere a datelor nu poate să împiedice, să prevină sau să perturbe exercitarea drepturilor persoanei vizate, astfel cum sunt prevăzute în Regulamentul (UE) 2016/679, și, în special, a dreptului la portabilitatea datelor, astfel cum este prevăzut la articolul 20 din regulamentul menționat.

(9) Secretele comerciale se păstrează și se divulgă terților numai în măsura în care o astfel de divulgare este strict necesară pentru îndeplinirea scopului convenit între utilizator și terț. deținătorul de date sau, în cazul în care nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante, și convine cu terțul asupra măsurilor tehnice și organizatorice proporționale necesare pentru a păstra confidențialitatea datelor partajate, cum ar fi modelele de clauze contractuale, acordurile de confidențialitate, protocoalele stricte de acces, standardele tehnice și aplicarea codurilor de conduită.

(10) În cazul în care nu există un acord cu privire la măsurile necesare menționate la alineatul (9) de la prezentul articol sau în cazul în care terțul nu pune în aplicare măsurile convenite în temeiul alineatului (9) de la prezentul articol sau subminează confidențialitatea secretelor comerciale, deținătorul de date poate pune capăt partajării datelor identificate ca fiind secrete comerciale sau, după caz, o poate suspenda. Decizia deținătorului de date se motivează în mod corespunzător și se transmite în scris terțului, fără întârzieri nejustificate. În astfel de cazuri, deținătorul de date notifică autorității competente desemnate în temeiul articolului 37 faptul că a pus capăt partajării datelor sau a suspendat-o și identifică măsurile care nu au fost convenite sau puse în aplicare și, după caz, secretele comerciale cărora le-a fost subminată confidențialitatea.

(11) În circumstanțe excepționale, atunci când deținătorul de date care este deținător al secretului comercial poate demonstra că este foarte probabil să sufere prejudicii economice grave în urma divulgării secretelor comerciale, în pofida măsurilor tehnice și organizatorice luate de terț în temeiul alineatului (9) de la prezentul articol, respectivul deținător de date poate refuza, de la caz la caz, o cerere de acces la datele specifice în cauză. Respectiva demonstrație este justificată în mod corespunzător pe baza unor elemente obiective, în special caracterul executoriu al protecției secretelor comerciale în țările terțe, natura și nivelul de confidențialitate a datelor solicitate, precum și unicitatea și noutatea produsului conectat, și se furnizează în scris terțului, fără întârzieri nejustificate. În cazul în care refuză să partajeze date în temeiul prezentului alineat, deținătorul de date notifică acest lucru autorității competente desemnate în temeiul articolului 37.

(12) Fără a aduce atingere dreptului terțului de a introduce o cale de atac în orice etapă în fața unei instanțe sau a unui tribunal al unui stat membru, un terț care dorește să conteste decizia deținătorului de date de a refuza partajarea datelor, de a-i pune capăt sau de a o suspenda în temeiul alineatelor (10) și (11) poate:

(a)	să depună, în conformitate cu articolul 37 alineatul (5) litera (b), o plângere la autoritatea competentă, care decide, fără întârzieri nejustificate, dacă și în ce condiții începe sau se reia partajarea de date; sau

(b)	să convină cu deținătorul de date în vederea sesizării unui organism de soluționare a litigiilor în conformitate cu articolul 10 alineatul (1).

(13) Dreptul menționat la alineatul (1) nu poate să aducă atingere drepturilor persoanelor vizate în temeiul dreptului Uniunii și al dreptului intern aplicabile privind protecția datelor cu caracter personal.

Articolul 6

Obligațiile terților care primesc date la cererea utilizatorului

(1) Un terț prelucrează datele care îi sunt puse la dispoziție în temeiul articolului 5 numai în scopurile și în condițiile convenite cu utilizatorul și sub rezerva dreptului Uniunii și a dreptului intern privind protecția datelor cu caracter personal, inclusiv a drepturilor persoanei vizate în ceea ce privește datele cu caracter personal. Terțul șterge datele când acestea nu mai sunt necesare pentru scopul convenit, cu excepția cazului în care s-a convenit altfel cu utilizatorul cu privire la datele fără caracter personal.

(2) Terțul nu poate:

(a)

să îngreuneze excesiv exercitarea posibilității de alegere sau a drepturilor utilizatorului, inclusiv de exemplu prin oferirea de posibilități de alegere utilizatorului într-un mod care nu este neutru sau prin constrângerea, înșelarea sau manipularea acestuia, sau prin subminarea sau slăbirea autonomiei, a procesului decizional sau a opțiunilor utilizatorului, inclusiv prin intermediul unei interfețe digitale cu utilizatorul sau al unei părți a acesteia;

(b)	în pofida articolului 22 alineatul (2) literele (a) și (c) din Regulamentul (UE) 2016/679, să utilizeze datele pe care le primește pentru crearea de profiluri, cu excepția cazului în care acest lucru este necesar pentru furnizarea serviciul solicitat de utilizator;

(c)

să pună datele pe care le primește la dispoziția unui alt terț, cu excepția cazului în care datele sunt puse la dispoziție în temeiul unui contract cu utilizatorul și cu condiția ca celălalt terț să ia toate măsurile necesare convenite între deținătorul datelor și terț pentru a păstra confidențialitatea secretelor comerciale;

(d)	să pună datele pe care le primește la dispoziția unei întreprinderi desemnate drept controlor de acces în temeiul articolului 3 din Regulamentul (UE) 2022/1925;

(e)

să utilizeze datele pe care le primește pentru dezvoltarea unui produs care concurează cu produsul conectat din care provin datele accesate sau să partajeze datele cu alt terț în scopul respectiv; de asemenea, terții nu pot să utilizeze niciun fel de date fără caracter personal referitoare la produs sau date referitoare la serviciul conex care le sunt puse la dispoziție pentru a obține informații cu privire la situația economică, activele și metodele de producție ale deținătorului de date sau cu privire la utilizarea de către acesta;

(f)	să folosească datele pe care le primește într-un mod care să aibă un impact negativ asupra securității produsului conectat sau asupra serviciului conex;

(g)	să ignore măsurile specifice pe care le-a convenit cu un deținător de date sau cu deținătorul de secrete comerciale în temeiul articolului 5 alineatul (9) și să încalce confidențialitatea secretelor comerciale;

(h)	să împiedice utilizatorul care este un consumator, inclusiv în temeiul unui contract, să pună datele pe care le primește la dispoziția altor părți.

Articolul 8

Condițiile în care deținătorii de date pun date la dispoziția destinatarilor datelor

(1) În cazul în care, în relațiile dintre întreprinderi, un deținător de date este obligat să pună date la dispoziția unui destinatar al datelor în temeiul articolului 5 sau în temeiul altor acte din dreptul aplicabil al Uniunii sau din legislația națională adoptate în conformitate cu dreptul Uniunii, respectivul deținător de date convine cu un destinatar al datelor modalitățile de punere la dispoziție a datelor și face acest lucru în conformitate cu clauze și condiții echitabile, rezonabile și nediscriminatorii și într-un mod transparent, în conformitate cu prezentul capitol și cu capitolul IV.

(2) O clauză contractuală care se referă la accesul la date și la utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date nu este obligatorie dacă este o clauză contractuală abuzivă în înțelesul articolului 13 sau dacă exclude aplicarea drepturilor utilizatorului prevăzute în capitolul II, derogă de la respectivele drepturi sau modifică efectul acestora, în detrimentul utilizatorului.

(3) Un deținător de date nu discriminează, în ceea ce privește modalitățile de punere la dispoziție a datelor, între categorii comparabile de destinatari ai datelor, inclusiv întreprinderi partenere sau întreprinderi afiliate deținătorului de date, când pune la dispoziție date. În cazul în care un destinatar al datelor consideră discriminatorii condițiile în care i-au fost puse la dispoziție datele, deținătorul de date furnizează fără întârziere destinatarului datelor, la cererea motivată a acestuia, informații care arată că nu a existat nicio discriminare.

(4) Un deținător de date nu poate să pună date la dispoziția unui destinatar al datelor, inclusiv în mod exclusiv, cu excepția cazului în care există o cerere introdusă în acest sens de utilizator în temeiul capitolului II.

(5) Deținătorii de date și destinatarii datelor nu au obligația de a furniza informații în plus față de cele necesare pentru verificarea respectării clauzelor contractuale convenite pentru punerea la dispoziție a datelor sau a obligațiilor care le revin în temeiul prezentului regulament sau al altor acte din dreptul aplicabil al Uniunii sau din legislația națională adoptate în conformitate cu dreptul Uniunii.

(6) Cu excepția cazului în care se prevede altfel în dreptul Uniunii, inclusiv la articolul 4 alineatul (6) și la articolul 5 alineatul (9) din prezentul regulament, sau în legislația națională adoptată în conformitate cu dreptul Uniunii, obligația de a pune date la dispoziția unui destinatar al datelor nu include obligația de divulgare a unor secrete comerciale.

Articolul 9

Compensație pentru punerea de date la dispoziție

(1) Orice compensație convenită între un deținător de date și un destinatar al datelor pentru punerea de date la dispoziție în relațiile dintre întreprinderi trebuie să fie nediscriminatorie și rezonabilă și poate include o marjă.

(2) Atunci când convin asupra oricărei compensații, deținătorul de date și destinatarul datelor iau în considerare în special:

(a)	costurile suportate pentru punerea la dispoziție a datelor, inclusiv, în special, costurile necesare pentru formatarea datelor, diseminarea prin mijloace electronice și stocarea acestora;

(b)	investițiile în colectarea și producerea de date, după caz, luând în considerare dacă alte părți au contribuit la obținerea, generarea sau colectarea datelor în cauză.

(3) Compensația menționată la alineatul (1) poate varia, de asemenea, în funcție de volumul, formatul sau natura datelor.

(4) În cazul în care destinatarul datelor este o IMM sau o organizație de cercetare fără scop lucrativ și în cazul în care un astfel de destinatar de date nu are întreprinderi partenere sau întreprinderi afiliate care nu se califică drept IMM-uri, nicio compensație convenită nu depășește costurile menționate la alineatul (2) litera (a).

(5) Comisia adoptă orientări privind calcularea compensației rezonabile, ținând seama de avizul Comitetului european pentru inovare în domeniul datelor (EDIB) menționat la articolul 42.

(6) Prezentul articol nu împiedică alte acte legislative ale Uniunii sau ale legislației naționale adoptate în conformitate cu dreptul Uniunii să excludă compensațiile pentru punerea la dispoziție a datelor sau prevederea unei compensații mai mici.

(7) deținătorul de date trebuie să furnizeze destinatarului datelor informații suficient de detaliate cu privire la baza de calculare a compensației, astfel încât destinatarul datelor să poată evalua dacă sunt îndeplinite cerințele de la alineatele (1)-(4).

Articolul 10

Soluționarea litigiilor

(1) Utilizatorii, deținătorii de date și destinatarii datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigii în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), precum și litigii în legătură cu clauzele și condițiile echitabile, rezonabile și nediscriminatorii de punere la dispoziție a datelor și cu modul transparent de punere la dispoziție a datelor, în conformitate cu prezentul capitol și cu capitolul IV.

(2) Organismele de soluționare a litigiilor aduc taxele sau mecanismele utilizate pentru stabilirea taxelor la cunoștința părților în cauză înainte ca părțile respective să solicite emiterea unei decizii.

(3) În ceea ce privește litigiile pentru care a fost sesizat organismul de soluționare a litigiilor în temeiul articolului 4 alineatele (3) și (9) și al articolului 5 alineatul (12), în cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea utilizatorului sau a destinatarului datelor, deținătorul de date suportă toate taxele percepute de organismul de soluționare a litigiilor și rambursează utilizatorului sau destinatarului respectiv orice alte cheltuieli rezonabile pe care le-a suportat în legătură cu soluționarea litigiului. În cazul în care organismul de soluționare a litigiilor decide în cadrul unui litigiu în favoarea deținătorului de date, utilizatorul sau destinatarul datelor nu are obligația de a rambursa eventualele taxe sau alte cheltuieli pe care deținătorul de date le-a plătit sau pe care urmează să le plătească în legătură cu soluționarea litigiului, cu excepția cazului în care organismul de soluționare a litigiilor constată că utilizatorul sau destinatarul datelor a acționat în mod evident cu rea-credință.

(4) Clienții și furnizorii de servicii de prelucrare a datelor au acces la un organism de soluționare a litigiilor, certificat în conformitate cu alineatul (5) de la prezentul articol, pentru a soluționa litigiile legate de încălcarea drepturilor clienților și a obligațiilor furnizorilor de servicii de prelucrare a datelor, în conformitate cu articolele 23-31.

(5) Statul membru în care este stabilit organismul de soluționare a litigiilor certifică organismul, la cererea organismului respectiv, în cazul în care acesta a demonstrat că îndeplinește toate condițiile următoare:

(a)	este imparțial și independent și emite decizii în conformitate cu norme de procedură clare, nediscriminatorii și echitabile;

(b)

dispune de cunoștințele de specialitate necesare, în special privind clauzele și condițiile echitabile, rezonabile și nediscriminatorii, inclusiv privind compensațiile, și privind punerea la dispoziție a datelor într-un mod transparent, ceea ce îi permite să stabilească în mod eficace clauzele și condițiile respective;

(c)	este ușor de accesat prin intermediul tehnologiei comunicațiilor electronice;

(d)	are capacitatea de a adopta decizii într-un mod rapid, eficace și eficient din punctul de vedere al costurilor în cel puțin o limbă oficială a Uniunii.

(6) Organismele de soluționare a litigiilor certificate sunt notificate Comisiei de către statele membre în conformitate cu alineatul (5). Comisia publică pe un site specializat o listă a organismelor respective, pe care o actualizează în permanență.

(7) Un organism de soluționare a litigiilor refuză să trateze o cerere de soluționare a unui litigiu dacă pentru același litigiu s-a introdus deja o cerere în fața altui organism de soluționare a litigiilor ori a unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

(8) Un organism de soluționare a litigiilor acordă părților, într-un termen rezonabil, posibilitatea de a-și exprima punctele de vedere asupra chestiunilor pe care părțile respective le-au introdus în fața organismului respectiv. În contextul respectiv, fiecare parte la un litigiu primește concluziile celeilalte părți la litigiu și eventualele declarații ale experților. Părților li se oferă posibilitatea de a prezenta observații cu privire la cererile și declarațiile respective.

(9) Un organism de soluționare a litigiilor adoptă o decizie cu privire la chestiunea pentru care a fost sesizat în termen de cel mult 90 de zile de la data primirii unei cereri în temeiul alineatelor (1) și (4). Decizia respectivă este scrisă sau pe un suport durabil și este însoțită de o expunere de motive.

(10) Organismele de soluționare a litigiilor întocmesc și pun la dispoziția publicului rapoartele lor anuale de activitate. Fiecare astfel de raport anual include, în special, următoarele informații:

(a)	rezultatele agregate ale litigiilor;

(b)	timpul mediu necesar pentru soluționarea litigiilor;

(c)	motivele cele mai frecvente ale litigiilor.

(11) Pentru facilitarea schimbului de informații și de bune practici, un organism de soluționare a litigiilor poate decide să includă recomandări în raportul menționat la alineatul (10) privind modul în care pot fi evitate sau soluționate problemele.

(12) Decizia unui organism de soluționare a litigiilor este obligatorie pentru părți numai dacă părțile și-au dat consimțământul explicit cu privire la caracterul său obligatoriu înainte de începerea procedurii de soluționare a litigiilor.

(13) Prezentul articol nu aduce atingere dreptului părților de a introduce o cale de atac eficientă în fața unei instanțe judecătorești sau a unui tribunal dintr-un stat membru.

Articolul 11

Măsuri tehnice de protecție privind utilizarea sau divulgarea neautorizată de date

(1) Un deținător de date poate să aplice măsuri tehnice de protecție corespunzătoare, inclusiv contracte inteligente și criptare, pentru a preveni accesul neautorizat la date, inclusiv metadate, și pentru a asigura respectarea articolelor 4, 5, 6, 8 și 9, precum și a clauzelor contractuale convenite pentru punerea la dispoziție a datelor. Aceste măsuri tehnice de protecție nu discriminează diferiții destinatari ai datelor și nici nu obstrucționează dreptul unui utilizator de a obține o copie a datelor ori de a extrage, utiliza sau accesa datele sau de a furniza date unor terți în temeiul articolului 5 sau orice drept al unui terț prevăzut în dreptul Uniunii sau în legislația națională adoptată în conformitate cu dreptul Uniunii. Utilizatorii, terții și destinatarii datelor nu modifică sau elimină astfel de măsuri tehnice de protecție, cu excepția cazului în care deținătorul de date își dă acordul în acest sens.

(2) În circumstanțele menționate la alineatul (3), terțul sau destinatarul datelor dă curs, fără întârzieri nejustificate, cererilor deținătorului de date și, după caz, atunci când aceștia nu sunt aceeași persoană, deținătorului secretului comercial, sau ale utilizatorului:

(a)	de a șterge datele puse la dispoziție de către deținătorul datelor și toate copiile acestora;

(b)

de a înceta producerea, oferirea, sau introducerea pe piață sau utilizarea bunurilor, a datelor derivate sau a serviciilor produse pe baza cunoștințelor obținute prin intermediul unor astfel de date ori importul, exportul sau depozitarea de bunuri care încalcă drepturile prevăzute în scopurile respective și de a distruge eventualele bunuri care încalcă drepturile respective, în cazul în care există un risc grav ca utilizarea ilegală a acestor date să cauzeze un prejudiciu semnificativ deținătorului de date, deținătorului secretului comercial sau utilizatorului sau în cazul în care o astfel de măsură nu ar fi disproporționată în raport cu interesele deținătorului de date, ale deținătorului secretului comercial sau ale utilizatorului;

(c)	de a informa utilizatorul cu privire la utilizarea sau divulgarea neautorizată a datelor și la măsurile luate pentru a pune capăt utilizării sau divulgării neautorizate a datelor;

(d)	de a compensa partea care suferă de pe urma utilizării abuzive sau a divulgării unor astfel de date accesate sau utilizate în mod ilegal.

(3) Alineatul (2) se aplică în cazul în care un terț sau un destinatar al datelor:

(a)	în scopul obținerii de date a furnizat informații false unui deținător de date, a utilizat mijloace înșelătoare sau coercitive sau a abuzat de lacunele din infrastructura tehnică a deținătorului de date destinată să protejeze datele;

(b)	a utilizat datele puse la dispoziție în scopuri neautorizate, inclusiv pentru dezvoltarea unui produs conectat concurent în sensul articolului 6 alineatul (2) litera (e);

(c)	a divulgat în mod ilegal date unei alte părți;

(d)	nu a menținut măsurile tehnice și organizatorice convenite în temeiul articolului 5 alineatul (9); sau

(e)	a modificat sau eliminat măsurile tehnice de protecție aplicate de deținătorul de date în temeiul alineatului (1) de la prezentul articol fără acordul deținătorului de date.

(4) Alineatul (2) se aplică și în cazul în care un utilizator modifică sau elimină măsurile tehnice de protecție aplicate de deținătorul de date sau nu menține măsurile tehnice și organizatorice luate de utilizator de comun acord cu deținătorul de date sau, dacă nu este aceeași persoană, cu deținătorul secretelor comerciale, pentru a păstra secretele comerciale, precum și în ceea ce privește orice altă parte care primește datele de la utilizator prin încălcarea prezentului regulament.

(5) În cazul în care destinatarul datelor încalcă articolul 6 alineatul (2) litera (a) sau (b), utilizatorii au aceleași drepturi ca deținătorii de date în temeiul alineatului (2) de la prezentul articol.

Articolul 17

Cereri de punere la dispoziție de date

(1) Când solicită date în temeiul articolului 14, un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii:

(a)	specifică datele solicitate, inclusiv metadatele relevante necesare pentru interpretarea și utilizarea datelor respective;

(b)	demonstrează că sunt îndeplinite condițiile necesare pentru existența unei nevoi excepționale menționate la articolul 15 în scopul pentru care sunt solicitate datele;

(c)

explică scopul cererii, utilizarea preconizată a datelor solicitate, inclusiv, dacă este cazul, de către un terț în conformitate cu alineatul (4) de la prezentul articol, durata utilizării respective și, după caz, modul în care prelucrarea datelor cu caracter personal trebuie să răspundă nevoii excepționale;

(d)	precizează, dacă este posibil, momentul în care se preconizează că datele vor fi șterse de către toate părțile care au acces la acestea;

(e)	justifică alegerea deținătorului de date căruia îi este adresată cererea;

(f)	menționează orice alte organisme din sectorul public sau Comisia, Banca Centrală Europeană sau organele Uniunii și terții cu care se intenționează partajarea datelor solicitate;

(g)

în cazul în care se solicită date cu caracter personal, specifică orice măsuri tehnice și organizatorice care sunt necesare și proporționale pentru punerea în aplicare a principiilor de protecție a datelor și a garanțiilor necesare, cum ar fi pseudonimizarea, și dacă anonimizarea poate fi aplicată de către deținătorul de date înainte de a pune la dispoziție datele;

(h)	precizează dispoziția legală care atribuie organismului din sectorul public solicitant, Comisiei, Băncii Centrale Europene sau organului Uniunii sarcina specifică de interes public relevantă pentru solicitarea datelor;

(i)	precizează termenul până la care datele urmează să fie puse la dispoziție și termenul menționat la articolul 18 alineatul (2) până la care deținătorul datelor poate să respingă sau să solicite modificarea cererii;

(j)	depun toate eforturile pentru a evita ca respectarea solicitării de date să conducă la răspunderea deținătorilor de date pentru încălcarea dreptului Uniunii sau a dreptului intern.

(2) O cerere de date introdusă în temeiul alineatului (1) de la prezentul articol trebuie:

(a)	să fie formulată în scris și exprimată într-un limbaj clar, concis și simplu, ușor de înțeles de către deținătorul datelor;

(b)	să precizeze tipul de date solicitate și să corespundă datelor pe care deținătorul de date le controlează la momentul cererii;

(c)	să fie proporțională cu nevoia excepțională și justificată în mod corespunzător în ceea ce privește granularitatea și volumul datelor solicitate și frecvența accesului la datele solicitate;

(d)	să respecte obiectivele legitime ale deținătorului datelor, angajându-se să asigure protecția secretelor comerciale în conformitate cu articolul 19 alineatul (3), precum și costurile și eforturile necesare pentru punerea la dispoziție a datelor;

(e)

să se refere la date fără caracter personal și numai dacă se demonstrează că acest lucru este insuficient pentru a răspunde nevoii excepționale de utilizare a datelor, în conformitate cu articolul 15 alineatul (1) litera (a), să solicite date cu caracter personal în formă pseudonimizată și să stabilească măsurile tehnice și organizatorice care urmează să fie luate pentru a proteja datele;

(f)	să informeze deținătorul datelor cu privire la sancțiunile care urmează să fie impuse în temeiul articolului 40 de către autoritatea competentă desemnată în temeiul articolului 37 în cazul nerespectării cererii;

(g)

în cazul în care cererea este introdusă de un organism din sectorul public, să fie transmisă coordonatorului de date menționat la articolul 37 al statului membru în care este stabilit organismul din sectorul public solicitant, care pune cererea la dispoziția publicului online, fără întârzieri nejustificate, cu excepția cazului în care coordonatorul de date consideră că o astfel de publicare ar crea un risc pentru siguranța publică;

(h)	în cazul în care cererea este introdusă de Comisie, Banca Centrală Europeană sau un organ al Uniunii, să fie pusă la dispoziție online fără întârzieri nejustificate;

(i)	în cazul în care se solicită date cu caracter personal, să fie notificată fără întârzieri nejustificate autorității de supraveghere responsabile cu monitorizarea aplicării Regulamentului (UE) 2016/679 din statul membru în care este stabilit organismul din sectorul public.

Banca Centrală Europeană și organele Uniunii informează Comisia cu privire la cererile lor.

(3) Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii nu pun la dispoziție datele obținute în temeiul prezentului capitol în vederea reutilizării, astfel cum este definită la articolul 2 punctul 2 din Regulamentul (UE) 2022/868 sau la articolul 2 punctul 11 din Directiva (UE) 2019/1024. Regulamentul (UE) 2022/868 și Directiva (UE) 2019/1024 nu se aplică în cazul datelor deținute de organisme din sectorul public și obținute în temeiul prezentului capitol.

(4) Alineatul (3) de la prezentul articol nu împiedică un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii să facă schimb de date obținute în temeiul prezentului capitol cu alt organism din sectorul public sau cu Comisia, cu Banca Centrală Europeană ori cu un organ al Uniunii, cu scopul îndeplinirii sarcinilor menționate la articolul 15, astfel cum se specifică în cerere în conformitate cu alineatul (1) litera (f) de la prezentul articol, sau să pună datele la dispoziția unui terț în cazul în care a delegat, prin intermediul unui acord accesibil publicului, sarcina de efectuare a inspecțiilor tehnice sau alte funcții către respectivul terț. Obligațiile care revin organismelor din sectorul public în temeiul articolului 19, în special garanțiile de păstrare a confidențialității secretelor comerciale, se aplică și acestor terți. În cazul în care transmite sau pune la dispoziție date în temeiul prezentului alineat, organismul din sectorul public ori Comisia, Banca Centrală Europeană ori un organ Uniunii notifică acest lucru deținătorului de date de la care au fost primite datele, fără întârzieri nejustificate.

(5) În cazul în care deținătorul de date consideră că drepturile sale în temeiul prezentului capitol au fost încălcate prin transmiterea sau punerea la dispoziție a datelor, acesta poate depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

(6) Comisia elaborează un model pentru cererile depuse în temeiul prezentului articol.

Articolul 18

Îndeplinirea cererilor de date

(1) Un deținător de date care primește o cerere de a pune la dispoziție date în temeiul prezentului capitol pune datele, fără întârzieri nejustificate, la dispoziția organismului din sectorul public, a Comisiei, Băncii Centrale Europene ori a organului Uniunii care a introdus cererea, ținând seama de măsurile tehnice, organizatorice și juridice necesare.

(2) Fără a aduce atingere nevoilor specifice în ceea ce privește disponibilitatea datelor definite în dreptul Uniunii sau în dreptul intern, un deținător de date poate să respingă cererea sau să solicite modificarea unei cereri de a pune la dispoziție date în temeiul prezentului capitol fără întârzieri nejustificate și, în orice caz, nu mai târziu de cinci zile lucrătoare de la primirea unei cereri de date necesare pentru răspunsul la o situație de urgență și fără întârzieri nejustificate și, în orice caz, nu mai târziu de 30 de zile lucrătoare de la primirea unei astfel de cereri în alte cazuri de nevoie excepțională, din oricare dintre următoarele motive:

(a)	deținătorul de date nu are control asupra datelor solicitate;

(b)	o cerere similară în același scop a fost introdusă anterior de un alt organism din sectorul public sau de Comisie, de Banca Centrală Europeană ori de un organ al Uniunii, iar deținătorul de date nu a fost notificat cu privire la ștergerea datelor în temeiul articolului 19 alineatul (1) litera (c);

(c)	cererea nu îndeplinește condițiile prevăzute la articolul 17 alineatele (1) și (2).

(3) Dacă decide să respingă cererea sau să solicite modificarea acesteia în conformitate cu alineatul (2) litera (b), deținătorul datelor face cunoscută identitatea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene ori a organului Uniunii care a introdus anterior o cerere în același scop.

(4) În cazul în care datele solicitate includ date cu caracter personal, deținătorul de date anonimizează în mod corespunzător datele, cu excepția cazului în care respectarea cererii de punere a datelor la dispoziția unui organism din sectorul public, a Comisiei, a Băncii Centrale Europene sau a unui organ al Uniunii impune divulgarea de date cu caracter personal. În aceste cazuri, deținătorul de date pseudonimizează datele.

(5) În cazul în care organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii dorește să conteste refuzul unui deținător de date de a furniza datele solicitate sau în cazul în care deținătorul de date dorește să conteste cererea, iar chestiunea nu poate fi soluționată printr-o modificare adecvată a cererii, este sesizată autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date cu privire la chestiunea în cauză.

Articolul 19

Obligațiile organismelor din sectorul public, ale Comisiei, ale Băncii Centrale Europene și ale organelor Uniunii

(1) Un organism din sectorul public, Comisia, Banca Centrală Europeană ori un organ al Uniunii care primește date în urma unei cereri introduse în temeiul articolului 14:

(a)	nu utilizează datele într-un mod incompatibil cu scopul pentru care au fost solicitate;

(b)	a pus în aplicare măsuri tehnice și organizatorice care să păstreze confidențialitatea și integritatea datelor solicitate și securitatea transferurilor de date, în special a datelor cu caracter personal, și protejează drepturile și libertățile persoanelor vizate;

(c)

șterge datele de îndată ce acestea nu mai sunt necesare pentru scopul declarat și informează deținătorul de date și persoanele fizice sau organizațiile care au primit datele în temeiul articolului 21 alineatul (1), fără întârzieri nejustificate, că datele au fost șterse, cu excepția cazului în care este necesară arhivarea datelor în conformitate cu dreptul Uniunii sau cu dreptul intern privind accesul public la documente în contextul obligațiilor de transparență.

(2) Un organism din sectorul public, Comisia, Banca Centrală Europeană, un organ al Uniunii sau un terț care primește date în temeiul prezentului capitol:

(a)

nu utilizează datele sau informațiile despre situația economică, activele și metodele de producție sau de operare ale deținătorului de date pentru a dezvolta sau a îmbunătăți un produs conectat sau un serviciu conex care concurează cu produsul conectat sau cu serviciul conex al deținătorului de date;

(b)	nu partajează datele cu un alt terț în oricare dintre scopurile menționate la litera (a).

(3) Divulgarea de secrete comerciale către un organism din sectorul public, către Comisie, Banca Centrală Europeană ori un organ al Uniunii este obligatorie numai dacă ea este strict necesară pentru atingerea scopului unei cereri depuse în temeiul articolului 15. Într-un astfel de caz, deținătorul datelor sau, atunci când aceștia nu sunt aceeași persoană, deținătorul secretului comercial identifică datele care sunt protejate ca secrete comerciale, inclusiv în metadatele relevante. Organismul din sectorul public, Comisia, Banca Centrală Europeană ori organul Uniunii iau, înainte de divulgarea secretelor comerciale, toate măsurile tehnice și organizatorice necesare și adecvate pentru a păstra confidențialitatea secretelor comerciale, inclusiv, după caz, utilizarea de modele de clauze contractuale, de standarde tehnice și aplicarea codurilor de conduită.

(4) Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii este responsabil de securitatea datelor pe care le primește.

Articolul 20

Compensație în cazuri de nevoie excepțională

(1) Deținătorii de date, alții decât microîntreprinderile și întreprinderile mici, pun la dispoziție în mod gratuit datele necesare pentru a răspunde unei situații de urgență în temeiul articolului 15 alineatul (1) litera (a). Organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii care a primit date îi acordă recunoaștere publică deținătorului de date dacă acesta o solicită.

(2) deținătorul de date are dreptul la o compensație corectă pentru punerea la dispoziție a datelor în conformitate cu o cerere introdusă în temeiul articolului 15 alineatul (1) litera (b). O astfel de compensație acoperă costurile tehnice și organizatorice suportate pentru îndeplinirea cererii, inclusiv, după caz, costurile anonimizării, pseudonimizării, agregării și ale adaptării tehnice și o marjă rezonabilă. La cererea organismului din sectorul public, a Comisiei, a Băncii Centrale Europene ori a organului Uniunii, deținătorul de date furnizează informații cu privire la baza de calculare a costurilor și a marjei rezonabile.

(3) Alineatul (2) se aplică, de asemenea, în cazul în care o microîntreprindere și întreprindere mică solicită compensații pentru punerea la dispoziție a datelor.

(4) Deținătorii de date nu au dreptul la compensații pentru punerea la dispoziție a datelor în conformitate cu o cerere depusă în temeiul articolului 15 alineatul (1) litera (b), în cazul în care sarcina specifică de interes public este producerea de statistici oficiale și în cazul în care achiziționarea de date nu este permisă de dreptul intern. Statele membre informează Comisia în cazul în care dreptul intern nu permite achiziționarea de date pentru producerea de statistici oficiale.

(5) În cazul în care organismul din sectorul public, Comisia, Banca Centrală Europeană sau organul Uniunii nu sunt de acord cu nivelul compensației solicitate de deținătorul de date, acestea pot depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

Articolul 21

Partajarea datelor obținute în contextul unei nevoi excepționale cu organizații de cercetare sau organisme statistice

(1) Un organism din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii au dreptul de a partaja datele primite în temeiul prezentului capitol:

(a)	cu persoane fizice sau organizații care desfășoară activități de cercetare științifică sau de analiză compatibile cu scopul pentru care au fost solicitate datele; sau

(b)	cu institute naționale de statistică sau la cererea Eurostat pentru producerea de statistici oficiale;

(2) Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) trebuie să acționeze fără scop lucrativ sau în contextul unei misiuni de interes public recunoscute în dreptul Uniunii sau în dreptul intern. Nu sunt incluse organizațiile asupra cărora întreprinderile comerciale au o influență semnificativă, ceea ce ar putea conduce la un acces preferențial la rezultatele cercetării.

(3) Persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) de la prezentul articol respectă aceleași obligații care sunt aplicabile organelor din sectorul public, Comisiei, Băncii Centrale Europene sau organelor Uniunii în temeiul articolului 17 alineatul (3) și al articolului 19.

(4) În pofida articolului 19 alineatul (1) litera (c), persoanele fizice sau organizațiile care primesc datele în temeiul alineatului (1) de la prezentul articol pot păstra datele primite în scopul pentru care au fost solicitate timp de până la șase luni de la ștergerea datelor de către organele din sectorul public, Comisie, Banca Centrală Europeană și organele Uniunii.

(5) În cazul în care un organ din sectorul public, Comisia, Banca Centrală Europeană sau un organ al Uniunii intenționează să transmită sau să pună la dispoziție date în temeiul alineatului (1) de la prezentul articol, acesta notifică fără întârzieri nejustificate deținătorului de date de la care au fost primite datele, precizând identitatea și datele de contact ale organizației sau ale persoanei care primește datele, scopul transmiterii sau punerii la dispoziție a datelor, perioada în care datele urmează să fie utilizate și măsurile tehnice de protecție și organizatorice luate, inclusiv în cazul în care sunt implicate date cu caracter personal sau secrete comerciale. În cazul în care deținătorul de date nu este de acord cu transmiterea sau punerea la dispoziție a datelor, acesta poate depune o plângere la autoritatea competentă desemnată în temeiul articolului 37 din statul membru în care este stabilit deținătorul de date.

Articolul 22

Asistență reciprocă și cooperare transfrontalieră

(1) Organismele din sectorul public, Comisia, Banca Centrală Europeană și organele Uniunii cooperează și se asistă reciproc pentru a pune în aplicare prezentul capitol în mod consecvent.

(2) Datele care fac obiectul unui schimb realizat atunci când se solicită și se furnizează asistență în temeiul alineatului (1) nu se utilizează într-un mod care este incompatibil cu scopul în care au fost solicitate.

(3) În cazul în care un organism din sectorul public intenționează să solicite date de la un deținător de date stabilit în alt stat membru, organismul respectiv notifică mai întâi intenția în chestiune autorității competente desemnate în temeiul articolului 37 din respectivul stat membru. Această cerință se aplică și în cazul cererilor introduse de Comisie, de Banca Centrală Europeană și de organele Uniunii. Cererea este examinată de către autoritatea competentă a statului membru în care este stabilit deținătorul de date.

(4) După examinarea cererii ținând seama de cerințele stabilite la articolul 17, autoritatea competentă relevantă întreprinde, fără întârzieri nejustificate, una dintre următoarele acțiuni:

(a)

transmite cererea deținătorului de date și, dacă este cazul, avizează organismul din sectorul public solicitant, Comisia, Banca Centrală Europeană sau organul Uniunii dacă este necesar sau nu să coopereze cu organismele din sectorul public din statul membru în care este stabilit deținătorul de date, cu scopul de a reduce sarcina administrativă pe care o suportă deținătorul de date pentru a asigura respectarea cererii;

(b)	respinge cererea pe motive bine întemeiate, în conformitate cu prezentul capitol.

Organismul din sectorul public solicitant, Comisia, Banca Centrală Europeană și organul Uniunii țin seama de avizul și motivele prezentate de autoritatea competentă relevantă în temeiul primului paragraf înainte de a întreprinde acțiuni suplimentare cum ar fi redepunerea cererii, după caz.

CAPITOLUL VI

TRECEREA DE LA UN SERVICIU DE PRELUCRARE A DATELOR LA ALTUL

Articolul 49

Evaluare și reexaminare

(1) Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European, Consiliului și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:

(a)

situațiile care trebuie considerate că reprezintă o nevoie excepțională în sensul articolului 15 din prezentul regulament și aplicarea în practică a capitolului V din prezentul regulament, în special experiența acumulată ca urmare a aplicării capitolului V din prezentul regulament de către organismele din sectorul public, de către Comisie, Banca Centrală Europeană și de către organele Uniunii; numărul și rezultatul procedurilor inițiate în fața autorității competente în temeiul articolului 18 alineatul (5) privind aplicarea capitolului V din prezentul regulament, astfel cum au fost raportate de autoritățile competente; impactul altor obligații prevăzute în dreptul Uniunii sau în dreptul intern în scopul respectării cererilor de acces la informații; impactul mecanismelor voluntare de partajare de date, cum ar fi cele instituite de organizațiile de promovare a altruismului în materie de date recunoscute în cadrul Regulamentului (UE) 2022/868, asupra îndeplinirii obiectivelor capitolului V din prezentul regulament, precum și rolul datelor cu caracter personal în contextul articolului 15 din prezentul regulament, inclusiv evoluția tehnologiilor de protecție a vieții private;

(b)	impactul prezentului regulament asupra utilizării datelor în economie, inclusiv asupra inovării în domeniul datelor, a practicilor de valorificare financiară a datelor și a serviciilor de intermediere de date, precum și asupra partajării de date în cadrul spațiilor europene comune ale datelor;

(c)	accesibilitatea și utilizarea diferitelor categorii și tipuri de date;

(d)	excluderea anumitor categorii de întreprinderi de la calitatea de beneficiar în temeiul articolului 5;

(e)	absența oricărui impact asupra drepturilor de proprietate intelectuală;

(f)

impactul asupra secretelor comerciale, inclusiv asupra protecției împotriva dobândirii, utilizării și divulgării ilegale a acestora, precum și impactul mecanismului care permite deținătorului de date să respingă cererea utilizatorului în temeiul articolului 4 alineatul (8) și al articolului 5 alineatul (11), ținând seama, în măsura posibilului, de orice revizuire a Directivei (UE) 2016/943;

(g)	măsura în care lista clauzelor contractuale abuzive menționată la articolul 13 reflectă situația la zi, în contextul noilor practici comerciale și al ritmului rapid al inovării pe piață;

(h)	schimbările survenite în practicile contractuale ale furnizorilor de servicii de prelucrare a datelor și dacă schimbările respective permit respectarea într-o măsură suficientă a articolului 25;

(i)	diminuarea taxelor impuse de furnizorii de servicii de prelucrare a datelor pentru procesul de trecere la alt furnizor, în concordanță cu obligația de eliminare treptată a taxelor de trecere la alt furnizor, prevăzută la articolul 29;

(j)	interacțiunea dintre prezentul regulament și alte acte juridice ale Uniunii relevante pentru economia datelor;

(k)	împiedicarea accesului ilegal al administrațiilor publice la datele fără caracter personal;

(l)	eficacitatea sistemului de asigurare a respectării prezentului regulament, stabilit la articolul 37;

(m)	impactul prezentului regulament asupra IMM-urilor în ceea ce privește capacitatea lor de inovare, disponibilitatea serviciilor de prelucrare a datelor pentru utilizatorii din Uniune și sarcina administrativă generată de respectarea noilor obligații.

(2) Până la 12 septembrie 2028, Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cuprinzând principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. Evaluarea respectivă analizează impactul articolelor 23-31, 34 și 35, în special în ceea ce privește stabilirea prețurilor și diversitatea serviciilor de prelucrare a datelor oferite în Uniune, cu un accent special pe furnizorii care sunt IMM-uri.

(3) Statele membre furnizează Comisiei informațiile necesare pentru întocmirea rapoartelor menționate la alineatele (1) și (2).

(4) Pe baza rapoartelor menționate la alineatele (1) și (2), Comisia poate înainta Parlamentului European și Consiliului, dacă este cazul, o propunere legislativă de modificare a prezentului regulament.

whereas

keyboard_tab Data Act 2023/2854 RO

Data Act 2023/2854 RO